Ccna 2

Contenido
Introducción ............................................................................................................................... 18
¿Por qué debería tomar este módulo? ................................................................................... 18
¿Qué aprenderé en este módulo? ........................................................................................... 18
Video: descargue e instale Packet Tracer............................................................................... 19
Vídeo - Introducción a Cisco Packet Tracer ........................................................................... 20
Packet Tracer - Exploración de Modo Lógico y Físico ........................................................... 20
Secuencia de arranque de un switch ...................................................................................... 21
El comando boot system ........................................................................................................ 21
Indicadores LED del switch .................................................................................................... 22
Recuperarse de un bloqueo del sistema ................................................................................ 25
Acceso a administración de switches ..................................................................................... 26
Ejemplo de Configuración de Switch SVI ............................................................................... 27
Práctica de laboratorio: configuración básica de un switch .................................................. 29
Comunicación dúplex ............................................................................................................. 30
Configuración de puertos de switch en la capa física ............................................................ 31
Auto-MDIX (MDIX automático) .............................................................................................. 33
Switch Verification Commands .............................................................................................. 33
Verificar la configuración de puertos del switch.................................................................... 34
Problemas de la capa de acceso a la red................................................................................. 35
Errores de entrada y salida de interfaz .................................................................................. 38
Resolución de problemas de la capa de acceso a la red ......................................................... 39
Comprobador de sintaxis: configurar puertos de switch ...................................................... 41
Acceso remoto seguro ................................................................................................................ 41
Operación Telnet .................................................................................................................... 41
Funcionamiento de SSH.......................................................................................................... 42
Verifique que el switch admita SSH ....................................................................................... 43
Configuración de SSH ............................................................................................................. 43
Verifique que SSH esté operativo ........................................................................................... 46
Packet Tracer - Configurar SSH .............................................................................................. 48
Configuración básica de un router ............................................................................................. 48
Configuración de parámetros básicos del router ................................................................... 48
Topología de doble pila .......................................................................................................... 49
Configurar interfaces de routers ............................................................................................ 50
Interfaces de bucle invertido IPv4 ......................................................................................... 51
Packet Tracer- Configurar Interfaces de Router .................................................................... 52
Verificar redes conectadas directamente .................................................................................. 52
Comandos de verificación de interfaz .................................................................................... 52
Verificación del estado de una interfaz .................................................................................. 53
Verificar direcciones locales y multidifusión de vínculos IPv6 ............................................. 54
Verificar la configuración de la interfaz ................................................................................. 55
Verificar rutas ......................................................................................................................... 56
Filtrado de los resultados del comando show ....................................................................... 57
Historial de comandos ............................................................................................................ 59
Packet Tracer: verificar redes conectadas directamente....................................................... 60
Compruebe su comprensión - Verificar las redes conectadas directamente ........................ 60
Packet Tracer - Implementar una red pequeña ..................................................................... 60
Laboratorio: configuración del router básico ........................................................................ 61
Prueba del módulo: configuración básica del dispositivo ..................................................... 63
Reenvío de tramas ...................................................................................................................... 64
Switching en la red ................................................................................................................. 64
Tabla de direcciones MAC del switch ..................................................................................... 65
El método Aprender y Reenviar del Switch ........................................................................... 65
Video: Tablas de direcciones MAC en switches conectados .................................................. 66
Métodos de reenvío del switch............................................................................................... 66
Intercambio de almacenamiento y reenvío ........................................................................... 66
Switching por método de corte .............................................................................................. 67
Actividad: El Switch!............................................................................................................... 68
Dominios de colisiones ........................................................................................................... 70
Dominios de difusión.............................................................................................................. 71
Alivio de la congestión en la red ............................................................................................. 71
Verifique su comprensión - Cambiar dominios ..................................................................... 72
Prueba del módulo: conceptos de switches ........................................................................... 73
Descripción general de las VLAN ............................................................................................... 74
Definiciones de VLAN ............................................................................................................. 74
Ventajas de un diseño de VLAN.............................................................................................. 76
Tipos de VLAN ........................................................................................................................ 78
Packet Tracer: ¿quién escucha la difusión? ............................................................................ 80
Compruebe su comprensión - Descripción general de las VLAN........................................... 80
Redes VLAN en un entorno conmutado múltiple ...................................................................... 81
Definición de troncos de VLAN .............................................................................................. 81
Redes sin VLAN....................................................................................................................... 81
Red con VLAN ......................................................................................................................... 82
Identificación de VLAN con etiqueta ...................................................................................... 82
VLAN nativas y etiquetado de 802.1Q .................................................................................... 84
Etiquetado de VLAN de voz .................................................................................................... 85
Ejemplo de verificación de VLAN de voz ................................................................................ 86
Packet Tracer: investigación de la implementación de una VLAN ........................................ 87
Compruebe su comprensión - VLAN en un entorno de multiswitch ..................................... 87
Configuración de VLAN .............................................................................................................. 87
Rangos de VLAN en los switches Catalyst .............................................................................. 87
Comandos de creación de VLAN............................................................................................. 89
Ejemplo de creación de VLAN ................................................................................................ 89
Comandos de asignación de puertos VLAN............................................................................ 90
VLAN de voz, datos ................................................................................................................. 92
Ejemplo de VLAN de voz y datos ............................................................................................ 92
Verificar la información de la VLAN ....................................................................................... 93
Cambio de pertenencia de puertos de una VLAN .................................................................. 94
Eliminar las VLAN................................................................................................................... 96
Comprobador de sintaxis - Configuración de VLAN .............................................................. 96
Packet Tracer: Configuración de redes VLAN ........................................................................ 97
Enlaces troncales de la VLAN ..................................................................................................... 97
Comandos de configuración troncal....................................................................................... 97
Ejemplo de configuración de troncal ..................................................................................... 98
Verifique la configuración de enlaces troncales. .................................................................... 99
Restablecimiento del enlace troncal al estado predeterminado ........................................... 99
Packet Tracer: Configuración de enlaces troncales ............................................................. 100
Práctica de laboratorio: Configuración de redes VLAN y enlaces troncales ........................ 101
Protocolo de enlace troncal dinámico ...................................................................................... 101
Introducción a DTP............................................................................................................... 101
Modos de interfaz negociados .............................................................................................. 102
Resultados de una configuración DTP ................................................................................. 103
Verificación del modo de DTP .............................................................................................. 104
Packet Tracer: Configuración de DTP .................................................................................. 104
Compruebe su comprensión - Protocolo de enlace troncal dinámico ................................. 104
Práctica del módulo y cuestionario .......................................................................................... 105
Packet Tracer - Implementar VLAN y Trunking .................................................................. 105
Laboratorio: Implementación de VLAN y Troncalización ................................................... 105
¿Qué aprenderé en este módulo? ......................................................................................... 105
¿Por qué debería tomar este módulo? ................................................................................. 107
¿Qué es Inter-VLAN Routing................................................................................................. 108
Inter-VLAN Routing heredado ............................................................................................. 108
MAC Address table for S1 ........................................................................................... 109
Router-on-a-Stick Inter-VLAN Routing ................................................................................ 110
Inter-VLAN Routing en un switch de capa 3 ........................................................................ 110
Verifique su comprensión- Operación de Inter-VLAN Routing ........................................... 112
Escenario Router-on-a-Stick ................................................................................................ 112
Router R1 Subinterfaces .............................................................................................. 113
S1 VLAN and configuraciones de enlaces troncales ............................................................. 113
S2 VLAN y configuraciones de enlaces troncales ................................................................. 115
Configuración de subinterfaces de R1.................................................................................. 117
Verificar la conectividad entre PC1 y PC2 ............................................................................ 119
Verificación de Router-on-a-Stick Inter-VLAN Routing ....................................................... 120
Packet Tracer - Configure Router-on-a-Stick Inter-VLAN Routing...................................... 121
Lab - Configure Router-on-a-Stick Inter-VLAN Routing ...................................................... 122
Inter-VLAN Routing usando switches de capa 3 ...................................................................... 122
Inter-VLAN Routing en Switch de capa 3 ............................................................................. 122
Escenario de switch de capa 3.............................................................................................. 123
D1 VLAN IP Addresses ................................................................................................... 123
Configuracion de switch de capa 3 ....................................................................................... 123
Verificación Inter-VLAN Routing del switch de capa 3 ........................................................ 125
Enrutamiento en un switch de capa 3 .................................................................................. 125
Escenario de enrutamiento en un switch de capa 3 ............................................................ 126
Configuración de enrutamiento en un switch de capa 3 ...................................................... 127
Packet Tracer - Configurar switch de capa 3 e Inter-VLAN Routing ................................... 128
Problemas comunes de Inter-VLAN routing ........................................................................ 128
Escenario de resolución de problemas de Inter-VLAN Routing .......................................... 129
La información de direccionamiento VLAN e IPv4 para R1 se muestra en la tabla.
Router R1 Subinterfaces .............................................................................................. 130
VLAN faltantes ...................................................................................................................... 130
Problemas con el puerto troncal del switch ......................................................................... 131
Problemas en los puertos de acceso de switch .................................................................... 133
Temas de configuración del router ...................................................................................... 135
Compruebe su comprensión - Solucionar problemas de inter-VLAN routing. .................... 137
Packet Tracer: resolución de problemas de inter-VLAN routing ........................................ 137
Práctica de laboratorio: resolución de problemas de inter-VLAN routing .......................... 138
Packet Tracer: desafío de inter-VLAN routing ..................................................................... 138
Laboratorio: Implementar inter-VLAN routing ................................................................... 138
Propósito del STP ..................................................................................................................... 141
Redundancia en redes conmutadas de capa 2 ..................................................................... 141
Protocolo de árbol de extensión........................................................................................... 142
Recalcular STP ...................................................................................................................... 142
Problemas con los vínculos de switch redundantes ............................................................ 142
Bucles de la capa 2 ................................................................................................................ 143
Tormenta de difusión (Broadcast Storm) ............................................................................ 143
El algoritmo de árbol de expansión...................................................................................... 144
Vídeo - Observar la operación STP ....................................................................................... 148
Packet Tracer - Investigar la prevención de bucles STP ...................................................... 148
Funcionamientos del STP ......................................................................................................... 148
Pasos para una topología sin bucles..................................................................................... 148
1. Elige el root bridge ........................................................................................................... 150
Impacto de las pujas por defecto.......................................................................................... 151
Determinar el costo de la ruta raíz ....................................................................................... 152
2. Elegir los puertos raíz ....................................................................................................... 153
3. Seleccionar puertos designados ....................................................................................... 154
4. Seleccionar puertos alternativos (bloqueados) ............................................................... 157
Seleccione un puerto raíz a partir de varias rutas de igual coste ........................................ 158
Temporizadores STP y Estados de puerto ........................................................................... 160
Detalles Operativos de cada Estado Portuario ..................................................................... 162
Per-VLAN Spanning Tree...................................................................................................... 162
Evolución del STP ..................................................................................................................... 162
Diferentes versiones de STP ................................................................................................. 162
Conceptos de RSTP ............................................................................................................... 164
Estados de puerto RSTP y roles de puerto ........................................................................... 164
PortFast y protección BPDU ................................................................................................. 167
Alternativas a STP ................................................................................................................ 168
Introducción ............................................................................................................................. 171
Funcionamiento de EtherChannel ........................................................................................... 172
Añadidura de enlaces ........................................................................................................... 172
EtherChannel ........................................................................................................................ 173
Ventajas de EtherChannel .................................................................................................... 174
Restricciones de implementación ........................................................................................ 175
Protocolos de negociación automática................................................................................. 176
Funcionamiento PAgP .......................................................................................................... 176
Ejemplo de configuración del modo PAgP ........................................................................... 177
PAgP Modes ................................................................................................................... 177
Operación LACP .................................................................................................................... 178
Ejemplo de configuración del modo LACP ........................................................................... 178
Configuración de EtherChannel ............................................................................................... 179
Instrucciones de configuración ............................................................................................ 179
Ejemplo de Configuración de LACP ...................................................................................... 181
Verificador de sintaxis - Configuración EtherChannel ......................................................... 181
Packet Tracer - Configuración de EtherChannel .................................................................. 182
Verificación y solución de problemas de EtherChannel .......................................................... 182
Verificar EtherChannel ......................................................................................................... 182
Common Issues with EtherChannel Configurations ............................................................ 185
Ejemplo de solucionar problemas de EtherChannel. ........................................................... 185
Packet Tracer: Solución de problemas de EtherChannel ..................................................... 188
Lab - Implementar EtherChannel ......................................................................................... 189
Introducción ............................................................................................................................. 190
Conceptos DHCPv4 ................................................................................................................... 191
Servidor y cliente DHCPv4 ................................................................................................... 191
Funcionamiento de DHCPv4 ................................................................................................ 192
Pasos para obtener un arrendamiento ................................................................................ 192
Pasos para renovar un contrato de arrendamiento ............................................................. 194
Configure un servidor DHCPv4 del IOS de Cisco ..................................................................... 195
Servidor Cisco IOS DHCPv4 .................................................................................................. 195
Pasos para configurar un servidor DHCPv4 del IOS de Cisco .............................................. 196
Ejemplo de configuración ..................................................................................................... 198
Comandos de verificación DHCPv4 ...................................................................................... 198
Verifique que DHCPv4 esté operando .................................................................................. 199
Verificador de sintaxis - Configuración de DHCPv4 ............................................................. 201
Desactive el servidor DHCPv4 del IOS de Cisco ................................................................... 202
Retransmisión DHCPv4 ........................................................................................................ 202
Otras transmisiones de servicio retransmitidas .................................................................. 204
Packet Tracer - Configurar DHCPv4 ..................................................................................... 205
Configurar un router como cliente DHCPv4 ............................................................................ 205
Cisco Router como cliente DHCPv4 ...................................................................................... 205
Ejemplo de configuración ..................................................................................................... 205
Enrutador doméstico como cliente DHCPv4 ........................................................................ 206
Packet Tracer - Implementar DHCPv4 ................................................................................. 207
Laboratorio: Implementar DHCPv4 ..................................................................................... 207
Bienvenido............................................................................................................................ 208
IPv6 GUA Assignment............................................................................................................... 209
Configuración de host con IPv6............................................................................................ 209
IPv6 Host Link-Local Address .............................................................................................. 210
IPv6 GUA Assignment ........................................................................................................... 211
Tres flags de mensaje RA ...................................................................................................... 212
SLAAC ....................................................................................................................................... 213
Descripción general de SLAAC ............................................................................................. 213
Activación de SLAAC............................................................................................................. 214
Método Sólo SLAAC .............................................................................................................. 215
ICMPv6 RS Messages ............................................................................................................ 216
Proceso de host para generar ID de interfaz ........................................................................ 216
Detección de direcciones duplicadas ................................................................................... 217
DHCPv6..................................................................................................................................... 218
Pasos de operación DHCPv6 ................................................................................................ 218
Operación DHCPv6 stateless ................................................................................................ 222
Habilitar DHCPv6 stateless en una interfaz ......................................................................... 223
Operaciones de DHCPv6 stateful.......................................................................................... 224
Habilitar DHCPv6 stateful en una interfaz ........................................................................... 225
Configure DHCPv6 Server ........................................................................................................ 226
Roles de router DHCPv6 ....................................................................................................... 226
Configurar un servidor DHCPv6 stateless. ........................................................................... 226
Configurar un cliente DHCPv6 stateless. .............................................................................. 228
Configurar un servidor DHCPv6 stateful. ............................................................................. 230
Configurar un cliente DHCPv6 stateful. ................................................................................ 233
Comandos de verificación del server DHCPv6 ..................................................................... 234
Configuración del agente de retransmisión DHCPv6 ........................................................... 235
Verificar el agente de retransmisión de DHCPv6 ................................................................. 236
Laboratorio: Configurar DHCPv6 ......................................................................................... 236
Introducción ............................................................................................................................. 238
Protocolos de Redundancia de Primer Salto............................................................................ 239
Limitaciones del Gateway Predeterminado ......................................................................... 239
Redundancia del Router ....................................................................................................... 241
Pasos para la Conmutación por Falla del Router ................................................................. 242
Opciones de FHRP ................................................................................................................ 243
HSRP ......................................................................................................................................... 244
HSRP: Descripción general ................................................................................................... 244
Prioridad e Intento de Prioridad del HSRP .......................................................................... 244
Estados y Temporizadores de HSRP .................................................................................... 245
Práctica del Módulo y Cuestionario ......................................................................................... 246
Packet Tracer - Guía de configuración HSRP ....................................................................... 247
Packet Tracer - Exploración del Centro de Datos ....................................................... 248
Seguridad de Punto Terminal .................................................................................................. 249
Ataques de Red Actuales ...................................................................................................... 249
Dispositivos de Seguridad de Red ........................................................................................ 250
Protección de terminales...................................................................................................... 251
Dispositivo de Seguridad de Correo Electrónico Cisco (ESA) .............................................. 252
Dispositivo de Seguridad de la Red de Cisco (WSA) ............................................................ 253
Control de Acceso ..................................................................................................................... 254
Autenticación con una contraseña local ............................................................................... 254
Componentes AAA ................................................................................................................ 256
Autenticación........................................................................................................................ 256
Autorización ......................................................................................................................... 258
Registro ................................................................................................................................ 258
802.1x ................................................................................................................................... 259
Amenazas a la seguridad de Capa 2 ......................................................................................... 260
Capa 2 Vulnerabilidades ....................................................................................................... 260
Categorías de Ataques a Switches ........................................................................................ 261
Layer 2 Attacks ............................................................................................................... 261
Técnicas de Mitigación en el Switch ..................................................................................... 261
Layer 2 Attack Mitigation .............................................................................................. 262
Ataque de Tablas de Direcciones MAC ..................................................................................... 262
Revisar la Operación del Switch ........................................................................................... 262
Saturación de Tablas de Direcciones MAC ........................................................................... 263
Mitigación de Ataques a la Tabla de Direcciones MAC. ........................................................ 263
Ataques a la LAN ...................................................................................................................... 264
Video - VLAN y Ataques DHCP ............................................................................................. 264
Ataque de VLAN Hopping ..................................................................................................... 264
Ataque de VLAN Double-Tagging ......................................................................................... 265
Mensajes DHCP ..................................................................................................................... 268
Ataques de DHCP .................................................................................................................. 268
Video- Ataques ARP, Ataques STP, y Reconocimiento CDP. ................................................ 272
Ataques ARP ......................................................................................................................... 272
Ataque de Suplantación de Dirección .................................................................................. 275
Ataque de STP....................................................................................................................... 275
Reconocimiento CDP ............................................................................................................ 277
Práctica del Módulo y Cuestionario ......................................................................................... 279
¿Qué aprendí en este módulo? ............................................................................................. 279
Introducción ............................................................................................................................. 280
mplementación de Seguridad de Puertos ................................................................................ 282
Asegurar los puertos sin utilizar .......................................................................................... 282
Mitigación de ataques por saturación de tabla de direcciones MAC ................................... 282
Habilitar la seguridad del puerto. ........................................................................................ 283
Limitar y Aprender MAC Addresses ..................................................................................... 284
Vencimiento de la seguridad del puerto. ............................................................................. 285
Seguridad de puertos: modos de violación de seguridad .................................................... 287
Security Violation Mode Descriptions ......................................................................... 287
Security Violation Mode Comparison ........................................................................ 288
Puertos en Estado error-disabled ........................................................................................ 288
Verificar la seguridad del puerto.......................................................................................... 289
Mitigación de ataques de VLAN ............................................................................................... 290
Revisión de ataques a VLAN ................................................................................................. 290
Pasos para mitigar ataques de salto ..................................................................................... 291
Mitigación de ataques de DHCP ............................................................................................... 292
Revisión de ataques DHCP ................................................................................................... 292
Indagación de DHCP ............................................................................................................. 292
Pasos para implementar DHCP Snooping ............................................................................ 293
Un ejemplo de configuración de detección de DHCP. .......................................................... 294
Mitigación de ataques de ARP .................................................................................................. 295
Inspección dinámica de ARP ................................................................................................ 295
Pautas de implementación DAI ............................................................................................ 295
Ejemplo de configuración DAI .............................................................................................. 296
Mitigación de ataques de STP .................................................................................................. 297
PortFast y protección BPDU ................................................................................................. 297
Configure PortFast ............................................................................................................... 298
Configurar la protección BPDU ............................................................................................ 299
Introducción ............................................................................................................................. 299
Introducción a la tecnología inalámbrica................................................................................. 300
Beneficios de redes inalámbricas ......................................................................................... 300
Tipos de redes inalámbricas ................................................................................................ 301
Tecnologías inalámbricas ..................................................................................................... 303
Estándares de Wi-Fi 802.11 ................................................................................................. 303
Radiofrecuencia .................................................................................................................... 305
El espectro electromagnético ....................................................................................... 305
Organizaciones de estándares inalámbricos ........................................................................ 306
Componentes de la WLAN........................................................................................................ 306
Video – Componentes WLAN ............................................................................................... 307
NIC inalámbrica .................................................................................................................... 307
Adaptador Inalámbrico USB ......................................................................................... 307
Router de hogar inalámbrico ............................................................................................... 308
Categorías AP........................................................................................................................ 309
Antenas inalámbricas ........................................................................................................... 311
Funcionamiento de WLAN ....................................................................................................... 312
Video – Operación de la WLAN ............................................................................................ 312
Modos de topología inalámbrica .......................................................................................... 312
BSS y ESS .............................................................................................................................. 313
802.11 Estructura del Frame ............................................................................................... 314
CSMA/CA .............................................................................................................................. 314
Asociación de AP de cliente inalámbrico ............................................................................. 315
Modo de entrega pasiva y activa .......................................................................................... 316
Funcionamiento de CAPWAP ................................................................................................... 317
Video - CAPWAP ................................................................................................................... 317
Introducción a la CAPWAP ................................................................................................... 317
Arquitectura MAC dividida................................................................................................... 318
Encriptación de DTLS ........................................................................................................... 319
AP FlexConnect ..................................................................................................................... 319
Administración de canales ....................................................................................................... 320
Canal de frecuencia de saturación ........................................................................................ 320
Selección de canales ............................................................................................................. 322
Canales superpuestos de 2.4GHz en América del Norte ............................................ 322
Canales no superpuestos de 2.4GHz para 802.11b/g/n ............................................ 323
Primeros ocho canales no interferentes de 5 GHz ..................................................... 324
Canales no interferentes de 5 GHz para 802.11a/n/ac ............................................. 325
Planifique la implementación de WLAN .............................................................................. 325
Amenazas a la WLAN................................................................................................................ 326
Video– Amenazas en la WLAN ............................................................................................. 326
Resumen de seguridad inalámbrica ..................................................................................... 326
Ataques de DoS ..................................................................................................................... 327
Puntos de acceso no autorizados ......................................................................................... 328
Ataque man-in-the-middle ................................................................................................... 329
WLAN seguras .......................................................................................................................... 331
Video – WLAN seguras ......................................................................................................... 331
Encubrimiento SSID y filtrado de direcciones MAC ............................................................. 331
802.11 Métodos de autenticación originales ....................................................................... 332
Métodos de autenticación de clave compartida ................................................................... 333
Autenticando a un usuario doméstico.................................................................................. 334
Métodos de encriptación ...................................................................................................... 335
Autenticación en la empresa ................................................................................................ 336
WPA3 .................................................................................................................................... 337
Introducción ............................................................................................................................. 340
Configuración de WLAN del sitio remoto ................................................................................ 341
Video - Configuración de una red inalámbrica ..................................................................... 341
Router inalámbrico............................................................................................................... 341
Cisco Meraki MX64W .................................................................................................... 342
Conéctese al router inalámbrico. ......................................................................................... 343
Configuración básica de red ................................................................................................. 343
Configuración inalámbrica ................................................................................................... 347
Configuración de una red de Malla Inalámbrica .................................................................. 351
NAT para IPv4 ...................................................................................................................... 352
Calidad de servicio ............................................................................................................... 353
Reenvío de Puerto ................................................................................................................ 354
Packet Tracer - Configurar una red inalámbrica.................................................................. 355
Práctica de laboratorio: Configuración de una red inalámbrica .......................................... 355
Configure una WLAN básica en el WLC.................................................................................... 356
Video - Configure una WLAN básica en el WLC ................................................................... 356
Topología WLC ..................................................................................................................... 356
Topología ......................................................................................................................... 357
Addressing Table .......................................................................................................... 357
Iniciar sesión en el WLC ....................................................................................................... 358
Ver la información del punto de acceso ............................................................................... 359
Configuración Avanzada....................................................................................................... 360
Configurar una WLAN .......................................................................................................... 361
Configuración Básica de una WLAN en el WLC .................................................................... 364
Configure una red inalámbrica WLAN WPA2 Enterprise en el WLC ....................................... 365
Video - Defina un servidor RADIUS y SNMP en el WLC........................................................ 365
SNMP y RADIUS .................................................................................................................... 365
Topología ......................................................................................................................... 366
Configurar Información del Servidor SNMP ........................................................................ 366
Configure los servidores RADIUS. ........................................................................................ 367
Video - Configurar una VLAN para una nueva WLAN .......................................................... 369
Topologia de direcciones en VLAN 5.................................................................................... 369
Topología ......................................................................................................................... 370
Configurar una nueva interfaz ............................................................................................. 370
Video - Configurar el Alcance de DHCP ................................................................................ 371
Configurar el Alcance DHCP ................................................................................................. 371
Video - Configure una red inalámbrica WLAN WPA2 Enterprise ........................................ 372
Configure una red inalámbrica WLAN WPA2 Enterprise .................................................... 372
Packet Tracer: Configuración de WLAN WPA2 Enterprise en el WLC ................................ 376
Solución de problemas de WLAN ............................................................................................. 376
Enfoques para la Solución de Problemas ............................................................................. 376
Cliente Inalámbrico no está conectando .............................................................................. 377
Resolución de Problemas cuando la red esta lenta. ............................................................. 379
Actualizar el Firmware ......................................................................................................... 380
Packet Tracer: Solución de problemas WLAN ..................................................................... 382
Práctica y Resumen del Módulo ............................................................................................... 382
Packet Tracer: Configuración WLAN.................................................................................... 382
Packet Tracer - Exploración de tecnología inalámbrica ........................................... 382
¿Qué aprendí en este módulo? ............................................................................................. 382
Introducción ............................................................................................................................. 383
Determinación de trayecto....................................................................................................... 384
Dos funciones del router ...................................................................................................... 384
Ejemplo de Funciones del router ......................................................................................... 385
Mejor ruta es igual a la coincidencia más larga.................................................................... 385
Ejemplo de coincidencia más larga de direcciones IPv4...................................................... 385
Ejemplo de coincidencia más larga de direcciones IPv6...................................................... 386
Creación de la tabla de enrutamiento .................................................................................. 386
Redes desde la perspectiva de R1 ................................................................................ 387
Reenvío de paquetes ................................................................................................................ 388
Proceso de decisión de reenvío de paquetes ....................................................................... 388
Reenvío de paquetes ............................................................................................................ 390
Mecanismos de reenvío de paquetes ................................................................................... 390
Configuración básica de un router ........................................................................................... 393
Topología .............................................................................................................................. 393
Comandos de Configuración................................................................................................. 394
Comandos de verificación .................................................................................................... 395
Salida del comando de filtro ................................................................................................. 396
Salida del comando de filtro ................................................................................................. 396
Packet Tracer - Revisión básica de la configuración del router ........................................... 398
Tabla de routing IP ................................................................................................................... 398
Origen de la ruta ................................................................................................................... 398
Principios de la tabla de enrutamiento ................................................................................ 399
Entradas de la tabla de routing ............................................................................................ 400
Redes conectadas directamente........................................................................................... 401
Rutas estáticas ...................................................................................................................... 402
Rutas estáticas en la tabla de enrutamiento IP .................................................................... 403
Protocolos de routing dinámico ........................................................................................... 404
Rutas dinámicas en la tabla de enrutamiento IP .................................................................. 405
Ruta predeterminada ........................................................................................................... 406
Estructura de una tabla de enrutamiento IPv4 .................................................................... 407
Estructura de una tabla de enrutamiento IPv6 .................................................................... 409
Distancia administrativa ...................................................................................................... 410
Enrutamiento estático y dinámico ........................................................................................... 411
¿Estático o dinámico? ........................................................................................................... 411
Evolución del protocolo de routing dinámico ...................................................................... 412
Conceptos de Protocolos de routing dinámico .................................................................... 414
El mejor camino .................................................................................................................... 414
Balance de carga ................................................................................................................... 415
Introducción ............................................................................................................................. 419
Rutas estáticas .......................................................................................................................... 420
Tipos de rutas estáticas ........................................................................................................ 420
Opciones de siguiente salto .................................................................................................. 420
Comando de ruta estática IPv4............................................................................................. 421
Comando de ruta estática IPv6............................................................................................. 422
Topología Dual-Stack............................................................................................................ 422
{1}Iniciando tablas de enrutamiento IPv4 ........................................................................... 423
Inicio de tablas de enrutamiento de IPv6 ............................................................................ 424
Configuración de rutas estáticas IP .......................................................................................... 424
Ruta estática IPv4 de siguiente salto .................................................................................... 424
Ruta estática IPv6 de siguiente salto .................................................................................... 425
Ruta Estática IPv4 Conectada Directamente ........................................................................ 426
Ruta Estática IPv6 Conectada Directamente ........................................................................ 427
Ruta estática completamente especificada IPv4 .................................................................. 427
Ruta estática completamente especificada IPv6 .................................................................. 429
Verificación de una ruta estática .......................................................................................... 429
Verificador de sintaxis- Configurar rutas estáticas .............................................................. 431
Configuración de rutas estáticas predeterminadas IP ............................................................. 431
Ruta estática por defecto ...................................................................................................... 431
Configuración de una ruta estática predeterminada ........................................................... 433
Verificar una ruta estática predeterminada ......................................................................... 433
Configuración de rutas estáticas flotantes ............................................................................... 434
Rutas estáticas flotantes ....................................................................................................... 434
Configure las Rutas Estáticas Flotantes IPv4 y IPv6 ............................................................ 436
Pruebe la ruta estática flotante ............................................................................................ 437
Verificador de sintaxis - Configurar rutas estáticas flotantes .............................................. 438
Configuración de rutas de host estáticas ................................................................................. 438
Rutas del host ....................................................................................................................... 438
Rutas de host instaladas automáticamente ......................................................................... 439
Ruta estática de host ............................................................................................................ 440
Configuración de rutas de host estáticas ............................................................................. 440
Verificar rutas de host estáticas ........................................................................................... 440
Configurar rutas de host estáticas IPV6 con Link-Local de siguiente salto ......................... 441
Packet Tracer: Configuración de rutas estáticas y predeterminadas IPv4 eIPv6 ................ 442
Lab - Configure rutas estáticas y predeterminadas IPv4 e IPv6 .......................................... 442
Introducción ............................................................................................................................. 444
Procesamiento de paquetes con rutas estáticas ...................................................................... 445
Rutas estáticas y envío de paquetes ..................................................................................... 445
Verifique su conocimiento: procesamiento de paquetes con rutas estáticas ...................... 446
Resuelva problemas de configuración de rutas estáticas y predeterminadas IPv4 ................ 446
Cambios en la red ................................................................................................................. 447
Comandos comunes para la solución de problemas ............................................................ 447
Resolución de un problema de conectividad ....................................................................... 449
Comprobador de sintaxis: solucionar problemas de rutas estáticas y predeterminadas de
IPv4 ....................................................................................................................................... 451
Packet Tracer - Solucionar problemas de rutas estáticas y predeterminadas .................... 452
Laboratioro - Resuelva problemas de rutas estáticas y predeterminadas en IPv4 e IPv6 .. 452
Introducción
1.0.1
¿Por qué debería tomar este módulo?

¡Bienvenido a la configuración básica del dispositivo!
¡Bienvenido al primer módulo en CCNA Switching, Enrutamiento y Wireless Essentials!. Sabe

que los switches y routers vienen con alguna configuración integrada, así que ¿por qué
necesitarás aprender a configurar más switches y routers?
Imagina que compraste un juego de tren modelo. Después de haberla configurado, te diste
cuenta de que la pista era sólo una forma ovalada simple y que los vagones de tren sólo
funcionaban en el sentido de las agujas del reloj. Es posible que desee que la pista sea una
figura de ocho con un paso elevado. Es posible que desee tener dos trenes que operen
independientemente el uno del otro y sean capaces de moverse en diferentes direcciones.
¿Cómo pudiste hacer que eso pasara? Tendrías que volver a configurar la pista y los
controles. Es lo mismo con los dispositivos de red. Como administrador de red, necesita un
control detallado de los dispositivos de su red. Esto significa configurar con precisión switches
y routeres para que su red haga lo que desea que haga. Este módulo tiene muchas
actividades de Comprobador de sintaxis y trazador de paquetes para ayudarle a desarrollar
estas habilidades. Comencemos ya mismo.
1.0.2
¿Qué aprenderé en este módulo?

Título del módulo: Configuración básica de dispositivos
Objetivos del módulo: Configuración de los dispositivos mediante los procedimientos

recomendados de seguridad.
Leyenda de la tabla
Título del tema Objetivo del tema
Configuración de Parámetros
Configurar los parámetros iniciales en un switch Cisco.
Iniciales de un Switch
Configuración de Puertos de un
Configurar los puertos de un switch para cumplir con los requisitos de red.
Switch.
Acceso remoto seguro Configurar el acceso de administración seguro en un switch.
Configurar los ajustes básicos en un router para enrutar entre dos redes
Configuración básica de un router
conectadas directamente, utilizando CLI.
Verificar redes conectadas Verificar la conectividad entre dos redes que están conectadas
directamente directamente a un router.
1.0.3
Video: descargue e instale Packet Tracer

Este video le mostrará cómo descargar e instalar Packet Tracer. Utilizará Packet Tracer para
simular la creación y prueba de redes en su equipo. Packet Tracer es un programa de
software flexible y divertido que te dará la oportunidad de usar las representaciones de red y
teorías que acabas de aprender a construir modelos de red y explorar LAN y WAN
relativamente complejas.
Por lo general, los estudiantes usan Packet Tracer para lo siguiente:
 Preparase para un examen de certificación.

 Practicar lo aprendido en los cursos de redes.
 Refinar sus habilidades para una entrevista laboral.
 Examinar el impacto de agregar nuevas tecnologías a los diseños de red existentes.
 Desarrollar sus habilidades para realizar trabajos en Internet de las cosas.
 Competir en desafíos globales de diseño (consulte 2017 PT 7 Desafío de diseño en
Facebook).
Packet Tracer es una herramienta esencial de aprendizaje que se utiliza en muchos cursos de
Cisco Networking Academy.
Para obtener e instalar Cisco Packet Tracer siga estos pasos:
Paso 1. Iniciar sesión en la página de "I'm Learning" de Cisco Networking Academy.

Paso 2. Seleccione Recursos.
Paso 3. Seleccione Descargar Packet Tracer.
Paso 4. Seleccione la versión de Packet Tracer que necesita.
Paso 5. Guarde el archivo en la computadora.
Paso 6. Inicie el programa de instalación de Packet Tracer.
Haga clic en Reproducir en el video para realizar un recorrido detallado del proceso de
descarga e instalación de Packet Tracer.
Vídeo - Introducción a Cisco Packet Tracer

Packet Tracer es una herramienta que permite simular redes reales. Proporciona tres menús
principales:
 Puede agregar dispositivos y conectarlos a través de cables o inalámbricos.

 Puede seleccionar, eliminar, inspeccionar, etiquetar y agrupar componentes dentro de
la red.
 Puede administrar su red abriendo una red existente o de muestra, guardando la red
actual y modificando su perfil de usuario o preferencias.
Si ha utilizado algún programa, como un procesador de textos o una hoja de cálculo, ya está
familiarizado con los comandos del menú Archivo ubicados en la barra de menús superior. Los
comandos Abrir, Guardar, Guardar como y Salir funcionan como lo harían con cualquier
programa, pero hay dos comandos especiales para Packet Tracer.
El comando Open Samples mostrará un directorio de ejemplos preconstruidos de

características y configuraciones de varios dispositivos de red e Internet de las cosas incluidos
en Packet Tracer.
El comando Salir y cerrar sesión eliminará la información de registro de esta copia de Packet
Tracer y requerirá que el siguiente usuario de esta copia de Packet Tracer realice el
procedimiento de inicio de sesión de nuevo.
Haga clic en Reproducir en el vídeo para aprender a utilizar los menús y a crear su primera
red Packet Tracer.
1.0.5
Packet Tracer - Exploración de Modo

Lógico y Físico
El modelo de red de esta actividad Packet Tracer Physical Mode (PTPM) incorpora muchas de
las tecnologías que puede dominar en los cursos de Cisco Networking Academy. y representa
una versión simplificada de la forma en que podría verse una red de pequeña o mediana
empresa.
La mayoría de los dispositivos de la sucursal de Seward y del Centro de Datos de Warrenton

ya están implementados y configurados. Usted acaba de ser contratado para revisar los
dispositivos y redes implementados. No es importante que comprenda todo lo que vea y haga
en esta actividad. Siéntase libre de explorar la red por usted mismo. Si desea hacerlo de
manera más sistemática, siga estos pasos. Responda las preguntas lo mejor que pueda.
1.1.1
Secuencia de arranque de un switch

Antes de poder configurar un switch, debe encenderlo y permitirle pasar por la secuencia de
arranque de cinco pasos. En este tema se tratan los conceptos básicos de la configuración de
un switch e incluye un laboratorio al final.
Después de encender un switch Cisco, pasa por la siguiente secuencia de inicio de cinco
pasos:
Paso 1: Primero, el switch carga un programa de autodiagnóstico al encender (POST)

almacenado en la memoria ROM. El POST verifica el subsistema de la CPU. Este
comprueba la CPU, la memoria DRAM y la parte del dispositivo flash que integra el
sistema de archivos flash.
Paso 2: A continuación, el switch carga el software del cargador de arranque. El cargador
de arranque es un pequeño programa almacenado en la memoria ROM que se ejecuta
inmediatamente después de que el POST se completa correctamente.
Paso 3: El cargador de arranque lleva a cabo la inicialización de la CPU de bajo nivel.
Inicializa los registros de la CPU, que controlan dónde está asignada la memoria física, la
cantidad de memoria y su velocidad.
Paso 4: El cargador de arranque inicia el sistema de archivos flash en la placa del sistema.
Paso 5: Por último, el cargador de arranque localiza y carga una imagen de software del
sistema operativo de IOS en la memoria y delega el control del switch a IOS.
1.1.2
El comando boot system

Después de encender un switch Cisco, pasa por la siguiente secuencia de inicio de cinco
pasos: Si no se establece esta variable, el switch intenta cargar y ejecutar el primer archivo
ejecutable que puede encontrar. En los switches de la serie Catalyst 2960, el archivo de
imagen generalmente se encuentra en un directorio que tiene el mismo nombre que el
archivo de imagen (excepto la extensión de archivo .bin).
El sistema operativo IOS luego inicializa las interfaces utilizando los comandos Cisco IOS
que se encuentran en el archivo de configuración de inicio. Se llama al archivo startup-
config config.text y se encuentra en flash.
En el ejemplo, la variable de entorno BOOT se establece mediante el boot system comando
del modo de configuración global. Observe que el IOS se ubica en una carpeta distinta y
que se especifica la ruta de la carpeta. Use el comando show boot para ver en qué está
configurado el archivo de arranque IOS actual.
La tabla define cada parte del comando boot system.
Leyenda de la tabla
Comando Definición
boot
system El comando principal
flash: The storage device

c2960-
lanbasek9-
mz.150- La ruta al sistema de archivos
2.SE/
c2960-
lanbasek9-
mz.150- El nombre del archivo IOS
2.SE.bin
1.1.3
Indicadores LED del switch

Los switches Cisco Catalyst tienen varios indicadores luminosos LED de estado. Puede usar
los LED del switch para controlar rápidamente la actividad y el rendimiento del switch. Los
diferentes modelos y conjuntos de características de los switches tienen diferentes LED, y la
ubicación de estos en el panel frontal del switch también puede variar.
En la ilustración, se muestran los LED y el botón Mode de un switch Cisco Catalyst 2960.
La figura muestra los indicadores LED, el botón de modo y los puertos en la parte delantera
izquierda de un interruptor. Los indicadores LED numerados 1 - 6 de arriba a abajo son:
SYST, RPS, STAT, DUPLX, SPEED y PoE. Debajo de los indicadores LED y etiquetados 7 en
la figura está el botón de modo. Por encima de los puertos de conmutación y etiquetados 8 en
la figura están los LEDs de puerto.
El botón Modo (7 en la figura) se usa para alternar entre el estado del puerto, el dúplex del
puerto, la velocidad del puerto y, si es compatible, el estado de la alimentación a través de
Ethernet (PoE) de los LED del puerto (8 en la figura).
1. LED del sistema
Muestra si el sistema está recibiendo energía y funciona correctamente. Si el LED está

apagado, significa que el sistema no está encendido. Si el LED es de color verde, el sistema
funciona normalmente. Si el LED es de color ámbar, el sistema recibe alimentación pero no
funciona correctamente.
2. LED del sistema de alimentación redundante (RPS)

Muestra el estado de RPS. Si el LED está apagado, el RPS está apagado o no está conectado
correctamente. Si el LED es de color verde, el RPS está conectado y listo para proporcionar
alimentación de respaldo. Si el LED parpadea y es de color verde, el RPS está conectado,
pero no está disponible porque está proporcionando alimentación a otro dispositivo. Si el LED
es de color ámbar, el RPS está en modo de reserva o presenta una falla. Si el LED parpadea y
es de color ámbar, la fuente de alimentación interna del switch presenta una falla, y el RPS
está proporcionando alimentación.
3. LED de estado del puerto
Indica que el modo de estado del puerto está seleccionado cuando el LED está verde. Este es
el modo predeterminado. Al seleccionarlo, los indicadores LED del puerto muestran colores
con diferentes significados. Si el LED está apagado, no hay enlace, o el puerto estaba
administrativamente inactivo. Si el LED es de color verde, hay un enlace presente. Si el LED
parpadea y es de color verde, hay actividad, y el puerto está enviando o recibiendo datos. Si el
LED alterna entre verde y ámbar, hay una falla en el enlace. Si el LED es de color ámbar, el
puerto está bloqueado para asegurar que no haya un bucle en el dominio de reenvío y no
reenvía datos (normalmente, los puertos permanecen en este estado durante los primeros
30 segundos posteriores a su activación). Si el LED parpadea y es de color ámbar, el puerto
está bloqueado para evitar un posible bucle en el dominio de reenvío.
4. LED de modo dúplex del puerto
Indica que el modo dúplex del puerto está seleccionado cuando el LED está verde. Al
seleccionarlo, los LED del puerto que están apagados están en modo semidúplex. Si el LED
del puerto es de color verde, el puerto está en modo dúplex completo.
5. LED de velocidad del puerto
Indica que el modo de velocidad del puerto está seleccionado. Al seleccionarlo, los
indicadores LED del puerto muestran colores con diferentes significados. Si el LED está
apagado, el puerto está funcionando a 10 Mbps. Si el LED es verde, el puerto está
funcionando a 100 Mbps. Si el LED parpadea en verde, el puerto está funcionando a 1000
Mbps.
6. LED de modo de alimentación por Ethernet
Si se admite PoE, estará presente un LED de modo PoE. Si el LED está apagado, indica que
no se seleccionó el modo de alimentación por Ethernet, que a ninguno de los puertos se le
negó el suministro de alimentación y ninguno presenta fallas. Si el LED está parpadeando en
ámbar, el modo PoE no está seleccionado, pero al menos uno de los puertos ha sido
denegado o tiene una falla PoE. Si el LED es de color verde, indica que se seleccionó el modo
de alimentación por Ethernet, y los LED del puerto muestran colores con diferentes
significados. Si el LED del puerto está apagado, la alimentación por Ethernet está desactivada.
Si el LED del puerto es de color verde, la alimentación por Ethernet está activada. Si el LED
del puerto alterna entre verde y ámbar, se niega la alimentación por Ethernet, ya que, si se
suministra energía al dispositivo alimentado, se excede la capacidad de alimentación del
switch. Si el LED parpadea en ámbar, PoE está apagado debido a una falla. Si el LED es de
color ámbar, se inhabilitó la alimentación por Ethernet para el puerto.
Recuperarse de un bloqueo del sistema

El cargador de arranque proporciona acceso al switch si no se puede usar el sistema operativo
debido a la falta de archivos de sistema o al daño de estos. El cargador de arranque tiene una
línea de comandos que proporciona acceso a los archivos almacenados en la memoria flash.
Se puede acceder al cargador de arranque mediante una conexión de consola con los
siguientes pasos:
Paso 1. Conecte una computadora al puerto de consola del switch con un cable de consola.
Configure el software de emulación de terminal para conectarse al switch.
Paso 2. Desconecte el cable de alimentación del switch.
Paso 3. Vuelva a conectar el cable de alimentación al interruptor y, en 15 segundos, presione
y mantenga presionado el botón Mode mientras el LED del sistema todavía parpadea en
verde.
Paso 4. Continúe presionando el botón Mode hasta que el LED del sistema se vuelva
brevemente ámbar y luego verde sólido; luego suelte el botón Mode.
Paso 5. The boot loader switch: El mensaje aparece en el software de emulación de terminal
en la PC.
Escriba help o ? en el símbolo del gestor de arranque para ver una lista de comandos
disponibles.
De manera predeterminada, el switch intenta iniciarse automáticamente mediante el uso de

información en la variable de entorno BOOT. Para ver la ruta de acceso de la variable de
entorno BOOT del switch, escriba el comando set. A continuación, inicialice el sistema de
archivos flash utilizando el comando flash_init para ver los archivos actuales en flash, como
se muestra en la salida.
Después de que flash haya terminado de inicializar, puede ingresar el dir flash: comando para
ver los directorios y archivos en flash, como se muestra en la salida.
Introduzca el BOOT=flash comando para cambiar la ruta de la variable de entorno BOOT que
utiliza el switch para cargar el nuevo IOS en flash. Para verificar la nueva ruta de la variable de
entorno BOOT, vuelva a set ejecutar el comando. Finalmente, para cargar el nuevo IOS
escriba el boot comando sin ningún argumento, como se muestra en la salida.
Los comandos del gestor de arranque admiten la inicialización de flash, el formateo de

flash, la instalación de un nuevo IOS, el cambio de la variable de entorno BOOT y la
recuperación de contraseñas pérdidas u olvidadas.
1.1.5
Acceso a administración de switches

Para el acceso a la administración remota de un switch, este se debe configurar con una
dirección IP y una máscara de subred. Tenga en cuenta que para administrar el switch desde
una red remota, el switch debe configurarse con una puerta de enlace predeterminada. Este
es un proceso muy similar a la configuración de la información de dirección IP en los
dispositivos host. En la ilustración, se debe asignar una dirección IP a la interfaz virtual del
switch (SVI) de S1. La SVI es una interfaz virtual, no un puerto físico del switch. Se utiliza un
cable de consola para acceder a una PC de modo que el switch puede configurar
específicamente.
Ejemplo de Configuración de Switch SVI

De manera predeterminada, el switch está configurado para controlar su administración a
través de la VLAN 1. Todos los puertos se asignan a la VLAN 1 de manera predeterminada.
Por motivos de seguridad, se considera una práctica recomendada utilizar una VLAN distinta
de la VLAN 1 para la VLAN de administración, como la VLAN 99 en el ejemplo.
Haga clic en cada botón para conocer los pasos para configurar el acceso a la administración
del switch.
Paso 1
Configuración de la interfaz de administración
Desde el modo de configuración de la interfaz VLAN, se aplica una dirección IPv4 y una
máscara de subred a la SVI de administración del switch.
Nota: El SVI para VLAN 99 no aparecerá como "activo / activo" hasta que se cree VLAN 99 y
haya un dispositivo conectado a un puerto de switch asociado con VLAN 99.
Nota:Es posible que el switch debata configurar para IPv6. Por ejemplo, antes de que pueda
configurar el direccionamiento IPv6 en un Cisco Catalyst 2960 que ejecute IOS versión 15.0,
deberá ingresar el comando de configuración global sdm prefer dual-ipv4-and-ipv6 default y, a
continuación, reload el switch.
Tarea Comandos IOS
Ingrese al modo de configuración S1# configure terminal

global.
Ingrese al modo de configuración S1(config)# interface vlan 99

de interfaz para la SVI.
Configure la dirección IPv4 de la S1(config-if)# ip address 172.17.99.11

interfaz de administración. 255.255.255.0
Configure la dirección IPv6 de la S1(config-if)# ipv6 address

interfaz de administración 2001:db8:acad:99::1/64
Habilite la interfaz de S1(config-if)# no shutdown

administración.
Vuelva al modo EXEC S1(config-if)# end

privilegiado.
Guarde la configuración en
ejecución en la configuración de S1# copy running-config startup-config
inicio.
Paso 2
Configuración del gateway predeterminado
Si el switch se va a administrar de forma remota desde redes que no están conectadas

directamente, se debe configurar con un gateway predeterminado.
Nota: Dado que recibirá la información de la puerta de enlace predeterminada de un mensaje

de anuncio de router (RA), el switch no requiere una puerta de enlace predeterminada IPv6.
Tarea Comandos IOS

global.
Configure el gateway S1(config)# ip default-gateway 172.17.99.1

predeterminado para el switch.
Vuelva al modo EXEC privilegiado. S1(config-if)# end

Tarea Comandos IOS
Guarde la configuración en
inicio.
Paso 3
Verificar la configuración
Los show ip interface brief comandos show ipv6 interface brief y son útiles para determinar el
estado de las interfaces físicas y virtuales. La información que se muestra confirma que la
interfaz VLAN 99 se ha configurado con una dirección IPv4 e IPv6.
Nota: Una dirección IP aplicada al SVI es solo para el acceso de administración remota al
switch; esto no permite que el switch enrute paquetes de Capa 3.
1.1.7
Práctica de laboratorio: configuración

básica de un switch
Oportunidad de Práctica de habilidades
Tendrá la oportunidad de practicar las siguientes habilidades:
 Part 1: Tender el cableado de red y verificar la configuración predeterminada del

switch
 Part 2: Configurar los parámetros básicos de los dispositivos de red
 Part 3: Verificar y probar la conectividad de red
Podrá practicar estas habilidades usando Packet Tracer o equipo de laboratorio, de estar
disponible.
Packet Tracer - Physical Mode (PTPM)
Equipo de laboratorio
1.2.1
Comunicación dúplex
Los puertos de un switch se pueden configurar de forma independiente para diferentes
necesidades. En este tema se describe cómo configurar los puertos del switch, cómo verificar
las configuraciones, errores comunes y cómo solucionar problemas de configuración del
switch.
La comunicación en dúplex completo aumenta el ancho de banda eficaz al permitir que ambos
extremos de una conexión transmitan y reciban datos simultáneamente. Esto también se
conoce como comunicación bidireccional y requiere microsegmentación. Las LAN
microsegmentadas se crean cuando un puerto de switch tiene solo un dispositivo conectado y
funciona en modo dúplex completo. Cuando un puerto de switch opera en modo dúplex
completo, no hay dominio de colisión conectado al puerto.
A diferencia de la comunicación en dúplex completo, la comunicación en semidúplex es

unidireccional. La comunicación en semidúplex genera problemas de rendimiento debido a
que los datos fluyen en una sola dirección por vez, lo que a menudo provoca colisiones. Las
conexiones semidúplex suelen verse en los dispositivos de hardware más antiguos, como los
hubs. La comunicación en dúplex completo reemplazó a la semidúplex en la mayoría del
hardware.
En la ilustración, se muestra la comunicación en dúplex completo y semidúplex.

Gigabit Ethernet y NIC de 10 Gb requieren conexiones full-duplex para funcionar. En el modo
dúplex completo, el circuito de detección de colisiones de la NIC se encuentra inhabilitado.
Dúplex completo ofrece el 100% de eficacia en ambas direcciones (transmisión y recepción).
Esto da como resultado una duplicación del uso potencial del ancho de banda establecido.
1.2.2
Configuración de puertos de switch en la

capa física
Los puertos de switch se pueden configurar manualmente con parámetros específicos de
dúplex y de velocidad. Use el comando duplex del modo de configuración de
interfaz duplex para especificar manualmente el modo dúplex de un puerto de switch. Use
el speed comando del modo de configuración de la interfaz para especificar manualmente la
velocidad. Por ejemplo, ambos switches de la topología deben funcionar siempre en dúplex
completo a 100 Mbps.
La tabla muestra los comandos para S1. Los mismos comandos se pueden aplicar a S2.
Tarea Comandos IOS

global.
Ingrese el modo de configuración S1(config)# interface FastEthernet 0/1

de interfaz.
Configure el modo dúplex de la S1(config-if)# duplex full

interfaz.
Configure la velocidad de la S1(config-if)# speed 100

interfaz.
Vuelva al modo EXEC S1(config-if)# end

privilegiado.
Guarda la configuración en
inicio.
La configuración predeterminada de dúplex y velocidad para los puertos de switch en los

switches Cisco Catalyst 2960 y 3560 es automática. Los puertos 10/100/1000 funcionan en
modo semidúplex o semidúplex cuando están configurados en 10 o 100 Mbps y operan solo
en modo dúplex completo cuando está configurado en 1000 Mbps (1 Gbps). La negociación
automática es útil cuando la configuración de velocidad y dúplex del dispositivo que se
conecta al puerto es desconocida o puede cambiar. Cuando se conecta a dispositivos
conocidos como servidores, estaciones de trabajo dedicadas o dispositivos de red, la mejor
práctica es establecer manualmente la configuración de velocidad y dúplex.
Cuando se solucionan problemas relacionados con el puerto del switch, es importante que se
verifique la configuración de dúplex y velocidad.
Nota: Si la configuración para el modo dúplex y la velocidad de puertos del switch presenta
incompatibilidades, se pueden producir problemas de conectividad. Una falla de
autonegociación provoca incompatibilidades en la configuración.
Todos los puertos de fibra óptica, como los puertos 1000BASE-SX, solo funcionan a una
velocidad predefinida y siempre son dúplex completo.
1.2.3
Auto-MDIX (MDIX automático)

Hasta hace poco, se requerían determinados tipos de cable (cruzado o directo) para conectar
dispositivos. Las conexiones switch a switch o switch a router requerían el uso de diferentes
cables Ethernet. Mediante el uso de la característica automática de conexión cruzada de
interfaz dependiente del medio (auto-MDIX) en una interfaz, se elimina este problema. Al
habilitar la característica auto-MDIX, la interfaz detecta automáticamente el tipo de conexión
de cable requerido (directo o cruzado) y configura la conexión conforme a esa información. Al
conectarse a los switches sin la función auto-MDIX, los cables directos deben utilizarse para
conectar a dispositivos como servidores, estaciones de trabajo o routers. Los cables cruzados
se deben utilizar para conectarse a otros switches o repetidores.
Con la característica auto-MDIX habilitada, se puede usar cualquier tipo de cable para
conectarse a otros dispositivos, y la interfaz se ajusta de manera automática para proporcionar
comunicaciones satisfactorias. En los switches Cisco más nuevos, el comando mdix auto del
modo de configuración de interfaz habilita la función. Al usar auto-MDIX en una interfaz, la
velocidad de la interfaz y el dúplex deben configurarse para que la función auto funcione
correctamente.
El comando para habilitar Auto-MDIX se emite en el modo de configuración de interfaz en el

switch como se muestra:
S1(config-if)# mdix auto
Nota: La función auto-MDIX está habilitada de manera predeterminada en los switches

Catalyst 2960 y Catalyst 3560, pero no está disponible en los switches Catalyst 2950 y
Catalyst 3550 anteriores.
Para examinar la configuración de auto-MDIX para una interfaz específica, use el

comando show controllers ethernet-controller con la palabra clave phy. Para limitar la
salida a líneas que hagan referencia a auto-MDIX, use el filtro include Auto-MDIX Como se
muestra el resultado indica On (Habilitada) u Off (Deshabilitada) para la característica.
1.2.4
Switch Verification Commands

En la tabla se resumen algunos de los comandos de verificación de conmutación más útiles.
Tarea Comandos IOS
Muestra el estado y la S1# show interfaces [interface-id]

configuración de la interfaz.
Muestra la configuración de S1# show startup-config

inicio actual.
Muestra la configuración actual S1# show running-config

en ejecución.
Muestra información sobre el S1# show flash

sistema de archivos flash.
Muestra el estado del hardware y S1# show version

el software del sistema.
Muestra la configuración actual S1# show history

en ejecución.
S1# show ip interface [interface-id]
Muestra información de IP de
O
una interfaz. S1# show ipv6 interface [interface-id]
S1# show mac-address-table

Muestra la tabla de direcciones
O
MAC. S1# show mac address-table
1.2.5
Verificar la configuración de puertos del

switch.
El comando show running-config se puede usar para verificar que el switch se haya
configurado correctamente. De la salida abreviada de muestra en S1, se muestra alguna
información importante en la figura:
 La interfaz Fast Ethernet 0/18 se configura con la VLAN de administración 99

 La VLAN 99 está configurada con una dirección IPv4 de 172.17.99.11 255.255.255.0
 La puerta de enlace predeterminada está establecida en 172.17.99.1
El comando show interfaces es otro comando de uso común, que muestra información de
estado y estadísticas en las interfaces de red del switch. El comando show interfaces se usa
con frecuencia al configurar y monitorear dispositivos de red.
La primera línea de salida para el comando show interfaces fastEthernet 0/18 indica que la
interfaz FastEthernet 0/18 está activa / activa, lo que significa que está operativa. Más abajo
en el resultado, se muestra que el modo dúplex es full (completo) y la velocidad es de
100 Mb/s.
1.2.6
Problemas de la capa de acceso a la red

El resultado del comando show interfaces es útil para detectar problemas comunes de medios.
Una de las partes más importantes de esta salida es la visualización de la línea y el estado del
protocolo de enlace de datos, como se muestra en el ejemplo.
S1# show interfaces fastEthernet 0/18
FastEthernet0/18 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 0025.83e6.9092 (bia 0025.83e6.9092)MTU 1500
bytes, BW 100000 Kbit/sec, DLY 100 usec,
El primer parámetro (FastEthernet0 / 18 está activo) se refiere a la capa de hardware e indica

si la interfaz está recibiendo una señal de detección de portadora. El segundo parámetro (line
protocol is up) se refiere a la capa de enlace de datos e indica si se reciben los keepalives del
protocolo de capa de enlace de datos.
Según el resultado del comando show interfaces, los posibles problemas se pueden solucionar
de la siguiente manera:
 Si la interfaz está activa y el protocolo de línea está inactivo, hay un problema. Puede
haber una incompatibilidad en el tipo de encapsulación, la interfaz en el otro extremo
puede estar inhabilitada por errores o puede haber un problema de hardware.
 Si el protocolo de línea y la interfaz están inactivos, no hay un cable conectado o
existe algún otro problema de interfaz. Por ejemplo, en una conexión directa, el otro
extremo de la conexión puede estar administrativamente inactivo.
 If the interface is administratively down, it has been manually disabled (the ****
shutdown) en la configuración activa.
El resultado del comando show interfaces muestra contadores y estadísticas para la interfaz
Fastethernet0/18, como se destaca en el ejemplo.
Algunos errores de los medios no son lo suficientemente graves como para hacer que el
circuito falle, pero causan problemas de rendimiento de la red. La tabla explica algunos de
estos errores comunes que se pueden detectar con el comando show interfaces.
Tipo de error Descripción
Cantidad total de errores. Incluye runts, gigantes, sin buffer, CRC, ,

Errores de entrada
desbordamiento y recuentos ignorados.
Paquetes que se descartan porque son más pequeños que el mínimo tamaño
Fragmentos de
del paquete para el medio. Por ejemplo, cualquier paquete Ethernet que sea
colisión
menos de 64 bytes se considera un runt.
Tipo de error Descripción
Paquetes que se descartan porque exceden el tamaño máximo de paquete

Gigantes para el medio. Por ejemplo, cualquier paquete de Ethernet que sea mayor que
1.518 bytes se considera un gigante.
Los errores de CRC se generan cuando la suma de comprobación calculada no

CRC
es la misma que la suma de comprobación recibida.
Suma de todos los errores que impidieron la transmisión final de datagramas

Errores de salida
de la interfaz que se está examinando.
Colisiones Cantidad de mensajes retransmitidos debido a una colisión de Ethernet.
Colisiones tardías Una colisión que ocurre después de 512 bits de la trama han sido Transmitido
1.2.7
Errores de entrada y salida de interfaz

“Input errors” indica la suma de todos los errores en los datagramas que se recibieron en la
interfaz que se analiza. Estos incluyen los recuentos de fragmentos de colisión, de fragmentos
gigantes, de los que no están almacenados en buffer, de CRC, de tramas, de saturación y de
ignorados. Los errores de entrada informados del comando show interfaces incluyen lo
siguiente:
 Runt Frames - las tramas Ethernet que son más cortas que la longitud mínima
permitida de 64 bytes se llaman runts. La NIC en mal funcionamiento son la causa
habitual de las tramas excesivas de fragmentos de colisión, pero también pueden
deberse a colisiones.
 Giants -Las tramas de Ethernet que son más grandes que el tamaño máximo permitido
se llaman gigantes.
 CRC errors -En las interfaces Ethernet y serie, los errores de CRC generalmente
indican un error de medios o cable. Las causas más comunes incluyen interferencia
eléctrica, conexiones flojas o dañadas o cableado incorrecto. Si aparecen muchos
errores de CRC, hay demasiado ruido en el enlace, y se debe examinar el cable.
También se deben buscar y eliminar las fuentes de ruido.
“Output errors” es la suma de todos los errores que impiden la transmisión final de los
datagramas por la interfaz que se analiza. Los errores de salida informados del comando show
interfaces incluyen lo siguiente:
 Colisión - Las colisiones en operaciones half-duplex son normales. Sin embargo,
nunca debe observar colisiones en una interfaz configurada para la comunicación en
dúplex completo.
 Colisiones tardías -Una colisión tardía se refiere a una colisión que ocurre después de
que se han transmitido 512 bits de la trama. La longitud excesiva de los cables es la
causa más frecuente de las colisiones tardías. Otra causa frecuente es la
configuración incorrecta de dúplex. Por ejemplo, el extremo de una conexión puede
estar configurado para dúplex completo y el otro para semidúplex. Las colisiones
tardías se verían en la interfaz que está configurada para semidúplex. En ese caso,
debe configurar los mismos parámetros de dúplex en ambos extremos. Una red
diseñada y configurada correctamente nunca debería tener colisiones tardías.
1.2.8
Resolución de problemas de la capa de

acceso a la red
La mayoría de los problemas que afectan a las redes conmutadas se produce durante la
implementación inicial. En teoría, una vez instaladas, las redes continúan funcionando sin
problemas. Sin embargo, los cables se dañan, la configuración cambia, y se conectan al switch
nuevos dispositivos que requieren cambios de configuración en este. Se requiere el
mantenimiento y la resolución de problemas de infraestructura de la red de forma permanente.
Una colisión tardía se refiere a una colisión que ocurre después de que se han transmitido 512
bits de la trama.
Utilice el comando show interfaces para verificar el estado de la interfaz.
Si la interfaz está inactiva, realice lo siguiente:
 Verifique que se usen los cables adecuados. Además, revise los cables y los
conectores para detectar daños. Si se sospecha que hay un cable defectuoso o
incorrecto, reemplácelo.
 Si la interfaz continúa inactiva, el problema puede deberse a una incompatibilidad en la
configuración de velocidad. La velocidad de una interfaz generalmente se negocia
automáticamente; por lo tanto, incluso si se aplica manualmente a una interfaz, la
interfaz de conexión debe negociarse automáticamente en consecuencia. Si se
produce una incompatibilidad de velocidad debido a una configuración incorrecta o a
un problema de hardware o de software, esto podría provocar que la interfaz quede
inactiva. Establezca manualmente la misma velocidad en ambos extremos de la
conexión si se sospecha que hay un problema.
Si la interfaz está activa pero aún hay problemas de conectividad, realice lo siguiente:
 Using the comando show interfaces , verifique si hay indicios de ruido excesivo. Los
indicios pueden incluir un aumento en los contadores de fragmentos de colisión, de
fragmentos gigantes y de errores de CRC. Si hay un exceso de ruido, primero busque
el origen del ruido y, si es posible, elimínelo. Además, verifique qué tipo de cable se
utiliza y que el cable no supere la longitud máxima.
 Si no hay problemas de ruido, verifique si hay un exceso de colisiones. Si hay
colisiones o colisiones tardías, verifique la configuración de dúplex en ambos extremos
de la conexión. Al igual que la configuración de velocidad, la configuración dúplex
generalmente se negocia automáticamente. Si parece haber una diferencia entre
dúplex, configure manualmente el dúplex como full (completo) en ambos extremos de
la conexión.
1.2.9
Comprobador de sintaxis: configurar

puertos de switch
Configure una interfaz de switch basada en los requisitos especificados
Acceso remoto seguro

1.3.1
Operación Telnet
Es posible que no siempre tenga acceso directo al switch cuando necesite configurarlo.
Necesita poder acceder a él de forma remota y es imperativo que su acceso sea seguro. En
este tema se explica cómo configurar Secure Shell (SSH) para el acceso remoto. Una
actividad Packet Tracer le da la oportunidad de probar esto usted mismo.
Telnet utiliza el puerto TCP 23. Es un protocolo más antiguo que utiliza la transmisión de texto
sin formato segura tanto de la autenticación de inicio de sesión (nombre de usuario y
contraseña) como de los datos transmitidos entre los dispositivos de comunicación. Un actor
de amenazas puede monitorear paquetes usando Wireshark. Por ejemplo, en la figura, el actor
de amenazas capturó el nombre de usuario admin y la contraseña ccna de una sesión Telnet.
captura de pantalla de una captura WireShark de una sesión Telnet que muestra el nombre de
usuario y la contraseña enviados en texto sin formato
1.3.2
Funcionamiento de SSH
Secure Shell (SSH) es un protocolo seguro que utiliza el puerto TCP 22. Proporciona una
conexión de administración segura (encriptada) a un dispositivo remoto. El SSH debe
reemplazar a Telnet para las conexiones de administración. SSH proporciona seguridad para
las conexiones remotas mediante el cifrado seguro cuando se autentica un dispositivo
(nombre de usuario y contraseña) y también para los datos transmitidos entre los dispositivos
que se comunican.
Por ejemplo, la figura muestra una captura Wireshark de una sesión SSH. Proporciona una
conexión de administración segura (encriptada) a un dispositivo remoto. Sin embargo, a
diferencia de Telnet, con SSH el nombre de usuario y la contraseña están cifrados.
1.3.3
Verifique que el switch admita SSH

Para habilitar SSH en un switch Catalyst 2960, el switch debe usar una versión del software
IOS que incluya características y capacidades criptográficas (cifradas). Utilice el
comando show version del switch para ver qué IOS está ejecutando el switch. Un nombre de
archivo de IOS que incluye la combinación «k9» admite características y capacidades
criptográficas (cifradas). El ejemplo muestra la salida del comando show version.
1.3.4
Configuración de SSH
Antes de configurar SSH, el switch debe tener configurado, como mínimo, un nombre de host
único y los parámetros correctos de conectividad de red.
Haga clic en cada botón para aprender los pasos para configurar SSH.
Paso 1
Verifique support SSH.

Use el comando show ip ssh para verificar que el switch sea compatible con SSH. Si el switch
no ejecuta un IOS que admita características criptográficas, este comando no se reconoce.
S1# show ip ssh
Paso 2
Configure el IP domain.
Configure el nombre de dominio IP de la red utilizando el comando ip domain-name domain-

name modo de configuración global. En la figura, el valor domain-name es cisco.com.
S1(config)# ip domain-name cisco.com
Paso 3
Genere un par de claves RSA.
No todas las versiones del IOS utilizan la versión 2 de SSH de manera predeterminada, y la
versión 1 de SSH tiene fallas de seguridad conocidas. Para configurar SSH versión 2, emita el
comando del modo de configuración global ip ssh version 2. La creación de un par de claves
RSA habilita SSH automáticamente. Use el comando del modo de configuración global crypto
key generate rsa, para habilitar el servidor SSH en el switch y generar un par de claves RSA.
Al crear claves RSA, se solicita al administrador que introduzca una longitud de módulo. La
configuración de ejemplo en la figura 1 utiliza un tamaño de módulo de 1024 bits. Una longitud
de módulo mayor es más segura, pero se tarda más en generarlo y utilizarlo.
Nota:Para eliminar el par de claves RSA, use el comando del modo de configuración
global crypto key zeroize rsa. Después de eliminarse el par de claves RSA, el servidor SSH se
deshabilita automáticamente.
Paso 4
Configure autenticación de usuarios.
El servidor SSH puede autenticar a los usuarios localmente o con un servidor de

autenticación. Para usar el método de autenticación local, cree un par de nombre de usuario y
contraseña con el comando username username secret password modo de configuración
global. En el ejemplo, se asignó la contraseña ccna al usuario admin.
S1(config)# username admin secret ccna
Paso 5
Configure las lineas vty.
Habilite el protocolo SSH en las líneas vty utilizando el comando del modo de configuración de
línea transport input ssh. El switch Catalyst 2960 tiene líneas vty que van de 0 a 15. Esta
configuración evita las conexiones que no son SSH (como Telnet) y limita al switch a que
acepte solo las conexiones SSH. Use el comando line vty del modo de configuración global y
luego el comando login local del modo de configuración de línea para requerir autenticación
local para las conexiones SSH de la base de datos de nombre de usuario local.
S1(config)# line vty 0 15
S1(config-line)# transport input ssh
S1(config-line)# login local
S1(config-line)# salida
Paso 5
Configure las lineas vty.
Habilite el protocolo SSH en las líneas vty utilizando el comando del modo de configuración de
línea transport input ssh. El switch Catalyst 2960 tiene líneas vty que van de 0 a 15. Esta
configuración evita las conexiones que no son SSH (como Telnet) y limita al switch a que
acepte solo las conexiones SSH. Use el comando line vty del modo de configuración global y
luego el comando login local del modo de configuración de línea para requerir autenticación
local para las conexiones SSH de la base de datos de nombre de usuario local.
Paso 6
EHabilite SSH versión 2.
De manera predeterminada, SSH admite las versiones 1 y 2. Al admitir ambas versiones, esto
se muestra en la salida show ip ssh como compatible con la versión 2. Habilite la versión SSH
utilizando el comando de configuración global ip ssh version 2.
S1(config)# ip ssh version 2
1.3.5
Verifique que SSH esté operativo

En las computadoras se usa un cliente SSH, como PuTTY, para conectarse a un servidor
SSH. Por ejemplo, suponga que se configura lo siguiente:
 SSH está habilitado en el interruptor S1

 Interfaz VLAN 99 (SVI) con la dirección IPv4 172.17.99.11 en el switch S1.
 PC1 con la dirección IPv4 172.17.99.21.
La figura muestra la configuración de PuTTy para PC1 para iniciar una conexión SSH a la
dirección SVI VLAN IPv4 de S1.
Cuando está conectado, se solicita al usuario un nombre de usuario y una contraseña como
se muestra en el ejemplo. Usando la configuración del ejemplo anterior, se ingresan el nombre
de usuario: admin y la contraseña: ccna Después de ingresar la combinación correcta, el
usuario se conecta a través de SSH a la interfaz de línea de comando (CLI) en el switch
Catalyst 2960.
Para mostrar los datos de la versión y de configuración de SSH en el dispositivo que configuró
como servidor SSH, use el comando show ip ssh. En el ejemplo, se habilitó la versión 2 de
SSH.
1.3.6
Packet Tracer - Configurar SSH

SSH debe reemplazar a Telnet para las conexiones de administración. Telnet usa
comunicaciones inseguras de texto no cifrado. SSH proporciona seguridad para las
conexiones remotas mediante el cifrado seguro de todos los datos transmitidos entre los
dispositivos. En esta actividad, protegerá un switch remoto con el cifrado de contraseñas y
SSH.

1.4.1
Configuración de parámetros básicos del

router
Hasta ahora, este módulo solo ha cubierto switches. Si desea que los dispositivos puedan
enviar y recibir datos fuera de su red, deberá configurar routeres. En este tema se enseña la
configuración básica del router y se proporcionan dos Comprobadores de sintaxis y una
actividad de Rastreador de paquetes para que pueda practicar estas habilidades.
Los routers y switches Cisco tienen muchas similitudes. Admiten sistemas operativos modales
y estructuras de comandos similares, así como muchos de los mismos comandos. Además,
los pasos de configuración inicial son similares para ambos dispositivos. Por ejemplo, las
siguientes tareas de configuración siempre deben realizarse. Asigne un nombre al dispositivo
para distinguirlo de otros routeres y configure contraseñas, como se muestra en el ejemplo.
Configure un banner para proporcionar notificaciones legales de acceso no autorizado, como

se muestra en el ejemplo.
R1(config)# banner motd #Authorized Access Only!#
Guarde los cambios en un router, como se muestra en el ejemplo.
1.4.3
Topología de doble pila

Una característica que distingue a los switches de los routers es el tipo de interfaces que
admite cada uno. Por ejemplo, los switches de capa 2 admiten LAN; por lo tanto, tienen
múltiples puertos FastEthernet o Gigabit Ethernet. La topología de pila dual de la figura se
utiliza para demostrar la configuración de las interfaces IPv4 e IPv6 del router.
1.4.4
Configurar interfaces de routers

Los routers admiten redes LAN y WAN, y pueden interconectar distintos tipos de redes; por lo
tanto, admiten muchos tipos de interfaces. Por ejemplo, los ISR G2 tienen una o dos interfaces
Gigabit Ethernet integradas y ranuras para tarjetas de interfaz WAN de alta velocidad (HWIC)
para admitir otros tipos de interfaces de red, incluidas las interfaces seriales, DSL y de cable.
Para que una interfaz esté disponible, debe cumplir los siguientes requisitos:
 Configurado con al menos una dirección IP: - Utilice los comandos de configuración
de ip address ip-address subnet-mask y ipv6 address ipv6-address/prefix interface.
 Activado: - Las interfaces LAN y WAN no están activadas de manera predeterminada
(shutdown). Para habilitar una interfaz, esta se debe activar mediante el comando no
shutdown. (Es como encender la interfaz.) La interfaz también debe estar conectada a
otro dispositivo (un hub, un switch u otro router) para que la capa física se active.
 Descripción - Opcionalmente, la interfaz también se puede configurar con una breve
descripción de hasta 240 caracteres. Es aconsejable configurar una descripción en
cada interfaz. En las redes de producción, los beneficios de las descripciones de la
interfaz se obtienen rápidamente, ya que son útiles para solucionar problemas e
identificar una conexión de terceros y la información de contacto.
El siguiente ejemplo muestra la configuración de las interfaces en R1.

