Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción ............................................................................................................................... 18
¿Por qué debería tomar este módulo? ................................................................................... 18
¿Qué aprenderé en este módulo? ........................................................................................... 18
Video: descargue e instale Packet Tracer............................................................................... 19
Vídeo - Introducción a Cisco Packet Tracer ........................................................................... 20
Packet Tracer - Exploración de Modo Lógico y Físico ........................................................... 20
Secuencia de arranque de un switch ...................................................................................... 21
El comando boot system ........................................................................................................ 21
Indicadores LED del switch .................................................................................................... 22
Recuperarse de un bloqueo del sistema ................................................................................ 25
Acceso a administración de switches ..................................................................................... 26
Ejemplo de Configuración de Switch SVI ............................................................................... 27
Práctica de laboratorio: configuración básica de un switch .................................................. 29
Comunicación dúplex ............................................................................................................. 30
Configuración de puertos de switch en la capa física ............................................................ 31
Auto-MDIX (MDIX automático) .............................................................................................. 33
Switch Verification Commands .............................................................................................. 33
Verificar la configuración de puertos del switch.................................................................... 34
Problemas de la capa de acceso a la red................................................................................. 35
Errores de entrada y salida de interfaz .................................................................................. 38
Resolución de problemas de la capa de acceso a la red ......................................................... 39
Comprobador de sintaxis: configurar puertos de switch ...................................................... 41
Acceso remoto seguro ................................................................................................................ 41
Operación Telnet .................................................................................................................... 41
Funcionamiento de SSH.......................................................................................................... 42
Verifique que el switch admita SSH ....................................................................................... 43
Configuración de SSH ............................................................................................................. 43
Verifique que SSH esté operativo ........................................................................................... 46
Packet Tracer - Configurar SSH .............................................................................................. 48
Configuración básica de un router ............................................................................................. 48
Configuración de parámetros básicos del router ................................................................... 48
Topología de doble pila .......................................................................................................... 49
Configurar interfaces de routers ............................................................................................ 50
Interfaces de bucle invertido IPv4 ......................................................................................... 51
Packet Tracer- Configurar Interfaces de Router .................................................................... 52
Verificar redes conectadas directamente .................................................................................. 52
Comandos de verificación de interfaz .................................................................................... 52
Verificación del estado de una interfaz .................................................................................. 53
Verificar direcciones locales y multidifusión de vínculos IPv6 ............................................. 54
Verificar la configuración de la interfaz ................................................................................. 55
Verificar rutas ......................................................................................................................... 56
Filtrado de los resultados del comando show ....................................................................... 57
Historial de comandos ............................................................................................................ 59
Packet Tracer: verificar redes conectadas directamente....................................................... 60
Compruebe su comprensión - Verificar las redes conectadas directamente ........................ 60
Packet Tracer - Implementar una red pequeña ..................................................................... 60
Laboratorio: configuración del router básico ........................................................................ 61
¿Qué aprenderé en este módulo? ........................................................................................... 61
Prueba del módulo: configuración básica del dispositivo ..................................................... 63
¿Por qué debería tomar este módulo? ................................................................................... 63
¿Qué aprenderé en este módulo? ........................................................................................... 63
Reenvío de tramas ...................................................................................................................... 64
Switching en la red ................................................................................................................. 64
Tabla de direcciones MAC del switch ..................................................................................... 65
El método Aprender y Reenviar del Switch ........................................................................... 65
Video: Tablas de direcciones MAC en switches conectados .................................................. 66
Métodos de reenvío del switch............................................................................................... 66
Intercambio de almacenamiento y reenvío ........................................................................... 66
Switching por método de corte .............................................................................................. 67
Actividad: El Switch!............................................................................................................... 68
Dominios de colisiones ........................................................................................................... 70
Dominios de difusión.............................................................................................................. 71
Alivio de la congestión en la red ............................................................................................. 71
Verifique su comprensión - Cambiar dominios ..................................................................... 72
¿Qué aprenderé en este módulo? ........................................................................................... 72
Prueba del módulo: conceptos de switches ........................................................................... 73
¿Por qué debería tomar este módulo? ................................................................................... 73
¿Qué aprenderé en este módulo? ........................................................................................... 74
Descripción general de las VLAN ............................................................................................... 74
Definiciones de VLAN ............................................................................................................. 74
Ventajas de un diseño de VLAN.............................................................................................. 76
Tipos de VLAN ........................................................................................................................ 78
Packet Tracer: ¿quién escucha la difusión? ............................................................................ 80
Compruebe su comprensión - Descripción general de las VLAN........................................... 80
Redes VLAN en un entorno conmutado múltiple ...................................................................... 81
Definición de troncos de VLAN .............................................................................................. 81
Redes sin VLAN....................................................................................................................... 81
Red con VLAN ......................................................................................................................... 82
Identificación de VLAN con etiqueta ...................................................................................... 82
VLAN nativas y etiquetado de 802.1Q .................................................................................... 84
Etiquetado de VLAN de voz .................................................................................................... 85
Ejemplo de verificación de VLAN de voz ................................................................................ 86
Packet Tracer: investigación de la implementación de una VLAN ........................................ 87
Compruebe su comprensión - VLAN en un entorno de multiswitch ..................................... 87
Configuración de VLAN .............................................................................................................. 87
Rangos de VLAN en los switches Catalyst .............................................................................. 87
Comandos de creación de VLAN............................................................................................. 89
Ejemplo de creación de VLAN ................................................................................................ 89
Comandos de asignación de puertos VLAN............................................................................ 90
VLAN de voz, datos ................................................................................................................. 92
Ejemplo de VLAN de voz y datos ............................................................................................ 92
Verificar la información de la VLAN ....................................................................................... 93
Cambio de pertenencia de puertos de una VLAN .................................................................. 94
Eliminar las VLAN................................................................................................................... 96
Comprobador de sintaxis - Configuración de VLAN .............................................................. 96
Packet Tracer: Configuración de redes VLAN ........................................................................ 97
Enlaces troncales de la VLAN ..................................................................................................... 97
Comandos de configuración troncal....................................................................................... 97
Ejemplo de configuración de troncal ..................................................................................... 98
Verifique la configuración de enlaces troncales. .................................................................... 99
Restablecimiento del enlace troncal al estado predeterminado ........................................... 99
Packet Tracer: Configuración de enlaces troncales ............................................................. 100
Práctica de laboratorio: Configuración de redes VLAN y enlaces troncales ........................ 101
Protocolo de enlace troncal dinámico ...................................................................................... 101
Introducción a DTP............................................................................................................... 101
Modos de interfaz negociados .............................................................................................. 102
Resultados de una configuración DTP ................................................................................. 103
Verificación del modo de DTP .............................................................................................. 104
Packet Tracer: Configuración de DTP .................................................................................. 104
Compruebe su comprensión - Protocolo de enlace troncal dinámico ................................. 104
Práctica del módulo y cuestionario .......................................................................................... 105
Packet Tracer - Implementar VLAN y Trunking .................................................................. 105
Laboratorio: Implementación de VLAN y Troncalización ................................................... 105
¿Qué aprenderé en este módulo? ......................................................................................... 105
¿Por qué debería tomar este módulo? ................................................................................. 107
¿Qué aprenderé en este módulo? ......................................................................................... 107
¿Qué es Inter-VLAN Routing................................................................................................. 108
Inter-VLAN Routing heredado ............................................................................................. 108
MAC Address table for S1 ........................................................................................... 109
Router-on-a-Stick Inter-VLAN Routing ................................................................................ 110
Inter-VLAN Routing en un switch de capa 3 ........................................................................ 110
Verifique su comprensión- Operación de Inter-VLAN Routing ........................................... 112
Escenario Router-on-a-Stick ................................................................................................ 112
Router R1 Subinterfaces .............................................................................................. 113
S1 VLAN and configuraciones de enlaces troncales ............................................................. 113
S2 VLAN y configuraciones de enlaces troncales ................................................................. 115
Configuración de subinterfaces de R1.................................................................................. 117
Verificar la conectividad entre PC1 y PC2 ............................................................................ 119
Verificación de Router-on-a-Stick Inter-VLAN Routing ....................................................... 120
Packet Tracer - Configure Router-on-a-Stick Inter-VLAN Routing...................................... 121
Lab - Configure Router-on-a-Stick Inter-VLAN Routing ...................................................... 122
Inter-VLAN Routing usando switches de capa 3 ...................................................................... 122
Inter-VLAN Routing en Switch de capa 3 ............................................................................. 122
Escenario de switch de capa 3.............................................................................................. 123
D1 VLAN IP Addresses ................................................................................................... 123
Configuracion de switch de capa 3 ....................................................................................... 123
Verificación Inter-VLAN Routing del switch de capa 3 ........................................................ 125
Enrutamiento en un switch de capa 3 .................................................................................. 125
Escenario de enrutamiento en un switch de capa 3 ............................................................ 126
Configuración de enrutamiento en un switch de capa 3 ...................................................... 127
Packet Tracer - Configurar switch de capa 3 e Inter-VLAN Routing ................................... 128
Problemas comunes de Inter-VLAN routing ........................................................................ 128
Escenario de resolución de problemas de Inter-VLAN Routing .......................................... 129
La información de direccionamiento VLAN e IPv4 para R1 se muestra en la tabla.