1.4.6
Interfaces de bucle invertido IPv4

Otra configuración común de los routers Cisco IOS es la habilitación de una interfaz loopback.
La interfaz de bucle invertido es una interfaz lógica interna del router. No está asignado a un
puerto físico y nunca se puede conectar a ningún otro dispositivo. Se la considera una interfaz
de software que se coloca automáticamente en estado "up" (activo), siempre que el router esté
en funcionamiento.
La interfaz loopback es útil para probar y administrar un dispositivo Cisco IOS, ya que asegura
que por lo menos una interfaz esté siempre disponible. Por ejemplo, se puede usar con fines
de prueba, como la prueba de procesos de routing interno, mediante la emulación de redes
detrás del router.
Las interfaces de bucle invertido también se utilizan comúnmente en entornos de laboratorio

para crear interfaces adicionales. Por ejemplo, puede crear varias interfaces de bucle invertido
en un router para simular más redes con fines de práctica de configuración y pruebas. En este
plan de estudios, a menudo usamos una interfaz de bucle invertido para simular un enlace a
Internet.
El proceso de habilitación y asignación de una dirección de loopback es simple:
Router(config)# interface loopback number

Router(config-if)# ip address ip-address subnet-mask
Se pueden habilitar varias interfaces loopback en un router. La dirección IPv4 para cada
interfaz de bucle invertido debe ser única y no debe ser utilizada por ninguna otra interfaz,
como se muestra en la configuración de ejemplo de la interfaz de bucle invertido 0 en R1.
1.4.7
Packet Tracer- Configurar Interfaces de

Router
En esta actividad Packet Tracer, configurará routeres con direccionamiento IPv4 e IPv6.
Verificar redes conectadas

directamente
1.5.1
Comandos de verificación de interfaz

No tiene sentido configurar el router a menos que verifique la configuración y la conectividad.
En este tema se describen los comandos que se van a utilizar para comprobar las redes
conectadas directamente. Incluye dos verificadores de sintaxis y un trazador de paquetes.
Hay varios comandos show que se pueden usar para verificar el funcionamiento y la
configuración de una interfaz. La topología de la figura se utiliza para demostrar la verificación
de la configuración de la interfaz del router.
Los siguientes comandos son especialmente útiles para identificar rápidamente el estado de
una interfaz:
 show ip interface brief y show ipv6 interface brief -Estos muestran un resumen de
todas las interfaces, incluida la dirección IPv4 o IPv6 de la interfaz y el estado
operativo actual.
 show running-config interface interface-id -Esto muestra los comandos aplicados a la
interfaz especificada.
 show ip route y show ipv6 route - Este muestra el contenido de la tabla IPv4 o IPv6
almacenada en la memoria RAM. En Cisco IOS 15, las interfaces activas deben
aparecer en la tabla de ruteo con dos entradas relacionadas identificadas con el
código 'C' (Conectado) o 'L' (Local). En versiones anteriores de IOS, solo aparece una
entrada con el código 'C'.
1.5.2
Verificación del estado de una interfaz

La salida de los comandos show ip interface brief y show ipv6 interface brief y se puede usar
para revelar rápidamente el estado de todas las interfaces en el router. Puede verificar que las
interfaces están activas y operativas como se indica en el estado de «up» y el protocolo de
«up», como se muestra en el ejemplo. Un resultado distinto indicaría un problema con la
configuración o el cableado.
1.5.3
Verificar direcciones locales y

multidifusión de vínculos IPv6
El resultado del comando show ipv6 interface brief show ipv6 interface brief show ipv6
interface brief muestra dos direcciones IPv6 configuradas por interfaz. Una de las
direcciones es la dirección de unidifusión global de IPv6 que se introdujo manualmente. La
otra, que comienza con FE80, es la dirección de unidifusión link-local para la interfaz. La
dirección link-local se agrega automáticamente a una interfaz cuando se asigna una dirección
de unidifusión global. Las interfaces de red IPv6 deben tener una dirección link-local, pero no
necesariamente una dirección de unidifusión global.
El comando show ipv6 interface gigabitethernet 0/0/0 muestra el estado de la interfaz y

todas las direcciones IPv6 que pertenecen a la interfaz. Junto con la dirección local del enlace
y la dirección de unidifusión global, la salida incluye las direcciones de multidifusión asignadas
a la interfaz, comenzando con el prefijo FF02, como se muestra en el ejemplo.
1.5.4
Verificar la configuración de la interfaz

Junto con la dirección local del enlace y la dirección de unidifusión global, show running-
config interface la salida incluye las direcciones de multidifusión asignadas a la interfaz,
comenzando con el prefijo FF02, como se muestra en el ejemplo.
Los dos comandos siguientes se usan para recopilar información más detallada sobre la
interfaz:
 show interfaces - Muestra la información de la interfaz y el recuento de flujo de
paquetes para todas las interfaces en el dispositivo.
 show ip interface and show ipv6 interface -Muestra la información relacionada con
IPv4 e IPv6 para todas las interfaces en un router.
1.5.5
Verificar rutas
La salida de los show ip route comandos show ipv6 route y muestra las tres entradas
de red conectadas directamente y las tres entradas de interfaz de ruta de host local,
como se muestra en el ejemplo. La ruta de host local tiene una distancia administrativa
de 0. También tiene una máscara /32 para IPv4 y una máscara /128 para IPv6. La ruta
del host local es para rutas en el router que posee la dirección IP. Estas se usan para
permitir que el router procese los paquetes destinados a esa dirección IP.
Una ‘C’ junto a una ruta dentro de la tabla de enrutamiento indica que se trata de una red
conectada directamente. Cuando la interfaz del router está configurada con una dirección de
unidifusión global y está en el estado "arriba / arriba", el prefijo IPv6 y la longitud del prefijo se
agregan a la tabla de enrutamiento IPv6 como una ruta conectada.
La dirección de unidifusión global IPv6 aplicada a la interfaz también se instala en la tabla de

enrutamiento como una ruta local. La ruta local tiene un prefijo /128. La tabla de routing utiliza
las rutas locales para procesar eficazmente los paquetes cuyo destino es la dirección de la
interfaz del router.
El ping comando para IPv6 es idéntico al comando usado con IPv4, excepto que se usa una
dirección IPv6. Como se muestra en el ejemplo, el ping comando se usa para verificar la
conectividad de Capa 3 entre R1 y PC1.
1.5.6
Filtrado de los resultados del comando

show
Los comandos que generan varias pantallas de resultados se pausan al cabo de 24 líneas de
manera predeterminada. Al final del resultado detenido, se muestra el texto --More--. Al
presionar Enter se muestra la siguiente línea y al presionar la barra espaciadora se muestra el
siguiente conjunto de líneas. Use el terminal length comando para especificar el número de
líneas que se mostrarán. Un valor 0 (cero) evita que el router haga una pausa entre las
pantallas de resultados.
Otra característica muy útil que mejora la experiencia del usuario en la CLI es el show filtrado
de salida. Los comandos de filtrado se pueden utilizar para mostrar secciones específicas de
los resultados. Para habilitar el comando de filtrado, ingrese una barra vertical partida (|)
después del show comando y luego ingrese un parámetro de filtrado y una expresión de
filtrado.
Hay cuatro parámetros de filtrado que se pueden configurar después de la tubería.
section
Muestra la sección completa que comienza con la expresión de filtrado, como se muestra en el
ejemplo.
include
Incluye todas las líneas de salida que coinciden con la expresión de filtrado, como se muestra
en el ejemplo.
exclude
Excluye todas las líneas de salida que coinciden con la expresión de filtrado, como se muestra
en el ejemplo.
begin
Muestra todas las líneas de salida desde un punto determinado, comenzando con la línea que
coincide con la expresión de filtrado, como se muestra en el ejemplo.
Nota: Los filtros de salida se pueden usar en combinación con cualquier show comando.
1.5.8
Historial de comandos
La función de historial de comandos es útil porque almacena temporalmente la lista de
comandos ejecutados para recuperar.
Para recuperar comandos en el búfer de historial, presione Ctrl+P o la Up Arrow tecla. El

resultado de los comandos comienza con el comando más reciente. Repita la secuencia de
teclas para recuperar sucesivamente los comandos más antiguos. Para volver a los comandos
más recientes en el búfer de historial, presione Ctrl+N o la Down Arrow tecla. Repita la
secuencia de teclas para recuperar sucesivamente los comandos más recientes.
De manera predeterminada, el historial de comandos está habilitado, y el sistema captura las
últimas 10 líneas de comandos en el búfer de historial. Utilice el show history comando EXEC
privilegiado para mostrar el contenido del búfer.
También es práctico aumentar la cantidad de líneas de comandos que registra el búfer de

historial solamente durante la sesión de terminal actual. Use el terminal history
size comando EXEC del usuario para aumentar o disminuir el tamaño del búfer.
Un ejemplo de los comandos terminal history size y show history se muestra en la figura.
1.5.10
Packet Tracer: verificar redes conectadas

directamente
En esta actividad Packet Tracer, los routers R1 y R2 tienen dos LAN. Su tarea es verificar el
direccionamiento en cada dispositivo y verificar la conectividad entre las LAN.
1.5.11
Compruebe su comprensión - Verificar las

redes conectadas directamente
Principio del formulario
1.6.1
Packet Tracer - Implementar una red

pequeña
1. En esta actividad de Packet Tracer, los routers R1 y R2 tienen dos LAN cada uno. Su
tarea es verificar el direccionamiento en cada dispositivo y verificar la conectividad entre
las LAN.
2. 1.6.2
Laboratorio: configuración del router

básico
3. Esta es una práctica de laboratorio integral para revisar comandos de router de IOS que
se abarcaron anteriormente. Cableará el equipo y completará las configuraciones
básicas y la configuración de la interfaz IPv4 en el router. Luego usará SSH para
conectarse al router de forma remota y utilizará los comandos IOS para recuperar
información del dispositivo para responder preguntas sobre el router.
1.6.3

Configuración de parámetros iniciales de un switch
Después de encender un switch Cisco, pasa por una secuencia de arranque de cinco pasos. La
variable de entorno BOOT se establece utilizando el boot system comando del modo de
configuración global. El IOS se encuentra en una carpeta distinta y se especifica la ruta de la
carpeta. Utilice los LED del interruptor para supervisar la actividad y el rendimiento del
interruptor: SYST, RPS, STAT, DUPLX, SPEED y PoE. El cargador de arranque proporciona acceso al
switch si no se puede usar el sistema operativo debido a la falta de archivos de sistema o al daño
de estos. El cargador de arranque tiene una línea de comando que proporciona acceso a los
archivos almacenados en la memoria flash. Para el acceso a la administración remota de un switch,
este se debe configurar con una dirección IP y una máscara de subred. Para administrar el switch
desde una red remota, el switch debe configurarse con una puerta de enlace predeterminada.
Para configurar el switch SVI, primero debe configurar la interfaz de administración, luego
configurar la puerta de enlace predeterminada y, finalmente, verificar la configuración.
Configuración de puertos de un switch
La comunicación en dúplex completo aumenta el ancho de banda eficaz al permitir que ambos
extremos de una conexión transmitan y reciban datos simultáneamente. La comunicación
semidúplex es unidireccional. Los puertos de switch se pueden configurar manualmente con
parámetros específicos de dúplex y de velocidad. Utilice la negociación automática cuando la
configuración de velocidad y dúplex del dispositivo que se conecta al puerto sea desconocida o
pueda cambiar. Al habilitar la característica auto-MDIX, la interfaz detecta automáticamente el
tipo de conexión de cable requerido (directo o cruzado) y configura la conexión conforme a esa
información. Hay varios show comandos que se pueden utilizar al verificar las configuraciones del
switch. Utilice el show running-config comando y el show interfaces comando para verificar la
configuración de un puerto de switch. El resultado del show interfaces comando también es útil
para detectar problemas comunes de capa de acceso a la red, ya que muestra el estado del
protocolo de línea y vínculo de datos. Los errores de entrada reportados desde el show
interfaces comando incluyen: tramas runt, gigantes, errores CRC, junto con colisiones y colisiones
tardías. Utilícelo show interfaces para determinar si la red no tiene conexión o una conexión
incorrecta entre un switch y otro dispositivo.
Acceso remoto seguro
Telnet (que usa el puerto TCP 23) es un protocolo más antiguo que utiliza la transmisión de texto
sin formato segura tanto de la autenticación de inicio de sesión (nombre de usuario y contraseña)
como de los datos transmitidos entre los dispositivos de comunicación. SSH (utilizando el puerto
TCP 22) es un protocolo seguro que proporciona una conexión de administración cifrada a un
dispositivo remoto. SSH proporciona seguridad para las conexiones remotas mediante el cifrado
seguro cuando se autentica un dispositivo (nombre de usuario y contraseña) y también para los
datos transmitidos entre los dispositivos que se comunican. Utilice el show version comando del
switch para ver qué IOS está ejecutando el switch. Un nombre de archivo de IOS que incluye la
combinación «k9» admite características y capacidades criptográficas. Para configurar SSH, debe
verificar que el switch lo admita, configurar el dominio IP, generar pares de claves RSA, configurar
la autenticación de uso, configurar las líneas VTY y habilitar SSH versión 2. Para verificar que SSH
esté operativo, use el show ip ssh comando para mostrar la versión y los datos de configuración de
SSH en el dispositivo.
Siempre se deben realizar las siguientes tareas de configuración inicial: nombrar el dispositivo para
distinguirlo de otros routeres y configurar contraseñas, configurar un banner para proporcionar
notificación legal de acceso no autorizado y guardar los cambios en un router. Una característica
que distingue a los switches de los routers es el tipo de interfaces que admite cada uno. Por
ejemplo, los switches de capa 2 admiten redes LAN y, por lo tanto, tienen varios puertos
FastEthernet o Gigabit Ethernet. La topología de pila dual se utiliza para demostrar la
configuración de las interfaces IPv4 e IPv6 del router. Los routers admiten redes LAN y WAN, y
pueden interconectar distintos tipos de redes; por lo tanto, admiten muchos tipos de interfaces.
Por ejemplo, los ISR G2 tienen una o dos interfaces Gigabit Ethernet integradas y ranuras para
tarjetas de interfaz WAN de alta velocidad (HWIC) para admitir otros tipos de interfaces de red,
incluidas las interfaces seriales, DSL y de cable. La interfaz de bucle invertido IPv4 es una interfaz
lógica interna del router. No está asignado a un puerto físico y nunca se puede conectar a ningún
otro dispositivo.
Verificar redes conectadas directamente

Utilice los siguientes comandos para identificar rápidamente el estado de una interfaz: show ip
interface brief y show ipv6 interface brief para ver un resumen de todas las interfaces (direcciones
IPv4 e IPv6 y estado operativo), show running-config interface interface-id para ver los comandos
aplicados a una interfaz especificada show ip route y show ipv6 route para ver el de la tabla de
enrutamiento IPv4 o IPv6 almacenada en la RAM. La salida de los show ip interface
brief comandos show ipv6 interface brief y se puede usar para revelar rápidamente el estado de
todas las interfaces en el enrutador. El show ipv6 interface gigabitethernet 0/0/0 comando
muestra el estado de la interfaz y todas las direcciones IPv6 que pertenecen a la interfaz. Junto
con la dirección local del enlace y la dirección de unidifusión global, la salida incluye las direcciones
de multidifusión asignadas a la interfaz. La salida del show running-config interface comando
muestra los comandos actuales aplicados a una interfaz específica. El show interfaces comando
muestra la información de la interfaz y el recuento de flujo de paquetes para todas las interfaces
en el dispositivo. Verifique la configuración de la interfaz mediante show ip interface los
comandos show ipv6 interface y, que muestran la información relacionada con IPv4 e IPv6 para
todas las interfaces de un router. Compruebe las rutas mediante los show ip route comandos show
ipv6 route y. Filtrar la salida del comando show usando el carácter pipe (|). Usar expresiones de
filtro: sección, inclusión, exclusión y comienzo. De forma predeterminada, el historial de comandos
está habilitado y el sistema captura las últimas 10 líneas de comando en su búfer de historial.
Utilice el show history comando EXEC privilegiado para mostrar el contenido del búfer.
1.6.4
Prueba del módulo: configuración básica

del dispositivo
2.0.1

¡Bienvenido a conceptos de Switching!
Puede conectar y configurar switches, ¡eso es genial!. Pero incluso una red con la tecnología
más reciente desarrolla sus propios problemas eventualmente. Si tiene que solucionar
problemas de la red, necesita saber cómo funcionan los switches. Este módulo le proporciona
los fundamentos de los switches y su funcionamiento. Por suerte, el funcionamiento del switch
es fácil de entender.
2.0.2

Título del módulo: Conceptos de switching
Objetivos del módulo: Explique cómo los switches de capa 2 reenvían datos.
Leyenda de la tabla
Explique la forma en la que las tramas se reenvían en una red

Reenvío de tramas
conmutada.
Dominios de switching Compare un dominio de colisión con un dominio de difusión.
Reenvío de tramas
2.1.1
Switching en la red
El concepto de switching y reenvío de tramas es universal en la tecnología de redes y en las
telecomunicaciones. En las redes LAN, WAN y en la red pública de telefonía conmutada
(PSTN), se usan diversos tipos de switches.
La decisión sobre cómo un switch reenvía el tráfico se toma en relación con el flujo de ese
tráfico. Hay dos términos asociados a las tramas que entran y salen de una interfaz:
 Entrada - Este término se usa para describir el puerto por donde una trama ingresa al
dispositivo.
 Salida - Este término se usa para describir el puerto que las tramas utilizarán al salir
del dispositivo.
Un switch LAN mantiene una tabla a la que hace referencia al reenviar tráfico a través del
switch. La única inteligencia de un switch LAN es su capacidad de usar su tabla para reenviar
tráfico. Un switch LAN reenvía tráfico basado en el puerto de entrada y la dirección MAC de
destino de una trama Ethernet. Con un switch LAN, hay solamente una tabla de switching
principal que describe una asociación estricta entre las direcciones MAC y los puertos; por lo
tanto, una trama Ethernet con una dirección de destino determinada siempre sale por el
mismo puerto de salida, independientemente del puerto de entrada por el que ingresa.
Nota: Una trama Ethernet nunca se reenviará fuera del mismo puerto en el que se recibió.
Haga clic en el botón Reproducir para ver una animación del proceso de switching.
Final del formulario
2.1.2
Tabla de direcciones MAC del switch

Un switch se compone de circuitos integrados y del software complementario que controla las
rutas de datos a través del switch. Los switches usan direcciones MAC de destino para dirigir
las comunicaciones de red a través del switch, fuera del puerto apropiado, hacia el destino.
Para definir qué puerto usar para transmitir una trama, el switch primero debe saber qué
dispositivos existen en cada puerto. A medida que el switch aprende la relación de los puertos
con los dispositivos, construye una tabla llamada tabla de direcciones MAC. Esta tabla se
almacena en la Memoria de Contenido Direccionable (Content-Addressable Memory, CAM), la
cual es un tipo especial de memoria utilizada en aplicaciones de búsqueda de alta velocidad.
Por esta razón, la tabla de direcciones MAC a veces también se denomina tabla CAM.
Los switches LAN determinan cómo manejar las tramas de datos entrantes manteniendo la
tabla de direcciones MAC. Un switch llena su tabla de direcciones MAC al registrar la dirección
MAC de origen de cada dispositivo conectado a cada uno de sus puertos. El switch hace
referencia a la información en la tabla de direcciones MAC para enviar tramas destinadas a un
dispositivo específico fuera del puerto que se ha asignado a ese dispositivo.
2.1.3
El método Aprender y Reenviar del Switch

El siguiente proceso de dos pasos se realiza para cada trama de Ethernet que ingresa a un
switch.
Paso 1. Aprender - Examinando la dirección Origen MAC
Se revisa cada trama que ingresa a un switch para obtener información nueva. Esto se realiza
examinando la dirección MAC de origen de la trama y el número de puerto por el que ingresó
al switch.
 Si la dirección MAC de origen no existe en la tabla de direcciones MAC, la dirección

MAC y el número de puerto entrante son agregados a la tabla.
 Si la dirección MAC de origen existe, el switch actualiza el temporizador para esa
entrada. De manera predeterminada, la mayoría de los switches Ethernet guardan una
entrada en la tabla durante cinco minutos. Si la dirección MAC de origen existe en la
tabla, pero en un puerto diferente, el switch la trata como una entrada nueva. La
entrada se reemplaza con la misma dirección MAC, pero con el número de puerto más
actual.
Paso 2. Reenviar - Examinadno la dirección destino MAC

Si la dirección MAC de destino es una dirección de unidifusión, el switch busca una
coincidencia entre la dirección MAC de destino de la trama y una entrada de la tabla de
direcciones MAC:
 Si la dirección MAC de destino está en la tabla, reenviará la trama por el puerto

especificado.
 Si la dirección MAC de destino no está en la tabla, el switch reenviará la trama por
todos los puertos, excepto por el de entrada. Esto se conoce como unidifusión
desconocida. Si la dirección MAC de destino es de difusión o de multidifusión, la trama
también se envía por todos los puertos, excepto por el de entrada.
 2.1.4
Video: Tablas de direcciones MAC en

switches conectados
En la ilustración, haga clic en Reproducir para ver una demostración de cómo dos switches
conectados arman tablas de direcciones MAC.
2.1.5
Métodos de reenvío del switch

Los switches toman decisiones de reenvío de capa 2 muy rápidamente. Esto se debe al
software en los circuitos integrados para aplicaciones específicas (ASIC, por sus siglas en
ingles). Los ASIC reducen el tiempo de manejo de paquetes dentro del dispositivo y permiten
que el dispositivo pueda manejar una mayor cantidad de puertos sin disminuir el rendimiento.
Los switches de capa 2 utilizan uno de estos dos métodos para cambiar tramas:
 Almacenamiento y reenvío de switching - Este método toma una decisión de reenvío

en una trama después de haber recibido la trama completa y revisada para la
detección de errores mediante un mecanismo matemático de verificación de errores
conocido como Verificación por Redundancia Cíclica (Cyclic Redundancy Check,
CRC). El intercambio por almacenamiento y envío es el método principal de switching
LAN de Cisco.
 Método de corte - Este método inicia el proceso de reenvío una vez que se determinó
la dirección MAC de destino de una trama entrante y se estableció el puerto de salida.
2.1.6
Intercambio de almacenamiento y reenvío

El intercambio de almacenamiento y reenvío, a diferencia del intercambio de corte, tiene laS
siguientes características principales:
 Verificación de errores - Después de recibir la trama completa en el puerto de entrada,
el switch compara el valor de Secuencia de Verificación de Trama (Frame Check
Sequence, FCS) en el último campo del datagrama con sus propios cálculos de FCS.
FCS es un proceso de verificación de errores que contribuye a asegurar que la trama
no contenga errores físicos ni de enlace de datos. Si la trama no posee errores, el
switch la reenvía. De lo contrario, se descartan las tramas.
 Almacenamiento en búfer automático - El proceso de almacenamiento en buffer que
usan los switches de almacenamiento y envío proporciona la flexibilidad para admitir
cualquier combinación de velocidades de Ethernet. Por ejemplo, manejar una trama
entrante que viaja a un puerto Ethernet de 100 Mbps que debe enviarse a una interfaz
de 1 Gbps, requeriría utilizar el método de almacenamiento y reenvío. Ante cualquier
incompatibilidad de las velocidades de los puertos de entrada y salida, el switch
almacena la trama completa en un buffer, calcula la verificación de FCS, la reenvía al
buffer del puerto de salida y después la envía.
La figura ilustra cómo almacenar y reenviar toma una decisión basada en la trama Ethernet.
2.1.7
Switching por método de corte

El método de switching de almacenamiento y reenvío elimina las tramas que no pasan la
comprobación FCS. Por lo tanto, no reenvía tramas no válidas.
Por el contrario, los switches que usan el método de corte pueden reenviar tramas no válidas,
ya que no realizan la verificación de FCS. Sin embargo, el switching de corte tiene la
capacidad de realizar un cambio de trama rápida. Esto significa que los switches que usan el
método de corte pueden tomar una decisión de reenvío tan pronto como encuentren la
dirección MAC de destino de la trama en la tabla de direcciones MAC, tal y como se muestra
en la ilustración.
El switch no tiene que esperar a que el resto de la trama ingrese al puerto de entrada antes de
tomar la decisión de reenvío.
El switching libre de fragmentos es una forma modificada de corte, en la que el switch solo
comienza a reenviar la trama después de haber leído el campo Tipo. El switching libre de
fragmentos proporciona una mejor verificación de errores que el método de corte, con
prácticamente ningún aumento de latencia.
La velocidad de latencia más baja del switching por corte hace que resulte más adecuado para
las aplicaciones mas demandantes de Tecnología Informática de Alto Rendimiento (High-
Performance Computing, HPC) que requieren latencias de proceso a proceso de
10 microsegundos o menos.
El método switching de corte puede reenviar tramas con errores. Si hay un índice de error alto
(tramas no válidas) en la red, el switching por método de corte puede tener un impacto
negativo en el ancho de banda, de esta forma, se obstruye el ancho de banda con las tramas
dañadas y no válidas.
2.1.8
Actividad: El Switch!
Utilice esta actividad para comprobar su comprensión de cómo un switch aprende y reenvía
tramas.
Trama
Preámbulo Destino Origen Tipo/Longitud Trama Fin de
MAC MAC Trama
0F 0E
Tabla MAC
Fa1 Fa2 Fa3 Fa4 Fa5 Fa6 Fa7 Fa8 Fa9 Fa10 Fa11 Fa12
0C 0D 0E
2.2.1
Dominios de colisiones
En el tema anterior, obtuvo una mejor comprensión de lo que es un switch y cómo funciona.
En este tema se explica cómo funcionan los switches entre sí y con otros dispositivos para
eliminar colisiones y reducir la congestión de la red. Los términos colisiones y congestión se
utilizan aquí de la misma manera que se utilizan en el tráfico callejero.
En segmentos Ethernet basados en hubs antiguos, los dispositivos de red compitieron por el
medio compartido. Los segmentos de red que comparten el mismo ancho de banda entre
dispositivos se conocen como dominios de colisión. Cuando dos o más dispositivos del mismo
dominio de colisión tratan de comunicarse al mismo tiempo, se produce una colisión.
Si un puerto Ethernet de switch funciona en semidúplex, cada segmento está en su propio

dominio de colisión. No hay dominios de colisión cuando los puertos del switch funcionan en
dúplex completo. Sin embargo, podría haber un dominio de colisión si un puerto de switch
funciona en semidúplex.
De manera predeterminada, los puertos de Ethernet del switch negociarán automáticamente el

dúplex completo cuando el dispositivo adyacente también pueda funcionar en dúplex
completo. Si el puerto del switch está conectado a un dispositivo que funciona en semidúplex,
como por ejemplo un hub antiguo, el puerto de switch funcionará en modo semidúplex. En el
caso de semidúplex, el puerto de switch formará parte de un dominio de colisión.
Como se muestra en la figura, se elige dúplex completo si ambos dispositivos cuentan con la
funcionalidad, junto con su ancho de banda común más elevado.
2.2.2
Dominios de difusión
Una serie de switches interconectados forma un dominio de difusión simple. Solo los
dispositivos de capa de red, como los routers, pueden dividir un dominio de difusión de capa 2.
Los routers se utilizan para segmentar los dominios de difusión, pero también segmentan un
dominio de colisión.
Cuando un dispositivo desea enviar una difusión de capa 2, la dirección MAC de destino de la
trama se establece solo en números uno binarios.
El dominio de difusión de capa 2 se denomina “dominio de difusión MAC”. El dominio de

difusión MAC consta de todos los dispositivos en la LAN que reciben tramas de difusión de un
host.
Haga clic en Reproducir en la ilustración para verlo en la primera mitad de la animación.
Cuando un switch recibe una trama de difusión, la reenvía por cada uno de sus puertos,
excepto por el puerto de entrada en el que se recibió la trama de difusión. Cada dispositivo
conectado al switch recibe una copia de la trama de difusión y la procesa.
En ocasiones, las difusiones son necesarias para localizar inicialmente otros dispositivos y
servicios de red, pero también reducen la eficacia de la red. El ancho de banda de red se usa
para propagar el tráfico de difusión. Si hay demasiadas difusiones y una carga de tráfico
intensa en una red, se puede producir una congestión, lo que reduce el rendimiento de la red.
Cuando hay dos switches conectados entre sí, se aumenta el dominio de difusión, como se ve
en la segunda mitad de la animación. En este caso, se reenvía una trama de difusión a todos
los puertos conectados en el switch S1. El switch S1 está conectado al switch S2. Luego, la
trama se propaga a todos los dispositivos conectados al switch S2.
2.2.3
Alivio de la congestión en la red

Los switches LAN tienen características especiales que los hacen eficaces para aliviar la
congestión de una red. De manera predeterminada, los puertos de switch interconectados
tratan de establecer un enlace en dúplex completo y por lo tanto se eliminan los dominios de
colisión. Cada puerto dúplex completo del switch ofrece el ancho de banda completo a los
dispositivos conectados a dicho puerto. Las conexiones dúplex completas aumentaron
notablemente el rendimiento de las redes LAN y se requieren para velocidades de Ethernet de
1 Gb/s y superiores.
Los switches interconectan segmentos LAN, usan una tabla de direcciones MAC para
determinar los puertos de salida y pueden reducir o eliminar por completo las colisiones. Las
características de los switches que alivian la congestión de la red incluyen las siguientes:
 Velocidades de puertos rápidas : las velocidades de los puertos del switch Ethernet
varían según el modelo y el propósito. Por ejemplo, la mayoría de los switches de capa
de acceso admiten velocidades de puerto de 100 Mbps y 1 Gbps. Los switches de
capa de distribución admiten velocidades de puerto de 100 Mbps, 1 Gbps y 10 Gbps y
los switches de nivel central y centro de datos admiten velocidades de puerto de 100
Gbps, 40 Gbps y 10 Gbps. Los switches con velocidades de puerto más rápidas
cuestan más pero pueden reducir la congestión.
 Cambio interno rápido : los switches utilizan un bus interno rápido o memoria
compartida para proporcionar un alto rendimiento.
 Búferes de trama grande : los switches utilizan búferes de memoria grande para
almacenar temporalmente más tramas recibidas antes de tener que empezar a
descartarlas. Esto permite que el tráfico de entrada desde un puerto más rápido (por
ejemplo, 1 Gbps) se reenvíe a un puerto de salida más lento (por ejemplo, 100 Mbps)
sin perder tramas.
 Alta densidad de puertos : un switch de alta densidad de puertos reduce los costos
generales porque reduce el número de switches requeridos. Por ejemplo, si se
necesitaran 96 puertos de acceso, sería menos costoso comprar dos switches de 48
puertos en lugar de cuatro switches de 24 puertos. Los switches de alta densidad de
puertos también ayudan a mantener el tráfico local, lo que ayuda a aliviar la
congestión.
2.2.4
Verifique su comprensión - Cambiar

dominios
2.3.1

Reenvío de trama
La decisión sobre cómo un switch reenvía el tráfico se toma en relación con el flujo de ese tráfico. El
término ingreso describe el puerto donde una trama ingresa a un dispositivo. El término salida
describe el puerto que las tramas utilizarán al salir del dispositivo. Una trama Ethernet nunca será
reenviada fuera del puerto donde ingresó. Para definir qué puerto usar para transmitir una trama, el
switch primero debe saber qué dispositivos existen en cada puerto. A medida que el switch aprende
la relación de los puertos con los dispositivos, construye una tabla llamada tabla de direcciones MAC.
Cada trama que ingresa a un switch se comprueba para obtener información nueva examinando la
dirección MAC de origen de la trama y el número de puerto donde la trama ingresó al switch. Si la
dirección MAC de destino es una dirección de unidifusión, el switch busca una coincidencia entre la
dirección MAC de destino de la trama y una entrada en la tabla de direcciones MAC. Los métodos de
reenvío de switches incluyen almacenamiento y reenvío y corte. Almacenaje y reenvío utiliza la
comprobación de errores y el almacenamiento en búfer automático. El corte no comprueba errores.
En su lugar, realiza un cambio rápido de trama. Esto significa que el switch puede tomar una decisión
de reenvío tan pronto como haya buscado la dirección MAC de destino de la trama en su tabla de
direcciones MAC.
Cambio de Dominio
Si un puerto Ethernet de switch funciona en semidúplex, cada segmento está en su propio dominio de
colisión. No hay dominios de colisión cuando los puertos del switch funcionan en dúplex completo. De
manera predeterminada, los puertos de Ethernet del switch negociarán automáticamente el dúplex
completo cuando el dispositivo adyacente también pueda funcionar en dúplex completo. Una serie de
switches interconectados forma un dominio de difusión simple. Solo los dispositivos de capa de red,
como los routers, pueden dividir un dominio de difusión de capa 2. El dominio de difusión de capa 2
se denomina “dominio de difusión MAC”. El dominio de difusión MAC consta de todos los dispositivos
en la LAN que reciben tramas de difusión de un host. Cuando un switch recibe una trama de difusión,
la reenvía por cada uno de sus puertos, excepto el puerto de entrada en el que se recibió la trama de
difusión. Cada dispositivo conectado al switch recibe una copia de la trama de difusión y la procesa.
Los switches pueden: interconectar segmentos LAN, usar una tabla de direcciones MAC para
determinar los puertos de salida y pueden reducir o eliminar por completo las colisiones. Para ayudar
a aliviar la congestión, los switches utilizan velocidades de puerto rápidas, cambio interno rápido,
búferes de tramas grandes y densidades de puertos altas
2.3.2
Prueba del módulo: conceptos de switches

3.0.1

¡Bienvenido a las VLAN!
Imagina que estás a cargo de una conferencia muy grande. Hay personas de todas partes que
comparten un interés común y algunas que también tienen una experiencia especial.
Imagínese si cada experto que quisiera presentar su información a un público más pequeño
tuviera que hacerlo en la misma sala grande con todos los demás expertos y sus audiencias
más pequeñas. Nadie podría oír nada. Tendrías que encontrar salas separadas para todos los
expertos y sus audiencias más pequeñas. La LAN virtual (VLAN) hace algo similar en una red.
Las VLAN se crean en la Capa 2 para reducir o eliminar el tráfico de difusión. Las VLAN son la
forma en que divide la red en redes más pequeñas, de modo que los dispositivos y las
personas dentro de una sola VLAN se comunican entre sí y no tienen que administrar el tráfico
de otras redes. El administrador de red puede organizar las VLAN por ubicación, quién las
está utilizando, el tipo de dispositivo o cualquier categoría que se necesite. Sabes que quieres
aprender a hacer esto, ¡así que no esperes!
3.0.2

Título del módulo: VLANs
Objetivos del módulo: Implemente VLAN y enlaces troncales en una red conmutada.
Descripción general de las

Explique la finalidad de las VLAN en una red conmutada.
VLAN
Redes VLAN en un
Explique cómo un switch reenvía tramas según la configuración de VLAN en
entorno conmutado
un entorno conmutado múltiple.
múltiple
Configure un puerto para switch que se asignará a una VLAN según los
Configuración de VLAN
requisitos.
Enlaces troncales de la
Configure un puerto de enlace troncal en un switch LAN.
VLAN
Protocolo de enlace
Configure el protocolo de enlace troncal dinámico (DTP).
troncal dinámico
Descripción general de las VLAN

3.1.1
Definiciones de VLAN
Por supuesto, organizar su red en redes más pequeñas no es tan simple como separar
tornillos y ponerlos en frascos. Pero hará que su red sea más fácil de administrar. Dentro de
una red conmutada, las VLAN proporcionan la segmentación y la flexibilidad organizativa. Un
grupo de dispositivos dentro de una VLAN se comunica como si cada dispositivo estuviera
conectados al mismo cable. Las VLAN se basan en conexiones lógicas, en lugar de
conexiones físicas.
Como se muestra en la figura, las VLAN en una red conmutada permiten a los usuarios de
varios departamentos (por ejemplo, TI, recursos humanos y ventas) conectarse a la misma
red, independientemente del switch físico que se esté utilizando o de la ubicación en una LAN
del campus
Las VLAN permiten que el administrador divida las redes en segmentos según factores como
la función, el equipo del proyecto o la aplicación, sin tener en cuenta la ubicación física del
usuario o del dispositivo. Cada VLAN se considera una red lógica diferente. Los dispositivos
dentro de una VLAN funcionan como si estuvieran en su propia red independiente, aunque
compartan una misma infraestructura con otras VLAN. Cualquier puerto de switch puede
pertenecer a una VLAN.
Los paquetes de unidifusión, difusión y multidifusión se reenvían solamente a terminales

dentro de la VLAN donde los paquetes son de origen. Los paquetes destinados a dispositivos
que no pertenecen a la VLAN se deben reenviar a través de un dispositivo que admita el
routing.
Varias subredes IP pueden existir en una red conmutada, sin el uso de varias VLAN. Sin
embargo, los dispositivos estarán en el mismo dominio de difusión de capa 2. Esto significa
que todas las difusiones de capa 2, tales como una solicitud de ARP, serán recibidas por
todos los dispositivos de la red conmutada, incluso por aquellos que no se quiere que reciban
la difusión.
Una VLAN crea un dominio de difusión lógico que puede abarcar varios segmentos LAN
físicos. Las VLAN mejoran el rendimiento de la red mediante la división de grandes dominios
de difusión en otros más pequeños. Si un dispositivo en una VLAN envía una trama de
Ethernet de difusión, todos los dispositivos en la VLAN reciben la trama, pero los dispositivos
en otras VLAN no la reciben.
Mediante las VLAN, los administradores de red pueden implementar políticas de acceso y
seguridad de acuerdo con a grupos específicos de usuarios. Cada puerto de switch se puede
asignar a una sola VLAN (a excepción de un puerto conectado a un teléfono IP o a otro
switch).
3.1.2
Ventajas de un diseño de VLAN

Cada VLAN en una red conmutada corresponde a una red IP. Por lo tanto, el diseño de
VLAN debe tener en cuenta la implementación de un esquema de direccionamiento de red
jerárquico. El direccionamiento jerárquico de la red significa que los números de red IP se
aplican a los segmentos de red o a las VLAN de manera ordenada, lo que permite que la red
se tome en cuenta como conjunto. Los bloques de direcciones de red contiguas se reservan
para los dispositivos en un área específica de la red y se configuran en estos, como se
muestra en la ilustración.
La figura muestra una topología de red con varios conmutadores, varias VLAN y
direccionamiento de red contiguo. En la parte superior de la topología hay un router R1
conectado a un switch de abajo. El switch está conectado a otros dos switches. El
conmutador de la izquierda tiene tres hosts conectados a él, cada uno asignado a una VLAN
diferente. PC1 conectado al puerto F0/11 tiene la siguiente asignación: Facultad, VLAN 10,
172.17.10.21/24. PC2 conectado al puerto F0/18 tiene la siguiente asignación: Estudiante,
VLAN 20, 172.17.20.22/24. PC3 conectado al puerto F0/6 tiene la siguiente asignación:
Invitado, VLAN 30, 172.17.30.23/24. El conmutador de la derecha también tiene tres hosts
conectados a él, cada uno asignado a una VLAN diferente. PC4 conectado al puerto F0/11
tiene la siguiente asignación: Facultad, VLAN 10, 172.17.10.24/24. PC5 conectado al
puerto F0/18 tiene la siguiente asignación: Estudiante, VLAN 20, 172.17.20.25/24. PC6
conectado al puerto F0/6 tiene la siguiente asignación: Invitado, VLAN 30,
172.1.7.20.26/24.
En la tabla se enumeran las ventajas de diseñar una red con VLAN.
Ventaja Descripción
 Dividir una red en VLAN reduce el número de dispositivos en el broadcast domain.

Dominios de
 En la figura, hay seis computadoras en la red, pero solo tres dominios de difusión
difusión más (es decir, Facultad, Estudiante e Invitado).
pequeños
 Sólo los usuarios de la misma VLAN pueden comunicarse juntos.

Seguridad  En la figura, el tráfico de red de profesores en la VLAN 10 es completamente
mejorada separados y protegidos de los usuarios en otras VLAN.
 Las VLAN simplifican la administración de la red porque los usuarios con una red
Mejora la similar se pueden configurar en la misma VLAN.
eficiencia del  Las VLAN se pueden nombrar para facilitar su identificación.
departamento de  En la figura, VLAN 10 fue nombrado «Facultad», VLAN 20 «Estudiante», y VLAN
IT. 30 «Invitado. »
Las VLAN reducen la necesidad de realizar costosas actualizaciones de red y utilizan el

Reducción de
ancho de banda existente y enlaces ascendentes de manera más eficiente, lo que resulta
costos
en costos Ahorro
Los dominios de difusión más pequeños reducen el tráfico innecesario en la red y mejorar
Mejor rendimiento
el rendimiento.
 Las VLAN agregan usuarios y dispositivos de red para admitir empresas o

Administración necesidades geográficas.
más simple de  Tener funciones separadas hace que administrar un proyecto o trabajar con una
proyectos y aplicación especializada más fácil; un ejemplo de tal aplicación es una plataforma
aplicaciones de desarrollo de e-learning para profesores.
3.1.3
Tipos de VLAN
Las VLAN se utilizan por diferentes razones en las redes modernas. Algunos tipos de VLAN se
definen según las clases de tráfico. Otros tipos de VLAN se definen según la función
específica que cumplen.
Haga clic en cada tipo de VLAN para obtener más información.

VLAN predeterminada
La VLAN predeterminada para los switches Cisco es la VLAN 1. Por lo tanto, todos los puertos
del switch están en VLAN 1 a menos que esté configurado explícitamente para estar en otra
VLAN. Todo el tráfico de control de capa 2 se asocia a la VLAN 1 de manera predeterminada.
Entre los datos importantes que hay que recordar acerca de la VLAN 1 se incluyen los
siguientes:
 Todos los puertos se asignan a la VLAN 1 de manera predeterminada.

 De manera predeterminada, la VLAN nativa es la VLAN 1.
 De manera predeterminada, la VLAN de administración es la VLAN 1.
 No es posible eliminar ni cambiar el nombre de VLAN 1.
Por ejemplo, en la show vlan brief ilustración, todos los puertos están asignados a la VLAN 1
predeterminada. No hay ninguna VLAN nativa asignada explícitamente ni otras VLAN activas;
por lo tanto, la VLAN nativa de la red que se diseñó es la VLAN de administración. Esto se
considera un riesgo de seguridad.
VLAN de datos
Las VLAN de datos son VLAN configuradas para separar el tráfico generado por el usuario.
Las VLAN de datos se usan para dividir la red en grupos de usuarios o dispositivos. Una red
moderna tendría muchas VLAN de datos en función de los requisitos organizativos. Tenga en
cuenta que no se debe permitir el tráfico de administración de voz y red en las VLAN de datos
VLAN nativa
El tráfico de usuario de una VLAN debe etiquetarse con su ID de VLAN cuando se envía a otro
switch. Los puertos troncal se utilizan entre conmutadores para admitir la transmisión de
tráfico etiquetado. Específicamente, un puerto troncal 802.1Q inserta una etiqueta de 4 bytes
en el encabezado de trama Ethernet para identificar la VLAN a la que pertenece la trama.
Es posible que un switch también tenga que enviar tráfico sin etiqueta a través de un enlace
troncal. El tráfico sin etiquetas es generado por un switch y también puede provenir de
dispositivos heredados. El puerto de enlace troncal 802.1Q coloca el tráfico sin etiquetar en la
VLAN nativa. La VLAN nativa en un switch Cisco es VLAN 1 (es decir, VLAN predeterminada).
Se recomienda configurar la VLAN nativa como VLAN sin utilizar, independiente de la VLAN 1
y de otras VLAN. De hecho, es común utilizar una VLAN fija para que funcione como VLAN
nativa para todos los puertos de enlace troncal en el dominio conmutado.
VLAN de administración
Una VLAN de administración es una VLAN de datos configurada específicamente para el

tráfico de administración de red, incluyendo SSH, Telnet, HTTPS, HHTP y SNMP. De forma
predeterminada, la VLAN 1 se configura como la VLAN de administración en un conmutador
de capa 2.
VLAN de voz
Se necesita una VLAN separada para admitir la tecnología de voz sobre IP (VoIP). Para el
tráfico de VoIP, se necesita lo siguiente:
 Ancho de banda garantizado para asegurar la calidad de la voz

 Prioridad de la transmisión sobre los tipos de tráfico de la red
 Capacidad para ser enrutado en áreas congestionadas de la red
 Una demora inferior a 150 ms a través de la red
Para cumplir estos requerimientos, se debe diseñar la red completa para que admita VoIP.
En la figura, la VLAN 150 se diseña para enviar tráfico de voz. La computadora del estudiante
PC5 está conectada al teléfono IP de Cisco y el teléfono está conectado al switch S3. La PC5
está en la VLAN 20 que se utiliza para los datos de los estudiantes.
3.1.4
Packet Tracer: ¿quién escucha la difusión?

En esta actividad de Packet Tracer, completará los siguientes objetivos:
 Parte 1: Observar el tráfico de broadcast en la implementación de una VLAN

 Parte 2: completar las preguntas de repaso
3.1.5
Compruebe su comprensión - Descripción

general de las VLAN
Redes VLAN en un entorno
conmutado múltiple
3.2.1
Definición de troncos de VLAN

Las VLAN no serían muy útiles sin los enlaces troncales de VLAN. Los troncos de VLAN
permiten que todo el tráfico de VLAN se propague entre conmutadores. Esto permite que los
dispositivos conectados a diferentes switches pero en la misma VLAN se comuniquen sin
pasar por un router.
Un enlace troncal es un enlace punto a punto entre dos dispositivos de red que lleva más de
una VLAN. Un enlace troncal de VLAN amplía las VLAN a través de toda la red. Cisco admite
IEEE 802.1Q para coordinar enlaces troncales en las interfaces Fast Ethernet, Gigabit
Ethernet y 10-Gigabit Ethernet.
Un enlace troncal no pertenece a una VLAN específica. Es más bien un conducto para las
VLAN entre los switches y los routers. También se puede utilizar un enlace troncal entre un
dispositivo de red y un servidor u otro dispositivo que cuente con una NIC con capacidad
802.1Q. En los switches Cisco Catalyst, se admiten todas las VLAN en un puerto de enlace
troncal de manera predeterminada.
En la ilustración, los enlaces entre los switches S1 y S2, y S1 y S3 se configuraron para

transmitir el tráfico proveniente de las VLAN 10, 20, 30 y 99 a través de la red. Esta red no
podría funcionar sin los enlaces troncales de VLAN.
3.2.2
Redes sin VLAN

En condiciones normales de funcionamiento, cuando un switch recibe una trama de difusión
en uno de sus puertos, reenvía la trama por todos los demás puertos, excepto el puerto por
donde recibió la difusión. En la animación de la figura se configuró toda la red en la misma
subred (172.17.40.0/24), y no se configuró ninguna VLAN. Como consecuencia, cuando la
computadora del cuerpo docente (PC1) envía una trama de difusión, el switch S2 envía dicha
trama de difusión por todos sus puertos. Finalmente, toda la red recibe la difusión porque la
red es un dominio de difusión.
3.2.3
Red con VLAN

Haga clic en Reproducir en la animación para ver que la misma red se ha segmentado
utilizando dos VLAN. Los dispositivos del cuerpo docente se asignaron a la VLAN 10, y los
dispositivos de los estudiantes se asignaron a la VLAN 20. Cuando se envía una trama de
difusión desde la computadora del cuerpo docente, la PC1, al switch S2, el switch reenvía esa
trama de difusión solo a los puertos de switch configurados para admitir la VLAN 10.
Los puertos que componen la conexión entre los switches S2 y S1 (puertos F0/1), y entre el
S1 y el S3 (puertos F0/3) son enlaces troncales y se configuraron para admitir todas las VLAN
en la red.
Cuando el S1 recibe la trama de difusión en el puerto F0/1, reenvía la trama de difusión por el
único puerto configurado para admitir la VLAN 10, que es el puerto F0/3. Cuando el S3 recibe
la trama de difusión en el puerto F0/3, reenvía la trama de difusión por el único puerto
configurado para admitir la VLAN 10, que es el puerto F0/11. La trama de difusión llega a la
única otra computadora de la red configurada en la VLAN 10, que es la computadora PC4 del
cuerpo docente.
Cuando se implementan las VLAN en un switch, la transmisión del tráfico de unidifusión,

multidifusión y difusión desde un host en una VLAN en particular se limita a los dispositivos
presentes en esa VLAN.
3.2.4
Identificación de VLAN con etiqueta

El encabezado de trama Ethernet estándar no contiene información sobre la VLAN a la que
pertenece la trama. Por lo tanto, cuando las tramas de Ethernet se ubican en un enlace
troncal, se necesita agregar información sobre las VLAN a las que pertenecen. Este proceso,
denominado “etiquetado”, se logra mediante el uso del encabezado IEEE 802.1Q,
especificado en el estándar IEEE 802.1Q. El encabezado 802.1Q incluye una etiqueta de
4 bytes insertada en el encabezado de la trama de Ethernet original que especifica la VLAN a
la que pertenece la trama.
Cuando el switch recibe una trama en un puerto configurado en modo de acceso y asignado a
una VLAN, el switch coloca una etiqueta VLAN en el encabezado de la trama, vuelve a
calcular la Secuencia de Verificación de Tramas (FCS) y envía la trama etiquetada por un
puerto de enlace troncal.
Detalles del campo VLAN Tag
Como se muestra en la figura el campo de etiqueta de la VLAN consta de un campo de tipo,

un campo de prioridad, un campo de identificador de formato canónico y un campo de ID de la
VLAN:
 Tipo - Un valor de 2 bytes denominado “ID de Protocolo de Etiqueta” (TPID). Para

Ethernet, este valor se establece en 0x8100 hexadecimal.
 Prioridad de usuario - Es un valor de 3 bits que admite la implementación de nivel o de
servicio.
 Identificador de Formato Canónico (CFI) - Es un identificador de 1 bit que habilita las
tramas Token Ring que se van a transportar a través de los enlaces Ethernet.
 VLAN ID (VID) - Es un número de identificación de VLAN de 12 bits que admite hasta
4096 ID de VLAN.
Una vez que el switch introduce los campos tipo y de información de control de etiquetas,
vuelve a calcular los valores de la FCS e inserta la nueva FCS en la trama.
3.2.5
VLAN nativas y etiquetado de 802.1Q
El estándar IEEE 802.1Q especifica una VLAN nativa para los enlaces troncal, que por defecto
es VLAN 1. Cuando un marco sin etiqueta llega a un puerto troncal, se asigna a la VLAN
nativa. Las tramas de administración que se envían entre conmutadores es un ejemplo de
tráfico que normalmente no se etiqueta. Si el vínculo entre dos switches es un tronco, el switch
envía el tráfico sin etiqueta en la VLAN nativa.
Marcos etiquetados en la VLAN nativa
Algunos dispositivos que admiten los enlaces troncales agregan una etiqueta VLAN al tráfico
de las VLAN nativas. El tráfico de control que se envía por la VLAN nativa no se debe
etiquetar. Si un puerto de enlace troncal 802.1Q recibe una trama etiquetada con la misma ID
de VLAN que la VLAN nativa, descarta la trama. Por consiguiente, al configurar un puerto de
un switch Cisco, configure los dispositivos de modo que no envíen tramas etiquetadas por la
VLAN nativa. Los dispositivos de otros proveedores que admiten tramas etiquetadas en la
VLAN nativa incluyen: teléfonos IP, servidores, routers y switches que no pertenecen a Cisco.
Marcos sin etiquetas en la VLAN nativa
Cuando un puerto de enlace troncal de un switch Cisco recibe tramas sin etiquetar (poco
usuales en las redes bien diseñadas), envía esas tramas a la VLAN nativa. Si no hay
dispositivos asociados a la VLAN nativa (lo que es usual) y no existen otros puertos de enlace
troncal (es usual), se descarta la trama. La VLAN nativa predeterminada es la VLAN 1. Al
configurar un puerto de enlace troncal 802.1Q, se asigna el valor de la ID de VLAN nativa a la
ID de VLAN de puerto (PVID) predeterminada. Todo el tráfico sin etiquetar entrante o saliente
del puerto 802.1Q se reenvía según el valor de la PVID. Por ejemplo, si se configura la VLAN
99 como VLAN nativa, la PVID es 99, y todo el tráfico sin etiquetar se reenvía a la VLAN 99. Si
no se volvió a configurar la VLAN nativa, el valor de la PVID se establece en VLAN 1.
En la ilustración, la PC1 está conectada a un enlace troncal 802.1Q mediante un hub.

La PC1 envía el tráfico sin etiquetar, que los switches asocian a la VLAN nativa configurada en
los puertos de enlace troncal y que reenvían según corresponda. El tráfico etiquetado del
enlace troncal que recibe la PC1 se descarta. Esta situación refleja un diseño de red deficiente
por varios motivos: utiliza un hub, tiene un host conectado a un enlace troncal y esto implica
que los switches tengan puertos de acceso asignados a la VLAN nativa. También ilustra la
motivación de la especificación IEEE 802.1Q para que las VLAN nativas sean un medio de
manejo de entornos antiguos.
3.2.6
Etiquetado de VLAN de voz

Se necesita una red VLAN de voz separada para admitir VoIP. Esto permite aplicar políticas
de calidad de servicio (QoS) y seguridad al tráfico de voz.
Un teléfono IP de Cisco se conecta directamente a un puerto del switch. Un host IP puede

conectarse al teléfono IP para obtener conectividad de red también. Un puerto de acceso que
conecta un teléfono IP de Cisco puede configurarse para utilizar dos VLAN separadas: Una
VLAN es para el tráfico de voz y la otra es una VLAN de datos para admitir el tráfico de host.
El enlace entre el switch y el teléfono IP funciona como un enlace troncal para transportar
tanto el tráfico de la VLAN de voz como el tráfico de la VLAN de datos.
Específicamente, el teléfono IP Cisco contiene un switch 10/100 de tres puertos integrado. Los
puertos proporcionan conexiones dedicadas para estos dispositivos:
 El puerto 1 se conecta al switch o a otro dispositivo VoIP.

 El puerto 2 es una interfaz interna 10/100 que envía el tráfico del teléfono IP.
 El puerto 3 (puerto de acceso) se conecta a una PC u otro dispositivo.
El puerto de acceso del switch envía paquetes CDP que indican al teléfono IP conectado que
envíe tráfico de voz de una de las tres maneras. El método utilizado varía según el tipo de
tráfico:
 El tráfico VLAN de voz debe etiquetarse con un valor de prioridad CoS de Capa 2
adecuado.
 En una VLAN de acceso con una etiqueta de valor de prioridad de CoS de capa 2
 En una VLAN de acceso sin etiqueta (sin valor de prioridad de CoS de capa 2)
En la figura, la computadora del estudiante PC5 está conectada a un teléfono IP de Cisco, y el

teléfono está conectado al switch S3. La VLAN 150 está diseñada para transportar tráfico de
voz, mientras que la PC5 está en la VLAN 20, que se usa para los datos de los estudiantes.
Ejemplo de verificación de VLAN de voz

Se muestra la salida de ejemplo para el show interface fa0/18 switchport comando. El análisis
de los comandos de voz de Cisco IOS excede el ámbito de este curso, pero las áreas
resaltadas en el resultado de ejemplo muestran que la interfaz F0/18 se configuró con una
VLAN configurada para datos (VLAN 20) y una VLAN configurada para voz (VLAN 150).
3.2.8
Packet Tracer: investigación de la

implementación de una VLAN
En esta actividad, observará el modo en que los switches reenvían el tráfico de difusión
cuando se configuran las VLAN y cuando no se configuran las VLAN.
3.2.9
Compruebe su comprensión - VLAN en un

entorno de multiswitch
Esta actividad Comprobar comprensión utiliza un escenario diferente para cada pregunta.
Configuración de VLAN
3.3.1
Rangos de VLAN en los switches Catalyst

Crear VLAN, como la mayoría de los demás aspectos de la red, es cuestión de introducir los
comandos apropiados. En este tema se detalla cómo configurar y verificar diferentes tipos de
VLAN.
Los distintos switches Cisco Catalyst admiten diversas cantidades de VLAN. La cantidad de
VLAN que admiten es suficiente para satisfacer las necesidades de la mayoría de las
organizaciones. Por ejemplo, los switches de las series Catalyst 2960 y 3560 admiten más de
4000 VLAN. Las VLAN de rango normal en estos switches se numeran del 1 al 1005, y las
VLAN de rango extendido se numeran del 1006 al 4094. En la ilustración, se muestran las
VLAN disponibles en un switch Catalyst 2960 que ejecuta IOS de Cisco, versión 15.x.
Rango Normal VLANs
Las siguientes son las características de las VLAN de rango normal:
 Se utiliza en redes de pequeños y medianos negocios y empresas.

 Se identifica mediante una ID de VLAN entre 1 y 1005.
 Las ID de 1002 a 1005 se reservan para las VLAN de Token Ring e interfaz de datos
distribuidos por fibra óptica (FDDI).
 Las ID 1 y 1002 a 1005 se crean automáticamente y no se pueden eliminar.
 Las configuraciones se almacenan en un archivo de base de datos de VLAN llamado
vlan.dat, que se guarda en la memoria flash.
 Cuando se configura, el protocolo de enlace troncal VLAN (VTP) ayuda a sincronizar la
base de datos VLAN entre conmutadores.
Rango Extendido VLANs
Las siguientes son las características de las VLAN de rango extendido:
Los proveedores de servicios los* utilizan para dar servicio a varios clientes y por las
empresas globales lo suficientemente grandes como para necesitar identificadores de VLAN
de rango extendido.
 Se identifican mediante una ID de VLAN entre 1006 y 4094.
 Las configuraciones se guardan en el archivo de configuración en ejecución.
 Admiten menos características de VLAN que las VLAN de rango normal.
 Requiere la configuración del modo transparente VTP para admitir VLAN de rango
extendido.
Nota: Nota: la cantidad máxima de VLAN disponibles en los switches Catalyst es 4096, ya que
el campo ID de VLAN tiene 12 bits en el encabezado IEEE 802.1Q.
3.3.2
Comandos de creación de VLAN

Al configurar redes VLAN de rango normal, los detalles de configuración se almacenan en la
memoria flash del switch en un archivo denominado vlan.dat. La memoria flash es persistente
y no requiere el copy running-config startup-config comando. Sin embargo, debido a que
en los switches Cisco se suelen configurar otros detalles al mismo tiempo que se crean las
VLAN, es aconsejable guardar los cambios a la configuración en ejecución en la configuración
de inicio.
En la figura 1, se muestra la sintaxis del comando de IOS de Cisco que se utiliza para agregar
una VLAN a un switch y asignarle un nombre. Se recomienda asignarle un nombre a cada
VLAN en la configuración de un switch.
Tarea Comando de IOS
Ingresa al modo de configuración global. Switch# configure terminal
Cree una VLAN con un número de ID válido. Switch(config)# vlan vlan-id
Especificar un nombre único para identificar la Switch(config-vlan)# name vlan-name

VLAN.
Vuelva al modo EXEC privilegiado. Switch(config-vlan)# end

3.3.3
Ejemplo de creación de VLAN

En el ejemplo de topología, la computadora del estudiante (PC2) todavía no se asoció a
ninguna VLAN, pero tiene la dirección IP 172.17.20.22, que pertenece a la VLAN 20.
En la figura, se muestra cómo se configura la VLAN para estudiantes (VLAN 20) en el switch
S1.
Nota: Además de introducir una única ID de VLAN, se puede introducir una serie de ID de
VLAN separadas por comas o un rango de ID de VLAN separado por guiones usando
el vlan comando vlan-id . Por ejemplo, al introducir el comando de configuración vlan
100,102,105-107 global se crearían las VLAN 100, 102, 105, 106 y 107.
3.3.4
Comandos de asignación de puertos VLAN

Después de crear una VLAN, el siguiente paso es asignar puertos a la VLAN.
En la figura se muestra la sintaxis para definir un puerto como puerto de acceso y asignarlo a
una VLAN. EL switchport mode access comando es optativo, pero se aconseja como
práctica recomendada de seguridad. Con este comando, la interfaz cambia al modo de acceso
permanente.
Ingrese al modo de Switch# configure terminal

configuración global.
Ingrese el modo de Switch(config)# interface interface-id

configuración de interfaz.
Establezca el puerto en Switch(config-if)# switchport mode access

modo de acceso.
Asigne el puerto a una Switch(config-if)# switchport access vlan vlan-id

VLAN.
Vuelva al modo EXEC Switch(config-if)# end

privilegiado.
Nota: Use el interface range comando para configurar simultáneamente varias interfaces
3.3.5
Ejemplo de asignación de puerto## VLAN
En la figura, el puerto F0/6 en el conmutador S1 se configura como un puerto de acceso y se

asigna a la VLAN 20. Cualquier dispositivo conectado a ese puerto está asociado con la VLAN
20. Por lo tanto, en nuestro ejemplo, PC2 está en la VLAN 20.
El ejemplo muestra la configuración de S1 para asignar F0/6 a VLAN 20.
Las VLAN se configuran en el puerto del switch y no en el terminal. La PC2 se configura con
una dirección IPv4 y una máscara de subred asociadas a la VLAN, que se configura en el
puerto de switch. En este ejemplo, es la VLAN 20. Cuando se configura la VLAN 20 en otros
switches, el administrador de red debe configurar las otras computadoras de alumnos para
que estén en la misma subred que la PC2 (172.17.20.0/24).
3.3.6
VLAN de voz, datos
Un puerto de acceso puede pertenecer a sólo una VLAN a la vez. Sin embargo, un puerto
también se puede asociar a una VLAN de voz. Por ejemplo, un puerto conectado a un teléfono
IP y un dispositivo final se asociaría con dos VLAN: una para voz y otra para datos.
Consulte la topología en la figura. En este ejemplo, la PC5 está conectada con el teléfono IP
de Cisco, que a su vez está conectado a la interfaz FastEthernet 0/18 en S3. Para
implementar esta configuración, se crean una VLAN de datos y una VLAN de voz.
3.3.7
Ejemplo de VLAN de voz y datos

Utilice el comando switchport voice vlan vlan-id interface configuration para asignar una
VLAN de voz a un puerto.
Las redes LAN que admiten tráfico de voz por lo general también tienen la Calidad de Servicio
(QoS) habilitada. El tráfico de voz debe etiquetarse como confiable apenas ingrese en la red.
Use el mls qos trust [cos | device cisco-phone | dscp | ip-precedence] comando de
configuración para establecer el estado confiable de una interfaz, y para indicar qué campos
del paquete se usan para clasificar el tráfico.
La configuración en el ejemplo crea las dos VLAN (es decir, VLAN 20 y VLAN 150), y a
continuación, asigna la interfaz F0/18 de S3 como un puerto de switch en VLAN 20. También
asigna el tráfico de voz en VLAN 150 y permite la clasificación de QoS basada en la Clase de
Servicio (CoS) asignado por el teléfono IP.
Nota: La implementación de QoS no está contemplada en este curso.
El switchport access vlan comando fuerza la creación de una VLAN si es que aún no existe en
el switch. Por ejemplo, la VLAN 30 no está presente en la salida del comando show vlan
brief del switch. Si se introduce el comando switchport access vlan 30 en cualquier interfaz sin
configuración previa, el switch muestra lo siguiente:
% Access VLAN does not exist. Creating vlan 30

3.3.8
Verificar la información de la VLAN

Una vez que se configura una VLAN, se puede validar la configuración con los
comandos show de IOS de Cisco
El show vlan comando muestra la lista de todas las VLAN configuradas. El show
vlan comando también se puede utilizar con opciones. La sintaxis completa es show
vlan [brief | id vlan-id | name vlan-name | summary].
En la tabla se describen las opciones de show vlan comando.
Tarea Opción de comando
Muestra el nombre de VLAN, el estado y sus brief

puertos una VLAN por linea.
Muestra información sobre el número de ID

de VLAN identificado. Para vlan-id, the range id vlan-id
is 1 to 4094.
Tarea Opción de comando
Muestra información sobre el número de ID

de VLAN identificado. El vlan-name es una name vlan-name
cadena ASCII de 1 a 32 caracteres.
Mostrar el resumen de información de la summary

VLAN.
El show vlan summary comando muestra la lista de todas las VLAN configuradas.
Otros comandos útiles son el comando show interfaces interface-id switchport y el

comando show interfaces vlan vlan-id. Por ejemplo, el show interfaces fa0/18
switchport comando se puede utilizar para confirmar que el puerto FastEthernet 0/18 se ha
asignado correctamente a las VLAN de datos y voz.
3.3.9
Cambio de pertenencia de puertos de una

VLAN
Existen varias maneras de cambiar la pertenencia de puertos de una VLAN.
Si el puerto de acceso del switch se ha asignado incorrectamente a una VLAN, simplemente

vuelva a ingresar el comando switchport access vlan vlan-id interface configuration con el ID
de VLAN correcto. Por ejemplo, suponga que Fa0/18 se configuró incorrectamente para estar
en la VLAN 1 predeterminada en lugar de la VLAN 20. Para cambiar el puerto a VLAN 20,
simplemente ingrese switchport access vlan 20.
Para volver a cambiar la pertenencia de un puerto a la VLAN 1 predeterminada, utilice el

comando no switchport access vlan interface configuration mode como se muestra.
En la salida, por ejemplo, Fa0/18 está configurado para estar en la VLAN 1 predeterminada,
tal como lo confirma el show vlan brief comando.
Nota que la VLAN 20 sigue activa, aunque no tenga puertos asignados.
La show interfaces f0/18 switchport salida también se puede utilizar para verificar que la VLAN
de acceso para la interfaz F0/18 se ha restablecido a la VLAN 1 como se muestra en la salida.
3.3.10
Eliminar las VLAN

El comando de modo de configuración global no vlan vlan-id se usa para remover una VLAN
desde el archivo del switch vlan.dat.
Precaución: Antes de borrar una VLAN, reasigne todos los puertos miembros a una VLAN
distinta. Los puertos que no se trasladen a una VLAN activa no se podrán comunicar con otros
hosts una vez que se elimine la VLAN y hasta que se asignen a una VLAN activa.
Se puede eliminar el archivo vlan.dat en su totalidad con el comando delete

flash:vlan.dat delete flash:vlan.datdel modo EXEC con privilegios. Se puede utilizar la versión
abreviada del comando (delete vlan.dat) delete vlan.dat si no se trasladó el archivo vlan.dat
de su ubicación predeterminada. Después de emitir este comando y de volver a cargar el
switch, las VLAN configuradas anteriormente ya no están presentes. Esto vuelve al switch a la
condición predeterminada de fábrica con respecto a la configuración de VLAN.
Nota: Para restaurar un conmutador Catalyst a su condición predeterminada de fábrica,

desconecte todos los cables excepto la consola y el cable de alimentación del conmutador. A
continuación, introduzca el comando de modo EXEC erase startup-config privilegiado
seguido del delete vlan.dat comando.
3.3.11
Comprobador de sintaxis - Configuración

de VLAN
En esta actividad del Comprobador de sintaxis, implementará y verificará una configuración de
VLAN para interfaces de switch según los requisitos especificados.
3.3.12
Packet Tracer: Configuración de redes
VLAN
 Verificar la configuración de VLAN predeterminada

 Configurar las redes VLAN
 Asignar VLAN a los puertos
Enlaces troncales de la VLAN

3.4.1
Comandos de configuración troncal

Ahora que ha configurado y verificado VLAN, ha llegado el momento de configurar y
verificar los troncos de VLAN. Un enlace troncal de VLAN es un enlace de capa 2 del
modelo OSI entre dos switches que transporta el tráfico para todas las VLAN (a menos
que se restrinja la lista de VLAN permitidas de manera manual o dinámica).
Para habilitar los vínculos troncal, configure los puertos de interconexión con el conjunto
de comandos de configuración de interfaz que se muestran en la tabla.
Ingrese al modo de Switch# configure terminal

Ingrese el modo de Switch(config)# interface interface-id

configuración de interfaz.
Establezca el puerto en
modo de enlace troncal Switch(config-if)# switchport mode trunk
permanente.
Cambie la configuración de
la VLAN nativa a otra opción Switch(config-if)# switchport trunk native vlan vlan-id
que no sea VLAN 1.
Especifique la lista de VLAN

que se permitirán en el Switch(config-if)# switchport trunk allowed vlan vlan-list
enlace troncal.
Vuelva al modo EXEC Switch(config-if)# end

privilegiado.
3.4.2
Ejemplo de configuración de troncal

En la figura 2, las VLAN 10, 20 y 30 admiten las computadoras de Cuerpo docente, Estudiante
e Invitado (PC1, PC2 y PC3). El puerto F0/1 del switch S1 se configuró como puerto de enlace
troncal y reenvía el tráfico para las VLAN 10, 20 y 30. La VLAN 99 se configuró como VLAN
nativa.
El ejemplo muestra la configuración del puerto F0/1 en el conmutador S1 como puerto troncal.
La VLAN nativa se cambia a VLAN 99 y la lista de VLAN permitidas se restringe a 10, 20, 30 y
99.
Nota: Esta configuración supone el uso de los switches Cisco Catalyst 2960 que utilizan de
manera automática la encapsulación 802.1Q en los enlaces troncales. Es posible que otros
switches requieran la configuración manual de la encapsulación. Siempre configure ambos
extremos de un enlace troncal con la misma VLAN nativa. Si la configuración de enlace troncal
802.1Q no es la misma en ambos extremos, el software IOS de Cisco registra errores.
3.4.3
Verifique la configuración de enlaces
troncales.
La salida del switch muestra la configuración del puerto del switch F0/1 en el switch S1. La
configuración se verifica con el show interfaces comando switchport interface-ID.
En el área superior resaltada, se muestra que el modo administrativo del puerto F0/1 se
estableció en trunk. El puerto está en modo de enlace troncal. En la siguiente área resaltada,
se verifica que la VLAN nativa es la VLAN 99. Más abajo en el resultado, en el área inferior
resaltada, se muestra que las VLAN 10,20,30 y 99 están habilitadas en el enlace troncal. 3.4.4
Restablecimiento del enlace troncal al

estado predeterminado
Use el no switchport trunk allowed vlan y el no switchport trunk native vlan comando
para eliminar las VLAN permitidas y restablecer la VLAN nativa del enlace troncal. Cuando se
restablece al estado predeterminado, el enlace troncal permite todas las VLAN y utiliza la
VLAN 1 como VLAN nativa. El ejemplo muestra los comandos utilizados para restablecer
todas las características de enlace troncal de una interfaz troncal a la configuración
predeterminada.
La figura muestra el resultado de los comandos utilizados para eliminar la característica de

enlace troncal del puerto F0/1 del switch S1. El show interfaces f0/1 switchport comando
revela que la interfaz F0/1 ahora está en modo de acceso estático.
3.4.5
Packet Tracer: Configuración de enlaces

troncales
 verificar las VLAN

 configurar los enlaces troncales
3.4.6
Práctica de laboratorio: Configuración de
redes VLAN y enlaces troncales
 Part 1: Arme la red y configurar los ajustes básicos de los dispositivos

 Part 2: Cree redes VLAN y asignar puertos de switch
 Part 3: Mantener las asignaciones de puertos de VLAN y la base de datos de VLAN
 Part 4: Configurar un enlace troncal 802.1Q entre los switches
disponible.
Protocolo de enlace troncal

dinámico
3.5.1
Introducción a DTP
Algunos switches Cisco tienen un protocolo propietario que les permite negociar
automáticamente la conexión troncal con un dispositivo vecino. Este protocolo se denomina
Protocolo de Enlace Troncal Dinámico (DTP). DTP puede acelerar el proceso de configuración
de un administrador de red. Las interfaces troncal Ethernet admiten diferentes modos de
enlace troncal. Una interfaz se puede establecer en trunking o no trunking, o para negociar
trunking con la interfaz vecina. La negociación de enlaces troncales entre dispositivos de red
la maneja el Protocolo de Enlace Troncal Dinámico (DTP), que solo funciona de punto a punto.
DTP es un protocolo exclusivo de Cisco que se habilita de manera automática en los switches
de las series Catalyst 2960 y Catalyst 3560. DTP maneja la negociación de enlaces troncales
sólo si el puerto del switch vecino está configurado en un modo de enlace troncal que admite
DTP. Los switches de otros proveedores no admiten el DTP.
Precaución: Algunos dispositivos de interredes pueden reenviar tramas DTP de manera

incorrecta, lo que puede causar errores de configuración. Para evitar esto, desactive el DTP
en las interfaces de un switch de Cisco conectado a dispositivos que no admiten DTP.
La configuración DTP predeterminada para los switches Catalyst 2960 y 3650 de Cisco es
automática dinámica.
Para habilitar los enlaces troncales desde un switch de Cisco hacia un dispositivo que no
admite DTP, utilice los comandos switchport mode trunk y switchport nonegotiate interface
configuration mode commands. Esto hace que la interfaz se convierta en un tronco, pero no
generará tramas DTP.
S1(config-if)# switchport mode trunk
S1(config-if)# switchport nonegotiate
Para volver a habilitar el protocolo de enlace troncal dinámico, utilice el switchport mode
dynamic auto comando.
S1(config-if)# switchport mode dynamic auto
Si los puertos que conectan dos conmutadores están configurados para ignorar todos los
anuncios DTP con los switchport mode trunk comandos switchport nonegotiate y, los
puertos se quedarán en modo de puerto troncal. Si los puertos de conexión están
configurados en automático dinámico, no negociarán un tronco y permanecerán en el estado
de modo de acceso, creando un enlace troncal inactivo.
Cuando configure un puerto para que esté en modo de enlace troncal, utilice el switchport
mode trunk comando. No existe ambigüedad sobre el estado en que se encuentra el enlace
troncal: este se encuentra siempre activo.
3.5.2
Modos de interfaz negociados

El switchport mode comando tiene opciones adicionales para negociar el modo de interfaz.
La siguiente es la sintaxis del comando :
Switch(config)# switchport mode { access | dynamic { auto | desirable } |

trunk }
Las opciones del comando se describen en la Tabla
Utilice el comando switchport nonegotiate interface configuration para detener la

negociación DTP. El switch no participa en la negociación DTP en esta interfaz. Este comando
sólo se puede utilizar cuando el modo interface switchport es access o trunk. Debe configurar
manualmente el puerto de vecindad como un puerto troncal para establecer un enlace troncal.
3.5.3
Opción Descripción
 Pone la interfaz (puerto de acceso) en modo permanente de no trunking y negocia para

convertir el enlace en un enlace no troncal.
access  La interfaz se convierte en una interfaz no troncal, independientemente de si la interfaz
vecina es una interfaz troncal.
 Hace que la interfaz pueda convertir el enlace en un enlace troncal.