Router R1 Subinterfaces .............................................................................................. 130
VLAN faltantes ...................................................................................................................... 130
Problemas con el puerto troncal del switch ......................................................................... 131
Problemas en los puertos de acceso de switch .................................................................... 133
Temas de configuración del router ...................................................................................... 135
Compruebe su comprensión - Solucionar problemas de inter-VLAN routing. .................... 137
Packet Tracer: resolución de problemas de inter-VLAN routing ........................................ 137
Práctica de laboratorio: resolución de problemas de inter-VLAN routing .......................... 138
Práctica del módulo y cuestionario .......................................................................................... 138
Packet Tracer: desafío de inter-VLAN routing ..................................................................... 138
Laboratorio: Implementar inter-VLAN routing ................................................................... 138
¿Qué aprenderé en este módulo? ......................................................................................... 139
¿Por qué debería tomar este módulo? ................................................................................. 140
¿Qué aprenderé en este módulo? ......................................................................................... 141
Propósito del STP ..................................................................................................................... 141
Redundancia en redes conmutadas de capa 2 ..................................................................... 141
Protocolo de árbol de extensión........................................................................................... 142
Recalcular STP ...................................................................................................................... 142
Problemas con los vínculos de switch redundantes ............................................................ 142
Bucles de la capa 2 ................................................................................................................ 143
Tormenta de difusión (Broadcast Storm) ............................................................................ 143
El algoritmo de árbol de expansión...................................................................................... 144
Vídeo - Observar la operación STP ....................................................................................... 148
Packet Tracer - Investigar la prevención de bucles STP ...................................................... 148
Funcionamientos del STP ......................................................................................................... 148
Pasos para una topología sin bucles..................................................................................... 148
1. Elige el root bridge ........................................................................................................... 150
Impacto de las pujas por defecto.......................................................................................... 151
Determinar el costo de la ruta raíz ....................................................................................... 152
2. Elegir los puertos raíz ....................................................................................................... 153
3. Seleccionar puertos designados ....................................................................................... 154
4. Seleccionar puertos alternativos (bloqueados) ............................................................... 157
Seleccione un puerto raíz a partir de varias rutas de igual coste ........................................ 158
Temporizadores STP y Estados de puerto ........................................................................... 160
Detalles Operativos de cada Estado Portuario ..................................................................... 162
Per-VLAN Spanning Tree...................................................................................................... 162
Evolución del STP ..................................................................................................................... 162
Diferentes versiones de STP ................................................................................................. 162
Conceptos de RSTP ............................................................................................................... 164
Estados de puerto RSTP y roles de puerto ........................................................................... 164
PortFast y protección BPDU ................................................................................................. 167
Alternativas a STP ................................................................................................................ 168
Práctica del módulo y cuestionario .......................................................................................... 170
¿Qué aprenderé en este módulo? ......................................................................................... 170
Introducción ............................................................................................................................. 171
¿Por qué debería tomar este módulo? ................................................................................. 172
¿Qué aprenderé en este módulo? ......................................................................................... 172
Funcionamiento de EtherChannel ........................................................................................... 172
Añadidura de enlaces ........................................................................................................... 172
EtherChannel ........................................................................................................................ 173
Ventajas de EtherChannel .................................................................................................... 174
Restricciones de implementación ........................................................................................ 175
Protocolos de negociación automática................................................................................. 176
Funcionamiento PAgP .......................................................................................................... 176
Ejemplo de configuración del modo PAgP ........................................................................... 177
PAgP Modes ................................................................................................................... 177
Operación LACP .................................................................................................................... 178
Ejemplo de configuración del modo LACP ........................................................................... 178
Configuración de EtherChannel ............................................................................................... 179
Instrucciones de configuración ............................................................................................ 179
Ejemplo de Configuración de LACP ...................................................................................... 181
Verificador de sintaxis - Configuración EtherChannel ......................................................... 181
Packet Tracer - Configuración de EtherChannel .................................................................. 182
Verificación y solución de problemas de EtherChannel .......................................................... 182
Verificar EtherChannel ......................................................................................................... 182
Common Issues with EtherChannel Configurations ............................................................ 185
Ejemplo de solucionar problemas de EtherChannel. ........................................................... 185
Packet Tracer: Solución de problemas de EtherChannel ..................................................... 188
Lab - Implementar EtherChannel ......................................................................................... 189
¿Qué aprenderé en este módulo? ......................................................................................... 189
Introducción ............................................................................................................................. 190
¿Por qué debería tomar este módulo? ................................................................................. 190
¿Qué aprenderé en este módulo? ......................................................................................... 191
Conceptos DHCPv4 ................................................................................................................... 191
Servidor y cliente DHCPv4 ................................................................................................... 191
Funcionamiento de DHCPv4 ................................................................................................ 192
Pasos para obtener un arrendamiento ................................................................................ 192
Pasos para renovar un contrato de arrendamiento ............................................................. 194
Configure un servidor DHCPv4 del IOS de Cisco ..................................................................... 195
Servidor Cisco IOS DHCPv4 .................................................................................................. 195
Pasos para configurar un servidor DHCPv4 del IOS de Cisco .............................................. 196
Ejemplo de configuración ..................................................................................................... 198
Comandos de verificación DHCPv4 ...................................................................................... 198
Verifique que DHCPv4 esté operando .................................................................................. 199
Verificador de sintaxis - Configuración de DHCPv4 ............................................................. 201
Desactive el servidor DHCPv4 del IOS de Cisco ................................................................... 202
Retransmisión DHCPv4 ........................................................................................................ 202
Otras transmisiones de servicio retransmitidas .................................................................. 204
Packet Tracer - Configurar DHCPv4 ..................................................................................... 205
Configurar un router como cliente DHCPv4 ............................................................................ 205
Cisco Router como cliente DHCPv4 ...................................................................................... 205
Ejemplo de configuración ..................................................................................................... 205
Enrutador doméstico como cliente DHCPv4 ........................................................................ 206
Práctica del módulo y cuestionario .......................................................................................... 207
Packet Tracer - Implementar DHCPv4 ................................................................................. 207
Laboratorio: Implementar DHCPv4 ..................................................................................... 207
¿Qué aprenderé en este módulo? ......................................................................................... 207
Bienvenido............................................................................................................................ 208
¿Qué aprenderé en este módulo? ......................................................................................... 209
IPv6 GUA Assignment............................................................................................................... 209
Configuración de host con IPv6............................................................................................ 209
IPv6 Host Link-Local Address .............................................................................................. 210
IPv6 GUA Assignment ........................................................................................................... 211
Tres flags de mensaje RA ...................................................................................................... 212
SLAAC ....................................................................................................................................... 213
Descripción general de SLAAC ............................................................................................. 213
Activación de SLAAC............................................................................................................. 214
Método Sólo SLAAC .............................................................................................................. 215
ICMPv6 RS Messages ............................................................................................................ 216
Proceso de host para generar ID de interfaz ........................................................................ 216
Detección de direcciones duplicadas ................................................................................... 217
DHCPv6..................................................................................................................................... 218
Pasos de operación DHCPv6 ................................................................................................ 218
Operación DHCPv6 stateless ................................................................................................ 222
Habilitar DHCPv6 stateless en una interfaz ......................................................................... 223
Operaciones de DHCPv6 stateful.......................................................................................... 224
Habilitar DHCPv6 stateful en una interfaz ........................................................................... 225
Configure DHCPv6 Server ........................................................................................................ 226
Roles de router DHCPv6 ....................................................................................................... 226
Configurar un servidor DHCPv6 stateless. ........................................................................... 226
Configurar un cliente DHCPv6 stateless. .............................................................................. 228
Configurar un servidor DHCPv6 stateful. ............................................................................. 230
Configurar un cliente DHCPv6 stateful. ................................................................................ 233
Comandos de verificación del server DHCPv6 ..................................................................... 234
Configuración del agente de retransmisión DHCPv6 ........................................................... 235
Verificar el agente de retransmisión de DHCPv6 ................................................................. 236
Práctica del módulo y cuestionario .......................................................................................... 236
Laboratorio: Configurar DHCPv6 ......................................................................................... 236
¿Qué aprenderé en este módulo? ......................................................................................... 237
Introducción ............................................................................................................................. 238
¿Por qué debería tomar este módulo? ................................................................................. 238
¿Qué aprenderé en este módulo? ......................................................................................... 239
Protocolos de Redundancia de Primer Salto............................................................................ 239
Limitaciones del Gateway Predeterminado ......................................................................... 239
Redundancia del Router ....................................................................................................... 241
Pasos para la Conmutación por Falla del Router ................................................................. 242
Opciones de FHRP ................................................................................................................ 243
HSRP ......................................................................................................................................... 244
HSRP: Descripción general ................................................................................................... 244
Prioridad e Intento de Prioridad del HSRP .......................................................................... 244
Estados y Temporizadores de HSRP .................................................................................... 245
Práctica del Módulo y Cuestionario ......................................................................................... 246
¿Qué aprenderé en este módulo? ......................................................................................... 246
Packet Tracer - Guía de configuración HSRP ....................................................................... 247
Packet Tracer - Exploración del Centro de Datos ....................................................... 248
¿Por qué debería tomar este módulo? ................................................................................. 248
¿Qué aprenderé en este módulo? ......................................................................................... 249
Seguridad de Punto Terminal .................................................................................................. 249
Ataques de Red Actuales ...................................................................................................... 249
Dispositivos de Seguridad de Red ........................................................................................ 250
Protección de terminales...................................................................................................... 251
Dispositivo de Seguridad de Correo Electrónico Cisco (ESA) .............................................. 252
Dispositivo de Seguridad de la Red de Cisco (WSA) ............................................................ 253
Control de Acceso ..................................................................................................................... 254
Autenticación con una contraseña local ............................................................................... 254
Componentes AAA ................................................................................................................ 256
Autenticación........................................................................................................................ 256
Autorización ......................................................................................................................... 258
Registro ................................................................................................................................ 258
802.1x ................................................................................................................................... 259
Amenazas a la seguridad de Capa 2 ......................................................................................... 260
Capa 2 Vulnerabilidades ....................................................................................................... 260
Categorías de Ataques a Switches ........................................................................................ 261
Layer 2 Attacks ............................................................................................................... 261
Técnicas de Mitigación en el Switch ..................................................................................... 261
Layer 2 Attack Mitigation .............................................................................................. 262
Ataque de Tablas de Direcciones MAC ..................................................................................... 262
Revisar la Operación del Switch ........................................................................................... 262
Saturación de Tablas de Direcciones MAC ........................................................................... 263
Mitigación de Ataques a la Tabla de Direcciones MAC. ........................................................ 263
Ataques a la LAN ...................................................................................................................... 264
Video - VLAN y Ataques DHCP ............................................................................................. 264
Ataque de VLAN Hopping ..................................................................................................... 264
Ataque de VLAN Double-Tagging ......................................................................................... 265
Mensajes DHCP ..................................................................................................................... 268
Ataques de DHCP .................................................................................................................. 268
Video- Ataques ARP, Ataques STP, y Reconocimiento CDP. ................................................ 272
Ataques ARP ......................................................................................................................... 272
Ataque de Suplantación de Dirección .................................................................................. 275
Ataque de STP....................................................................................................................... 275
Reconocimiento CDP ............................................................................................................ 277
Práctica del Módulo y Cuestionario ......................................................................................... 279
¿Qué aprendí en este módulo? ............................................................................................. 279
Introducción ............................................................................................................................. 280
¿Por qué debería tomar este módulo? ................................................................................. 281
¿Qué aprenderé en este módulo? ......................................................................................... 281
mplementación de Seguridad de Puertos ................................................................................ 282
Asegurar los puertos sin utilizar .......................................................................................... 282
Mitigación de ataques por saturación de tabla de direcciones MAC ................................... 282
Habilitar la seguridad del puerto. ........................................................................................ 283
Limitar y Aprender MAC Addresses ..................................................................................... 284
Vencimiento de la seguridad del puerto. ............................................................................. 285
Seguridad de puertos: modos de violación de seguridad .................................................... 287
Security Violation Mode Descriptions ......................................................................... 287
Security Violation Mode Comparison ........................................................................ 288
Puertos en Estado error-disabled ........................................................................................ 288
Verificar la seguridad del puerto.......................................................................................... 289
Mitigación de ataques de VLAN ............................................................................................... 290
Revisión de ataques a VLAN ................................................................................................. 290
Pasos para mitigar ataques de salto ..................................................................................... 291
Mitigación de ataques de DHCP ............................................................................................... 292
Revisión de ataques DHCP ................................................................................................... 292
Indagación de DHCP ............................................................................................................. 292
Pasos para implementar DHCP Snooping ............................................................................ 293
Un ejemplo de configuración de detección de DHCP. .......................................................... 294
Mitigación de ataques de ARP .................................................................................................. 295
Inspección dinámica de ARP ................................................................................................ 295
Pautas de implementación DAI ............................................................................................ 295
Ejemplo de configuración DAI .............................................................................................. 296
Mitigación de ataques de STP .................................................................................................. 297
PortFast y protección BPDU ................................................................................................. 297
Configure PortFast ............................................................................................................... 298
Configurar la protección BPDU ............................................................................................ 299
Introducción ............................................................................................................................. 299
¿Por qué debería tomar este módulo? ................................................................................. 299
¿Qué aprenderé en este módulo? ......................................................................................... 300
Introducción a la tecnología inalámbrica................................................................................. 300
Beneficios de redes inalámbricas ......................................................................................... 300
Tipos de redes inalámbricas ................................................................................................ 301
Tecnologías inalámbricas ..................................................................................................... 303
Estándares de Wi-Fi 802.11 ................................................................................................. 303
Radiofrecuencia .................................................................................................................... 305
El espectro electromagnético ....................................................................................... 305
Organizaciones de estándares inalámbricos ........................................................................ 306
Componentes de la WLAN........................................................................................................ 306
Video – Componentes WLAN ............................................................................................... 307
NIC inalámbrica .................................................................................................................... 307
Adaptador Inalámbrico USB ......................................................................................... 307
Router de hogar inalámbrico ............................................................................................... 308
Categorías AP........................................................................................................................ 309
Antenas inalámbricas ........................................................................................................... 311
Funcionamiento de WLAN ....................................................................................................... 312
Video – Operación de la WLAN ............................................................................................ 312
Modos de topología inalámbrica .......................................................................................... 312
BSS y ESS .............................................................................................................................. 313
802.11 Estructura del Frame ............................................................................................... 314
CSMA/CA .............................................................................................................................. 314
Asociación de AP de cliente inalámbrico ............................................................................. 315
Modo de entrega pasiva y activa .......................................................................................... 316
Funcionamiento de CAPWAP ................................................................................................... 317
Video - CAPWAP ................................................................................................................... 317
Introducción a la CAPWAP ................................................................................................... 317
Arquitectura MAC dividida................................................................................................... 318
Encriptación de DTLS ........................................................................................................... 319
AP FlexConnect ..................................................................................................................... 319
Administración de canales ....................................................................................................... 320
Canal de frecuencia de saturación ........................................................................................ 320
Selección de canales ............................................................................................................. 322
Canales superpuestos de 2.4GHz en América del Norte ............................................ 322
Canales no superpuestos de 2.4GHz para 802.11b/g/n ............................................ 323
Primeros ocho canales no interferentes de 5 GHz ..................................................... 324
Canales no interferentes de 5 GHz para 802.11a/n/ac ............................................. 325
Planifique la implementación de WLAN .............................................................................. 325
Amenazas a la WLAN................................................................................................................ 326
Video– Amenazas en la WLAN ............................................................................................. 326
Resumen de seguridad inalámbrica ..................................................................................... 326
Ataques de DoS ..................................................................................................................... 327
Puntos de acceso no autorizados ......................................................................................... 328
Ataque man-in-the-middle ................................................................................................... 329
WLAN seguras .......................................................................................................................... 331
Video – WLAN seguras ......................................................................................................... 331
Encubrimiento SSID y filtrado de direcciones MAC ............................................................. 331
802.11 Métodos de autenticación originales ....................................................................... 332
Métodos de autenticación de clave compartida ................................................................... 333
Autenticando a un usuario doméstico.................................................................................. 334
Métodos de encriptación ...................................................................................................... 335
Autenticación en la empresa ................................................................................................ 336
WPA3 .................................................................................................................................... 337
Práctica del módulo y cuestionario .......................................................................................... 338
¿Qué aprenderé en este módulo? ......................................................................................... 338
Introducción ............................................................................................................................. 340
¿Por qué debería tomar este módulo? ................................................................................. 340
¿Qué aprenderé en este módulo? ......................................................................................... 340
Configuración de WLAN del sitio remoto ................................................................................ 341
Video - Configuración de una red inalámbrica ..................................................................... 341
Router inalámbrico............................................................................................................... 341
Cisco Meraki MX64W .................................................................................................... 342
Conéctese al router inalámbrico. ......................................................................................... 343
Configuración básica de red ................................................................................................. 343
Configuración inalámbrica ................................................................................................... 347
Configuración de una red de Malla Inalámbrica .................................................................. 351
NAT para IPv4 ...................................................................................................................... 352
Calidad de servicio ............................................................................................................... 353
Reenvío de Puerto ................................................................................................................ 354
Packet Tracer - Configurar una red inalámbrica.................................................................. 355
Práctica de laboratorio: Configuración de una red inalámbrica .......................................... 355
Configure una WLAN básica en el WLC.................................................................................... 356
Video - Configure una WLAN básica en el WLC ................................................................... 356