 La interfaz se convierte en una interfaz de enlace troncal, si la interfaz vecina está
dynamic configurado en modo troncal o deseable.
auto  El modo de puerto de switch predeterminado para todas las interfaces Ethernet
es dynamic auto.
 Hace que el puerto intente convertir el enlace en un enlace troncal. 64 K.

dynamic  La interfaz se convierte en una interfaz de enlace troncal, si la interfaz vecina está
desirable configurado en modo automático troncal, deseable o dinámico.
 El puerto queda configurado en modo troncal de forma permanente y negocia para que el
enlace se convierta en una conexión troncal.
trunk  La interfaz se convierte en una interfaz de enlace troncal, incluso si la interfaz vecina no
es una interfaz troncal.
Resultados de una configuración DTP

La tabla ilustra los resultados de las opciones de configuración DTP en extremos opuestos de
un enlace troncal conectado a los puertos del switch Catalyst 2960. Una buena practica es
configurar los enlaces troncales estáticamente siempre que sea posible.
Dinámico
Dinámico Troncal Acceso
deseado
automático
Dinámico
Acceso Troncal Troncal Acceso
automático
Dinámico
Troncal Troncal Troncal Acceso
deseado
Conectividad
Troncal Troncal Troncal Troncal
limitada
Conectividad
Acceso Acceso Acceso Acceso
limitada
3.5.4
Verificación del modo de DTP
El modo DTP predeterminado depende de la versión del software Cisco IOS y de la
plataforma. Para determinar el modo DTP actual, ejecute el show dtp interface comando
como se muestra en la salida.
Nota: Una mejor práctica general cuando se requiere un enlace troncal es establecer la
interfaz en trunk y nonegotiate cuando se necesita un enlace troncal. Se debe inhabilitar DTP
en los enlaces cuando no se deben usar enlaces troncales.
3.5.5
Packet Tracer: Configuración de DTP

En esta actividad Packet Tracer, configurará y verificará DTP.
3.5.6
Compruebe su comprensión - Protocolo de

enlace troncal dinámico
Práctica del módulo y
cuestionario
3.6.1
Packet Tracer - Implementar VLAN y

Trunking
 Configurar las redes VLAN

 Asignar puertos a las VLAN
 Configurar troncales estáticos
 Configurar troncales dinamicos.
3.6.2
Laboratorio: Implementación de VLAN y

Troncalización
En este laboratorio, realizará lo siguiente:
 Armar la red y configurar los ajustes básicos de los dispositivos

 Crear redes VLAN y asignar puertos de switch
 Configurar un enlace troncal 802.1Q entre los switches
 3.6.3

Descripción general de las VLANs
Las LANS virtuales (VLANs) es un grupo de dispositivos dentro de una VLAN que puede
comunicarse con cada dispositivo como si estuvieran conectados al mismo cable. Las
VLAN se basan en conexiones lógicas, en lugar de conexiones físicas. Los
administradores utilizan VLAN para segmentar redes en función de factores como la
función, el equipo o la aplicación. Cada VLAN se considera una red lógica diferente.
Cualquier puerto de switch puede pertenecer a una VLAN. Una VLAN crea un dominio
de difusión lógico que puede abarcar varios segmentos LAN físicos. Las VLAN mejoran
el rendimiento de la red mediante la división de grandes dominios de difusión en otros
más pequeños. Cada VLAN de una red conmutada corresponde a una red IP; por lo
tanto, el diseño de VLAN debe utilizar un esquema jerárquico de direccionamiento de
red. Los tipos de VLAN incluyen la VLAN predeterminada, las VLAN de datos, la VLAN
nativa, las VLAN de administración. y las VLAN de voz.
 VLANs en un ambiente Multi-Switched
 Un enlace troncal no pertenece a una VLAN específica. Es un conducto para las VLAN
entre los switches y los routers. Un enlace troncal es un enlace punto a punto entre dos
dispositivos de red que lleva más de una VLAN. Un enlace troncal de VLAN amplía las
VLAN a través de toda la red. Cuando se implementan las VLAN en un switch, la
transmisión del tráfico de unidifusión, multidifusión y difusión desde un host en una
VLAN en particular se limita a los dispositivos presentes en esa VLAN. Los campos de
etiqueta de VLAN incluyen el tipo, prioridad de usuario, CFI y VID. Algunos dispositivos
que admiten los enlaces troncales agregan una etiqueta VLAN al tráfico de las VLAN
nativas. Si un puerto de enlace troncal 802.1Q recibe una trama etiquetada con la
misma ID de VLAN que la VLAN nativa, descarta la trama. Se necesita una red VLAN de
voz separada para admitir VoIP. Las directivas de QoS y seguridad se pueden aplicar al
tráfico de voz. El tráfico VLAN de voz debe etiquetarse con un valor de prioridad CoS de
Capa 2 adecuado.
 Configuración de VLAN
 Los diferentes switches Catalyst de Cisco soportan varias cantidades de VLAN,

incluidas las VLAN de rango normal y las VLAN de rango extendido. Al configurar redes
VLAN de rango normal, los detalles de configuración se almacenan en la memoria flash
del switch en un archivo denominado vlan.dat. Aunque no es necesario, se recomienda
guardar los cambios de configuración en ejecución en la configuración de inicio.
Después de crear una VLAN, el siguiente paso es asignar puertos a la VLAN. Hay
muchos comandos para definir un puerto como puerto de acceso y asignarlo a una
VLAN. Las VLAN se configuran en el puerto del switch y no en el terminal. Un puerto de
acceso puede pertenecer a sólo una VLAN por vez. Sin embargo un puerto puede
tambien estar asociado a una VLAN de voz. Por ejemplo, un puerto conectado a un
teléfono IP y un dispositivo final se asociaría con dos VLAN: una para voz y otra para
datos. Una vez que se configura una VLAN, se puede validar la configuración con los
comandos show show de IOS de Cisco Si el puerto de acceso del switch se ha
asignado incorrectamente a una VLAN, simplemente vuelva a ingresar el
comando switchport access vlan vlan-id interface configuration con el ID de VLAN
correcto. El comando de modo de configuración gloabl no vlan vlan-id se usa para
remover una VLAN desde el archivo del switch vl vlan.dat.
 Enlace troncal de VLAN
 Un enlace troncal de VLAN es un enlace de capa 2 entre dos switches que transporta el
tráfico para todas las VLAN. Hay varios comandos para configurar los puertos de
interconexión. Para verificar la configuración troncal de VLAN , utilice
el switchport comando show interfaces interface-ID. Use el no switchport trunk
allowed vlan y el no switchport trunk native vlan comando para eliminar las VLAN
permitidas y restablecer la VLAN nativa del enlace troncal.
 Protocolo de Enlace Troncal Dinámico

 Una interfaz se puede establecer en trunking o no trunking, o para negociar trunking con
la interfaz vecina. La negociación de enlaces troncales entre dispositivos de red la
maneja el Protocolo de Enlace Troncal Dinámico (DTP), que solo funciona de punto a
punto. DTP maneja la negociación de enlaces troncales solo si el puerto del switch
vecino está configurado en un modo de enlace troncal que admite DTP. Para habilitar
los enlaces troncales desde un switch de Cisco hacia un dispositivo que no admite DTP,
utilice los comandos de modo de configuración de interfaz switchport mode
trunk y switchport nonegotiate El switchport mode comando tiene opciones
adicionales para negociar el modo de interfaz, incluyendo acceso, automático dinámico,
dinámico deseable y troncal. Para verificar el modo DTP actual, ejecute el show dtp
interface comando.
 4.0.1

Bienvenido a Inter-VLAN Routing!
Ahora sabe cómo segmentar y organizar su red en VLAN. Los hosts pueden
comunicarse con otros hosts de la misma VLAN y ya no tiene hosts que envíen
mensajes de difusión a cualquier otro dispositivo de la red, consumiendo el ancho de
banda necesario. Pero, ¿qué pasa si un host de una VLAN necesita comunicarse con un
host de otra VLAN? Si es administrador de red, sabe que las personas querrán
comunicarse con otras personas fuera de la red. Aquí es donde el inter-VLAN routing
puede ayudarle. El inter-VLAN routing utiliza un dispositivo de capa 3, como un router o
un switch de capa 3. Vamos a llevar su experiencia VLAN y combinarla con sus
habilidades de capa de red y ponerlos a prueba.
4.0.2

Título del módulo: Inter-VLAN Routing
Objetivo del módulo: Solución de problemas de inter-VLAN routing en dispositivos de

capa 3
Funcionamiento del inter-

Describa las opciones para configurar inter-VLAN routing
VLAN routing
Router-on-a-Stick Inter-
Configure router-on-a-Stick inter-VLAN Routing
VLAN Routing
Inter-VLAN Routing usando

Configure inter-VLAN routing mediante un switch de capa 3.
switches de capa 3
Solución de problemas de
Solución de problemas comunes de configuración de inter-VLAN
Inter-VLAN Routing
4.1.1
¿Qué es Inter-VLAN Routing

Las VLAN se utilizan para segmentar las redes de switch de Capa 2 por diversas razones.
Independientemente del motivo, los hosts de una VLAN no pueden comunicarse con los hosts
de otra VLAN a menos que haya un router o un switch de capa 3 para proporcionar servicios
de enrutamiento.
Inter-VLA routing es el proceso de reenviar el tráfico de red de una VLAN a otra VLAN.
Hay tres opciones inter-VLAN routing:
 Inter-VLAN Routing heredado - Esta es una solución antigua. No escala bien

 Router-on-a-stick - Esta es una solución aceptable para una red pequeña y mediana.
 Switch de capa 3 con interfaces virtuales (SVIs) : esta es la solución más escalable
para organizaciones medianas y grandes.
4.1.2
Inter-VLAN Routing heredado

La primera solución de inter-VLAN routing se basó en el uso de un router con múltiples
interfaces Ethernet. Cada interfaz del router estaba conectada a un puerto del switch en
diferentes VLAN. Las interfaces del router sirven como default gateways para los hosts locales
en la subred de la VLAN.
Por ejemplo, consulte la topología donde R1 tiene dos interfaces conectadas al switch S1.
Nota en la tabla de direcciones MAC de ejemplo de S1 se rellena de la siguiente manera:
El puerto Fa0/1 está asignado a la VLAN 10 y está conectado a la interfaz R1 G0/0/0. El

puerto Fa0/11 está asignado a la VLAN 10 y está conectado a PC1. El puerto Fa0/12 está
asignado a la VLAN 20 y está conectado a la interfaz R1 G0/0/1. El puerto Fa0/11 está
asignado a la VLAN 20 y está conectado a PC2.
MAC Address table for S1
Puerto Dirección MAC VLAN
F0/1 R1 G0/0/0 MAC 10
F0/11 PC1 MAC 10
F0/12 R1 G0/0/1 MAC 20
F0/24 PC2 MAC 20
Cuando PC1 envía un paquete a PC2 en otra red, lo reenvía a su puerta de enlace
predeterminada 192.168.10.1. R1 recibe el paquete en su interfaz G0/0/0 y examina la
dirección de destino del paquete. R1 luego enruta el paquete hacia fuera de su interfaz G0/0/1
al puerto F0/12 en la VLAN 20 en S1. Finalmente, S1 reenvía la trama a PC2.
Inter-VLAN routing heredado, usa las interfaces fisicas funciona, pero tiene limitaciones
significantes. No es razonablemente escalable porque los routers tienen un número limitado
de interfaces físicas. Requerir una interfaz física del router por VLAN agota rápidamente la
capacidad de la interfaz física del router
En nuestro ejemplo, R1 requería dos interfaces Ethernet separadas para enrutar entre la
VLAN 10 y la VLAN 20. ¿Qué ocurre si hubiera seis (o más) VLAN para interconectar? Se
necesitaría una interfaz separada para cada VLAN. Obviamente, esta solución no es
escalable.
Nota: Este método de inter-VLAN routing ya no se implementa en redes de switches y se

incluye únicamente con fines explicativos.
4.1.3
Router-on-a-Stick Inter-VLAN Routing

El método ‘router-on-a-stick’ inter-VLAN routing supera la limitación del método de
enrutamiento interVLAN heredado. Solo requiere una interfaz Ethernet física para enrutar el
tráfico entre varias VLAN de una red.
Una interfaz Ethernet del router Cisco IOS se configura como un troncal 802.1Q y se conecta
a un puerto troncal en un switch de capa 2. Específicamente, la interfaz del router se configura
mediante subinterfaces para identificar VLAN enrutables.
Las subinterfaces configuradas son interfaces virtuales basadas en software. Cada uno está
asociado a una única interfaz Ethernet física. Estas subinterfaces se configuran en el software
del router. Cada una se configura de forma independiente con sus propias direcciones IP y
una asignación de VLAN. Las subinterfaces se configuran para subredes diferentes que
corresponden a su asignación de VLAN. Esto facilita el enrutamiento lógico.
Cuando el tráfico etiquetado de VLAN entra en la interfaz del router, se reenvía a la

subinterfaz de VLAN. Después de tomar una decisión de enrutamiento basada en la dirección
de red IP de destino, el router determina la interfaz de salida del tráfico. Si la interfaz de salida
está configurada como una subinterfaz 802.1q, las tramas de datos se etiquetan VLAN con la
nueva VLAN y se envían de vuelta a la interfaz física.
Haga clic en Reproducir en la figura para ver una animación de la forma en que un router-on-
a-stick desempeña su función de routing.
Como se ve en la animación, PC1 en la VLAN 10 se comunica con PC3 en la VLAN 30. El

router R1 acepta el tráfico de unidifusión etiquetado en la VLAN 10 y lo enruta a la VLAN 30
mediante sus subinterfaces configuradas. El switch S2 elimina la etiqueta de la VLAN de la
trama de unidifusión y reenvía la trama a PC3 en el puerto F0/23.
Nota: El método router-on-a-stick de inter-VLAN routing no escala mas allá de 50 VLANs.
4.1.4
Inter-VLAN Routing en un switch de capa 3

El método moderno para realizar inter-VLAN routing es utilizar switches de capa 3 e interfaces
virtuales del switch (SVI). Una SVI es una interfaz virtual configurada en un switch multicapa,
como se muestra en la figura.
Nota: Un switch de capa 3 también se denomina switch multicapa ya que funciona en la capa
2 y la capa 3. Sin embargo, en este curso usamos el término switch de capa 3.
Los SVIs entre VLAN se crean de la misma manera que se configura la interfaz de VLAN de
administración. El SVI se crea para una VLAN que existe en el switch. Aunque es virtual, el
SVI realiza las mismas funciones para la VLAN que lo haría una interfaz de router.
Específicamente, proporciona el procesamiento de Capa 3 para los paquetes que se envían
hacia o desde todos los puertos de switch asociados con esa VLAN.
A continuación se presentan las ventajas del uso de switches de capa 3 para inter-VLAN
routing:
 Es mucho más veloz que router-on-a-stick, porque todo el switching y el routing se

realizan por hardware.
 El routing no requiere enlaces externos del switch al router. No se* limitan a un enlace
porque los EtherChannels de Capa 2 se pueden utilizar como enlaces troncal entre los
switches para aumentar el ancho de banda.
 La latencia es mucho más baja, dado que los datos no necesitan salir del switch para
ser enrutados a una red diferente. Se* implementan con mayor frecuencia en una LAN
de campus que en routers.
La única desventaja es que los switches de capa 3 son más caros.

4.1.5
Verifique su comprensión- Operación de

Inter-VLAN Routing
Esta actividad de verificación de su comprensión utiliza un escenario diferente para cada
pregunta. Haga clic en cada botón para el escenario de operación de Inter-VLAN routing que
corresponda a la pregunta.
4.2.1
Escenario Router-on-a-Stick
En el tema anterior, se enumeraron tres formas diferentes de crear inter-VLAN routing y se
detalló el inter-VLAN routing heredado. Este tema detalla como configurar router-on-a-stick
inter-VLAN routing. Puede ver en la figura que el router no está en el centro de la topología,
sino que parece estar en un palo cerca del borde, de ahí el nombre.
En la figura, la interfaz R1 GigabitEthernet 0/0/1 está conectada al puerto S1 FastEthernet 0/5.

El puerto S1 FastEthernet 0/1 está conectado al puerto S2 FastEthernet 0/1. Estos son
enlaces troncales necesarios para reenviar tráfico dentro de las VLAN y entre ellas.
Para enrutar entre VLAN, la interfaz R1 GigabitEthernet 0/0/1 se divide lógicamente en tres
subinterfaces, como se muestra en la tabla. La tabla también muestra las tres VLAN que se
configurarán en los switches.
Router R1 Subinterfaces
subinterfaz VLAN Dirección IP
G0/0/1.10 10 192.168.10.1/24
G0/0/1.20 20 192.168.20.1/24
G0/0/1.99 99 192.168.99.1/24
Suponga que R1, S1 y S2 tienen configuraciones básicas iniciales. Actualmente, PC1 y PC2
no pueden ping entre sí porque están en redes separadas. Sólo S1 y S2 pueden ping uno al
otro, pero son inalcanzables por PC1 o PC2 porque también están en diferentes redes.
Para permitir que los dispositivos se hagan ping entre sí, los switches deben configurarse con
VLAN y trunking, y el router debe configurarse para el inter-VLAN routing.
4.2.2
S1 VLAN and configuraciones de enlaces

troncales
Complete los siguientes pasos para configurar S1 con VLAN y trunking:
Paso 1. Crear y nombrar las VLANs.
Paso 2. Crear la interfaz de administración
Paso 3. Configurar puertos de acceso.
Paso 4. Configurar puertos de enlace troncal.

1. Crear y nombrar los VLANs.
En primer lugar, las VLAN se crean y nombran. Las VLAN sólo se crean después de salir del
modo de subconfiguración de VLAN.
2. Crear la interfaz de administración.
A continuación, se crea la interfaz de administración en VLAN 99 junto con el default gateway

de R1.
3. Configurar puertos de acceso.
A continuación, el puerto Fa0/6 que se conecta a PC1 se configura como un puerto de acceso
en la VLAN 10. Supongamos que PC1 se ha configurado con la dirección IP correcta yel
default gateway.
4. Configurar puertos de enlace troncal.
Por último, los puertos Fa0/1 que se conectan a S2 y Fa05 que se conectan a R1 se
configuran como puertos troncales.
4.2.3
S2 VLAN y configuraciones de enlaces

troncales
La configuración para S2 es similar a S1.
4.2.4
Configuración de subinterfaces de R1
Para el método de router-on-a-stick, se requieren subinterfaces configuradas para cada VLAN
que se pueda enrutar.
Se crea una subinterfaz mediante el comando interface interface_id subinterface_id global

configuration mode. La sintaxis de la subinterfaz es la interfaz física seguida de un punto y un
número de subinterfaz. Aunque no es obligatorio, es costumbre hacer coincidir el número de
subinterfaz con el número de VLAN.
A continuación, cada subinterfaz se configura con los dos comandos siguientes:
 encapsulation dot1q vlan_id [native] - This command configures the subinterface to

respond to 802.1Q encapsulated traffic from the specified vlan-id. The native keyword
sólo se agrega para establecer la VLAN nativa en algo distinto de VLAN 1.
 ip address ip-address subnet-mask - Este comando configura la dirección IPv4 de la
subinterfaz. Esta dirección normalmente sirve como default gateway para la VLAN
identificada.
Repita el proceso para cada VLAN que se vaya a enrutar. Es necesario asignar una dirección
IP a cada subinterfaz del router en una subred única para que se produzca el routing.
Cuando se hayan creado todas las subinterfaces, habilite la interfaz física mediante el
comando de configuración de no shutdown interfaz. Si la interfaz física está deshabilitada,
todas las subinterfaces están deshabilitadas.
En la siguiente configuración, las subinterfaces R1 G0/0/1 se configuran para las VLAN 10, 20
y 99.
4.2.5
Verificar la conectividad entre PC1 y PC2
La configuración del router-on-a-stick se completa después de configurar los enlaces troncales
del switch y las subinterfaces del router. La configuración se puede verificar desde los hosts, el
router y el switch.
Desde un host, compruebe la conectividad con un host de otra VLAN mediante

el ping comando. Es una buena idea verificar primero la configuración IP del host actual
mediante el comando ipconfig Windows host
El resultado confirma la dirección IPv4 y el default gateway de PC1. A continuación,

utilice ping para verificar la conectividad con PC2 y S1, como se muestra en la figura.
El ping resultado confirma correctamente que el enrutamiento entre VLANs está funcionando.
4.2.6
Verificación de Router-on-a-Stick Inter-
VLAN Routing
Además de utilizar ping entre dispositivos, se pueden utilizar los siguientes show comandos
para verificar y solucionar problemas de la configuración del router-on-a-stick.
 show ip route
 show ip interface brief
 show interfaces
 show interfaces trunk
Compruebe que las subinterfaces aparecen en la tabla de enrutamiento de R1 mediante

el show ip route comando. Observe que hay tres rutas conectadas (C) y sus respectivas
interfaces de salida para cada VLAN enrutable. El resultado confirma que las subredes, las
VLAN y las subinterfaces correctas están activas.
Otro comando útil del router es show ip interface brief, como se muestra en el resultado. El
resultado confirma que las subinterfaces tienen configurada la dirección IPv4 correcta y que
están operativas.
Las subinterfaces se pueden verificar mediante el comando show interfaces subinterface-id,

como se muestra.
La configuración incorrecta también podría estar en el puerto troncal del switch. Por lo tanto,
también es útil verificar los enlaces troncales activos en un switch de Capa 2 mediante el show
interfaces trunk comando, como se muestra en el ejemplo. El resultado confirma que el enlace
a R1 es troncal para las VLAN requeridas.
Note: Aunque la VLAN 1 no se configuró explícitamente, se incluyó automáticamente porque

el tráfico de control en los enlaces troncal siempre se reenvía en la VLAN 1.
4.2.7
Packet Tracer - Configure Router-on-a-

Stick Inter-VLAN Routing
En esta actividad, verificará la conectividad antes de implementar inter-VLAN routing. Luego,
configurará las VLAN y el inter-VLAN routing. Por último, habilitará el enlace troncal y
verificará la conectividad entre las VLAN.
4.2.8
Lab - Configure Router-on-a-Stick Inter-
VLAN Routing
En este laboratorio, cumplirá los siguientes objetivos:
 Parte 1: Armar la red y configurar los ajustes básicos de los dispositivos

 Parte 2: configurar los switches con las VLAN y los enlaces troncales
 Parte 3: configurar Inter-VLAN Routing basado en enlaces troncales
Inter-VLAN Routing usando

switches de capa 3
4.3.1
Inter-VLAN Routing en Switch de capa 3

Las redes empresariales modernas rara vez usan router-on-a-stick porque no se escalan
fácilmente para cumplir los requisitos. En estas redes muy grandes, los administradores de red
utilizan switches de capa 3 para configurar el inter-VLAN routing.
El inter-VLAN routing. mediante el método router-on-a-stick es fácil de implementar para una

organización pequeña y mediana. Sin embargo, una gran empresa requiere un método más
rápido y mucho más escalable para proporcionar inter-VLAN routing.
Las LAN de campus empresariales utilizan switches de capa 3 para proporcionar inter-VLAN
routing. Los switches de capa 3 utilizan switching basado en hardware para lograr velocidades
de procesamiento de paquetes más altas que los routers. Los switches de capa 3 también se
implementan comúnmente en armarios de cableado de capa de distribución empresarial.
Las capacidades de un switch de capa 3 incluyen la capacidad de hacer lo siguiente:
 Ruta de una VLAN a otra mediante múltiples interfaces virtuales de switch (SVIs).
 Convierta un puerto de switch de capa 2 en una interfaz de capa 3 (es decir, un puerto
enrutado). Un puerto enrutado es similar a una interfaz física en un router Cisco IOS.
Para proporcionar enrutamiento entre VLAN, los switches de capa 3 utilizan SVIs. Los SVIs se
configuran utilizando el mismo comando interface vlan vlan-id utilizado para crear el SVI de
administración en un switch de capa 2. Se debe crear un SVI de Capa 3 para cada una de las
VLAN enrutables.
4.3.2
Escenario de switch de capa 3
En la figura, el switch de capa 3, D1, está conectado a dos hosts en diferentes VLAN. PC1
está en VLAN 10 y PC2 está en VLAN 20, como se muestra. El switch de capa 3
proporcionará servicios inter-VLAN routing a los dos hosts.
La tabla muestra las direcciones IP de cada VLAN.
D1 VLAN IP Addresses
VLAN
Dirección IP
Interface
10 192.168.10.1/24
20 192.168.20.1/24
4.3.3
Configuracion de switch de capa 3

Complete los siguientes pasos para configurar S1 con VLAN y trunking :
Paso 1. Crear las VLAN.

Paso 2. Crear las interfaces VLAN SVI.
Paso 3. Configurar puertos de acceso.
Paso 4. Habilitar IP routing.
1. Crear las VLANs.
Primero, cree las dos VLAN como se muestra en el ejemplo
2. Crear las interfaces VLAN SVI.
Configurar el SVI para VLANs 10 y 20 Las direcciones IP configuradas servirán como default
gateways para los hosts de las VLAN respectivas. Observe que los mensajes informativos que
muestran el protocolo de línea en ambos SVIs cambiaron a funcionales.
3. Configurar puertos de acceso.
A continuación, configure los puertos de acceso que se conectan a los hosts y asígnelos a sus
respectivas VLAN.
4. Habilitar IP routing.
Por último, habilite el enrutamiento IPv4 con el comando de configuración ip routing global
para permitir el intercambio de tráfico entre las VLAN 10 y 20. Este comando debe
configurarse para habilitar el inter-VAN routing en un switch de capa 3 para IPv4.
D1(config)# ip routing
4.3.4
Verificación Inter-VLAN Routing del switch

de capa 3
El Inter-VLAN Routing mediante un switch de capa 3 es más sencillo de configurar que el
método router-on-a-stick. Una vez completada la configuración, la configuración se puede
verificar probando la conectividad entre los hosts.
Desde un host, compruebe la conectividad con un host de otra VLAN mediante

el ping comando. Es una buena idea verificar primero la configuración IP del host actual
mediante el comando ipconfig Windows host El resultado confirma la dirección IPv4 y el
default gateway de PC1.
C:\Users\PC1> ipconfig
A continuación, verifique la conectividad con PC2 mediante el comando host de ping Windows,
como se muestra en el ejemplo. El ping resultado confirma correctamente que el enrutamiento
entre VLANs está funcionando.
C:\Users\PC1> ping 192.168.20.10
4.3.5
Enrutamiento en un switch de capa 3

Si se quiere que otros dispositivos de Capa 3 puedan acceder a las VLAN, deben anunciarse
mediante enrutamiento estático o dinámico. Para habilitar el enrutamiento en un switch de
capa 3, se debe configurar un puerto enrutado.
Un puerto enrutado se crea en un switch de Capa 3 deshabilitando la función switchport de un

switch de Capa 2 que está conectado a otro dispositivo de Capa 3. Específicamente, al
configurar el comando de configuración de no switchport interfaz en un puerto de Capa 2, se
convierte en una interfaz de Capa 3. A continuación, la interfaz se puede configurar con una
configuración IPv4 para conectarse a un router u otro switch de capa 3.
4.3.6
Escenario de enrutamiento en un switch

de capa 3
En la figura, el switch de capa 3 D1 previamente configurado ahora está conectado a R1. R1 y
D1 están ambos en un dominio de protocolo de enrutamiento Open Shortest Path First
(OSPF). Supongamos que Inter-VLAN se ha implementado correctamente en D1. La interfaz
G0/0/1 de R1 también ha sido configurada y habilitada. Además, R1 está utilizando OSPF
para anunciar sus dos redes, 10.10.10.0/24 y 10.20.20.0/24.
La configuración de enrutamientoNote: OSPF se cubre en otro curso. En este módulo, se le

darán comandos de configuración OSPF en todas las actividades y evaluaciones. No es
necesario que comprenda la configuración para habilitar el enrutamiento OSPF en el switch de
capa 3.
4.3.7
Configuración de enrutamiento en un
switch de capa 3
Complete los siguientes pasos para configurar D1 para enrutar con R1:
Paso 1. Configure el puerto enrutado.
Paso 2. Activar el routing.
Paso 3. Configurar el enrutamiento
Paso 4. Verificar enrutamiento.
Paso 5. Verificar la conectividad
1. Configure el puerto enrutado.
Configure G1/0/1 para que sea un puerto enrutado, asígnele una dirección IPv4 y habilítelo.
2. Activar el routing.
Asegúrese de que el enrutamiento IPv4 esté habilitado con el comando de configuración ip

routing global.
D1(config)# ip routing
3. Configurar el enrutamiento.
Configure el protocolo de enrutamiento OSPF para anunciar las redes VLAN 10 y VLAN 20,
junto con la red que está conectada a R1. Observe el mensaje informándole de que se ha
establecido una adyacencia con R1.
4. Verificar enrutamiento.
Verifique la tabla de enrutamiento en D1. Observe que D1 ahora tiene una ruta a la red
10.20.20.0/24.
D1# show ip route | begin Gateway
5. Verificar la conectividad.
En este momento, PC1 y PC2 pueden hacer ping al servidor conectado a R1.
c:Userspc1> ping 10.20.20.254
4.3.8
Packet Tracer - Configurar switch de capa

3 e Inter-VLAN Routing
En esta actividad, configurará switching de capa 3 e Inter-VLAN routing en un switch
Cisco 3560.
4.4.1
Problemas comunes de Inter-VLAN routing

Ya sabe que cuando configure y verifique, también debe ser capaz de solucionar problemas.
En este tema se describen algunos problemas comunes de red asociados con el Inter-VLAN
routing
Hay varias razones por las que una configuración entre VLANs puede no funcionar. Todos
están relacionados con problemas de conectividad. En primer lugar, compruebe la capa física
para resolver cualquier problema en el que un cable pueda estar conectado al puerto
incorrecto. Si las conexiones son correctas, utilice la lista de la tabla para otras razones
comunes por las que puede fallar la conectividad entre VLAN.
Tipo de Cómo
Cómo arreglar
problema verificar
show vlan
 Cree (o vuelva a crear) la VLAN si no existe. [brief]
show
VLAN faltantes  Asegúrese de que el puerto host está asignado a la VLAN correcta.
interfaces
switchport
ping
show
 Asegúrese de que los enlaces troncales estén configurados interfaces
Problemas con el correctamente. trunk
puerto troncal del
 Asegúrese de que el puerto es un puerto troncal y está habilitado. show
switch running-
config
show
interfaces
 Asigne el puerto a la VLAN correcta. switchport
Problemas en los  Asegúrese de que el puerto es un puerto de acceso y está habilitado. show
puertos de
 El host está configurado incorrectamente en la subred incorrecta. running-
acceso de switch config
interface
ipconfig
 La dirección IPv4 de la subinterfaz del router está configurada show ip

Temas de interface
incorrectamente.
configuración del brief
 La subinterfaz del router se asigna al ID de VLAN. show
router
interfaces
4.4.2
Escenario de resolución de problemas de

Inter-VLAN Routing
Los ejemplos de algunos de estos problemas de Inter-VLAN Routing ahora se tratarán con
más detalle.
Esta topología se utilizará para todos estos problemas.

La información de direccionamiento VLAN e IPv4 para R1 se muestra en la tabla.
Router R1 Subinterfaces
subinterfaz VLAN Dirección IP
G0/0/0.10 10 192.168.10.1/24
G0/0/0.20 20 192.168.20.1/24
G0/0/0.30 99 192.168.99.1/24
4.4.3
VLAN faltantes
Un problema de conectividad entre VLAN podría deberse a la falta de una VLAN. La VLAN
podría faltar si no se creó, se eliminó accidentalmente o no se permite en el enlace troncal.
Por ejemplo, PC1 está conectado actualmente a la VLAN 10, como se muestra en el ejemplo
del show vlan brief comando.
S1# show vlan brief
Ahora suponga que la VLAN 10 se elimina accidentalmente, como se muestra en el siguiente

resultado.
Observe que ahora falta VLAN 10 en el resultado Observe también que el puerto Fa0/6 no se
ha reasignado a la VLAN predeterminada. Cuando elimina una VLAN, cualquier puerto
asignado a esa VLAN queda inactivo. Permanecen asociados con la VLAN (y, por lo tanto,
inactivos) hasta que los asigne a una nueva VLAN o vuelva a crear la VLAN que falta.
Utilice el show interface comando switchport interface-id para verificar la pertenencia a VLAN.
S1(config)# do show interface fa0/6 switchport
Si se vuelve a crear la VLAN que falta, se reasignarán automáticamente los hosts a ella, como
se muestra en el siguiente resultado.
S1(config)# vlan 10 S1(config-vlan)# do show vlan brief
Observe que la VLAN no se ha creado como se esperaba. La razón se debe a que debe salir
del modo de subconfiguración de VLAN para crear la VLAN, como se muestra en el siguiente
resultado.
S1(config-vlan)# exit
S1(config)# vlan 10
S1(config)# do show vlan brief
Ahora observe que la VLAN está incluida en la lista y que el host conectado a Fa0/6 está en la
VLAN 10.
4.4.4
Problemas con el puerto troncal del switch

Otro problema para el enrutamiento entre VLAN incluye puertos de switch mal configurados.
En una solución interVLAN heredada, esto podría deberse a que el puerto del router de
conexión no está asignado a la VLAN correcta.
Sin embargo, con una solución router-on-a-stick, la causa más común es un puerto troncal mal
configurado.
Por ejemplo, suponga que PC1 pudo conectarse a hosts de otras VLAN hasta hace poco. Un
vistazo rápido a los registros de mantenimiento reveló que recientemente se accedió al switch
S1 Capa 2 para el mantenimiento rutinario. Por lo tanto, sospecha que el problema puede
estar relacionado con ese switch.
En S1, verifique que el puerto que se conecta a R1 (es decir, F0/5) esté configurado
correctamente como enlace troncal utilizando el show interfaces trunk comando, como se
muestra.
S1# show interfaces trunk
El puerto Fa0/5 que conecta a R1 falta misteriosamente en el resultado. Verifique la

configuración de la interfaz mediante el show running-config interface fa0/5 comando, como se
muestra.
S1# show running-config | include interface fa0/5
Como pueden ver, el puerto fue apagado accidentalmente. Para corregir el problema, vuelva a
habilitar el puerto y verifique el estado de enlace troncal, como se muestra en el ejemplo.
S1(config)# interface fa0/5
Para reducir el riesgo de una falla en el enlace entre switch es que interrumpa el inter-VLAN
routing, el diseño de red debe contar con enlaces redundantes y rutas alternativas.
4.4.5
Problemas en los puertos de acceso de

switch
Cuando sospeche que hay un problema con una configuración del switch, utilice los distintos
comandos de verificación para examinar la configuración e identificar el problema.
Supongamos que PC1 tiene la dirección IPv4 correcta y el default gateway, pero no es capaz
de ping su propio default gateway PC1 se supone que debe estar conectado a un puerto
VLAN 10.
Verifique la configuración del puerto en S1 mediante el show
interfaces comando switchport interface-id.
S1# show interface fa0/6 switchport
El puerto Fa0/6 se ha configurado como un puerto de acceso como se indica en «acceso

estático». Sin embargo, parece que no se ha configurado para estar en VLAN 10. Verifique la
S1# show running-config interface fa0/6
Asigne el puerto Fa0/6 a la VLAN 10 y verifique la asignación del puerto.

PC1 ahora puede comunicarse con hosts de otras VLAN.
4.4.6
Temas de configuración del router

Los problemas de configuración del router-on-a-stick suelen estar relacionados con
configuraciones incorrectas de la subinterfaz. Por ejemplo, se configuró una dirección IP
incorrecta o se asignó un ID de VLAN incorrecto a la subinterfaz.
Por ejemplo, R1 debería proporcionar inter-VLAN routing para los usuarios de VLAN 10,
20 y 99. Sin embargo, los usuarios de VLAN 10 no pueden llegar a ninguna otra VLAN.
La topología de red física muestra dos PC, dos switches y un router. PC1 tiene la dirección
IP 192.168.10.10/24, un default gateway de 192.168.10.1 y está en VLAN 10. PC2 tiene la
dirección IP 192.168.20.10/24, un default gateway 192.168.20.1 y está en VLAN 20. PC1
se conecta al switch S1 en el puerto F0/6. PC2 se conecta al switch S2 en el puerto F0/18.
El switch S1 y el switch S2 están interconectados entre sí a través de un enlace troncal en el
puerto F0/1. El switch S1 está conectado al router R1 a través de un enlace troncal en el
puerto del switch F0/5 que se conecta a las interfaces G0/0/1 en R1. La dirección IP de
administración en S1 es 192.168.99.2/24. La dirección IP de administración en S1 es
192.168.99.3/24.
Verificó el enlace troncal del switch y todo parece estar en orden. Verificar el estatus de las
interfaces usando el show ip interface brief comando
R1# show ip interface brief
A las subinterfaces se les han asignado las direcciones IPv4 correctas y están operativas.
Compruebe en qué VLAN se encuentra cada una de las subinterfaces. Para ello, el show
interfaces comando es útil, pero genera una gran cantidad de resultados adicionales no
requeridos. El resultado del comando se puede reducir utilizando filtros de comando IOS como
se muestra en el ejemplo.
R1# show interfaces | include Gig|802.1Q
El símbolo de tubería (|) junto con algunas palabras clave de selección es un método útil para
ayudar a filtrar el resultado del comando. En este ejemplo, la palabra clave se include utilizó
para identificar que sólo se mostrarán las líneas que contienen las letras «Gig» o «802.1Q».
Debido a la forma en que se enumera naturalmente la show interface salida, el uso de estos
filtros genera una lista condensada de interfaces y sus VLAN asignadas.
Observe que la interfaz G0/0/1.10 se ha asignado incorrectamente a la VLAN 100 en lugar de
a la VLAN 10. Esto se confirma mirando la configuración de la subinterfaz GigabitEthernet R1
0/0/1.10, como se muestra.
R1# show running-config interface g0/0/1.10
Para corregir este problema, configure la subinterfaz G0/0/1.10 para que esté en la VLAN
correcta mediante el comando encapsulation dot1q 10 en el modo de configuración de
subinterfaz.
R1# conf t
R1# show interfaces | include Gig|802.1Q
Una vez asignada la subinterfaz a la VLAN correcta, los dispositivos en esa VLAN pueden
acceder a ella, y el router puede realizar inter-VLAN routing.
Con la correcta verificación, los problemas de configuración del router se resuelven

rápidamente, lo que permite que el inter-VLAN routing funcione de forma adecuada.
4.4.7
Compruebe su comprensión - Solucionar

problemas de inter-VLAN routing.
4.4.8
Packet Tracer: resolución de problemas de

inter-VLAN routing
 Parte 1: encontrar los problemas de red

 Parte 2: Implementación de la solución
 Parte 3: Verificar la conectividad de la red
4.4.9
Práctica de laboratorio: resolución de
problemas de inter-VLAN routing
 Parte 1:Evaluar el funcionamiento de la red

 Parte 2: Recopilar información, crear un plan de acción e implementar cambios.
disponible.
Packet Tracer - Physical Mode (PTPM)

cuestionario
4.5.1
Packet Tracer: desafío de inter-VLAN

routing
En esta actividad, demostrará y reforzará su capacidad para implementar el inter-VLAN
routing, incluida la configuración de direcciones IP, las VLAN, los enlaces troncales y las
subinterfaces.
4.5.2
Laboratorio: Implementar inter-VLAN

routing
En este laboratorio, cumplirá los siguientes objetivos:

 Parte 2: Crear redes VLAN y asignar puertos de switch
 Parte 3: Configurar un enlace troncal 802.1Q entre los switches
 Parte 4: Configure Inter-VLAN Routing en el switch S1
 Parte 5: Verifique que el inter-VLAN routing esté funcionando
4.5.3

Funcionamiento del routing entre redes VLAN
Los hosts de una VLAN no pueden comunicarse con los hosts de otra VLAN a menos
que haya un router o un switch de capa 3 para proporcionar servicios de enrutamiento.
Inter-VLA routing es el proceso de reenviar el tráfico de red de una VLAN a otra VLAN.
Tres opciones incluyen heredado, router-on-a-stick y switch de capa 3 con SVIs.
Heredado utiliza un router con múltiples interfaces Ethernet. Cada interfaz del router
estaba conectada a un puerto del switch en diferentes VLAN . Requerir una interfaz
física del router por VLAN agota rápidamente la capacidad de la interfaz física del router
El método ‘router-on-a-stick’ inter-VLAN routing solo requiere una interfaz Ethernet física
para enrutar el tráfico entre varias VLAN de una red. Una interfaz Ethernet del router
Cisco IOS se configura como un troncal 802.1Q y se conecta a un puerto troncal en un
switch de capa 2. La interfaz del router se configura mediante subinterfaces para
identificar VLAN enrutables. Las subinterfaces son interfaces virtuales basadas en
software, asociadas con una única interfaz física. El método moderno es el enrutamiento
entre VLAN en un switch de capa 3 mediante SVIs. El SVI se crea para una VLAN que
existe en el switch. El SVI realiza las mismas funciones para la VLAN que una interfaz
del router. Proporciona procesamiento de capa 3 para los paquetes que se envían ao
desde todos los puertos de conmutador asociados con esa VLAN.
Routing entre VLAN con router-on-a-stick

Para configurar un switch con VLAN y enlaces troncales, realice los siguientes pasos:
cree y asigne un nombre a las VLAN, cree la interfaz de administración, configure los
puertos de acceso y configure los puertos de enlace troncal. Para el método de router-
on-a-stick, se requieren subinterfaces configuradas para cada VLAN que se pueda
enrutar. Se crea una subinterfaz mediante el comando interface interface_id
subinterface_id global configuration mode. Es necesario asignar una dirección IP a cada
subinterfaz del router en una subred única para que se produzca el routing. Cuando se
han creado todas las subinterfaces, la interfaz física debe habilitarse mediante el
comando de configuración de no shutdown interfaz. Desde un host, compruebe la
conectividad con un host de otra VLAN mediante el ping comando. ping Utilícelo para
verificar la conectividad con el host y el switch. Para verificar y solucionar problemas
utilice los comandos, ,show ip route, show ip interface brief, show interfaces y show
interfaces trunk
Inter-VLAN Routing usando switches de capa 3

Las LAN de campus empresariales utilizan switches de capa 3 para proporcionar
enrutamiento entre VLAN. Los switches de capa 3 utilizan switching basado en
hardware para lograr velocidades de procesamiento de paquetes más altas que los
routers. Las capacidades de un switch de Capa 3 incluyen el enrutamiento de una VLAN
a otra utilizando múltiples interfaces virtuales conmutadas (SVI) y la conversión de un
puerto de switch de Capa 2 a una interfaz de Capa 3 (es decir, un puerto enrutado).
Para proporcionar enrutamiento entre VLAN, los switches de capa 3 utilizan SVIs. Los
SVIs se configuran utilizando el mismo comando interface vlan vlan-id utilizado para
crear el SVI de administración en un switch de capa 2. Se debe crear un SVI de Capa 3
para cada una de las VLAN enrutables. Para configurar un switch con VLAN y trunking,
siga los pasos siguientes: cree las VLAN, cree las interfaces VLAN SVI, configure los
puertos de acceso y habilite el enrutamiento IP. Desde un host, compruebe la
conectividad con un host de otra VLAN mediante el ping comando. A continuación,
compruebe la conectividad con el host mediante el comando host de ping Windows. Las
VLAN deben anunciarse mediante enrutamiento estático o dinámico. Para habilitar el
enrutamiento en un switch de capa 3, se debe configurar un puerto enrutado. Un puerto
enrutado se crea en un switch de Capa 3 deshabilitando la función switchport de un
switch de Capa 2 que está conectado a otro dispositivo de Capa 3. La interfaz se puede
configurar con una configuración IPv4 para conectarse a un router u otro switch de capa
3. Para configurar un switch de capa 3 para enrutar con un router, siga estos pasos:
configure el puerto enrutado, habilite el enrutamiento, configure el enrutamiento,
verifique el enrutamiento y verifique la conectividad.
Resolución de problemas de Inter-VLAN routing
Hay varias razones por las que una configuración entre van puede no funcionar . Todos
están relacionados con problemas de conectividad, como las VLAN faltantes, los
problemas del puerto troncal del switch, los problemas del puerto de acceso del switch y
los problemas de configuración del router. Podría faltar una VLAN si no se creó, se
eliminó accidentalmente o no se permite en el enlace troncal. Otro problema para el
enrutamiento entre VLAN incluye puertos de switch mal configurados. En una solución
interVLAN heredada, podría producirse un puerto de switch mal configurado cuando el
puerto del router de conexión no está asignado a la VLAN correcta. Con una solución
router-on-a-stick, la causa más común es un puerto troncal mal configurado. Cuando se
sospecha un problema con una configuración del puerto de acceso del switch, utilice
los ping comandos show interfaces interface-id switchport y _interface-para identificar
el problema. Los problemas de configuración del router con configuraciones de router-
on-a-stick suelen estar relacionados con configuraciones erróneas de subinterfaz.
Verificar el estatus de las interfaces usando el show ip interface brief comando
5.0.1

Bienvenido a STP Concepts!
Una red de nivel 2 bien diseñada tendrá conmutadores y rutas redundantes para garantizar
que si un conmutador se apaga, otra ruta a otro conmutador esté disponible para reenviar
datos. Los usuarios de la red no experimentarían ninguna interrupción del servicio. La
redundancia en un diseño de red jerárquica soluciona el problema de un solo punto de falla,
pero puede crear un tipo diferente de problema llamado bucles de Capa 2.
¿Qué es un bucle? Imagina que estás en un concierto. El micrófono del cantante y el altavoz
amplificado pueden, por diversas razones, crear un bucle de retroalimentación. Lo que se oye
es una señal amplificada del micrófono que sale del altavoz que luego es recogido de nuevo
por el micrófono, amplificado más y pasado de nuevo a través del altavoz. El sonido
rápidamente se vuelve muy fuerte, desagradable y hace que sea imposible escuchar música
real. Esto continúa hasta que se corta la conexión entre el micrófono y el altavoz.
Un bucle de capa 2 crea un caos similar en una red. Puede suceder muy rápidamente y hacer
imposible el uso de la red. Hay algunas formas comunes de crear y propagar un bucle de
Capa 2. El protocolo de árbol de expansión (STP) está diseñado específicamente para
eliminar los bucles de capa 2 en la red. Este módulo analiza las causas de los bucles y los
diversos tipos de protocolos de árbol de expansión. Incluye un vídeo y una actividad Packet
Tracer para ayudarle a entender los conceptos STP.
5.0.2

Título del módulo: STP Conceptos
Objetivo del módulo: Explique cómo STP permite la redundancia en una red de capa 2.
Leyenda de la tabla
Explique los problemas comunes en una red conmutada redundante

Propósito del STP
L2.
Funcionamientos del STP Explicar cómo opera STP en una red conmutada simple.
Evolución del STP Explique la forma en que funciona PVST+ rápido.
Propósito del STP

5.1.1
Redundancia en redes conmutadas de capa

2
En este tema se tratan las causas de los bucles en una red de capa 2 y se explica brevemente
cómo funciona el protocolo de árbol de expansión. La redundancia es una parte importante del
diseño jerárquico para eliminar puntos únicos de falla y prevenir la interrupción de los servicios
de red para los usuarios. Las redes redundantes requieren la adición de rutas físicas, pero la
redundancia lógica también debe formar parte del diseño. Tener rutas físicas alternativas para
que los datos atraviesen la red permite que los usuarios accedan a los recursos de red, a
pesar de las interrupciones de la ruta. Sin embargo, las rutas redundantes en una red Ethernet
conmutada pueden causar bucles físicos y lógicos en la capa 2.
Las LAN Ethernet requieren una topología sin bucles con una única ruta entre dos
dispositivos. Un bucle en una LAN Ethernet puede provocar una propagación continua de
tramas Ethernet hasta que un enlace se interrumpe y interrumpa el bucle.
5.1.2
Protocolo de árbol de extensión
El protocolo de árbol de expansión (STP) es un protocolo de red de prevención de bucles que
permite redundancia mientras crea una topología de capa 2 sin bucles. IEEE 802.1D es el
estándar original IEEE MAC Bridging para STP.
Haga clic en Reproducir en la figura para ver una animación de STP en acción.
The figure is an animation showing 4 p c s and 3 switches. The three switches are connected
to each other in a triangle. three pcs are connected to s 2. p c 1 sends a broadcast frame. it is
received by s 2. s 2 forwards teh broadcast out all ports except the originating port and the
blocked port to s 3. the two other p cs and s1 receive the frame. s 1 forwards the broadcast out
all ports except the originating port. the frame is received by p c 4 and s 3. s 3 forwards the
frame back to s 2. s 2 drops the frame because it received it on a blocked port.
STP Normal Operation

5.1.3
Recalcular STP
Haga clic en Reproducir en la siguiente figura para ver una animación del recálculo de STP
cuando ocurre una falla.
La figura es una animación con la misma topología que en la animación anterior. En la

animación, el enlace troncal entre S2 y S1 ha fallado. S2 desbloquea el puerto para Trunk 2.
La PC1 envía una trama de difusión al S2. S2 reenvía la transmisión a todos los puertos del
conmutador, excepto el puerto de origen y el enlace fallido para el Troncal 1. El S3 reenvía la
difusión por todos los puertos de switch disponibles, excepto el puerto de origen. El S1 reenvía
la difusión solo por F0/3.
STP Compensates for Network Failure

5.1.4
Problemas con los vínculos de switch

redundantes
La redundancia de ruta proporciona múltiples servicios de red al eliminar la posibilidad de un
solo punto de falla. Cuando existen múltiples rutas entre dos dispositivos en una red Ethernet,
y no hay implementación de árbol de expansión en los conmutadores, se produce un bucle de
capa 2. Un bucle de capa 2 puede provocar inestabilidad en la tabla de direcciones MAC,
saturación de enlaces y alta utilización de CPU en conmutadores y dispositivos finales, lo que
hace que la red se vuelva inutilizable.
A diferencia de los protocolos de Capa 3, IPv4 e IPv6, Layer 2 Ethernet no incluye un

mecanismo para reconocer y eliminar tramas de bucle sin fin. Tanto IPv4 como IPv6 incluyen
un mecanismo que limita la cantidad de veces que un dispositivo de red de Capa 3 puede
retransmitir un paquete. Un router disminuirá el TTL (Tiempo de vida) en cada paquete IPv4 y
el campo Límite de saltos en cada paquete IPv6. Cuando estos campos se reducen a 0, un
router dejará caer el paquete. Los switches Ethernet y Ethernet no tienen un mecanismo
comparable para limitar el número de veces que un switches retransmite una trama de Capa
2. STP fue desarrollado específicamente como un mecanismo de prevención de bucles para
Ethernet de Capa 2.
5.1.5
Bucles de la capa 2
Sin STP habilitado, se pueden formar bucles de capa 2, lo que hace que las tramas de
difusión, multidifusión y unidifusión desconocidos se reproduzcan sin fin. Esto puede derribar
una red en un período de tiempo muy corto, a veces en pocos segundos. Por ejemplo, las
tramas de difusión, como una solicitud ARP, se reenvían a todos los puertos del conmutador,
excepto el puerto de entrada original. Esto asegura que todos los dispositivos en un dominio
de difusión reciban la trama. Si hay más de una ruta para reenviar la trama, se puede formar
un bucle infinito. Cuando se produce un bucle, la tabla de direcciones MAC en un conmutador
cambiará constantemente con las actualizaciones de las tramas de difusión, lo que resulta en
la inestabilidad de la base de datos MAC. Esto puede causar una alta utilización de la CPU, lo
que hace que el switch no pueda reenviar tramas.
Las tramas de difusión no son el único tipo de tramas que son afectadas por los bucles. Si se
envían tramas de unidifusión desconocidas a una red con bucles, se puede producir la llegada
de tramas duplicadas al dispositivo de destino. Una trama de unidifusión desconocida se
produce cuando el switch no tiene la dirección MAC de destino en la tabla de direcciones MAC
y debe reenviar la trama a todos los puertos, excepto el puerto de ingreso.
Haga clic en Reproducir en la figura para ver la animación. Cuando la animación se detiene,
lea el texto que describe la acción. La animación continuará después de una pausa breve.
5.1.6
Tormenta de difusión (Broadcast Storm)

Una tormenta de difusión es un número anormalmente alto de emisiones que abruman la red
durante un período específico de tiempo. Las tormentas de difusión pueden deshabilitar una
red en cuestión de segundos al abrumar los conmutadores y los dispositivos finales. Las
tormentas de difusión pueden deberse a un problema de hardware como una NIC defectuosa
o a un bucle de capa 2 en la red.
Las emisiones de capa 2 en una red, como las solicitudes ARP, son muy comunes. Es
probable que un bucle de capa 2 tenga consecuencias inmediatas y de desactivación en la
red. Las multidifusión de capa 2 normalmente se reenvían de la misma manera que una
difusión por el conmutador. Por lo tanto, aunque los paquetes IPv6 nunca se reenvían como
una difusión de Capa 2, ICMPv6 Neighbor Discovery utiliza multidifusión de Capa 2.
Haga clic en Reproducir en la figura para ver una animación que muestra los efectos cada vez
más adversos de un bucle a medida que los fotogramas de difusión y de unidifusión
desconocidos continúan propagándose indefinidamente en una tormenta de difusión.
Un host atrapado en un bucle de capa 2 no está accesible para otros hosts en la red. Además,
debido a los constantes cambios en su tabla de direcciones MAC, el conmutador no sabe
desde qué puerto reenviar las tramas de unidifusión. En la animación anterior, los
conmutadores tendrán los puertos incorrectos listados para PC1. Cualquier trama de
unidifusión con destino a la PC1 se repite en bucle por la red, como lo hacen las tramas de
difusión. Cuando se repiten en bucle cada vez más tramas, se termina creando una tormenta
de difusión.
Para evitar que ocurran estos problemas en una red redundante, se debe habilitar algún tipo
de árbol de expansión en los switches. De manera predeterminada, el árbol de expansión está
habilitado en los switches Cisco para prevenir que ocurran bucles en la capa 2.
5.1.7
El algoritmo de árbol de expansión

STP se basa en un algoritmo inventado por Radia Perlman mientras trabajaba para Digital
Equipment Corporation, y publicado en el artículo de 1985 "Un algoritmo para la computación
distribuida de un árbol de expansión en una LAN extendida". Su algoritmo de árbol de
expansión (STA) crea una topología sin bucles al seleccionar un único puente raíz donde
todos los demás conmutadores determinan una única ruta de menor costo.
Sin el protocolo de prevención de bucles, se producirían bucles que harían inoperable una red
de conmutadores redundantes.
Topología de la situación
Este escenario STA utiliza una LAN Ethernet con conexiones redundantes entre varios
conmutadores.
La topología de red física muestra ocho conmutadores interconectados. El conmutador S1 se

conecta a los conmutadores S2, S3 y S5. Switch S2 se conecta a los Switches S1 y S4.
Switch S3 se conecta a los Switches S1 y S5. Switch S4 se conecta a los Switches S2 and S5.
Switch S5 se conecta a los Switches S1, S3, S4, y S6. Switch S6 se conecta al Switch S5. El
switch S7 se conecta al switch S8. El switch S8 se conecta a los switches S4, S5 y S7.
STP evita que ocurran bucles mediante la configuración de una ruta sin bucles a través de la
red, con puertos “en estado de bloqueo” ubicados estratégicamente. Los switches que
ejecutan STP pueden compensar las fallas mediante el desbloqueo dinámico de los puertos
bloqueados anteriormente y el permiso para que el tráfico se transmita por las rutas
alternativas.
Seleccionar el Root Bridge
El algoritmo de árbol de expansión comienza seleccionando un único puente raíz. La figura

muestra que el switch S1 se ha seleccionado como puente raíz. En esta topología, todos los
enlaces tienen el mismo costo (mismo ancho de banda). Cada switch determinará una única
ruta de menor costo desde sí mismo hasta el puente raíz.
Nota: STA y STP se refieren a conmutadores como puentes . Esto se debe a que en los
primeros días de Ethernet, los switches se denominaban puentes.
alternativas.
Bloquear rutas redundantes
STP asegura que solo haya una ruta lógica entre todos los destinos en la red al bloquear
intencionalmente las rutas redundantes que podrían causar un bucle, como se muestra en la
figura. Cuando se bloquea un puerto, se impide que los datos del usuario entren o salgan de
ese puerto. El bloqueo de las rutas redundantes es fundamental para evitar bucles en la red.
Topología sin bucle
Un puerto bloqueado tiene el efecto de convertir ese enlace en un vínculo no reenvío entre los
dos switches, como se muestra en la figura. Observe que esto crea una topología en la que
cada conmutador tiene una única ruta al puente raíz, similar a las ramas de un árbol que se
conectan a la raíz del árbol.
Fallos de enlacecausan recálculo
Las rutas físicas aún existen para proporcionar la redundancia, pero las mismas se
deshabilitan para evitar que se generen bucles. Si alguna vez la ruta es necesaria para
compensar la falla de un cable de red o de un switch, STP vuelve a calcular las rutas y
desbloquea los puertos necesarios para permitir que la ruta redundante se active. Los
recálculos STP también pueden ocurrir cada vez que se agrega un nuevo conmutador o un
nuevo vínculo entre switches a la red.
La figura muestra un error de enlace entre los conmutadores S2 y S4 que hace que STP se
vuelva a calcular. Observe que el vínculo anteriormente redundante entre S4 y S5 se está
reenviando para compensar este error. Todavía hay solo una ruta entre cada switch y el
puente raíz.
alternativas.
5.1.8
Vídeo - Observar la operación STP

Haga clic en Play (Reproducir) para ver una demostración del protocolo de árbol de
expansión.
5.1.9
Packet Tracer - Investigar la prevención de

bucles STP
 Cree y configure una red simple de tres conmutadores con STP.

 Ver operación STP
 Desactive STP y vuelva a ver la operación.
Funcionamientos del STP

5.2.1
Pasos para una topología sin bucles

Ahora ya sabe cómo se crean los bucles y los conceptos básicos de usar el protocolo de
árbol de expansión para prevenirlos. Este tema le llevará paso a paso a través de la
operación de STP. Usando STA, STP crea una topología sin bucles en un proceso de cuatro
pasos:
1. Elige el puente raíz.

2. Seleccione los root ports.
3. Elegir puertos designados.
4. Seleccione puertos alternativos (bloqueados).
Durante las funciones STA y STP, los conmutadores utilizan unidades de datos de
protocolo de puente (BPDU) para compartir información sobre sí mismos y sus conexiones.
Las BPDU se utilizan para elegir el root bridge, los root ports, los puertos designados y los
puertos alternativos. Cada BPDU contiene una ID de puente (BID) que identifica qué
switch envió la BPDU. El BID participa en la toma de muchas de las decisiones STA,
incluidos los roles de puertos y root bridge. El BID contiene un valor de prioridad, la
dirección MAC del conmutador y un ID de sistema extendido. El valor de BID más bajo lo
determina la combinación de estos tres campos.
El gráfico muestra tres cuadros, cada uno de los cuales representa un componente del ID de
puente. De izquierda a derecha, el primer cuadro es Bridge Priority, que tiene 4 bits de
longitud, el segundo cuadro es Extended System ID, que tiene 12 bits de longitud, y el
tercer cuadro es la dirección MAC que tiene 48 bits de longitud. El texto a la derecha de los
cuadros indica Bridge ID con Extended System ID. El texto en la parte inferior del gráfico
dice El BID incluye la prioridad del puente, el ID del sistema extendido y la dirección
MAC del conmutador.
Prioridad de puente
El valor de prioridad predeterminado para todos los switches Cisco es el valor decimal 32768.
El rango va de 0 a 61440 y aumenta de a 4096. Es preferible una prioridad de puente más
baja. La prioridad de puente 0 prevalece sobre el resto de las prioridades de puente.
Sistema extendido ID
El valor de ID del sistema extendido es un valor decimal agregado al valor de prioridad del
puente en el BID para identificar la VLAN para esta BPDU.
Las primeras implementaciones de IEEE 802.1D estaban diseñadas para redes que no
utilizaban VLAN. Existía un único árbol de expansión común para todos los switches. Por esta
razón, en los switches más antiguos, el ID del sistema extendido no se incluía en las BPDU. A
medida que las VLAN se volvieron más comunes en la segmentación de la infraestructura de
red, se fue mejorando el estándar 802.1D para incluir a las VLAN, lo que requirió que se
incluyera la ID de VLAN en la trama de BPDU. La información de VLAN se incluye en la trama
BPDU mediante el uso de la ID de sistema extendido.
El ID del sistema extendido permite que las implementaciones posteriores de STP, como
Rapid STP (RSTP) tengan diferentes root bridge para diferentes conjuntos de VLAN. Esto
puede permitir que enlaces redundantes y sin reenvío en una topología STP para un conjunto
de VLAN sean utilizados por un conjunto diferente de VLAN que utilice un root bridge
diferente.
Dirección MAC
Cuando dos switches están configurados con la misma prioridad y tienen la misma ID de
sistema extendido, el switch que posee la dirección MAC con el menor valor, expresado en
hexadecimal, tendrá el menor BID.
5.2.2
1. Elige el root bridge

El STA designa un único switch como root bridge y lo utiliza como punto de referencia para
todos los cálculos de rutas. Los switches intercambian BPDU para crear la topología sin
bucles comenzando con la selección del root bridge.
Un proceso de elección determina el switch que se transforma en el puente raíz. Todos los
switches del dominio de difusión participan del proceso de elección. Una vez que el switch
arranca, comienza a enviar tramas BPDU cada dos segundos. Estas tramas BPDU contienen
el BID del switch de envío y el BID del root bridge, conocido como Root ID.
El switch que tiene el BID más bajo se convierte en el puente raíz. Al principio, todos los
conmutadores se declaran a sí mismos como el puente raíz con su propio BID establecido
como ID raíz. Eventualmente, los switches aprenden a través del intercambio de BPDU qué
switch tiene el BID más bajo y acordarán un puente raíz.
En la figura, S1 se elige de root bridge porque tiene el BID más bajo.

5.2.3
Impacto de las pujas por defecto

Dado que el BID predeterminado es 32768, es posible que dos o más switches tengan la
misma prioridad. En este escenario, donde las prioridades son las mismas, el conmutador con
la dirección MAC más baja se convertirá en el puente raíz. Para asegurar que el puente raíz
elegido cumpla con los requisitos de la red, se recomienda que el administrador configure el
switch de puente raíz deseado con una prioridad menor.
En la figura, todos los switches están configurados con la misma prioridad de 32769. Aquí la
dirección MAC se convierte en el factor decisivo en cuanto a qué interruptor se convierte en el
puente raíz. El conmutador con el valor de dirección MAC hexadecimal más bajo es el puente
raíz preferido. En este ejemplo, S2 tiene el valor más bajo para su dirección MAC y se elige
como el puente raíz para esa instancia de árbol de expansión.
Note: En el ejemplo, la prioridad de todos los switches es 32769. El valor se basa en la

prioridad de puente predeterminada 32768 y la ID del sistema extendida (asignación de VLAN
1) asociada con cada conmutador (32768 + 1).
5.2.4
Determinar el costo de la ruta raíz

Una vez que se eligió el puente raíz para la instancia de árbol de expansión, el STA comienza
el proceso para determinar las mejores rutas hacia el puente raíz desde todos los destinos en
el dominio de difusión. La información de la ruta, conocida como el costo interno de la ruta
raíz, está determinada por la suma de todos los costos de los puertos individuales a lo largo
de la ruta desde el conmutador hasta el puente raíz.
Note: La BPDU incluye el costo de la ruta raíz. Este es el costo de la ruta que va desde el
switch que envía los datos hasta el puente raíz.
Cuando un switch recibe la BPDU, agrega el costo del puerto de ingreso del segmento para
determinar el costo interno de la ruta hacia la raíz.
Los costos de los puertos predeterminados se definen por la velocidad a la que funcionan los
mismos. La tabla muestra los costos de puerto predeterminados sugeridos por IEEE. Los
switches Cisco utilizan de forma predeterminada los valores definidos por el estándar IEEE
802.1D, también conocido como costo de ruta corta, tanto para STP como para RSTP. Sin
embargo, el estándar IEEE sugiere usar los valores definidos en el IEEE-802.1w, también
conocido como costo de ruta larga, cuando se usan enlaces de 10 Gbps y más rápido.
Note: RSTP se discute con más detalle más adelante en este módulo.
Costo de RSTP:
Velocidad de STP Cost: IEEE
IEEE 802.1w-
enlace 802.1D-1998
2004
10Gbps 2 2000
1Gbps 4 20000
100Mbps 19 200000
10 Mbps 100 2000000
Pese a que los puertos de switch cuentan con un costo de puerto predeterminado asociado a
los mismos, tal costo puede configurarse. La capacidad de configurar costos de puerto
individuales le da al administrador la flexibilidad para controlar de forma manual las rutas de
árbol de expansión hacia el puente raíz.
5.2.5
2. Elegir los puertos raíz

Después de determinar el puente raíz, se utiliza el algoritmo STA para seleccionar el puerto
raíz. Cada switch que no sea root seleccionará un puerto raíz. El puerto raíz es el puerto más
cercano al root bridge en términos de costo general para el puente raíz. Este costo general se
conoce como costo de ruta raíz interna.
El costo interno de la ruta raíz es igual a la suma de todos los costos del puerto a lo largo de la
ruta al root bridge, como se muestra en la figura. Las rutas con el costo más bajo se
convierten en las preferidas, y el resto de las rutas redundantes se bloquean. En el ejemplo, el
costo de ruta interno desde S2 al root bridge S1 a través de la ruta 1 es de 19 (según el costo
de puerto individual especificado por el IEEE), mientras que el costo interno de la ruta hacia la
raíz a través de la ruta 2 es de 38. Debido a que la ruta 1 tiene un costo de ruta general más
bajo para el root bridge, es la ruta preferida y F0 / 1 se convierte en el root port en S2.
5.2.6
3. Seleccionar puertos designados

La parte de prevención de bucles del árbol de expansión se hace evidente durante estos dos
pasos siguientes. Después de que cada switch selecciona un puerto raíz, los switches
seleccionarán los puertos designados.
Cada segmento entre dos switches tendrá un puerto designado. El puerto designado es un
puerto en el segmento (con dos switches) que tiene el costo de ruta raíz interna al puente raíz.
En otras palabras, el puerto designado tiene la mejor ruta para recibir el tráfico que conduce al
puente raíz.
Lo que no es un puerto raíz o un puerto designado se convierte en un puerto alternativo o

bloqueado. El resultado final es una ruta única desde cada conmutador al puente raíz.
Puertos designados en el puente raíz
Todos los puertos en el root bridge son puertos designados. Esto se debe a que el root bridge
tiene el costo más bajo para sí mismo.
Todos los puertos en el puente raiz (root bridge) son puertos designados
Puerto designado cuando hay un puerto raíz
Si un extremo de un segmento es un puerto raíz, el otro extremo es un puerto designado. Para

demostrar esto, la figura muestra que el conmutador S4 está conectado a S3. La interfaz
Fa0/1 en S4 es su puerto raíz porque tiene la mejor y única ruta al root bridge. Por lo tanto, la
interfaz Fa0/3 en S3 en el otro extremo del segmento sería el puerto designado.
Note: Todos los puertos del switch con dispositivos finales (hosts) conectados son puertos
designados.
La interfaz Fa0/1 en S4 es un puerto designado porque la interfaz Fa0/3 de S3 es un puerto raiz
Puerto designado cuando no hay puerto raíz
Esto deja solo segmentos entre dos switches donde ninguno de los switches es el puente raíz.
En este caso, el puerto del switch con la ruta de menor costo al puente raíz es el puerto
designado para el segmento. Por ejemplo, en la figura, el último segmento es el que está entre
S2 y S3. Tanto S2 como S3 tienen el mismo costo de ruta para el puente raíz. El algoritmo del
árbol de expansión utilizará el ID del puente como un interruptor de corbata. Aunque no se
muestra en la figura, S2 tiene un BID menor. Por lo tanto, el puerto F0/2 de S2 se elegirá
como el puerto designado. Los puertos designados están en estado de reenvío.
La interfaz Fa0/2 de S2 es el puerto designado en el segmento con S3
5.2.7
4. Seleccionar puertos alternativos

(bloqueados)
Si un puerto no es un puerto raíz o un puerto designado, se convierte en un puerto alternativo
(o de copia de seguridad). Los puertos alternativos y los puertos de respaldo están en estado
de descarte o bloqueo para evitar bucles. En la figura, la STA ha configurado el puerto F0 / 2
en S3 en el rol alternativo. El puerto F0/2 en S3 está en estado de bloqueo y no reenviará
tramas Ethernet. Todos los demás puertos entre conmutadores están en estado de reenvío.
Esta es la parte de prevención de bucles de STP.
5.2.8
Seleccione un puerto raíz a partir de varias

rutas de igual coste
Los puertos designados se seleccionan en base al menor costo del trayecto al Puerto raíz
para un segmento. Pero, ¿qué sucede si el switch tiene múltiples rutas de igual costo al
puente raíz? ¿Cómo designa un puerto raíz un switch?
Cuando un switch tiene varias rutas de igual costo al puente raíz, el switch determinará un
puerto utilizando los siguientes criterios:
1. Oferta de remitente más baja

2. Prioridad de puerto del remitente más baja
ID de puerto del remitente más bajo1. Oferta de remitente más baja
La figura muestra una topología con cuatro conmutadores, incluido el conmutador S1 como
puente raíz. Al examinar los roles de puerto, vemos que el puerto F0/1 del switch S3 y el
puerto F0/3 del switch S4 se han seleccionado como puertos raíz porque tienen la ruta con el
menor costo (costo de la ruta hacia la raíz) al puente raíz para sus respectivos switches. S2
tiene dos puertos, F0 / 1 y F0 / 2 con rutas de igual costo al puente raíz. En este caso los ID
de puente de los switches vecinos, S3 y S4, se utilizan para definir el empate. Esto se conoce
como BID del emisor. S3 tiene un BID de 32769.5555.5555.5555 y S4 tiene un BID de
32769.1111.1111.1111. Como S4 tiene un BID más bajo, el puerto F0 / 1 de S2, que es el
puerto conectado a S4, será el puerto raíz.
2. Prioridad de puerto del remitente más baja
Para demostrar estos dos criterios siguientes, la topología se cambia a uno donde dos
switches están conectados con dos paths de igual costo entre ellos. S1 es el puente raíz, por
lo que ambos puertos son puertos designados.
S4 tiene dos puertos con rutas de igual costo al puente raíz. Dado que ambos puertos están
conectados al mismo conmutador, el BID (S1) del remitente es igual. Entonces el primer paso
es un empate.
A continuación en la lista está la prioridad del puerto del remitente (S1). La prioridad de puerto
predeterminada es 128, por lo que ambos puertos de S1 tienen la misma prioridad de puerto.
Esto también es una corbata. Sin embargo, si cualquiera de los puertos de S1 se configuraba
con una prioridad de puerto más baja, S4 pondría su puerto adyacente en estado de reenvío.
El otro puerto en S4 sería un estado de bloqueo.
3. ID de puerto del remitente más bajo
El último desempate es el ID de puerto del remitente más bajo. El conmutador S4 ha recibido

BPDU desde el puerto F0/1 y el puerto F0/2 en S1. Recuerde que la decisión se basa en el ID
del puerto del remitente, no en el ID del puerto del receptor. Dado que el Id. de puerto de F0/1
en S1 es menor que el puerto F0/2, el puerto F0/6 en el conmutador S4 será el puerto raíz.
Este es el puerto de S4 que está conectado al puerto F0/1 de S1.
El puerto F0/5 en S4 se convertirá en un puerto alternativo y se colocará en el estado de

bloqueo, que es la parte de prevención de bucles de STP.
5.2.9
Temporizadores STP y Estados de puerto

La convergencia STP requiere tres temporizadores, como sigue:
 Temporizador de saludo - El tiempo de saludo es el intervalo entre BPDU. El valor

predeterminado es 2 segundos, pero se puede modificar entre 1 y 10 segundos.
 Temporizador de retardo de reenvío - El retraso directo es el tiempo que se pasa en el
estado de escucha y aprendizaje. El valor predeterminado es 15 segundos, pero se
puede modificar a entre 4 y 30 segundos.
 Temporizador de antigüedad máxima - La antigüedad máxima es la duración máxima
de tiempo que un switch espera antes de intentar cambiar la topología STP. El valor
predeterminado es 20 segundos, pero se puede modificar entre 6 y 40 segundos.
Nota: Los tiempos predeterminados se pueden cambiar en el puente raíz, que dicta el valor de
estos temporizadores para el dominio STP.
STP facilita la ruta lógica sin bucles en todo el dominio de difusión. El árbol de expansión se
determina a través de la información obtenida en el intercambio de tramas de BPDU entre los
switches interconectados. Si un puerto de switch pasa directamente del estado de bloqueo al
de reenvío sin información acerca de la topología completa durante la transición, el puerto
puede crear un bucle de datos temporal. Por esta razón, STP tiene cinco estados de puertos,
cuatro de los cuales son estados de puertos operativos, como se muestra en la figura. El
estado deshabilitado se considera no operativo.
Los detalles de cada estado de puerto se muestran en la tabla.
Estado del
Descripción
puerto
el puerto es un puerto alternativo y no participa en el reenvío de tramas. reenvío. El puerto recibe

tramas BPDU para determinar la ubicación y ID deraíz del puente raíz . Las tramas BPDU también
Bloqueo determinan qué roles de puerto cada puerto del switch debe asumir en la topología STP activa
final. Con un Temporizador de edad máxima de 20 segundos, un puerto del switch que no ha
recibido un BPDU esperado de un switch vecino entrará en el estado de bloqueo.
Después del estado de bloqueo, un puerto se moverá al estado de escucha. La recibe BPDU para
determinar la ruta a la raíz. Puerto del switch también transmite sus propias tramas BPDU e
Escucha
informa a los conmutadores adyacentes que el puerto del conmutador se está preparando para
participar en la topología activa.
Un puerto de switch pasa al estado de aprendizaje después de la escucha STP. Durante el estado
de aprendizaje, el puerto del switch recibe y procesa BPDU y se prepara para participar en el
Aprendizaje
reenvío de tramas. También comienza a rellenar la tabla de direcciones MAC. Sin embargo, en el
estado de aprendizaje, el usuario frames are not forwarded to the destination.
En el estado de reenvío, un puerto de switch se considera parte de la dividida. El puerto del switch
Reenvío
reenvía el tráfico de usuario y envía y recibe Marcos BPDU.
Un puerto de switch en el estado deshabilitado no participa en la expansión árbol y no reenvía

Deshabilitado marcos. El estado deshabilitado se establece cuando el El puerto se ha desactivado
administrativamente.
5.2.10
Detalles Operativos de cada Estado
Portuario
En la tabla se resumen los detalles operativos de cada estado de puerto.
Estado del Tabla de direcciones Reenvío de

BPDU
puerto MAC framesde datos
Bloqueo Recibir solo No hay actualización No
Escucha Recibir y enviar No hay actualización No
Actualización de la
Aprendizaje Recibir y enviar No
tabla
Actualización de la
Reenvío Recibir y enviar Sí
tabla
No se ha enviado ni
Deshabilitado No hay actualización No
recibido
5.2.11
Per-VLAN Spanning Tree

Hasta ahora, hemos hablado de STP en un entorno donde sólo hay una VLAN. Sin embargo,
STP se puede configurar para que funcione en un entorno con varias VLAN.
In Per-VLAN Spanning Tree (PVST) versions of STP, there is a root bridge elected for each
spanning tree instance. Esto hace posible tener diferentes puentes raíz para diferentes
conjuntos de VLAN. STP opera una instancia independiente de STP para cada VLAN
individual. Si todos los puertos de todos los switches pertenecen a la VLAN 1, solo se da una
instancia de árbol de expansión.
Evolución del STP

5.3.1
Diferentes versiones de STP

En este tema se detallan las diferentes versiones de STP y otras opciones para evitar bucles
en la red.
Hasta ahora, hemos utilizado el término Protocolo Spanning Tree y el acrónimo STP, que
puede ser engañoso. La mayoría de los profesionales suele utilizar estas denominaciones
para referirse a las diversas implementaciones del árbol de expansión, como el protocolo de
árbol de expansión rápido (RSTP) y el protocolo de árbol de expansión múltiple (MSTP). Para
comunicar los conceptos del árbol de expansión correctamente, es importante hacer
referencia a la implementación o al estándar del árbol de expansión en contexto.
El último estándar para árbol de expansión está contenido en IEEE-802-1D-2004, el estándar

IEEE para redes de área local y metropolitana:puentes de control de acceso a medios (MAC).
Esta versión del estándar indica que los conmutadores y puentes que cumplen con el estándar
utilizarán Rapid Spanning Tree Protocol (RSTP) en lugar del protocolo STP anterior
especificado en el estándar 802.1d original. En este currículo, cuando se analiza el protocolo
de árbol de expansión original, se utiliza la frase “árbol de expansión 802.1D original” para
evitar confusiones. Debido a que los dos protocolos comparten gran parte de la misma
terminología y métodos para la ruta sin bucles, el enfoque principal estará en el estándar
actual y las implementaciones propietarias de Cisco de STP y RSTP.
Desde el lanzamiento del estándar IEEE 802.1D original, surgió una gran variedad de
protocolos de árbol de expansión.
Variedad
Descripción
STP
Esta es la versión original de IEEE 802.1D (802.1D-1998 y versiones anteriores) que proporciona una
topología sin bucles en una red con enlaces redundantes. También llamado Common Spanning Tree
STP
(CST), asume una instancia de árbol de expansión para toda la red puenteada, independientemente de
la cantidad de VLAN.
El árbol de expansión por VLAN (PVST +) es una mejora de Cisco de STP que provides a separate
PVST+ 802.1D spanning tree instance for each VLAN Configure la red PVST+ soporta PortFast, UplinkFast,
BackboneFast, BPDU guard, BPDU filter, root guard, y loop guard.
802.1D-
Esta es una versión actualizada del estándar STP, que incorpora IEEE 802.1w.
2004
Protocolo de Árbol de Expansión Rápido (RSTP), o IEEE 802.1w, es una evolución de STP que
RSTP
proporciona una convergencia más veloz de STP. Proporciona una convergencia más rápida de STP.
Esta es una mejora de Cisco de RSTP que utiliza PVST + y proporciona un instancia separada de
PVST+
802.1w por VLAN. Cada instancia independiente admite PortFast, BPDU guard, BPDU filter, root guard,
rápido
y loop guard.
El Protocolo de árbol de expansión múltiple (MSTP) es un estándar IEEE inspirado en el STP de

MSTP instancia múltiple (MISTP) anterior propietario de Cisco de Cisco. MSTP asigna varias VLAN en la
misma instancia de árbol de expansión. VRF.
Múltiple Spanning Tree (MST) es la implementación de MSTP de Cisco, que proporciona hasta 16
instancias de RSTP y combina muchas VLAN con el misma topología física y lógica en una instancia
Instancia
RSTP común. Cada instancia aparte admite PortFast, protección de BPDU, filtro de BPDU, protección
de raíz y protección de bucle. loop guard.
Es posible que un profesional de red, cuyas tareas incluyen la administración de los switches,
deba decidir cuál es el tipo de protocolo de árbol de expansión que se debe implementar.
Los switches de Cisco con IOS 15.0 o posterior ejecutan PVST+ de manera predeterminada.
Esta versión incluye muchas de las especificaciones IEEE 802.1D-2004, como puertos
alternativos en lugar de los puertos no designados anteriores. Los conmutadores deben
configurarse explícitamente para el modo de árbol de expansión rápida para ejecutar el
protocolo de árbol de expansión rápida.
5.3.2
Conceptos de RSTP
RSTP (IEEE 802.1w) reemplaza al 802.1D original mientras conserva la compatibilidad con
versiones anteriores. La terminología de STP 802.1w sigue siendo fundamentalmente la
misma que la de STP IEEE 802.1D original. La mayoría de los parámetros se han dejado sin
cambios. Los usuarios que estén familiarizados con el estándar STP original pueden
configurar fácilmente RSTP. El mismo algoritmo de árbol de expansión se utiliza tanto para
STP como para RSTP para determinar los roles de puerto y la topología.
RSTP aumenta la velocidad del recálculo del árbol de expansión cuando cambia la topología
de la red de Capa 2. RSTP puede lograr una convergencia mucho más rápida en una red
configurada en forma adecuada, a veces sólo en unos pocos cientos de milisegundos. Si un
puerto está configurado como puerto alternativo o de respaldo, puede cambiar
automáticamente al estado de reenvío sin esperar a que converja la red.
Note: PVST+ rápido es la implementación que hace Cisco de RSTP por VLAN. Con Rapid
PVST + se ejecuta una instancia independiente de RSTP para cada VLAN.
5.3.3
Estados de puerto RSTP y roles de puerto

Los estados de puerto y las funciones de puerto entre STP y RSTP son similares.
Estados de puertos STP y RSTP
Solo hay tres estados de puerto en RSTP que corresponden a los tres estados operativos
posibles en STP. Los estados de desactivación, bloqueo y escucha 802.1D se fusionan en
un único estado de descarte 802.1w.
Estados de puertos STP y RSTP
Como se muestra en la figura, los puertos raíz y los puertos designados son los mismos para
STP y RSTP. Sin embargo, hay dos roles de puerto RSTP que corresponden al estado de
bloqueo de STP. En STP, un puerto bloqueado se define como no ser el puerto designado o
raíz. RSTP tiene dos funciones de puerto para este propósito.
Puertos RSTP alternativos y de copia de seguridad
Como se muestra en la figura, el puerto alternativo tiene una ruta alternativa al puente raíz. El
puerto de copia de seguridad es una copia de seguridad en un medio compartido, como un
concentrador. Un puerto de copia de seguridad es menos común porque ahora los
concentradores se consideran dispositivos heredados.
5.3.4
PortFast y protección BPDU

Cuando un dispositivo está conectado a un puerto del conmutador o cuando un conmutador se
enciende, el puerto del conmutador pasa por los estados de escucha y aprendizaje, esperando
cada vez que expire el temporizador de retardo de reenvío. Este retraso es de 15 segundos
para cada estado, escuchando y aprendiendo, para un total de 30 segundos. Este retraso
puede presentar un problema para los clientes DHCP que intentan detectar un servidor DHCP.
Los mensajes DHCP del host conectado no se reenviarán durante los 30 segundos de
temporizadores de retardo de reenvío y el proceso DHCP puede agotarse. El resultado es que
un cliente IPv4 no recibirá una dirección IPv4 válida.
Note: Aunque esto puede ocurrir con clientes que envían mensajes de solicitud de enrutador
ICMPv6, el enrutador continuará enviando mensajes de anuncio de enrutador ICMPv6 para
que el dispositivo sepa cómo obtener su información de dirección.
Cuando un puerto de conmutador se configura con PortFast, ese puerto pasa del bloqueo al
estado de reenvío inmediatamente, omitiendo los estados de escucha y aprendizaje STP y
evitando un retraso de 30 segundos. Use PortFast en los puertos de acceso para permitir que
los dispositivos conectados a estos puertos, como los clientes DHCP, accedan a la red de
inmediato, en lugar de esperar a que STP converja en cada VLAN. Debido a que el propósito
de PortFast es minimizar el tiempo que los puertos de acceso deben esperar a que el árbol de
expansión converja, solo debe usarse en los puertos de acceso. Si habilita PortFast en un
puerto que se conecta a otro switch, corre el riesgo de crear un bucle de árbol de expansión.
PortFast solo se puede usar en puertos conmutadores que se conectan a dispositivos finales.
En una configuración de PortFast válida, nunca se deben recibir BPDU, ya que esto indicaría
que hay otro puente o switch conectado al puerto, lo que podría causar un bucle de árbol de
expansión. Esto potencialmente causa un bucle de árbol de expansión. Para evitar que se
produzca este tipo de escenario, los switches Cisco admiten una función llamada guardia
BPDU. Cuando está habilitado, inmediatamente pone el puerto del conmutador en un estado
errdisabled (error-disabled) al recibir cualquier BPDU. Esto protege contra posibles bucles al
apagar eficazmente el puerto. La característica de protección BPDU proporciona una
respuesta segura a la configuración no válida, ya que se debe volver a activar la interfaz de
forma manual.
5.3.5
Alternativas a STP
STP era y sigue siendo un protocolo de prevención de bucles Ethernet. A lo largo de los años,
las organizaciones requerían una mayor resiliencia y disponibilidad en la LAN. Las LAN
Ethernet pasaron de unos pocos conmutadores interconectados conectados conectados a un
único enrutador, a un sofisticado diseño de red jerárquica que incluye conmutadores de
acceso, distribución y capa central, como se muestra en la figura.
Dependiendo de la implementación, la capa 2 puede incluir no solo la capa de acceso, sino

también la distribución o incluso las capas principales. Estos diseños pueden incluir cientos de
switches, con cientos o incluso miles de VLAN. STP se ha adaptado a la redundancia y
complejidad añadida con mejoras, como parte de RSTP y MSTP.
Un aspecto importante del diseño de red es la convergencia rápida y predecible cuando se

produce un error o un cambio en la topología. El árbol de expansión no ofrece las mismas
eficiencias y predecibilidades proporcionadas por los protocolos de enrutamiento en la Capa 3.
La figura muestra un diseño de red jerárquica tradicional con los conmutadores multicapa de
distribución y núcleo que realizan enrutamiento.
El enrutamiento de capa 3 permite rutas y bucles redundantes en la topología, sin bloquear
puertos. Por esta razón, algunos entornos están en transición a la capa 3 en todas partes,
excepto donde los dispositivos se conectan al conmutador de capa de acceso. En otras
palabras, las conexiones entre los conmutadores de capa de acceso y los conmutadores de
distribución serían Capa 3 en lugar de Capa 2, como se muestra en la siguiente figura.
Aunque es muy probable que STP siga utilizándose como mecanismo de prevención de
bucles en la empresa, en los conmutadores de capa de acceso también se están utilizando
otras tecnologías, incluidas las siguientes:
Agregación de enlaces de
 Múltiples sistemas (MLAG)