Topología WLC ..................................................................................................................... 356
Topología ......................................................................................................................... 357
Addressing Table .......................................................................................................... 357
Iniciar sesión en el WLC ....................................................................................................... 358
Ver la información del punto de acceso ............................................................................... 359
Configuración Avanzada....................................................................................................... 360
Configurar una WLAN .......................................................................................................... 361
Configuración Básica de una WLAN en el WLC .................................................................... 364
Configure una red inalámbrica WLAN WPA2 Enterprise en el WLC ....................................... 365
Video - Defina un servidor RADIUS y SNMP en el WLC........................................................ 365
SNMP y RADIUS .................................................................................................................... 365
Topología ......................................................................................................................... 366
Configurar Información del Servidor SNMP ........................................................................ 366
Configure los servidores RADIUS. ........................................................................................ 367
Video - Configurar una VLAN para una nueva WLAN .......................................................... 369
Topologia de direcciones en VLAN 5.................................................................................... 369
Topología ......................................................................................................................... 370
Configurar una nueva interfaz ............................................................................................. 370
Video - Configurar el Alcance de DHCP ................................................................................ 371
Configurar el Alcance DHCP ................................................................................................. 371
Video - Configure una red inalámbrica WLAN WPA2 Enterprise ........................................ 372
Configure una red inalámbrica WLAN WPA2 Enterprise .................................................... 372
Packet Tracer: Configuración de WLAN WPA2 Enterprise en el WLC ................................ 376
Solución de problemas de WLAN ............................................................................................. 376
Enfoques para la Solución de Problemas ............................................................................. 376
Cliente Inalámbrico no está conectando .............................................................................. 377
Resolución de Problemas cuando la red esta lenta. ............................................................. 379
Actualizar el Firmware ......................................................................................................... 380
Packet Tracer: Solución de problemas WLAN ..................................................................... 382
Práctica y Resumen del Módulo ............................................................................................... 382
Packet Tracer: Configuración WLAN.................................................................................... 382
Packet Tracer - Exploración de tecnología inalámbrica ........................................... 382
¿Qué aprendí en este módulo? ............................................................................................. 382
Introducción ............................................................................................................................. 383
¿Por qué debería tomar este módulo? ................................................................................. 383
¿Qué aprenderé en este módulo? ......................................................................................... 384
Determinación de trayecto....................................................................................................... 384
Dos funciones del router ...................................................................................................... 384
Ejemplo de Funciones del router ......................................................................................... 385
Mejor ruta es igual a la coincidencia más larga.................................................................... 385
Ejemplo de coincidencia más larga de direcciones IPv4...................................................... 385
Ejemplo de coincidencia más larga de direcciones IPv6...................................................... 386
Creación de la tabla de enrutamiento .................................................................................. 386
Redes desde la perspectiva de R1 ................................................................................ 387
Reenvío de paquetes ................................................................................................................ 388
Proceso de decisión de reenvío de paquetes ....................................................................... 388
Reenvío de paquetes ............................................................................................................ 390
Mecanismos de reenvío de paquetes ................................................................................... 390
Configuración básica de un router ........................................................................................... 393
Topología .............................................................................................................................. 393
Comandos de Configuración................................................................................................. 394
Comandos de verificación .................................................................................................... 395
Salida del comando de filtro ................................................................................................. 396
Salida del comando de filtro ................................................................................................. 396
Packet Tracer - Revisión básica de la configuración del router ........................................... 398
Tabla de routing IP ................................................................................................................... 398
Origen de la ruta ................................................................................................................... 398
Principios de la tabla de enrutamiento ................................................................................ 399
Entradas de la tabla de routing ............................................................................................ 400
Redes conectadas directamente........................................................................................... 401
Rutas estáticas ...................................................................................................................... 402
Rutas estáticas en la tabla de enrutamiento IP .................................................................... 403
Protocolos de routing dinámico ........................................................................................... 404
Rutas dinámicas en la tabla de enrutamiento IP .................................................................. 405
Ruta predeterminada ........................................................................................................... 406
Estructura de una tabla de enrutamiento IPv4 .................................................................... 407
Estructura de una tabla de enrutamiento IPv6 .................................................................... 409
Distancia administrativa ...................................................................................................... 410
Enrutamiento estático y dinámico ........................................................................................... 411
¿Estático o dinámico? ........................................................................................................... 411
Evolución del protocolo de routing dinámico ...................................................................... 412
Conceptos de Protocolos de routing dinámico .................................................................... 414
El mejor camino .................................................................................................................... 414
Balance de carga ................................................................................................................... 415
Práctica del módulo y cuestionario .......................................................................................... 416
¿Qué aprenderé en este módulo? ......................................................................................... 416
Introducción ............................................................................................................................. 419
¿Por qué debería tomar este módulo? ................................................................................. 419
¿Qué aprenderé en este módulo? ......................................................................................... 419
Rutas estáticas .......................................................................................................................... 420
Tipos de rutas estáticas ........................................................................................................ 420
Opciones de siguiente salto .................................................................................................. 420
Comando de ruta estática IPv4............................................................................................. 421
Comando de ruta estática IPv6............................................................................................. 422
Topología Dual-Stack............................................................................................................ 422
{1}Iniciando tablas de enrutamiento IPv4 ........................................................................... 423
Inicio de tablas de enrutamiento de IPv6 ............................................................................ 424
Configuración de rutas estáticas IP .......................................................................................... 424
Ruta estática IPv4 de siguiente salto .................................................................................... 424
Ruta estática IPv6 de siguiente salto .................................................................................... 425
Ruta Estática IPv4 Conectada Directamente ........................................................................ 426
Ruta Estática IPv6 Conectada Directamente ........................................................................ 427
Ruta estática completamente especificada IPv4 .................................................................. 427
Ruta estática completamente especificada IPv6 .................................................................. 429
Verificación de una ruta estática .......................................................................................... 429
Verificador de sintaxis- Configurar rutas estáticas .............................................................. 431
Configuración de rutas estáticas predeterminadas IP ............................................................. 431
Ruta estática por defecto ...................................................................................................... 431
Configuración de una ruta estática predeterminada ........................................................... 433
Verificar una ruta estática predeterminada ......................................................................... 433
Verificador de sintaxis- Configurar rutas estáticas .............................................................. 434
Configuración de rutas estáticas flotantes ............................................................................... 434
Rutas estáticas flotantes ....................................................................................................... 434
Configure las Rutas Estáticas Flotantes IPv4 y IPv6 ............................................................ 436
Pruebe la ruta estática flotante ............................................................................................ 437
Verificador de sintaxis - Configurar rutas estáticas flotantes .............................................. 438
Configuración de rutas de host estáticas ................................................................................. 438
Rutas del host ....................................................................................................................... 438
Rutas de host instaladas automáticamente ......................................................................... 439
Ruta estática de host ............................................................................................................ 440
Configuración de rutas de host estáticas ............................................................................. 440
Verificar rutas de host estáticas ........................................................................................... 440
Configurar rutas de host estáticas IPV6 con Link-Local de siguiente salto ......................... 441
Verificador de sintaxis- Configurar rutas estáticas .............................................................. 441
Práctica del módulo y cuestionario .......................................................................................... 441
Packet Tracer: Configuración de rutas estáticas y predeterminadas IPv4 eIPv6 ................ 442
Lab - Configure rutas estáticas y predeterminadas IPv4 e IPv6 .......................................... 442
¿Qué aprenderé en este módulo? ......................................................................................... 442
Introducción ............................................................................................................................. 444
¿Por qué debería tomar este módulo? ................................................................................. 444
¿Qué aprenderé en este módulo? ......................................................................................... 444
Procesamiento de paquetes con rutas estáticas ...................................................................... 445
Rutas estáticas y envío de paquetes ..................................................................................... 445
Verifique su conocimiento: procesamiento de paquetes con rutas estáticas ...................... 446
Resuelva problemas de configuración de rutas estáticas y predeterminadas IPv4 ................ 446
Cambios en la red ................................................................................................................. 447
Comandos comunes para la solución de problemas ............................................................ 447
Resolución de un problema de conectividad ....................................................................... 449
Comprobador de sintaxis: solucionar problemas de rutas estáticas y predeterminadas de
IPv4 ....................................................................................................................................... 451
Práctica del módulo y cuestionario .......................................................................................... 452
Packet Tracer - Solucionar problemas de rutas estáticas y predeterminadas .................... 452
Laboratioro - Resuelva problemas de rutas estáticas y predeterminadas en IPv4 e IPv6 .. 452
¿Qué aprenderé en este módulo? ......................................................................................... 452
Introducción
1.0.1
Imagina que compraste un juego de tren modelo. Después de haberla configurado, te diste
cuenta de que la pista era sólo una forma ovalada simple y que los vagones de tren sólo
funcionaban en el sentido de las agujas del reloj. Es posible que desee que la pista sea una
figura de ocho con un paso elevado. Es posible que desee tener dos trenes que operen
independientemente el uno del otro y sean capaces de moverse en diferentes direcciones.
¿Cómo pudiste hacer que eso pasara? Tendrías que volver a configurar la pista y los
controles. Es lo mismo con los dispositivos de red. Como administrador de red, necesita un
control detallado de los dispositivos de su red. Esto significa configurar con precisión switches
y routeres para que su red haga lo que desea que haga. Este módulo tiene muchas
actividades de Comprobador de sintaxis y trazador de paquetes para ayudarle a desarrollar
estas habilidades. Comencemos ya mismo.
1.0.2
Configuración de Parámetros
Configurar los parámetros iniciales en un switch Cisco.
Iniciales de un Switch
Configuración de Puertos de un
Configurar los puertos de un switch para cumplir con los requisitos de red.
Switch.
Configurar los ajustes básicos en un router para enrutar entre dos redes
Configuración básica de un router
conectadas directamente, utilizando CLI.
Verificar redes conectadas Verificar la conectividad entre dos redes que están conectadas
directamente directamente a un router.
1.0.3
Packet Tracer es una herramienta esencial de aprendizaje que se utiliza en muchos cursos de
Cisco Networking Academy.