 Puente de ruta más corta (SPB)
 Interconexión transparente de muchos enlaces. (TRILL)
Note: Estas tecnologías están fuera del alcance de este curso.

cuestionario
5.4.1

Propósito de STP
Las rutas redundantes en una red Ethernet conmutada pueden causar bucles de Capa 2
físicos y lógicos. Un bucle de capa 2 puede provocar inestabilidad en la tabla de direcciones
MAC, saturación de enlaces y alta utilización de CPU en conmutadores y dispositivos finales.
Esto hace que la red se vuelva inutilizable. A diferencia de los protocolos de Capa 3, IPv4 e
IPv6, Layer 2 Ethernet no incluye un mecanismo para reconocer y eliminar tramas de bucle sin
fin. Las LAN Ethernet requieren una topología sin bucles con una única ruta entre dos
dispositivos. STP es un protocolo de red de prevención de bucles que permite redundancia
mientras crea una topología de capa 2 sin bucles. Sin STP, se pueden formar bucles de capa
2, lo que hace que las tramas de difusión, multidifusión y unicast desconocidos se
reproduzcan sin fin, lo que reduce una red. Una tormenta de difusión es un número
anormalmente alto de emisiones que abruman la red durante un período específico de tiempo.
Las tormentas de difusión pueden deshabilitar una red en cuestión de segundos al abrumar
los conmutadores y los dispositivos finales. STP se basa en un algoritmo inventado por Radia
Perlman. Su algoritmo de árbol de expansión (STA) crea una topología sin bucles al
seleccionar un único puente raíz donde todos los demás conmutadores determinan una única
ruta de menor costo.
Operaciones STP
Usando STA, STP crea una topología sin bucles en un proceso de cuatro pasos: elija el
puente raíz, elija los puertos raíz, elija los puertos designados y elija los puertos alternativos
(bloqueados). Durante las funciones STA y STP, los conmutadores utilizan BPDU para
compartir información sobre sí mismos y sus conexiones. Las BPDU se utilizan para elegir el
puente raíz, los puertos raíz, los puertos designados y los puertos alternativos. Cada BPDU
contiene un BID que identifica al switch que envió la BPDU. El BID participa en la toma de
muchas de las decisiones STA, incluidos los roles de puente raíz y puerto. El BID contiene un
valor de prioridad, la dirección MAC del conmutador y un ID de sistema extendido. El valor de
BID más bajo lo determina la combinación de estos tres campos. El switch que tiene el BID
más bajo se convierte en el puente raíz. Dado que el BID predeterminado es 32.768, es
posible que dos o más conmutadores tengan la misma prioridad. En este escenario, donde las
prioridades son las mismas, el conmutador con la dirección MAC más baja se convertirá en el
puente raíz. Cuando se ha elegido el puente raíz para una instancia de árbol de expansión
dado, el STA determina las mejores rutas al puente raíz desde todos los destinos en el
dominio de difusión. La información de la ruta, conocida como el costo interno de la ruta raíz,
está determinada por la suma de todos los costos de los puertos individuales a lo largo de la
ruta desde el conmutador hasta el puente raíz. Después de determinar el puente raíz, el
algoritmo STA selecciona el puerto raíz. El puerto raíz es el puerto más cercano al puente raíz
en términos de costo total, que se denomina costo de ruta raíz interna. Después de que cada
switch selecciona un puerto raíz, los switches seleccionarán los puertos designados. El puerto
designado es un puerto en el segmento (con dos switches) que tiene el costo de ruta raíz
interna al puente raíz. Si un puerto no es un puerto raíz o un puerto designado, se convierte en
un puerto alternativo (o de copia de seguridad). Los puertos alternativos y los puertos de
respaldo están en estado de descarte o bloqueo para evitar bucles. Cuando un switch tiene
varias rutas de igual costo al puente raíz, el switch determinará un puerto utilizando los
siguientes criterios: BID del remitente más bajo, prioridad del puerto del remitente más bajo y,
finalmente, el ID del puerto del remitente más bajo. La convergencia STP requiere tres
temporizadores: el temporizador de saludo, el temporizador de retardo de avance y el
temporizador de edad máxima. Los estados de puerto están bloqueando, escuchando,
aprendiendo, reenviando y deshabilitados. En las versiones PVST de STP, hay un puente raíz
elegido para cada instancia de árbol de expansión. Esto hace posible tener diferentes puentes
raíz para diferentes conjuntos de VLAN.
Evolución de STP
El término Protocolo Spanning Tree y el acrónimo STP pueden ser engañosos. STP se utiliza
a menudo para hacer referencia a las diversas implementaciones del árbol de expansión,
como RSTP y MSTP. RSTP es una evolución de STP que proporciona una convergencia más
rápida que STP. Los estados del puerto RSTP están aprendiendo, reenviando y descartando.
PVST + es una mejora de Cisco de STP que proporciona una instancia de árbol de expansión
separada para cada VLAN configurada en la red. PVST + admite PortFast, UplinkFast,
BackboneFast, protección BPDU, filtro BPDU, protección raíz y protección de bucle. Los
switches de Cisco con IOS 15.0 o posterior ejecutan PVST+ de manera predeterminada.
Rapid PVST+ es una mejora de Cisco de RSTP que utiliza PVST+ y proporciona una instancia
independiente de 802.1w por VLAN. Cuando un puerto de conmutador se configura con
PortFast, ese puerto pasa del bloqueo al estado de reenvío inmediatamente, omitiendo los
estados de escucha y aprendizaje STP y evitando un retraso de 30 segundos. Use PortFast
en los puertos de acceso para permitir que los dispositivos conectados a estos puertos, como
los clientes DHCP, accedan a la red de inmediato, en lugar de esperar a que STP converja en
cada VLAN. Los switches Cisco admiten una función llamada BPDU guard que coloca
inmediatamente el puerto del switch en un estado de error deshabilitado al recibir cualquier
BPDU para protegerlo contra posibles bucles. A lo largo de los años, las LAN Ethernet
pasaron de unos pocos conmutadores interconectados conectados conectados a un único
router, a un sofisticado diseño de red jerárquica. Dependiendo de la implementación, la capa 2
puede incluir no solo la capa de acceso, sino también la distribución o incluso las capas
principales. Estos diseños pueden incluir cientos de switches, con cientos o incluso miles de
VLAN. STP se ha adaptado a la redundancia y complejidad añadida con mejoras como parte
de RSTP y MSTP. El enrutamiento de capa 3 permite rutas y bucles redundantes en la
topología, sin bloquear puertos. Por esta razón, algunos entornos están en transición a la capa
3 en todas partes, excepto donde los dispositivos se conectan al conmutador de capa de
acceso.
Introducción
6.0.1
¡Bienvenido a EtherChannel!
El diseño de la red incluye switches y enlaces redundantes. Usted tiene alguna versión de
STP configurada para evitar bucles de Capa 2. Pero ahora usted, como la mayoría de los
administradores de red, se da cuenta de que podría usar más ancho de banda y redundancia
en su red. ¡Nada de qué preocuparse, EtherChannel está aquí para ayudarle! EtherChannel
agrega enlaces entre dispositivos en paquetes. Estos paquetes incluyen enlaces redundantes.
STP puede bloquear uno de esos enlaces, pero no los bloqueará todos. ¡Con EtherChannel su
red puede tener redundancia, prevención de bucles y mayor ancho de banda!
Hay dos protocolos, PAgP y LACP. Este módulo explica ambos y también muestra cómo
configurarlos, verificarlos y solucionarlos. Un Verificador de sintaxis y dos actividades Packet
Tracer le ayudan a comprender mejor estos protocolos. ¿Qué está esperando?
6.0.2

Título del módulo: EtherChannel
Objetivos del módulo: Resuelva problemas de EtherChannel en enlaces conmutados.
Funcionamiento de
Describa la tecnología EtherChannel.
EtherChannel
Configuración de
Configure EtherChannel.
EtherChannel
Verificación y solución de
Solucione problemas de EtherChannel.
problemas de EtherChannel
Funcionamiento de EtherChannel
6.1.1
Añadidura de enlaces
Hay escenarios en los que se necesita más ancho de banda o redundancia entre dispositivos
que lo que puede proporcionar un único enlace. Se pueden conectar varios enlaces entre
dispositivos para aumentar el ancho de banda. Sin embargo, el Spanning Tree Protocol (STP),
que está habilitado en dispositivos de capa 2 como switches de Cisco de forma
predeterminada, bloqueará enlaces redundantes para evitar bucles de switching, como se
muestra en la figura.
Se necesita una tecnología de agregación de enlaces que permita enlaces redundantes entre
dispositivos que no serán bloqueados por STP. Esa tecnología se conoce como EtherChannel.
EtherChannel es una tecnología de agregación de enlaces que agrupa varios enlaces Ethernet
físicos en un único enlace lógico. Se utiliza para proporcionar tolerancia a fallos, uso
compartido de carga, mayor ancho de banda y redundancia entre switches, routers y
servidores.
La tecnología de EtherChannel hace posible combinar la cantidad de enlaces físicos entre los
switches para aumentar la velocidad general de la comunicación switch a switch.
6.1.2
EtherChannel
En los inicios, Cisco desarrolló la tecnología EtherChannel como una técnica switch a switch
LAN para agrupar varios puertos Fast Ethernet o gigabit Ethernet en un único canal lógico.
Cuando se configura un EtherChannel, la interfaz virtual resultante se denomina “canal de
puertos”. Las interfaces físicas se agrupan en una interfaz de canal de puertos, como se
6.1.3
Ventajas de EtherChannel
La tecnología EtherChannel tiene muchas ventajas, que incluye:
 La mayoría de las tareas de configuración se pueden realizar en la interfaz

EtherChannel en lugar de en cada puerto individual, lo que asegura la coherencia de
configuración en todos los enlaces.
 EtherChannel depende de los puertos de switch existentes. No es necesario actualizar
el enlace a una conexión más rápida y más costosa para tener más ancho de banda.
 El equilibrio de carga ocurre entre los enlaces que forman parte del mismo
EtherChannel. Según la plataforma de hardware, se pueden implementar uno o más
métodos de equilibrio de carga. Estos métodos incluyen equilibrio de carga de la MAC
de origen a la MAC de destino o equilibrio de carga de la IP de origen a la IP de destino,
a través de enlaces físicos.
 EtherChannel crea una agregación que se ve como un único enlace lógico. Cuando
existen varios grupos EtherChannel entre dos switches, STP puede bloquear uno de los
grupos para evitar los bucles de switching. Cuando STP bloquea uno de los enlaces
redundantes, bloquea el EtherChannel completo. Esto bloquea todos los puertos que
pertenecen a ese enlace EtherChannel. Donde solo existe un único enlace
EtherChannel, todos los enlaces físicos en el EtherChannel están activos, ya que STP
solo ve un único enlace (lógico).
 EtherChannel proporciona redundancia, ya que el enlace general se ve como una única
conexión lógica. Además, la pérdida de un enlace físico dentro del canal no crea ningún
cambio en la topología. Por lo tanto, no es necesario volver a calcular el árbol de
expansión. Suponiendo que haya por lo menos un enlace físico presente, el
EtherChannel permanece en funcionamiento, incluso si su rendimiento general
disminuye debido a la pérdida de un enlace dentro del EtherChannel.
6.1.4
Restricciones de implementación
EtherChannel tiene ciertas restricciones de implementación, entre las que se incluyen las
siguientes:
 No pueden mezclarse los tipos de interfaz. Por ejemplo, Fast Ethernet y Gigabit Ethernet
no se pueden mezclar dentro de un único EtherChannel.
 En la actualidad, cada EtherChannel puede constar de hasta ocho puertos Ethernet
configurados de manera compatible. El EtherChannel proporciona un ancho de banda
full-duplex de hasta 800 Mbps (Fast EtherChannel) u 8 Gbps (Gigabit EtherChannel)
entre un switch y otro switch o host.
 El switch Cisco Catalyst 2960 Layer 2 soporta actualmente hasta seis EtherChannels.
Sin embargo, a medida que se desarrollan nuevos IOS y cambian las plataformas,
algunas tarjetas y plataformas pueden admitir una mayor cantidad de puertos dentro de
un enlace EtherChannel, así como una mayor cantidad de Gigabit EtherChannels.
 La configuración de los puertos individuales que forman parte del grupo EtherChannel
debe ser coherente en ambos dispositivos. Si los puertos físicos de un lado se
configuran como enlaces troncales, los puertos físicos del otro lado también se deben
configurar como enlaces troncales dentro de la misma VLAN nativa. Además, todos los
puertos en cada enlace EtherChannel se deben configurar como puertos de capa 2.
 Cada EtherChannel tiene una interfaz de canal de puertos lógica, como se muestra en la
figura. La configuración aplicada a la interfaz de canal de puertos afecta a todas las
interfaces físicas que se asignan a esa interfaz.
6.1.5
Protocolos de negociación automática
Los EtherChannels se pueden formar por medio de una negociación con uno de dos
protocolos: Port Aggregation Protocol (PAgP) o Link Aggregation Control Protocol (LACP).
Estos protocolos permiten que los puertos con características similares formen un canal
mediante una negociación dinámica con los switches adyacentes.
Nota: También es posible configurar un EtherChannel estático o incondicional sin PAgP o

LACP.
6.1.6
Funcionamiento PAgP
PAgP (pronunciado “Pag - P”) es un protocolo patentado por Cisco que ayuda en la creación
automática de enlaces EtherChannel. Cuando se configura un enlace EtherChannel mediante
PAgP, se envían paquetes PAgP entre los puertos aptos para EtherChannel para negociar la
formación de un canal. Cuando PAgP identifica enlaces Ethernet compatibles, agrupa los
enlaces en un EtherChannel. El EtherChannel después se agrega al árbol de expansión como
un único puerto.
Cuando se habilita, PAgP también administra el EtherChannel. Los paquetes PAgP se envían
cada 30 segundos. PAgP revisa la coherencia de la configuración y administra los enlaces que
se agregan, así como las fallas entre dos switches. Cuando se crea un EtherChannel, asegura
que todos los puertos tengan el mismo tipo de configuración.
Nota: En EtherChannel, es obligatorio que todos los puertos tengan la misma velocidad, la
misma configuración de dúplex y la misma información de VLAN. Cualquier modificación de
los puertos después de la creación del canal también modifica a los demás puertos del canal.
PAgP ayuda a crear el enlace EtherChannel al detectar la configuración de cada lado y

asegurarse de que los enlaces sean compatibles, de modo que se pueda habilitar el enlace
EtherChannel cuando sea necesario. Los modos de PAgP de la siguiente manera:
 On - Este modo obliga a la interfaz a proporcionar un canal sin PAgP. Las interfaces
configuradas en el modo encendido no intercambian paquetes PAgP.
 PAgP deseable - Este modo PAgP coloca una interfaz en un estado de negociación
activa en el que la interfaz inicia negociaciones con otras interfaces al enviar paquetes
PAgP.
 PAgP automático - Este modo PAgP coloca una interfaz en un estado de negociación
pasiva en el que la interfaz responde a los paquetes PAgP que recibe, pero no inicia la
negociación PAgP.
Los modos deben ser compatibles en cada lado. Si se configura un lado en modo automático,
se coloca en estado pasivo, a la espera de que el otro lado inicie la negociación del
EtherChannel. Si el otro lado se establece en modo automático, la negociación nunca se inicia
y no se forma el canal EtherChannel. Si se deshabilitan todos los modos usando no el
comando, o si se configura el modo no, el EtherChannel se deshabilitará.
El modo encendido coloca manualmente la interfaz en un EtherChannel, sin ninguna

negociación. Funciona solo si el otro lado también se establece en modo encendido. Si el otro
lado se establece para negociar los parámetros a través de PAgP, no se forma ningún
EtherChannel, ya que el lado que se establece en modo encendido no negocia.
El hecho de que no haya negociación entre los dos switches significa que no hay un control
para asegurarse de que todos los enlaces en el EtherChannel terminen del otro lado o de que
haya compatibilidad con PAgP en el otro switch.
6.1.7
Ejemplo de configuración del modo PAgP

Considere los dos switches en la figura. Si S1 y S2 establecen un EtherChannel usando PAgP
depende de la configuración de modo en cada lado del canal.
PAgP Modes
S1 S2 Establecimiento del canal
Activo Activo Sí
Activado Desdeseable/Automático No
Deseado Deseado Sí
Deseado Automático Sí 
Automático Deseado Sí
Automático Automático No
6.1.8
Operación LACP
LACP forma parte de una especificación IEEE (802.3ad) que permite agrupar varios puertos
físicos para formar un único canal lógico. LACP permite que un switch negocie un grupo
automático mediante el envío de paquetes LACP al otro switch. Realiza una función similar a
PAgP con EtherChannel de Cisco. Debido a que LACP es un estándar IEEE, se puede usar
para facilitar los EtherChannels en entornos de varios proveedores. En los dispositivos de
Cisco, se admiten ambos protocolos.
Nota: LACP en los inicios, se definió como IEEE 802.3ad. Sin embargo, LACP ahora se define
en el estándar más moderno IEEE 802.1AX para la redes de área local y metropolitana.
LACP proporciona los mismos beneficios de negociación que PAgP. LACP ayuda a crear el
enlace EtherChannel al detectar la configuración de cada lado y al asegurarse de que sean
compatibles, de modo que se pueda habilitar el enlace EtherChannel cuando sea necesario.
Los modos para LACP son los siguientes:
 On - Este modo obliga a la interfaz a proporcionar un canal sin LACP. Las interfaces
configuradas en el modo encendido no intercambian paquetes LACP.
 LACP activo - Este modo de LACP coloca un puerto en estado de negociación activa.
En este estado, el puerto inicia negociaciones con otros puertos mediante el envío de
paquetes LACP.
 LACP pasivo - Este modo de LACP coloca un puerto en estado de negociación pasiva.
En este estado, el puerto responde a los paquetes LACP que recibe, pero no inicia la
negociación de paquetes LACP.
Al igual que con PAgP, los modos deben ser compatibles en ambos lados para que se forme
el enlace EtherChannel. Se repite el modo encendido, ya que crea la configuración de
EtherChannel incondicionalmente, sin la negociación dinámica de PAgP o LACP.
El protocolo LACP permite ocho enlaces activos y, también, ocho enlaces de reserva. Un
enlace de reserva se vuelve activo si falla uno de los enlaces activos actuales.
6.1.9
Ejemplo de configuración del modo LACP

Considere los dos switches en la figura. Si S1 y S2 establecen un EtherChannel usando LACP
depende de la configuración de modo en cada lado del canal.
S1 S2 Establecimiento del canal
Activo Activo Sí
Activado Activo/pasivo No
Activo Activo Sí
Activo Pasivo Sí 
Pasivo Activo Sí
Pasivo Pasivo No
Configuración de EtherChannel
6.2.1
Instrucciones de configuración
Ahora que ya sabe qué es EtherChannel, en este tema se explica cómo configurarlo. Las
siguientes pautas y restricciones son útiles para configurar EtherChannel:
 Soporte de EtherChannel - Todas las interfaces Ethernet deben admitir EtherChannel,

sin necesidad de que las interfaces sean físicamente contiguas
 Velocidad y dúplex - Configure todas las interfaces en un EtherChannel para que
funcionen a la misma velocidad y en el mismo modo dúplex.
 Coincidencia VLAN - Todas las interfaces en el grupo EtherChannel se deben asignar
a la misma VLAN o se deben configurar como enlace troncal (mostrado en la figura).
 Rango de VLAN - An EtherChannel supports the same allowed range of VLANs on all
the interfaces in a trunking EtherChannel. If the allowed range of VLANs is not the same,
the interfaces do not form an EtherChannel, even when they are set
to modo or auto desirable.
La figura muestra una configuración que permitiría que se forme un EtherChannel entre el S1
y el S2.
En la siguiente figura, los puertos de S1 están configurados en modo semidúplex. Por lo tanto,
no se formará un EtherChannel entre el S1 y el S2.
Si se deben modificar estos parámetros, configúrelos en el modo de configuración de interfaz

de canal de puertos. Cualquier configuración que se aplique a la interfaz de canal de puertos
también afectará a las interfaces individuales. Sin embargo, las configuraciones que se aplican
a las interfaces individuales no afectan a la interfaz de canal de puertos. Por ello, realizar
cambios de configuración a una interfaz que forma parte de un enlace EtherChannel puede
causar problemas de compatibilidad de interfaces.
El canal de puertos se puede configurar en modo de acceso, modo de enlace troncal (más
frecuente) o en un puerto enrutado.
6.2.2
Ejemplo de Configuración de LACP
EtherChannel está deshabilitado de forma predeterminada y debe configurarse. La topología
de la figura se utilizará para demostrar un ejemplo de configuración de EtherChannel
utilizando LACP.
La configuración de EtherChannel con LACP requiere tres pasos:
Paso 1. Especifique las interfaces que conforman el grupo EtherChannel mediante

el interface range el comando de modo de configuración interface global. La palabra
clave range le permite seleccionar varias interfaces y configurarlas a la vez.
Paso 2. Cree la interfaz port channel con el channel-group comando mode

active identifier en el modo de configuración de interface range. El identificador especifica el
número del grupo del canal. Las mode active palabras clave identifican a esta configuración
como EtherChannel LACP.
Paso 3. Para cambiar la configuración de capa 2 en la interfaz de canal de puertos, ingrese al

modo de configuración de interfaz de canal de puertos mediante el interface port-
channel comando, seguido del identificador de la interfaz. En el ejemplo, S1 está configurado
con un EtherChannel LACP. El canal de puertos está configurado como interfaz de enlace
troncal con VLAN permitidas específicas.
6.2.3
Verificador de sintaxis - Configuración

EtherChannel
Configurar EtherChannel para S2 en función de los requisitos especificados
6.2.4
Packet Tracer - Configuración de

EtherChannel
Acaban de instalarse tres switches. Hay enlaces redundantes entre los switches. Con esta
configuración, solo uno de estos enlaces puede utilizarse; de lo contrario, podría producirse un
bucle de bridging. Sin embargo, con el uso de un solo enlace, se emplea solo la mitad del
ancho de banda disponible. EtherChannel permite que hasta ocho enlaces redundantes se
agrupen en un enlace lógico. En esta práctica de laboratorio, configurará el protocolo PAgP
(Port Aggregation Protocol, protocolo de agregación de enlaces), un protocolo
Cisco EtherChannel y el protocolo LACP (Link Aggregation Control Protocol, protocolo de
control de agregación de enlaces), una versión de estándar abierto IEEE 802.3ad de
EtherChannel.
Verificación y solución de
problemas de EtherChannel
6.3.1
Verificar EtherChannel
Como siempre, al configurar dispositivos en su red, debe verificar su configuración. Si hay
problemas, también deberá poder solucionarlos y solucionarlos. En este tema se proporcionan
los comandos que se deben verificar, así como algunos problemas comunes de red
EtherChannel y sus soluciones.
Los ejemplos de comandos de verificación utilizarán la topología mostrada en la figura.

El show interfaces port-channel commando muestra el estado general de la interfaz de
canal de puertos. En la figura, la interfaz de canal de puertos 1 está activa.
Cuando se configuren varias interfaces de canal de puertos en el mismo dispositivo, puede

usar el comando show etherchannel summary para mostrar una única línea de información
por canal de puertos. En el resultado, el switch tiene un EtherChannel configurado; el grupo 1
utiliza el LACP.
El grupo de interfaces consta de las interfaces FastEthernet0/1 y FastEthernet0/2. El grupo es

un EtherChannel de capa 2 y está en uso, según lo indican las letras SU junto al número de
canal de puertos.
Use el comando show etherchannel port-channel para mostrar información sobre la interfaz
del canal de puertos específica, como se muestra en el resultado. En el ejemplo, la interfaz de
canal de puertos 1 consta de dos interfaces físicas, FastEthernet0/1 y FastEthernet0/2. Esta
usa LACP en modo activo. Está correctamente conectada a otro switch con una configuración
compatible, razón por la cual se dice que el canal de puertos está en uso.
En cualquier miembro de una interfaz física de un grupo EtherChannel, el show interfaces
etherchannel comando puede proporcionar información sobre la función de la interfaz en el
EtherChannel, como se muestra en el resultado. La interfaz FastEthernet0/1 forma parte del
grupo EtherChannel 1. El protocolo para este EtherChannel es LACP.
6.3.2
Common Issues with EtherChannel
Configurations
Todas las interfaces dentro de un EtherChannel deben tener la misma configuración de
velocidad y modo dúplex, de VLAN nativas y permitidas en los enlaces troncales, y de VLAN
de acceso en los puertos de acceso. Garantizar estas configuraciones reducirá
significativamente los problemas de red relacionados con EtherChannel. Entre los problemas
comunes de EtherChannel se incluyen los siguientes:
 Los puertos asignados en el EtherChannel no son parte de la misma VLAN ni son

configurados como enlace troncal. Los puertos con VLAN nativas diferentes no pueden
formar un EtherChannel. La* conexión troncal se configuró en algunos de los puertos
que componen el EtherChannel, pero no en todos ellos. No se recomienda que
configure el modo de enlace troncal en los puertos individuales que conforman el
EtherChannel. Al configurar un enlace troncal en un EtherChannel, compruebe el modo
de enlace troncal en EtherChannel.
 If the allowed range of VLANs is not the same, the ports do not form an EtherChannel
even when PAgP is set to the modo or auto deseable.
 Las opciones de negociación dinámica para PAgP y LACP no se encuentran
configuradas de manera compatible en ambos extremos del EtherChannel.
Nota: Es fácil confundir PAgP o LACP con DTP, ya que ambos son protocolos que se usan
para automatizar el comportamiento en los enlaces troncales. PAgP y LACP se usan para la
agregación de enlaces (EtherChannel). DTP se usa para automatizar la creación de enlaces
troncales. Cuando se configura un enlace troncal de EtherChannel, normalmente se configura
primero EtherChannel (PAgP o LACP) y después DTP.
6.3.3
Ejemplo de solucionar problemas de

EtherChannel.
En la figura, las interfaces F0/1 y F0/2 en los switches S1 y S2 se conectan con un
EtherChannel. Sin embargo, el EtherChannel no está operativo.
Paso 1. Ver la información de resumen de EtherChannel

La salida del show etherchannel summary comando indica que el EtherChannel está caído.
Paso 2. Verifique la configuración de canalización de puerto
En la show run | begin interface port-channel salida, una salida más detallada indica que
existen modos PAgP incompatibles configurados en los switches S1 y S2.
Paso 3. Corregir las configuraciones incorrectas
Para corregir el problema, el modo PAgP en el EtherChannel se cambia a deseable.
Nota: EtherChannel y STP deben interoperar. Por este motivo, el orden en el que se
introducen los comandos relacionados con EtherChannel es importante, y por ello se puede
ver que se quitó el canal de puertos de interfaz1 y después se volvió a agregar con
el channel-group comando, en vez de cambiarse directamente. Si se intenta cambiar la
configuración directamente, los errores STP hacen que los puertos asociados entren en
estado de bloqueo o errdisabled.
Paso 4. Verificar que EtherChannel este en funcionamiento
El EtherChannel ahora está activo según lo verificado por la salida del show etherchannel
summary comando.
6.3.4
Packet Tracer: Solución de problemas de

EtherChannel
Un técnico júnior configuró recientemente cuatro switches. Los usuarios se quejan de que la
red funciona con lentitud y le piden que investigue.
6.4.2
Lab - Implementar EtherChannel

En esta práctica de laboratorio se cumplirán los siguientes objetivos:

 Parte 2: Crear redes VLAN y asignar puertos de switch
 Parte 3: Configurar un enlace troncal 802.1Q entre los switches
 Parte 4: Implementar y verificar un EtherChannel entre los switches
6.4.3

Operación con EtherChannel
Para aumentar el ancho de banda o la redundancia, se pueden conectar varios enlaces entre
dispositivos. Sin embargo, el STP bloquea los enlaces redundantes para evitar los bucles de
switching. EtherChannel es una tecnología de agregación de enlaces que permite enlaces
redundantes entre dispositivos que no serán bloqueados por STP. EtherChannel agrupa varios
enlaces Ethernet físicos en un único enlace lógico. Proporciona tolerancia a fallos, uso
compartido de carga, mayor ancho de banda y redundancia entre conmutadores, enrutadores
y servidores. Cuando se configura un EtherChannel, la interfaz virtual resultante se denomina
“canal de puertos”. EtherChannel tiene varias ventajas, así como algunas restricciones a la
implementación. Los EtherChannels se pueden formar por medio de una negociación con uno
de dos protocolos: PAgP o LACP. Estos protocolos permiten que los puertos con
características similares formen un canal mediante una negociación dinámica con los switches
adyacentes. Cuando se configura un enlace EtherChannel mediante un propietario Cisco
PAgP, se envían paquetes PAgP entre los puertos aptos para EtherChannel para negociar la
formación de un canal. Los modos PAgP se encienden, PAgP deseable y PAgP automático.
LACP realiza una función similar a PAgP con EtherChannel de Cisco. Debido a que LACP es
un estándar IEEE, se puede usar para facilitar los EtherChannels en entornos de varios
proveedores. Los modos LACP se encienden, LACP activo y LACP pasivo.
Configurar EtherChannel
Las siguientes pautas y restricciones son útiles para configurar EtherChannel:
 Compatibilidad con EtherChannel - Todas las interfaces Ethernet en todos los

módulos deben admitir EtherChannel, sin necesidad de que las interfaces sean
físicamente contiguas o estén en el mismo módulo.
 Velocidad y dúplex - Configure todas las interfaces en un EtherChannel para que
funcionen a la misma velocidad y en el mismo modo dúplex.
 VLAN match - Todas las interfaces en el grupo EtherChannel se deben asignar a la
misma VLAN o se deben configurar como enlace troncal.
 Rango de VLAN - Un EtherChannel admite el mismo rango permitido de VLAN en todas
las interfaces de un EtherChannel de enlace troncal.
La configuración de EtherChannel con LACP requiere tres pasos:
Paso 1. Especifique las interfaces que conforman el grupo EtherChannel mediante el

comando de modo de configuración global interface range.
Paso 2. Cree la interfaz de canal de puerto con el comando channel-group identifier mode
active en el modo de configuración de rango de interfaz.
Paso 3. Para cambiar la configuración de capa 2 en la interfaz de canal de puertos, ingrese al

modo de configuración de interfaz de canal de puertos mediante el comando interface port-
channel, seguido del identificador de la interfaz.
Verificar y resolver problemas de EtherChannel.
Existe una variedad de comandos para verificar una configuración EtherChannel que
incluye, show interfaces port-channel, show etherchannel summary, show etherchannel
port-channel y show interfaces etherchannel. Entre los problemas comunes de
EtherChannel se incluyen los siguientes:
 Los puertos asignados en el EtherChannel no son parte de la misma VLAN ni son

configurados como enlace troncal. Los puertos con VLAN nativas diferentes no pueden
formar un EtherChannel.
 La conexión troncal se configuró en algunos de los puertos que componen el
EtherChannel, pero no en todos ellos. Si el rango permitido de VLAN no es el mismo, los
puertos no forman un EtherChannel, incluso cuando PAgP se establece en modo
automático o deseado. Las opciones de negociación dinámica para PAgP y LACP no se
encuentran configuradas de manera compatible en ambos extremos del EtherChannel.
Introducción
7.0.1

¡Bienvenido a DHCPv4!
El protocolo de configuración dinámica de host (DHCP) se utiliza para asignar direcciones

IPv4 dinámicamente a hosts de red. DHCPv4 es para una red IPv4. (No se preocupe,
aprenderá acerca de DHCPv6 en otro módulo.) Esto significa que usted, el administrador de la
red, no tiene que pasar el día configurando direcciones IP para cada dispositivo de la red. En
una pequeña casa u oficina, eso no sería muy difícil, pero cualquier red grande podría tener
cientos, o incluso miles de dispositivos.
En este módulo, aprenderá a configurar un router Cisco IOS para que sea un servidor
DHCPv4. A continuación, aprenderá cómo configurar un router Cisco IOS como cliente. Este
módulo incluye algunos comprobadores de sintaxis y una actividad Packet Tracer para
ayudarle a probar sus nuevos conocimientos. Las habilidades de configuración DHCPv4
reducirán significativamente su carga de trabajo, ¿y quién no quiere eso?
7.0.2

Título del módulo: DHCPv4
Objetivos del módulo: Implemente DHCPv4 para operar en varias LAN.
Explicar la forma en la que funciona DHCPv4 en la red de una pequeña o mediana

Conceptos DHCPv4
empresa .
Configurar un servidor
Configure un router como servidor DHCPv4.
DHCPv4 del IOS de Cisco
Configurar un cliente DHCPv4 Configure un router como cliente DHCPv4.
Conceptos DHCPv4
7.1.1
Servidor y cliente DHCPv4

Dynamic Host Configuration Protocol v4 (DHCPv4) asigna direcciones IPv4 y otra información
de configuración de red dinámicamente. Dado que los clientes de escritorio suelen componer
gran parte de los nodos de red, DHCPv4 es una herramienta extremadamente útil para los
administradores de red y que ahorra mucho tiempo.
Un servidor de DHCPv4 dedicado es escalable y relativamente fácil de administrar. Sin

embargo, en una sucursal pequeña o ubicación SOHO, se puede configurar un router Cisco
para proporcionar servicios DHCPv4 sin necesidad de un servidor dedicado. El software Cisco
IOS admite un servidor DHCPv4 con funciones completas opcional.
El servidor DHCPv4 asigna dinámicamente, o arrienda, una dirección IPv4 de un conjunto de

direcciones durante un período limitado elegido por el servidor o hasta que el cliente ya no
necesite la dirección.
Los clientes arriendan la información del servidor durante un período definido

administrativamente. Los administradores configuran los servidores de DHCPv4 para
establecer los arrendamientos, a fin de que caduquen a distintos intervalos. El arrendamiento
típicamente dura de 24 horas a una semana o más. Cuando caduca el arrendamiento, el
cliente debe solicitar otra dirección, aunque generalmente se le vuelve a asignar la misma.
7.1.2
Funcionamiento de DHCPv4
DHCPv4 funciona en un modo cliente/servidor. Cuando un cliente se comunica con un
servidor de DHCPv4, el servidor asigna o arrienda una dirección IPv4 a ese cliente. El cliente
se conecta a la red con esa dirección IPv4 arrendada hasta que caduque el arrendamiento. El
cliente debe ponerse en contacto con el servidor de DHCP periódicamente para extender el
arrendamiento. Este mecanismo de arrendamiento asegura que los clientes que se trasladan o
se desconectan no mantengan las direcciones que ya no necesitan. Cuando caduca un
arrendamiento, el servidor de DHCP devuelve la dirección al conjunto, donde se puede volver
a asignar según sea necesario.
7.1.3
Pasos para obtener un arrendamiento

Cuando el cliente arranca (o quiere unirse a una red), comienza un proceso de cuatro pasos
para obtener un arrendamiento:
1. Detección de DHCP (DHCPDISCOVER)

2. Oferta de DHCP (DHCPOFFER)
3. Solicitud de DHCP (DHCPREQUEST)
4. Acuse de recibo de DHCP (DHCPACK)
Paso 1. Detección DHCP (DHCPDISCOVER)

El cliente inicia el proceso con un mensaje de difusión DHCPDISCOVER con su propia
dirección MAC para detectar los servidores de DHCPv4 disponibles. Dado que el cliente no
tiene información de IPv4 válida durante el arranque, utiliza direcciones de difusión de capa 2
y de capa 3 para comunicarse con el servidor. El próposito del mensaje DHCPDISCOVER es
encontrar los servidores de DHCPv4 en la red.
Paso 2. Ofrecimiento de DHCP (DHCPOFFER)
Cuando el servidor de DHCPv4 recibe un mensaje DHCPDISCOVER, reserva una dirección

IPv4 disponible para arrendar al cliente. El servidor también crea una entrada ARP que consta
de la dirección MAC del cliente que realiza la solicitud y la dirección IPv4 arrendada del
cliente. El servidor de DHCPv4 envía el mensaje DHCPOFFER asignado al cliente que realiza
la solicitud.
Paso 3. Solicitud de DHCP (DHCPREQUEST)
Cuando el cliente recibe el mensaje DHCPOFFER proveniente del servidor, envía un mensaje
DHCPREQUEST. Este mensaje se utiliza tanto para el origen como para la renovación del
arrendamiento. Cuando se utiliza para el origen del arrendamiento, el mensaje
DHCPREQUEST sirve como notificación de aceptación vinculante al servidor seleccionado
para los parámetros que ofreció y como un rechazo implícito a cualquier otro servidor que
pudiera haber proporcionado una oferta vinculante al cliente.
Muchas redes empresariales utilizan varios servidores de DHCPv4. El mensaje

DHCPREQUEST se envía en forma de difusión para informarle a este servidor de DHCPv4 y a
cualquier otro servidor de DHCPv4 acerca de la oferta aceptada.
Paso 4. Confirmación de DHCP (DHCPACK)

Al recibir el mensaje DHCPREQUEST, el servidor verifica la información del arrendamiento
con un ping ICMP a esa dirección para asegurarse de que no esté en uso, crea una nueva
entrada ARP para el arrendamiento del cliente y responde con un mensaje DHCPACK. El
mensaje DHCPACK es un duplicado del mensaje DHCPOFFER, a excepción de un cambio en
el campo de tipo de mensaje. Cuando el cliente recibe el mensaje DHCPACK, registra la
información de configuración y realiza una búsqueda de ARP para la dirección asignada. Si no
hay respuesta al ARP, el cliente sabe que la dirección IPv4 es válida y comienza a utilizarla
como propia.
7.1.4
Pasos para renovar un contrato de

arrendamiento
Antes de la expiración de la concesión, el cliente inicia un proceso de dos pasos para renovar
la concesión con el servidor DHCPv4, como se muestra en la figura:
1. Detección DHCP (DHCPREQUEST)
Antes de que caduque el arrendamiento, el cliente envía un mensaje DHCPREQUEST

directamente al servidor de DHCPv4 que ofreció la dirección IPv4 en primera instancia. Si no
se recibe un mensaje DHCPACK dentro de una cantidad de tiempo especificada, el cliente
transmite otro mensaje DHCPREQUEST de modo que uno de los otros servidores de DHCPv4
pueda extender el arrendamiento.
2. Ofrecimiento de DHCP (DHCPACK)
Al recibir el mensaje DHCPREQUEST, el servidor verifica la información del arrendamiento al

devolver un DHCPACK.
Nota: Estos mensajes (principalmente DHCPOFFER y DHCPACK) se pueden enviar como

unidifusión o difusión según la IETF RFC 2131.
Configure un servidor DHCPv4 del

IOS de Cisco
7.2.1
Servidor Cisco IOS DHCPv4

Ahora usted tiene una comprensión básica de cómo funciona DHCPv4 y cómo puede hacer su
trabajo un poco más fácil. Si no tiene un servidor DHCPv4 independiente, este tema le
mostrará cómo configurar un router Cisco IOS para que actúe como uno. Un router Cisco que
ejecuta el software IOS de Cisco puede configurarse para que funcione como servidor de
DHCPv4. El servidor de DHCPv4 que utiliza IOS de Cisco asigna y administra direcciones
IPv4 de conjuntos de direcciones especificados dentro del router para los clientes DHCPv4.
7.2.2
Pasos para configurar un servidor DHCPv4

del IOS de Cisco
Utilice los siguientes pasos para configurar un servidor DHCPv4 del IOS de Cisco:
Paso 1. Excluir direcciones IPv4

Paso 2. Defina un nombre de grupo DHCPv4.
Paso 3. Configure el grupo DHCPv4.
Paso 1. Excluir direcciones IPv4
El router que funciona como servidor de DHCPv4 asigna todas las direcciones IPv4 en un
conjunto de direcciones DHCPv4, a menos que esté configurado para excluir direcciones
específicas. Generalmente, algunas direcciones IPv4 de un conjunto se asignan a dispositivos
de red que requieren asignaciones de direcciones estáticas. Por lo tanto, estas direcciones
IPv4 no deben asignarse a otros dispositivos. La sintaxis del comando para excluir direcciones
IPv4 es la siguiente:
Router(config)# ip dhcp excluded-address low-address [high-address]
Se puede excluir una única dirección o un rango de direcciones especificando la dirección más
baja y la dirección más alta del rango. Las direcciones excluidas deben incluir las direcciones
asignadas a los routers, a los servidores, a las impresoras y a los demás dispositivos que se
configuraron o se configurarán manualmente. También puede introducir el comando varias
veces.
Paso 2. Defina un nombre de grupo DHCPv4

La configuración de un servidor de DHCPv4 implica definir un conjunto de direcciones que se
deben asignar.
Como se muestra en el ejemplo, el ip dhcp pool comando _pool-name_crea un conjunto con

el nombre especificado y coloca al router en el modo de configuración de DHCPv4, que se
identifica con el indicador Router(dhcp-config)#.
La sintaxis del comando para definir el grupo es la siguiente:
Router(config)# ip dhcp pool pool-name

Router(dhcp-config)#
Paso 3. Configure el grupo DHCPv4
La tabla indica las tareas para finalizar la configuración del pool de DHCPv4.
El conjunto de direcciones y el router de gateway predeterminado deben estar configurados.

Use la network instrucción para definir el rango de direcciones disponibles. Use el default-
router comando para definir el router de gateway predeterminado. Normalmente, el gateway
es la interfaz LAN del router más cercano a los dispositivos clientes. Se requiere un gateway,
pero se pueden indicar hasta ocho direcciones si hay varios gateways.
Otros comandos del pool de DHCPv4 son optativos. Por ejemplo, la dirección IPv4 del servidor
DNS que está disponible para un cliente DHCPv4 se configura mediante el comando dns-
server. El comando domain-name se utiliza para definir el nombre de dominio. La duración
del arrendamiento de DHCPv4 puede modificarse mediante el comando lease. El valor de
arrendamiento predeterminado es un día. El comando netbios-name-server se utiliza para
definir el servidor WINS con NetBIOS.
Definir el conjunto de network network-number [mask | / prefix-length]

direcciones.
Definir el router o gateway default-router address [ address2….address8]

predeterminado.
Definir un servidor DNS. dns-server address [ address2…address8]
Definir el nombre de dominio. domain-name domain
Definir la duración de la lease {days [hours [ minutes]] | infinite}

concesión DHCP.
Definir el servidor WINS con netbios-name-server address [ address2…address8]

NetBIOS.
Nota: Microsoft recomienda no implementar WINS, en su lugar configurar DNS para la

resolución de nombres de Windows y retirar WINS.
7.2.3
Ejemplo de configuración
La topología para el ejemplo de configuración se muestra en la figura.
El ejemplo muestra la configuración para convertir a R1 en un servidor DHCPv4 para la LAN

192.168.10.0/24.
7.2.4
Comandos de verificación DHCPv4

Utilice los comandos de la tabla para verificar que el servidor DHCPv4 del IOS de Cisco esté
funcionando.
Comando Descripción
show
running-
config | Muestra los comandos DHCPv4 configurados en el router.
section
dhcp
show ip
dhcp Muestra una lista de todos los enlaces de direcciones IPv4 a direcciones MAC proporcionados por el
binding servicio DHCPv4.
show ip
dhcp Muestra información de conteo con respecto a la cantidad de mensajes DHCPv4 que han sido
server enviados y recibidos.
statistics
7.2.5
Verifique que DHCPv4 esté operando

La topología que se muestra en la figura es usada en el resultado de ejemplo. En este
ejemplo, se configuró el R1 para que proporcione servicios DHCPv4. Dado que la PC1 no se
encendió, no tiene una dirección IP.
El resultado de los siguientes comandos supone que PC1 ha recibido su información de
direccionamiento IPv4 del servidor DHCPv4. Es posible que tenga que introducir ipconfig
/renew en un PC con Windows para obligarlo a enviar un mensaje DHCPDISCOVER. Haga
clic en cada botón para ver el resultado del comando verificando que DHCPv4 está operando.
Verificar la configuración DHCPv4
Como se muestra en el ejemplo, el resultado del comando show running-config | section

dhcp muestran los comandos de DHCPv4 configurados en el R1. El | section parámetro
muestra solo los comandos asociados a la configuración DHCPv4.
Verificar las asignaciones de DHCP
Como se muestra en el ejemplo, se puede verificar el funcionamiento de DHCPv4 mediante el

comando show ip dhcp binding. Este comando muestra una lista de todas las vinculaciones
de la dirección IPv4 con la dirección MAC que fueron proporcionadas por el servicio DHCPv4.
Verificar estadísticas DHCPv4
La salida de la show ip dhcp server statistics se utiliza para verificar que los mensajes están
siendo recibidos o enviados por el router. Este comando muestra información de conteo con
respecto a la cantidad de mensajes DHCPv4 que se enviaron y recibieron.
7.2.6
Verificador de sintaxis - Configuración de

DHCPv4
En esta actividad del Verificador de sintaxis, usted configurará R1 para que sea el servidor
DHCPv4 para la red 192.168.11.0/24.
La topología de red muestra un router, que funciona como un servidor DHCPv4,

conectando dos LAN juntas. A la izquierda está la red 192.168.10.0/24 que consiste en el
host PC1 conectado al conmutador S1 que está conectado al router R1 en G0/0/0 con una
dirección de .1. A la derecha está la red 192.168.11.0/24 que consiste en el host PC2 y un
servidor DNS en la dirección 192.168.11.5/24 conectado al switch S2 que está conectado a
R1 en G0/0/1 con una dirección de .1.
7.2.7
Desactive el servidor DHCPv4 del IOS de

Cisco
El servicio DHCPv4 está habilitado de manera predeterminada. Para desabilitar el servicio,
use el comando no service dhcp del modo de configuración global. Use el comando del
modo service dhcp de configuración global para volver a habilitar el proceso del servidor
DHCPv4, como se muestra en el ejemplo. Si los parámetros no se configuran, habilitar el
servicio no tiene ningún efecto.
Nota: Si se borra los enlaces DHCP o se detiene y reinicia el servicio DHCP, se pueden
asignar temporalmente direcciones IP duplicadas en la red.
R1(config)# no service dhcp R1(config)# service dhcp7.2.8
Retransmisión DHCPv4
En una red jerárquica compleja, los servidores empresariales suelen estar ubicados en una
central. Estos servidores pueden proporcionar servicios DHCP, DNS, TFTP y FTP para la red.
Generalmente, los clientes de red no se encuentran en la misma subred que esos servidores.
Para ubicar los servidores y recibir servicios, los clientes con frecuencia utilizan mensajes de
difusión.
En la figura, la PC1 intenta adquirir una dirección IPv4 de un servidor de DHCPv4 mediante un
mensaje de difusión. En esta situación, el router R1 no está configurado como servidor de
DHCPv4 y no reenvía el mensaje de difusión. Dado que el servidor de DHCPv4 está ubicado
en una red diferente, la PC1 no puede recibir una dirección IP mediante DHCP. R1 debe
configurarse para retransmitir mensajes DHCPv4 al servidor DHCPv4
En este escenario, un administrador de red está intentando renovar la información de
direccionamiento IPv4 para PC1. Haga clic en cada botón para ver la salida del comando a
medida que el administrador de red resuelve este problema.
ipconfig /release
PC1 es una computadora con Windows. El administrador de red libera toda la información de
direccionamiento IPv4 actual mediante el comando ipconfig /release. Observe que se libera
la dirección IPv4 y ninguna dirección aparece.
ipconfig /renew
A continuación, el administrador de red intenta renovar la información de direccionamiento

IPv4 con el comando ipconfig /renew. Este comando hace que la PC1 transmita por difusión
un mensaje DHCPDISCOVER. En el resultado se muestra que la PC1 no puede ubicar el
servidor de DHCPv4. Dado que los routers no reenvían mensajes de difusión, la solicitud no
es correcta.
El administrador de red podría agregar servidores DHCPv4 en R1 para todas las subredes.
Sin embargo, esto crearía costos adicionales y gastos administrativos.
ip helper-address
Una mejor solución es configurar R1 con el comando ip helper-address address interface
configuration. Esto hará que R1 retransmita transmisiones DHCPv4 al servidor DHCPv4.
Como se muestra en el ejemplo, la interfaz en R1 que recibe la difusión desde PC1 está
configurada para retransmitir la dirección DHCPv4 al servidor DHCPv4 en 192.168.11.6.
show ip interface
Cuando se configura el R1 como agente de retransmisión DHCPv4, acepta solicitudes de

difusión para el servicio DHCPv4 y, a continuación, reenvía dichas solicitudes en forma de
unidifusión a la dirección IPv4 192.168.11.6. El administrador de red puede utilizar el
comando show ip interface para verificar la configuración.
R1# show ip interface g0/0/0
ipconfig /all
Como se muestra en la salida, PC1 ahora puede adquirir una dirección IPv4 del servidor
DHCPv4 como se ha verificado con el ipconfig /all comando .
C:\Users\Student> ipconfig /all
7.2.9
Otras transmisiones de servicio

retransmitidas
DHCPv4 no es el único servicio que puede configurarse para que retransmita el router. De
manera predeterminada, el ip helper-address comando reenvia los siguientes ocho servidcios
UDP:
 Port 37: Tiempo

 Port 49: TACACS
 Port 53: Envenenamiento
 Port 67: DHCP/BOOTP server
 Port 68: DHCP/BOOTP client
 Port 69: TFTP
 Port 137: Servicio de nombre NetBIOS
 Port 138: Servicio de datagrama NetBIOS
7.2.10
Packet Tracer - Configurar DHCPv4
 Parte 1: Configurar un router como servidor de DHCP

 Parte 2: Configurar la retransmisión de DHCP
 Parte 3: Configurar un router como cliente DHCP
 Parte 4: Verificar la conectividad y DHCP
Configurar un router como cliente

DHCPv4
7.3.1
Cisco Router como cliente DHCPv4

Hay escenarios en los que puede tener acceso a un servidor DHCP a través de su ISP. En
estos casos, puede configurar un router Cisco IOS como cliente DHCPv4. En esta guía se
explicará ese proceso.
En ocasiones, los routers Cisco en oficinas pequeñas y oficinas domésticas (SOHO) y en los
sitios de sucursales deben configurarse como clientes DHCPv4 de manera similar a los
equipos cliente. El método específico utilizado depende del ISP. Sin embargo, en su
configuración más simple, se utiliza la interfaz Ethernet para conectarse a un cable módem o a
un módem DSL.
Para configurar una interfaz Ethernet como cliente DHCP, utilice el ip address dhcp comando
del modo de configuración de interfaz.
En la figura, suponga que un ISP ha sido configurado para proporcionar a clientes

seleccionados direcciones IP del rango de red 209.165.201.0/27 después de que la interfaz
G0/0/1 es configurada con el comando ip address dhcp.
7.3.2
Ejemplo de configuración
Para configurar una interfaz Ethernet como cliente DHCP, utilice el ip address dhcp comando
del modo de configuración de interfaz, como se muestra en el ejemplo. Esta configuración
supone que el ISP se ha configurado para proporcionar a los clientes seleccionados
información de direcciones IPv4.
El comando show ip interface g0/0/1 confirma que la interfaz está activa y que la dirección
fue asignada por un servidor DHCPv4.
SOHO# show ip interface g0/0/1
7.3.3
Enrutador doméstico como cliente

DHCPv4
Los routers de los hogares se configuran para recibir información de asignación de dirección
IPv4 automáticamente desde el ISP. Esto es para que los clientes puedan configurar
fácilmente el enrutador y conectarse a Internet.
Por ejemplo, en la ilustración se muestra la página de configuración de WAN predeterminada

para un router inalámbrico de Packet Tracer. Observe que el tipo de conexión a Internet está
establecido como Automatic Configuration - DHCP. Se utiliza esta selección cuando el
router se conecta a un cable módem o DSL y actúa como cliente DHCPv4 y solicita una
dirección IPv4 del ISP.
Varios fabricantes de enrutadores domésticos tendrán una configuración similar.

cuestionario
7.4.1
Packet Tracer - Implementar DHCPv4

Como técnico de red de la empresa, tiene la tarea de configurar un router Cisco como servidor
de DHCP para proporcionar la asignación dinámica de direcciones a los clientes de la red.
También se le pide que configure el router perimetral como cliente DHCP para que reciba una
dirección IP de la red ISP. Dado que el servidor está centralizado, deberá configurar los dos
routers LAN para retransmitir el tráfico DHCP entre las LAN y el router que sirve como servidor
DHCP.
7.4.2
Laboratorio: Implementar DHCPv4


 Parte 2: Configurar y verificar dos servidores DHCPv4 en R1
 Parte 3: Configurar y verificar una retransmisión DHCP en R2
7.4.3

Conceptos DHCPv4
El servidor DHCPv4 asigna dinámicamente, o arrienda, una dirección IPv4, a un cliente, de un

conjunto de direcciones durante un período limitado elegido por el servidor o hasta que el
cliente ya no necesite la dirección. El proceso de concesión DHCPv4 comienza con el cliente
que envía el mensaje solicitando los servicios de un servidor DHCP. Si hay un servidor
DHCPv4 que recibe el mensaje, responderá con una dirección IPv4 y otra información de
configuración de red posible. El cliente debe ponerse en contacto con el servidor de DHCP
periódicamente para extender el arrendamiento. Este mecanismo de arrendamiento asegura
que los clientes que se trasladan o se desconectan no mantengan las direcciones que ya no
necesitan. Cuando el cliente arranca (o quiere unirse a una red), comienza un proceso de
cuatro pasos para obtener un arrendamiento: DHCPDISCOVER, luego DHCPOFFER, luego
DHCPREQUEST y finalmente DHCPACK. Antes de la expiración de la concesión, el cliente
inicia un proceso de dos pasos para renovar la concesión con el servidor DHCPv4:
DHCPREQUEST y luego DHCPACK.
Configurar un Servidor CISCO IOS DHCPv4
Un router Cisco que ejecuta el software IOS de Cisco puede configurarse para que funcione
como servidor de DHCPv4. Siga los pasos siguientes para configurar un servidor DHCPv4 del
IOS de Cisco: excluir direcciones IPv4, definir un nombre de grupo DHCPv4 y configurar el
grupo DHCPv4. Verifique la configuración usando los comandos show running-config |
section dhcp, show ip dhcp bindingy show ip dhcp server statistics. El servicio DHCPv4
está habilitado de manera predeterminada. Para desabilitar el servicio, use el comando no
service dhcp del modo de configuración global. En una red jerárquica compleja, los
servidores empresariales suelen estar ubicados en una central. Estos servidores pueden
proporcionar servicios DHCP, DNS, TFTP y FTP para la red. Generalmente, los clientes de
red no se encuentran en la misma subred que esos servidores. Para ubicar los servidores y
recibir servicios, los clientes con frecuencia utilizan mensajes de difusión. La PC1 intenta
adquirir una dirección IPv4 de un servidor de DHCPv4 mediante un mensaje de difusión. Si el
router R1 no está configurado como servidor de DHCPv4, no reenviará el mensaje de difusión.
Si el servidor DHCPv4 está ubicado en una red distinta, el PC no podrá recibir la dirección IP
mediante DHCP. El router debe estar configurado para retransmitir mensajes DHCPv4 al
servidor DHCPv4. El administrador de red libera toda la información de direccionamiento IPv4
actual mediante el comando ipconfig /release. A continuación, el administrador de red intenta
renovar la información de direccionamiento IPv4 con el comando ipconfig /renew. Una mejor
solución es configurar R1 con el comando ip helper-address address interface configuration.
El administrador de red puede utilizar el comando show ip interface para verificar la
configuración. El PC ahora puede adquirir una dirección IPv4 del servidor DHCPv4 como se
ha verificado con el comando ipconfig /all. De manera predeterminada, el ip helper-
address comando reenvia los siguientes ocho servidcios UDP:
 Port 37: Tiempo

 Port 49: TACACS
 Port 53: Envenenamiento
 Port 67: DHCP/BOOTP server
 Port 68: DHCP/BOOTP client
 Port 69: TFTP
 Port 137: Servicio de nombre NetBIOS
 Port 138: Servicio de datagrama NetBIOS
Configurar un Cliente DHCPv4
La interfaz Ethernet se usa para conectarse a un cable o modem DSL. Para configurar una
interfaz Ethernet como cliente DHCP, utilice el ip address dhcp interface comando del modo
de configuración. Los routers de los hogares se configuran para recibir información de
asignación de dirección IPv4 automáticamente desde el ISP. El tipo de conexión de internet
está establecido en Automatic Configuration - DHCP. Se utiliza esta selección cuando el router
se conecta a un cable módem o DSL y actúa como cliente DHCPv4 y solicita una dirección
IPv4 del ISP.
8.0.1
Bienvenido
Bienvenido a SLAAC y DHCPv6!
SLAAC y DHCPv6 son protocolos de direccionamiento dinámico para una red IPv6. Por lo
tanto, un poco de configuración hará que su día como administrador de red sea mucho más
fácil. En este módulo, aprenderá a usar SLAAC para permitir a los hosts crear su propia
dirección de unidifusión global IPv6, así como configurar un router Cisco IOS para que sea un
servidor DHCPv6, un cliente DHCPv6 o un agente de retransmisión DHCPv6. Este módulo
incluye un laboratorio donde configurará DHCPv6 en equipos reales!
8.0.2

Título del tema: SLAAC y DHCPv6
Objetivo del tema: Configure la asignación dinámica de direcciones en redes IPv6.
Asignación de direcciones
Explique cómo un host IPv6 puede adquirir su configuración IPv6.
de unidifusión global IPv6
SLAAC Explicar el funcionamiento de SLAAC.
DHCPv6 Explique el funcionamiento de DHCPv6.
Configurar un servidor
Configurar servidor DHCPv6 stateful y stateless.
DHCPv6
IPv6 GUA Assignment

8.1.1
Configuración de host con IPv6

En primer lugar, lo más importante. Para utilizar la configuración automática de direcciones
stateless (SLAAC) o DHCPv6, debe revisar las direcciones globales de unidifusión (GUA) y las
direcciones link-local (LLAs). Este tema abarca ambas cosas.
En un router, una dirección global de unidifusión (GUA) IPv6 se configura manualmente

mediante el comando de configuración ipv6 address ipv6-address/prefix-length interface.
Un host de Windows también se puede configurar manualmente con una configuración de

dirección IPv6 GUA, como se muestra en la figura.
Introducir manualmente una GUA IPv6 puede llevar mucho tiempo y ser algo propenso a
errores. Por lo tanto, la mayoría de los hosts de Windows están habilitados para adquirir
dinámicamente una configuración GUA IPv6, como se muestra en la figura.
8.1.2
IPv6 Host Link-Local Address

Cuando se selecciona el direccionamiento IPv6 automático, el host intentará obtener y
configurar automáticamente la información de direcciones IPv6 en la interfaz. El host utilizará
uno de los tres métodos definidos por el Internet Control Message Protocol version 6 (ICMPv6)
mensaje Router Advertisement (RA) recibidos en la interfaz. Un router IPv6 que está en el
mismo vínculo que el host envía mensajes de RA que sugieren a los hosts cómo obtener su
información de direccionamiento IPv6. El host crea automáticamente la dirección local del
vínculo IPv6 cuando se inicia y la interfaz Ethernet está activa. El ipconfig resultado de
ejemplo muestra una dirección link-local (LLA) generada automáticamente en una interfaz.
En la figura, observe que la interfaz no creó una GUA IPv6. La razón se debe a que, en este
ejemplo, el segmento de red no tiene un router que proporcione instrucciones de configuración
de red para el host.
Nota: A veces, los sistemas operativoshost mostrarán una dirección link-local anexada con un
"%" y un número. Esto se conoce como Id. de zona o Id. de ámbito. Es utilizado por el sistema
operativo para asociar el LLA con una interfaz específica.
Nota: DHCPv6 se define en RFC 3315.
C:\PC1> ipconfig
8.1.3
IPv6 GUA Assignment

IPv6 fue diseñado para simplificar la forma en que un host puede adquirir su configuración
IPv6. De forma predeterminada, un router habilitado para IPv6 anuncia su información IPv6.
Esto permite a un host crear o adquirir dinámicamente su configuración IPv6.
IPv6 GUA se puede asignar dinámicamente utilizando servicios stateless y stateful, como se
Todos los métodos stateless y stateful de este módulo utilizan mensajes de RA ICMPv6 para
sugerir al host cómo crear o adquirir su configuración IPv6. Aunque los sistemas operativos
del host siguen la sugerencia del RA, la decisión real depende en última instancia del host.
8.1.4
Tres flags de mensaje RA

La decisión de cómo un cliente obtendrá un GUA IPv6 depende de la configuración dentro del
mensaje RA.
Un mensaje de RA ICMPv6 incluye tres flags para identificar las opciones dinámicas
disponibles para un host, como se indica a continuación:
 Un flag - Este es el indicador de configuración automática de direcciones. Usa Stateless

Address Autoconfiguration (SLAAC) para crear un GUA de IPv6.
 O flag - Este es otro indicador de configuración (Other) Otra información está disponible
desde un servidor DHCPv6 stateless.
 M flag - Este es es indicador Managed Address. Utilice un servidor DHCPv6 stateful
para obtener una GUA IPv6.
Mediante diferentes combinaciones de los flags A, O y M, los mensajes RA informan al host

sobre las opciones dinámicas disponibles.
La figura ilustra estos tres métodos.

SLAAC
8.2.1
Descripción general de SLAAC

No todas las redes tienen acceso a un servidor DHCPv6. Pero todos los dispositivos de una
red IPv6 necesitan un GUA. El método SLAAC permite a los hosts crear su propia dirección
única global IPv6 sin los servicios de un servidor DHCPv6.
SLAAC es un servicio stateless. Esto significa que no hay ningún servidor que mantenga
información de direcciones de red para saber qué direcciones IPv6 se están utilizando y
cuáles están disponibles.
SLAAC utiliza mensajes ICMPv6 RA para proporcionar direccionamiento y otra información de

configuración que normalmente proporcionaría un servidor DHCP Un host configura su
dirección IPv6 en función de la información que se envía en la RA. Los mensajes RA son
enviados por un router IPv6 cada 200 segundos.
Un host también puede enviar un mensaje Router Solicitation (RS) solicitando que un router
habilitado para IPv6 envíe al host un RA.
SLAAC se puede implementar como SLAAC solamente, o SLAAC con DHCPv6.
8.2.2
Activación de SLAAC
Consulte la topología siguiente para ver cómo está habilitado SLAAC para proporcionar
asignación GUA dinámica stateless.
Suponga que R1 GigabitEthernet 0/0/1 se ha configurado con la GUA IPv6 indicada y

direcciones link-local. Haga clic en cada botón para obtener una explicación de cómo R1 está
habilitado para SLAAC.
El resultado del show ipv6 interface comando muestra la configuración actual en la interfaz
G0/0/1.
Como se destaca, a R1 se le han asignado las siguientes direcciones IPv6:
 Link-local IPv6 address - fe80::1

 GUA and subnet - 2001:db8:acad:1: :1 y 2001:db8:acad:1: :/64
 IPv6 all-nodes group - ff02::1
R1# show ipv6 interface G0/0/1

Aunque la interfaz del router tiene una configuración IPv6, todavía no está habilitada para
enviar RA que contengan información de configuración de direcciones a hosts que utilicen
SLAAC.
Para habilitar el envío de mensajes RA, un router debe unirse al grupo de todos los routers
IPv6 mediante el comando ipv6 unicast-routing global config, como se muestra en el
ejemplo.
R1(config)# ipv6 unicast-routing

El grupo de todos los routers IPv6 responde a la dirección de multidifusión IPv6 ff02 :: 2.
Puede utilizar el show ipv6 interface comando para verificar si un router está habilitado como
se muestra, en el ejemplo.
Un router Cisco habilitado para IPv6 envía mensajes RA a la dirección de multidifusión de
todos los nodos IPv6 ff02: :1 cada 200 segundos.
R1# show ipv6 interface G0/0/1 | section Joined

8.2.3
Método Sólo SLAAC

El método sólo SLAAC está habilitado de forma predeterminada cuando se configura el ipv6
unicast-routing comando. Todas las interfaces Ethernet habilitadas con un GUA IPv6
configurado comenzarán a enviar mensajes RA con el flag A establecido en 1 y los flags O y M
establecidos en 0, como se muestra en la figura.
El A = 1 flag sugiere al cliente que cree su propio IPv6 GUA usando el prefijo anunciado en la
RA. El cliente puede crear su propio ID de interfaz utilizando el método Extended Unique
Identifier (EUI-64) o hacer que se genere aleatoriamente.
Los flags O =0 y M=0 le indican al cliente que use la información del mensaje RA
exclusivamente. Esto incluye información del prefijo, de la longitud de prefijo, del servidor
DNS, de la MTU y del default gateway. No se encuentra disponible ninguna otra información
de un servidor de DHCPv6.
En el ejemplo, PC1 esta habilitada para obtener su información de direccion de IPv6 de forma
automática. Debido a la configuración de los flags A, O y M, PC1 sólo realiza SLAAC,
utilizando la información contenida en el mensaje RA enviado por R1.
La dirección del default gateway es la dirección IPv6 de origen del mensaje RA, que es la LLA
para R1. El default gateway solo se puede obtener de forma automática mediante un mensaje
RA. Un servidor DHCPv6 no proporciona esta información.
C:\PC1> ipconfig
8.2.4
ICMPv6 RS Messages
Un router envía mensajes de RA cada 200 segundos. Sin embargo, también enviará un
mensaje RA si recibe un mensaje RS de un host.
Cuando un cliente está configurado para obtener su información de direccionamiento

automáticamente, envía un mensaje RS a la dirección de multidifusión IPv6 de ff02: :2.
La figura ilustra cómo un host inicia el método SLAAC.
8.2.5
Proceso de host para generar ID de

interfaz
Mediante SLAAC, un host suele adquirir su información de subred IPv6 de 64 bits del RA del
router. Sin embargo, debe generar el resto del identificador de interfaz (ID) de 64 bits
utilizando uno de estos dos métodos:
 De generación aleatoria - La identificación de la interfaz de 64 bits es generada
aleatoriamente por el sistema operativo del cliente. Este es el método utilizado ahora por
los hosts de Windows 10.
 EUI-64 - El host crea un ID de interfaz utilizando su dirección MAC de 48 bits e inserta el
valor hexadecimal de fffe en el medio de la dirección. Algunos sistemas operativos
utilizan por defecto el ID de interfaz generado aleatoriamente en lugar del método EUI-
64, debido a problemas de privacidad. Esto se debe a que EUI-64 utiliza la dirección
MAC Ethernet del host para crear el ID de interfaz.
Nota: Windows, Linux y Mac OS permiten al usuario modificar la generación del ID de interfaz
para que se genere aleatoriamente o utilice EUI-64.
Por ejemplo, en el siguiente ipconfig resultado, el host PC1 de Windows 10 utilizó la

información de subred IPv6 contenida en el R1 RA y generó aleatoriamente un ID de interfaz
de 64 bits como se destaca en el ejemplo.
C:\PC1> ipconfig
8.2.6
Detección de direcciones duplicadas

El proceso permite al host crear una dirección IPv6. Sin embargo, no hay garantía de que la
dirección sea única en la red.
Ya que SLAAC es stateless; por lo tanto, un host tiene la opción de verificar que una dirección
IPv6 recién creada sea única antes de que pueda usarse Un host utiliza el proceso de
detección de direcciones duplicadas (DAD) para asegurarse de que IPv6 GUA es único.
DAD se implementa usando ICMPv6. Para realizar DAD, el host envía un mensaje ICMPv6 NS
con una dirección de multidifusión especialmente construida, llamada dirección de
multidifusión de nodo solicitado. Esta dirección duplica los últimos 24 bits de dirección IPv6 del
host.
Si ningún otro dispositivo responde con un mensaje NA, prácticamente se garantiza que la
dirección es única y puede ser utilizada por la PC1. Si un mensaje NA es recibido por el host,
la dirección no es única, y el sistema operativo debe determinar una nueva ID de interfaz para
utilizar.
Internet Engineering Task Force (IETF) recomienda que DAD se utilice en todas las
direcciones de unidifusión IPv6 independientemente de si se crea con SLAAC sólo, se obtiene
con DHCPv6 stateful, o se configura manualmente. DAD no es obligatorio porque un ID de
interfaz de 64 bits proporciona 18 quintillion de posibilidades y la posibilidad de que haya una
duplicación es remota. Sin embargo, la mayoría de los sistemas operativos realizan DAD en
todas las direcciones de unidifusión IPv6, independientemente de cómo se configure la
dirección.
DHCPv6
8.3.1
Pasos de operación DHCPv6

En este tema se explica DHCPv6 stateless y stateful DHCPv6 stateless utiliza partes de
SLAAC para asegurarse de que toda la información necesaria se suministra al host. DHCPv6
stateful no requiere SLAAC.
Si bien DHCPv6 es similar a DHCPv4 en cuanto a lo que proporciona, los dos protocolos son
independientes respecto sí.
El host comienza las comunicaciones cliente / servidor DHCPv6 después de que se indica
DHCPv6 stateles o DHCPv6 stateful en el RA.
Los mensajes DHCPv6 de servidor a cliente utilizan el puerto de destino UDP 546, mientras
que los mensajes DHCPv6 de cliente a servidor utilizan el puerto de destino UDP 547.
Los pasos para las operaciones DHCPv6 son los siguientes:
 Paso 1. El host envía un mensaje RS.

 Paso 2. El router responde con un mensaje RA.
 Paso 3. El host envía un mensaje DHCPv6 SOLIT.
 Paso 4. El servidor DHCPv6 responde con un mensaje ADVERTISE.
 Paso 5. El host responde al servidor DHCPv6.
 Paso 6. El servidor DHCPv6 envía un mensaje REPLY
Paso 1. El host envía un mensaje RS.
PC1 envía un mensaje RS a todos los routers habilitados para IPv6.
Paso 2. Router responde con un mensaje RA.
R1 recibe el RS y responde con un RA indicando que el cliente debe iniciar la comunicación

con un servidor DHCPv6.
Paso 3. El host envía un mensaje DHCPv6 SOLIT.
El cliente, ahora un cliente DHCPv6, necesita localizar un servidor DHCPv6 y envía un

mensaje DHCPv6 SOLICIT a la dirección reservada de todos los servidores DHCPv6 de
multidifusión IPv6 de ff02 :: 1: 2. Esta dirección de multidifusión tiene alcance link-local, lo cual
significa que los routers no reenvían los mensajes a otras redes.
Paso 4. El servidor DHCPv6 responde con un mensaje ADVERTISE.
Uno o más servidores DHCPv6 responden con un mensaje unidifusión DHCPv6 ADVERTISE
El mensaje ADVERTISE le informa al cliente DHCPv6 que el servidor se encuentra disponible
para el servicio DHCPv6.
Paso 5. El host responde al servidor DHCPv6.
La respuesta PC1 depende de si está utilizando DHCPv6 stateful o stateless:
 Cliente DHCPv6 Stateless - El cliente crea una dirección IPv6 utilizando el prefijo en
el mensaje RA y una ID de interfaz autogenerada. El cliente envía un mensaje
DHCPv6 INFORMATION-REQUEST al servidor de DHCPv6 en el que solicita
solamente parámetros de configuración, como la dirección del servidor DNS.
 Cliente DHCPv6 Stateful - el cliente envía un mensaje DHCPv6 REQUEST al
servidor para obtener una dirección IPv6 y todos los demás parámetros de
configuración del servidor.
Paso 6. El servidor DHCPv6 envía un mensaje REPLY
El servidor envía un mensaje de unidifusión DHCPv6 REPLY al cliente. El contenido del

mensaje varía en función de si responde a un mensaje REQUEST o INFORMATION-
REQUEST
Note: El cliente usara la direccion IPv6 link-local de origen del RA como su direccion default
gateway. Un servidor DHCPv6 no proporciona esta información .
8.3.2
Operación DHCPv6 stateless

La opción de DHCPv6 stateless informa al cliente que utilice la información del mensaje RA
para el direccionamiento, pero que hay más parámetros de configuración disponibles de un
servidor de DHCPv6.
Este proceso se conoce como DHCPv6 stateless, debido a que el servidor no mantiene
información de estado del cliente (es decir, una lista de direcciones IPv6 asignadas y
disponibles). El servidor de DHCPv6 stateless solo proporciona parámetros de configuración
para los clientes, no direcciones IPv6.
La figura ilustra la operación DHCPv6 stateless.

8.3.3
Habilitar DHCPv6 stateless en una interfaz

DHCPv6 Stateless está habilitado en una interfaz de router mediante el comandoipv6 nd
other-config-flag interface configuration. Esto establece el flag O en 1.
El resultado resaltado confirma que la RA le indicará a los hosts receptores que usen la
configuración automática stateless (A flag = 1) y se comunique con un servidor DHCPv6 para
obtener otra información de configuración (O flag = 1).
Note: You can use the no ipv6 nd other-config flag para restablecer la interfaz a la opción
predeterminada de SLAAC sólo (O flag = 0).
8.3.4
Operaciones de DHCPv6 stateful

Esta opción es la más similar a DHCPv4. En este caso, el mensaje RA indica al cliente que
obtenga toda la información de direccionamiento de un servidor DHCPv6 stateful, excepto la
dirección del default gateway que es la dirección link-local IPv6 de origen de la RA.
Esto se conoce como DHCPv6 stateful, debido a que el servidor de DHCPv6 mantiene
información de estado de IPv6. Esto es similar a la asignación de direcciones para IPv4 por
parte de un servidor de DHCPv4.
La figura ilustra la operación DHCPv6 stateful.

Nota: Si A=1 y M=1, algunos sistemas operativos como Windows crearán una dirección IPv6
mediante SLAAC y obtendrán una dirección diferente del servidor DHCPv6 stateful. En la
mayoría de los casos, se recomienda establecer manualmente el flag A en 0.
8.3.5
Habilitar DHCPv6 stateful en una interfaz

DHCPv6 Stateful es habilitado en una interfaz de router mediante el comando ipv6 nd
managed-config-flag interface configuration Esto establece el flag M en 1.
El resultado resaltado en el ejemplo confirma que RA indicará al host que obtenga toda la
información de configuración IPv6 de un servidor DHCPv6 (flag M = 1).
Configure DHCPv6 Server
8.4.1
Roles de router DHCPv6

Los routers IOS de Cisco son dispositivos potentes. En redes más pequeñas, no es necesario
tener dispositivos separados para tener un servidor DHCPv6, un cliente o un agente de
retransmisión. Se puede configurar un router Cisco para proporcionar servicios DHCPv6.
Específicamente, se puede configurar para que sea uno de los siguientes:
 Servidor DHCPv6 - El router proporciona servicios DHCPv6 stateless o stateful.

 Cliente DHCPv6 - la interfaz del router adquiere una configuración IP IPv6 de un
servidor DHCPv6.
 Agente de retransmisión DHCPv6 - Router proporciona servicios de reenvío DHCPv6
cuando el cliente y el servidor se encuentran en diferentes redes.
8.4.2
Configurar un servidor DHCPv6 stateless.

La opción de servidor DHCPv6 stateless requiere que el router anuncie la información de
direccionamiento de red IPv6 en los mensajes RA. Sin embargo, el cliente debe ponerse en
contacto con un servidor DHCPv6 para obtener más información.
Consulte la topología de ejemplo para aprender a configurar el método de servidor DHCPv6

stateless.
En este ejemplo, R1 proporcionará servicios SLAAC para la configuración IPv6 del host y los
servicios DHCPv6.
Hay cinco pasos para configurar y verificar un router como servidor DHCPv6 stateless:
 Paso 1. Habilite el enrutamiento IPv6.

 Paso 2. Defina un nombre de grupo DHCPv6.
 Paso 3. Configure el grupo DHCPv6.
 Paso 4. Enlace el grupo DHCPv6 a una interfaz.
 Paso 5. Compruebe que los hosts han recibido información de direccionamiento IPv6.
Haga clic en cada botón para ver un ejemplo de estos pasos.

Paso 1. Habilite el enrutamiento IPv6.
El ipv6 unicast-routing comando es requerido para habilitar el enrutamiento IPv6 Este

comando no es necesario para que el router sea un servidor de DHCPv6 stateless, pero se
requiere para que el router origine los mensajes RA ICMPv6.

Cree el grupo DHCPv6 mediante el comando ipv6 dhcp pool POOL-NAME global config.
Esto entra en el modo de subconfiguración del grupo DHCPv6 identificado por elRouter(config-
dhcpv6)# mensaje .
Note: El nombre del grupo no tiene que estar en mayúsculas. Sin embargo, el uso de un
nombre en mayúsculas facilita la visualización en una configuración.
R1(config)# ipv6 dhcp pool IPV6-STATELESS

R1 se configurará para proporcionar información DHCP adicional, incluida la dirección del
servidor DNS y el nombre de dominio, como se muestra en el resultado del comando.
R1(config-dhcpv6)# dns-server 2001:db8:acad:1::254
R1(config-dhcpv6)# domain-name example.com

Paso 4. Enlace el grupo DHCPv6 a una interfaz.
El grupo DHCPv6 debe vincularse a la interfaz mediante el comando ipv6 dhcp server POOL-
NAME interface config como se muestra en el ejemplo.
El router responde a las solicitudes de DHCPv6 stateless en esta interfaz con la información
incluida en el pool. El flag O debe cambiarse manualmente de 0 a 1 utilizando el comando de
interfazipv6 nd other-config-flag. Los mensajes RA enviados en esta interfaz indican que hay
información adicional disponible de un servidor de DHCPv6 stateless. El flag A es 1 de forma
predeterminada, indicando a los clientes que usen SLAAC para crear su propio GUA.
Paso 5. Compruebe que los hosts han recibido información de direccionamiento IPv6.
Para comprobar DHCP stateless en un host de Windows, utilice el ipconfig /all comando. El
resultado de ejemplo muestra la configuración en PC1.
Observe en el resultado que PC1 creó su GUA IPv6 utilizando el prefijo 2001:db8:acad:1: :/64.
Observe también que el default gateway es la dirección link-local IPv6 de R1. Esto confirma
que PC1 derivó su configuración IPv6 de la RA de R1.
El resultado resaltado confirma que PC1 ha aprendido el nombre de dominio y la dirección del
servidor DNS del servidor DHCPv6 stateless.
C:\PC1> ipconfig /all

8.4.3
Configurar un cliente DHCPv6 stateless.

Un router también puede ser un cliente DHCPv6 y obtener una configuración IPv6 de un
servidor DHCPv6, como un router que funcione como servidor DHCPv6. En la figura, R1 es un
servidor DHCPv6 stateless.

 Paso 2. Configure el router cliente para crear una LLA.
 Paso 3. Configure el router cliente para usar SLAAC.
 Paso 4. Verifique que el router cliente tenga asignado un GUA.
 Paso 5. Verifique que el enrutador cliente haya recibido otra información DHCPv6
necesaria.
El router cliente DHCPv6 debe estar ipv6 unicast-routing habilitado.

Paso 2. Configure el router cliente para crear una LLA.
El router cliente necesita tener una dirección link-local. Una dirección link-local IPv6 se crea en
una interfaz de router cuando se configura una dirección de unidifusión global. También se
puede crear sin un GUA mediante el comando de configuración de ipv6 enable interfaz. Cisco
IOS utiliza EUI-64 para crear un ID de interfaz aleatorio.
En el resultado, el ipv6 enable comando se configura en la interfaz Gigabit Ethernet 0/0/1 del
router cliente R3.
R3(config)# interface g0/0/1
R3(config-if)# ipv6 enable
Paso 3. Configure el router cliente para usar SLAAC.

El router cliente debe configurarse para usar SLAAC para crear una configuración IPv6.
El ipv6 address autoconfig comando habilita la configuración automática del
direccionamiento IPv6 mediante SLAAC.
R3(config-if)# ipv6 address autoconfig
Paso 4. Verifique que el router cliente tenga asignado un GUA.
Utilice el show ipv6 interface brief comando para verificar la configuración del host como se
muestra. El resultado confirma que a la interfaz G0/0/1 en R3 se le asignó una GUA válida.
Nota: la interfaz puede tardar unos segundos en completar el proceso .
R3# show ipv6 interface brief

Paso 5. Verifique que el router cliente haya recibido otra información DHCPv6
necesaria.
El show ipv6 dhcp interface g0/0/1 comando confirma que R3 también aprendió el DNS y los
nombres de dominio.
R3# show ipv6 dhcp interface g0/0/1
8.4.4
Configurar un servidor DHCPv6 stateful.

La opción de servidor DHCP stateful requiere que el router habilitado para IPv6 indique al host
que se ponga en contacto con un servidor DHCPv6 para obtener toda la información de
direccionamiento de red IPv6 necesaria.
En la figura, R1 proporcionará servicios DHCPv6 stateful a todos los hosts de la red local.
Configurar un servidor de DHCPv6 stateful es similar a configurar un servidor stateless. La
diferencia más importante es que un servidor stateful también incluye información de
direccionamiento IPv6 de manera similar a un servidor DHCPv4.

 Paso 2. Defina un nombre de grupo DHCPv6.
 Paso 3. Configure el grupo DHCPv6.
 Paso 4. Enlace el grupo DHCPv6 a una interfaz.
 Paso 5. Compruebe que los hosts han recibido información de direccionamiento IPv6.
El ipv6 unicast-routing comando es requerido para habilitar el enrutamiento IPv6
Cree el grupo DHCPv6 mediante el comando ipv6 dhcp pool POOL-NAME global config.
R1(config)# ipv6 dhcp pool IPV6-STATEFUL
R1 se configurará para proporcionar direccionamiento IPv6, dirección del servidor DNS y

nombre de dominio, como se muestra en el resultado del comando. Con DHCPv6 stateful,
todos los parámetros de direccionamiento y otros parámetros de configuración deben ser
asignados por el servidor de DHCPv6. El address prefix comando se utiliza para indicar el
conjunto de direcciones que debe asignar el servidor. Otra información proporcionada por el
servidor de DHCPv6 stateful suele incluir la dirección del servidor DNS y el nombre de
dominio.
Note: Este ejemplo está configurando el servidor DNS en el servidor DNS público de Google.
Paso 4. Enlace el grupo DHCPv6 a una interfaz.
El ejemplo muestra la configuración completa de la interfaz GigabitEthernet 0/0/1 en R1.
El grupo DHCPv6 debe vincularse a la interfaz mediante el comando ipv6 dhcp server POOL-
NAME interface config.
 The M flag is manually changed from 0 to 1 using the interface command ipv6 nd
managed-config-flag.
 The A flag is manually changed from 1 to 0 using the interface command ipv6 nd
prefix default no-autoconfig. El flag A se puede dejar en 1, pero algunos sistemas
operativos cliente como Windows crearán una GUA usando SLAAC y obtendrán una
GUA del servidor DHCPv6 stateful. Establecer el flag A en 0 indica al cliente que no
utilice SLAAC para crear un GUA.
 The El comando IPv6 dhcp server vincula el conjunto de DHCPv6 con la interfaz. R1
responderá ahora con la información contenida en el grupo cuando reciba solicitudes
DHCPv6 stateful en esta interfaz.
Note: You can use the no ipv6 nd managed-config-flag to set the M flag back to its default of
0. The no ipv6 nd prefix default no-autoconfig comando establece el flag A su valor
predeterminado de 1.
Paso 5. Compruebe que los hosts han recibido información de direccionamiento IPv6.
Para comprobar en un host de Windows, utilice el ipconfig /all comando para comprobar el
método de configuración DHCP stateful. El ejemplo muestra la configuración en PC1. El
resultado resaltado muestra que PC1 ha recibido su GUA IPv6 de un servidor DHCPv6
stateful.
8.4.5
Configurar un cliente DHCPv6 stateful.
Un router también puede ser un cliente DHCPv6. El router cliente debe tener ipv6 unicast-
routing habilitado y una dirección link-local IPv6 para enviar y recibir mensajes IPv6.
Consulte la topología de ejemplo para aprender a configurar el cliente DHCPv6 stateful.

 Paso 2. Configure el router cliente para crear una LLA.
 Paso 3. Configure el router cliente para que use DHCPv6.
 Paso 4. Verifique que el router cliente tenga asignado un GUA.
 Paso 5. Verifique que el enrutador cliente haya recibido otra información DHCPv6
necesaria.
El router cliente DHCPv6 debe estar ipv6 unicast-routing habilitado.

Paso 2. Configure el router cliente para crear una LLA.
En el ejemplo, el ipv6 enable comando se configura en la interfaz R3 Gigabit Ethernet 0/0/1.

Esto permite al router crear una LLA IPv6 sin necesidad de un GUA.
R3(config)# interface g0/0/1

R3(config-if)# ipv6 enable
Paso 3. Configure el router cliente para que use DHCPv6.
El ipv6 address dhcp comando configura R3 para solicitar su información de

direccionamiento IPv6 de un servidor DHCPv6.
R3(config-if)# ipv6 address dhcp
Paso 4. Verifique que el router cliente tenga asignado un GUA.
Utilice el show ipv6 interface brief comando para verificar la configuración del host como se
muestra.
R3# show ipv6 interface brief
Paso 5. Verifique que el router cliente haya recibido otra información DHCPv6
necesaria.
El show ipv6 dhcp interface g0/0/1 comando confirma que R3 aprendió el DNS y los
nombres de dominio.
R3# show ipv6 dhcp interface g0/0/1

8.4.6
Comandos de verificación del server

DHCPv6
Utilice los show ipv6 dhcp pool comandos show ipv6 dhcp binding y para verificar el
funcionamiento DHCPv6 en un router.
El show ipv6 dhcp pool comando verifica el nombre del pool de DHCPv6 y sus parámetros.
El comando también identifica el número de clientes activos. En este ejemplo, el grupo IPV6-
STATEFUL tiene actualmente 2 clientes, lo que refleja PC1 y R3 que reciben su dirección de
unidifusión global IPv6 de este servidor.
Cuando un router proporciona servicios DHCPv6 stateful, también mantiene una base de
datos de direcciones IPv6 asignadas.
R1# show ipv6 dhcp pool
Utilice el resultado del show ipv6 dhcp binding comando para mostrar la dirección link-local
IPv6 del cliente y la dirección de unidifusión global asignada por el servidor.
El resultado muestra el enlace con estado actual en R1. El primer cliente en el resultado es
PC1 y el segundo cliente es R3.
Esta información la mantiene un servidor de DHCPv6 stateful. Un servidor DHCPv6 stateless

no mantendría esta información.
R1# show ipv6 dhcp binding Client: FE80: :192F:6FBC:9DB:B749
8.4.7
Configuración del agente de retransmisión

DHCPv6
Si el servidor de DHCPv6 está ubicado en una red distinta de la del cliente, el router IPv6
puede configurarse como agente de retransmisión DHCPv6. La configuración de un agente de
retransmisión DHCPv6 es similar a la configuración de un router IPv4 como retransmisor
DHCPv4.
En la figura, R3 se configura como un servidor DHCPv6 stateful. PC1 está en la red

2001:db8:acad:2: :/64 y requiere los servicios de un servidor DHCPv6 stateful para adquirir su
configuración IPv6. R1 debe configurarse como el Agente de retransmisión DHCPv6.
La sintaxis del comando para configurar un router como agente de retransmisión DHCPv6 es
la siguiente:
Router(config-if)# ipv6 dhcp relay destination ipv6-address [interface-

type interface-number]
Este comando se configura en la interfaz que frente a los clientes DHCPv6 y especifica la
dirección del servidor DHCPv6 y la interfaz de salida para llegar al servidor, como se muestra
en el ejemplo. La interfaz de salida sólo es necesaria cuando la dirección de salto siguiente es
una LLA.
R1(config)# interface gigabitethernet 0/0/1
R1(config-if)# ipv6 dhcp relay destination 2001:db8:acad:1::2 G0/0/0

8.4.8
Verificar el agente de retransmisión de
DHCPv6
Compruebe que el agente de retransmisión DHCPv6 esté operativo con los show ipv6 dhcp
interface comandos show ipv6 dhcp binding Compruebe que los hosts de Windows
recibieron información de direccionamiento IPv6 con el ipconfig /all comando.
El agente de retransmisión DHCPv6 se puede verificar mediante el show ipv6 dhcp

interface comando. Esto verificará que la interfaz G0/0/1 esté en modo de retransmisor.
R1# show ipv6 dhcp interface GigabiteThernet0/0/1 is in relay mode

En R3, utilice el show ipv6 dhcp binding command para comprobar si se ha asignado una
configuración IPv6 a alguno de los hosts.
Observe que a una dirección link-local de cliente se le ha asignado un GUA IPv6. Podemos
suponer que esto es PC1.
R3# show ipv6 dhcp binding

Por último, utilice ipconfig /all en PC1 para confirmar que se le ha asignado una configuración
IPv6. Como puede ver, PC1 ha recibido su configuración IPv6 del servidor DHCPv6.

cuestionario
8.5.1
Laboratorio: Configurar DHCPv6


 Parte 2: Verificar la asignación de direcciones SLAAC desde R1
 Parte 3: Configurar y verificar un servidor DHCPv6 stateless en R1
 Parte 4: Configurar y verificar un servidor DHCPv6 stateful en R1
 Parte 5: Configurar y verificar una retransmisión DHCPv6 en R2
8.5.2
Asignación IPv6 GUA
En un router, las direcciones globales de unidifusión (GUA) IPv6 se configuran manualmente

mediante el comando de configuración ipv6 address ipv6-address/prefix-length interface.
Cuando se selecciona el direccionamiento IPv6 automático, el host intentará obtener y
configurar automáticamente la dirección IPv6 información en la interfaz. La dirección local del
vínculo IPv6 es creada automáticamente por el host cuando se inicia y la interfaz Ethernet es
activo. De forma predeterminada, un router habilitado para IPv6 anuncia su información IPv6,
lo que permite a un host crear o adquirir dinámicamente su configuración IPv6. IPv6 GUA se
puede asignar dinámicamente utilizando servicios stateless y stateful. La decisión de cómo un
cliente obtendrá un GUA IPv6 depende de la configuración dentro del mensaje RA. Un
mensaje de RA ICMPv6 incluye tres flags para identificar las opciones dinámicas disponibles
para un host, como se indica a continuación:
 Un flag - este es el indicador de configuración automática de direcciones. Utilice SLAAC

para crear una GUA IPv6.
 O flag - Este es otro indicador de configuración (Other) Otra información está disponible
desde un servidor DHCPv6 stateless.
 M flag - Este es es indicador Managed Address. Utilice un servidor DHCPv6 stateful
para obtener una GUA IPv6.
SLAAC
El método SLAAC permite a los hosts crear su propia dirección única global IPv6 sin los
servicios de un servidor DHCPv6. SLAAC, que es stateless, utiliza mensajes ICMPv6 RA para
proporcionar direccionamiento y otra información de configuración que normalmente
proporcionaría un servidor DHCP SLAAC se puede implementar como SLAAC solamente, o
SLAAC con DHCPv6. Para habilitar el envío de mensajes RA, un router debe unirse al grupo
de todos los routers IPv6 mediante el comando ipv6 unicast-routing global config. Utilice
el show ipv6 interface comando para verificar si un router está habilitado. El método SLAAC
sólo, está habilitado de forma predeterminada cuando se configura el comando ipv6 unicast-
routing. Todas las interfaces Ethernet habilitadas con un GUA IPv6 configurado comenzarán a
enviar mensajes RA con el flag A establecido en 1 y los flags O y M establecidos en 0. El flag
A = 1 sugiere al cliente crear su propio IPv6 GUA usando el prefijo anunciado en RA. Los flags
O =0 y M=0 le indican al cliente que use la información del mensaje RA exclusivamente. Un
router envía mensajes de RA cada 200 segundos. Sin embargo, también enviará un mensaje
RA si recibe un mensaje RS de un host. Mediante SLAAC, un host suele adquirir su
información de subred IPv6 de 64 bits del RA del router . Sin embargo, debe generar el
identificador de interfaz (ID) de 64 bits restante utilizando uno de estos dos métodos: generado
aleatoriamente, o EUI-64. Un host utiliza el proceso DAD para asegurarse de que IPv6 GUA
es único. DAD se implementa usando ICMPv6. Para realizar DAD, el host envía un mensaje
ICMPv6 NS con una dirección de multidifusión especialmente construida, llamada dirección de
multidifusión de nodo solicitado. Esta dirección duplica los últimos 24 bits de dirección IPv6 del
host .
DHCPv6
El host comienza las comunicaciones cliente / servidor DHCPv6 después de que se indica
DHCPv6 stateles o DHCPv6 stateful en el RA. Los mensajes DHCPv6 de servidor a cliente
utilizan el puerto de destino UDP 546, mientras que los mensajes DHCPv6 de cliente a
servidor utilizan el puerto de destino UDP 547. La opción de DHCPv6 stateless informa al
cliente que utilice la información del mensaje RA para el direccionamiento, pero que hay más
parámetros de configuración disponibles de un servidor de DHCPv6. Esto se denomina
DHCPv6 stateless porque el servidor no mantiene ninguna información de estado del cliente.
DHCPv6 Stateless está habilitado en una interfaz de router mediante el comandoipv6 nd
other-config-flag interface configuration. Esto establece el flag O en 1. En este caso, el
mensaje RA indica al cliente que obtenga toda la información de direccionamiento de un
servidor DHCPv6 stateful, excepto la dirección del default gateway que es la dirección link-
local IPv6 de origen de la RA. Esto se conoce como DHCPv6 stateful, debido a que el servidor
de DHCPv6 mantiene información de estado de IPv6. DHCPv6 Stateful es habilitado en una
interfaz de router mediante el comando ipv6 nd managed-config-flag interface configuration
Esto establece el flag M en 1.
Configurar Servidor DHCPv6
Un router Cisco IOS se puede configurar para proporcionar servicios de servidor DHCPv6
como uno de los tres tipos siguientes: servidor DHCPv6, cliente DHCPv6 o agente de
retransmisión DHCPv6. La opción de servidor DHCPv6 stateless requiere que el router
anuncie la información de direccionamiento de red IPv6 en los mensajes RA. Un router
también puede ser un cliente DHCPv6 y obtener una configuración IPv6 de un servidor
DHCPv6. La opción de servidor DHCP stateful requiere que el router habilitado para IPv6
indique al host que se ponga en contacto con un servidor DHCPv6 para obtener toda la
información de direccionamiento de red IPv6 necesaria. El router cliente debe tener have ipv6
unicast-routing habilitado y una dirección link-local IPv6 para enviar y recibir mensajes IPv6.
Utilice los show ipv6 dhcp pool comandos show ipv6 dhcp binding y para verificar el
funcionamiento DHCPv6 en un router. Si el servidor de DHCPv6 está ubicado en una red
distinta de la del cliente, el router IPv6 puede configurarse como agente de retransmisión
DHCPv6 utilizando el comando ipv6 dhcp relay destination ipv6-address [interface-type
interface-number] Este comando se configura en la interfaz que enfrenta a los clientes
DHCPv6 y especifica la dirección del servidor DHCPv6 y la interfaz de salida para llegar al
servidor. La interfaz de salida sólo es necesaria cuando la dirección de salto siguiente es una
LLA. Compruebe que el agente de retransmisión DHCPv6 esté operativo con los show ipv6
dhcp interface comandos show ipv6 dhcp binding
Introducción
9.0.1

¡Bienvenido a FHRP Concepts!
Su red está en funcionamiento. Ha conquistado la redundancia de Capa 2 sin bucles de Capa

2. Todos sus dispositivos obtienen sus direcciones dinámicamente. ¡Usted es bueno en la
administración de la red! pero, espera. Uno de sus routers, el router de puerta de enlace
predeterminado, de hecho, se ha caído. Ninguno de sus hosts puede enviar mensajes fuera
de la red inmediata. Va a tomar un tiempo para que este router de puerta de enlace
predeterminado vuelva a funcionar. Tienes a muchas personas enojadas preguntando ¿qué
tan pronto la red estará "respaldada" (back up)?
Puede evitar este problema fácilmente. Los protocolos de redundancia de primer salto (FHRP)
son la solución que necesita. Este módulo analiza lo que hace la FHRP y todos los tipos de
FHRP disponibles para usted. Uno de estos tipos es un FHRP propietario de Cisco llamado
Hot Standby Router Protocol (HSRP). Aprenderá cómo funciona HSRP y completará una
actividad en Packet Tracer donde configurará y verificará HSRP. ¡No esperes, empieza!
9.0.2

Título del módulo: Conceptos de FHRP
Objetivos del módulo: Explique cómo los FHRP proporcionan servicios de gateway
predeterminados en una red redundante.
Título del tema Objetivo del Tema
Protocolos de Redundancia de Describa el propósito y el funcionamiento de los protocolos de redundancia de primer

Primer Salto salto.
HSRP Explique cómo funciona el HSRP.
Protocolos de Redundancia de
Primer Salto
9.1.1
Limitaciones del Gateway Predeterminado

Si falla un router o una interfaz del router (que funciona como gateway predeterminado), los
hosts configurados con ese gateway predeterminado quedan aislados de las redes externas.
Se necesita un mecanismo para proporcionar gateways predeterminados alternativos en las
redes conmutadas donde hay dos o más routers conectados a las mismas VLAN. Este
mecanismo es proporcionado por los protocolos de redundancia de primer salto (FHRP).
En una red conmutada, cada cliente recibe solo un gateway predeterminado. No hay forma de
usar un gateway secundario, incluso si existe una segunda ruta que transporte paquetes fuera
del segmento local.
En la figura, el R1 es el responsable de enrutar los paquetes de la PC1. Si el R1 deja de estar
disponible, los protocolos de routing pueden converger de forma dinámica. Ahora, el R2 enruta
paquetes de redes externas que habrían pasado por el R1. Sin embargo, el tráfico de la red
interna asociado al R1, incluido el tráfico de las estaciones de trabajo, de los servidores y de
las impresoras que se configuraron con el R1 como gateway predeterminado, aún se envía al
R1 y se descarta.
Nota: Nota: Para los efectos del análisis de la redundancia de los routers, no hay diferencia
funcional entre un switch capa 3 y un router en la capa de distribución. En la práctica, es
común que un switch capa 3 funcione como gateway predeterminado para cada VLAN en una
red conmutada. Esta discusión se centra en la funcionalidad del enrutamiento,
independientemente del dispositivo físico utilizado.
Por lo general, los dispositivos finales o terminales se configuran con una única dirección IPv4
para un gateway predeterminado. Esta dirección no se modifica cuando cambia la topología
de la red. Si no se puede llegar a esa dirección IPv4 de gateway predeterminado, el dispositivo
local no puede enviar paquetes fuera del segmento de red local, lo que lo desconecta
completamente de las demás redes. Aunque exista un router redundante que sirva como
puerta de enlace predeterminada para ese segmento, no hay un método dinámico para que
estos dispositivos puedan determinar la dirección de una nueva puerta de enlace
predeterminada.
Nota: Los dispositivos IPv6 reciben dinámicamente su dirección de puerta de enlace

predeterminada del anuncio de router ICMPv6. Sin embargo, los dispositivos IPv6 se
benefician con una conmutación por error más rápida a la nueva puerta de enlace
predeterminada cuando se utiliza FHRP.
9.1.2
Redundancia del Router

Una forma de evitar un único punto de falla en el gateway predeterminado es implementar un
router virtual. Como se muestra en la figura, para implementar este tipo de redundancia de
router, se configuran varios routers para que funcionen juntos y así dar la sensación de que
hay un único router a los hosts en la LAN. Al compartir una dirección IP y una dirección MAC,
dos o más routers pueden funcionar como un único router virtual.
La dirección IPv4 del router virtual se configura como la puerta de enlace predeterminada para
las estaciones de trabajo de un segmento específico de IPv4. Cuando se envían tramas desde
los dispositivos host hacia el gateway predeterminado, los hosts utilizan ARP para resolver la
dirección MAC asociada a la dirección IPv4 del gateway predeterminado. La resolución de
ARP devuelve la dirección MAC del router virtual. El router actualmente activo dentro del
grupo de routers virtuales puede procesar físicamente las tramas que se envían a la dirección
MAC del router virtual. Los protocolos se utilizan para identificar dos o más routers como los
dispositivos responsables de procesar tramas que se envían a la dirección MAC o IP de un
único router virtual. Los dispositivos host envían el tráfico a la dirección del router virtual. El
router físico que reenvía este tráfico es transparente para los dispositivos host.
Un protocolo de redundancia proporciona el mecanismo para determinar qué router debe
cumplir la función activa en el reenvío de tráfico. Además, determina cuándo un router de
reserva debe asumir la función de reenvío. La transición entre los routers de reenvío es
transparente para los dispositivos finales.
La capacidad que tiene una red para recuperarse dinámicamente de la falla de un dispositivo
que funciona como gateway predeterminado se conoce como “redundancia de primer salto”.
9.1.3
Pasos para la Conmutación por Falla del

Router
Cuando falla el router activo, el protocolo de redundancia hace que el router de reserva asuma
el nuevo rol de router activo, como se muestra en la figura. Estos son los pasos que se llevan
a cabo cuando falla el router activo:
1. El router de reserva deja de recibir los mensajes de saludo del router de reenvío.
2. El router de reserva asume la función del router de reenvío.
3. Debido a que el nuevo router de reenvío asume tanto la dirección IPv4 como la dirección
MAC del router virtual, los dispositivos host no perciben ninguna interrupción en el
servicio.
9.1.4
Opciones de FHRP
La FHRP utilizada en un entorno de producción depende en gran medida del equipo y las
necesidades de la red. La tabla muestra todas las opciones disponibles para FHRP.
Opciones de FHRP Descripción
HRSP es una FHRP propietaria de Cisco que está diseñada para permitir conmutación
por error (failover) transparente de un dispositivo IPv4 de primer salto. HSRP
proporciona alta disponibilidad de red al proporcionar redundancia de enrutamiento de
primer salto para IPv4 hosts en redes configuradas con una dirección de puerta de
Protocolo de Router de Reserva enlace predeterminada IPv4. HSRP se utiliza en un grupo de routers para seleccionar un
Directa (HSRP, Hot Standby dispositivo activo y un dispositivo de espera. En un grupo de interfaces de dispositivo, el
Router Protocol) dispositivo activo es el dispositivo que se utiliza para enrutar los paquetes; el dispositivo
de espera es el dispositivo que se hace cargo cuando el dispositivo activo falla o cuando
se preconfigura se cumplen las condiciones. La función del router de espera HSRP es
supervisar el estado operativo del grupo HSRP y asumir rápidamente responsabilidad de
reenvío de paquetes si falla el router activo.
Esta es una FHRP propietaria de Cisco que proporciona la misma funcionalidad de

HSRP, pero en un entorno IPv6. Un grupo IPv6 HSRP tiene un MAC virtual derivada del
número de grupo HSRP y un vínculo IPv6 virtual local derivada de la dirección MAC
HSRP para IPv6
virtual HSRP. Router Periódico se envían anuncios (RA) para el enlace IPv6 virtual
HSRP local cuando el grupo HSRP está activo. Cuando el grupo se vuelve inactivo,
estos RAs se detienen después de enviar una RA final.
Este es un protocolo electoral no propietario que asigna dinámicamente responsabilidad

de uno o más routeres virtuales a los routeres VRRP en una LAN IPv4. Esto permite que
varios routers en un enlace multiacceso utilicen la misma dirección IPv4 virtual. Un router
Virtual Router Redundancy
VRRP está configurado para ejecutar el protocolo VRRP junto con uno o más routeres
Protocol version 2 (VRRPv2)
conectados a una LAN. En una configuración VRRP, se elige un router como el virtual
router master, con los otros routers actuando como copias de seguridad, en caso de que
el virtual router master falle.
Proporciona la capacidad de admitir direcciones IPv4 e IPv6. VRRPv3 Funciona en

VRRPv3
entornos de varios proveedores y es más escalable que VRRPv2.
Protocolo de Equilibrio de Carga Este es un FHRP propiedad de Cisco que protege el tráfico de datos de un router o
del Gateway (Load Balancing circuito fallido, como HSRP y VRRP, mientras que también permite la carga equilibrada
Protocol, GLBP) (también llamado uso compartido de carga) entre un grupo de routers.
Esta es una FHRP propietaria de Cisco que proporciona la misma funcionalidad de

GLBP, pero en un entorno IPv6. GLBP para IPv6 proporciona automáticamente un
respaldo de router para los hosts IPv6 configurados con un único gateway
GLBP para IPv6
predeterminado en una LAN. Múltiples routers de primer salto en la LAN se combinan
para ofrecer un único router IPv6 virtual de primer salto mientras comparte el reenvío de
paquetes IPv6 carga.
Protocolo de detección del

Especificado en RFC 1256, IRDP es una solución FHRP heredada. IRDP permite IPv4
router ICMP (IRDP, ICMP
hosts ubiquen routers que proporcionan conectividad IPv4 a otras redes IP (no locales).
Router Discovery Protocol)
HSRP
9.2.1
HSRP: Descripción general

Cisco proporciona HSRP y HSRP para IPv6 como una forma de evitar la pérdida de acceso
externo a la red si falla el router predeterminado.
Es el protocolo FHRP exclusivo de Cisco diseñado para permitir la conmutación por falla
transparente de los dispositivos IPv4 de primer salto.
HSRP proporciona una alta disponibilidad de red, ya que proporciona redundancia de routing
de primer salto para los hosts IPv4 en las redes configuradas con una dirección IPv4 de
gateway predeterminado. HSRP se utiliza en un grupo de routers para seleccionar un
dispositivo activo y un dispositivo de reserva. En un grupo de interfaces de dispositivo, el
dispositivo activo es aquel que se utiliza para enrutar paquetes, y el dispositivo de reserva es
el que toma el control cuando falla el dispositivo activo o cuando se cumplen condiciones
previamente establecidas. La función del router de suspensión del HSRP es controlar el
estado operativo del grupo de HSRP y asumir rápidamente la responsabilidad de reenvío de
paquetes si falla el router activo.
9.2.2
Prioridad e Intento de Prioridad del HSRP

El rol de los routers activos y de reserva se determina durante el proceso de elección del
HSRP. De manera predeterminada, el router con la dirección IPv4 numéricamente más alta se
elige como router activo. Sin embargo, siempre es mejor controlar cómo funcionará su red en
condiciones normales en lugar de dejarlo librado al azar.
Prioridad HSRP
La prioridad HSRP se puede utilizar para determinar el router activo. El router con la prioridad
HSRP más alta será el router activo. De manera predeterminada, la prioridad HSRP es 100. Si
las prioridades son iguales, el router con la dirección IPv4 numéricamente más alta es elegido
como router activo.
Para configurar un router para que sea el router activo, utilice el comando de interfaz standby
priority El rango de prioridad HSRP es de 0 a 255.
Preferencias HSRP
De forma predeterminada, después de que un router se convierte en el router activo, seguirá

siendo el router activo incluso si otro router está disponible en línea con una prioridad HSRP
más alta.
Para forzar un nuevo proceso de elección HSRP a tener lugar cuando un router de mayor
prioridad entra en línea, la preferencia debe habilitarse mediante el comando standby
preempt interface. El intento de prioridad es la capacidad de un router HSRP de activar el
proceso de la nueva elección. Con este intento de prioridad activado, un router disponible en
línea con una prioridad HSRP más alta asume el rol de router activo.
El intento de prioridad solo permite que un router se convierta en router activo si tiene una
prioridad más alta. Un router habilitado para intento de propiedad, con una prioridad
equivalente pero una dirección IPv4 más alta, no desplazará la prioridad de un router activo.
Consulte la topología de la figura
El R1 se configuró con la prioridad de HSRP de 150 mientras que el R2 tiene la prioridad de

HSRP predeterminada de 100. El intento de prioridad está habilitado en el R1. Con una
prioridad más alta, el R1 es el router activo y el R2 es el router de reserva. Debido a un corte
de energía que solo afecta al R1, el router activo ya no está disponible y el router de reserva
R2 asume el rol de router activo. Después de que se restaura la energía, el R1 vuelve a estar
en línea. Dado que R1 tiene una prioridad más alta y el intento de prioridad se encuentra
habilitado, forzará un nuevo proceso de elección. R1 reanudará su rol de router activo y el R2
volverá al rol de router de reserva.
Nota: Nota: Si el intento de prioridad está desactivado, el router que arranque primero será el
router activo si no hay otros routers en línea durante el proceso de elección.
9.2.3
Estados y Temporizadores de HSRP

Un router puede ser el router HSRP activo responsable de la devolución del tráfico al
segmento, donde el router puede ser un router HSRP pasivo de reserva, listo para asumir rol
activo si falla el router activo. Cuando se configura una interfaz con HSRP o se habilita primero
con una configuración HSRP existente, el router envía y recibe paquetes de saludo del HSRP
para comenzar el proceso de determinar qué estado asumirá en el grupo HSRP.
La Tabla 1 resume los estados de HSRP.
Estado de
Descripción
HSRP
Este estado se ingresa a través de un cambio de configuración o cuando una

Inicial
interfaz está disponible en primer lugar.
El router no ha determinado la dirección IP virtual ha visto un mensaje de saludo

Aprendizaje desde el router activo. En este estado, el router espera para escuchar al router
activo.
El router conoce la dirección IP virtual, pero no es el router activo ni el router en

Escucha
espera. Escucha los mensajes de saludo de esos routers.
El router envía mensajes de saludo periódicos y participa activamente en la elección

Hablar
del router activo y/o en espera.
El router es candidato a convertirse en el próximo router activo y envía mensajes de

En espera
saludo periódicos.
El router HSRP activo y el de reserva envían paquetes de saludo a la dirección de

multidifusión del grupo HSRP cada 3 segundos, de forma predeterminada. El router de reserva
se convertirá en activo si no recibe un mensaje de saludo del router activo después de 10
segundos. Puede bajar estas configuraciones del temporizador para agilizar las fallas o el
intento de prioridad. Sin embargo, para evitar el aumento del uso de la CPU y cambios de
estado de reserva innecesarios, no configure el temporizador de saludo a menos de 1
segundo o el temporizador de espera a menos de 4 segundos.
Práctica del Módulo y

Cuestionario
9.3.1

Protocolos de redundancia de primer salto
Si falla un router o una interfaz del router (que funciona como gateway predeterminado), los
hosts configurados con ese gateway predeterminado quedan aislados de las redes externas.
Se necesita un mecanismo para proporcionar gateways predeterminados alternativos en las
redes conmutadas donde hay dos o más routers conectados a las mismas VLAN. Una forma
de evitar un único punto de falla en el gateway predeterminado es implementar un router
virtual. Como se muestra en la figura, para implementar este tipo de redundancia de router, se
configuran varios routers para que funcionen juntos y así dar la sensación de que hay un único
router a los hosts en la LAN. Cuando falla el router activo, el protocolo de redundancia hace
que el router de reserva asuma el nuevo rol de router activo. Estos son los pasos que se
llevan a cabo cuando falla el router activo:
1. El router de reserva deja de recibir los mensajes de saludo del router de reenvío.
2. El router de reserva asume la función del router de reenvío.
3. Debido a que el nuevo router de reenvío asume tanto la dirección IPv4 como la dirección
MAC del router virtual, los dispositivos host no perciben ninguna interrupción en el
servicio.
La FHRP utilizada en un entorno de producción depende en gran medida del equipo y las
necesidades de la red. Estas son las opciones disponibles para FHRP:
 HSRP y HSRP para IPv6

 VRRPV2 y VRRPV3
 GLBP and GLBP for IPv6
 IRDP
HSRP
Es el protocolo HSRP exclusivo de Cisco diseñado para permitir la conmutación por falla
transparente de los dispositivos IPv4 de primer salto. HSRP se utiliza en un grupo de routers
para seleccionar un dispositivo activo y un dispositivo de reserva. En un grupo de interfaces de
dispositivo, el dispositivo activo es aquel que se utiliza para enrutar paquetes, y el dispositivo
de reserva es el que toma el control cuando falla el dispositivo activo o cuando se cumplen
condiciones previamente establecidas. La función del router de suspensión del HSRP es
controlar el estado operativo del grupo de HSRP y asumir rápidamente la responsabilidad de
reenvío de paquetes si falla el router activo. El router con la prioridad HSRP más alta será el
router activo. El intento de prioridad es la capacidad de un router HSRP de activar el proceso
de la nueva elección. Con este intento de prioridad activado, un router disponible en línea con
una prioridad HSRP más alta asume el rol de router activo. Los estados HSRP incluyen inicial,
aprendizaje, escucha, habla y espera.
9.3.3
Packet Tracer - Guía de configuración

HSRP
Nota: La configuración de HSRP no es una habilidad necesaria para este módulo, curso o
para la certificación CCNA. Sin embargo, pensamos que podría disfrutar implementando
HSRP en Packet Tracer. Completar esta actividad le ayudará a comprender mejor cómo
funciona FHRP, y específicamente HSRP.
En esta actividad Packet Tracer, aprenderá a configurar Hot Standby Router Protocol (HSRP)
para proporcionar dispositivos de puerta de enlace predeterminados redundantes a hosts en
LAN. Después de configurar HSRP, probará la configuración para comprobar que los hosts
pueden utilizar la puerta de enlace predeterminada redundante si el dispositivo de puerta de
enlace actual no está disponible.
 Configurar un router activo HSRP.

 Configure un router de espera HSRP.
 Verify HSRP operation.
9.3.4
Packet Tracer - Exploración del Centro de

Datos
El Centros de Datos a menudo se conoce como el cerebro de una organización que almacena
y analiza datos, proporciona comunicación tanto interna y con clientes, y proporciona las
herramientas necesarias para las actividades de investigación y desarrollo. El Centro de Datos
debe construirse de tal manera que pueda proporcionar de forma segura y eficiente todo su
potencial, independientemente de la catástrofe que ocurra. Hay muchos sistemas diferentes
que entran en la construcción de un Centro de Datos, pero para esta actividad nos
ocuparemos sólo de los componentes de red.
Los Centros de Datos pueden variar en tamaño desde sólo unos pocos servidores hasta
albergar cientos o incluso miles de servidores. Sea cual sea el tamaño, el Centro de Datos
debe construirse de una manera extremadamente organizada para simplificar la
administración y la solución de problemas de un entorno complejo. Otra característica del
diseño es hacer que el Centro de Datos sea más robusto mediante el uso de redundancia para
eliminar cualquier punto único de falla. Esto podría implicar la adición de dispositivos
adicionales para proporcionar redundancia física y/o el uso de tecnologías como los
Protocolos de Redundancia de Primer Salto (FHRP) y la agregación de enlaces para
proporcionar redundancia lógica.
En esta actividad de Packet Tracer - Physical Mode (PTPM), la mayoría de los dispositivos de
los Centros de Datos de Toronto y Seattle ya están implementados y configurados. Acaban de
ser contratados para revisar la implementación actual y ampliar la capacidad del Centro de
Datos 1 en Toronto.
Nota: Por favor tenga paciencia. Esta actividad de PTPM puede tardar varios minutos en
cargarse.

Bienvenido a los conceptos de seguridad de LAN
Si su ruta de carrera está en TI, usted no sólo va a estar construyendo y realizando
mantenimiento de redes. Usted va a ser responsable por la seguridad de su red. Para los
arquitectos y administradores de red de hoy en día, la seguridad no es un pensamiento para
después. ¡Es una prioridad para ellos! De hecho, mucha gente en TI ahora trabaja
exclusivamente en el área de seguridad de la red.
¿Usted entiende lo que hace a una LAN segura? ¿Sabe lo que los usuarios maliciosos pueden
hacer para romper la seguridad de la red? ¿Usted sabe lo que puede hacer para detenerlos?
Este módulo es su introducción al mundo de la seguridad en redes, no espere más, ¡haga clic
en Siguiente!
10.0.2

Titulo del Módulo: Conceptos de Seguridad de LAN
Objetivo del Módulo: Explique cómo las vulnerabilidades ponen en riesgo la seguridad de
LAN.
Leyenda de la tabla
Seguridad de punto terminal Explique cómo usar la seguridad de punto terminal para mitigar los ataques.
Explique cómo se utilizan AAA y 802.1x para autenticar los terminales y los punto
Control de acceso
terminal LAN y dispositivos.
Amenazas a la seguridad de
Identifique vulnerabilidades de la Capa 2.
Capa 2
Ataque de tablas de Explique cómo un ataque de tablas de direcciones MAC compromete la seguridad de
direcciones MAC LAN.
Ataques a la LAN Explique cómo los ataques a la LAN comprometen la seguridad de LAN.
Seguridad de Punto Terminal

10.1.1
Ataques de Red Actuales

Normalmente, los medios de comunicación cubren los ataques de red externos a redes
empresariales. Sencillamente busque en el internet por "Los ataques más recientes de red" y
encontrará información actualizada de ataques actuales. Muy posiblemente, estos ataques
envuelven una o más de las siguientes:
 Negación de Servicio Distribuido(DDoS) – Esto es un ataque coordinado desde
muchos dispositivos, llamados zombies, con la intención de degradar o detener acceso
publico al sitio web y los recursos de una organización.
 Filtración de Datos – Este es un ataque en el que los servidores de datos o los hosts
de una organización han sido comprometidos con el fin de robar información
confidencial.
 Malware – Este es un ataque en el que los hosts de una organización son infectados
con software malicioso que causa una serie de problemas. Por ejemplo, ransomware
como WannaCry, mostrado en la figura, encripta los datos en un host y bloquea el
acceso hasta que se le pague un rescate.
10.1.2
Dispositivos de Seguridad de Red

Se necesitan diversos dispositivos de seguridad para proteger el perímetro de la red del
acceso exterior. Estos dispositivos podrían incluir un router habilitado con una Red Privada
Virtual (VPN), un Firewall de Siguiente Generación (NGFW), y un Dispositivo de Acceso a la
Red (NAC).
Red Privada Virtual (VPN) proporciona una conexión segura para que usuarios remotos se
conecten a la red empresarial a través de una red pública. Los servicios VPN pueden ser
integrados en el firewall.
Firewall de Siguiente Generación (NGFW) - proporciona inspección de paquetes con estado,
visibilidad y control de aplicaciones, un Sistema de Prevención de Intrusos de Próxima
Generación (NGIPS), Protección Avanzada contra Malware (AMP) y filtrado de URL.
Un dispositivo NAC incluye autenticación, autorización y registro (AAA) En empresas más

grandes, estos servicios podrían incorporarse en un dispositivo que pueda administrar
políticas de acceso en una amplia variedad de usuarios y tipos de dispositivos. El Cisco
Identity Services Engine (ISE) en un ejemplo de dispositivo NAC.
10.1.3
Protección de terminales
Los dispositivos LAN como los switches, los Controladores de LAN Inalámbricos (WLCs), y
otros puntos de acceso (AP) interconectan puntos terminales. La mayoría de estos
dispositivos son susceptibles a los ataques LAN que se cubren en este módulo.
Sin embargo, muchos ataques se originan dentro de la red. Si un atacante se infiltra en un

host interno, este puede ser el punto de partida para que obtenga acceso a dispositivos
esenciales del sistema, como servidores e información confidencial.
Los puntos terminales son hosts que generalmente consisten en computadoras portátiles,
computadoras de escritorio, servidores y teléfonos IP, así como dispositivos propiedad de los
empleados (BYOD). Los puntos terminales son particularmente susceptibles a ataques
relacionados con malware que se originan a través del correo electrónico o la navegación web.
Estos puntos finales suelen utilizar características de seguridad tradicionales basadas en host,
como antivirus/antimalware, firewalls basados en host y sistemas de prevención de intrusiones
(HIPS) basados en host. Sin embargo, actualmente los puntos finales están más protegidos
por una combinación de NAC, software AMP basado en host, un Dispositivo de Seguridad de
Correo Electrónico (ESA) y un Dispositivo de Seguridad Web (WSA). Los productos de
Protección Avanzado de Malware (AMP) incluyen soluciones de dispositivos finales como
Cisco AMP.
La figura es una topología simple que representa todos los dispositivos de seguridad de red y
soluciones de dispositivos finales discutidas en este módulo.
10.1.4
Dispositivo de Seguridad de Correo

Electrónico Cisco (ESA)
Los dispositivos de seguridad de contenido incluyen un control detallado sobre el correo
electrónico y la navegación web para los usuarios de una organización.
Según el Talos Intelligence Group de Cisco, en junio de 2019, el 85% de todos los correos
electrónicos enviados eran spam. Los ataques de suplantación de identidad son una forma de
correo electronico no deseado paticularmente virulento. Recuerde que un ataque de phishing
lleva al usuario a hacer clic en un enlace o abrir un archivo adjunto. Spear phishing selecciona
como objetivo a empleados o ejecutivos de alto perfil que pueden tener credenciales de inicio
de sesión elevadas. Esto es particularmente crucial en el ambiente actual, donde, de acuerdo
al instituto SANS, 95% de todos los ataques en redes empresariales son del resultado de un
spear phishing exitoso.
El dispositivo Cisco ESA está diseñado para monitorear el Protocolo Simple de Transferencia
de Correo (SMTP). Cisco ESA se actualiza en tiempo real de Cisco Talos, quien detecta y
correlaciona las amenazas con un sistema de monitoreo que utiliza una base de datos
mundial. Cisco ESA extrae estos datos de inteligencia de amenazas cada tres o cinco
minutos. Estas son algunas funciones de Cisco ESA:
 Bloquear las amenazas

 Remediar contra el malware invisible que evade la detección inicial
 Descartar correos con enlaces malos (como se muestra en la figura).
 Bloquear el acceso a sitios recién infectados
 Encriptar el contenido de los correos salientes para prevenir perdida de datos.
En la figura Cisco ESA descarta el correo con enlaces malos.
10.1.5
Dispositivo de Seguridad de la Red de

Cisco (WSA)
Cisco Web Security Appliance (WSA) es una tecnología de mitigación para amenazas
basadas en la web. Ayuda a las organizaciones a abordar los desafíos de asegurar y controlar
el tráfico web. Cisco WSA combina protección avanzada contra malware, visibilidad y control
de aplicaciones, controles de políticas de uso aceptable e informes.
Cisco WSA proporciona un control completo sobre cómo los usuarios acceden a Internet.
Ciertas funciones y aplicaciones, como chat, mensajería, video y audio, pueden permitirse,
restringirse con límites de tiempo y ancho de banda, o bloquearse, de acuerdo con los
requisitos de la organización. La WSA puede realizar listas negras de URL, filtrado de URL,
escaneo de malware, categorización de URL, filtrado de aplicaciones web y cifrado y
descifrado del tráfico web.
En la figura, un usuario corporativo intenta conectarse a un sitio marcado en la lista negra.
Control de Acceso
10.2.1
Autenticación con una contraseña local

En el tema anterior usted aprendió que un NAC provee servicios AAA. En este tema usted
aprenderá mas sobre AAA y las formas de controlar el acceso.
Muchas formas de autenticación pueden ser llevadas a cabo en dispositivos de red, y cada
método ofrece diferentes niveles de seguridad. El método más simple de autenticación para
acceso remoto consiste en configurar un inicio de sesión, combinando nombre de usuario y
contraseña, a nivel de consola, lineas vty, y puertos auxiliares, como se muestra en el
siguiente ejemplo. Este método es el más simple de implementar, pero también el mas débil y
menos seguro. Este método no es fiable y la contraseña es enviada en texto plano. Cualquier
persona con la contraseña puede acceder al dispositivo
R1(config)# line vty 0 4
R1(config-line)# password ci5c0
R1(config-line)# login
SSH es un tipo de acceso remoto más seguro.
 Requiere un nombre de usuario y una contraseña, que se encriptan durante la

transmisión.
 El nombre de usuario y la contraseña pueden ser autenticados por el método de base
de datos local.
 Proporciona más responsabilidad porque el nombre de usuario queda registrado cuando
un usuario inicia sesión.
El siguiente ejemplo ilustra el SSH y métodos de acceso remoto a una base de datos local
R1(config)# ip domain-name example.com
R1(config)# crypto key generate rsa general-keys modulus 2048
R1(config)# username Admin secret Str0ng3rPa55w0rd
R1(config)# ssh version 2
R1(config)# line vty 0 4
R1(config-line)# transport input ssh
R1(config-line)# login local
El método de base de datos local tiene algunas limitaciones
 Las cuenta de usuario deben ser configuradas localmente en cada dispositivo. En una
gran empresa con múltiples routers y switches que controlar, puede tomar mucho
tiempo implementar y cambiar bases de datos locales en cada dispositivo.
 Además, la configuración de la base de datos local no proporciona ningún método de
autenticación de respaldo. Por ejemplo, ¿qué sucede si el administrador olvida el
nombre de usuario y la contraseña para ese dispositivo? Sin un método de respaldo
disponible para la autenticación, la restauración se convierte en la única opción.
Una mejor solución es hacer que todos los dispositivos se refieran a la misma base de datos
de nombres de usuario y contraseñas alojados en un servidor central.
10.2.2
Componentes AAA
AAA significa Autenticación, Autorización y Registro El concepto de AAA es similar al uso de
una tarjeta de crédito, como se muestra en la imagen La tarjeta de crédito identifica quién la
usa y cuánto puede gastar puede el usuario de esta, y mantiene un registro de cuántos
elementos o servicios adquirió el usuario.
"AAA" o "triple A", estos servicios proporcionan el marco principal para ajustar el control de
acceso en un dispositivo de red. AAA es un modo de controlar quién tiene permitido acceder a
una red (autenticar), controlar lo que las personas pueden hacer mientras se encuentran allí
(autorizar) y qué acciones realizan mientras acceden a la red (registrar).
10.2.3
Autenticación
Dos métodos de implementación de autenticación AAA son Local y basado en servidor.
Autenticación AAA local
Los AAA locales guardan los nombres de usuario y contraseñas localmente en un dispositivo
de red como el router de Cisco. Los usuarios se autentican contra la base de datos local,
como se muestra en la figura. AAA local es ideal para las redes pequeñas.
Autenticación AAA basada en el servidor
Con el método basado en servidor, el router accede a un servidor central de AAA, como se
muestra en la imagen El servidor AAA contiene los nombres de usuario y contraseñas de
todos los usuarios. El router AAA usa el protocolo de Sistema de Control de Acceso del
Controlador de Acceso Terminal Mejorado (TACACS+) o el protocolo de Servicio de
Autenticación Remota de Usuario de Discado (RADIUS) para comunicarse con el servidor
de AAA. Cuando hay múltiples enrutadores y switches, el método basado en el servidor es
más apropiado.
un cliente remoto se conecta a un router AAA, se le consulta su nombre de usuario y

contraseña, el router autentica las credenciales utilizando un servidor AAA, y se le da al
usuario acceso a la red.
10.2.4
Autorización
La autorización es automática y no requiere que los usuarios tomen medidas adicionales
después de la autenticación. La autorización controla lo que el usuario puede hacer o no en la
red después de una autenticación satisfactoria:
La autorización utiliza un conjunto de atributos que describe el acceso del usuario a la red.
Estos atributos son usados por el servidor AAA para determinar privilegios y restricciones para
ese usuario, como se muestra en la figura.
10.2.5
Registro
El registro de AAA recopila y reporta datos de uso. La organización puede utilizar estos datos
para fines como auditorías o facturación. Los datos recopilados pueden incluir la hora de inicio
y finalización de la conexión, los comandos ejecutados, la cantidad de paquetes y el número
de bytes.
Un uso muy implementado debe registro consiste en combinarlo con la autenticación AAA. Los
servidores AAA mantienen un registro detallado de lo que el usuario autenticado hace
exactamente en el dispositivo, como se muestra en la imagen Esto incluye todos los
comandos EXEC y de configuración que emite el usuario. El registro contiene varios campos
de datos, incluidos el nombre de usuario, la fecha y hora, y el comando real que introdujo el
usuario. Esta información resulta útil para solucionar problemas de dispositivos. Ademas
proporciona evidencia contra individuos que realizan actividades maliciosas.
10.2.6
802.1x
El estándar IEEE 802.1X define un control de acceso y un protocolo de autenticación basados
en puertos. Este protocol evita que las estaciones de trabajo no autorizadas se conecten a una
LAN a través de puertos de switch de acceso público. El servidor de autenticación autentica
cada estación de trabajo, que está conectada a un puerto del switch, antes de habilitar
cualquier servicio ofrecido por el switch o la LAN.
Con la autenticación 802.1X basada en puertos, los dispositivos de la red cumplen roles
específicos, como se muestra en la figura:
 Cliente (suplicante) - Este es un dispositivo ejecutando software de cliente 802.1X, el

cual esta disponible para dispositivos conectados por cable o inalámbricos.
 Switch (Autenticador) – El switch funciona como actúa intermediario (proxy) entre el
cliente y el servidor de autenticación. Solicita la identificación de la información del
cliente, verifica dicha información al servidor de autenticación y transmite una
respuesta al cliente. Otro dispositivo que puede actuar como autenticador es un punto
de acceso inalámbrico.
 Servidor de autenticación - El servidor valida la identidad del cliente y notifica al
switch o al punto de acceso inalámbrico si el cliente esta o no autorizado para acceder
a la LAN y a los servicios del Switch.
Amenazas a la seguridad de Capa
2
10.3.1
Capa 2 Vulnerabilidades
Los dos temas anteriores discutieron seguridad en puntos terminales. En este tema, usted va
a seguir aprendiendo sobre formas de asegurar una LAN, enfocándose en las tramas de la
Capa de Enlace (Capa 2) y el switch.
Recuerde que el modelo de referencia OSI está dividido en siete capas, las cuales trabajan de
manera independiente una de otra. La figura muestra la función de cada capa y los principales
componentes que pueden ser explotados.
Los administradores de red regularmente implementan soluciones de seguridad para proteger

los componentes en la Capa 3 y hasta la Capa 7. Ellos usan VPNs, firewalls, y dispositivos
IPS para proteger estos elementos. Si la Capa 2 se ve comprometida, todas las capas
superiores también se ven afectadas. Por ejemplo, si un atacante con acceso a la red interna
captura los marcos de la Capa 2, entonces toda la seguridad implementada en las capas
anteriores sería inútil. El atacante podría causar mucho daño en la infraestructura de red LAN
de Capa 2.
10.3.2
Categorías de Ataques a Switches
La seguridad es solamente tan sólida como el enlace más débil en el sistema, y la Capa 2 es
considerada el enlace más débil. Esto se debe a que las LAN estaban tradicionalmente bajo el
control administrativo de una sola organización. Nosotros confiábamos inherentemente en
todas las personas y dispositivos conectados a nuestra LAN. Hoy, con BYOD y ataques más
sofisticados, nuestras LAN se han vuelto más vulnerables a la penetración. Además de
proteger de la Capa 3 a la Capa 7, los profesionales de seguridad de red también deben
mitigar los ataques a la infraestructura LAN de la Capa 2.
El primer paso para mitigar los ataques a la infraestructura de Capa 2 es comprender el

funcionamiento de la Capa 2 y las amenazas de la infraestructura de Capa 2.
Los ataques contra la infraestructura LAN de capa 2 se describen en la tabla y se analizan con
más detalle más adelante en este módulo.
Layer 2 Attacks
Leyenda de la tabla
Categoría Ejemplos
Ataques a la tabla
Incluye ataques de saturación de direcciones MAC.
MAC
Incluye ataques VLAN Hopping y VLAN Double-Tagging Esto tambien incluye ataques entre
Ataques de VLAN
dispositivos en una misma VLAN.
Ataques de DHCP Incluye ataques de agotamiento y suplantación DHCP.
Ataques ARP Incluye la suplantación de ARP y los ataques de envenenamiento de ARP.
Ataques de
Suplantación de Incluye los ataques de suplantación de direcciones MAC e IP.
Direcciones
Ataque de STP Incluye ataques de manipulación al Protocolo de Árbol de Extensión

10.3.3
Técnicas de Mitigación en el Switch

La tabla provee una visión general de soluciones Cisco para mitigar ataques en Capa 2.
Layer 2 Attack Mitigation
Leyenda de la tabla
Solución Descripción
Seguridad de Puertos Previene muchos tipos de ataques incluyendo ataques MAC address floodin
DHCP Snooping Previene ataques de suplantación de identidad y de agotamiento de DHCP
Inspección ARP dinámica (DAI) Previene la suplantación de ARP y los ataques de envenenamiento de ARP
Protección de IP de origen
Impide los ataques de suplantación de direcciones MAC e IP.
(IPSG)
Estas soluciones de Capa 2 no serán efectivas si los protocolos de administración no

son seguros. Por ejemplo, los protocolos administrativos Syslog, Protocolo Simple de
Administración de Red (SNMP), Protocolo Trivial de Transferencia de Archivos (TFTP), Telnet,
Protocolo de Transferencia de Archivos (FTP) y la mayoría de otros protocolos comunes son
inseguros, por lo tanto, se recomiendan las siguientes estrategias:
 Utilice siempre variantes seguras de protocolos de administración como SSH,

Protocolo de Copia Segura (SCP), FTP Seguro (SFTP) y Seguridad de capa de
sockets seguros / capa de transporte (SSL / TLS).
 Considere usar una red de administración fuera de banda para administrar
dispositivos.
 Usar una VLAN de administración dedicada que solo aloje el tráfico de administración.
 Use ACL para filtrar el acceso no deseado.
Ataque de Tablas de Direcciones

MAC
10.4.1
Revisar la Operación del Switch

En este tema el foco esta aun en los switches, específicamente en la tabla de direcciones
MAC y como estas tablas son vulnerables a ataques.
Recuerde que para tomar decisiones de reenvío, un Switch LAN de Capa 2 crea una tabla
basada en las direcciones MAC de origen que se encuentran en las tramas recibidas. Como
se muestra en la figura, esto es llamado un tabla de direcciones MAC. Tabla de direcciones
MAC se guarda en la memoria y son usadas para reenviar tramas de forma eficiente.
S1# show mac address-table dynamic
10.4.2
Saturación de Tablas de Direcciones MAC

Todas las tablas MAC tiene un tamaño fijo, por lo que un switch puede quedarse sin espacio
para guardar direcciones MAC. Los ataques de saturación de direcciones MAC aprovechan
esta limitación al bombardear el switch con direcciones MAC de origen falsas hasta que la
tabla de direcciones MAC del switch esté llena.
Cuando esto ocurre, el switch trata la trama como un unicast desconocido y comienza a
inundar todo el tráfico entrante por todos los puertos en la misma VLAN sin hacer referencia a
la tabla MAC. Esta condición ahora permite que un atacante capture todas las tramas
enviadas desde un host a otro en la LAN local o VLAN local.
Nota: El tráfico se satura solo dentro de la LAN o VLAN local. El atacante solo puede capturar
el tráfico dentro de la LAN o VLAN local a la que está conectado el atacante.
La figura muestra como el atacante puede fácilmente usar la herramienta de ataque de red
llamada macof para desbordar una tabla de direcciones MAC.
Si el atacante detiene la ejecución de macof o si es descubierto y detenido, el switch

eventualmente elimina las entradas mas viejas de direcciones MAC de la tabla y empieza a
funcionar nuevamente como un switch.
10.4.3
Mitigación de Ataques a la Tabla de

Direcciones MAC.
Lo que hace que herramientas como macof sean peligrosas es que un atacante puede crear
un ataque de saturación de tabla MAC muy rápidamente. Por ejemplo, un switch Catalyst 6500
puede almacenar 132,000 direcciones MAC en su tabla de direcciones MAC. Una herramienta
como macof puede saturar un switch con hasta 8,000 tramas falsas por segundo; creando un
ataque de saturación de la tabla de direcciones MAC en cuestión de segundos. Este ejemplo
muestra la salida del comando macof en un host Linux.
# macof -i eth1
Otra razón por la que estas herramientas de ataque son peligrosas, es porque no solo afectan
el switch local sino que también afectan switches conectados de Capa 2. Cuando la tabla de
direcciones MAC de un switch está llena, comienza a desbordar todos los puertos, incluidos
los conectados a otros switches de Capa 2.
Para mitigar los ataques de saturación de la tabla de direcciones MAC, los administradores de
red deben implementar la seguridad del puerto. Seguridad de puertos (Port security) permitirá
que el puerto aprenda sólo un número específico de direcciones MAC de origen. Seguridad de
puertos (Port security) será discutido más adelante en otro módulo.
Ataques a la LAN
10.5.1
Video - VLAN y Ataques DHCP

Este tema investiga los diferentes tipos de ataques LAN y las técnicas de mitigación a estos
ataques. Como en temas anteriores, estos ataques tienden a ser específicamente a los
switches y Capa 2.
Haga clic en reproducir en la figura para ver un video sobre ataques de denegación de
servicio.
10.5.2
Ataque de VLAN Hopping

El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar primero
un router. En un ataque de VLAN Hopping básico, el atacante configura un host para que
actúe como un switch para aprovechar la función de entroncamiento automático habilitada de
forma predeterminada en la mayoría de los puertos del switch.
El atacante configura el host para falsificar la señalización 802.1Q y la señalización del

Protocolo de enlace dinámico (DTP), propiedad de Cisco, hacia el enlace troncal con el switch
de conexión. Si es exitoso, el switch establece un enlace troncal con el host, como se muestra
en la figura. Ahora el atacante puede acceder todas las VLANS en el switch. El atacante
puede enviar y recibir tráfico en cualquier VLAN, saltando efectivamente entre las VLAN.
10.5.3
Ataque de VLAN Double-Tagging

Un atacante, en situaciones específicas, podrían insertar una etiqueta 802.1Q oculta dentro de
la trama que ya tiene una etiqueta 802.1Q. Esta etiqueta permite que la trama se envíe a una
VLAN que la etiqueta 802.1Q externa no especificó.
Paso 1
El atacante envía una trama 802.1Q con doble etiqueta (double tag) al switch. El encabezado
externo tiene la etiqueta VLAN del atacante, que es la misma que la VLAN nativa del puerto de
enlace troncal. Para fines de este ejemplo, supongamos que es la VLAN 10. La etiqueta
interna es la VLAN víctima; en este caso, la VLAN 20.
Paso 2
El frame llega al primer switch, que mira la primera etiqueta 802.1Q de 4 bytes. El switch ve
que la trama esta destinada para la VLAN 10, la cual es una VLAN nativa. El switch reenvía el
paquete a todos los puertos de VLAN 10, después de quitar la etiqueta de VLAN 10. La trama
no es re-etiquetada porque es parte de la VLAN nativa. En este punto, la etiqueta de VLAN 20
todavía está intacta y no ha sido inspeccionada por el primer switch.
Un ataque de VLAN Double-tagging es unicast, y funciona unidireccional, y funciona cuando el

atacante está conectado a un puerto que reside en la misma VLAN que la VLAN nativa del
puerto troncal. La idea es que el doble etiquetado permite al atacante enviar datos a hosts o
servidores en una VLAN que de otro modo se bloquearía por algún tipo de configuración de
control de acceso. Presumiblemente, también se permitirá el tráfico de retorno, lo que le dará
al atacante la capacidad de comunicarse con los dispositivos en la VLAN normalmente
bloqueada.
Mitigación de Ataques a VLAN
Los ataques de VLAN hopping y VLAN Double-Tagging se pueden evitar mediante la

implementación de las siguientes pautas de seguridad troncal, como se discutió previamente
en este modulo:
 Deshabilitar troncal en todos los puertos de acceso.

 Deshabilitar entroncamiento automático en enlaces troncales para poder habilitarlos de
manera manual.
 Asegúrese de que la VLAN nativa sólo se usa para los enlaces troncales.
Paso 3
La trama llega al segundo switch, que no tiene conocimiento de que debía ser para la VLAN
10. El switch emisor no etiqueta el tráfico de la VLAN nativa, como se especifica en la
especificación 802.1Q. El segundo switch observa solo la etiqueta interna 802.1Q, que el
atacante insertó, y ve que la trama está destinada a la VLAN 20 (la VLAN víctima). El segundo
switch envía el paquete al puerto víctima o lo satura, dependiendo de si existe una entrada en
la tabla de MAC para el host víctima
Un ataque de VLAN Double-tagging es unicast, y funciona unidireccional, y funciona cuando el

atacante está conectado a un puerto que reside en la misma VLAN que la VLAN nativa del
puerto troncal. La idea es que el doble etiquetado permite al atacante enviar datos a hosts o
control de acceso. Presumiblemente, también se permitirá el tráfico de retorno, lo que le dará
al atacante la capacidad de comunicarse con los dispositivos en la VLAN normalmente
bloqueada.
Mitigación de Ataques a VLAN
Los ataques de VLAN hopping y VLAN Double-Tagging se pueden evitar mediante la

implementación de las siguientes pautas de seguridad troncal, como se discutió previamente
en este modulo:

 Deshabilitar entroncamiento automático en enlaces troncales para poder habilitarlos de
manera manual.
 Asegúrese de que la VLAN nativa sólo se usa para los enlaces troncales.
10.5.4
Mensajes DHCP
Los servidores DHCP, de manera dinámica, proporcionan información de configuración de IP
a los clientes, como la dirección IP, la máscara de subred, el gateway predeterminado, los
servidores DNS y más. Una revisión de la secuencia típica de un intercambio de mensajes
DHCP entre el cliente y el servidor es mostrada en la figura.
10.5.5
Ataques de DHCP
Los dos tipos de ataques DHCP son agotamiento y suplantación de identidad. Ambos ataques
pueden ser mitigados implementando DHCP snooping.
Ataque por Agotamiento DHCP
El objetivo de un ataque de agotamiento DHCP es crear un DoS para la conexión de clientes.

Los ataques de agotamiento de DHCP requieren una herramienta de ataque, como Gobbler.
Gobbler tiene la capacidad de ver todo el alcance de las direcciones IP alquilables e intenta
alquilarlas todas. Específicamente, este crea un mensaje DHCP DISCOVER con una dirección
MAC falsa.
Ataque de Suplantación DHCP

Un ataque de suplantación DHCP se produce cuando un servidor DHCP, no autorizado, se
conecta a la red y brinda parámetros de configuración IP falsos a los clientes legítimos. Un
servidor no autorizado puede proporcionar una variedad de información engañosa:
 Puerta de enlace predeterminada incorrecta - el atacante proporciona una puerta de

enlace no válida o la dirección IP de su host para crear un ataque de MITM. Esto
puede pasar totalmente inadvertido, ya que el intruso intercepta el flujo de datos por la
red.
 Servidor DNS incorrecto el atacante proporciona una dirección del servidor DNS
incorrecta que dirige al usuario a un sitio web malicioso.
 Dirección IP incorrecta - El servidor no autorizado proporciona una dirección IP no
válida que crea efectivamente un ataque DoS en el cliente DHCP
Paso 1
El atacante se conecta a un servidor DHCP dudoso.
Supongamos que un atacante conecta con éxito un servidor DHCP no autorizado a un puerto
de switch en la misma subred que los clientes. El objetivo del servidor no autorizado es
proporcionar a los clientes información de configuración de IP falsa.
Paso 2
El cliente transmite mensajes DHCP DISCOVER, tipo broadcast
Un cliente legítimo se conecta a la red y requiere parámetros de configuración de IP. Por lo

tanto, el cliente emite un DHCP DISCOVER, tipo broadcast, en búsqueda de una respuesta de
un servidor DHCP. Ambos servidores recibirán el mensaje y responden.
Paso 3
Respuesta DHCP legítima y no autorizada
El servidor DHCP legitimo responde con parámetros de configuración de IP validos. Sin

embargo, el servidor no autorizado también responde con una oferta DHCP, la cual contiene
parámetros de configuración IP definidos por el atacante. El cliente responderá a la primera
oferta recibida.
Paso 4
El cliente acepta la oferta del servidor DHCP no autorizado
La oferta maliciosa fue recibida primero, y por lo tanto, el cliente hace envía un DHCP
REQUEST, tipo broadcast, aceptando los parámetros IP definidos por el atacante. El servidor
legítimo y el dudoso recibirán la solicitud.
Paso 5
El servidor malicioso confirma que recibió la solicitud
Solamente el servidor no autorizado emite una respuesta individual al cliente para acusar
recibo de su solicitud. El servidor legítimo dejará de comunicarse con el cliente.
10.5.6
Video- Ataques ARP, Ataques STP, y

Reconocimiento CDP.
Haga clic en reproducir en la figura para ver un video sobre ataques de denegación de
servicio.
10.5.7
Ataques ARP
Recuerde que los hosts transmiten una solicitud de ARP a otros hosts del segmento para
determinar la dirección MAC de un host con una dirección IP específica. Esto es típicamente
hecho para descubrir la dirección MAC de una puerta de enlace predeterminada. Todos los
hosts de la subred reciben y procesan la solicitud de ARP. El host con la dirección IP que
coincide con la de la solicitud de ARP envía una respuesta de ARP.
Según ARP RFC, cualquier cliente puede enviar una respuesta de ARP no solicitada llamada
“ARP gratuito” Cuando un host envía un ARP gratuito, otros hosts en la subred almacenan en
sus tablas de ARP la dirección MAC y la dirección IP que contiene dicho ARP.
El problema es que un atacante puede enviar un mensaje ARP gratuito al switch y el switch
podría actualizar su tabla MAC de acuerdo a esto. Por lo tanto, cualquier host puede reclamar
ser el dueño de cualquier combinación de direccion IP Y MAC que ellos elijan. En un ataque
típico el atacante puede enviar respuestas ARP, no solicitadas, a otros hosts en la subred con
la dirección MAC del atacante y la dirección IP de la puerta de enlace predeterminada.
Hay muchas herramientas disponibles en Internet para crear ataques de MITM de ARP, como
dsniff, Cain & Abel, ettercap y Yersinia. IPv6 utiliza el protocolo de descubrimiento de vecinos
ICMPv6 para la resolución de direcciones de Capa 2. IPv6 utiliza el protocolo de
descubrimiento de vecinos ICMPv6 para la resolución de direcciones de capa 2.
La suplantación de identidad ARP y el envenenamiento ARP son mitigados implementando

DAI.
Paso 1
Estado normal con una tabla MAC convergida.
Cada dispositivo tiene una tabla MAC actualizada con la dirección IP y MAC correctas de cada
dispositivo en la red.
Paso 2
Ataque por Suplantación de ARP
El atacante envía dos respuestas gratuitas falsas en un intento de reemplazar R1 como la

puerta de enlace predeterminada.
1. En el primero ARP informa todos los dispositivos en la LAN que la direccion MAC del
atacante (CC:CC:CC) está mapeado a la direccion IP de la PC1, 10.0.0.11.
2. EL segundo le informa a todos los dispositivos en la LAN que la direccion MAC del
atacante (CC:CC:CC) está mapeado a la direccion IP de la PC1, 10.0.0.11.
Paso 3
Ataque de envenenamiento ARP con ataque MITM.
R1 y PC1 remueven la entrada correcta de la dirección MAC de cada uno y la reemplaza con
la dirección MAC de PC2. El atacante ha logrado envenenar la caché ARP de todos los
dispositivos en la subred. El envenenamiento ARP lleva a varios ataques MITM, posando una
seria amenaza de seguridad en la red.
10.5.8
Ataque de Suplantación de Dirección
Las direcciones IP y las direcciones MAC pueden ser suplantadas por una cantidad de
razones. El ataque de suplantación de identidad se da cuando un atacante secuestra una
dirección IP valida de otro dispositivo en la subred o usa una dirección IP al azar. La
suplantación de direcciones IP es difícil de mitigar, especialmente cuando se usa dentro de
una subred a la que pertenece la IP.
Los atacantes cambian la dirección MAC de su host para que coincida con la dirección MAC
conocida de un otro host objetivo. Luego, el host atacante envía una trama a través de la red
con la dirección MAC recién configurada. Cuando el switch recibe la trama, examina la
dirección MAC de origen. El switch sobrescribe la entrada actual en la tabla MAC y asigna la
dirección MAC al nuevo puerto, como se ve en la figura. Luego, sin darse cuenta, reenvía las
tramas host atacante.
Cuando el host de destino envía tráfico, el switch corregirá el error, re-alineando la dirección
MAC al puerto original. Para evitar que el switch corrija la asignación del puerto a su estado
correcto, el atacante puede crear un programa o script que constantemente enviará tramas al
switch, para que el switch mantenga la información incorrecta o falsificada. No hay un
mecanismo de seguridad en la Capa 2 que permita a un switch verificar la fuente de las
direcciones MAC, lo que lo hace tan vulnerable a la suplantación de identidad.
La suplantación de identidad de direcciones IP y direcciones MAC puede ser mitigada

implementado IPSG.
10.5.9
Ataque de STP
Los atacantes de red pueden manipular el Protocolo de Árbol de Expansión (STP) para
realizar un ataque falsificando el root bridge y cambiando la topología de una red. Los
atacantes hacen que su host parezca ser un root bridge; por lo tanto capturan todo el trafico
para el dominio del Switch inmediato.
Para realizar un ataque de manipulación de STP, el host atacante transmite Unidades de
Datos de Protocolo de Puente STP (BPDU), que contienen cambios de configuración y
topología que forzarán los re-cálculos de Árbol de Expansión, como se muestra en la figura.
Las BPDU enviadas por el host atacante anuncian una prioridad de puente (bridge) inferior, en
un intento de ser elegidas como root bridge.
Si tiene éxito, el host atacante se convierte en el puente raíz, como se muestra en la figura, y
ahora puede capturar una variedad de frames, que de otro modo no serían accesible
Este ataque STP es mitigado implementando BPDU Guard en todos los puertos de acceso.
BPDU Guard se discute con detalle más adelante en el curso.
10.5.10
Reconocimiento CDP
Cisco Discovery Protocol (CDP) es un protocolo de detección de enlaces de Capa 2
patentado. Está habilitado en todos los dispositivos de Cisco de manera predeterminada. CDP
puede detectar automáticamente otros dispositivos con CDP habilitado y ayudar a configurar
automáticamente la conexión. Los administradores de red también usan CDP para configurar
dispositivos de red y solucionar problemas.
La información de CDP se envía por los puertos con CDP habilitado en transmisiones
periódicas sin encriptar. La información de CDP incluye la dirección IP del dispositivo, la
versión de software de IOS, la plataforma, las funcionalidades y la VLAN nativa. El dispositivo
que recibe el mensaje de CDP actualiza la base de datos de CDP.
La información de CDP es muy útil para la solución de problemas de red. Por ejemplo, CDP
puede usarse para verificar la conectividad de Capa 1 y 2. Si un administrador no puede hacer
ping a una interfaz con conexión directa, pero aún recibe información de CDP, es probable
que el problema esté en la configuración de Capa 3.
Sin embargo, un atacante puede usar la información proporcionada por CDP para detectar
vulnerabilidades en la infraestructura de red.
En la figura, una captura de Wireshark de ejemplo, muestra el contenido de un paquete de
CDP. El atacante puede identificar la versión del software Cisco IOS del dispositivo. Esto
permite que el atacante determine si hay vulnerabilidades de seguridad específicas a esa
versión determinada de IOS.
Las transmisiones de CDP se envían sin encriptación ni autenticación. Por lo tanto, un

atacante puede interferir con la infraestructura de la red enviando tramas de CDP fabricadas
con información falsa a dispositivos de Cisco con conexión directa.
Para mitigar la explotación de CDP, se debe limitar el uso de CDP en los dispositivos o
puertos. Por ejemplo, se debe deshabilitar CDP en los puertos de extremo que se conectan a
dispositivos no confiables.
Para deshabilitar CDP globalmente en un dispositivo, use el comando del modo de

configuración global no cdp run Para habilitar CDP globalmente, use el comando de
configuración global cdp run
Para deshabilitar CDP en un puerto, use el comando de configuración de interfaz no cdp

enable Para habilitar CDP en un puerto, use el comando de configuración de interfaz cdp
enable
Nota: El Protocolo de detección de capa de enlace (LLDP) también es vulnerable a los

ataques de reconocimiento. Configure no lldp run para deshabilitar LLDP globalmente. Para
deshabilitar LLDP en la interfaz, configure no lldp transmit y no lldp receive.
Práctica del Módulo y
Cuestionario
10.6.1
¿Qué aprendí en este módulo?