Si ha utilizado algún programa, como un procesador de textos o una hoja de cálculo, ya está
familiarizado con los comandos del menú Archivo ubicados en la barra de menús superior. Los
comandos Abrir, Guardar, Guardar como y Salir funcionan como lo harían con cualquier
programa, pero hay dos comandos especiales para Packet Tracer.
El comando Salir y cerrar sesión eliminará la información de registro de esta copia de Packet
Tracer y requerirá que el siguiente usuario de esta copia de Packet Tracer realice el
procedimiento de inicio de sesión de nuevo.
Haga clic en Reproducir en el vídeo para aprender a utilizar los menús y a crear su primera
red Packet Tracer.
1.0.5
1.1.1
Después de encender un switch Cisco, pasa por la siguiente secuencia de inicio de cinco
pasos:
1.1.2
El sistema operativo IOS luego inicializa las interfaces utilizando los comandos Cisco IOS
que se encuentran en el archivo de configuración de inicio. Se llama al archivo startup-
config config.text y se encuentra en flash.
En el ejemplo, la variable de entorno BOOT se establece mediante el boot system comando
del modo de configuración global. Observe que el IOS se ubica en una carpeta distinta y
que se especifica la ruta de la carpeta. Use el comando show boot para ver en qué está
configurado el archivo de arranque IOS actual.
Leyenda de la tabla
Comando Definición
boot
system El comando principal
c2960-
lanbasek9-
mz.150- El nombre del archivo IOS
2.SE.bin
1.1.3
En la ilustración, se muestran los LED y el botón Mode de un switch Cisco Catalyst 2960.
La figura muestra los indicadores LED, el botón de modo y los puertos en la parte delantera
izquierda de un interruptor. Los indicadores LED numerados 1 - 6 de arriba a abajo son:
SYST, RPS, STAT, DUPLX, SPEED y PoE. Debajo de los indicadores LED y etiquetados 7 en
la figura está el botón de modo. Por encima de los puertos de conmutación y etiquetados 8 en
la figura están los LEDs de puerto.
El botón Modo (7 en la figura) se usa para alternar entre el estado del puerto, el dúplex del
puerto, la velocidad del puerto y, si es compatible, el estado de la alimentación a través de
Ethernet (PoE) de los LED del puerto (8 en la figura).
Indica que el modo de estado del puerto está seleccionado cuando el LED está verde. Este es
el modo predeterminado. Al seleccionarlo, los indicadores LED del puerto muestran colores
con diferentes significados. Si el LED está apagado, no hay enlace, o el puerto estaba
administrativamente inactivo. Si el LED es de color verde, hay un enlace presente. Si el LED
parpadea y es de color verde, hay actividad, y el puerto está enviando o recibiendo datos. Si el
LED alterna entre verde y ámbar, hay una falla en el enlace. Si el LED es de color ámbar, el
puerto está bloqueado para asegurar que no haya un bucle en el dominio de reenvío y no
reenvía datos (normalmente, los puertos permanecen en este estado durante los primeros
30 segundos posteriores a su activación). Si el LED parpadea y es de color ámbar, el puerto
está bloqueado para evitar un posible bucle en el dominio de reenvío.
Indica que el modo dúplex del puerto está seleccionado cuando el LED está verde. Al
seleccionarlo, los LED del puerto que están apagados están en modo semidúplex. Si el LED
del puerto es de color verde, el puerto está en modo dúplex completo.
Indica que el modo de velocidad del puerto está seleccionado. Al seleccionarlo, los
indicadores LED del puerto muestran colores con diferentes significados. Si el LED está
apagado, el puerto está funcionando a 10 Mbps. Si el LED es verde, el puerto está
funcionando a 100 Mbps. Si el LED parpadea en verde, el puerto está funcionando a 1000
Mbps.
Si se admite PoE, estará presente un LED de modo PoE. Si el LED está apagado, indica que
no se seleccionó el modo de alimentación por Ethernet, que a ninguno de los puertos se le
negó el suministro de alimentación y ninguno presenta fallas. Si el LED está parpadeando en
ámbar, el modo PoE no está seleccionado, pero al menos uno de los puertos ha sido
denegado o tiene una falla PoE. Si el LED es de color verde, indica que se seleccionó el modo
de alimentación por Ethernet, y los LED del puerto muestran colores con diferentes
significados. Si el LED del puerto está apagado, la alimentación por Ethernet está desactivada.
Si el LED del puerto es de color verde, la alimentación por Ethernet está activada. Si el LED
del puerto alterna entre verde y ámbar, se niega la alimentación por Ethernet, ya que, si se
suministra energía al dispositivo alimentado, se excede la capacidad de alimentación del
switch. Si el LED parpadea en ámbar, PoE está apagado debido a una falla. Si el LED es de
color ámbar, se inhabilitó la alimentación por Ethernet para el puerto.
Se puede acceder al cargador de arranque mediante una conexión de consola con los
siguientes pasos:
Paso 1. Conecte una computadora al puerto de consola del switch con un cable de consola.
Configure el software de emulación de terminal para conectarse al switch.
Paso 2. Desconecte el cable de alimentación del switch.
Paso 3. Vuelva a conectar el cable de alimentación al interruptor y, en 15 segundos, presione
y mantenga presionado el botón Mode mientras el LED del sistema todavía parpadea en
verde.
Paso 4. Continúe presionando el botón Mode hasta que el LED del sistema se vuelva
brevemente ámbar y luego verde sólido; luego suelte el botón Mode.
Paso 5. The boot loader switch: El mensaje aparece en el software de emulación de terminal
en la PC.
Escriba help o ? en el símbolo del gestor de arranque para ver una lista de comandos
disponibles.
Introduzca el BOOT=flash comando para cambiar la ruta de la variable de entorno BOOT que
utiliza el switch para cargar el nuevo IOS en flash. Para verificar la nueva ruta de la variable de
entorno BOOT, vuelva a set ejecutar el comando. Finalmente, para cargar el nuevo IOS
escriba el boot comando sin ningún argumento, como se muestra en la salida.
1.1.5
Haga clic en cada botón para conocer los pasos para configurar el acceso a la administración
del switch.
Paso 1
Desde el modo de configuración de la interfaz VLAN, se aplica una dirección IPv4 y una
máscara de subred a la SVI de administración del switch.
Nota: El SVI para VLAN 99 no aparecerá como "activo / activo" hasta que se cree VLAN 99 y
haya un dispositivo conectado a un puerto de switch asociado con VLAN 99.
Nota:Es posible que el switch debata configurar para IPv6. Por ejemplo, antes de que pueda
configurar el direccionamiento IPv6 en un Cisco Catalyst 2960 que ejecute IOS versión 15.0,
deberá ingresar el comando de configuración global sdm prefer dual-ipv4-and-ipv6 default y, a
continuación, reload el switch.
Guarde la configuración en
ejecución en la configuración de S1# copy running-config startup-config
inicio.
Paso 2
Guarde la configuración en
ejecución en la configuración de S1# copy running-config startup-config
inicio.
Paso 3
Verificar la configuración
Los show ip interface brief comandos show ipv6 interface brief y son útiles para determinar el
estado de las interfaces físicas y virtuales. La información que se muestra confirma que la
interfaz VLAN 99 se ha configurado con una dirección IPv4 e IPv6.
Nota: Una dirección IP aplicada al SVI es solo para el acceso de administración remota al
switch; esto no permite que el switch enrute paquetes de Capa 3.
1.1.7
Podrá practicar estas habilidades usando Packet Tracer o equipo de laboratorio, de estar
disponible.
Packet Tracer - Physical Mode (PTPM)
Equipo de laboratorio
1.2.1
Comunicación dúplex
Los puertos de un switch se pueden configurar de forma independiente para diferentes
necesidades. En este tema se describe cómo configurar los puertos del switch, cómo verificar
las configuraciones, errores comunes y cómo solucionar problemas de configuración del
switch.
La comunicación en dúplex completo aumenta el ancho de banda eficaz al permitir que ambos
extremos de una conexión transmitan y reciban datos simultáneamente. Esto también se
conoce como comunicación bidireccional y requiere microsegmentación. Las LAN
microsegmentadas se crean cuando un puerto de switch tiene solo un dispositivo conectado y
funciona en modo dúplex completo. Cuando un puerto de switch opera en modo dúplex
completo, no hay dominio de colisión conectado al puerto.
1.2.2
Guarda la configuración en
ejecución en la configuración de S1# copy running-config startup-config
inicio.
Cuando se solucionan problemas relacionados con el puerto del switch, es importante que se
verifique la configuración de dúplex y velocidad.
Nota: Si la configuración para el modo dúplex y la velocidad de puertos del switch presenta
incompatibilidades, se pueden producir problemas de conectividad. Una falla de
autonegociación provoca incompatibilidades en la configuración.
Todos los puertos de fibra óptica, como los puertos 1000BASE-SX, solo funcionan a una
velocidad predefinida y siempre son dúplex completo.
1.2.3
Con la característica auto-MDIX habilitada, se puede usar cualquier tipo de cable para
conectarse a otros dispositivos, y la interfaz se ajusta de manera automática para proporcionar
comunicaciones satisfactorias. En los switches Cisco más nuevos, el comando mdix auto del
modo de configuración de interfaz habilita la función. Al usar auto-MDIX en una interfaz, la
velocidad de la interfaz y el dúplex deben configurarse para que la función auto funcione
correctamente.