Los punto terminales son particularmente susceptibles a ataques malware que se originan a
través de correo electrónico o el navegador web, como DDOS, filtración de datos y malware.
Estos puntos terminales suelen utilizar características de seguridad tradicionales basadas en
host, como antivirus/antimalware, firewalls basados en host y sistemas de prevención de
intrusiones (HIPSs) basados en host. Los puntos terminales están mejor protegidos por una
combinación de NAC, software AMP basado en host, un dispositivo de seguridad de correo
electrónico (ESA) y un dispositivo de seguridad web (WSA). La WSA puede realizar listas
negras de URL, filtrado de URL, escaneo de malware, categorización de URL, filtrado de
aplicaciones web y cifrado y descifrado del tráfico web.
AAA es un modo de controlar quién tiene permitido acceder a una red (autenticar), controlar lo
que las personas pueden hacer mientras se encuentran allí (autorizar) y qué acciones realizan
mientras acceden a la red (registrar). La autorización utiliza un conjunto de atributos que
describe el acceso del usuario a la red. Un uso muy implementado del Registro es en
combinación con la Autenticación AAA. Los servidores AAA mantienen un registro detallado
de lo que el usuario autenticado hace exactamente en el dispositivo. El estándar IEEE 802.1X
define un control de acceso y un protocolo de autenticación basado en puertos, que evita que
las estaciones de trabajo no autorizadas se conecten a una LAN a través de los puertos de
switch acceso público.
Si la Capa 2 se ve comprometida, todas las capas superiores también se ven afectadas. El

primer paso para mitigar los ataques a la infraestructura de Capa 2 es comprender el
funcionamiento de la Capa 2 y las amenazas de la infraestructura de Capa 2: Port Security,
DHCP snooping, DAI, y IPSG. Estos no van a funcionar a menos que los protocolos de
administración sean seguros.
Los ataques por saturación de MAC, saturan la tabla de direcciones MAC del switch, con
información falsa, hasta que este llena. Cuando esto ocurre, el switch trata la trama como un
unicast desconocido, y comienza a reenviar todo el tráfico entrante por todos los puertos en la
misma VLAN, sin hacer referencia a la tabla MAC. El atacante puede ahora capturar todas las
tramas enviadas desde un host para otro host en una LAN o VLAN local. El atacante
usa macof para rapidamente generar, de manera aleatoria, muchas direcciones MAC y IP de
origen y destino. Para mitigar los ataques de saturación de la tabla de direcciones MAC, los
administradores de red deben implementar la seguridad del puerto.
El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar primero
un router. El atacante configura a un host para actuar como un Switch y tomar ventaja de la
característica de puerto troncal habitabilidad por defecto en la mayoría de puertos del switch
Un ataque VLAN Double-Tagging es unidireccional y funciona únicamente cuando el atacante
está conectado a un puerto que reside en la misma VLAN que la VLAN nativa del puerto
troncal. El Double-Tagging permite al actor de la amenaza enviar datos a los hosts o
control de acceso El trafico de retorno también sera permitido, dejando que el atacante se
comunique con otros dispositivos en la VLAN normalmente bloqueada.
Los ataques de VLAN hopping and VLAN double-tagging se pueden evitar mediante la
implementación de las siguientes pautas de seguridad troncal:

 Deshabilitar troncal automático en enlaces troncales para poder habilitarlos de manera
manual.
 Asegurarse de que la VLAN nativa solo se usa para los enlaces troncales.
Los servidores DHCP, de manera dinámica, proporcionan la información de configuración de

IP a los clientes, como la dirección IP, la máscara de subred, el default gateway, los servidores
DNS y más. Los dos tipos de ataques DHCP son agotamiento y suplantación de identidad.
Ambos ataques pueden ser mitigados implementando DHCP snooping.
Ataque ARP: un atacante puede enviar un mensaje ARP gratuito al switch y el switch podría
actualizar su tabla MAC de acuerdo a esto. Ahora el atacante envía respuestas ARP no
solicitadas a otros hosts en la subred con la dirección MAC del actor amenazante y la
dirección IP del default gateway. La suplantación de identidad ARP y el envenenamiento ARP
son mitigados implementando DAI.
Ataque de suplantación de direcciones: la suplantación de identidad de una direccion IP es

cuando un atacante secuestra una direccion IP valida de otro dispositivo en la subred o usa
una dirección IP al azar. Los atacantes cambian la dirección MAC de su host para que
coincida con otra dirección MAC conocida de un host de destino. La suplantación de identidad
de direcciones IP y direcciones MAC puede ser mnitigada implementado IPSG.
Ataque STP: el amenazante manipula STP para conducir un ataque suplantando root bridge y
cambiando la topologia de la red. Los atacantes hacen que su host aparezca como un root
bridge; por lo tanto capturan todo el trafico para el dominio del Switch inmediato. Este ataque
STP es mitigado implementando BPDU guard en todos los puertos de acceso.
La información de CDP se envía por los puertos con CDP habilitado en transmisiones
periódicas sin encriptar. La información de CDP incluye la dirección IP del dispositivo, la
versión de software de IOS, la plataforma, las funcionalidades y la VLAN nativa. El dispositivo
que recibe el mensaje CDP actualiza su base de datos CDP, la información suministrada por
el CDP puede también ser usada por un atacante para descubrir vulnerabilidades en la
infraestructura de la red. Para mitigar la explotación de CDP, se debe limitar el uso de CDP en
los dispositivos o puertos.
Introducción
11.0.1
¡Bienvenido a Configuración de Seguridad de Switch!
Una parte importante de su responsabilidad como profesional en redes es mantener la red

segura. Casi siempre pensamos solo en ataques de seguridad viniendo de afuera de la red,
pero las amenazas podrían estar también dentro de la red. Estas amenazas pueden ir desde
un empleado inocente agregando un switch Ethernet a la red corporativa para tener mas
puertos, hasta un ataque malicioso causado por un empleado descontento. Es su trabajo
mantener la red segura y asegurarse que las operaciones de negocio continúen sin ser
comprometidas
¿Cómo mantenemos la red segura y estable? ¿Cómo la protegemos de ataques maliciosos

desde adentro de la red? ¿Cómo nos aseguramos que los empleados no estén agregando
switches, servidores y otros dispositivos a la red que podrían comprometer las operaciones de
la red?
¡Este modulo es la introducción para mantener su red segura desde adentro!
11.0.2

Module Title: Configuración de Seguridad de Switch
Module Objective: Configure la seguridad del switch para mitigar los ataques de LAN.
Implementación de Seguridad Implemente la seguridad de puertos para mitigar los ataques de tablas de direcciones
de Puertos MAC.
Mitigación de ataques de
Explique cómo configurar DTP y la VLAN nativa para mitigar los ataques de VLAN.
VLAN
Mitigación de ataques de
Explique cómo configurar el snooping de DHCP para mitigar los ataques de DHCP.
DHCP
Mitigación de ataques de ARP Explique cómo configurar ARP para mitigar los ataques de ARP.
Mitigación de ataques de STP Explique como configurar Portfast y BPDU Guard para mitigar los ataques de STP.
mplementación de Seguridad de
Puertos
11.1.1
Asegurar los puertos sin utilizar

Los dispositivos de Capa 2 se consideran el eslabón mas débil en la infraestructura de
seguridad de una compañía. Los ataques de Capa 2 son de los mas sencillos de desplegar
para los hackers, pero estas amenazas también pueden ser mitigadas con algunas soluciones
comunes de capa 2.
Se deben proteger todos los puertos del switch (interfaces) antes de implementar el switch
para su uso en producción. Como un puerto es protegido depende de su función.
Un método simple que muchos administradores usan para contribuir a la seguridad de la red
ante accesos no autorizados es inhabilitar todos los puertos del switch que no se utilizan. Por
ejemplo, si un switch Catalyst 2960 tiene 24 puertos y hay tres conexiones Fast Ethernet en
uso, es aconsejable inhabilitar los 21 puertos que no se utilizan. Navegue a cada puerto no
utilizado y emita el comando shutdown de Cisco IOS. Si un puerto debe reactivarse más
tarde, se puede habilitar con el comando no shutdown.
Para configurar un rango de puertos, use el comando interface range.
Switch(config)# interface range type module/first-number – last-number
Por ejemplo, para apagar los puertos for Fa0/8 hasta Fa0/24 en S1, usted debe ingresar el
siguiente comando.
S1(config)# interface range fa0/8 - 24
S1(config-if-range)# shutdown
11.1.2
Mitigación de ataques por saturación de

tabla de direcciones MAC
El método más simple y eficaz para evitar ataques por saturación de la tabla de direcciones
MAC es habilitar la sport security.
La seguridad de puertos limita la cantidad de direcciones MAC válidas permitidas en el puerto.

Permite a un administrador configurar manualmente las direcciones MAC para un puerto o
permitir que el switch aprenda dinámicamente un número limitado de direcciones MAC.
Cuando un puerto configurado con port security recibe un frame, la dirección MAC de origen
del frame se compara con la lista de direcciones MAC de origen seguro que se configuraron
manualmente o se aprendieron dinámicamente en el puerto.
Al limitar a uno la cantidad de direcciones MAC permitidas en un puerto, la seguridad de

puertos se puede usar para controlar la expansión no autorizada de la red, como se muestra
en la figura.
11.1.3
Habilitar la seguridad del puerto.

Observe en el ejemplo, el comando switchport port-security fue rechazado. Esto se debe a
que port security solo se puede configurar en puertos de acceso o trunks configurados
manualmente Los puertos capa 2 del switch están definidos como dynamic auto (troncal
encendido), de manera predeterminada. Por lo tanto, en el ejemplo, el puerto se configura con
el comando switchport mode access de configuración de la interfaz.
Note: La seguridad del puerto troncal está más allá del alcance de este curso.
S1(config)# interface f0/1
S1(config-if)# switchport port-security

Use el comando show port-security interface para mostrar la configuración de seguridad del
puerto actual para FastEthernet 0/1, como se muestra en el ejemplo. Note que port security
esta habilitado, el modo de violación esta apagado, y que el numero máximo de direcciones
MAC permitidas es 1. Si un dispositivo esta conectado al puerto, el switch automáticamente
agregara la direccion MAC de este dispositivo como una direccion MAC segura. En este
ejemplo, no existe ningún dispositivo conectado al puerto.
S1# show port-security interface f0/1
Use el comando show port-security interface para mostrar la configuración de seguridad del
puerto actual para FastEthernet 0/1, como se muestra en el ejemplo. Note que port security
esta habilitado, el modo de violación esta apagado, y que el numero máximo de direcciones
MAC permitidas es 1. Si un dispositivo esta conectado al puerto, el switch automáticamente
agregara la direccion MAC de este dispositivo como una direccion MAC segura. En este
ejemplo, no existe ningún dispositivo conectado al puerto.
S1# show port-security interface f0/1

11.1.4
Limitar y Aprender MAC Addresses

Para poner el numero máximo de direcciones MAC permitidas en un puerto, utilice el siguiente
comando
Switch(config-if)# switchport port-security maximum value
El valor predeterminado de port security es 1. EL numero maximo de direcciones MAC

seguras que se puede configurar depende del switch y el IOS. En este ejemplo, el maximo es
8192.
El switch se puede configurar para aprender direcciones MAC en un puerto seguro de tres
maneras:
1. Configurado Manualmente
El administrador configura manualmente una(s) direccion MAC estatica usando el siguiente

comando para cada direccion MAC en el puerto:
Switch(config-if)# switchport port-security mac-address mac-address

2. Aprendido automáticamente
Cuando se ingresa el comando switchport port-security, la fuente MAC actual para el

dispositivo conectado al puerto se asegura automáticamente pero no se agrega a la
configuración de inicio. Si el switch es reiniciado, el puerto tendrá que re-aprender la direccion
MAC del dispositivo.
3. Aprendido automáticamente – Sticky
El administrador puede configurar al switch para que aprenda la direccion MAC

automáticamente a la "pegue" a la configuración en ejecución usando el siguiente comando:
Switch(config-if)# switchport port-security mac-address sticky
Al guardar la configuración en ejecución la direccion MAC aprendida automaticamente se

quedara en NVRAM.
EL siguiente ejemplo muestra una configuración completa de port security en la interfaz

FastEthernet 0/1. El administrador especifica una cantidad máxima de 4 direcciones MAC,
configura una direccion MAC segura, y luego configura el puerto para que aprenda mas
direcciones MAC de manera automática hasta un máximo de 4 direcciones MAC. Use los
comandos show port-security interface y show port-security address para verificar la
configuración.
S1# show port-security address
The output of the show port-security interface command verifies that port security is
enabled, there is a host connected to the port (i.e., Secure-up), a total of 2 MAC addresses will
be allowed, and S1 has learned one MAC address statically and one MAC address
dynamically (i.e., sticky).
The output of the show port-security address command lists the two learned MAC
addresses.
11.1.5
Vencimiento de la seguridad del puerto.

EL vencimiento de la seguridad del puerto puede usarse para poner el tiempo de vencimiento
de las direcciones seguras estáticas y dinámicas en un puerto. Hay dos tipos de
envejecimiento por puerto:
 Absoluto - Las direcciones seguras en el puerto se eliminan después del tiempo de

caducidad especificado.
 Inactivo - Las direcciones seguras en el puerto se eliminan solo si están inactivas
durante el tiempo de caducidad especificado.
Utilice el vencimiento para remover las direcciones MAC seguras en un puerto seguro sin
necesidad de eliminar manualmente las direcciones MAC existentes. Los tiempos limite de
vencimiento pueden ser incrementados para asegurarse que las direcciones MAC pasadas se
queden, aun cuando se agregan nuevas direcciones MAC. El vencimiento de direcciones
seguras configuradas estáticamente puede ser habilitado o des-habilitado por puerto.
Use el comando switchport port-security aging para habilitar o deshabilitar el

envejecimiento estático para el puerto seguro, o para establecer el tiempo o el tipo de
envejecimiento.
Switch(config-if)# switchport port-security aging { static | time time |

type {absolute | inactivity}}
Los parámetros para el comando se describen en la tabla.
Parámetro Descripción
static Habilite el vencimiento para las direcciones seguras estaticamente configuradas en

este puerto.
Especifique el tiempo de vencimiento de este puerto. El rango es de 0 a 1440

time time minutos. Sin embargo, si el tiempo es 0, el vencimiento esta des-habilitado en este
puerto.
Ponga el tiempo absoluto de vencimiento. Todas las direcciones seguras en este

type absolute puerto se vencen exactamente después del tiempo (in minutes) especificado y son
removidas de la lista de direcciones seguras.
Defina el tipo de inactividad de vencimiento. Las direcciones seguras en este puerto

type inactivity se vencen solo si no hay trafico desde la direccion segura de origen por un periodo
de tiempo especificado.
Note: Las direcciones MAC se están mostrando con 24 bits para efectos de hacerlo sencillo.
El ejemplo muestra a un administrador configurando el tipo de envejecimiento a 10 minutos de

inactividad y utilizando el comando show port-security interface para verificar la
configuración.
11.1.6
Seguridad de puertos: modos de violación

de seguridad
Si la dirección MAC de un dispositivo conectado al puerto difiere de la lista de direcciones
seguras, entonces ocurre una violación de puerto. El puerto entra en el estado de error-
disabled de manera predeterminada.
Para poner el modo de violación de seguridad de puerto, use el siguiente comando:
Switch(config-if)# switchport port-security violation { protect |

restrict | shutdown}
La tabla siguiente muestra como reacciona el switch basado en la configuración de modo de

violación.
Security Violation Mode Descriptions

del router Descripción
El puerto transiciona al estado de error-disabled inmediatamente, apaga el LED del

shutdown puerto, y envía un mensaje syslog. Aumenta el contador de violaciones Contador.
(predeterminados) Cuando un puerto seguro esta en estado error-disabled un administrador debe re-
habilitarlo ingresando los comandos shutdown y no shutdown .
El puerto bota los paquetes con direcciones MAC de origen desconocidas hasta que
restrict
usted remueva un numero suficiente de direcciones MAC seguras para llegar debajo
del maximo valor o incremente el máximo valor Este modo causa que el contador de
violación de seguridad incremente y genere un mensaje syslog.
del router Descripción
Este modo es el menos seguro de los modos de violaciones de seguridad. No se

realiza el tráfico de puertos los paquetes con direcciones MAC de origen
protect desconocidas hasta que usted remueva un numero suficiente de direcciones MAC
seguras para llegar debajo del valor máximo o o incremente el máximo valor No se
envía ningún mensaje syslog.
Security Violation Mode Comparison

Discards Envía Incrementa el
Violation Desactiva
Offending mensaje de contador de
Mode el puerto
Traffic syslog violaciones
Protect Sí No No No
Restrict Sí Sí Sí No
Apagado Sí Sí Sí Sí
El siguiente ejemplo muestra un administrador cambiando la violación de seguridad a

''restringir''. La salida delshow port-security interface comando confirma que se ha realizado
el cambio.
11.1.7
Puertos en Estado error-disabled

Cuando un puerto esta apagado y puesto en modo error-desabilitado, no se envía ni se recibe
tráfico a través de ese puerto. En la consola, se muestra una serie de mensajes relacionados
con la seguridad del puerto.
Note: The port protocol and link status are changed to down and the port LED is turned off.
In the example, the show interface command identifies the port status as err-disabled. La
salida del show port-security interface comando ahora muestra el estado del puerto
como secure-shutdown. El contador de violación incrementa en uno.
S1# show interface fa0/1 | include down
El administrador debe determinar que causo la violación de seguridad, si un dispositivo no

autorizado está conectado a un puerto seguro,la amenazas de seguridad es eliminada antes
de restablecer el puerto.
Para volver a habilitar el puerto, primero use el shutdown comando, luego use el no
shutdown comando para que el puerto sea operativo, como se muestra en el ejemplo.
11.1.8
Verificar la seguridad del puerto

Después de configurar la seguridad de puertos en un switch, revise cada interfaz para verificar
que la seguridad de puertos y las direcciones MAC estáticas se configuraron correctamente.
Seguridad de puertos para todas las interfaces.

Para mostrar la configuración de seguridad del puerto para el conmutador, show port-
security use el comando. El ejemplo indica que todas las 24 interfaces están configuradas
con el comando switchport port-security porque el máximo permitido es 1 y el modo de
violación está en shutdown. No hay dispositivos conectados Por lo tanto, el contandor
CurrentAddr (Count) es 0 para cada interfaz.
S1# show port-security
Seguridad de puertos para una Interfaz Específica
Use el show port-security interface comando para ver los detalles de una interfaz específica,
como se muestra anteriormente y en este ejemplo.
Seguridad de puertos para una Interfaz Específica
Use el show port-security interface comando para ver los detalles de una interfaz específica,
como se muestra anteriormente y en este ejemplo.
S1# show port-security interface fastethernet 0/1
Verificar las direcciones MAC aprendidas
Para verificar que las direcciones MAC están "pegadas" a la configuración, use el show
run comando como se muestra en el ejemplo de FastEthernet 0/19.
S1# show port-security interface fastethernet 0/1
Verificar las Direcciones MAC Seguras
Para mostrar todas las direcciones MAC seguras que se configuran manualmente o se
aprenden dinámicamente en todas las interfaces de conmutador, use el comando show port-
security address como se muestra en el ejemplo.
Mitigación de ataques de VLAN

11.2.1
Revisión de ataques a VLAN

Como una revisión rápida ,, un ataque de salto a una VLAN puede ser lanzado en una de 3
maneras:
 La suplantación de mensajes DTP del host atacante hace que el switch entre en modo
de enlace troncal. Desde aquí, el atacante puede enviar tráfico etiquetado con la VLAN
de destino, y el conmutador luego entrega los paquetes al destino.
 Introduciendo un switch dudoso y habilitando enlaces troncales. El atacante puede
acceder todas las VLANs del switch victima desde el switch dudoso.
 Otro tipo de ataque de salto a VLAN es el ataque doble etiqueta o doble encapsulado.
Este ataque toma ventaja de la forma en la que opera el hardware en la mayoría de los
switches.
11.2.2
Pasos para mitigar ataques de salto

Use los siguiente Pasos para mitigar ataques de salto
Paso 1 : Deshabilite las negociaciones de DTP (enlace automático) en puertos que no sean
enlaces mediante el switchport mode access comando de configuración de la interfaz.
Paso 2 : Deshabilite los puertos no utilizados y colóquelos en una VLAN no utilizada.
Paso 3 : Active manualmente el enlace troncal en un puerto de enlace troncal utilizando

el switchport mode trunk comando.
Paso 4 : Deshabilite las negociaciones de DTP (enlace automático) en los puertos de enlace
mediante el comando switchport nonegotiate.
Paso 5 : Establezca la VLAN nativa en otra VLAN que no sea la VLAN 1 mediante el
comando switchport trunk native vlan vlan \ _number.
por ejemplo, asumamos lo siguiente
 Los puertos FastEthernet 0/1 hasta fa0/16 son puertos de acceso activos
 Los puertos FastEthernet 0/17 hasta 0/20 no estan en uso
 FastEthernet ports 0/21 through 0/24 son puertos troncales.
Salto de VLAN puede ser mitigado implementando la siguiente configuración
 Los puertos Fastethernet 0/1 al 0/16 son puertos de acceso y por lo tanto troncal se
deshabilita poniéndolos explicitamente como puertos de acceso.
 Los puertos FastEthernet 0/17 al 0/20 son puertos que no están en uso y están
deshabilitados y asignados a una VLAN que no se usa.
 Los puertos FastEthernet 0/21 al 0/24 son enlaces troncales y se configuran
manualmente como troncales con DTP deshabilitado. La VLAN nativa también se
cambia de la VLAN predeterminada 1 a la VLAN 999 que no se usa.
Mitigación de ataques de DHCP

11.3.1
Revisión de ataques DHCP

El objetivo de un ataque de inanición de DHCP es crear una denegación de servicio(DoS) para
la conexión de los clientes. Los ataques de agotamiento de DHCP requieren una herramienta
de ataque, como Gobbler. Recuerde que los ataques de inanición de DHCP pueden ser
efectivamente mitigados usando seguridad de puertos porque Gobbler usa una dirección MAC
de origen única para cada solicitud DHCP enviada.
Sin embargo mitigar ataques DHCP de suplantación de identidad requiere mas protección.
Gobbler podría configurarse para usar la dirección MAC de la interfaz real como la dirección
Ethernet de origen, pero especifique una dirección Ethernet diferente en la carga útil de
DHCP. Esto haría que la seguridad del puerto sea ineficaz porque la dirección MAC de origen
sería legítima.
Los ataques de suplantación de DHCP se pueden mitigar mediante el uso de detección DHCP
en puertos confiables.
11.3.2
Indagación de DHCP
La inspección de DHCP no depende de las direcciones MAC de origen. En cambio, la
inspección de DHCP determina si los mensajes de DHCP vienen de una fuente configurada
administrativamente como confiable o no confiable. Luego filtra los mensajes de DHCP y limita
la velocidad del trafico DHCP viniendo desde fuentes no confiables.
Dispositivos que estén bajo su control administrativo como Switches, enrutadores y servidores,
son fuentes confiables. Cualquier dispositivo más allá del cortafuegos fuera de su red son
fuentes no confiables. Además, todos los puertos de acceso son tratados generalmente como
fuentes no fiables. La figura muestra un ejemplo de puertos fiables y no fiables.
Note que el servidor DHCP dudoso podría estar en un puerto no confiable después de habilitar
DHCP snooping. Todas las interfaces son tratadas por defecto como no confiables.
Típicamente las interfaces confiables son enlaces troncales y puertos conectados
directamente a un servidor DHCP legitimo. Estas interfasces deben ser configuradas
explicitamente como confiables.
Se crea una tabla DHCP que incluye la dirección MAC de origen de un dispositivo en un
puerto no confiable y la dirección IP asignada por el servidor DHCP a ese dispositivo. La
dirección MAC y la dirección IP están unidas. Por lo tanto, esta tabla se denomina tabla de
enlace DHCP snooping.
11.3.3
Pasos para implementar DHCP Snooping

Utilice las siguientes pasos para habilitar DHCP snooping
Paso 1. Habilite la inspección DHCP mediante el comando ip dhcp snooping de

Paso 2. En puertos de confianza, use el comando de configuración de la interfaz ip dhcp

snooping trust.
Paso 3: Limite la cantidad de mensajes de descubrimiento de DHCP que puede recibir por
segundo en puertos no confiables mediante el ip dhcp snooping limit rate comando de
Paso 4. Habilite la inspección DHCP por VLAN, o por un rango de VLAN, utilizando el
comando ip dhcp snooping vlan de la configuración global.
11.3.4
Un ejemplo de configuración de detección

de DHCP.
La topologia de referencia para este ejemplo de DHCP snooping es mostrado en la figura.
Note que F0/5 es un puerto no confiable porque este conecta con una computadora. F0/1 es
un puerto confiable porque conecta con el servidor DHCP
El siguiente es un ejemplo de como configurar DHCP snooping en S1. Note como DHCP
snooping es activado primero. La interfaz ascendente al servidor DHCP es explícitamente
confiable. Luego, el rango de puertos FastEthernet desde F0/5 a F0/24 son no confiables de
manera predeterminada, de manera que se establece un limite de transferencia de seis
paquetes por segundo. Finalmente, la inspección DHCP está habilitada en VLANS 5, 10, 50,
51 y 52.
Use el comando show ip dhcp snooping EXEC privilegiado para verificar la inspección
DHCP show ip dhcp snooping binding y para ver los clientes que han recibido información
DHCP, como se muestra en el ejemplo.
Nota: La inspección dinámica de ARP (DAI) también requiere de la inspección DHCP, que es
el siguiente tema
S1# show ip dhcp snooping
Mitigación de ataques de ARP

11.4.1
Inspección dinámica de ARP

En un ataque típico el actor amenazante puede enviar respuestas ARP no solicitadas a otros
hosts en la subred con la dirección MAC del actor amenazante y la dirección IP de la puerta de
enlace predeterminada. Para evitar la suplantación de ARP y el envenenamiento por ARP
resultante, un interruptor debe garantizar que solo se transmitan las Solicitudes y Respuestas
de ARP válidas.
La inspección dinámica (DAI) requiere de DHCP snooping y ayuda a prevenir ataques ARP
así:
 No retransmitiendo respuestas ARP invalidas o gratuitas a otros puertos en la misma

VLAN.
 Intercepta todas las solicitudes y respuestas ARP en puertos no confiables.
 Verificando cada paquete interceptado para un enlace IP-to-MAC válido.
 Descarte y registro de respuestas no válidas de ARP para evitar el envenenamiento por
ARP.
 Error-disabling deshabilita la interfaz si se excede el número de DAI configurado de
paquetes ARP.
11.4.2
Pautas de implementación DAI

Para mitigar las probabilidades de ARP spoofing Y ARP poisoning, siga estas pautas de
implementación DAI
 Habilite la detección de DHCP.

 Habilite la detección de DHCP en las VLAN seleccionadas.
 Habilite el DAI en las VLANs seleccionadas.
 Configure las interfaces de confianza para la detección de DHCP y la inspección de
ARP ("no confiable" es la configuración predeterminada).
Generalmente, es aconsejable configurar todos los puertos de switch de acceso como no
confiables y configurar todos los puertos de enlace ascendente que están conectados a otros
switches como confiables.
La topologia de muestra en la figura identifica puertos confiables y no confiables.
11.4.3
Ejemplo de configuración DAI

En la topologia anterior S1 está conectado a dos usuarios en la VLAN 10. DAI será
configurado para mitigar ataques ARP spoofing and ARP poisonig.
Como se muestra en el ejemplo, la inspección DHCP está habilitada porque DAI requiere que
funcione la tabla de enlace de inspección DHCP. Siguiente,la detección de DHCP y la
inspección de ARP están habilitados para la computadora en la VLAN 10. El puerto de enlace
ascendente al router es confiable y, por lo tanto, está configurado como confiable para la
inspección DHP y ARP.
DAI se puede configurar para revisar si hay direcciones MAC e IP de destino o de origen:
 MAC de destino : comprueba la dirección MAC de destino en el encabezado de

Ethernet con la dirección MAC de destino en el cuerpo ARP.
 MAC de origen : comprueba la dirección MAC de origen en el encabezado de
Ethernet con la dirección MAC del remitente en el cuerpo ARP.
 Dirección IP : comprueba el cuerpo ARP en busca de direcciones IP no válidas e
inesperadas, incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las direcciones
de multidifusión IP.
El ip arp inspection validate {[src-mac] [dst-mac] [ip]}comando de configuración global se

utiliza para configurar DAI para descartar paquetes ARP cuando las direcciones IP no son
válidas. Se puede usar cuando las direcciones MAC en el cuerpo de los paquetes ARP no
coinciden con las direcciones que se especifican en el encabezado Ethernet. Note como en el
siguiente ejemplo solo un comando puede ser configurado. Por lo tanto, al ingresar varios
comandos ip arp inspection validate se sobrescribe el comando anterior. Para incluir mas de
un método de validación, ingreselos en la misma línea de comando como se muestra y verifica
en la siguiente salida.
S1(config)# ip arp inspection validate ?
Mitigación de ataques de STP

11.5.1
PortFast y protección BPDU

Recuerde que los atacantes de red pueden manipular el Protocolo de árbol de expansión
(STP) para realizar un ataque falsificando el puente raíz y cambiando la topología de una red.
Para mitigar los ataques de manipulación del Protocolo de árbol de expansión (STP), use
PortFast y la Unidad de datos de protocolo de puente (BPDU) Guard.
 PortFast - PortFast trae inmediatamente una interfaz configurada como puerto de

acceso o troncal al estado de reenvío desde un estado de bloqueo, sin pasar por los
estados de escucha y aprendizaje. Aplicar a todos los puertos de acceso de usuario
final. PortFast solo debe configurarse en interfaces conectadas a dispositivos finales.
 Protección BPDU - el error de protección BPDU deshabilita inmediatamente un puerto
que recibe una BPDU. Al igual que PortFast, la protección BPDU solo debe configurarse
en interfaces conectadas a dispositivos finales.
En la figura, los puertos de acceso para S1 deberían ser configurados con PortFast y BPDU
Guard.
11.5.2
Configure PortFast
PortFast omite los estados de escucha y aprendizaje de STP para minimizar el tiempo que los
puertos de acceso deben esperar a que STP converja. Si habilita PortFast en un puerto que se
conecta a otro switch, corre el riesgo de crear un bucle de árbol de expansión.
PortFast se puede habilitar en una interfaz mediante el comando spanning-tree portfast de

configuración de la interfaz. Alternativamente, Portfast se puede configurar globalmente en
todos los puertos de acceso mediante el comando spanning-tree portfast default de
Para verificar si PortFast está habilitado globalmente, puede usar el comando show running-
config | begin span o el comando show spanning-tree summary. Para verificar si PortFast
tiene habilitada una interfaz, use el comando show running-config interface type / number,
como se muestra en el siguiente ejemplo. El comando show spanning-tree interface type /
number detail también se puede usar para la verificación.
Note que cuando PortFast esta habilitado, se muestran mensaje de advertencia.
11.5.3
Configurar la protección BPDU
Aunque PortFast esta2 habilitado, la interfaz seguirá escuchando por BPDUs. Los BPDUs
inesperados pueden ser accidentales o parte de un intento no autorizado para agregar un
switch a una red.
Si se recibe una BPDU en un puerto de acceso habilitado para BPDU Guard, el puerto se
pone en estado de error deshabilitado. Esto significa que el puerto se cierra y debe volver a
habilitarse manualmente o recuperarse automáticamente mediante el comando
global errdisable recovery cause psecure_violation.
BPDU Guard se puede habilitar en un puerto mediante el comando de configuración de la

interfaz spanning-tree bpduguard enable. Alternativamente, use el comando de
configuración global spanning-tree portfast bpduguard default para habilitar globalmente la
protección BPDU en todos los puertos habilitados para PortFast.
Para mostrar información sobre el estado del árbol de expansión, use el comando show
spanning-tree summary En este ejemplo, PortFast predeterminado y modo de protección de
BPDU están activados como estado predeterminado para los puertos configurados como de
modo de acceso.
Note: Siempre active BPDU Guard en todos los puertos habilitados para PortFast.
Introducción
12.0.1

¡Bienvenido a los Conceptos de WLAN!
¿Utiliza usted conexiones inalámbricas en su casa, trabajo o escuela? ¿Alguna vez se ha

preguntado como funciona?
Existen tantas maneras de conectarse de forma inalámbrica. Como todo lo demás que tiene
que ver con las redes, este tipo de conexiones funcionan mejorar en situaciones particulares.
Requieren de dispositivos específicos y también son propensos a ciertos tipos de ataques. Y
por supuesto, existen soluciones para mitigar este tipo de ataques. ¿Desea más información?
El modulo de Conceptos de WLAN le brinda a usted el conocimiento fundamental que usted
necesita para entender qué son las LAN Inalámbricas, lo que pueden hacer y como
protegerlas.
Si tiene curiosidad, no espere, ¡empiece hoy mismo!
12.0.2

Titulo del Módulo: Conceptos WLAN
Objetivo del módulo: Explique cómo las WLAN habilitan la conectividad de red.
Introducción a la tecnología
Describa la tecnología y los estándares WLAN.
inalámbrica
Componentes de las WLAN Describa los componentes de una infraestructura WLAN.
Explique cómo la tecnología inalámbrica permite el funcionamiento de

Funcionamiento de WLAN
WLAN.
Funcionamiento de CAPWAP Explique cómo un WLC utiliza CAPWAP para administrar múltiples AP.
Administración de canales Describa la administración de canales en una WLAN.
Amenazas a la WLAN Describa las amenazas a las WLAN.
WLAN seguras Describa los mecanismos de seguridad de WLAN.
Introducción a la tecnología
inalámbrica
12.1.1
Beneficios de redes inalámbricas

Una LAN inalámbrica (WLAN) es un tipo de red inalámbrica que se usa comúnmente en
hogares, oficinas y entornos de campus. Las redes deben apoyar a la gente que está en
movimiento. La gente se conecta usando computadoras, computadoras portátiles, tabletas y
teléfonos inteligentes. Hay muchas diferentes infraestructuras de red que proveen acceso a la
red, como LANs cableadas, red de proveedor de servicios, y redes de teléfonos celulares. Las
WLAN hacen posible la movilidad dentro de los entornos domésticos y comerciales.
En las empresas que cuentan con una infraestructura inalámbrica, puede haber un ahorro de
costos cada vez que se cambia el equipo, o al reubicar a un empleado dentro de un edificio,
reorganizar el equipo o un laboratorio, o mudarse a ubicaciones temporales o sitios de
proyectos. Una infraestructura inalámbrica puede adaptarse a los rápidos cambios de
necesidades y tecnologías.
12.1.2
Tipos de redes inalámbricas

Las LAN inalámbricas (WLAN) se basan en los estándares IEEE y se pueden clasificar en
cuatro tipos principales: WPAN, WLAN, WMAN y WWAN.
Redes inalámbricas de área personal (WPAN) - Utiliza transmisores de baja potencia para
una red de corto alcance, generalmente de 20 a 30 pies (6 a 9 metros). Los dispositivos
basados en Bluetooth y ZigBee se usan comúnmente en WPANs. Los WPAN se basan en el
estándar 802.15 y una frecuencia de radio de 2.4 GHz.
Redes LAN Inalámbricas (WLAN) - Utiliza transmisores para cubrir una red de tamaño
mediano, generalmente de hasta 300 pies. Las redes WLANs son adecuadas para uso en
casas, oficinas, e inclusive campus. Las WLAN se basan en el estándar 802.11 y una
frecuencia de radio de 2,4 GHz o 5 GHz.
Redes MAN inalámbricos(WMAN) - Utiliza transmisores para proporcionar servicio
inalámbrico en un área geográfica más grande. Las redes WMANs son adecuadas para
proveer acceso inalámbrico a ciudades metropolitanas o distritos específicos. Las WMANs
utilizan frecuencias específicas con licencia.
Redes inalámbricas de área amplia (WWAN) - Utiliza transmisores para proporcionar

cobertura en un área geográfica extensa. Las redes WWANs son adecuadas para
comunicaciones nacionales y globales. Las WMANs utilizan frecuencias específicas con
licencia.
12.1.3
Tecnologías inalámbricas
Para enviar y recibir datos, la tecnología inalámbrica usa el espectro de radio sin licencia.
Cualquier persona que tenga un router inalámbrico y tecnología inalámbrica en el dispositivo
que utilice puede acceder al espectro sin licencia.
Bluetooth - es un estándar IEEE 802.15 WPAN que utiliza un proceso de emparejamiento de

dispositivos para comunicarse a distancias de hasta 300 pies (100m) Se puede encontrar en
dispositivos domésticos inteligentes, conexiones de audio, automóviles y otros dispositivos
que requieren una conexión de corta distancia. Hay dos tipos de radios Bluetooth;
 Bluetooth de baja energía (BLE) - admite topología de malla para dispositivos de red
a gran escala.
 Velocidad básica Bluetooth / Velocidad mejorada (BR / EDR): - admite topologías
punto a punto y está optimizada para la transmisión de audio.
12.1.4
Estándares de Wi-Fi 802.11

El mundo de las comunicaciones inalámbricas es vasto. Sin embargo, para habilidades
particulares relacionadas con el trabajo, queremos centrarnos en aspectos específicos de Wi
Fi. El mejor lugar para comenzar es con los estándares IEEE 802.11 WLAN. Los estándares
WLAN definen cómo se usan las frecuencias de radio para los enlaces inalámbricos. La
mayoría de los estándares especifican que los dispositivos inalámbricos tienen una antena
para transmitir y recibir señales inalámbricas en la frecuencia de radio especificada (2.4 GHz o
5 GHz). Algunos de los estándares más nuevos que transmiten y reciben a velocidades más
altas requieren que los puntos de acceso (AP) y los clientes inalámbricos tengan múltiples
antenas utilizando la tecnología de entrada múltiple y salida múltiple (MIMO). MIMO utiliza
múltiples antenas como transmisor y receptor para mejorar el rendimiento de la comunicación.
Se pueden soportar hasta cuatro antenas.
A través de los años, se han desarrollado varias implementaciones de los estándares IEEE
802.11, como se muestra en la figura. La tabla destaca estos estándares.
Estándar
IEEE Radiofrecuencia Descripción
WLAN
 velocidades de hasta 2 Mbps

802.11 2,4 GHz

 Área de cobertura pequeña
802.11a 5 GHz  menos efectivo penetrando estructuras de construcción
 No interoperable con 802.11b o 802.11g

 Mayor alcance que 802.11a
802.11b 2,4 GHz
 mejor penetración en las estructuras de los edificios.

 compatible con versiones anteriores de 802.11b con capacidad de ancho
802.11g 2,4 GHz
de banda reducida
 las velocidades de datos varían de 150 Mbps a 600 Mbps con un rango de
distancia de hasta 70 m (230 pies)
 Los AP y los clientes inalámbricos requieren múltiples antenas usando
802.11n 2.4 GHz 5 GHz MIMO Tecnología
 Es compatible con dispositivos 802.11a/b/g con datos limitados
velocidades
 proporciona velocidades de datos que van desde 450 Mbps a 1.3 Gbps
(1300 Mbps) usando tecnología MIMO
802.11ac 5 GHz  Se pueden soportar hasta ocho antenas
 Es compatible con dispositivos 802.11a/n con datos limitados
Estándar
IEEE Radiofrecuencia Descripción
WLAN
 lanzado en 2019 - último estándar

 también conocido como High-Efficiency Wireless (HEW)
 Mayores velocidades de transmisión de datos
 Mayor capacidad
802.11ax 2.4 GHz 5 GHz  maneja muchos dispositivos conectados
 eficacia energética mejorada
 Capacidad de 1 GHz y 7 GHz cuando esas frecuencias estén disponibles
 Busque en Internet Wi-Fi Generación 6 para obtener más información.
12.1.5
Radiofrecuencia
Todos los dispositivos inalámbricos funcionan en el rango del espectro electromagnético. Las
redes WLAN operan en la banda de frecuencia de 2,4 GHz y la banda de 5 GHz. Los
dispositivos de LAN inalámbricos tienen transmisores y receptores sintonizados a frecuencias
específicas de ondas de radio para comunicarse. Específicamente, las siguientes bandas de
frecuencia se asignan a LAN inalámbricas 802.11:
 2.4 GHz (UHF) - 802.11b/g/n/ax

 5 GHz (SHF) – 802.11a/n/ac/ax
Dispositivos inalámbricos y donde operan en el espectro electromagnético.
El espectro electromagnético
12.1.6
Organizaciones de estándares
inalámbricos
Los estándares aseguran la interoperabilidad entre dispositivos fabricados por diferentes
fabricantes. A nivel internacional, las tres organizaciones que influyen en los estándares
WLAN son ITU-R, el IEEE, y la Wi-Fi Alliance.
La Unión Internacional de Telecomunicaciones (UIT) regula la asignación del espectro de

radiofrecuencia y las órbitas de los satélites a través del UIT-R. UIT-R significa el Sector de
Radiocomunicaciones de la UIT.
El IEEE especifica cómo se modula una frecuencia de radio para transportar información.
Mantiene los estándares para redes de área local y metropolitana (MAN) con la familia de
estándares IEEE 802 LAN / MAN. Los estándares dominantes en la familia IEEE 802 son
802.3 Ethernet y 802.11 WLAN.
La Wi-Fi Alliance es una asociación comercial global, sin fines de lucro, dedicada a promover
el crecimiento y la aceptación de las WLAN. Es una asociación de proveedores cuyo objetivo
es mejorar la interoperabilidad de los productos que se basan en el estándar 802.1
Componentes de la WLAN
12.2.1
Video – Componentes WLAN
En el tema anterior usted aprendió sobre los beneficios de la tecnología inalámbrica, tipos de
redes inalámbricas, estándar 802.11 y frecuencias de radio. Aquí aprenderemos sobre los
componentes WLAN.
Haga clic en Reproducir para ver un video sobre componentes WLAN.
12.2.2
NIC inalámbrica
Las implementaciones inalámbricas requieren un mínimo de dos dispositivos que tengan un
transmisor de radio y un receptor de radio sintonizados a las mismas frecuencias de radio:
 Dispositivos finales con NIC inalámbricas

 Un dispositivo de red, como un router inalámbrico o un AP inalámbrico
Para comunicarse de forma inalámbrica, las computadoras portátiles, tabletas, teléfonos

inteligentes e incluso los últimos automóviles incluyen NIC inalámbricas integradas que
incorporan un transmisor / receptor de radio. Si un dispositivo no tiene una NIC inalámbrica
integrada, se puede utilizar un adaptador inalámbrico USB, como se muestra en la figura.
Nota: Muchos dispositivos inalámbricos con los que está familiarizado no tienen antenas
visibles. Están integrados dentro de teléfonos inteligentes, computadoras portátiles y routers
domésticos inalámbricos.
Adaptador Inalámbrico USB

12.2.3
Router de hogar inalámbrico

El tipo de dispositivo de infraestructura con el que se asocia y autentica un dispositivo final
varía según el tamaño y los requisitos de la WLAN.
Un usuario doméstico generalmente interconecta dispositivos inalámbricos utilizando un

pequeño router inalámbrico. El enrutador inalámbrico sirve como:
 Punto de acceso - Esto proporciona acceso inalámbrico 802.11a/b/g/n/ac

 Switch -Esto proporciona un switch Ethernet 10/100/1000 dúplex completo de cuatro
puertos para interconectar dispositivos cableados.
 Router - Esto proporciona una puerta de enlace predeterminada para conectarse a
otras infraestructuras de red, como Internet.
Un router inalámbrico se implementa comúnmente como una pequeña empresa o dispositivo

de acceso inalámbrico residencial. El router inalámbrico anuncia sus servicios inalámbricos
mediante el envío de beacons que contienen su identificador de conjunto de servicios
compartidos (SSID). Los dispositivos descubren de forma inalámbrica el SSID e intentan
asociarse y autenticarse con él para acceder a la red local y el Internet.
La mayoría de los routers inalámbricos también ofrecen funciones avanzadas, como acceso
de alta velocidad, soporte para transmisión de video, direccionamiento IPv6, calidad de
servicio (QoS), utilidades de configuración y puertos USB para conectar impresoras o
unidades portátiles.
Además, los usuarios domésticos que desean ampliar sus servicios de red pueden
implementar extensores de alcance Wi-Fi. Un dispositivo puede conectarse de forma
inalámbrica al extensor, lo que aumenta sus comunicaciones para que se repitan al router
inalámbrico.
12.2.4
##Puntos de acceso inalámbrico
Si bien los extensores de alcance son fáciles de configurar, la mejor solución sería instalar otro
punto de acceso inalámbrico para proporcionar acceso inalámbrico dedicado a los dispositivos
del usuario. Los clientes inalámbricos usan su NIC inalámbrica para descubrir puntos de
acceso cercanos compartiendo el SSID Los clientes luego intentan asociarse y autenticarse
con un AP. Después de ser autenticados los usuarios inalámbricos tienen acceso a los
recursos de la red. En la figura, se ve el software Cisco Meraki.
12.2.5
Categorías AP
Los AP se pueden clasificar como AP autónomos o AP basados en controladores.
AP autónomo
Estos son dispositivos independientes configurados mediante una interfaz de línea de

comandos o una GUI, como se muestra en la figura Los AP autónomos son útiles en
situaciones en las que solo se requieren un par de APs en la organización. Un router
doméstico es un ejemplo de AP autónomo porque toda la configuración de AP reside en el
dispositivo. Si aumentan las demandas inalámbricas, se requerirían más APs. Cada AP
funciona independientemente de otros AP y cada AP requiere de una configuración y
administración manual. Esto se volvería abrumador si se necesitaran muchos APs.
APs basados en controladores
Estos dispositivos no necesitan una configuración inicial y normalmente se les denomina

puntos de acceso lightweight (LAPs). Los puntos de acceso LAP usan el Protocolo Lightweight
Access Point Protocol (LWAPP) para comunicarse con el controlador WLAN (WLC), como se
muestra en la siguiente figura. Los puntos de acceso basados en controlador son útiles en
situaciones en las que se necesitan varios puntos de acceso en la red. Conforme se agregan
puntos de acceso, cada punto de acceso es configurado y administrado de manera automática
por el WLC.
Observe en la figura que el WLC tiene cuatro puertos conectados a la infraestructura de

switching. Estos cuatro puertos están configurados como un grupo de agregación de enlaces
(LAG) para agruparlos. Al igual que funciona EtherChannel, LAG proporciona redundancia y
equilibrio de carga. Todos los puertos del switch que están conectados al WLC deben estar
conectados y configurados con EtherChannel activado. Sin embargo, LAG no funciona
exactamente como EtherChannel. El WLC no es compatible con el Protocolo de agregación de
puertos (PaGP) o el Protocolo de control de agregación de enlaces (LACP).
12.2.6
Antenas inalámbricas
La mayoría de los AP de clase empresarial requieren antenas externas para que sean
unidades completamente funcionales.
Las antenas omnidireccionales como la que se muestra en la figura brindan una cobertura de
360 grados y son ideales en casas, áreas de oficinas abiertas, salas de conferencias y áreas
exteriores.
Antenas direccionales enfocan la señal de radio en una dirección específica. Esto mejora la
señal hacia y desde el AP en la dirección en que apunta la antena. Esto proporciona una
fuerza de señal más fuerte en una dirección y una fuerza de señal reducida en todas las
demás direcciones. Ejemplos de antenas direccionales Wi-Fi incluyen antenas Yagi y antenas
parabólicas.
Entrada múltiple Salida múltiple (MIMO) utiliza múltiples antenas para aumentar el ancho de
banda disponible para las redes inalámbricas IEEE 802.11n/ac/ax. Se pueden utilizar hasta
ocho antenas de transmisión y recepción para aumentar el rendimiento.
Funcionamiento de WLAN
12.3.1
Video – Operación de la WLAN

El tema anterior cubrió componentes WLAN. Este tema va a cubrir operación WLAN.
Haga clic en Reproducir para ver un video operación WLAN.
12.3.2
Modos de topología inalámbrica

Las LAN inalámbricas pueden acomodar varias topologías de red. El estándar 802.11
identifica dos modos principales de topología inalámbrica: modo Ad hoc y modo
Infraestructura. Tetherin también es un modo en ocasiones usado para proveer un acceso
inalámbrico rápido.
Modo ad hoc- Es cuando dos dispositivos se conectan de forma inalámbrica de igual a igual
(P2P) sin utilizar AP o routers inalámbricos. Los ejemplos incluyen clientes inalámbricos que
se conectan directamente entre sí mediante Bluetooth o Wi-Fi Direct. El estándar IEEE 802.11
se refiere a una red ad hoc como un conjunto de servicios básicos independientes (IBSS).
Modo Infraestructura- Esto ocurre cuando los clientes inalámbricos se interconectan a través
de un router inalámbrico o AP, como en las WLAN. Los AP se conectan a la infraestructura de
red utilizando el sistema de distribución por cable, como Ethernet.
Anclaje a red - La variación de la topología ad hoc es cuando un teléfono inteligente o tableta
con acceso a datos móviles está habilitado para crear un punto de acceso personal. En
ocasiones se refiere a esta característica como “anclaje a red (tethering.)”. Un punto de
acceso suele ser una solución rápida temporal que permite que un teléfono inteligente brinde
los servicios inalámbricos de un router Wi-Fi. Otros dispositivos pueden asociarse y
autenticarse con el teléfono inteligente para usar la conexión a Internet.
12.3.3
BSS y ESS
El modo de infraestructura define dos bloques de construcción de topología: un conjunto de
servicios básicos (BSS) y un conjunto de servicios extendidos (ESS).
Conjunto de Servicios Básicos (BSS)
Utiliza un AP único para interconectar todos los clientes inalámbricos asociados. Dos BSS se
muestran en la figura. Los círculos representan el área de cobertura del BSS, que se
denomina Área de Servicio Básico (BSA). Si un cliente inalámbrico se muda de su BSA, ya no
puede comunicarse directamente con otros clientes inalámbricos dentro de la BSA.
La dirección MAC de capa 2 del AP se utiliza para identificar de forma exclusiva cada BSS,
que se denomina Identificador de conjunto de servicios básicos (BSSID). Por lo tanto, el
BSSID es el nombre formal del BSS y siempre está asociado con un solo AP.
12.3.4
802.11 Estructura del Frame

Recuerde que todas las tramas de capa 2 consisten en un encabezado, carga útil y sección de
secuencia de verificación de trama (FCS). El formato de la trama 802.11 es similar al formato
de la trama de Ethernet, excepto que contiene más campos, como se muestra en la figura.
Todas las tramas 802.11 inalámbricas contienen los siguientes campos;
 Control de la trama - identifica el tipo de trama inalámbrica y contiene subcampos

para la versión del protocolo, el tipo de trama, el tipo de dirección, la administración de
energía y la configuración de seguridad.
 Duración - En general, se usa para indicar el tiempo restante necesario para recibir la
siguiente transmisión de tramas.
 Dirección 1 - normalmente, contiene la dirección MAC del dispositivo o AP receptor
inalámbrico.
 Dirección 2 - normalmente, contiene la dirección MAC del dispositivo o AP receptor
inalámbrico.
 Dirección 3 - en ocasiones, contiene la dirección MAC del destino, como la interfaz
del router (gateway predeterminado) a la que se conecta el AP.
 Control de Secuencia - Contiene información para controlar la secuencia y las tramas
fragmentadas
 Direccion 4 - suele estar vacío, ya que se usa solo en el modo ad hoc.
 carga útil - contiene los datos para la transmisión.
 FCS - Esto se utiliza para el control de errores de la capa 2.
12.3.5
CSMA/CA
Las WLAN son configuraciones de medios compartidos semidúplex. Half-duplex significa que
solo un cliente puede transmitir o recibir en dado momento. Medios compartidos significa que
todos los clientes pueden transmitir y recibir en el mismo canal de radio. S Esto crea un
problema porque un cliente inalámbrico no puede escuchar mientras está enviando, lo que
hace que sea imposible detectar una colisión.
Para resolver este problema las WLAN utilizan el acceso múltiple con detección de operador
con evitación de colisiones (CSMA / CA) para determinar cómo y cuándo enviar datos. Un
cliente inalámbrico hace lo siguiente:
1. Escucha el canal para ver si está inactivo, es decir, no hay otro tráfico actualmente en el
canal. El canal es también llamado el portador.
2. Envía un mensaje Ready to Send (RTS) al AP para solicitar acceso dedicado a la red.
3. Recibe un mensaje Clear to Send (CTS) del AP que otorga acceso para enviar.
4. Si el cliente inalámbrico no recibe el mensaje CTS este espera una cantidad de tiempo
aleatoria antes de reiniciar el proceso.
5. Después de recibir el CTS, trasmite la información.
6. Todas las transmisiones son reconocidas. Si un cliente no recibe el reconocimiento,
asume que ocurrió una colisión y reinicia el proceso.
12.3.6
Asociación de AP de cliente inalámbrico

Para que los dispositivos inalámbricos se comuniquen a través de una red, primero se deben
asociar a un AP o un router inalámbrico. Una parte importante del proceso 802.11 es descubrir
una WLAN y conectarse a esta. Los dispositivos inalámbricos completan el siguiente proceso
de tres etapas, como muestra en la figura:
 Descubre un AP inalámbrico
 Autenticar con el AP.
 Asociarse con el AP.
Para lograr una asociación exitosa, un cliente inalámbrico y un AP deben acordar parámetros
específicos: Para permitir la negociación de estos procesos, se deben configurar los
parámetros en el AP y posteriormente en el cliente.
SSID - El nombre del SSID aparece en la lista de redes inalámbricas disponibles en un

cliente. En organizaciones más grandes que usan múltiples VLAN para segmentar el
tráfico, cada SSID se asigna a una VLAN Según la configuración de la red, varios AP
en una red pueden compartir un SSID.
Contraseña - el cliente inalámbrico la necesita para autenticarse con el AP.
Modo de red - Esto se refiere a los estándares WLAN 802.11a/b/g/n/ac/ad. Los AP y

routers inalámbricos pueden funcionar en modo combinado, lo que significa que
pueden utilizar varios estándares al mismo tiempo.
Modo de seguridad - se refiere a la configuración de los parámetros de seguridad,

como WEP, WPA o WPA2. Habilite siempre el nivel más alto de seguridad que se
admita.
Configuración de canales - Se refiere a las bandas de frecuencia que se usan para

transmitir datos inalámbricos. Los routers inalámbricos y los AP pueden escanear los
canales de radiofrecuencia y seleccionar automáticamente una configuración de canal
adecuada. Los routers y los AP inalámbricos pueden elegir la configuración de
canales, o esta se puede definir manualmente si existe interferencia con otro AP o
dispositivo inalámbrico.
12.3.7
Modo de entrega pasiva y activa

Los dispositivos inalámbricos deben detectar un AP o un router inalámbrico y se deben
conectar a este. Los clientes inalámbricos se conectan al AP mediante un proceso de análisis
(sondeo). Este proceso puede ser pasivo o activo.
En modo pasivo el AP anuncia abiertamente su servicio enviando periódicamente tramas de

señal de difusión que contienen el SSID, los estándares admitidos y la configuración de
seguridad. El propósito principal de la señal es permitir que los clientes inalámbricos
descubran qué redes y qué AP existen en un área determinada, de modo que puedan elegir
qué red y qué AP usar. Esto permite a los clientes inalámbricos elegir qué red y AP utilizar
En modo activo: los clientes inalámbricos deben conocer el nombre del SSID. El cliente
inalámbrico inicia el proceso al transmitir por difusión una trama de solicitud de sondeo en
varios canales. La solicitud de sondeo incluye el nombre del SSID y los estándares admitidos.
Los AP configurados con el SSID enviarán una respuesta de prueba que incluye el SSID, los
estándares admitidos y la configuración de seguridad. Si un AP o un router inalámbrico se
configuran para que no transmitan por difusión las tramas de señal, es posible que se requiera
el modo activo.
Para descubrir las redes WLAN cercanas, un cliente inalámbrico también podría enviar una
solicitud de sondeo sin un nombre de SSID. Los AP configurados para transmitir por difusión
tramas de señal responderían al cliente inalámbrico con una respuesta de sondeo y
proporcionarían el nombre del SSID. Los AP con la característica de transmisión del SSID por
difusión deshabilitada no responden.
Funcionamiento de CAPWAP
12.4.1
Video - CAPWAP
En el tema anterior aprendiste sobre la operación de WLAN. Ahora aprenderá sobre Control y
aprovisionamiento de puntos de acceso inalámbricos (CAPWAP)
Haga clic en Reproducir para ver un video sobre el protocolo de Control y aprovisionamiento
de puntos de acceso inalámbrico (CAPWAP).
12.4.2
Introducción a la CAPWAP
CAPWAP es un protocolo estándar IEEE que permite que un WLC administre múltiples AP y
WLANs. CAPWAP también es responsable de la encapsulación y el reenvío del tráfico del
cliente WLAN entre un AP y un WLC.
Basado en LWAPP pero agrega seguridad adicional con Datagram Transport Layer Security
(DLTS). CAPWAP establece túneles en los puertos del Protocolo de datagramas de usuario
(UDP). CAPWAP puede operar sobre IPv4 o IPv6, pero usa IPv4 de manera predeterminada.
IPv4 e IPv6 pueden usar los puertos UDP 5246 y 5247. Sin embargo, los túneles CAPWAP
usan diferentes protocolos IP en el encabezado de la trama. IPv4 usa el protocolo IP 17 e IPv6
usa el protocolo IP 136.
12.4.3
Arquitectura MAC dividida

Un componente clave de CAPWAP es el concepto de un control de acceso a medios divididos
(MAC). El concepto CAPWAP split MAC realiza todas las funciones que normalmente realizan
los AP individuales y las distribuye entre dos componentes funcionales:
 AP Funciones MAC
 Funciones WLC MAC
La tabla muestra algunas de las funciones MAC realizadas por cada uno.
AP Funciones MAC Funciones WLC MAC
Beacons y respuestas de sonda Autenticación
Reconocimientos de paquetes y retransmisiones Asociación y re-asociación de clientes itinerantes.

AP Funciones MAC Funciones WLC MAC
Cola de Frame y priorización de paquetes Traducción de Frames a otros protocolos
Cifrado y descifrado de datos de capa MAC Terminación del tráfico 802.11 en una interfaz cableada
12.4.4
Encriptación de DTLS
DTLS es un protocolo que proporciona seguridad entre el AP y el WLC. Les permite
comunicarse mediante encriptación y evita escuchas o alteraciones.
DTLS está habilitado de manera predeterminada para asegurar el canal de control CAPWAP
pero está deshabilitado de manera predeterminada para el canal de datos, como se muestra
en la figura. Todo el tráfico de control y gestión CAPWAP intercambiado entre un AP y WLC
está encriptado y protegido de forma predeterminada para proporcionar privacidad en el plano
de control y evitar ataques de Man-In-the-Middle (MITM).
El cifrado de datos CAPWAP es opcional y se habilita para cada AP. El cifrado de datos está
deshabilitado de manera predeterminada y requiere que se instale una licencia DTLS en el
WLC antes de que se pueda habilitar en el AP. Cuando está habilitado, todo el tráfico del
cliente WLAN se encripta en el AP antes de reenviarse al WLC y viceversa.
12.4.5
AP FlexConnect
FlexConnect es una solución inalámbrica para las implementaciones en sucursales y oficinas
remotas. Le permite configurar y controlar puntos de acceso en una sucursal desde la oficina
corporativa a través de un enlace WAN, sin implementar un controlador en cada oficina.
Hay dos modos de opción para FlexConnect AP:
 Modo conectado - El WLC es accesible. En este modo, el AP FlexConnect tiene

conectividad CAPWAP con su WLC y puede enviar tráfico a través del túnel CAPWAP,
como se muestra en la figura. El WLC realiza todas las funciones CAPWAP.
 Modo independiente - El WLC es inalcanzable. El AP FlexConnect ha perdido la
conectividad CAPWAP con el WLC. El AP FlexConnect puede asumir algunas de las
funciones de WLC, como cambiar el tráfico de datos del cliente localmente y realizar la
autenticación del cliente localmente.
Administración de canales
12.5.1
Canal de frecuencia de saturación

Los dispositivos de LAN inalámbricos tienen transmisores y receptores sintonizados a
frecuencias específicas de ondas de radio para comunicarse. Una práctica común es que las
frecuencias se asignen como rangos. Los rangos se dividen en rangos más pequeños
llamados canales.
Si la demanda de un canal específico es demasiado alta, es probable que ese canal se sature
en exceso. La saturación del medio inalámbrico degrada la calidad de la comunicación. Con
los años, se han creado una serie de técnicas para mejorar la comunicación inalámbrica y
aliviar la saturación. Estas técnicas mitigan la saturación de canales usándolos de manera
más eficiente.
Espectro de extensión de la secuencia directa (DSSS) - Una técnica de modulación

diseñada para extender una señal sobre una banda de frecuencia más grande. Las técnicas
de amplio espectro se desarrollaron durante el tiempo de guerra para que sea más difícil para
los enemigos interceptar o bloquear una señal de comunicación. Lo hace al extender la señal
sobre una frecuencia más amplia que efectivamente oculta el pico discernible de la señal,
como se muestra en la figura. Un receptor configurado correctamente puede revertir la
modulación DSSS y reconstruir la señal original. DSSS es Usado por dispositivos 802.11b
para evitar interferencias de otros dispositivos que usan la misma frecuencia de 2.4 GHz.
Espectro ensanchado por salto de frecuencia (FHSS)- Esto se basa en métodos de amplio
espectro para comunicarse. Transmite señales de radio cambiando rápidamente una señal
portadora entre muchos canales de frecuencia. El emisor y el receptor deben estar
sincronizados para "saber" a qué canal saltar. Este proceso de salto de canal permite un uso
más eficiente de los canales, disminuyendo la congestión del canal. FHSS fue Usado por el
estándar 802.11 original. Los walkie-talkies y los teléfonos inalámbricos de 900 MHz también
usan FHSS, y Bluetooth usa una variación de FHSS.
Multiplexación por división de frecuencias ortogonales (OFDM) - A subconjunto de

multiplexación por división de frecuencia en el que un solo canal utiliza múltiples subcanales
en frecuencias adyacentes. Los subcanales en un sistema OFDM son precisamente
ortogonales entre sí, lo que permite que los subcanales se superpongan sin interferir. OFDM
es utilizado por varios sistemas de comunicación, incluidos 802.11a/g/n/ac. El nuevo 802.11ax
utiliza una variación de OFDM llamada acceso múltiple por división de frecuencia ortogonal
(OFDMA).
12.5.2
Selección de canales
Una práctica recomendada para las WLAN que requieren múltiples AP es utilizar canales no
superpuestos. Por ejemplo, los estándares 802.11b/g/n operan en el espectro de 2.4 GHz a
2.5GHz. La banda 2.4 GHz está subdividida en múltiples canales. Cada canal tiene un ancho
de banda de 22 MHz y está separado del siguiente canal por 5 MHz. El estándar 802.11b
identifica 11 canales para América del Norte, como se muestra en la figura (13 en Europa y 14
en Japón).
Nota: Busque en Internet canales de 5 GHz para obtener más información sobre los otros 16
canales disponibles y para conocer más sobre las variaciones de los diferentes países.
La figura muestra 11 canales que tienen 22MHz de ancho y 5MHz entre cada uno. El espectro
está entre 2.2GHz y 2.5GHz.
Canales superpuestos de 2.4GHz en América

del Norte
La interferencia ocurre cuando una señal se superpone a un canal reservado para otra señal,
causando una posible distorsión. La mejor práctica para las WLAN de 2.4GHz que requieren
múltiples AP es usar canales no superpuestos, aunque la mayoría de los AP modernos lo
harán automáticamente. Si hay tres AP adyacentes, use los canales 1, 6 y 11, como se
La figura muestra tres AP que utilizan los canales 1, 6, y 11
Canales no superpuestos de 2.4GHz para

802.11b/g/n
Para los estándares de 5 GHz 802.11a/n/ac, hay 24 canales. La banda de 5Ghz está dividida
en tres secciones. Cada canal está separado del siguiente canal por 20 MHz La figura muestra
la primera sección de ocho canales para la banda de 5 GHz. Aunque hay una ligera
superposición, los canales no interfieren entre sí. La conexión inalámbrica de 5 GHz puede
proporcionar una transmisión de datos más rápida para clientes inalámbricos en redes
inalámbricas muy pobladas debido a la gran cantidad de canales inalámbricos no
superpuestos.
Nota: Busque en Internet canales de 5 GHz para obtener más información sobre los otros 16
canales disponibles y para conocer más sobre las variaciones de los diferentes países.
La figura muestra 8 canales que tienen 20 MHz entre cada uno. El espectro está entre 5150
MHz y 5350 MHz.
Primeros ocho canales no interferentes de 5
GHz
Al igual que con las WLAN de 2.4GHz, elija canales que no interfieran al configurar múltiples
AP de 5GHz adyacentes entre sí, como se muestra en la figura.
La figura muestra tres AP que utilizan los canales 36, 48 y 60.
12.5.3
La figura muestra un mapa de un lugar con diferentes áreas, entradas y salidas. Hay círculos
en diferentes áreas para limitar el área de cobertura.
Canales no interferentes de 5 GHz para
802.11a/n/ac
12.5.3
Planifique la implementación de WLAN

La cantidad de usuarios admitidos por una WLAN depende del diseño geográfico de la
instalación, incluida la cantidad de cuerpos y dispositivos que pueden caber en un espacio, las
velocidades de datos que esperan los usuarios, el uso de canales no superpuestos por
múltiples AP en un ESS, y transmitir configuraciones de energía.
Al planificar la ubicación de los AP, el área de cobertura circular aproximada es importante

(como se muestra en la figura), pero hay algunas recomendaciones adicionales:
 Si los AP van a utilizar el cableado existente o si hay ubicaciones donde no se pueden

colocar AP, tenga en cuenta estas ubicaciones en el mapa.
 Tenga en cuenta todas las fuentes potenciales de interferencia que pueden incluir
hornos de microondas, cámaras de video inalámbricas, luces fluorescentes, detectores
de movimiento o cualquier otro dispositivo que use el rango de 2.4 GHz.
 Coloque los AP por encima de las obstrucciones.
 Coloque APs verticalmente cerca del techo en el centro de cada área de cobertura, si es
posible.
 Coloque los AP en ubicaciones donde se espera que estén los usuarios. Por ejemplo,
una sala de conferencias es una mejor locación para un AP que un pasilllo.
 Si se configuró una red IEEE 802.11 para el modo mixto, los clientes inalámbricos
pueden experimentar velocidades más lentas de lo normal para admitir los estándares
inalámbricos más antiguos.
Al estimar el área de cobertura esperada de un AP, tenga en cuenta que este valor varía
según el estándar WLAN o la combinación de estándares implementados, la naturaleza de la
instalación y la potencia de transmisión para la que está configurado el AP. Siempre consulte
las especificaciones del AP cuando planifique áreas de cobertura.
Amenazas a la WLAN
12.6.1
Video– Amenazas en la WLAN

El tema anterior cubrió componentes y configuración WLAN Aquí usted aprenderá sobre
amenazas WLAN.
Haga clic en Reproducir para ver un video sobre amenazas WLAN.
12.6.2
Resumen de seguridad inalámbrica

Una WLAN está abierta a cualquier persona dentro del alcance de un AP y las credenciales
apropiadas para asociarla. Con una NIC inalámbrica y conocimiento de técnicas de craqueo,
un atacante puede no tener que ingresar físicamente al lugar de trabajo para obtener acceso a
una WLAN.
Los ataques pueden ser generados por personas externas, empleados descontentos e incluso
involuntariamente por los empleados. Las redes inalámbricas son específicamente
susceptibles a varias amenazas, incluidas las siguientes:
 Intercepción de datos - Los datos inalámbricos deben estar encriptados para evitar
que los espías los lean.
 Intrusos inalámbricos - Los usuarios no autorizados que intentan acceder a los
recursos de la red pueden ser disuadidos mediante técnicas de autenticación efectivas.
 Ataques de denegación de servicio (DoS) - El acceso a los servicios WLAN puede
verse comprometido de forma accidental o maliciosa. Existen varias soluciones
dependiendo de la fuente del ataque DoS.
 APs Falsos - Los AP no autorizados instalados por un usuario bien intencionado o con
fines maliciosos se pueden detectar utilizando un software de administración.
12.6.3
Ataques de DoS
Los ataques DoS inalámbricos pueden ser el resultado de:
 Dispositivos configurados inapropiadamente - Los errores de configuración pueden

deshabilitar la WLAN. Por ejemplo, un administrador podría alterar accidentalmente una
configuración y deshabilitar la red, o un intruso con privilegios de administrador podría
deshabilitar intencionalmente una WLAN.
 Un usuario malintencionado que interfiere intencionalmente con la comunicación
inalámbrica. - Su objetivo es deshabilitar la red inalámbrica por completo o hasta el
punto en que ningún dispositivo legítimo pueda acceder al medio.
 Interferencia Accidental - La redes WLANs son propensas a interferencia de otros
dispositivos inalámbricos como hornos microondas, teléfonos inalámbricos, monitores
de bebé y más como se muestra en la figura. La banda 2.4 GHz es más propensa a
interferencia que la banda 5 GHz.
Para minimizar el riesgo de un ataque DoS debido a dispositivos mal configurados y ataques
maliciosos, fortalezca todos los dispositivos, mantenga las contraseñas seguras, cree copias
de seguridad y asegúrese de que todos los cambios de configuración se incorporen fuera de
horario.
Monitoree la WLAN en busca de problemas de interferencia accidental y atiéndalos cuando

aparezcan. Debido a que la banda 2.4 GHz es usada por otro tipo de dispositivos, la banda 5
GHz debe ser usada en áreas propensas a interferencias.
12.6.4
Puntos de acceso no autorizados

Un AP falso es un AP o un router inalámbrico que se ha conectado a una red corporativa sin
autorización explícita y en contra de la política corporativa. Cualquier persona con acceso a
las instalaciones puede instalar (de forma maliciosa o no maliciosa) un enrutador inalámbrico
de bajo costo que potencialmente puede permitir el acceso a un recurso de red seguro.
Una vez conectado, el AP falso puede ser usado por el atacante para capturar direcciones
MAC, capturar paquetes de datos, obtener acceso a recursos de red o lanzar un ataque
intermediario.
Un punto de acceso a la red personal también podría usarse como un AP no autorizado, por
ejemplo, un usuario con acceso seguro a la red permite que su host Windows autorizado se
convierta en un AP Wi-Fi. Al hacerlo, elude las medidas de seguridad y otros dispositivos no
autorizados ahora pueden acceder a los recursos de la red como un dispositivo compartido.
Para evitar la instalación de puntos de acceso no autorizados, las organizaciones deben
configurar WLC con políticas de puntos de acceso no autorizados y utilizar software de
monitoreo para monitorear activamente el espectro de radio en busca de puntos de acceso no
autorizados.
12.6.5
Ataque man-in-the-middle
En un ataque intermediario (MITM por su sigla en inglés), el pirata informático se coloca
entre dos entidades legítimas para leer o modificar los datos que pasan entre las dos partes.
Hay muchas maneras de crear un ataque MITM.
Un ataque de "AP gemelo malvado" es un ataque MITM inalámbrico popular en el que un

atacante introduce un AP falso y lo configura con el mismo SSID que un AP legítimo Las
ubicaciones que ofrecen Wi-Fi gratis, como aeropuertos, cafeterías y restaurantes, son
lugares particularmente populares para este tipo de ataque debido a la autenticación abierta.
un actor de amenazas en Bobs Latte ha usado su computadora portátil para configurar un

gemelo malvado usando un SSID de Bob latte, autenticación abierta y canal 6
Clientes inalámbrico que se tratan de conectar a una red WLAN podrían ver dos APs con el
mismo SSID ofreciendo acceso inalámbrico. Los que están cerca del AP falso encuentran la
señal más fuerte y probablemente se asocian con ella. El tráfico de usuarios ahora se envía al
AP falso, que a su vez captura los datos y los reenvía al AP legítimo, como se muestra en la
figura. El tráfico de retorno del AP legítimo se envía al AP falso, se captura y luego se reenvía
al usuario desprevenido. El atacante puede robar la contraseña del usuario, su información
personal, obtener acceso a su dispositivo y comprometer el sistema
La derrota de un ataque como un ataque MITM depende de la sofisticación de la

infraestructura WLAN y la vigilancia en el monitoreo de la actividad en la red. El proceso
comienza con la identificación de dispositivos legítimos en la WLAN. Para hacer esto los
usuarios deben estar autenticados. Una vez que todos los dispositivos legítimos son
conocidos, la red puede ser monitoreada de dispositivos o tráfico anormal.
WLAN seguras
12.7.1
Video – WLAN seguras

El tema anterior explicó amenazas WLAN. Que puede hacer usted para asegurar una red
WLAN?
haga clic para reproducir el video sobre técnicas de seguridad para WLANs.
12.7.2
Encubrimiento SSID y filtrado de

direcciones MAC
Las señales inalámbricas pueden viajar a través de materiales sólidos como techos, pisos,
paredes, fuera de casa o del espacio de la oficina. Sin medidas de seguridad estrictas, la
instalación de una WLAN puede ser equivalente a colocar puertos Ethernet en todas partes,
incluso en el exterior.
Para abordar las amenazas de mantener alejados a los intrusos inalámbricos y proteger los
datos, se utilizaron dos características de seguridad tempranas que aún están disponibles en
la mayoría de los enrutadores y puntos de acceso:SSID cloaking y MAC address filtering.
Encubrimiento SSID
Los AP y algunos enrutadores inalámbricos permiten deshabilitar la trama de baliza SSID,

como se muestra en la figura Los clientes inalámbricos deben configurarse manualmente con
el SSID para conectarse a la red.
Filtrado de direcciones MAC
Un administrador puede permitir o denegar manualmente el acceso inalámbrico de los clientes

en función de su dirección física de hardware MAC. En la figura, el router está configurado
para permitir dos direcciones MAC. Los dispositivos con diferentes direcciones MAC no
podrán unirse a la WLAN de 2.4GHz.
12.7.3
802.11 Métodos de autenticación

originales
Aunque estas dos características disuadirían a la mayoría de los usuarios, la realidad es que
ni el ocultamiento de SSID ni el filtrado de direcciones MAC disuadirían a un intruso astuto.
Los SSID se descubren fácilmente incluso si los AP no los transmiten y las direcciones MAC
pueden ser falsificadas. La mejor manera de proteger una red inalámbrica es utilizar sistemas
de autenticación y cifrado.
Se introdujeron dos tipos de autenticación con el estándar 802.11 original
 Sistema de autenticación abierto - Cualquier cliente inalámbrico debería poder

conectarse fácilmente y solo debería usarse en situaciones en las que la seguridad no
sea una preocupación, como las que proporcionan acceso gratuito a Internet, como
cafeterías, hoteles y áreas remotas. El cliente inalámbrico es responsable de
proporcionar seguridad, como el uso de una red privada virtual (VPN) para conectarse
de forma segura. Los VPNs proveen servicios de autenticación y cifrado. VPNs están
más allá del alcance de este tema.
 Autenticación de llave compartida - Proporciona mecanismos, como WEP, WPA,
WPA2 y WPA3 para autenticar y cifrar datos entre un cliente inalámbrico y AP. Sin
embargo, la contraseña debe ser pre-compartida entre las dos partes para conectar.
El siguiente cuadro resumen estos métodos de autenticación.
12.7.4
Métodos de autenticación de clave

compartida
Actualmente hay cuatro técnicas de autenticación de clave compartida disponibles, como se
muestra en la tabla. Hasta que la disponibilidad de dispositivos WPA3 se vuelva omnipresente,
las redes inalámbricas deben usar el estándar WPA2.
Método de
Descripción
autenticación
La especificación original 802.11 designada para proteger los datos usando el Rivest
Privacidad equivalente Cipher 4 (RC4) Método de cifrado con una llave estática. Sin embargo, La llave nunca
al cableado (WEP) cambia cuando se intercambian paquetes. Esto lo hace fácil de hackear. WEP ya no
se recomienda y nunca debe usarse.
Un estándar de alianza Wi-Fi que usa WEP, pero asegura los datos con un cifrado
Acceso Wi-Fi protegido más sólido que el Protocolo de integridad de clave temporal (TKIP). generación de
(WPA) hash. El TKIP cambia la clave para cada paquete, lo que hace que sea mucho más
difícil de hackear
WPA2 es un estándar de la industria para proteger las redes inalámbricas. Suele

WPA2 Utilizar el Estándar de cifrado avanzado (AES) para el cifrado. AES es actualmente se
considera el protocolo de cifrado más sólido.
La próxima generación de seguridad Wi-Fi. Todos los dispositivos habilitados para

WPA3 usan los últimos métodos de seguridad, no permiten protocolos heredados
WPA3
obsoletos y requieren el uso de Tramas de administración protegidas (PMF). Sin
embargo, los dispositivos con WPA3 no están disponibles fácilmente.
12.7.5
Autenticando a un usuario doméstico

Los routers domésticos suelen tener dos opciones de autenticación: WPA y WPA2 WPA2 es el
mas fuerte de los dos La figura muestra la opción para seleccionar uno de los dos métodos de
autenticación WPA2:
 Personales - (PSK). Destinados a redes domésticas o de pequeñas oficinas, los

usuarios se autentican utilizando una clave pre-compartida(PSK). Los clientes
inalámbricos se autentican con el enrutador inalámbrico utilizando una contraseña
previamente compartida. no requiere un servidor de autenticación especial.
 empresa - destinado para redes empresariales pero requiere un servidor de
autenticación de Servicio de usuario de acceso telefónico de autenticación remota
(RADIUS). Aunque requiere una configuración más complicada, proporciona seguridad
adicional. El servidor RADIUS debe autenticar el dispositivo y luego los usuarios deben
autenticarse utilizando el estándar 802.1X, que utiliza el Protocolo de autenticación
extensible (EAP) para la autenticación.
En la figura el administrador está configurando el router inalámbrico con autenticación

personal WPA2 en la banda 2.4 GHz.
12.7.6
Métodos de encriptación
El cifrado suele utilizarse para proteger datos. Si un intruso ha capturado datos cifrados, no
podrá descifrarlos en un período de tiempo razonable.
Los estándares WPA y WPA2 usan los siguientes métodos de cifrado:
 Protocolo de integridad de clave temporal (TKIP) - TKIP es el método de encriptación

utilizado por WPA. Proporciona soporte para equipos WLAN heredados al abordar las
fallas originales asociadas con el método de encriptación WEP 802.11. Utiliza WEP,
pero encripta la carga útil de la Capa 2 usando TKIP y realiza una Verificación de
integridad de mensajes (MIC) en el paquete encriptado para garantizar que el mensaje
no haya sido alterado.
 Estándar de cifrado avanzado (AES) - AES es el método de encriptación utilizado por
WPA2. este es el método preferido de cifrado porque es un método mucho más fuerte.
Utiliza el modo de contador de cifrado con el protocolo de código de autenticación de
mensajes de bloqueo de cadena (CCMP) que permite a los hosts de destino reconocer
si se han alterado los bits encriptados y no encriptados.
En la figura el administrador está configurando el router inalámbrico para usar WPA2 con
cifrado AES en la banda 2.4 GHz.
12.7.7
Autenticación en la empresa
En redes que tienen requerimientos de seguridad estrictos, una autenticación adicional o inicio
de sesión es requerida para garantizar al cliente acceso inalámbrico. La elección del modo de
seguridad empresarial requiere un servidor RADIUS de autenticación, autorización y
contabilidad (AAA).
 Dirección IP del servidor RADIUS - Esta es la dirección accesible del servidor

RADIUS.
 Números de puerto UDP - Los puertos UDP 1812 para la autenticación RADIUS y
1813 para la contabilidad RADIUS, pero también pueden funcionar utilizando los puertos
UDP 1645 y 1646.
 Llave compartida - se utiliza para autenticar el AP con el servidor RADIUS.
En la figura el administrador está configurando el router inalámbrico para usar autenticación

WPA2 Enterprise con encriptación AES. La dirección IPv4 del servidor RADIUS también se
configura con una contraseña segura que se utilizará entre el router inalámbrico y el servidor
RADIUS.
La llave compartida no es un parámetro que debe ser configurado en un cliente inalámbrico.
Solo se requiere en el AP para autenticarse con el servidor RADIUS. Nota: La autenticación y
autorización del usuario se maneja mediante el estándar 802.1X, que proporciona una
autenticación centralizada basada en el servidor de los usuarios finales.
El proceso de inicio de sesión 802.1X utiliza EAP para comunicarse con el servidor AP y
RADIUS. EAP es un marco para autenticar el acceso a la red. Puede proporcionar un
mecanismo de autenticación seguro y negociar una clave privada segura que luego puede
usarse para una sesión de encriptación inalámbrica usando encriptación TKIP o AES.
12.7.8
WPA3
En el momento de este escrito los dispositivos que soportan autenticación WPA3 autenticación
no están fácilmente disponibles. Sin embargo, WPA2 ya no se considera segura WPA3, si
está disponible, es el método de autenticación 802.11 recomendado. WPA3 incluye cuatro
características;
 WPA3-personal
 WPA3-empresa
 Redes abiertas
 Internet de las cosas (IoT)
WPA3-personal
En WPA2-Personal, los actores de amenazas pueden escuchar el "handshake" entre un

cliente inalámbrico y el AP y utilizar un ataque de fuerza bruta para intentar adivinar el PSK.
WPA3-Personal frustra este ataque utilizando la Autenticación Simultánea (SAE), una
característica especificada en el IEEE 802.11-2016. El PSK nunca es expuesto, haciéndolo
imposible de adivinar para el atacante.
WPA3-empresa
WPA3 - Empresa: Utiliza la autenticación 802.1X / EAP. Sin embargo, requiere el uso de una
suite criptográfica de 192 bits y elimina la combinación de protocolos de seguridad para los
estándares 802.11 anteriores. WPA3-Enterprise se adhiere a la Suite de Algoritmo de
Seguridad Nacional Comercial (CNSA) que se usa comúnmente en redes Wi-Fi de alta
seguridad.
Redes abiertas
Las redes abiertas en WPA2 envían tráfico de usuarios en texto claro no autenticado. En
WPA3, las redes Wi-Fi abiertas o públicas aún no utilizan ninguna autenticación. Sin embargo,
utiliza el cifrado inalámbrico oportunista (OWE) para cifrar todo el tráfico inalámbrico.
IOT Integración
Aunque WPA2 incluyó la Configuración protegida de Wi-Fi (WPS) para incorporar rápidamente
dispositivos sin configurarlos primero, WPS es vulnerable a una variedad de ataques y no se
recomienda. Además, los dispositivos IoT generalmente no tienen cabeza, lo que significa que
no tienen una interfaz gráfica de usuario incorporada para la configuración, y necesitan una
forma fácil de conectarse a la red inalámbrica. El Protocolo de aprovisionamiento de
dispositivos (DPP) se diseñó para abordar esta necesidad. Cada dispositivo sin cabeza tiene
una clave pública codificada. La clave suele estar estampada en el exterior del dispositivo o en
su embalaje como un código de Respuesta rápida (QR). El administrador de red puede
escanear el código QR y rápidamente a bordo del dispositivo. Aunque no es estrictamente
parte del estándar WPA3, DPP reemplazará a WPS con el tiempo.

cuestionario
12.8.1

Una LAN inalámbrica (WLAN) es un tipo de red inalámbrica que se usa comúnmente en
hogares, oficinas y entornos de campus. Las LAN inalámbricas (WLAN) se basan en los
estándares IEEE y se pueden clasificar en cuatro tipos principales: WPAN, WLAN, WMAN y
WWAN. Para enviar y recibir datos, la tecnología inalámbrica usa el espectro de radio sin
licencia. Ejemplos de esta tecnología son Bluetooth, WiMAX, banda ancha celular y banda
ancha satelital. Los estándares 802.11 WLAN definen cómo se usan las frecuencias de radio
para los enlaces inalámbricos. Las redes WLAN operan en la banda de frecuencia de 2,4 GHz
y la banda de 5 GHz. Los estándares aseguran la interoperabilidad entre dispositivos
fabricados por diferentes fabricantes. A nivel internacional, las tres organizaciones que
influyen en los estándares WLAN son ITU-R, el IEEE, y la Wi-Fi Alliance.
Para comunicarse de forma inalámbrica, la mayoria de los dispositivos incluyen NIC

inalámbricas integradas que incorporan un transmisor / receptor de radio. El router inalámbrico
sirve como un punto de acceso, un switch, y un router. Los clientes inalámbricos usan su NIC
inalámbrica para descubrir puntos de acceso cercanos compartiendo el SSID Los clientes
luego intentan asociarse y autenticarse con un AP. Después de ser autenticados los usuarios
inalámbricos tienen acceso a los recursos de la red. Los AP se pueden clasificar como AP
autónomos o AP basados en controladores. Hay tres tipos de antenas para AP de clase
empresarial: omnidireccionales, direccionales y MIMO.
El estándar 802.11 identifica dos modos principales de topología inalámbrica: modo Ad hoc y
modo Infraestructura. El anclaje a red es usado para proveer un acceso inalámbrico rápido. El
modo de infraestructura define dos bloques de construcción de topología: un conjunto de
servicios básicos (BSS) y un conjunto de servicios extendidos (ESS). Todas las tramas 802.11
contienen los siguientes campos: control de frame, duración, dirección 1, dirección 2, dirección
3, control de secuencia y dirección 4. WLANs usan CSMA/CA como el método para
determinar cómo y cuando enviar datos en la red. Una parte importante del proceso 802.11 es
descubrir una WLAN y conectarse a esta. Los dispositivos inalámbricos descubren un AP
inalámbrico, se autentican con él y luego se asocian con él. Los clientes inalámbricos se
conectan al AP mediante un proceso de exploración (sondeo) pasivo o activo.
CAPWAP es un protocolo estándar IEEE que permite que un WLC administre múltiples AP y
WLAN. El concepto CAPWAP dividir MAC realiza todas las funciones que normalmente
realizan los AP individuales y las distribuye entre dos componentes funcionales: DTLS es un
protocolo que proporciona seguridad entre el AP y el WLC. FlexConnect es una solución
inalámbrica para las implementaciones en sucursales y oficinas remotas. Usted puede
configurar y controlar puntos de acceso en una sucursal desde la oficina corporativa a través
de un enlace WAN, sin implementar un controlador en cada oficina. Hay dos modos de opción
para FlexConnect AP: Conectado e independiente.
Los dispositivos de LAN inalámbricos tienen transmisores y receptores sintonizados a

frecuencias específicas de ondas de radio para comunicarse. Las frecuencias se asignan
como rangos. Los rangos se dividen en rangos más pequeños llamados canales: DSSS,
FHSS y OFDM. Los estándares 802.11b/g/n operan en el espectro de 2.4 GHz a 2.5GHz. La
banda 2.4 GHz está subdividida en múltiples canales. Cada canal tiene un ancho de banda de
22 MHz y está separado del siguiente canal por 5 MHz. Al planificar la ubicación de los puntos
de acceso, el área de cobertura circular aproximada es importante.
Las redes inalámbricas son susceptibles a amenazas, que incluyen: interceptación de datos,
intrusos inalámbricos, ataques DoS y puntos de acceso no autorizados. Los ataques DoS
inalámbricos pueden ser el resultado de: dispositivos mal configurados, un usuario
malintencionado que interfiere intencionalmente con la comunicación inalámbrica e
interferencia accidental. Un AP falso es un AP o un router inalámbrico que se ha conectado a
una red corporativa sin autorización explícita y en contra de la política corporativa. Una vez
conectado, el atacante puede ser utilizado por un atacante para capturar direcciones MAC,
capturar paquetes de datos, obtener acceso a recursos de red o lanzar un ataque de hombre
en el medio. Ataque man-in-the-middle: el agente de amenaza se coloca entre dos entidades
legítimas para leer, modificar o redirigir los datos que se transmiten entre las dos partes. Un
ataque de "AP gemelo malvado" es un ataque MITM inalámbrico popular en el que un
atacante introduce un AP falso y lo configura con el mismo SSID que un AP legítimo Para
evitar la instalación de puntos de acceso no autorizados, las organizaciones deben configurar
WLC con políticas de puntos de acceso no autorizados.
Para mantener alejados a los intrusos inalámbricos y proteger los datos, dos características de
seguridad tempranas todavía están disponibles en la mayoría de los enrutadores y puntos de
acceso: ocultamiento de SSID y filtrado de direcciones MAC. Hay cuatro técnicas de
autenticación de clave compartida disponibles: WEP, WPA, WPA2 y WPA3 (los dispositivos
con WPA3 aún no están disponibles fácilmente). Los routers domésticos suelen tener dos
opciones de autenticación: WPA y WPA2 WPA2 es el más fuerte de los dos El cifrado suele
utilizarse para proteger datos. Los estándares WPA y WPA2 usan los siguientes métodos de
cifrado: TKIP y AES. En redes que tienen requerimientos de seguridad estrictos, una
autenticación adicional o inicio de sesión es requerida para garantizar al cliente acceso
inalámbrico. La elección del modo de seguridad empresarial requiere un servidor RADIUS de
autenticación, autorización y contabilidad (AAA).
Introducción
13.0.1

Bienvenido a la Configuración de WLAN
Algunos de nosotros recordamos conectarnos al Internet usando conexiones dial up. Para la
conexión dial up se usaba la linea telefónica fija. No era posible hacer o recibir llamadas con el
teléfono fijo mientras se navegaba en Internet. La conexión al Internet con dial up era muy
lenta. Básicamente, para la mayoría de las personas, su computadora estaba en un lugar fijo
en la casa o escuela.
Y después pudimos conectarnos al Internet sin usar las lineas telefónicas fijas. Sin embargo
nuestras computadoras estaban aún conectadas con cables a dispositivos que se conectaban
al Internet. Hoy en día podemos conectarnos al Internet usando dispositivos inalámbricos que
nos permitan llevar nuestros teléfonos, laptops y tablets prácticamente a cualquier lugar. Es
grandioso tener esa libertad de moverse, pero requiere de dispositivos intermediarios y finales
especiales y un buen entendimiento de los protocolos inalámbricos. ¿Desea obtener más
información? Entonces, ¡este es el modulo para ti!
13.0.2

Título del Módulo: Configuraciones de redes inalámbricas WLAN
Objetivo del Módulo: Implemente una WLAN con un router inalámbrico y WLC.
Configuración de WLAN del sitio

Configure una WLAN para admitir un sitio remoto.
remoto
Configure un WLC de red inalámbrica WLAN para que use la

Configure un WLC en el WLC
interfaz de administración y la autenticación WPA2 PSK.
Configure una red inalámbrica Configure un WLC de red inalámbrica WLAN para que use una
WLAN WPA2 Enterprise en el interfaz VLAN, un servidor DHCP, y autenticación WPA2.
WLC Autenticación Enterprise
Solución de problemas de WLAN Solucione problemas comunes de configuración inalámbrica.
Configuración de WLAN del sitio

remoto
13.1.1
Video - Configuración de una red

inalámbrica
Haga clic en Reproducir en la figura para ver una demostración de cómo configurar una red
inalámbrica.
13.1.2
Router inalámbrico
Los trabajadores remotos, las oficinas pequeñas y las redes caseras, comúnmente usan
routers de casa y oficina pequeña. A estos routers en ocasiones se les llama routers
integrados porque típicamente incluyen un switch para dispositivos conectados por cable, un
puerto para conectarse al Internet (a veces llamado "WAN"), y componentes inalámbricos para
clientes de acceso inalámbrico, como se muestra en la figura del Cisco Meraki MX64W. En lo
que resta de este módulo, a los routers de casas y oficinas pequeñas los llamaremos routers
inalámbricos.
Cisco Meraki MX64W
La próxima imagen muestra la conexión física de una laptop cableada, hacia un router
inalámbrico, que a su vez se conecta a un modem DSL o cable modem para obtener
conectividad a Internet.
Estos routers inalámbricos comúnmente proveen seguridad WLAN, servicios de DHCP,

Traducción de Direcciones de Red (NAT), Quality of Service (QoS), y una variedad de otras
funciones. El conjunto de características varia de acuerdo al modelo del router.
Nota: La configuración del módem por cable o DSL generalmente se realiza a través del
representante del proveedor de servicios, ya sea en el sitio o de manera remota, a través de
un tutorial con usted en el teléfono. Si usted compra el módem, el mismo vendrá con la
documentación sobre cómo conectarlo a su proveedor de servicios, lo que muy probablemente
incluirá el contacto con su proveedor de servicios para obtener más información
13.1.3
Conéctese al router inalámbrico.

La mayoría de los routers inalámbricos están listos para utilizarse desde el primer momento.
Están pre-configurados para conectarse a la red y proporcionar servicios. Por ejemplo, el
router inalámbrico utiliza el DHCP para proporcionar automáticamente información de
asignación de direcciones a los dispositivos conectados. Sin embargo, las direcciones IP
predeterminadas del router inalámbrico, los nombres de usuario y las contraseñas se pueden
encontrar fácilmente en Internet. Simplemente ingrese la frase “dirección IP predeterminada
del router inalámbrico” o “contraseñas predeterminada del router inalámbrico ” para ver un
listado de muchos sitios web que proporcionan esta información. Por ejemplo, el usuario y la
contraseña para el router inalámbrico en la figura es "admin" En consecuencia, su prioridad
principal debe ser cambiar estos valores predeterminados por razones de seguridad.
Para obtener acceso a la GUI de configuración del router inalámbrico, abra un navegador web.
En el campo Dirección, ingrese la dirección IP privada predeterminada de su router
inalámbrico. La dirección IP predeterminada se puede encontrar en la documentación que
viene con el router inalámbrico o se puede buscar en Internet. La figura muestra la dirección
IPv4 192.168.0.1, que es un valor predeterminado común para muchos fabricantes. Una
ventana de seguridad solicita autorización para acceder a la GUI del router. La palabra admin
se utiliza comúnmente como nombre de usuario y contraseña predeterminados. Nuevamente,
consulte la documentación del router inalámbrico o busque en Internet.
13.1.4
Configuración básica de red

La configuración básica de la red incluye los siguientes pasos:
1. Iniciar sesión en el router desde un navegador web.

2. Cambie la contraseña de administrador predeterminada.
3. Iniciar sesión con la nueva contraseña administrativa.
4. Cambiar las direcciones IPv4 predeterminadas del DHCP.
5. Renovar la dirección IP.
6. Iniciar sesión en el router con la nueva dirección IP.
1. Iniciar sesión en el router desde un navegador web
Después de iniciar sesión, se abre una GUI. La GUI tendrá las pestañas o menús para
ayudarlo a navegar en las distintas tareas de configuración del router. A menudo es necesario
guardar las opciones de configuración modificadas en una ventana antes de pasar a otra
ventana. En este punto, se recomienda realizar cambios en la configuración predeterminada.
Haga clic en el siguiente paso.
2. Cambiar la contraseña de administrador predeterminada.
Para cambiar la contraseña de inicio de sesión predeterminada, busque la sección de

Administración de la GUI del router. En este ejemplo, se escogió la pestaña Administración.
Aquí es donde se puede cambiar la contraseña del router. En algunos dispositivos, como el
que se encuentra en el ejemplo, solo puede cambiar la contraseña. El nombre de usuario
sigue siendo admin o cualquier nombre de usuario predeterminado para el router que está
configurando.

3. Iniciar sesión con la nueva contraseña administrativa
Una vez que usted guarde la contraseña, el router inalámbrico solicitará autorización
nuevamente. Ingrese el nombre de usuario y la contraseña nueva, como se muestra en el
ejemplo.
4. Cambiar las direcciones IPv4 predeterminadas del DHCP
Cambie la dirección IPv4 predeterminada del router. Una práctica recomendada es utilizar
direcciones IPv4 privadas dentro de su red. En el ejemplo, se utiliza la dirección IPv4
10.10.10.1, pero podría ser cualquier dirección IPv4 privada que elija.

5. Renovar la dirección IP
Al hacer clic en guardar, perderá temporalmente el acceso al router inalámbrico. Abra una
ventana de comandos y renueve su dirección IP con el comando ipconfig/renew, como se
muestra en el ejemplo.
6. Iniciar sesión en el router con la nueva dirección IP
Ingrese la nueva dirección IP del router para recuperar el acceso a la GUI de configuración del
router, como se muestra en el ejemplo. Ahora está listo para continuar con la configuración de
acceso inalámbrico en el router.
13.1.5
Configuración inalámbrica
La configuración básica de la red inalámbrica incluye los siguientes pasos:
1. Ver los valores predeterminados de WLAN

2. Cambiar el modo de red.
3. Configurar el SSID
4. Configurar el canal
5. Configurar el modo de seguridad
6. Configurar la contraseña.
1. Ver los valores predeterminados de WLAN
De inmediato, un router inalámbrico proporciona acceso inalámbrico a los dispositivos

mediante un nombre y contraseña de red inalámbrica predeterminados. El nombre de la red
inalámbrica se denomina Identificador de Conjunto de Servicios (SSID). Ubique las
configuraciones inalámbricas básicas del router para cambiar estos valores predeterminados,
como se muestra en el ejemplo.

2. Cambiar el modo de red
Algunos routers inalámbricos le permiten escoger qué estándar 802.11 desea implementar.
Este ejemplo muestra que se ha seleccionado "Legacy". Esto significa que todos los
dispositivos inalámbricos que se conectan al router inalámbrico deben tener una variedad de
NIC inalámbricas instaladas. Los routers inalámbricos actuales configurados para el modo
mixto admiten, en su mayoría, las NIC 802.11a, 802.11n y 802.11ac.

3. Configurar el SSID
Asignar un SSID a las redes inalámbricas WLANs. OfficeNet se usa en el ejemplo para todas
las tres redes WLANS (la tercera WLAN no se muestra). El router inalámbrico anuncia su
presencia mediante el envío de broadcasts que anuncian su SSID. Esto le permite a los hosts
inalámbricos detectar automáticamente el nombre de la red inalámbrica. Si la difusión del
SSID está desactivada, debe introducir manualmente el SSID en cada dispositivo inalámbrico
que se conecte a la WLAN.
4 Configurar el canal
Los dispositivos configurados con el mismo canal dentro de la banda de 2,4 GHz pueden
superponerse y causar distorsión, lo que disminuye el rendimiento inalámbrico y
potencialmente podría interrumpir las conexiones de red. La solución para evitar la
interferencia es configurar canales que no se superpongan en los routers inalámbricos y los
puntos de acceso cercanos entre sí. Específicamente, los canales 1, 6 y 11 son canales que
no se superponen. En el ejemplo, el router inalámbrico está configurado para utilizar el canal
6.

5. Configurar el modo de seguridad
De inmediato, es posible que un router inalámbrico no tenga configurada ninguna seguridad

de WLAN. En el ejemplo, se escoge la versión personal de Wi-Fi Protected Access versión 2
(WPA2 Personal) para las tres WLANs. La WPA2 con cifrado de Advanced Encryption
Standard (AES) es actualmente el modo de seguridad más sólido.

6. Configurar la contraseña
La WPA2 Personal utiliza una contraseña para autenticar a los clientes inalámbricos. La
WPA2 personal es más fácil de usar en entornos de oficinas pequeñas o domésticas, ya que
no requiere un servidor de autenticación. Las organizaciones más grandes implementan la
WPA2 Enterprise y requieren que los clientes inalámbricos se autentiquen con un nombre de
usuario y una contraseña.
13.1.6
Configuración de una red de Malla

Inalámbrica
En una red de una oficina pequeña o doméstica, un router inalámbrico puede bastar para
proporcionar acceso inalámbrico a todos los clientes. Sin embargo, si desea extender el rango
más allá de aproximadamente 45 metros en el interior y 90 metros en el exterior, puede
agregar puntos de acceso inalámbricos. Como se muestra en la figura, En el red de Malla
Inalámbrica, dos puntos de acceso se configuran con las mismas configuraciones de WLAN
de nuestro ejemplo anterior. Observe que los canales escogidos son 1 y 11, de modo tal que
los puntos de acceso no interfieren con el canal 6 configurado previamente en el router
inalámbrico.
Extender una WLAN en una oficina pequeña o en el hogar se vuelve cada vez más fácil. Los
fabricantes han creado una red de Malla Inalámbrica (WMN) a través de aplicaciones de
teléfono inteligente. Usted compra el sistema, dispersa los puntos de acceso, los conecta,
descarga la aplicación y configura su WMN en pocos pasos. Para encontrar las reseñas de las
ofertas actuales, busque en Internet "el mejor sistema de red de Malla Inalámbrica"
13.1.7
NAT para IPv4

En un router inalámbrico, si busca una página como la página de estado que se muestra en la
figura, encontrará la información de la asignación de direcciones IPv4 que el router utiliza para
enviar datos a Internet. Observe que la dirección IPv4 es 209.165.201.11 es una red diferente
a la dirección 10.10.10.1 asignada a la interfaz LAN del router. A todos los dispositivos en la
LAN del router se les asignarán direcciones con el prefijo 10.10.10.
La dirección IPv4 209.165.201.11 es públicamente enrutable en Internet. Cualquier dirección
con el 10 en el primer octeto es una dirección IPv4 privada y no se puede enrutar en Internet.
Por lo tanto, el router utilizará un proceso llamado Traducción de Direcciones de Red (NAT)
para convertir las direcciones IPv4 privadas en direcciones IPv4 enrutables en Internet. Con
NAT, una dirección IPv4 privada de origen (local) se traduce a una dirección pública (global).
En el caso de los paquetes entrantes, el proceso es inverso. Por medio de NAT, el router
puede traducir muchas direcciones IPv4 internas en direcciones públicas.
Algunos ISP utilizan la asignación de direcciones privadas para conectarse a los dispositivos
del cliente. Sin embargo, al final, su tráfico abandonará la red del proveedor y se enrutará en
Internet. Para ver las direcciones IP de sus dispositivos, busque "Cuál es mi dirección IP" en
Internet. Haga esto para otros dispositivos en la misma red y verá que todos comparten la
misma dirección IPv4 pública. NAT hace esto posible realizando un rastreo de los números de
puerto de origen para cada sesión establecida por dispositivo. Si su ISP tiene la IPv6
habilitada, verá una dirección IPv6 única para cada dispositivo.
13.1.8
Calidad de servicio
Muchos routers inalámbricos tienen una opción para configurar la Calidad de Servicio (QoS).
Al configurar QoS, puede garantizar que ciertos tipos de tráfico, como voz y video, tengan
prioridad sobre el tráfico que no es sensible a retrasos, como el correo electrónico y la
navegación web. En algunos routers inalámbricos, también se puede priorizar el tráfico en
puertos específicos.
La figura es un boceto simplificado de una interfaz de QoS basada en una GUI de Netgear.
Por lo general, encontrará la configuración de QoS en los menús avanzados. Si tiene un router
inalámbrico disponible, investigue las configuraciones de QoS. A veces, es posible que se
enumeren bajo "Control de Ancho de Banda" o algo similar. Consulte la documentación del
router inalámbrico o busque "configuraciones de QoS" en Internet para la marca y el modelo
de su router.
13.1.9
Reenvío de Puerto
Los routers inalámbricos comúnmente se pueden utilizar para bloquear puertos TCP y UDP, a
fin de impedir el acceso no autorizado entrante y saliente de una LAN. No obstante, existen
situaciones en las que deben abrirse puertos específicos para que determinados programas y
aplicaciones puedan comunicarse con dispositivos de otras redes. El Reenvío de Puerto es un
método basado en reglas que permite dirigir el tráfico entre dispositivos de redes separadas.
Una vez que el tráfico llega al router, este determina si debe reenviarse el tráfico a
determinado dispositivo según el número de puerto que se encuentra en el tráfico. Por
ejemplo, se puede configurar un router para que reenvíe el puerto 80, que esta asociado con
HTTP. Cuando el router recibe un paquete con el puerto de destino 80, reenvía el tráfico al
servidor interno de la red que sirve a las páginas web. En la figura, el reenvío de puerto está
habilitado para el puerto 80 y se asigna al servidor web en la dirección IPv4 10.10.10.50.
La activación de puertos permite que el router reenvíe datos temporalmente mediante puertos
entrantes a un dispositivo determinado. Se puede utilizar la activación de puertos para
reenviar datos a una PC, solo si se utiliza un rango de puertos designados para realizar una
solicitud saliente. Por ejemplo, un videojuego puede utilizar los puertos 27000 a 27100 para
establecer una conexión con otros jugadores. Estos son los puertos de activación. Un cliente
de chat puede utilizar el puerto 56 para conectar a los mismos jugadores, a fin de que
interactúen entre sí. En este caso, si existe tráfico de juegos en un puerto saliente dentro del
rango de puertos activados, el tráfico de chat entrante que corresponde al puerto 56 se
reenvía a la PC que se utiliza para jugar el videojuego y para chatear con amigos. Una vez
que finaliza el juego y dejan de utilizarse los puertos activados, el puerto 56 ya no puede
enviar tráfico de ningún tipo a esta PC.
13.1.10
Packet Tracer - Configurar una red

inalámbrica
Durante esta actividad, configurará un router inalámbrico y un punto de acceso para que
admitan clientes inalámbricos y enruten los paquetes IP.
13.1.11
Práctica de laboratorio: Configuración de

una red inalámbrica
En esta práctica de laboratorio, hará una configuración básica de un router inalámbrico y
conectará una PC al router de manera inalámbrica.
Configure una WLAN básica en el

WLC
13.2.1
Video - Configure una WLAN básica en el

WLC
En el tema anterior aprendiste sobre la configuracion de WLAN en un sitio remoto. Este tema
es acerca de configurar una WLAN en el WLC.
Haga clic en Reproducir para ver la demostración de como configurar un WLC 3504 Cisco con
conectividad WLAN
13.2.2
Topología WLC
Para topologia y el esquema de direccionamiento usados en los videos y este tema se
muestran en la figura y en la tabla. El punto de acceso (AP) es basado en un controlador, que
es diferente a un AP autónomo. Recuerde que los puntos de acceso basados en controlador
no necesitan una configuración inicial y normalmente se les denomina Puntos de Acceso
Lightweight (LAPs). Los puntos de acceso LAP usan el Protocolo Lightweight Access Point
Protocol (LWAPP) para comunicarse con el controlador WLAN (WLC). Los puntos de acceso
basados en controlador son útiles en situaciones en las que se necesitan varios puntos de
acceso en la red. Conforme se agregan puntos de acceso, cada punto de acceso es
configurado y administrado de manera automática por el WLC.
La imagen muestra la topologia de un Cisco Wireless LAN Controller (WLC). PC-A es un

servidor RADIUS/SNMP conectado a R1 en la interfaz F0/0 de R1. La PC-B esta conectada a
S1 en el puerto F0/6 de S1. R1 y S1 están conectados juntos en la interfaces F0/1 de R1 y en
la F0/5 de S1 . S1 esta conectado a un WLC en el puerto F0/18. En el puerto F0/1 de S1 esta
conectado el punto de acceso AP1. Hay una computadora portátil conectada en forma
inalámbrica a AP1
Topología
Addressing Table
DeviceInterfaceIP AddressSubnet
MaskR1F0/0172.16.1.1255.255.255.0R1F0/1.1192.168.200.1255.255.255.0S1VLAN
1DHCPWLCManagement192.168.200.254255.255.255.0AP1Wired
0192.168.200.3255.255.255.0PC-ANIC172.16.1.254255.255.255.0PC-BNICDHCPWireless
LaptopNICDHCP
Máscara de
Dispositivo Interfaz Dirección IP
subred
R1 F0/0 172.16.1.1 255.255.255.0
R1 F0/1.1 192.168.200.1 255.255.255.0
S1 VLAN 1 DHCP
WLC Administración 192.168.200.254 255.255.255.0
AP1 Wired 0 192.168.200.3 255.255.255.0
PC-A NIC 172.16.1.254 255.255.255.0
PC-B NIC DHCP
Computadora portátil
NIC DHCP
inalámbrica
13.2.3
Iniciar sesión en el WLC

Configurar un controlador de red inalámbrica (WLC) no es muy diferente que configurar un
router inalámbrico La diferencia mas grande es que el WLC controla los puntos de acceso y
provee más servicios y capacidades de administración; varias que van más allá del alcance de
este curso.
Nota: Las figuras de este tema que muestran la interfaz gráfica (GUI) y los menús, son del
Controlador Inalámbrico Cisco 3504. Sin embargo, otros modelos de WLC tienen menús y
características similares.
La figura muestra un usuario iniciando sesión en el WLC con los credenciales que fueron
configurados en la configuración inicial.
La página de Network Summary es un panel que provee una visión rápida del número de
redes inalámbricas configuradas, los puntos de acceso asociados y los clientes activos.
También se puede ver la cantidad de puntos de acceso dudosos y los clientes, como se
13.2.4
Ver la información del punto de acceso

Haga clic en Access Pints desde el menú de la izquierda para ver un resumen de toda la
información de sistema y desempeño del punto de acceso, como se muestra en la siguiente
figura. El AP está usando la dirección IP 192.168.200.3. Debido a que el protocolo Cisco
Discovery Protocol (CDP) esta activo en esta red, el WLC sabe que el AP está conectado al
puerto FastEthernet 0/1 del switch.
El AP en la topología es un Cisco Aironet 1815i, lo cual significa que se puede usar la línea de
comandos y una cantidad limitada comandos de IOS. En el ejemplo, el administrador de la red
hizo ping a la puerta de enlace, hizo ping al WLC, y verificó la interfaz conectada con cable.
13.2.5
Configuración Avanzada
La mayoría de los WLC tienen configuraciones básicas y menús que los usuarios pueden
accesar rápidamente para implementar una variedad de configuraciones comunes. Sin
embargo, como administrador de la red, usted comúnmente accederá a la configuración
avanzada. En el Wireless Controller Cisco 3504, haga clic en Advanced en la esquina
superior derecha para accesar la página Summary, como se muestra en la figura. Desde
aquí, usted puede acceder a toda la configuración del WLC.
13.2.6
Configurar una WLAN
Los controladores de red LAN inalámbricos tienen puertos e interfaces. Los puertos son los
conectores para las conexiones físicas a la red cableada. Se ven como puertos de switch Las
interfaces son virtuales. Se crean a nivel de software y son muy similares a las VLAN
interfaces. De hecho, cada interfaz que lleva trafico desde una WLAN se configura en el WLC
como una VLAN diferente. El Cisco WLC 3504 soporta hasta 150 puntos de acceso y 4096
VLANs; sin embargo, sólo tiene cinco puertos físicos, como se muestra en la figura. Esto
significa que cada puerto físico puede soportar varios puntos de acceso y WLANs. Los puertos
en el WLC son básicamente puertos troncales que pueden llevar trafico de múltiples VLANs
hacia un switch para distribuirlo a múltiples puntos de acceso. Cada punto de acceso puede
soportar varias WLANs.
La configuración WLAN en el WLC incluye los siguientes pasos:
1. Crear la WLAN.
2. Aplicar y activar la WLAN
3. Seleccionar una interfaz.
4. Asegurar la WLAN
5. Verificar que la WLAN este funcionando
6. Monitorear la WLAN
7. Ver la información del cliente inalámbrico
1. Crear la WLAN
En la figura, el administrador esta creando una nueva WLAN que usara el

nombre Wireless_LAN y como identificador de conjunto de servicios (SSID). El ID es una
valor arbitrario que se usa para identificar la WLAN en el WLC en pantalla.
2. Aplicar y active la WLAN
Después de hacer clic en Apply, el administrador de la red debe habilitar la WLAN antes de
que sea accesado por los usuarios, como se muestra en la figura. La casilla de verificación
Enabled permite al administrador configurar una variedad de funciones para la WLAN, así
como WLANs adicionales, antes de habilitarlas para que sean accesibles para los clientes.
Desde aquí, el administrador de la red puede configurar una variedad de funciones para la
WLAN incluyendo seguridad, QoS, políticas y otras configuraciones avanzadas.
3. Seleccionar una interfaz
Cuando crea la red WLAN, debe seleccionar la interfaz que llevara el trafico del WLAN La
próxima figura muestra la selección de una interfaz que ya ha sido creada en el WLC.
Aprenderemos como crear interfaces mas adelante en este modulo.
4. Asegurar la WLAN
Haga clic en la pestaña de Security para accesar todas las opciones disponibles para asegurar
la red LAN. El administrador de la red desea asegurar la Capa 2 con WPA2-PSK. WPA2 y
802.1X están definidos de manera predeterminada. En el menú de Security de Capa 2, debe
verificar que WPA+WPA2 esta seleccionado(no se muestra). Haga clic en PSK y ponga el
pre-shared key, como se muestra en la figura. Luego, haga clic en Apply. Esto habilitará la
WLAN con autenticación WPA2-PSK. A partir de ahora, los clientes inalámbricos que
conozcan el pre-shared key pueden asociarse y autenticarse con el punto de acceso.
5 Verificar que la WLAN este funcionando
Haga clic en WLANs en el menú de la izquierda, para ver la nueva WLAN configurada. En la
figura, puede verificar que el ID del WLAN esta configurado con el nombre y
SSID Wireless_LAN, que esta activo, y que esta usando seguridad WPA2 PSK.
6. Monitorear la WLAN
Haga clic en la pestaña Monitor en la parte superior para acceder de nuevo a la pagina
avanzada Summary. Aquí puede ver que Wireless_LAN ahora tiene un cliente usando sus
servicios, como se muestra en la figura.
7. Ver detalles del cliente inalámbrico
Haga clic en Clients en el menú de la derecha para ver mas información sobre los clientes
conectados al WLAN, como se muestra en la figura. Un cliente esta conectado
a Wireless_LAN a través de un punto de acceso y se le asigno la dirección IP 192.168.5.2.
Los servicios de DHCP en esta topologia son dados por el router.
13.2.7
Configuración Básica de una WLAN en el

WLC
En este laboratorio, explorará algunas de las características de un Controlador de la red
Inalámbrica Va a crear una nueva WLAN en el controlador e implementar seguridad en esa
LAN. Luego va a configurar un host inalámbrico para conectarse a la nueva WLAN a través de
un AP que esté bajo el control del WLC. Por último, verificará que exista conectividad.
Configure una red inalámbrica

WLAN WPA2 Enterprise en el
WLC
13.3.1
Video - Defina un servidor RADIUS y SNMP

en el WLC.
El tema anterior trataba acerca de configurar una WLAN en el WLC. Ahora aprenderá a
configurar una red WLAN WPA2 Enterprise.
Haga clic en reproducir en la figura para ver una demostración de como configurar servicios de
SNMP y RADIUS en el WLC.
13.3.2
SNMP y RADIUS
EN la figura, PC-A esta ejecutando software de servidor de Protocolo Simple de
Administración de Red (SNMP) y de Servicio de Autenticación Remota de Usuario de Discado
(RADIUS). SNMP se utiliza para monitorear la red El administrador de la red desea que el
WLC reenvíe mensajes de registro de SNMP, llamados traps, al servidor SNMP.
Además, para la autenticación con el WLAN, el administrador de la red desea usar el servidor
RADIUS para los servicios de autenticación, autorización y registro (AAA). En vez de ingresar
una llave pre-compartida para autenticarse, como se hace con WPA2-PSK, los usuarios
ingresan sus propio usuario y contraseña. Los credenciales serán verificados en el servidor
RADIUS. De esta manera, el acceso de cada usuario puede ser rastreado y auditado de
manera individual, de ser necesario las cuentas de usuario pueden ser agregadas o
modificadas desde una locación central. El servidor RADIUS es requerido cuando las redes
WLAN están usando autenticación WPA2 Enterprise.
Nota: La configuración del servidor SNMP y del servidor RADIUS esta fuera del alcance de
este modulo.
Esta figura muestra una topología de red. PC-A es un servidor RADIUS/SNMP conectado a
R1 en la interfaz F0/0 de R1. La PC-B esta conectada a S1 en el puerto F0/6 de S1. R1 y S1
están conectados juntos en la interfaz F0/1 de R1 y en la F0/5 de S1 S1 esta conectado a un
WLC en el puerto F0/18. El puerto F0/1 de S1 esta conectado al punto de acceso AP1. Hay
una computadora portátil conectada en forma inalámbrica a AP1
Topología
13.3.3
Configurar Información del Servidor SNMP

Haga clic en la pestaña MANAGEMENT para accesar una variedad de funciones de
administración. SNMP esta listado en la parte superior del menú de la izquierda. Haga clic
en SNMP para expandir los sub-menús, y luego haga clic en Trap Receivers. Haga clic
en New... para configurar un nuevo recibidor de SNMP trap, como se muestra en la figura.
Agregue el nombre del SNMP Community y la dirección IP (IPv4 o IPv6) del servidor SNMP.
Haga clic en Apply. Ahora el WLC enviará los mensajes de registro de SNMP al servidor
SNMP.
13.3.4
Configure los servidores RADIUS.

En nuestra configuración de ejemplo, el administrador de la red desea configurar una WLAN
usando WPA2 Enterprise, en vez de WPA2 Personal o WPA2 PSK. La autenticación sera
manejada por el servidor RADIUS que se esta ejecutando en PC-A.
Para configurar el WLC con la información del servidor RADIUS, haga clic en SECURITY tab
> RADIUS > Authentication. No existen servidores RADIUS configurados Haga clic
en Nuevo... para agregar la PC-A como el servidor RADIUS.
Agregue la direccion IPv4 para PC-A y el secreto compartido. Esta es la contraseña que se
usa entre el WLC y el servidor RADIUS. No es para los usuarios Haga clic en Apply, como se
Después de hacer clic en Apply, la lista de RADIUS Authentication Servers configurados se

refresca con el nuevos servidor listado, como se muestra en la figura.
13.3.5
Video - Configurar una VLAN para una

nueva WLAN
Haga clic en reproducir en la figura para ver una demostración de como configurar una VLAN
en el WLC.
13.3.6
Topologia de direcciones en VLAN 5

Cada WLAN configurada en el WLC necesita su propia interfaz virtual. El WLC tiene cinco
puertos físicos para el trafico de datos. Cada puerto físico puede ser configurado para soportar
múltiples WLANs, cada una en su propia interfaz virtual. Los puertos físicos se pueden enlazar
entre ellos para crear enlaces con mayor capacidad de ancho de banda
El administrador de la red ha decidido que la nueva WLAN use la interfaz VLAN 5 y la red
192.168.5.0/24. R1 ya tiene un sub-interfaz configurada y activa para VLAN 5, tal como se
muestra en la topología y en la salida del comando show ip interface brief.
Esta figura muestra una topología de red. PC-A es un servidor RADIUS/SNMP conectado a
R1 en la interfaz F0/0 de R1. R1 tiene una sub-interfaz configurada en la VLAN 5 con la
dirección IP 192.168.5.1. La PC-B esta conectada a S1 en el puerto F0/6 de S1. R1 y S1 están
conectados R1 y S1 están conectados entre sí, usando la interfaz F0/1 de R1 y la F0/5 de S1
S1 no esta conectado a un WLC en el puerto F0/18. El WLC tiene la dirección IP
192.168.200.254 para administración y una interfaz en VLAN 5 con la dirección IP
192.168.5.254. El puerto F0/1 en S1 esta conectado a un punto de acceso, AP1. Hay una
computadora portátil conectada en forma inalámbrica a AP1
Topología
13.3.7
Configurar una nueva interfaz

1. Crear una nueva interfaz

2. Configurar el nombre y el ID de la VLAN
3. Configurar la direccion del puerto y la interfaz
4. Configurar la dirección del servidor DHCP
5. Aplicar y Confirmar
6. Verificar interfaces
1. Crear una nueva interfaz
Para agregar una nueva interfaz, haga clic en CONTROLLER > Interfaces > New..., como se
1. Haga clic CONTROLLER

2. Haga clic en Interfaces
3. Haga clic en New...
13.3.8
Video - Configurar el Alcance de DHCP

Haga clic en reproducir en la figura para ver una demostración de cómo configurar servicios de
DHCP.
13.3.9
Configurar el Alcance DHCP

La configuración del ámbito de DHCP incluye los siguientes pasos:
1. Configurar el ámbito DHCP

2. Nombrar un ámbito DHCP
3. Verificar el nuevo ámbito DHCP
4. Configurar y activar un nuevo ámbito DHCP
5. Verificar el nuevo ámbito DHCP
1. Cree un nuevo alcance DHCP.
Un alcance DHCP es muy similar a un pool de DHCP en un router. Puede incluir una variedad
de información como grupos de direcciones para asignar a los clientes de DHCP, información
del servidor DNS, tiempos de asignación y mas. Para configurar un nuevo alcance DHCP,
haga clic en Internal DHCP Server > DHCP Scope > New..., como se muestra en la figura.
1. Haga clic en Internal DHCP Server.

2. Haga clic en DHCP Scope.
3. Haga clic en New...
13.3.10
Video - Configure una red inalámbrica

WLAN WPA2 Enterprise
Haga clic en reproducir en la figura para ver una demostración de como configurar una WLAN
con WPA2 Enterprise en el WLC.
13.3.11
Configure una red inalámbrica WLAN

WPA2 Enterprise
De manera predeterminada, todas las WLANs creadas recientemente en el WLC van a usar
WPA2 con el Sistema Avanzado de Encripción (AES). 802.1X es el protocolo de manejo de
llaves predeterminado que se usa para comunicarse con el servidor RADIUS. El administrador
ya había configurado la dirección IPv4 del servidor RADIUS ejecutándose en PC-A, de tal
manera que la única configuración pendiente es crear una nueva WLAN para que use la
interfaz vlan5.

1. Crear una nueva WLAN
2. Configurar el nombre y el SSID de la WLAN
3. Habilitar la WLAN para VLAN 5
4. Verificar los valores predeterminados de AES y 802.1X.
5. Configurar la seguridad de WLAN para que use el servidor RADIUS
6. Verificar que la nueva WLAN este disponible
1. Crear una nueva WLAN
Haga clic en la pestaña WLANs y luego en Ir para crear una nueva WLAN, como se muestra
en la figura.
2. Configurar el nombre y el SSID de la WLAN
Rellene con el nombre del perfil y el SSID Con el fin de ser consistente con la VLAN que fue
previamente configurada, escoja un ID de 5. Sin embargo, puede usar cualquier valor
disponible. Haga clic en Apply, para crear una nueva WLAN, como se muestra en la figura.
3. Habilitar la WLAN para VLAN 5
La WLAN ha sido creada pero aun necesita activarse y asociarse con la interfaz VLAN
correcta. Cambiar el estado de Enabled y escoger vlan5 en la lista desplegable de
Interface/Interface Grupo(G). Haga clic en Aplicar y haga clic en OK para aceptar el mensaje
emergente, como se muestra en la figura
4. Verifique los valores predeterminados de AES y 802.1X.
Haga clic en la pestaña Security para ver la configuración predeterminada de seguridad para
la WLAN nueva. La WLAN usará seguridad WPA2 con encripción AES. El tráfico de
autenticación es manejado por 802.1X entre el WLC y el servidor RADIUS.
5. Configurar el servidor RADIUS.
Ahora necesitamos seleccionar el servidor RADIUS que va a usarse para autenticar los
usuarios de esta WLAN. Haga clic en la ficha AAA Servers. En la lista desplegable
seleccionar el servidor RADIUS que fue configurado previamente en el WLC. Aplique los
cambios.
6. Verifique que la nueva WLAN este disponible
Para verificar que la nueva WLAN esta listada y activa, haga clic en Back o en el sub-
menú WLANs a la izquierda. Tanto la WLAN Wireless_LAN como la
WLAN CompanyName están listadas. En la figura, note que ambos están
activos. Wireless_LAN esta usando WPA2 con autenticación PSK. CompanyName esta
usando seguridad WPA2 con autenticación 802.1X.
13.3.12
Packet Tracer: Configuración de WLAN
WPA2 Enterprise en el WLC
En esta actividad, usted va a configurar una nueva WLAN en un controlador inalámbrico LAN
(WLC), incluyendo la interfaz VLAN que se usara. Usted va a configurar la WLAN para que
use un servidor RADIUS y WPA2-Enterprise para autenticar usuarios. Configure también el
WLC para usar un servidor SNMP.
Solución de problemas de WLAN

13.4.1
Enfoques para la Solución de Problemas

En el tema anterior aprendiste sobre la configuración de WLAN. Vamos a ver cómo resolver
problemas de WLAN.
Los problemas de red pueden ser simples o complejos, y pueden ser el resultado de una
combinación de problemas de hardware, software y conectividad. Los técnicos informáticos
deben ser capaces de analizar el problema y determinar la causa del error para poder reparar
el problema de red. Este proceso se denomina “solución de problemas”.
Para resolver problemas de red de cualquier tipo, se debe seguir un proceso sistemático. Una
metodología de solución de problemas común y eficaz se basa en el método científico, y se
puede dividir en los seis pasos importantes que se muestran en la ilustración.
Paso Título Descripción
El primer paso del proceso de solución de problemas consiste en

Identificación del
1 identificar el problema. Aunque se pueden usar herramientas en
problema
este paso, una conversación con el usuario suele ser muy útil.
Después de hablar con el usuario e identificar el problema, puede

Establecer una teoría de
2 probar y establecer una teoría de causas probables. Este paso
causas probables
generalmente muestra más causas probables del problema.
Según las causas probables, pruebe sus teorías para determinar

cuál es la causa del problema. Un técnico regularmente hará un
Poner a prueba la teoría procedimiento rápido para probar y ver si resuelve el problema Si
3
para determinar la causa este procedimiento no corrija el problema, puede que necesite
hacer una búsqueda del problema para establecer la raíz del
problema.
Paso Título Descripción
Establecer un plan de
Una vez que haya determinado la causa raíz del problema,
acción para solucionar el
4 establezca un plan de acción para solucionar el problema e
problema e implementar
implementar la solución.
la solución Solución
Verifique la funcionalidad
Una vez que haya corregido el problema, verifique la
total del sistema e
5 funcionalidad total y, si corresponde, implementación de medidas
implemente medidas
preventivas
preventivas
El último paso del proceso de solución de problemas consiste en

Registrar hallazgos,
6 registrar los hallazgos, acciones y resultados. Esto es muy
acciones y resultados
importante para una futura. referencia.
Para evaluar el problema, determine cuántos dispositivos de la red lo tienen. Si existe un

problema con un dispositivo de la red, inicie el proceso de solución de problemas en ese
dispositivo. Si existe un problema con todos los dispositivos de la red, inicie el proceso de
solución de problemas en el dispositivo donde se conectan todos los otros dispositivos. Debe
desarrollar un método lógico y coherente para diagnosticar problemas de red mediante la
eliminación de un problema por vez.
13.4.2
Cliente Inalámbrico no está conectando

Cuando se está resolviendo problemas de una red WLAN, se recomienda usar un proceso de
eliminación.
En la figura, un cliente inalámbrico no se esta conectando a la WLAN.

Si no existe conectividad, revise lo siguiente:
 Revise la configuración de red en la PC usando el comando ipconfig. Verifique que la

PC ha recibido una dirección IP por medio de DHCP o ha sido configurada con una IP
estática.
 Confirme que el dispositivo conecta a la red cableada: Conecte el dispositivo a la red
LAN cableada y haga ping a un dirección IP conocida.
 De ser necesario, cargue de nuevo los controladores en el cliente como corresponde.
Puede que necesite probar con una NIC inalámbrica diferente.
 Si la NIC inalámbrica del cliente funciona, revise la configuración del modo de seguridad
y encripción en el cliente. Si la configuración de seguridad no es la misma, el cliente no
podrá ganar acceso a la WLAN.
Si la PC esta funcionando pera la conexión inalámbrica tiene un desempeño pobre, revise lo

siguiente:
 ¿Qué tan lejos esta la PC del punto de acceso? ¿Está la PC fuera del área planeada de
cobertura (BSA)?
 Revise la configuración del canal en el cliente inalámbrico. El software del cliente
debería detectar el canal siempre que el SSID sea el correcto.
 Revise si existen otros dispositivos en el área que puedan estar interfiriendo con la
banda de 2.4 GHz. Algunos dispositivos como por ejemplo, teléfonos inalámbricos,
monitores de bebes, hornos microondas, sistemas de seguridad inalámbricos, y
potencialmente puntos de acceso no autorizados. Los datos enviados por estos
dispositivos pueden causar interferencia con la WLAN y problemas intermitentes de
conexión entre un cliente inalámbrico y un AP.
Lo siguiente, asegúrese de que todos los dispositivos estén presentes. Considere la

posibilidad de un problema de seguridad física. ¿Hay suficiente energía para todos los
dispositivos y están todos encendidos?
Finalmente, inspeccione los enlaces entre los dispositivos cableados y revise que no existan
conectores malos o cables que falten o estén dañados. Si la parte física en su bien, verifique
la LAN cableada, haciendo ping a los dispositivos, incluyendo el AP. Si la conectividad sigue
fallando a este punto, puede que algo este malo en el AP o su configuración.
Cuando el usuario de la PC es descartado como posible fuente del problema, y el estado físico
de los dispositivos ha sido confirmado, empiece a investigar el desempeño del AP. Revise el
estado de energía en el punto de acceso.
13.4.3
Resolución de Problemas cuando la red

esta lenta.
Para optimizar e incrementar el ancho de banda de los routers y APs de banda doble 802.11
pruebe:
 Actualizar sus clientes inalámbricos - Los dispositivos antiguos 802.11b, 802.11g, e

incluso los 802.11n pueden hacer que toda la red WLAN funcione mas lento. Para un
mejor desempeño, todos los dispositivos deben soportar el mejor estándar aceptado.
Aunque 802.11ax fue lanzado en el 2019, 802.11ac es posiblemente el estándar mas
alto que las empresas pueden utilizar.
 Divida el tráfico - La manera mas sencilla de mejorar el desempeño de la red
inalámbrica es dividir el trafico entre la banda 802.11n de 2.4 GHz y la banda de 5 GHz.
Por lo tanto, 802.11n (o alguno mejor) puede usar ambas bandas como dos redes
separadas para ayudar a manejar mejor el trafico. Por ejemplo, use la red de 2.4 GHz
para tareas básicas en internet, como la navegación web, email. y descargas, y use la
de 5 GHz para transmitir multimedia, como se ve en la figura.
Hay muchas razones para utilizar este método de dividir el trafico:
 La banda de 2.4 GHz puede ser muy útil para manejo de trafico en internet básico que
no es sensible al tiempo.
 El ancho de banda se puede compartir con otros WLANs cercanos.
 La banda 5 GHz esta mucho menos concurrida que la banda de 2.4 Ghz, lo que la hace
ideal para transmitir multimedia.
 La banda de 5 GHz tiene mas canales, por lo tanto, el canal que se usa esta
posiblemente libre de interferencia.
Los routers y APs de doble banda usan el mismo nombre de red tanto en la banda de 2.4 Ghz
como en la de 5 Ghz de manera predeterminada. La manera más sencilla de segmentar el
trafico es renombrar una de las redes inalámbricas. Con un nombre separado y que sea
descriptivo, es mas fácil conectarse a la red correcta.
Para mejorar el rango de una red inalámbrica, asegúrese de que la ubicación del router
inalámbrico o AP se encuentre libre de obstrucciones como muebles, accesorios y
electrodomésticos altos. Estos bloquean la señal, lo cual acorta el rango de la WLAN. Si esto
no resuelve el problema, puede que necesite usar un Extensor de Rango de Wi-Fi o
implementar la tecnología inalámbrica Powerline.
13.4.4
Actualizar el Firmware
La mayoría de los routers y AP inalámbricos ofrecen firmware actualizable. Las versiones de
firmware pueden contener correcciones de problemas comunes informados por los clientes así
como las vulnerabilidades de seguridad. Revise periódicamente el sitio web del fabricante para
ver el firmware actualizado. En la figura, se puede ver que el administrador de la red esta
verificando que el firmware este actualizado en un AP Cisco Meraki.
En un WLC, es muy posible que se pueda actualizar el firmware de todos los APs que son
controlados por el WLC. En la próxima figura, el administrador de la red esta descargando la
imagen del firmware que se usara para actualiza todos los APs.
En un controlador inalámbrico Cisco 3504, haga clic en WIRELESS tab > Access Point desde
el menú de la izquierda >sub-menú Global Configuration. Luego diríjase hasta el fondo de la
pagina hacia la sección de Pre-descarga.
Los usuarios se desconectarán de la WLAN y a Internet hasta que la actualización finalice. El

router inalámbrico posiblemente deba reiniciar varias veces antes de que se hayan restaurado
las operaciones normales de la red.
13.4.5
Packet Tracer: Solución de problemas
WLAN
Ahora que usted ha aprendido a configurar conexiones inalámbricas en la casa y en redes
empresariales, debe aprender a resolver problemas en ambos ambientes inalámbrico. Su
objetivo es habilitar conectividad entre los hosts en las redes hacia el servidor Web tanto por
dirección IP como por URL. No se requiere que haya conectividad entre la red de casa y la red
empresarial.
Práctica y Resumen del Módulo

13.5.1
Packet Tracer: Configuración WLAN

En esta actividad, usted va a configurar una router inalámbrico doméstico y una red basada en
WLC. Va a implementar seguridad tanto WPA2-PSK como WPA2-Enterprise.
13.5.2
Packet Tracer - Exploración de tecnología

inalámbrica
La Corporación XYZ está ampliando sus capacidades de red para permitir una conectividad
mejorada en sus oficinas locales, así como la conectividad para aquellos que deseen trabajar
de forma remota. En esta actividad del Packet Tracer - Physical Mode (PTPM), se le ha pedido
que le ayude con este plan revisando las capacidades de red actuales y añadiendo
funcionalidad inalámbrica según sea necesario.
Nota: Por favor tenga paciencia. Esta actividad de PTPM puede tardar varios minutos en
cargarse.
13.5.3
¿Qué aprendí en este módulo?

Los trabajadores remotos, las oficinas, sucursales pequeñas y las redes caseras a menúdo
usan un router inalámbrico, el cual típicamente incluye un switch para clientes cableados, un
puerto para la conexión a Internet (a veces llamado "WAN") y componentes inalámbricos para
el acceso de clientes inalámbricos. La mayoría de los routers inalámbricos están
preconfigurados para conectarse a la red y proporcionar servicios. El router inalámbrico utiliza
el DHCP para proporcionar automáticamente información de asignación de direcciones a los
dispositivos conectados. Su primera prioridad debe ser cambiar el nombre de usuario y
contraseña de su router inalámbrico. Use la interfaz de su router inalámbrico para completar la
configuración básica de su red inalámbrica. Si desea extender el rango más allá de
aproximadamente 45 metros en el interior y 90 metros en el exterior, puede agregar puntos de
acceso inalámbricos. El router utilizará un proceso llamado como Traducción de Direcciones
de Red (NAT) para convertir las direcciones IPv4 privadas en direcciones IPv4 enrutables en
Internet. Al configurar QoS, puede garantizar que ciertos tipos de tráfico, como voz y video,
tengan prioridad sobre el tráfico sin plazos, como el correo electrónico y la navegación web.
Los puntos de acceso LAP usan el Protocolo Lightweight Access Point Protocol (LWAPP) para
comunicarse con el controlador WLAN (WLC). Configurar un controlados de LAN inalámbrico
(WLC) es similar a configurar un router inalámbrico, excepto que un WLC controla los puntos
de acceso y provee mas capacidades de administración y servicios. Use la interfaz del WLC
para ver un panorama completo del sistema de información y desempeño de los puntos de
acceso, para accesar la configuración avanzada y para configurar una WLAN.
SNMP se utiliza para monitorear la red El WLC esta configurado para enviar todos los
registros de SNMP al servidor, utilizando traps. Para la autenticación de usuarios en en
WLAN, se utiliza un servidor RADIUS para autenticación, autorización y registro(AAA). Acceso
de un usuario puede ser monitoreado y auditado Use la interfaz del WLC para configurar el
servidor SNMP y la información del servidor RADIUS, las interfaces VLAN, el alcance DHCP y
una WLAN WPA2 Enterprise.
El proceso de solución de problemas consta de seis pasos. Cuando se está resolviendo

problemas de una red WLAN, se recomienda usar un proceso de eliminación. Algunos
problemas comunes son: falta de conectividad y pobre desempeño de la conexión inalámbrica
cuando la PC esta operando. Para optimizar e incrementar el ancho de banda de los routers y
APs de banda doble 802.11 pruebe: actualizar sus clientes inalámbricos o dividir el trafico. La
mayoría de los routers y puntos de acceso inalámbricos ofrecen firmware actualizable. Las
versiones de firmware pueden contener correcciones de problemas comunes informados por
los clientes así como las vulnerabilidades de seguridad. Revise periódicamente el sitio web del
fabricante para ver el firmware actualizado.
Introducción
14.0.1

¡Bienvenido a Conceptos de enrutamiento!
No importa cuán eficaz sea la configuración de la red, algo siempre dejará de funcionar
correctamente o incluso dejará de funcionar completamente. Esta es una simple verdad sobre
la creación de redes. Por lo tanto, a pesar de que ya sabe bastante sobre el enrutamiento,
todavía necesita saber cómo funcionan sus routers. Este conocimiento es fundamental si
desea poder solucionar problemas de su red. Este módulo entra en detalle sobre el
funcionamiento de un router. ¡Súbete!
14.0.2
Título del módulo: Conceptos de enrutamiento
Objetivos del módulo: Explique cómo los routers utilizan la información en los paquetes para
tomar decisiones de reenvío.
Determinación de ruta Explicar cómo los routers determinan la mejor ruta.
Reenvío de paquetes Explicar cómo los routers reenvían los paquetes al destino.
Configuración básica de un router Configurar los parámetros básicos en un router.
Tabla de routing IP Describir la estructura de una tabla de routing.
Enrutamiento estático y dinámico Comparar los conceptos de routing estático y dinámico.
Determinación de trayecto
14.1.1
Dos funciones del router

Antes de que un router reenvíe un paquete a cualquier lugar, tiene que determinar la mejor
ruta para que el paquete tome. En este tema se explica cómo los enrutadores realizan esta
determinación.
Los switches Ethernet se utilizan para conectar dispositivos finales y otros dispositivos
intermediarios, como otros conmutadores Ethernet, a la misma red. Un router conecta varias
redes, lo que significa que posee varias interfaces, cada una de las cuales pertenece una red
IP diferente.
Cuando un router recibe un paquete IP en una interfaz, determina qué interfaz debe usar para
reenviar el paquete hacia el destino. Esto se conoce como enrutamiento. La interfaz que usa
el router para reenviar el paquete puede ser el destino final o una red conectada a otro router
que se usa para llegar a la red de destino. Generalmente, cada red a la que se conecta un
router requiere una interfaz separada, pero puede que este no siempre el caso.
Las funciones principales de un router son determinar la mejor ruta para reenviar paquetes
basándose en la información de su tabla de enrutamiento, y reenviar paquetes hacia su
destino.
14.1.2
Ejemplo de Funciones del router
El router usa su tabla de routing para encontrar la mejor ruta para reenviar un paquete. Haga
clic en Reproducir en la animación de la ilustración, para seguir un paquete desde la
computadora de origen hasta la computadora de destino. Observe cómo tanto R1 como R2
utilizan sus respectivas tablas de enrutamiento IP para determinar primero la mejor ruta y, a
continuación, reenviar el paquete.
14.1.3
Mejor ruta es igual a la coincidencia más

larga
¿Qué significa que el router deba encontrar la mejor coincidencia en la tabla de routing? La
mejor ruta de la tabla de enrutamiento también se conoce como la coincidencia más larga. La
coincidencia más larga es un proceso que el router utiliza para encontrar una coincidencia
entre la dirección IP de destino del paquete y una entrada de enrutamiento en la tabla de
enrutamiento.
La tabla de enrutamiento contiene entradas de ruta que consisten en un prefijo (dirección de

red) y una longitud de prefijo. Para que haya una coincidencia entre la dirección IPv4 de
destino de un paquete y una ruta en la tabla de routing, una cantidad mínima de los bits del
extremo izquierdo deben coincidir entre la dirección IPv4 del paquete y la ruta en la tabla de
routing. La máscara de subred de la ruta en la tabla de routing se utiliza para determinar la
cantidad mínima de bits del extremo izquierdo que deben coincidir. Recuerde que un paquete
IP sólo contiene la dirección IP de destino y no la longitud del prefijo.
La mejor coincidencia es la ruta de la tabla de routing que contiene la mayor cantidad de bits
del extremo izquierdo coincidentes con la dirección IPv4 de destino del paquete. La ruta con la
mayor cantidad de bits del extremo izquierdo equivalentes, o la coincidencia más larga, es
siempre la ruta preferida.
Nota: El término longitud del prefijo se utilizará para hacer referencia a la parte de red de
direcciones IPv4 e IPv6.
14.1.4
Ejemplo de coincidencia más larga de

direcciones IPv4
En la tabla, un paquete IPv4 tiene la dirección IPv4 de destino 172.16.0.10. El router tiene tres
rutas posibles que coinciden con este paquete: 172.16.0.0/12, 172.16.0.0/18 y 172.16.0.0/26.
De las tres rutas, 172.16.0.0/26 tiene la coincidencia más larga y se elige para reenviar el
paquete. Recuerde que para que cualquiera de estas rutas se considere una coincidencia
debe tener al menos la cantidad de bits coincidentes que se indica en la máscara de subred
de la ruta.
14.1.5
Ejemplo de coincidencia más larga de

direcciones IPv6
En la tabla, un paquete IPv6 tiene la dirección IPv6 de destino 2001:db8:c000: :99. En este
ejemplo se muestran tres entradas de ruta, pero sólo dos de ellas son una coincidencia válida,
siendo una de ellas la coincidencia más larga. Las dos primeras entradas de ruta tienen
longitudes de prefijo que tienen el número requerido de bits coincidentes como indica la
longitud del prefijo. La primera entrada de ruta con una longitud de prefijo de /40 coincide con
los 40 bits del extremo izquierdo de la dirección IPv6. La segunda entrada de ruta tiene una
longitud de prefijo de /48 y con los 48 bits que coinciden con la dirección IPv6 de destino, y es
la coincidencia más larga. La tercera entrada de ruta no coincide porque su prefijo /64 requiere
64 bits coincidentes. Para que el prefijo 2001:db8:c 000:5555: :/64 sea una coincidencia, los
primeros 64 bits deben ser la dirección IPv6 de destino del paquete. Solo coinciden los
primeros 48 bits, por lo que esta entrada de ruta no se considera una coincidencia.
Para el paquete IPv6 de destino con la dirección 2001:db8:c000: :99, considere las tres
entradas de ruta siguientes:
Entradas de
Longitud del prefijo/prefijo ¿Coincide?
ruta
1 2001:db8:c000::/40 Partido de 40 bits
2 2001:db8:c000::/48 Partido de 48 bits (partido más largo)
3 2001:db8:c000:5555:: /64 No coincide con 64 bits
14.1.6
Creación de la tabla de enrutamiento

Una tabla de enrutamiento consta de prefijos y sus longitudes de prefijo. Pero, ¿cómo aprende
el router sobre estas redes? ¿Cómo rellena R1 en la figura su tabla de enrutamiento?
La figura muestra tres tipos de redes Directed Connected Network, Remote Network y Default
Route. El Router1 (R1) es la red conectada directamente con dos conmutadores S1 y S2
conectados a dos PC1 y PC2. El switch está conectado al router R1. R1 y Router2 (R2) se
conectan directamente a través de una conexión punto a punto. R2 está conectado dos
conmutadores S# y S4 con cada conmutador que tiene un PC PC3 y P4 conectado a ellos. R2
forma la red remota. R2 tiene una conexión remota adicional al ISP mediante una conexión
punto a punto que es la conexión a Internet. El esquema numérico para cada dispositivo es
direcciones IPv4 e IPv6 de doble pila.
Redes desde la perspectiva de R1
Redes conectadas directamente
Las redes conectadas directamente son redes que están configuradas en las interfaces
activas de un router. Una red conectada directamente se agrega a la tabla de enrutamiento
cuando una interfaz se configura con una dirección IP y una máscara de subred (longitud de
prefijo) y está activa (arriba y arriba).
Redes remotas
Las redes remotas son redes que no están conectadas directamente al router. Un router
descubre redes remotas de dos maneras:
Rutas estáticas : se agrega a la tabla de enrutamiento cuando se configura manualmente una

ruta. Protocolos de enrutamiento dinámico : se han añadido a la tabla de enrutamiento
cuando los protocolos de enrutamiento aprenden dinámicamente acerca de la red remota.
Estos protocolos incluyen el protocolo de información de routing versión 2 (RIPv2), abrir
primero la ruta más corta (OSPF) y el protocolo de routing de gateway interior mejorado
(EIGRP).
Ruta predeterminada
Una ruta predeterminada específica un router de salto siguiente que se utilizará cuando la
tabla de enrutamiento no contiene una ruta específica que coincida con la dirección IP de
destino. La ruta predeterminada puede configurarse manualmente como ruta estática o puede
introducirla el protocolo de routing.
Una ruta predeterminada sobre IPv4 tiene una entrada de ruta de 0.0.0.0/0 y una ruta
predeterminada sobre IPv6 tiene una entrada de ruta de: :/0. La longitud del prefijo /0 indica
que cero bits o ningún bit deben coincidir con la dirección IP de destino para que se utilice esta
entrada de ruta. Si no hay rutas con una coincidencia más larga, más de 0 bits, entonces la
ruta predeterminada se utiliza para reenviar el paquete. A veces, la ruta predeterminada se
conoce como una puerta de enlace de último recurso.
Reenvío de paquetes
14.2.1
Proceso de decisión de reenvío de

paquetes
Ahora que el router ha determinado la mejor ruta para un paquete en función de la
coincidencia más larga, debe determinar cómo encapsular el paquete y reenviarlo hacia fuera
la interfaz de salida correcta.
La figura muestra cómo un router determina primero la mejor ruta y, a continuación, reenvía el
paquete.
Reenvía el paquete a un dispositivo en una red conectada directamente
Si la entrada de ruta indica que la interfaz de salida es una red conectada directamente, esto
significa que la dirección IP de destino del paquete pertenece a un dispositivo de la red
conectada directamente. Por lo tanto, el paquete se puede reenviar directamente al dispositivo
de destino. El dispositivo de destino suele ser un dispositivo final en una LAN Ethernet, lo que
significa que el paquete debe estar encapsulado en una trama Ethernet.
Para encapsular el paquete en la trama Ethernet, el router necesita determinar la dirección

MAC de destino asociada a la dirección IP de destino del paquete. El proceso varía según si el
paquete es un paquete IPv4 o IPv6:
 Paquete IPv4 - El router comprueba su tabla ARP para la dirección IPv4 de destino y
una dirección MAC Ethernet asociada. Si no hay coincidencia, el router envía una
solicitud ARP. El dispositivo de destino devolverá una respuesta ARP con su dirección
MAC. El router ahora puede reenviar el paquete IPv4 en una trama Ethernet con la
dirección MAC de destino adecuada.
 PaqueteIPv6 - El router comprueba su caché vecino para la dirección IPv6 de destino
y una dirección MAC Ethernet asociada. Si no hay coincidencia, el router envía un
mensaje ICMPv6 Solicitud de vecino (ICMPv6 Neighbor Solicitation) (NS). El
dispositivo de destino devolverá un mensaje ICMPv6 Neighbor Advertisement (NA)
con su dirección MAC. El router ahora puede reenviar el paquete IPv6 en una trama
Ethernet con la dirección MAC de destino adecuada.
Reenvía el paquete a un router de salto siguiente

Si la entrada de ruta indica que la dirección IP de destino está en una red remota, esto
significa que la dirección IP de destino del paquete pertenece a un dispositivo de red que no
está conectado directamente. Por lo tanto, el paquete debe ser reenviado a otro enrutador,
específicamente a un router de siguiente salto. La dirección de salto siguiente se indica en la
entrada de ruta.
Si el router de reenvío y el router de siguiente salto se encuentran en una red Ethernet, se

producirá un proceso similar (ARP e ICMPv6 Neighbor Discovery) para determinar la dirección
MAC de destino del paquete como se describió anteriormente. La diferencia es que el router
buscará la dirección IP del router de salto siguiente en su tabla ARP o caché de vecino, en
lugar de la dirección IP de destino del paquete.
Nota: Este proceso variará para otros tipos de redes de capa 2.
Descarta el paquete - No coincide en la tabla de enrutamiento
Si no hay ninguna coincidencia entre la dirección IP de destino y un prefijo en la tabla de

enrutamiento, y si no hay una ruta predeterminada, se descartará el paquete.
14.2.2
Una responsabilidad principal de la función de switching es la de encapsular los paquetes en
el tipo de marco de enlace de datos correcto para el enlace de datos de salida. Por ejemplo, el
formato de marco de vínculo de datos para un vínculo serie podría ser el protocolo punto a
punto (PPP), el protocolo de control de enlace de datos de alto nivel (HDLC) o algún otro
protocolo de capa 2.
PC1 envía paquete a PC2
En la primera animación, PC1 envía un paquete a PC2. Ya que la PC2 está en una red
diferente, la PC1 reenviará los paquetes a su puerta de enlace predeterminada (gateway).
PC1 buscará en su caché ARP la dirección MAC de gateway predeterminada y agregará la
información de trama indicada.
Nota: Si una entrada de ARP no existe en la tabla de ARP para la puerta de enlace
predeterminada (gateway) de 192.168.1.1, la PC1 enviará una solicitud de ARP El router R1
envía a cambio una respuesta ARP con su dirección MAC.
14.2.3
Mecanismos de reenvío de paquetes

Como se menciono anteriormente, la responsabilidad principal de la función de reenvío de
paquetes es la de encapsular los paquetes en el tipo de marco de enlace de datos correcto
para la interfaz de salida. Cuanto más eficientemente un router pueda realizar esta tarea, más
rápido podrá reenviar paquetes por el router. Los routers admiten tres mecanismos de reenvío
de paquetes:
 Switching de procesos
 Switching rápido
 Cisco Express Forwarding (CEF)
Conmutación de procesos (Process Switching)
Un mecanismo de reenvío de paquetes más antiguo que todavía está disponible para routers
Cisco. Cuando un paquete llega a una interfaz, se reenvía al plano de control, donde la CPU
hace coincidir la dirección de destino con una entrada de la tabla de routing y, a continuación,
determina la interfaz de salida y reenvía el paquete. Es importante comprender que el router
hace esto con cada paquete, incluso si el destino es el mismo para un flujo de paquetes. Este
mecanismo de switching de procesos es muy lento y rara vez se implementa en las redes
modernas. Compare esto con el switching rápido.
Una analogía frecuente que se usa para describir los tres mecanismos de reenvío de paquetes
es la siguiente:
 El switching de procesos resuelve un problema realizando todos los cálculos

matemáticos, incluso si los problemas son idénticos.
 El switching rápido resuelve un problema realizando todos los cálculos matemáticos
una vez y recuerda la respuesta para los problemas posteriores idénticos.
 CEF soluciona todos los problemas posibles antes de tiempo en una hoja de cálculo.
Conmutación rápida(Fast Switching)
La conmutación rápida es otro mecanismo de reenvío de paquetes más antiguo que fue el
sucesor de la conmutación de procesos. Fast switching usa una memoria caché de switching
rápido para almacenar la información de siguiente salto. Cuando un paquete llega a una
interfaz, se reenvía al plano de control, donde la CPU busca una coincidencia en la caché de
switching rápido. Si no encuentra ninguna, se aplica el switching de procesos al paquete, y
este se reenvía a la interfaz de salida. La información de flujo del paquete también se
almacena en la caché de switching rápido. Si otro paquete con el mismo destino llega a una
interfaz, se vuelve a utilizar la información de siguiente salto de la caché sin intervención de la
CPU.
Con el switching rápido, observe que el switching de procesos se aplica solo al primer paquete
de un flujo, el cual se agrega a la caché de switching rápido. Los cuatro paquetes siguientes
se procesan rápidamente según la información de la caché de switching rápido.
es la siguiente:

es la siguiente:
es la siguiente:


14.3.1
Topología
Un router utiliza una tabla de enrutamiento para determinar a dónde enviar los paquetes. Pero
antes de sumergirse en los detalles de la tabla de enrutamiento IP, este tema revisa las tareas
básicas de configuración y verificación del enrutador. También completarás una actividad de
Rastreador de paquetes para actualizar tus habilidades.
La topología de la figura se utilizará para los ejemplos de configuración y verificación. También

se usará en el siguiente tema para discutir la tabla de enrutamiento IP.
14.3.2
Comandos de Configuración
Los siguientes ejemplos muestran la configuración completa de R1.
14.3.3
Comandos de verificación
Algunos comandos de verificación comunes incluyen los siguientes:

 show running-config interface interface-type number
 show interfaces
 show ip interface
 show ip route
 ping
En cada caso, ip reemplace ipv6 por la versión IPv6 del comando. La figura muestra de nuevo
la topología para facilitar la referencia.
14.3.4
Salida del comando de filtro

Otra característica muy útil que mejora la experiencia del usuario en la interfaz de línea de
comandos (CLI)es el filtrado de los resultados del comando show show. Los comandos de
filtrado se pueden utilizar para mostrar secciones específicas de los resultados. Para habilitar
el comando de filtrado, ingrese una barra vertical partida (|) después del comando show y
luego ingrese un parámetro de filtrado y una expresión de filtrado.
Los parámetros de filtrado que se pueden configurar después de la barra vertical incluyen lo
siguiente:
 section - muestra la sección completa que comienza con la expresión de filtrado.

 include - incluye todas las líneas de resultados que coinciden con la expresión de
filtrado.
 exclude - excluye todas las líneas de resultados que coinciden con la expresión de
filtrado.
 begin -muestra todas las líneas de resultados desde determinado punto, comenzando
por la línea que coincide con la expresión de filtra
Nota: Los filtros de salida se pueden usar en combinación con cualquier comando show.
La figura muestra de nuevo la topología para su conveniencia
14.3.4
Salida del comando de filtro

Otra característica muy útil que mejora la experiencia del usuario en la interfaz de línea de
comandos (CLI)es el filtrado de los resultados del comando show show. Los comandos de
filtrado se pueden utilizar para mostrar secciones específicas de los resultados. Para habilitar
el comando de filtrado, ingrese una barra vertical partida (|) después del comando show y
luego ingrese un parámetro de filtrado y una expresión de filtrado.
Los parámetros de filtrado que se pueden configurar después de la barra vertical incluyen lo
siguiente:

 include - incluye todas las líneas de resultados que coinciden con la expresión de
filtrado.
filtrado.
 begin -muestra todas las líneas de resultados desde determinado punto, comenzando
por la línea que coincide con la expresión de filtra
Nota: Los filtros de salida se pueden usar en combinación con cualquier comando show.
La figura muestra de nuevo la topología para su conveniencia
Estos ejemplos demuestran algunos de los usos más comunes de los parámetros de filtrado.
14.3.5
Packet Tracer - Revisión básica de la

configuración del router
Los routers R1 y R2 tienen dos LAN cada uno. R1 ya está configurado. Su tarea es configurar
el direccionamiento adecuado para R2 y verificar la conectividad entre las LAN.
Tabla de routing IP
14.4.1
Origen de la ruta
¿Cómo sabe un router dónde puede enviar paquetes? Crea una tabla de enrutamiento basada
en la red en la que se encuentra.
Una tabla de enrutamiento contiene una lista de rutas a redes conocidas (prefijos y longitudes
de prefijo). La fuente de esta información se deriva de lo siguiente:
 Redes conectadas directamente

 Rutas estáticas
 Protocolos de enrutamiento dinámico
En la figura, R1 y R2 están utilizando el protocolo de enrutamiento dinámico OSPF para

compartir información de enrutamiento. Además, R2 se configura con una ruta estática
predeterminada al ISP.
R1# show ip route
En las tablas de enrutamiento para R1 y R2, observe que los orígenes de cada ruta se
identifican mediante un código. El código identifica la forma en que se descubrió la ruta. Por
ejemplo, los códigos frecuentes incluyen lo siguiente:
 L - Identifica la dirección asignada a la interfaz de un router. Esto permite que el router

determine de forma eficaz si recibe un paquete para la interfaz o para reenviar.
 C - Identifica una red conectada directamente.
 S - Identifica una ruta estática creada para llegar a una red específica.
 O - Identifica una red que se descubre de forma dinámica de otro router con el
protocolo de routing OSPF.
 * - la ruta es candidata para una ruta predeterminada.
14.4.2
Principios de la tabla de enrutamiento

Existen tres principios de tabla de enrutamiento como se describe en la tabla. Estos son
problemas que se abordan mediante la configuración adecuada de protocolos de enrutamiento
dinámico o rutas estáticas en todos los enrutadores entre los dispositivos de origen y destino.
Principios de la tabla de
Ejemplo
enrutamiento
Cada router toma su decisión  R1 sólo puede reenviar paquetes utilizando su propia tabla de enrutamiento.
por sí solo, basándose en la  R1 no sabe qué rutas están en las tablas de enrutamiento de otros (por ejemplo,
información que tiene en su R2).
propia tabla de enrutamiento.
La información de una tabla de

enrutamiento de un enrutador
Solo porque R1 tiene ruta en su tabla de enrutamiento a una red en el internet a través
no necesariamente coincide con
de R2, eso no significa que R2 sepa sobre eso mismo red.
la tabla de enrutamiento de otro
enrutador.
La información de enrutamiento R1 recibe un paquete con la dirección IP de destino de PC1 y la la dirección IP de origen
sobre una ruta no proporciona de PC3. Solo porque R1 sabe reenviar el paquete fuera de su interfaz G0/0/0, no
enrutamiento de retorno al significa necesariamente que sepa cómo reenviar paquetes procedentes de PC1 a la
secundario. red remota de PC3.
14.4.3
Entradas de la tabla de routing

Como administrador de redes, es imprescindible saber cómo interpretar el contenido de las
tablas de routing IPv4 e IPv6. En la ilustración, se muestra una entrada de la tabla de routing
IPv4 en el R1 para la ruta a la red remota 10.0.4.0/24 y 2001:db8:acad:4::/64. Ambas rutas
ruta se descubrieron de forma dinámica de otro router a través del protocolo de routing OSPF.
14.4.4
Redes conectadas directamente

Para que un router pueda aprender acerca de las redes remotas, debe tener al menos una
interfaz activa configurada con una dirección IP y una máscara de subred (longitud de prefijo).
Esto se conoce como una red conectada directamente o una ruta conectada directamente. Los
routers agregan una ruta conectada directamente cuando una interfaz se configura con una
dirección IP y se activa.
Una red conectada directamente se indica mediante un código de estado de C en la tabla de

enrutamiento. La ruta contiene un prefijo de red y una longitud de prefijo.
La tabla de enrutamiento también contiene una ruta local para cada una de sus redes
conectadas directamente, indicada por el código de estado de L. Esta es la dirección IP que
se asigna a la interfaz en esa red conectada directamente. Para las rutas locales IPv4, la
longitud del prefijo es /32 y para las rutas locales IPv6 la longitud del prefijo es /128. Esto
significa que la dirección IP de destino del paquete debe coincidir con todos los bits de la ruta
local para que esta ruta sea una coincidencia. El propósito de la ruta local es permitir que el
router determine de forma eficaz si recibe un paquete para la interfaz o para reenviar.
Las redes conectadas directamente y las rutas locales se muestran en el siguiente resultado.
14.4.5
Rutas estáticas
Después de configurar las interfaces conectadas directamente y de agregarlas a la tabla de
routing, se puede implementar el routing estático o dinámico.
Las rutas estáticas se configuran de forma manual. Estas definen una ruta explícita entre dos
dispositivos de red. A diferencia de los protocolos de routing dinámico, las rutas estáticas no
se actualizan automáticamente y se deben reconfigurar de forma manual si se modifica la
topología de la red. Los beneficios de utilizar rutas estáticas incluyen la mejora de la seguridad
y la eficacia de los recursos. Las rutas estáticas consumen menos ancho de banda que los
protocolos de routing dinámico, y no se usa ningún ciclo de CPU para calcular y comunicar las
rutas. La principal desventaja de usar rutas estáticas es que no se vuelven a configurar de
manera automática si se modifica la topología de la red.
El routing estático tiene tres usos principales:
 Facilita el mantenimiento de la tabla de routing en redes más pequeñas en las cuales no

está previsto que crezcan significativamente.
 Utiliza una única ruta predeterminada para representar una ruta hacia cualquier red que
no tenga una coincidencia más específica con otra ruta en la tabla de routing. Las rutas
predeterminadas se utilizan para enviar tráfico a cualquier destino que esté más allá del
próximo router ascendente.
 Enruta trafico de y hacia redes internas. Una red de rutas internas es aquella a la cual
se accede a través un de una única ruta y cuyo router tiene solo un vecino.
La figura muestra un ejemplo de red superpuesta. En dicha ilustración, observe que cualquier
red conectada al R1 solo tiene una manera de alcanzar otros destinos, ya sean redes
conectadas al R2 o destinos más allá del R2. Esto significa que las redes 10.0.1.0/24 y
10.0.2.0/24 son redes stub y R1 es un router stub.
En este ejemplo, se puede configurar una ruta estática en R2 para llegar a las redes R1.
Además, como el R1 tiene solo una forma de enviar tráfico no local, se puede configurar una
ruta estática predeterminada en el R1 para señalar al R2 como el siguiente salto para todas
las otras redes.
14.4.6
Rutas estáticas en la tabla de enrutamiento

IP
Para demostrar el enrutamiento estático, la topología de la figura se simplifica para mostrar
sólo una LAN conectada a cada enrutador. La figura muestra las rutas estáticas IPv4 e IPv6
configuradas en R1 para alcanzar las redes 10.0.4.0/24 y 2001:db8:acad:4: :/64 en R2. Los
comandos de configuración son sólo para demostración y se describen en otro módulo.
La salida muestra las entradas de enrutamiento estático IPv4 e IPv6 en R1 que pueden
alcanzar las redes 10.0.4.0/24 y 2001:db8:acad:4: :/64 en R2. Observe que ambas entradas
de enrutamiento utilizan el código de estado de S indicar que la ruta fue aprendida por una
ruta estática. Ambas entradas también incluyen la dirección IP del router siguiente salto, a
través de ip-address. El static parámetro al final del comando muestra sólo rutas estáticas.
14.4.7
Protocolos de routing dinámico

Los routers usan protocolos de enrutamiento dinámico para compartir información sobre el
estado y la posibilidad de conexión de redes remotas. Los protocolos de routing dinámico
realizan diversas actividades, como la detección de redes y el mantenimiento de las tablas de
routing.
Las ventajas importantes de los protocolos de enrutamiento dinámico son la capacidad de
seleccionar una mejor ruta y la capacidad de descubrir automáticamente una nueva mejor ruta
cuando se produce un cambio en la topología.
El descubrimiento de redes es la capacidad de un protocolo de enrutamiento de compartir

información sobre las redes que conoce con otros routers que también están usando el mismo
protocolo de enrutamiento. En lugar de depender de las rutas estáticas configuradas
manualmente hacia redes remotas en cada router, los protocolos de routing dinámico permiten
que los routers descubran estas redes de forma automática a través de otros routers. Estas
redes y la mejor ruta hacia cada una se agregan a la tabla de routing del router y se identifican
como redes descubiertas por un protocolo de routing dinámico específico.
La figura muestra los routers R1 y R2 que utilizan un protocolo de enrutamiento común para
compartir información de red.
14.4.8
Rutas dinámicas en la tabla de

enrutamiento IP
En un ejemplo anterior se usaban rutas estáticas a las redes 10.0.4.0/24 y 2001:db8:acad:4:
:/64. Estas rutas estáticas ya no están configuradas y ahora OSPF se utiliza para aprender
dinámicamente todas las redes conectadas a R1 y R2. Los siguientes ejemplos muestran las
entradas de enrutamiento OSPF IPv4 e IPv6 en R1 que pueden llegar a estas redes en R2.
Observe que ambas entradas de enrutamiento utilizan el código de estado de O para indicar
que la ruta fue aprendida por el protocolo de enrutamiento OSPF. Ambas entradas también
incluyen la dirección IP del router de salto siguiente, a través de ip-address.
Nota: Los protocolos de enrutamiento IPv6 utilizan la dirección de vínculo local del router de
siguiente salto.
Nota: La configuración de enrutamiento OSPF para IPv4 e IPv6 está fuera del alcance de este
curso.
R1# show ip route R1# show ipv6 route
14.4.9
Ruta predeterminada
Las rutas predeterminadas son similares a un gateway predeterminado en un host. La ruta
predeterminada especifica un enrutador de salto siguiente que se utilizará cuando la tabla de
enrutamiento no contiene una ruta específica que coincida con la dirección IP de destino.
Una ruta predeterminada puede ser una ruta estática o aprenderse automáticamente de un
protocolo de enrutamiento dinámico. Una ruta predeterminada tiene una entrada de ruta IPv4
de 0.0.0.0/0 o una entrada de ruta IPv6 de: :/0. Esto significa que cero o ningún bit deben
coincidir entre la dirección IP de destino y la ruta predeterminada.
La mayoría de los routers empresariales tienen una ruta predeterminada en su tabla de

enrutamiento. Esto es para reducir el número de rutas en una tabla de enrutamiento.
Un router, como un router doméstico o de oficina pequeña que solo tiene una LAN, puede
llegar a todas sus redes remotas a través de una ruta predeterminada. Esto es útil cuando el
router solo tiene redes conectadas directamente y un punto de salida a un enrutador
proveedor de servicios.
En la figura, los routers R1 y R2 utilizan OSPF para compartir información de enrutamiento

sobre sus propias redes (10.0.x.x/24 y 2001:db8:acad:x: :/64 redes). R2 tiene una ruta estática
predeterminada al router ISP. R2 reenviará al router ISP cualquier paquete con una dirección
IP de destino que no coincida específicamente con una de las redes de su tabla de
enrutamiento. Esto incluiría todos los paquetes destinados a Internet.
eR2 ha compartido su ruta predeterminada con R1 usando OSPF. R1 ahora tendrá una ruta
predeterminada en su tabla de enrutamiento que aprendió dinámicamente de OSPF. R1
también reenviará a R2 cualquier paquete con una dirección IP de destino que no coincida
específicamente con una de las redes de su tabla de enrutamiento.
Los ejemplos siguientes muestran las entradas de la tabla de enrutamiento IPv4 e IPv6 para
las rutas estáticas predeterminadas configuradas en R2.
14.4.10
Estructura de una tabla de enrutamiento

IPv4
IPv4 se estandarizó a principios de la década de 1980 utilizando la arquitectura de
direccionamiento de clase ahora obsoleta. La tabla de enrutamiento IPv4 se organiza
utilizando esta misma estructura de clase. En la show ip route salida, observe que algunas
entradas de ruta se dejan justificadas mientras que otras están sangradas. Esto se basa en la
forma en que el proceso de enrutamiento busca en la tabla de enrutamiento IPv4 la
coincidencia más larga. Todo esto fue debido a un discurso de clase. Aunque el proceso de
búsqueda ya no utiliza clases, la estructura de la tabla de enrutamiento IPv4 sigue
conservándose en este formato.
Nota: La tabla de enrutamiento IPv4 del ejemplo no procede de ningún router de la topología
utilizada en este módulo.
Aunque los detalles de la estructura están fuera del alcance de este módulo, es útil reconocer
la estructura de la tabla. Una entrada sangría se conoce como ruta secundaria. Una entrada
de ruta se sangra si es la subred de una dirección con clase (red de clase A, B o C). Las redes
conectadas directamente siempre tendrán sangría (rutas secundarias) porque la dirección
local de la interfaz siempre se introduce en la tabla de enrutamiento como /32. La ruta
secundaria incluirá el origen de la ruta y toda la información de reenvío, como la dirección de
salto siguiente. La dirección de red con clase de esta subred se mostrará encima de la entrada
de ruta, con menos sangría y sin código fuente. Esto se conoce como “ruta principal”.
Nota: Esto es solo una breve introducción a la estructura de una tabla de enrutamiento IPv4 y
no cubre detalles ni detalles específicos de esta arquitectura.
El siguiente ejemplo muestra la tabla de enrutamiento IPv4 de R1 en la topología. Observe

que todas las redes de la topología son subredes, que son rutas secundarias, de la red de
clase A y de la ruta principal10.0.0.0/8.
14.4.11
Estructura de una tabla de enrutamiento

IPv6
El concepto de direccionamiento con clase nunca formaba parte de IPv6, por lo que la
estructura de una tabla de enrutamiento con IPv6 es muy simple. Cada entrada de ruta IPv6
está formateada y alineada de la misma manera.
14.4.12
Distancia administrativa
Una entrada de ruta para una dirección de red específica (longitud de prefijo y prefijo) sólo
puede aparecer una vez en la tabla de enrutamiento. Sin embargo, es posible que la tabla de
enrutamiento aprenda acerca de la misma dirección de red desde más de un origen de
enrutamiento.
Excepto por circunstancias muy específicas, sólo se debe implementar un protocolo de

enrutamiento dinámico en un router. Sin embargo, es posible configurar tanto OSPF como
EIGRP en un router, y ambos protocolos de routing pueden descubrir la misma red de destino.
Sin embargo, cada protocolo de routing puede decidir tomar una ruta diferente para llegar al
destino según las métricas de ese protocolo de routing.
Esto plantea algunas preguntas, como las siguientes:
 ¿Cómo sabe el router qué fuente usar?