1.2.4
La primera línea de salida para el comando show interfaces fastEthernet 0/18 indica que la
interfaz FastEthernet 0/18 está activa / activa, lo que significa que está operativa. Más abajo
en el resultado, se muestra que el modo dúplex es full (completo) y la velocidad es de
100 Mb/s.
1.2.6
Según el resultado del comando show interfaces, los posibles problemas se pueden solucionar
de la siguiente manera:
Si la interfaz está activa y el protocolo de línea está inactivo, hay un problema. Puede
haber una incompatibilidad en el tipo de encapsulación, la interfaz en el otro extremo
puede estar inhabilitada por errores o puede haber un problema de hardware.
Si el protocolo de línea y la interfaz están inactivos, no hay un cable conectado o
existe algún otro problema de interfaz. Por ejemplo, en una conexión directa, el otro
extremo de la conexión puede estar administrativamente inactivo.
If the interface is administratively down, it has been manually disabled (the ****
shutdown) en la configuración activa.
El resultado del comando show interfaces muestra contadores y estadísticas para la interfaz
Fastethernet0/18, como se destaca en el ejemplo.
Algunos errores de los medios no son lo suficientemente graves como para hacer que el
circuito falle, pero causan problemas de rendimiento de la red. La tabla explica algunos de
estos errores comunes que se pueden detectar con el comando show interfaces.
Paquetes que se descartan porque son más pequeños que el mínimo tamaño
Fragmentos de
del paquete para el medio. Por ejemplo, cualquier paquete Ethernet que sea
colisión
menos de 64 bytes se considera un runt.
Tipo de error Descripción
Colisiones tardías Una colisión que ocurre después de 512 bits de la trama han sido Transmitido
1.2.7
Runt Frames - las tramas Ethernet que son más cortas que la longitud mínima
permitida de 64 bytes se llaman runts. La NIC en mal funcionamiento son la causa
habitual de las tramas excesivas de fragmentos de colisión, pero también pueden
deberse a colisiones.
Giants -Las tramas de Ethernet que son más grandes que el tamaño máximo permitido
se llaman gigantes.
CRC errors -En las interfaces Ethernet y serie, los errores de CRC generalmente
indican un error de medios o cable. Las causas más comunes incluyen interferencia
eléctrica, conexiones flojas o dañadas o cableado incorrecto. Si aparecen muchos
errores de CRC, hay demasiado ruido en el enlace, y se debe examinar el cable.
También se deben buscar y eliminar las fuentes de ruido.
“Output errors” es la suma de todos los errores que impiden la transmisión final de los
datagramas por la interfaz que se analiza. Los errores de salida informados del comando show
interfaces incluyen lo siguiente:
Colisión - Las colisiones en operaciones half-duplex son normales. Sin embargo,
nunca debe observar colisiones en una interfaz configurada para la comunicación en
dúplex completo.
Colisiones tardías -Una colisión tardía se refiere a una colisión que ocurre después de
que se han transmitido 512 bits de la trama. La longitud excesiva de los cables es la
causa más frecuente de las colisiones tardías. Otra causa frecuente es la
configuración incorrecta de dúplex. Por ejemplo, el extremo de una conexión puede
estar configurado para dúplex completo y el otro para semidúplex. Las colisiones
tardías se verían en la interfaz que está configurada para semidúplex. En ese caso,
debe configurar los mismos parámetros de dúplex en ambos extremos. Una red
diseñada y configurada correctamente nunca debería tener colisiones tardías.
1.2.8
Una colisión tardía se refiere a una colisión que ocurre después de que se han transmitido 512
bits de la trama.
Utilice el comando show interfaces para verificar el estado de la interfaz.
Verifique que se usen los cables adecuados. Además, revise los cables y los
conectores para detectar daños. Si se sospecha que hay un cable defectuoso o
incorrecto, reemplácelo.
Si la interfaz continúa inactiva, el problema puede deberse a una incompatibilidad en la
configuración de velocidad. La velocidad de una interfaz generalmente se negocia
automáticamente; por lo tanto, incluso si se aplica manualmente a una interfaz, la
interfaz de conexión debe negociarse automáticamente en consecuencia. Si se
produce una incompatibilidad de velocidad debido a una configuración incorrecta o a
un problema de hardware o de software, esto podría provocar que la interfaz quede
inactiva. Establezca manualmente la misma velocidad en ambos extremos de la
conexión si se sospecha que hay un problema.
Si la interfaz está activa pero aún hay problemas de conectividad, realice lo siguiente:
Using the comando show interfaces , verifique si hay indicios de ruido excesivo. Los
indicios pueden incluir un aumento en los contadores de fragmentos de colisión, de
fragmentos gigantes y de errores de CRC. Si hay un exceso de ruido, primero busque
el origen del ruido y, si es posible, elimínelo. Además, verifique qué tipo de cable se
utiliza y que el cable no supere la longitud máxima.
Si no hay problemas de ruido, verifique si hay un exceso de colisiones. Si hay
colisiones o colisiones tardías, verifique la configuración de dúplex en ambos extremos
de la conexión. Al igual que la configuración de velocidad, la configuración dúplex
generalmente se negocia automáticamente. Si parece haber una diferencia entre
dúplex, configure manualmente el dúplex como full (completo) en ambos extremos de
la conexión.
1.2.9
Operación Telnet
Es posible que no siempre tenga acceso directo al switch cuando necesite configurarlo.
Necesita poder acceder a él de forma remota y es imperativo que su acceso sea seguro. En
este tema se explica cómo configurar Secure Shell (SSH) para el acceso remoto. Una
actividad Packet Tracer le da la oportunidad de probar esto usted mismo.
Telnet utiliza el puerto TCP 23. Es un protocolo más antiguo que utiliza la transmisión de texto
sin formato segura tanto de la autenticación de inicio de sesión (nombre de usuario y
contraseña) como de los datos transmitidos entre los dispositivos de comunicación. Un actor
de amenazas puede monitorear paquetes usando Wireshark. Por ejemplo, en la figura, el actor
de amenazas capturó el nombre de usuario admin y la contraseña ccna de una sesión Telnet.
captura de pantalla de una captura WireShark de una sesión Telnet que muestra el nombre de
usuario y la contraseña enviados en texto sin formato
1.3.2
Funcionamiento de SSH
Secure Shell (SSH) es un protocolo seguro que utiliza el puerto TCP 22. Proporciona una
conexión de administración segura (encriptada) a un dispositivo remoto. El SSH debe
reemplazar a Telnet para las conexiones de administración. SSH proporciona seguridad para
las conexiones remotas mediante el cifrado seguro cuando se autentica un dispositivo
(nombre de usuario y contraseña) y también para los datos transmitidos entre los dispositivos
que se comunican.
Por ejemplo, la figura muestra una captura Wireshark de una sesión SSH. Proporciona una
conexión de administración segura (encriptada) a un dispositivo remoto. Sin embargo, a
diferencia de Telnet, con SSH el nombre de usuario y la contraseña están cifrados.
1.3.3
1.3.4
Configuración de SSH
Antes de configurar SSH, el switch debe tener configurado, como mínimo, un nombre de host
único y los parámetros correctos de conectividad de red.
Haga clic en cada botón para aprender los pasos para configurar SSH.
Paso 1
Paso 2
Configure el IP domain.
Paso 3
No todas las versiones del IOS utilizan la versión 2 de SSH de manera predeterminada, y la
versión 1 de SSH tiene fallas de seguridad conocidas. Para configurar SSH versión 2, emita el
comando del modo de configuración global ip ssh version 2. La creación de un par de claves
RSA habilita SSH automáticamente. Use el comando del modo de configuración global crypto
key generate rsa, para habilitar el servidor SSH en el switch y generar un par de claves RSA.
Al crear claves RSA, se solicita al administrador que introduzca una longitud de módulo. La
configuración de ejemplo en la figura 1 utiliza un tamaño de módulo de 1024 bits. Una longitud
de módulo mayor es más segura, pero se tarda más en generarlo y utilizarlo.
Nota:Para eliminar el par de claves RSA, use el comando del modo de configuración
global crypto key zeroize rsa. Después de eliminarse el par de claves RSA, el servidor SSH se
deshabilita automáticamente.
Paso 4
Paso 5
Habilite el protocolo SSH en las líneas vty utilizando el comando del modo de configuración de
línea transport input ssh. El switch Catalyst 2960 tiene líneas vty que van de 0 a 15. Esta
configuración evita las conexiones que no son SSH (como Telnet) y limita al switch a que
acepte solo las conexiones SSH. Use el comando line vty del modo de configuración global y
luego el comando login local del modo de configuración de línea para requerir autenticación
local para las conexiones SSH de la base de datos de nombre de usuario local.
S1(config-line)# salida
Paso 5
Habilite el protocolo SSH en las líneas vty utilizando el comando del modo de configuración de
línea transport input ssh. El switch Catalyst 2960 tiene líneas vty que van de 0 a 15. Esta
configuración evita las conexiones que no son SSH (como Telnet) y limita al switch a que
acepte solo las conexiones SSH. Use el comando line vty del modo de configuración global y
luego el comando login local del modo de configuración de línea para requerir autenticación
local para las conexiones SSH de la base de datos de nombre de usuario local.
Paso 6
EHabilite SSH versión 2.
De manera predeterminada, SSH admite las versiones 1 y 2. Al admitir ambas versiones, esto
se muestra en la salida show ip ssh como compatible con la versión 2. Habilite la versión SSH
utilizando el comando de configuración global ip ssh version 2.
1.3.5
La figura muestra la configuración de PuTTy para PC1 para iniciar una conexión SSH a la
dirección SVI VLAN IPv4 de S1.
Cuando está conectado, se solicita al usuario un nombre de usuario y una contraseña como
se muestra en el ejemplo. Usando la configuración del ejemplo anterior, se ingresan el nombre
de usuario: admin y la contraseña: ccna Después de ingresar la combinación correcta, el
usuario se conecta a través de SSH a la interfaz de línea de comando (CLI) en el switch
Catalyst 2960.
Para mostrar los datos de la versión y de configuración de SSH en el dispositivo que configuró
como servidor SSH, use el comando show ip ssh. En el ejemplo, se habilitó la versión 2 de
SSH.
1.3.6
Los routers y switches Cisco tienen muchas similitudes. Admiten sistemas operativos modales
y estructuras de comandos similares, así como muchos de los mismos comandos. Además,
los pasos de configuración inicial son similares para ambos dispositivos. Por ejemplo, las
siguientes tareas de configuración siempre deben realizarse. Asigne un nombre al dispositivo
para distinguirlo de otros routeres y configure contraseñas, como se muestra en el ejemplo.
1.4.3
Para que una interfaz esté disponible, debe cumplir los siguientes requisitos:
Configurado con al menos una dirección IP: - Utilice los comandos de configuración
de ip address ip-address subnet-mask y ipv6 address ipv6-address/prefix interface.
Activado: - Las interfaces LAN y WAN no están activadas de manera predeterminada
(shutdown). Para habilitar una interfaz, esta se debe activar mediante el comando no
shutdown. (Es como encender la interfaz.) La interfaz también debe estar conectada a
otro dispositivo (un hub, un switch u otro router) para que la capa física se active.
Descripción - Opcionalmente, la interfaz también se puede configurar con una breve
descripción de hasta 240 caracteres. Es aconsejable configurar una descripción en
cada interfaz. En las redes de producción, los beneficios de las descripciones de la
interfaz se obtienen rápidamente, ya que son útiles para solucionar problemas e
identificar una conexión de terceros y la información de contacto.
La interfaz de bucle invertido es una interfaz lógica interna del router. No está asignado a un
puerto físico y nunca se puede conectar a ningún otro dispositivo. Se la considera una interfaz
de software que se coloca automáticamente en estado "up" (activo), siempre que el router esté
en funcionamiento.
La interfaz loopback es útil para probar y administrar un dispositivo Cisco IOS, ya que asegura
que por lo menos una interfaz esté siempre disponible. Por ejemplo, se puede usar con fines
de prueba, como la prueba de procesos de routing interno, mediante la emulación de redes
detrás del router.
Se pueden habilitar varias interfaces loopback en un router. La dirección IPv4 para cada
interfaz de bucle invertido debe ser única y no debe ser utilizada por ninguna otra interfaz,
como se muestra en la configuración de ejemplo de la interfaz de bucle invertido 0 en R1.
1.4.7
Hay varios comandos show que se pueden usar para verificar el funcionamiento y la
configuración de una interfaz. La topología de la figura se utiliza para demostrar la verificación
de la configuración de la interfaz del router.
Los siguientes comandos son especialmente útiles para identificar rápidamente el estado de
una interfaz:
show ip interface brief y show ipv6 interface brief -Estos muestran un resumen de
todas las interfaces, incluida la dirección IPv4 o IPv6 de la interfaz y el estado
operativo actual.
show running-config interface interface-id -Esto muestra los comandos aplicados a la
interfaz especificada.
show ip route y show ipv6 route - Este muestra el contenido de la tabla IPv4 o IPv6
almacenada en la memoria RAM. En Cisco IOS 15, las interfaces activas deben
aparecer en la tabla de ruteo con dos entradas relacionadas identificadas con el
código 'C' (Conectado) o 'L' (Local). En versiones anteriores de IOS, solo aparece una
entrada con el código 'C'.
1.5.2
Los dos comandos siguientes se usan para recopilar información más detallada sobre la
interfaz:
show interfaces - Muestra la información de la interfaz y el recuento de flujo de
paquetes para todas las interfaces en el dispositivo.
show ip interface and show ipv6 interface -Muestra la información relacionada con
IPv4 e IPv6 para todas las interfaces en un router.
1.5.5
Verificar rutas
La salida de los show ip route comandos show ipv6 route y muestra las tres entradas
de red conectadas directamente y las tres entradas de interfaz de ruta de host local,
como se muestra en el ejemplo. La ruta de host local tiene una distancia administrativa
de 0. También tiene una máscara /32 para IPv4 y una máscara /128 para IPv6. La ruta
del host local es para rutas en el router que posee la dirección IP. Estas se usan para
permitir que el router procese los paquetes destinados a esa dirección IP.
Una ‘C’ junto a una ruta dentro de la tabla de enrutamiento indica que se trata de una red
conectada directamente. Cuando la interfaz del router está configurada con una dirección de
unidifusión global y está en el estado "arriba / arriba", el prefijo IPv6 y la longitud del prefijo se
agregan a la tabla de enrutamiento IPv6 como una ruta conectada.
El ping comando para IPv6 es idéntico al comando usado con IPv4, excepto que se usa una
dirección IPv6. Como se muestra en el ejemplo, el ping comando se usa para verificar la
conectividad de Capa 3 entre R1 y PC1.
1.5.6
Otra característica muy útil que mejora la experiencia del usuario en la CLI es el show filtrado
de salida. Los comandos de filtrado se pueden utilizar para mostrar secciones específicas de
los resultados. Para habilitar el comando de filtrado, ingrese una barra vertical partida (|)
después del show comando y luego ingrese un parámetro de filtrado y una expresión de
filtrado.
section
Muestra la sección completa que comienza con la expresión de filtrado, como se muestra en el
ejemplo.
include
Incluye todas las líneas de salida que coinciden con la expresión de filtrado, como se muestra
en el ejemplo.
exclude
Excluye todas las líneas de salida que coinciden con la expresión de filtrado, como se muestra
en el ejemplo.
begin
Muestra todas las líneas de salida desde un punto determinado, comenzando con la línea que
coincide con la expresión de filtrado, como se muestra en el ejemplo.
Nota: Los filtros de salida se pueden usar en combinación con cualquier show comando.
1.5.8
Historial de comandos
La función de historial de comandos es útil porque almacena temporalmente la lista de
comandos ejecutados para recuperar.
Un ejemplo de los comandos terminal history size y show history se muestra en la figura.
1.5.10
1.5.11
2. 1.6.2
1.6.3
Después de encender un switch Cisco, pasa por una secuencia de arranque de cinco pasos. La
variable de entorno BOOT se establece utilizando el boot system comando del modo de
configuración global. El IOS se encuentra en una carpeta distinta y se especifica la ruta de la
carpeta. Utilice los LED del interruptor para supervisar la actividad y el rendimiento del
interruptor: SYST, RPS, STAT, DUPLX, SPEED y PoE. El cargador de arranque proporciona acceso al
switch si no se puede usar el sistema operativo debido a la falta de archivos de sistema o al daño
de estos. El cargador de arranque tiene una línea de comando que proporciona acceso a los
archivos almacenados en la memoria flash. Para el acceso a la administración remota de un switch,
este se debe configurar con una dirección IP y una máscara de subred. Para administrar el switch
desde una red remota, el switch debe configurarse con una puerta de enlace predeterminada.
Para configurar el switch SVI, primero debe configurar la interfaz de administración, luego
configurar la puerta de enlace predeterminada y, finalmente, verificar la configuración.
La comunicación en dúplex completo aumenta el ancho de banda eficaz al permitir que ambos
extremos de una conexión transmitan y reciban datos simultáneamente. La comunicación
semidúplex es unidireccional. Los puertos de switch se pueden configurar manualmente con
parámetros específicos de dúplex y de velocidad. Utilice la negociación automática cuando la
configuración de velocidad y dúplex del dispositivo que se conecta al puerto sea desconocida o
pueda cambiar. Al habilitar la característica auto-MDIX, la interfaz detecta automáticamente el
tipo de conexión de cable requerido (directo o cruzado) y configura la conexión conforme a esa
información. Hay varios show comandos que se pueden utilizar al verificar las configuraciones del
switch. Utilice el show running-config comando y el show interfaces comando para verificar la
configuración de un puerto de switch. El resultado del show interfaces comando también es útil
para detectar problemas comunes de capa de acceso a la red, ya que muestra el estado del
protocolo de línea y vínculo de datos. Los errores de entrada reportados desde el show
interfaces comando incluyen: tramas runt, gigantes, errores CRC, junto con colisiones y colisiones
tardías. Utilícelo show interfaces para determinar si la red no tiene conexión o una conexión
incorrecta entre un switch y otro dispositivo.