 ¿Qué ruta instalará el router en la tabla de routing? ¿La ruta aprendida de OSPF o la
ruta aprendida de EIGRP?
El IOS de Cisco utiliza lo que se conoce como “distancia administrativa” (AD) para determinar
la ruta que se debe instalar en la tabla de routing de IP. La AD representa la "confiabilidad" de
la ruta. Cuanto menor es la AD, mayor es la confiabilidad de la ruta. Dado que EIGRP tiene un
AD de 90 y OSPF tiene un AD de 110, la entrada de ruta EIGRP se instalaría en la tabla de
enrutamiento.
Nota: AD no representa necesariamente qué protocolo de enrutamiento dinámico es el mejor .
Un ejemplo más común es un router que aprende la misma dirección de red de una ruta
estática y un protocolo de enrutamiento dinámico, como OSPF. Por ejemplo, la AD de una ruta
estática es 1, mientras que la AD de una ruta descubierta por OSPF es 110. El router elige la
ruta con la AD más baja entre dos rutas diferentes al mismo destino. Cuando un router puede
elegir entre una ruta estática y una ruta de OSPF, la ruta estática tiene prioridad.
Nota: Las redes conectadas directamente tienen el AD más bajo de 0. Sólo una red conectada
directamente puede tener un AD de 0.
En la ilustración, se muestran diferentes protocolos de routing y sus AD asociadas.
Distancia
Origen de la ruta
administrativa
Conectado directamente 0
Ruta estática 1
Ruta resumida del protocolo

5
EIGRP
Distancia
Origen de la ruta
administrativa
BGP externo 20
EIGRP interno 90
OSPF 110
IS-IS 115
RIP 120
EIGRP externo 170
BGP interno 200
Enrutamiento estático y dinámico

14.5.1
¿Estático o dinámico?
En el tema anterior se discutieron las formas en que un router crea su tabla de enrutamiento.
Por lo tanto, ahora sabe que el enrutamiento, como el direccionamiento IP, puede ser estático
o dinámico. ¿Debería usar enrutamiento estático o dinámico? ¡La respuesta es ambas cosas!
El routing estático y el routing dinámico no son mutuamente excluyentes. En cambio, la
mayoría de las redes utilizan una combinación de protocolos de routing dinámico y rutas
estáticas.
Rutas Estáticas
Las rutas estáticas se utilizan comúnmente en los siguientes escenarios:
 Como ruta predeterminada de reenvío de paquetes a un proveedor de servicios

 Para rutas fuera del dominio de enrutamiento y no aprendidas por el protocolo de
enrutamiento dinámico
 Cuando el administrador de red desea definir explícitamente la ruta de acceso para una
red específica
 Para el enrutamiento entre redes de código auxiliar
Las rutas estáticas son útiles para redes más pequeñas con solo una ruta hacia una red
externa. También proporcionan seguridad en una red más grande para ciertos tipos de tráfico
o enlaces a otras redes que necesitan más control.
Protocolos de enrutamiento dinámico
Los protocolos de enrutamiento dinámico ayudan al administrador de red a administrar el

proceso riguroso y lento de configuración y mantenimiento de rutas estáticas. Los protocolos
de enrutamiento dinámico se implementan en cualquier tipo de red que consta de más de
unos pocos enrutadores. Los protocolos de enrutamiento dinámico son escalables y
determinan automáticamente las mejores rutas si se produce un cambio en la topología.
Los protocolos de enrutamiento dinámico se utilizan comúnmente en los siguientes

escenarios:
 En redes que consisten en más de unos pocos routers

 Cuando un cambio en la topología de red requiere que la red determine
automáticamente otra ruta
 Escalabilidad A medida que la red crece, el protocolo de enrutamiento dinámico aprende
automáticamente sobre cualquier red nueva.
La tabla muestra una comparación de algunas de las diferencias entre el enrutamiento

dinámico y estático.
Característica Routing dinámico Routing estático
Complejidad de Aumentos en el tamaño de

Independiente del tamaño de la red
la configuración la red
Cambios de Se adapta automáticamente a los cambios Se requiere intervención del

topología de topología administrador
Adecuado para topologías

Escalabilidad Adecuado para topologías complejas
simples
Seguridad La seguridad debe estar configurada La seguridad es inherente
Usa CPU, memoria, ancho de banda de No se necesitan recursos

Uso de recursos
enlaces adicionales
Predictibilidad de La ruta depende de la topología y el Definido explícitamente por

Ruta protocolo de enrutamiento utilizados el administrador
14.5.2
Evolución del protocolo de routing

dinámico
Los protocolos de enrutamiento dinámico se utilizan en el ámbito de las redes desde finales de
la década de los ochenta. Uno de los primeros protocolos de enrutamiento fue RIP. RIPv1 se
lanzó en 1988, pero ya en 1969 se utilizaban algunos de los algoritmos básicos en dicho
protocolo en la Advanced Research Projects Agency Network (ARPANET).
A medida que las redes evolucionaron y se volvieron más complejas, surgieron nuevos
protocolos de enrutamiento. El protocolo RIP se actualizó a RIPv2 para hacer lugar al
crecimiento en el entorno de red. Sin embargo, RIPv2 aún no se escala a las
implementaciones de red de mayor tamaño de la actualidad. Con el objetivo de satisfacer las
necesidades de las redes más grandes, se desarrollaron dos protocolos de enrutamiento: el
protocolo OSPF (abrir primero la ruta más corta) y sistema intermedio a sistema intermedio
(IS-IS). Cisco desarrolló el protocolo de enrutamiento de gateway interior (IGRP) e IGRP
mejorado (EIGRP), que también tiene buena escalabilidad en implementaciones de redes más
grandes.
Asimismo, surgió la necesidad de conectar distintos dominios de enrutamiento de diferentes

organizacions y proporcionar enrutamiento entre ellas. En la actualidad, se utiliza el protocolo
de gateway fronterizo (BGP) entre proveedores de servicios de Internet (ISP). El protocolo
BGP también se utiliza entre los ISP y sus clientes privados más grandes para intercambiar
información de enrutamiento.
En la figura se muestra la línea cronológica de la introducción de los diversos protocolos.
A fin de admitir la comunicación basada en IPv6, se desarrollaron versiones más nuevas de

los protocolos de routing IP, como se muestra en la fila de IPv6 en la Figura 2.
La tabla clasifica los protocolos de enrutamiento actuales. Los protocolos de puerta de enlace
interior (IGP) son protocolos de enrutamiento utilizados para intercambiar información de
enrutamiento dentro de un dominio de enrutamiento administrado por una sola organización.
Sólo hay un EGP y es BGP. BGP se utiliza para intercambiar información de enrutamiento
entre diferentes organizaciones, conocidos como sistemas autónomos (AS). Los ISP utilizan
BGP para enrutar paquetes a través de Internet. Los protocolos de enrutamiento vectorial de
distancia, estado de vínculo y vector de ruta se refieren al tipo de algoritmo de enrutamiento
utilizado para determinar la mejor ruta.
Protocolos de gateway exterior

Protocolos de gateway interior
Vector
Vector distancia Estado de enlace
ruta
Sistema intermedio a sistema

IPv4 RIPv2 EIGRP OSPFv2 BGP-4
intermedio (IS-IS)
Protocolos de gateway exterior
Protocolos de gateway interior
EIGRP para
IPv6 RIPng OSPFv3 IS-IS para IPv6 BGP-MP
IPv6
14.5.3
Conceptos de Protocolos de routing

dinámico
Un protocolo de routing es un conjunto de procesos, algoritmos y mensajes que se usan para
intercambiar información de routing y completar la tabla de routing con la elección de los
mejores caminos que realiza el protocolo. El objetivo de los protocolos de routing dinámico
incluye lo siguiente:
 Detectar redes remotas

 Mantener la información de routing actualizada
 Elección de la mejor ruta hacia las redes de destino
 Poder encontrar un mejor camino nuevo si la ruta actual deja de estar disponible
Los componentes principales de los protocolos de routing dinámico incluyen los siguientes:
 Estructuras de datos - por lo general, los protocolos de routing utilizan tablas o bases
de datos para sus operaciones. Esta información se guarda en la RAM.
 Mensajes del protocolo de routing - los protocolos de routing usan varios tipos de
mensajes para descubrir routers vecinos, intercambiar información de routing y realizar
otras tareas para descubrir la red y conservar información precisa acerca de ella.
 Algoritmo - un algoritmo es una lista finita de pasos que se usan para llevar a cabo una
tarea. Los protocolos de routing usan algoritmos para facilitar información de routing y
para determinar el mejor camino.
Estos protocolos permiten a los routers compartir información en forma dinámica sobre redes
remotas y ofrecer esta información automáticamente en sus propias tablas de routing. Haga
clic en Reproducir para ver una animación sobre este proceso.
Los protocolos de routing determinan la mejor ruta hacia cada red y, a continuación, esa ruta
se ofrece a la tabla de routing. La ruta se instalará en la tabla de routing si no hay otro origen
de routing con una distancia administrativa menor. Uno de los beneficios principales de los
protocolos de routing dinámico es que los routers intercambian información de routing cuando
se produce un cambio en la topología. Este intercambio permite a los routers obtener
automáticamente información sobre nuevas redes y también encontrar rutas alternativas
cuando se produce una falla de enlace en la red actual.
14.5.4
El mejor camino
Antes de ofrecer una ruta a una red remota a la tabla de enrutamiento, el protocolo de
enrutamiento dinámico debe determinar la mejor ruta a esa red. La determinación de la mejor
ruta implica la evaluación de varias rutas hacia la misma red de destino y la selección de la
ruta óptima o la más corta para llegar a esa red. Cuando existen varias rutas hacia la misma
red, cada ruta utiliza una interfaz de salida diferente en el router para llegar a esa red.
El mejor camino es elegido por un protocolo de enrutamiento en función del valor o la métrica
que usa para determinar la distancia para llegar a esa red. Una métrica es un valor cuantitativo
que se utiliza para medir la distancia que existe hasta una red determinada. El mejor camino a
una red es la ruta con la métrica más baja.
Los protocolos de enrutamiento dinámico generalmente usan sus propias reglas y métricas
para construir y actualizar las tablas de enrutamiento. El algoritmo de enrutamiento genera un
valor, o una métrica, para cada ruta a través de la red. Las métricas se pueden calcular sobre
la base de una sola característica o de varias características de una ruta. Algunos protocolos
de enrutamiento pueden basar la elección de la ruta en varias métricas, combinándolas en un
único valor métrico.
En la siguiente tabla se enumeran los protocolos dinámicos comunes y sus métricas.
Protocolo de enrutamiento Métrica
 La métrica es «recuento de saltos».

Protocolo de información
 Cada router a lo largo de una ruta agrega un salto al
de enrutamiento (RIP,
recuento de saltos.
Routing Information
 Se permite un máximo de 15 saltos.
Protocol)
 La métrica es «costo», que es la basada en la

Basado en el ancho de banda acumulado de origen a
destino
Abrir primero la ruta más
 A los enlaces más rápidos se les asignan costos más
corta (OSPF)
bajos en comparación con los más lentos (mayor
costo).
 Calcula una métrica basada en el ancho de banda

Protocolo de routing de más lento y el retardo anormales.
gateway interno mejorado  También podría incluir carga y fiabilidad en la métrica
(EIGRP) cálculo.
En la animación de la ilustración, se destaca cómo la ruta puede ser diferente según la métrica
que se utiliza. Si falla la mejor ruta, el protocolo de enrutamiento dinámico seleccionará
automáticamente una nueva mejor ruta si existe.
14.5.5
Balance de carga
¿Qué sucede si una tabla de routing tiene dos o más rutas con métricas idénticas hacia la
misma red de destino?
Cuando un router tiene dos o más rutas hacia un destino con métrica del mismo costo, el
router reenvía los paquetes usando ambas rutas por igual. Esto se denomina “balanceo de
carga de mismo costo”. La tabla de routing contiene la única red de destino pero tiene varias
interfaces de salida, una para cada ruta de mismo costo. El router reenvía los paquetes
utilizando las distintas interfaces de salida que se indican en la tabla de routing.
Si está configurado correctamente, el balanceo de carga puede aumentar la efectividad y el

rendimiento de la red.
Equilibrio de carga de igual costo se implementa automáticamente mediante protocolos de

enrutamiento dinámico. Se habilita con rutas estáticas cuando hay varias rutas estáticas a la
misma red de destino utilizando diferentes enrutadores de siguiente salto.
Nota: Solo EIGRP admite el balanceo de carga con distinto costo.
En la animación de la ilustración, se proporciona un ejemplo de balanceo de carga de mismo

costo.

cuestionario
14.6.1

Determinar Ruta (path)
Las funciones principales de un router son determinar la mejor ruta para reenviar paquetes
basándose en la información de su tabla de enrutamiento, y reenviar paquetes hacia su
destino. La mejor ruta de la tabla de enrutamiento también se conoce como la coincidencia
más larga. La mejor coincidencia es la ruta de la tabla de routing que contiene la mayor
cantidad de bits del extremo izquierdo coincidentes con la dirección IPv4 de destino del
paquete. Las redes conectadas directamente son redes que están configuradas en las
interfaces activas de un router. Una red conectada directamente se agrega a la tabla de
enrutamiento cuando una interfaz se configura con una dirección IP y una máscara de subred
(longitud de prefijo) y está activa (arriba y arriba). Los routers aprenden acerca de las redes
remotas de dos maneras: las rutas estáticas se agregan a la tabla de enrutamiento cuando
una ruta se configura manualmente y con protocolos de enrutamiento dinámicos. Mediante
protocolos de enrutamiento dinámico como EIGRP y OSPF, las rutas se agregan a la tabla de
enrutamiento cuando los protocolos de enrutamiento aprenden dinámicamente acerca de la
red remota.
Después de que un router determina la ruta correcta, puede reenviar el paquete en una red
conectada directamente, puede reenviar el paquete a un enrutador de siguiente salto o puede
soltar el paquete. Una responsabilidad principal de la función de switching es la de encapsular
los paquetes en el tipo de marco de enlace de datos correcto para el enlace de datos de
salida. Los routers admiten tres mecanismos de reenvío de paquetes: conmutación de
procesos, conmutación rápida y CEF. Los siguientes pasos describen el proceso de reenvío
de paquetes:
1. El marco de enlace de datos con un paquete IP encapsulado llega a la interfaz de

entrada.
2. El router examina la dirección IP de destino en el encabezado del paquete y consulta su
tabla de enrutamiento IP.
3. El router encuentra el prefijo coincidente más largo en la tabla de enrutamiento.
4. El router encapsula el paquete en un marco de enlace de datos y lo reenvía por la
interfaz de salida. El destino podría ser un dispositivo conectado a la red o un router de
siguiente salto.
5. Sin embargo, si no hay ninguna entrada de ruta coincidente, el paquete se elimina.
Revisión de configuración básica del router
Hay varios comandos de configuración y verificación para enrutadores, incluyendo show ip

route, show ip interface, show ip interface brief y show running-config. Para reducir la
cantidad de salida de comandos, utilice un filtro. Los comandos de filtrado se pueden utilizar
para mostrar secciones específicas de los resultados. Para habilitar el comando de filtrado,
ingrese una barra vertical partida (|) después del showcomando y luego ingrese un parámetro
de filtrado y una expresión de filtrado. Los parámetros de filtrado que se pueden configurar
después de la barra vertical incluyen lo siguiente:

 include -incluye todas las líneas de resultados que coinciden con la expresión de
filtrado.
filtrado.
 begin - muestra todas las líneas de resultados desde determinado punto, comenzando
por la línea que coincide con la expresión de filtrado.
Tabla de enrutamiento IP
Una tabla de enrutamiento contiene una lista de rutas redes conocidas (prefijos y longitudes
de prefijo). El origen de esta información se deriva de redes conectadas directamente, rutas
estáticas y protocolos de enrutamiento dinámico. Los códigos de tabla de enrutamiento
comunes incluyen:
 L - identifica la dirección asignada a la interfaz de un router. Esto permite que el router

determine de forma eficaz si recibe un paquete para la interfaz o para reenviar.
 C - identifica una red conectada directamente.
 S - identifica una ruta estática creada para llegar a una red específica.
 O - indica una red que se descubre de forma dinámica de otro router con el protocolo de
routing OSPF.
 * - la ruta es candidata para una ruta predeterminada.
Cada router toma su decisión por sí solo, basándose en la información que tiene en su propia
tabla de enrutamiento. La información de una tabla de enrutamiento de un router no coincide
necesariamente con la tabla de enrutamiento de otro router. La información de enrutamiento
sobre una ruta no proporciona información de enrutamiento de retorno. Las entradas de la
tabla de enrutamiento incluyen el origen de ruta, la red de destino, AD, la métrica, el salto
siguiente, la marca de tiempo de ruta y la interfaz de salida. Para obtener información acerca
de las redes remotas, un router debe tener al menos una interfaz activa configurada con una
dirección IP y una máscara de subred (longitud de prefijo), denominada red conectada
directamente. Las rutas estáticas se configuran manualmente y definen una ruta explícita entre
dos dispositivos de red. Los protocolos de enrutamiento dinámico pueden detectar una red,
mantener tablas de enrutamiento, seleccionar una mejor ruta y descubrir automáticamente una
nueva mejor ruta si cambia la topología. Una ruta predeterminada específica un router de salto
siguiente que se utilizará cuando la tabla de enrutamiento no contiene una ruta específica que
coincida con la dirección IP de destino. Una ruta predeterminada puede ser una ruta estática o
aprenderse automáticamente de un protocolo de enrutamiento dinámico. Una ruta
predeterminada tiene una entrada de ruta IPv4 de 0.0.0.0/0 o una entrada de ruta IPv6 de: :/0.
Las tablas de enrutamiento IPv4 todavía tienen una estructura basada en direcciones de clase
representadas por niveles de sangría. Las tablas de enrutamiento IPv6 no utilizan la estructura
de la tabla de enrutamiento IPv4. El IOS de Cisco utiliza lo que se conoce como “distancia
administrativa” (AD) para determinar la ruta que se debe instalar en la tabla de routing de IP.
La AD representa la "confiabilidad" de la ruta. Cuanto menor es la AD, mayor es la
confiabilidad de la ruta.
Enrutamiento estático y dinámico
Las rutas estáticas se utilizan comúnmente:
 Como ruta predeterminada de reenvío de paquetes a un proveedor de servicios.

 Para rutas fuera del dominio de enrutamiento y no aprendidas por el protocolo de
enrutamiento dinámico.
 Cuando el administrador de red desea definir explícitamente la ruta de acceso para una
red específica.
 Para el enrutamiento entre redes de código auxiliar.
El protocolo de enrutamiento dinámico se utiliza comúnmente:
 En redes que consisten en más de unos pocos routers

 Cuando un cambio en la topología de red requiere que la red determine
automáticamente otra ruta
 Escalabilidad A medida que la red crece, el protocolo de enrutamiento dinámico aprende
automáticamente sobre cualquier red nueva.
Los protocolos de enrutamiento actuales incluyen IGP y EGP. Los IGP intercambian
información de enrutamiento dentro de un dominio de enrutamiento administrado por una sola
organización. El único EGP es BGP. BGP intercambia información de enrutamiento entre
diferentes organizaciones. Los ISP utilizan BGP para enrutar paquetes a través de Internet.
Los protocolos de enrutamiento vectorial de distancia, estado de vínculo y vector de ruta se
refieren al tipo de algoritmo de enrutamiento utilizado para determinar la mejor ruta. Los
principales componentes de los protocolos de enrutamiento dinámico son estructuras de
datos, mensajes de protocolo de enrutamiento y algoritmos. El mejor camino es elegido por un
protocolo de enrutamiento en función del valor o la métrica que usa para determinar la
distancia para llegar a esa red. Una métrica es un valor cuantitativo que se utiliza para medir la
distancia que existe hasta una red determinada. El mejor camino a una red es la ruta con la
métrica más baja. Cuando un router tiene dos o más rutas hacia un destino con métrica del
mismo costo, el router reenvía los paquetes usando ambas rutas por igual. Esto se denomina
“balanceo de carga de mismo costo”.
Introducción
15.0.1

¡Bienvenido a IP Static Routing!
Hay tantas maneras diferentes de enrutar dinámicamente un paquete que podría preguntarse,
por qué alguien se tomaría el tiempo para configurar manualmente una ruta estática. Es como
lavar a mano toda su ropa cuando tiene una lavadora perfectamente buena. Pero sabe que
algunos artículos de ropa no pueden entrar en la lavadora. Algunos artículos se benefician de
ser lavados a mano. Hay una similitud con el networking. De tal manera que hay muchas
situaciones en las que una ruta estática configurada manualmente es su mejor opción.
Hay diferentes tipos de rutas estáticas, y cada una es perfecta para resolver (o evitar) un tipo
específico de problema de red. Muchas redes utilizan enrutamiento dinámico y estático, por lo
que los administradores de red necesitan saber cómo configurar, verificar y solucionar
problemas de rutas estáticas. Está realizando este curso porque desea convertirse en
administrador de red o desea mejorar sus habilidades de administrador de red existentes. ¡Se
alegrará de haber tomado este módulo, porque usará estas habilidades con frecuencia! ¡Y
debido a que este módulo trata de configurar rutas estáticas, hay varias actividades de
Verificación de sintaxis, seguido por un Packet Tracer y un Lab donde puede perfeccionar sus
habilidades!
15.0.2

Título del módulo: Rutas IP estáticas
Objetivos del módulo: Configure las rutas estáticas IPv4 e IPv6.
Rutas estáticas Describe la sintaxis del comando para rutas estáticas.
Configuración de rutas
Configure las rutas estáticas IPv4 e IPv6.
estáticas IP
Configure las rutas estáticas predeterminadas IPv4 e IPv6.
estáticas predeterminadas IP
Configure una ruta estática flotante para proporcionar una conexión de respaldo.
estáticas flotantes
Configuración de rutas de Configure rutas de hosts estáticas IPv4 e IPv6 que dirijan el tráfico hacia un host
host estáticas específico.
Rutas estáticas
15.1.1
Tipos de rutas estáticas

Las rutas estáticas se implementan comúnmente en una red. Esto es cierto incluso cuando
hay un protocolo de enrutamiento dinámico configurado. Por ejemplo, una organización podría
configurar una ruta estática predeterminada para el proveedor de servicios y anunciar esta
ruta a otros routers corporativos mediante el protocolo de enrutamiento dinámico.
Las rutas estáticas se pueden configurar para IPv4 e IPv6. Ambos protocolos admiten los
siguientes tipos de rutas estáticas:
 Ruta estática estándar

 Ruta estática predeterminada
 Ruta estática flotante
 Ruta estática resumida
Las rutas estáticas se configuran con el comando ip route y el de ipv6 route configuración
global.
15.1.2
Opciones de siguiente salto

El siguiente salto se puede identificar mediante una dirección IP, una interfaz de salida, o
ambas cuando se está configurando una ruta estática. El modo en que se especifica el destino
genera uno de los siguientes tres tipos de ruta:
 Ruta del siguiente salto - Solo se especifica la dirección IP del siguiente salto
 Ruta estática conectada directamente - Solo se especifica la interfaz de salida del
router
 Ruta estática totalmente especificada - Se especifican la dirección IP del siguiente
salto y la interfaz de salida
15.1.3
Comando de ruta estática IPv4

Las rutas estáticas IPv4 se configuran con el siguiente comando global:
Router(config)# ip route network-address subnet-mask { ip-address |
exit-intf [ip-address]} [distance]
Nota: Se deben configurar los parámetros ip-address, exit-intf, o ip-address y exit-intf .
La tabla describe los ip route parámetros para el comando.
network-address
Identifica la dirección de red IPv4 de destino de la red remota para agregar a la tabla de
enrutamiento.
 Identifica la máscara de subred de la red remota.

 La máscara de subred puede modificarse para resumir un grupo de redes y crear una
subnet-mask
ruta estática resumida.
 Identifica la dirección IPv4 del router de siguiente salto.

 Normalmente se utiliza con redes de difusión (es decir, Ethernet).
ip-address  Podría crear una ruta estática recursiva donde el router realice una búsqueda
adicional para encontrar la interfaz de salida.
 Identifica la interfaz de salida para reenviar paquetes.

 Crea una ruta estática conectada directamente.
exit-intf
 Suele utilizarse para conectarse en una configuración punto a punto.
exit-intf ip- Crea una ruta estática completamente especificada porque especifica la interfaz de salida y la
address dirección IPv4 de salto siguiente.
 Comando opcional que se puede utilizar para asignar un valor administrativo de

distancia entre 1 y 255.
distance  Suele utilizarse para configurar una ruta estática flotante al establecer una distancia
administrativa mayor a la de una ruta dinámica predeterminada.
15.1.4
Comando de ruta estática IPv6
Las rutas estáticas IPv6 se configuran con el siguiente comando global:
Router(config)# ipv6 route ipv6-prefix/prefix-length {ipv6-address |
exit-intf [ipv6-address]} [distance]
La mayoría de los parámetros son idénticos a la versión IPv4 del comando.
La tabla muestra los distintos parámetros de ipv6 route comando y sus descripciones.
Identifica la dirección de la red IPv6 de destino de la red remota para agregar a la tabla de
ipv6-prefix
enrutamiento.
/prefix-length Identifica la longitud del prefijo de la red remota.
 Identifica la dirección IPv6 del router de siguiente salto.

 Normalmente se utiliza con redes de difusión (por ejemplo, Ethernet)
ipv6-address  Podría crear una ruta estática recursiva donde el router realice una búsqueda adicional
para encontrar la interfaz de salida.
 Identifica la interfaz de salida para reenviar paquetes.

 Crea una ruta estática conectada directamente.
exit-intf
 Suele utilizarse para conectarse en una configuración punto a punto.
exit-intf ipv6- Crea una ruta estática completamente especificada porque especifica la salida y dirección IPv6 de
address salto siguiente.
 Comando opcional que se puede utilizar para asignar un valor administrativo de distancia
entre 1 y 255.
distance  Suele utilizarse para configurar una ruta estática flotante al establecer una distancia
administrativa mayor que una ruta dinámica predeterminada.
Nota: El ipv6 unicast-routing comando de configuración global debe configurarse para que
habilite al router para que reenvíe paquetes IPv6.
15.1.5
Topología Dual-Stack
En la figura, se ve una topología de red dual-stack. Actualmente, no hay rutas estáticas
configuradas para IPv4 o IPv6.
15.1.6
{1}Iniciando tablas de enrutamiento IPv4

Tabla de enrutamiento IPv4 del R1
R1# show ip route | begin Gateway



R1 puede hacerle ping a R2
Ninguno de los routers tiene conocimiento de las redes que están fuera de las interfaces
conectadas directamente. Esto significa que cada router solo puede llegar a redes conectadas
directamente, como se demuestra en las siguientes pruebas de ping.
Un ping de R1 a la interfaz serial 0/1/0 de R2 debe tener éxito porque es una red conectada
directamente.
R1# ping 172.16.2.2
R1 puede hacerle ping a LAN R3
Sin embargo, un ping del R1 a la LAN del R3 debe fallar porque R1 no tiene una entrada en
su tabla de routing para la red LAN del R3.
R1# ping 192.168.2.1
15.1.7
Inicio de tablas de enrutamiento de IPv6

R1# show ipv6 route | begin C



R1 puede hacerle ping a R2
Ninguno de los routers tiene conocimiento de las redes que están fuera de las interfaces
conectadas directamente.
Un ping de R1 a la interfaz serial 0/1/0 en R2 debería tener éxito.
R1# ping 2001:db8:acad:2: :2

R1 no puede hacerle ping a LAN R3
Sin embargo, a ping a la LAN R3 no tiene éxito. Esto se debe a que el R1 no tiene una
entrada en su tabla de routing para esa red.
R1# ping 2001:DB8:Cafe:2: :1
Configuración de rutas estáticas IP

15.2.1
Ruta estática IPv4 de siguiente salto

Los comandos para configurar rutas estáticas estándar varían ligeramente entre IPv4 e IPv6.
En este tema se muestra cómo configurar rutas estáticas estándar de siguiente salto,
conectadas directamente y completas especificadas para IPv4 e IPv6.
En una ruta estática de siguiente salto, solo se especifica la dirección IP del siguiente salto. La
interfaz de salida se deriva del próximo salto. Por ejemplo, se configuran tres rutas estáticas
de siguiente salto en el R1 con la dirección IP del siguiente salto, el R2
Los comandos para configurar R1 con las rutas estáticas IPv4 a las tres redes remotas son los
siguientes:
La tabla de enrutamiento para R1 ahora tiene rutas a las tres redes IPv4 remotas.
15.2.2
Ruta estática IPv6 de siguiente salto

Los comandos para configurar R1 con las rutas estáticas IPv6 a las tres redes remotas son los
siguientes:
La tabla de enrutamiento para R1 ahora tiene rutas a las tres redes IPv6 remotas.
R1# show ipv6 route

15.2.3
Ruta Estática IPv4 Conectada

Directamente
Al configurar una ruta estática, otra opción es utilizar la interfaz de salida para especificar la
dirección del siguiente salto. La figura muestra de nuevo la topología.
Se configuran tres rutas estáticas conectadas directamente en el R1 mediante la interfaz de

salida.
La tabla de routing para el R1 muestra que cuando un paquete está destinado a la red
192.168.2.0/24, el R1 busca una coincidencia en la tabla de routing y encuentra que puede
reenviar el paquete desde su interfaz serial 0/0/0.
Nota: Generalmente se recomienda utilizar una dirección de salto siguiente. Las rutas
estáticas conectadas directamente solo deben usarse con interfaces seriales punto a punto,
como en este ejemplo.

15.2.4
Ruta Estática IPv6 Conectada

Directamente
En el ejemplo, se configuran tres rutas estáticas conectadas directamente en el R1 mediante
la interfaz de salida.
La tabla de routing IPv6 para el R1 en el ejemplo muestra que cuando un paquete está
destinado a la red 2001:db8:cafe:2::/64, el R1 busca una coincidencia en la tabla de routing y
encuentra que puede reenviar el paquete desde su interfaz serial 0/0/0.
Nota: Generalmente se recomienda utilizar una dirección de salto siguiente. Solo se deben
utilizar rutas estáticas conectadas directamente con interfaces seriales de punto a punto, como
se muestra en este ejemplo.
R1# show ipv6 route

15.2.5
Ruta estática completamente especificada

IPv4
Una ruta estática completamente especificada tiene determinadas tanto la interfaz de salida
como la dirección IP del siguiente salto. Esta forma de ruta estática se utiliza cuando la
interfaz de salida es una interfaz de acceso múltiple y se debe identificar explícitamente el
siguiente salto. El siguiente salto debe estar conectado directamente a la interfaz de salida
especificada. El uso de una interfaz de salida es opcional, sin embargo, es necesario utilizar
una dirección de salto siguiente.
Suponga que el enlace de red entre el R1 y el R2 es un enlace Ethernet y que la interfaz
GigabitEthernet 0/0/1 del R1 está conectada a dicha red, como se muestra en la figura 1.
La diferencia entre una red Ethernet de accesos múltiples y una red serial punto a punto es
que esta última solo tiene un dispositivo más en esa red, el router que se encuentra en el otro
extremo del enlace. Con las redes Ethernet, es posible que existan muchos dispositivos
diferentes que comparten la misma red de accesos múltiples, incluyendo hosts y hasta routers
múltiples.
Cuando la interfaz de salida sea una red Ethernet, se recomienda utilizar una ruta estática que
incluya una dirección del siguiente salto. También puede usar una ruta estática
completamente especificada que incluye la interfaz de salida y la dirección de siguiente salto.
Al reenviar paquetes al R2, la interfaz de salida es GigabitEthernet 0/0/1 y la dirección IPv4 del
siguiente salto es 172.16.2.2. como se muestra en el show ip route resultado de R1.
15.2.6
Ruta estática completamente especificada
IPv6
En una ruta estática IPv6 completamente especificada, se especifican tanto la interfaz de
salida como la dirección IPv6 del siguiente salto. Hay una situación en IPv6 que se da cuando
se debe utilizar una ruta estática completamente especificada. Si la ruta estática IPv6 usa una
dirección IPv6 link-local como la dirección del siguiente salto, debe utilizarse una ruta estática
completamente especificada. La figura muestra un ejemplo de una ruta estática IPv6
completamente especificada que utiliza una dirección IPv6 link-local como la dirección del
siguiente salto.
En el ejemplo, se configura una ruta estática completamente especificada con la dirección link-
local del R2 como dirección del siguiente salto. Observe que el IOS requiere que se
especifique una interfaz de salida.
La razón por la cual se debe utilizar una ruta estática completamente especificada es que las
direcciones IPv6 link-local no están incluidas en la tabla de routing IPv6. Las direcciones link-
local solo son exclusivas en una red o un enlace dados. La dirección link-local del siguiente
salto puede ser una dirección válida en varias redes conectadas al router. Por lo tanto, es
necesario que la interfaz de salida se incluya.
El siguiente ejemplo muestra la entrada de la tabla de routing IPv6 para esta ruta. Observe
que la dirección link-local del siguiente salto y la interfaz de salida están incluidas.
R1# show ipv6 route static | begin 2001:db8:acad:1::/64
15.2.7
Verificación de una ruta estática

Junto con show ip route, show ipv6 route, ping y traceroute, otros comandos útiles para
verificar las rutas estáticas son los siguientes:
 show ip route static
 show ip route network
 show running-config | section ip route
Reemplace ip con ipv6 para las versiones IPv6 del comando.
Haga referencia a la figura al revisar los ejemplos de comandos.
Esta salida muestra sólo las rutas estáticas IPv4 en la tabla de enrutamiento. También tenga
en cuenta dónde el filtro comienza la salida, excluyendo todos los códigos.
R1# show ip route static | begin Gateway
Este comando mostrará la salida sólo para la red especificada en la tabla de enrutamiento.
R1# show ip route 192.168.2.1

Este comando filtra la configuración en ejecución sólo para rutas estáticas IPv4.
R1# show running-config | section ip route

Este resultado muestra sólo las rutas estáticas IPv6 en la tabla de enrutamiento. También
tenga en cuenta dónde el filtro comienza la salida, excluyendo todos los códigos.
R1# show ipv6 route static

Este comando mostrará la salida de la red especificada en la tabla de routing únicamente.
R1# show ipv6 route 2001:db8:cafe:2::
Este comando filtra la configuración en ejecución sólo para rutas estáticas IPv6.
R1# show running-config | section ipv6 route

15.2.8
Verificador de sintaxis- Configurar rutas

estáticas
Configurar rutas estáticas en función de los requisitos especificados
Configuración de rutas estáticas

predeterminadas IP
15.3.1
Ruta estática por defecto

En este tema le enseña cómo configurar una ruta predeterminada para IPv4 e IPv6. También
explica las situaciones en las que una ruta predeterminada es una buena opción. Una ruta
predeterminada es una ruta estática que coincide con todos los paquetes. En lugar de
almacenar rutas para todas las redes en Internet, los routers pueden almacenar una única ruta
predeterminada que represente cualquier red que no esté en la tabla de routing.
Los routers suelen utilizar rutas predeterminadas configuradas de forma local, o bien,
descubiertas por otro router, mediante un protocolo de routing dinámico. Una ruta
predeterminada no requiere de ningún bit para que coincida entre la ruta predeterminada y la
dirección IP destino. Una ruta predeterminada se utiliza cuando ninguna otra ruta de la tabla
de routing coincide con la dirección IP de destino del paquete. Es decir, si no existe una
coincidencia más específica, entonces se utiliza la ruta predeterminada como el gateway de
último recurso.
Las rutas estáticas predeterminadas se utilizan comúnmente al conectar un router perimetral a

una red de proveedor de servicios, o un router stub (un router con solo un router vecino
ascendente).
La figura muestra un escenario de ruta estática predeterminado típico.
Ruta estática predeterminada IPv4
La sintaxis del comando para una ruta estática predeterminada IPv4 es similar a cualquier otra
ruta estática, con la excepción de que la dirección de red es 0.0.0.0 y la máscara de subred
es 0.0.0.0. 0.0.0.0 0.0.0.0 en la ruta coincidirá con cualquier dirección de red.
Nota: Una ruta estática predeterminada IPv4 suele llamarse “ruta de cuádruple cero”.
La sintaxis del comando básico de una ruta estática predeterminada IPv4 es la siguiente:
Router(config)# ip route 0.0.0.0 0.0.0.0 {ip-address | exit-intf}
Ruta estática predeterminada IPv6
La sintaxis del comando para una ruta estática predeterminada IPv4 es similar a la sintaxis del
comando de cualquier otra ruta estática, excepto que ipv6-prefix/prefix-length es ::/0, que
coincide con todas las rutas.
La sintaxis del comando básico de una ruta estática predeterminada IPv6 es la siguiente:
Router(config)# ipv6 route ::/0 {ipv6-address | exit-intf}
15.3.2
Configuración de una ruta estática

predeterminada
En la figura, R1 puede configurarse con tres rutas estáticas para alcanzar todas las redes
remotas en la topología de ejemplo. Sin embargo, el R1 es un router de rutas internas, ya que
está conectado únicamente al R2. Por lo tanto, sería más eficaz configurar una sola ruta
estática predeterminada.
El ejemplo muestra una ruta estática predeterminada IPv4 configurada en R1. Con la
configuración del ejemplo, cualquier paquete que no coincida con entradas más específicas de
la ruta se reenvía a 172.16.2.2.
R1(config)# ip route 0.0.0.0 0.0.0.0 172.16.2.2
Una ruta estática predeterminada IPv6 se configura de manera similar. Con esta
configuración, cualquier paquete que no coincida con entradas más específicas de la ruta IPv6
se reenvía a R2 al 2001:db8:acad:2::2
R1(config)# ipv6 route ::/0 2001:db8:acad:2::2
15.3.3
Verificar una ruta estática predeterminada

Verificar Ruta estática predeterminada IPv4
La salida del comando show ip route static de R1 muestra el contenido de las rutas estáticas
en la tabla de routing. Vea el asterisco (*) Al lado de la ruta con el código "S". Como se
muestra en la tabla de códigos en la salida del comando show ip route , el asterisco indica
que la ruta estática es una ruta predeterminada candidata, razón por la cual se selecciona
como gateway de último recurso.
R1# show ip route static
Verificar Ruta estática predeterminada IPv6
Este ejemplo muestra el show ipv6 route static resultado del comando para mostrar el
contenido de la tabla de routing.
R1# show ipv6 route static
Observe que la configuración de ruta estática predeterminada utiliza la máscara /0 para las
rutas predeterminadas IPv4 y el prefijo: :/0 para las rutas predeterminadas IPv6. Recuerde que
la longitud de la máscara subnet IPv4 y el prefijo de IPv6 en una tabla de routing determina
cuántos bits deben coincidir entre la dirección IP de destino del paquete y la ruta en la tabla de
routing. Un prefijo /0 mask or ::/0 indica que no se requiere que ninguno de los bits coincida.
Mientras no exista una coincidencia más específica, la ruta estática predeterminada coincide
con todos los paquetes.
15.3.4

estáticas
Configure y verifique rutas estáticas predeterminadas en función de los requisitos
especificados.
Configuración de rutas estáticas

flotantes
15.4.1
Rutas estáticas flotantes

Al igual que con los otros temas de este módulo, aprenderá a configurar rutas estáticas
flotantes IPv4 e IPv6 y cuándo utilizarlas.
Otro tipo de ruta estática es una ruta estática flotante. Las rutas estáticas flotantes son rutas
estáticas que se utilizan para proporcionar una ruta de respaldo a una ruta estática o dinámica
principal, en el caso de una falla del enlace. La ruta estática flotante se utiliza únicamente
cuando la ruta principal no está disponible.
Para lograrlo, la ruta estática flotante se configura con una distancia administrativa mayor que
la ruta principal. La distancia administrativa representa la confiabilidad de una ruta. Si existen
varias rutas al destino, el router elegirá la que tenga una menor distancia administrativa.
Por ejemplo, suponga que un administrador desea crear una ruta estática flotante como
respaldo de una ruta descubierta por EIGRP. La ruta estática flotante se debe configurar con
una distancia administrativa mayor que el EIGRP. El EIGRP tiene una distancia administrativa
de 90. Si la ruta estática flotante se configura con una distancia administrativa de 95, se
prefiere la ruta dinámica descubierta por el EIGRP a la ruta estática flotante. Si se pierde la
ruta descubierta por el EIGRP, en su lugar se utiliza la ruta estática flotante.
En la imagen, el router de la sucursal generalmente reenvía todo el tráfico al router de la

oficina central (HQ) mediante el enlace WAN privado. En este ejemplo, los routers
intercambian información de la ruta utilizando el EIGRP. Una ruta estática flotante, con una
distancia administrativa de 91 o superior, se puede configurar para que funcione como ruta de
respaldo. Si el enlace WAN privado falla y la ruta EIGRP desaparece de la tabla de routing, el
router selecciona la ruta estática flotante como la mejor ruta para alcanzar la LAN de la oficina
central.
De manera predeterminada, las rutas estáticas tienen una distancia administrativa de 1, lo que
las hace preferibles a las rutas descubiertas mediante protocolos de routing dinámico. Por
ejemplo, las distancias administrativas de algunos protocolos de routing dinámico comunes
son las siguientes:
 EIGRP = 90
 OSPF = 110
 IS-IS = 115
La distancia administrativa de una ruta estática se puede aumentar para hacer que la ruta sea
menos deseable que la ruta de otra ruta estática o una ruta descubierta mediante un protocolo
de routing dinámico. De esta manera, la ruta estática “flota” y no se utiliza cuando está activa
la ruta con la mejor distancia administrativa. Sin embargo, si se pierde la ruta de preferencia,
la ruta estática flotante puede tomar el control, y se puede enviar el tráfico a través de esta
ruta alternativa.
15.4.2
Configure las Rutas Estáticas Flotantes

IPv4 y IPv6
Las rutas estáticas flotantes IP se configuran mediante el distance argumento para especificar
una distancia administrativa. Si no se configura ninguna distancia administrativa, se utiliza el
valor predeterminado (1).
Consulte la topología en la figura y los comandos ip route y ipv6 route emitidos en R1. En
esta situación, la ruta predeterminada preferida desde R1 es a R2. La conexión al R3 se debe
utilizar solo para respaldo.
El R1 se configura con las rutas estáticas predeterminadas IPv4 e IPv6 apuntando al R2.
Debido a que no está configurada ninguna distancia administrativa, se utiliza el valor
predeterminado (1) para esta ruta estática. El R1 también se configura con las rutas estáticas
flotantes predeterminadas IPv6 que apuntan al R3 con una distancia administrativa de 5. Este
valor es mayor que el valor predeterminado de 1 y, por lo tanto, esta ruta flota y no está
presente en la tabla de routing, a menos que falle la ruta preferida.
show ip route y show ipv6 route verifican que la ruta predeterminada al R2 esté instalada en
la tabla de routing. Observe que la ruta estática flotante de IPv4 a R3 no está presente en la
tabla de routing.
R1# show ip route static | begin Gateway
Utilice el comando show run para comprobar que las rutas estáticas flotantes están en la
configuración. Por ejemplo, el siguiente comando verifica que ambas rutas estáticas
predeterminadas IPv6 estén en la configuración en ejecución.
R1# show run | include ipv6 route
15.4.3
Pruebe la ruta estática flotante

En la imagen, ¿qué ocurriría si el R2 falla?
Para simular esta falla, se desactivan ambas interfaces seriales del R2, como se muestra en la
configuración.
Observe que R1 genera mensajes automáticamente indicando que la interfaz serial a R2 está
caída.
Una mirada a las tablas de enrutamiento IP de R1 verifica que las rutas estáticas flotantes
predeterminadas están ahora instaladas como rutas predeterminadas y apuntan a R3 como
enrutador de salto siguiente.
15.4.4
Verificador de sintaxis - Configurar rutas

estáticas flotantes
Configure y verifique rutas estáticas flotantes en función de los requisitos especificados.
Configuración de rutas de host

estáticas
15.5.1
Rutas del host

En este tema se muestra cómo configurar una ruta de host estática IPv4 e IPv6 y cuándo
utilizarlas.
Una ruta de host es una dirección IPv4 con una máscara de 32 bits o una dirección IPv6 con
una máscara de 128 bits. A continuación se muestra tres maneras de agregar una ruta de host
a una tabla de routing:
 Se instala automáticamente cuando se configura una dirección IP en el router (como

se muestra en las figuras)
 Configurarla como una ruta de host estático
 Obtener la ruta de host automáticamente a través de otros métodos (se analiza en
cursos posteriores)
15.5.2
Rutas de host instaladas automáticamente

El IOS de Cisco instala automáticamente una ruta de host, también conocida como ruta de
host local, cuando se configura una dirección de interfaz en el router. Una ruta host permite un
proceso más eficiente para los paquetes que se dirigen al router mismo, en lugar del envío de
paquetes. Esto es una suma a la ruta conectada, designada con una C en la tabla de routing
para la dirección de red de la interfaz.
Cuando una interfaz activa en un router se configura con una dirección IP, se agrega
automáticamente una ruta de host local a la tabla de routing. Las rutas locales se marcan
con L en el resultado de la tabla de routing.
Consulte la topología de referencia en la ilustración.
Las direcciones IP asignadas a la interfaz Branch Serial0/1/0 son 198.51.100.1/30 y

2001:db8:acad:1::1/64. Las rutas locales para la interfaz son instaladas por el IOS en la tabla
de routing del IPv4 e IPv6, como se muestra en el ejemplo.
Branch# show ip route | begin Gateway
15.5.3
Ruta estática de host
Una ruta de host puede ser una ruta estática configurada manualmente para dirigir el tráfico a
un dispositivo de destino específico, como un servidor de autenticación. La ruta estática utiliza
una dirección IP de destino y una máscara 255.255.255.255 (/32) para las rutas de host IPv4 y
una longitud de prefijo /128 para las rutas de host IPv6.
15.5.4
Configuración de rutas de host estáticas

El ejemplo muestra la configuración de la ruta de host estática IPv4 e IPv6 en el router Branch
para acceder al servidor.
15.5.5
Verificar rutas de host estáticas

Una revisión de las tablas de rutas IPv4 e IPv6 verifica que las rutas estén activas.
Branch# show ip route | begin Gateway Branch# show ipv6 route
15.5.6
Configurar rutas de host estáticas IPV6 con
Link-Local de siguiente salto
Para rutas estáticas IPv6, la dirección del siguiente salto puede ser la dirección link-local del
router adyacente. Sin embargo, debe especificar un tipo de interfaz y un número de interfaz
cuando usa una dirección link-local como siguiente salto, como se muestra en el ejemplo. En
primer lugar, se elimina la ruta de host estática IPv6 original y, a continuación, se configura
una ruta completamente especificada con la dirección IPv6 del servidor y la dirección local del
vínculo IPv6 del router ISP.
15.5.7

estáticas
Configurar y verificar rutas de host estáticas en función de los requisitos especificados

cuestionario
15.6.1
Packet Tracer: Configuración de rutas
estáticas y predeterminadas IPv4 eIPv6
En esta actividad de resumen Packet Tracer, configurará rutas estáticas, predeterminadas y
flotantes para los protocolos IPv4 e IPv6.
15.6.2
Lab - Configure rutas estáticas y

predeterminadas IPv4 e IPv6

 Parte 2: Configurar y verificar direcciones IP e IPv6 en R1 y R2
 Parte 3: Configure y verifique el routing estático y el routing predeterminado para IPv4
en R1 y R2
 Parte 4: Configure y verifique el routing estático y el routing predeterminado para IPv6
en R1 y R2
15.6.3

Rutas Estáticas
Las rutas estáticas se pueden configurar para IPv4 e IPv6. Ambos protocolos admiten los
siguientes tipos de rutas estáticas: ruta estática estándar, ruta estática predeterminada, ruta
estática flotante y ruta estática de resumen. Las rutas estáticas se configuran con el comando
ip route e ipv6 route de configuración global. El siguiente salto se puede identificar mediante
una dirección IP, una interfaz de salida, o ambas cuando se está configurando una ruta
estática. La forma en que se especifica el destino crea uno de los tres tipos siguientes de ruta
estática: next hop, directamente conectado y completamente especificado. Las rutas estáticas
IPv4 se configuran mediante el siguiente comando de configuración global: ip route network-
address subnet-mask {ip-address | exit-intf [ip=address]} [distance]. Las rutas estáticas IPv6
se configuran mediante el siguiente comando de configuración global: ipv6 route ipv6-
prefix/prefix-length {ipv6-address | exit-intf [ipv6-address]} [distance]. El comando para iniciar
una tabla de routing IPv4 es show ip route | begin Gateway. El comando para iniciar una
tabla de routing IPv6 es show ipv6 route | begin C.
Configurar Rutas IP Estáticas

En una ruta estática de siguiente salto, solo se especifica la dirección IP del siguiente salto. La
interfaz de salida se deriva del próximo salto. Al configurar una ruta estática, otra opción es
utilizar la interfaz de salida para especificar la dirección del siguiente salto. Solo se deben
utilizar rutas estáticas conectadas directamente con interfaces seriales de punto a punto. Una
ruta estática completamente especificada tiene determinadas tanto la interfaz de salida como
la dirección IP del siguiente salto. Esta forma de ruta estática se utiliza cuando la interfaz de
salida es una interfaz de acceso múltiple y se debe identificar explícitamente el siguiente salto.
El siguiente salto debe estar conectado directamente a la interfaz de salida especificada. En
una ruta estática IPv6 completamente especificada, tanto la interfaz de salida como la
dirección IPv6 del siguiente salto. Junto con show ip route,show ipv6
route, ping y traceroute, otros comandos útiles para verificar rutas estáticas incluyen: show
ip route static, show ip route network y show running-config | section ip route.
Reemplace ip por ipv6 para las versiones IPv6 del comando.
Configurar Rutas IP Estáticas por defecto
Una ruta predeterminada es una ruta estática que coincide con todos los paquetes. Una ruta
predeterminada no requiere que ningún bit solo coincida entre la ruta predeterminada y la
dirección IP destino. Las rutas estáticas predeterminadas se utilizan comúnmente al conectar
un router perimetral a una red de proveedor de servicios y un router stub. La sintaxis del
comando para una ruta estática predeterminada IPv4 es similar a cualquier otra ruta estática
IPv4, con la excepción de que la dirección de red es 0.0.0.0 y la máscara de subred es 0.0.0.0.
0.0.0.0 0.0.0.0 en la ruta coincidirá con cualquier dirección de red. La sintaxis del comando
para una ruta estática predeterminada IPv6 es similar a la sintaxis del comando de cualquier
otra ruta estática IPv6, excepto que ipv6-prefix/prefix-length es ::/0, que coin cide con todas las
rutas. Para verificar una ruta estática predeterminada IPv4, utilice el comando show ip route
static. Para IPV6, use el comando show ipv6 route static.
Configurar Rutas Estáticas Flotantes
Las rutas estáticas flotantes son rutas estáticas que se utilizan para proporcionar una ruta de
respaldo a una ruta estática o dinámica principal, en el caso de una falla del enlace. La ruta
estática flotante se configura con una distancia administrativa mayor a la de una ruta principal.
De manera predeterminada, las rutas estáticas tienen una distancia administrativa de 1, lo que
las hace preferibles a las rutas descubiertas mediante protocolos de routing dinámico. Las
distancias administrativas de algunos protocolos de router dinámico de puerta de enlace
interior comunes son EIGRP = 90, OSPF = 110 e IS-IS = 115. Las rutas estáticas flotantes IP
se configuran mediante el distance argumento para especificar una distancia administrativa.
Si no se configura ninguna distancia administrativa, se utiliza el valor predeterminado
(1). show ip route y show ipv6 route verifica que las rutas predeterminadas a un router estén
instaladas en la tabla de routing.
Configurar Ruta de Host Estáticas
Una ruta de host es una dirección IPv4 con una máscara de 32 bits o una dirección IPv6 con
una máscara de 128 bits. Hay tres maneras de agregar una ruta de host a la tabla de
enrutamiento: se instala automáticamente cuando se configura una dirección IP en el
enrutador, se configura como una ruta de host estática o se obtiene automáticamente a través
de otros métodos no cubiertos en este módulo. El IOS de Cisco instala automáticamente una
ruta de host, también conocida como ruta de host local, cuando se configura una dirección de
interfaz en el router. Una ruta de host puede ser una ruta estática configurada manualmente
para dirigir el tráfico a un dispositivo de destino específico. Para las rutas estáticas IPv6, la
dirección de salto siguiente puede ser la dirección link-local del router adyacente; sin embargo,
debe especificar un tipo de interfaz y un número de interfaz cuando utilice una dirección link-
local como salto siguiente. Para ello, se elimina la ruta de host estática IPv6 original y, a
continuación, se configura una ruta completamente especificada con la dirección IPv6 del
servidor y la dirección link-local IPv6 del router ISP.
Introducción
16.0.1

¡Bienvenido a Solucionar Problemas de rutas estáticas y predeterminadas!
¡Bien hecho! Ha llegado al módulo final del curso Switching, Routing e Wireless Essentials
v7.0 (SRWE). Este curso le proporcionó los conocimientos y habilidades en profundidad que
necesita para configurar conmutadores y enrutadores (incluidos los dispositivos inalámbricos)
en su red en crecimiento. ¡Realmente eres bueno en la administración de redes!
Pero, ¿qué hace que un buen administrador de red sea un gran administrador? La capacidad
de solucionar problemas de manera efectiva. La mejor manera de adquirir habilidades de
solución de problemas de red es simple: esté siempre solucionando problemas. En este
módulo, solucionará los problemas de rutas estáticas y predeterminadas. Hay un comprobador
de sintaxis, un rastreador de paquetes y un laboratorio práctico donde puede perfeccionar sus
habilidades de solución de problemas. ¡Vamos a hacerlo!
16.0.2

Título del módulo: Resuelva problemas de rutas estáticas y predeterminadas
Objetivos del módulo: Resuelva problemas de configuración de rutas estáticas y

predeterminadas.
Procesamiento de paquetes Explicar cómo un router procesa los paquetes cuando una ruta estática es
con rutas estáticas configurada.
Resuelva problemas de
configuración de rutas
Resolver problemas comunes de configuración de rutas estáticas y predeterminadas.
estáticas y predeterminadas
IPv4
Procesamiento de paquetes con
rutas estáticas
16.1.1
Rutas estáticas y envío de paquetes

Antes de entrar en la sección de solución de problemas de este módulo, este tema
proporciona una breve revisión de cómo se reenvían los paquetes en rutas estáticas. Haga clic
en el botón Reproducir de la ilustración para ver una animación en la que la PC1 envía un
paquete a la PC3
En la siguiente animación se describe el proceso de reenvío de paquetes con rutas estáticas.
1. El paquete llega a la interfaz GigabitEthernet 0/0/0 de R1.

2. R1 no tiene una ruta específica a la red de destino, 192.168.2.0/24. Por lo tanto, R1
utiliza la ruta estática predeterminada.
3. R1 encapsula el paquete en una nueva trama. Debido a que el enlace a R2 es un
enlace punto a punto, R1 agrega una dirección de "todos 1 (unos)" para la dirección de
destino de Capa 2.
4. La trama se reenvía desde la interfaz serial 0/1/0. El paquete llega a la interfaz serial
0/0/0 en R2.
5. El R2 desencapsula la trama y busca una ruta hacia el destino. R2 tiene una ruta
estática a 192.168.2.0/24 fuera de la interfaz serial 0/1/1.
6. El R2 encapsula el paquete en una nueva trama. Debido a que el enlace al R3 es un
enlace punto a punto, el R2 agrega una dirección de todos unos (1) para la dirección
de destino de capa 2.
7. La trama se reenvía desde la interfaz serial 0/1/1. El paquete llega a la interfaz serial
0/0/1 en el R3.
conectada a 192.168.2.0/24 desde la interfaz GigabitEthernet 0/0/0.
9. El R3 busca la entrada en la tabla ARP para 192.168.2.10 para encontrar la dirección
de control de acceso a los medios (MAC) de capa 2 para la PC3. Si no existe ninguna
entrada, R3 envía una solicitud de Protocolo de resolución de direcciones (ARP) desde
la interfaz GigabitEthernet 0/0/0, y PC3 responde con una respuesta ARP, que incluye
la dirección MAC de la PC3.
10. R3 encapsula el paquete en una nueva trama con la dirección MAC de la interfaz
GigabitEthernet 0/0/0 como la dirección de la capa 2 de origen, y la dirección MAC de
la PC3 como la dirección MAC de destino.
11. La trama se reenvía desde la interfaz GigabitEthernet 0/0/0. El paquete llega a la
interfaz de la tarjeta de interfaz de red (NIC) de la PC3.
16.1.2
Verifique su conocimiento: procesamiento
de paquetes con rutas estáticas
Resuelva problemas de
configuración de rutas estáticas y
predeterminadas IPv4
16.2.1
Cambios en la red
No importa lo bien que configure la red, tendrá que estar preparado para solucionar algún
problema. Las redes están condicionadas a situaciones que pueden provocar un cambio en su
estado con bastante frecuencia. Por ejemplo, una interfaz puede fallar o un proveedor de
servicios interrumpe una conexión. Los vínculos pueden sobresaturarse o un administrador
puede introducir una configuración incorrecta.
Cuando se produce un cambio en la red, es posible que se pierda la conectividad. Los

administradores de red son responsables de identificar y solucionar el problema. Para
encontrar y resolver estos problemas, un administrador de red debe conocer las herramientas
que lo ayudarán a aislar los problemas de routing de manera rápida.
16.2.2
Comandos comunes para la solución de

problemas
Entre los comandos comunes para la resolución de problemas de IOS, se encuentran los
siguientes:
 ping
 traceroute
 show ip route
 show cdp neighbors detail
La figura muestra la topología de referencia OSPF utilizada para demostrar estos comandos.
ping
El ejemplo muestra el resultado de un ping extendido desde la interfaz fuente de R1 a la

interfaz LAN de R3. Un ping extendido es una versión mejorada de la utilidad de un ping. El
ping extendido permite especificar la dirección IP de origen para los paquetes ping.
R1# ping 192.168.2.1 fuente 172.16.3.1
traceroute
Este ejemplo muestra el resultado de un trazado de ruta desde R1 a la LAN R3. Tenga en
cuenta que cada ruta de salto devuelve una respuesta ICMP.
R1# traceroute 192.168.2.1
show ip route
El comando show ip route en este ejemplo muestra la tabla de ruteo de R1.
show ip interface brief
Se muestra un estado rápido de todas las interfaces del router mediante el comando show ip
interface brief de este ejemplo.
R1# show ip interface brief

show cdp neighbors
El comando show cdp neighbors proporciona una lista de dispositivos Cisco conectados
directamente. Este comando valida la conectividad de la capa 2 (y, por lo tanto, la de la capa
1). Por ejemplo, si en el resultado del comando se indica un dispositivo vecino, pero no se
puede hacer ping a este, entonces se debe investigar el direccionamiento de la capa 3.
R1# show cdp neighbors
16.2.3
Resolución de un problema de
conectividad
Encontrar una ruta faltante (o mal configurada) es un proceso relativamente sencillo si se
utilizan las herramientas adecuadas de manera metódica.
Por ejemplo, el usuario en PC1 informa que no puede acceder a los recursos en la LAN R3.
Esto se puede confirmar haciendo ping a la interfaz LAN de R3 utilizando la interfaz LAN de
R1 como fuente. Una vez más, usaremos la topología de la figura para demostrar cómo
solucionar este problema de conectividad.
Hacer ping al servidor remoto
El administrador de red puede probar la conectividad entre las dos LAN desde R1 en lugar de
PC1. Esto se puede hacer mediante la fuente del ping desde la interfaz G0/0/0 en R1 a la
interfaz G0/0/0 en R3, como se muestra en el ejemplo. Los resultados muestran que no hay
conectividad entre estas LAN.
R1# ping 192.168.2.1 source g0/0/0
Hacer ping al router de salto siguiente
A continuación, el un ping a la interfaz S0/1/0 en R2 es exitoso. Este ping proviene de la

interfaz S0/1/0 de R1. Por lo tanto, el problema no es la pérdida de conectividad entre R1 y
R2.
R1# ping 172.16.2.2
Ping LAN R3 desde S0/1/0
Un ping desde R1 a la interfaz R3 192.168.2.1 también es exitoso. Este ping proviene de la

interfaz S0/1/0 en R1. R3 tiene una ruta de regreso a la red entre R1 y R2, 172.16.2.0/24. Esto
confirma que R1 puede llegar a la LAN remota en R3. Sin embargo, los paquetes procedentes
de la LAN en R1 no pueden. Esto indica que R2 o R3 pueden tener una ruta incorrecta o
faltante a la LAN en R1.
R1# ping 192.168.2.1
Verifique la tabla de enrutamiento R2
El siguiente paso es investigar las tablas de enrutamiento de R2 y R3. La tabla de

enrutamiento para R2 se muestra en el ejemplo. Observe que la red 172.16.3.0/24 está
configurada incorrectamente. Se configuró una ruta estática a la red 192.168.2.0/24 con la
dirección del siguiente salto 172.16.2.1. Por lo tanto, los paquetes destinados a la red
172.16.3.0/24 se envían de nuevo a R3 en lugar de a R1.
Hay que corregir la configuración de la ruta estática R2
A continuación, la configuración en ejecución, de hecho, revela la declaración incorrecta ip

route. Se elimina la ruta incorrecta y luego se introduce la correcta.
R2# show running-config | include ip route ip 172.16.3.0 255.255.255.0
192.168.1.1
Verificar que está instalada la nueva ruta estática
La tabla de enrutamiento en R2 se comprueba una vez más para confirmar que la entrada de
ruta a la LAN en R1, 172.16.3.0, es correcta y apunta hacia R1.
Hacer ping a la LAN remota de nuevo
A continuación, se utiliza un ping de R1 procedente de G0/0/0 para verificar que R1 ahora

puede llegar a la interfaz LAN de R3. Como último paso de confirmación, el usuario de la PC1
también debe probar la conectividad a la LAN 192.168.2.0/24.
R1# ping 192.168.2.1 origen g0/0/0
16.2.4
Comprobador de sintaxis: solucionar

problemas de rutas estáticas y
predeterminadas de IPv4
Solucionar problemas de rutas estáticas y predeterminadas IPv4 en función de los requisitos
especificados
cuestionario
16.3.1
Packet Tracer - Solucionar problemas de

rutas estáticas y predeterminadas
En esta actividad, solucionará las rutas estáticas y predeterminadas y reparará los errores que
encuentre.
 Solucionar problemas de rutas estáticas IPv4.

 Solucionar problemas de rutas estáticas IPv6.
 Configurar rutas estáticas IPv4.
 Configurar rutas predeterminadas de IPv4.
 Configurar rutas estáticas IPv6.
16.3.2
Laboratioro - Resuelva problemas de rutas

estáticas y predeterminadas en IPv4 e IPv6
 Part 1:Evaluar el funcionamiento de la red

 Part 2: Recopilar información, crear un plan de acción e implementar cambios.
disponible.
16.3.3

Procesar paquetes con Rutas Estáticas
1. El paquete llega a la interfaz de R1.

2. R1 no tiene una ruta específica hacia la red de destino 192.168.2.0/24; por lo tanto, R1
utiliza la ruta estática predeterminada.
3. R1 encapsula el paquete en una nueva trama. Debido a que el enlace a R2 es un
enlace punto a punto, R1 agrega una dirección de "todos 1 (unos)" para la dirección de
destino de Capa 2.
4. La trama se reenvía desde la interfaz apropiada. El paquete llega a la interfaz en R2.
estática a la red de destino fuera de una de sus interfaces.
6. El R2 encapsula el paquete en una nueva trama. Debido a que el enlace al R3 es un
enlace punto a punto, el R2 agrega una dirección de todos unos (1) para la dirección
de destino de capa 2.
7. La trama se reenvía a través de la interfaz apropiada. El paquete llega a la interfaz en
R3.
conectada a la red de destino desde una de sus interfaces.
9. R3 busca la entrada de tabla ARP para la red de destino para encontrar la dirección
MAC de capa 2 para PC3. Si no existe una entrada, el R3 envía una solicitud de
protocolo de resolución de direcciones (ARP) a través de una de sus interfaces y PC3
responde con una respuesta de ARP, la cual incluye la dirección MAC de la PC3.
10. R3 encapsula el paquete en una nueva trama con la dirección MAC de la interfaz
apropiada como la dirección de la capa 2 de origen y la dirección MAC de la PC3
como la dirección MAC de destino.
11. La trama se reenvía desde la interfaz apropiada. El paquete llega a la interfaz de la
tarjeta de interfaz de red (NIC) de la PC3.
Solucionar problemas de configuración de rutas estáticas y predeterminadas
Las redes están condicionadas a situaciones que pueden provocar un cambio en su estado
con bastante frecuencia. Una interfaz puede fallar o un proveedor de servicios interrumpir una
conexión. Los vínculos pueden sobresaturarse o un administrador puede introducir una
configuración incorrecta. Entre los comandos comunes para la resolución de problemas de
IOS, se encuentran los siguientes:
 ping
 traceroute
 show ip route
 show cdp neighbors detail

Ccna 2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ccna 2

Cargado por

Copyright:

Formatos disponibles

Contenido

¿Por qué debería tomar este módulo?

¡Bienvenido al primer módulo en CCNA Switching, Enrutamiento y Wireless Essentials!. Sabe

¿Qué aprenderé en este módulo?

Objetivos del módulo: Configuración de los dispositivos mediante los procedimientos

Acceso remoto seguro Configurar el acceso de administración seguro en un switch.

Video: descargue e instale Packet Tracer

Por lo general, los estudiantes usan Packet Tracer para lo siguiente:

 Preparase para un examen de certificación.

Para obtener e instalar Cisco Packet Tracer siga estos pasos:

Paso 1. Iniciar sesión en la página de "I'm Learning" de Cisco Networking Academy.

Vídeo - Introducción a Cisco Packet Tracer

 Puede agregar dispositivos y conectarlos a través de cables o inalámbricos.

El comando Open Samples mostrará un directorio de ejemplos preconstruidos de

Packet Tracer - Exploración de Modo

La mayoría de los dispositivos de la sucursal de Seward y del Centro de Datos de Warrenton

Secuencia de arranque de un switch

Paso 1: Primero, el switch carga un programa de autodiagnóstico al encender (POST)

El comando boot system

La tabla define cada parte del comando boot system.

flash: The storage device

Indicadores LED del switch

1. LED del sistema

Muestra si el sistema está recibiendo energía y funciona correctamente. Si el LED está

2. LED del sistema de alimentación redundante (RPS)

3. LED de estado del puerto

4. LED de modo dúplex del puerto

5. LED de velocidad del puerto

6. LED de modo de alimentación por Ethernet

Recuperarse de un bloqueo del sistema

De manera predeterminada, el switch intenta iniciarse automáticamente mediante el uso de

Los comandos del gestor de arranque admiten la inicialización de flash, el formateo de

Acceso a administración de switches

Ejemplo de Configuración de Switch SVI

Configuración de la interfaz de administración

Tarea Comandos IOS

Ingrese al modo de configuración S1# configure terminal

Ingrese al modo de configuración S1(config)# interface vlan 99

Configure la dirección IPv4 de la S1(config-if)# ip address 172.17.99.11

Configure la dirección IPv6 de la S1(config-if)# ipv6 address

Habilite la interfaz de S1(config-if)# no shutdown

Vuelva al modo EXEC S1(config-if)# end

Configuración del gateway predeterminado

Si el switch se va a administrar de forma remota desde redes que no están conectadas

Nota: Dado que recibirá la información de la puerta de enlace predeterminada de un mensaje

Tarea Comandos IOS

Ingrese al modo de configuración S1# configure terminal

Configure el gateway S1(config)# ip default-gateway 172.17.99.1

Vuelva al modo EXEC privilegiado. S1(config-if)# end

Práctica de laboratorio: configuración

 Part 1: Tender el cableado de red y verificar la configuración predeterminada del

A diferencia de la comunicación en dúplex completo, la comunicación en semidúplex es

En la ilustración, se muestra la comunicación en dúplex completo y semidúplex.

Configuración de puertos de switch en la

Tarea Comandos IOS

Ingrese al modo de configuración S1# configure terminal

Ingrese el modo de configuración S1(config)# interface FastEthernet 0/1

Configure el modo dúplex de la S1(config-if)# duplex full

Configure la velocidad de la S1(config-if)# speed 100

Vuelva al modo EXEC S1(config-if)# end

La configuración predeterminada de dúplex y velocidad para los puertos de switch en los

Auto-MDIX (MDIX automático)

El comando para habilitar Auto-MDIX se emite en el modo de configuración de interfaz en el