Telnet (que usa el puerto TCP 23) es un protocolo más antiguo que utiliza la transmisión de texto
sin formato segura tanto de la autenticación de inicio de sesión (nombre de usuario y contraseña)
como de los datos transmitidos entre los dispositivos de comunicación. SSH (utilizando el puerto
TCP 22) es un protocolo seguro que proporciona una conexión de administración cifrada a un
dispositivo remoto. SSH proporciona seguridad para las conexiones remotas mediante el cifrado
seguro cuando se autentica un dispositivo (nombre de usuario y contraseña) y también para los
datos transmitidos entre los dispositivos que se comunican. Utilice el show version comando del
switch para ver qué IOS está ejecutando el switch. Un nombre de archivo de IOS que incluye la
combinación «k9» admite características y capacidades criptográficas. Para configurar SSH, debe
verificar que el switch lo admita, configurar el dominio IP, generar pares de claves RSA, configurar
la autenticación de uso, configurar las líneas VTY y habilitar SSH versión 2. Para verificar que SSH
esté operativo, use el show ip ssh comando para mostrar la versión y los datos de configuración de
SSH en el dispositivo.
Siempre se deben realizar las siguientes tareas de configuración inicial: nombrar el dispositivo para
distinguirlo de otros routeres y configurar contraseñas, configurar un banner para proporcionar
notificación legal de acceso no autorizado y guardar los cambios en un router. Una característica
que distingue a los switches de los routers es el tipo de interfaces que admite cada uno. Por
ejemplo, los switches de capa 2 admiten redes LAN y, por lo tanto, tienen varios puertos
FastEthernet o Gigabit Ethernet. La topología de pila dual se utiliza para demostrar la
configuración de las interfaces IPv4 e IPv6 del router. Los routers admiten redes LAN y WAN, y
pueden interconectar distintos tipos de redes; por lo tanto, admiten muchos tipos de interfaces.
Por ejemplo, los ISR G2 tienen una o dos interfaces Gigabit Ethernet integradas y ranuras para
tarjetas de interfaz WAN de alta velocidad (HWIC) para admitir otros tipos de interfaces de red,
incluidas las interfaces seriales, DSL y de cable. La interfaz de bucle invertido IPv4 es una interfaz
lógica interna del router. No está asignado a un puerto físico y nunca se puede conectar a ningún
otro dispositivo.
1.6.4
Puede conectar y configurar switches, ¡eso es genial!. Pero incluso una red con la tecnología
más reciente desarrolla sus propios problemas eventualmente. Si tiene que solucionar
problemas de la red, necesita saber cómo funcionan los switches. Este módulo le proporciona
los fundamentos de los switches y su funcionamiento. Por suerte, el funcionamiento del switch
es fácil de entender.
2.0.2
Leyenda de la tabla
Reenvío de tramas
2.1.1
Switching en la red
El concepto de switching y reenvío de tramas es universal en la tecnología de redes y en las
telecomunicaciones. En las redes LAN, WAN y en la red pública de telefonía conmutada
(PSTN), se usan diversos tipos de switches.
La decisión sobre cómo un switch reenvía el tráfico se toma en relación con el flujo de ese
tráfico. Hay dos términos asociados a las tramas que entran y salen de una interfaz:
Entrada - Este término se usa para describir el puerto por donde una trama ingresa al
dispositivo.
Salida - Este término se usa para describir el puerto que las tramas utilizarán al salir
del dispositivo.
Un switch LAN mantiene una tabla a la que hace referencia al reenviar tráfico a través del
switch. La única inteligencia de un switch LAN es su capacidad de usar su tabla para reenviar
tráfico. Un switch LAN reenvía tráfico basado en el puerto de entrada y la dirección MAC de
destino de una trama Ethernet. Con un switch LAN, hay solamente una tabla de switching
principal que describe una asociación estricta entre las direcciones MAC y los puertos; por lo
tanto, una trama Ethernet con una dirección de destino determinada siempre sale por el
mismo puerto de salida, independientemente del puerto de entrada por el que ingresa.
Nota: Una trama Ethernet nunca se reenviará fuera del mismo puerto en el que se recibió.
Haga clic en el botón Reproducir para ver una animación del proceso de switching.
Final del formulario
2.1.2
Para definir qué puerto usar para transmitir una trama, el switch primero debe saber qué
dispositivos existen en cada puerto. A medida que el switch aprende la relación de los puertos
con los dispositivos, construye una tabla llamada tabla de direcciones MAC. Esta tabla se
almacena en la Memoria de Contenido Direccionable (Content-Addressable Memory, CAM), la
cual es un tipo especial de memoria utilizada en aplicaciones de búsqueda de alta velocidad.
Por esta razón, la tabla de direcciones MAC a veces también se denomina tabla CAM.
Los switches LAN determinan cómo manejar las tramas de datos entrantes manteniendo la
tabla de direcciones MAC. Un switch llena su tabla de direcciones MAC al registrar la dirección
MAC de origen de cada dispositivo conectado a cada uno de sus puertos. El switch hace
referencia a la información en la tabla de direcciones MAC para enviar tramas destinadas a un
dispositivo específico fuera del puerto que se ha asignado a ese dispositivo.
2.1.3
Se revisa cada trama que ingresa a un switch para obtener información nueva. Esto se realiza
examinando la dirección MAC de origen de la trama y el número de puerto por el que ingresó
al switch.
2.1.5
Los switches de capa 2 utilizan uno de estos dos métodos para cambiar tramas:
2.1.6
La figura ilustra cómo almacenar y reenviar toma una decisión basada en la trama Ethernet.
2.1.7
Por el contrario, los switches que usan el método de corte pueden reenviar tramas no válidas,
ya que no realizan la verificación de FCS. Sin embargo, el switching de corte tiene la
capacidad de realizar un cambio de trama rápida. Esto significa que los switches que usan el
método de corte pueden tomar una decisión de reenvío tan pronto como encuentren la
dirección MAC de destino de la trama en la tabla de direcciones MAC, tal y como se muestra
en la ilustración.
El switch no tiene que esperar a que el resto de la trama ingrese al puerto de entrada antes de
tomar la decisión de reenvío.
El switching libre de fragmentos es una forma modificada de corte, en la que el switch solo
comienza a reenviar la trama después de haber leído el campo Tipo. El switching libre de
fragmentos proporciona una mejor verificación de errores que el método de corte, con
prácticamente ningún aumento de latencia.
La velocidad de latencia más baja del switching por corte hace que resulte más adecuado para
las aplicaciones mas demandantes de Tecnología Informática de Alto Rendimiento (High-
Performance Computing, HPC) que requieren latencias de proceso a proceso de
10 microsegundos o menos.
El método switching de corte puede reenviar tramas con errores. Si hay un índice de error alto
(tramas no válidas) en la red, el switching por método de corte puede tener un impacto
negativo en el ancho de banda, de esta forma, se obstruye el ancho de banda con las tramas
dañadas y no válidas.
2.1.8
Actividad: El Switch!
Utilice esta actividad para comprobar su comprensión de cómo un switch aprende y reenvía
tramas.
Trama
Preámbulo Destino Origen Tipo/Longitud Trama Fin de
MAC MAC Trama
0F 0E
Tabla MAC
Fa1 Fa2 Fa3 Fa4 Fa5 Fa6 Fa7 Fa8 Fa9 Fa10 Fa11 Fa12
0C 0D 0E
2.2.1
Dominios de colisiones
En el tema anterior, obtuvo una mejor comprensión de lo que es un switch y cómo funciona.
En este tema se explica cómo funcionan los switches entre sí y con otros dispositivos para
eliminar colisiones y reducir la congestión de la red. Los términos colisiones y congestión se
utilizan aquí de la misma manera que se utilizan en el tráfico callejero.
En segmentos Ethernet basados en hubs antiguos, los dispositivos de red compitieron por el
medio compartido. Los segmentos de red que comparten el mismo ancho de banda entre
dispositivos se conocen como dominios de colisión. Cuando dos o más dispositivos del mismo
dominio de colisión tratan de comunicarse al mismo tiempo, se produce una colisión.
Como se muestra en la figura, se elige dúplex completo si ambos dispositivos cuentan con la
funcionalidad, junto con su ancho de banda común más elevado.
2.2.2
Dominios de difusión
Una serie de switches interconectados forma un dominio de difusión simple. Solo los
dispositivos de capa de red, como los routers, pueden dividir un dominio de difusión de capa 2.
Los routers se utilizan para segmentar los dominios de difusión, pero también segmentan un
dominio de colisión.
Cuando un dispositivo desea enviar una difusión de capa 2, la dirección MAC de destino de la
trama se establece solo en números uno binarios.
Cuando un switch recibe una trama de difusión, la reenvía por cada uno de sus puertos,
excepto por el puerto de entrada en el que se recibió la trama de difusión. Cada dispositivo
conectado al switch recibe una copia de la trama de difusión y la procesa.
En ocasiones, las difusiones son necesarias para localizar inicialmente otros dispositivos y
servicios de red, pero también reducen la eficacia de la red. El ancho de banda de red se usa
para propagar el tráfico de difusión. Si hay demasiadas difusiones y una carga de tráfico
intensa en una red, se puede producir una congestión, lo que reduce el rendimiento de la red.
Cuando hay dos switches conectados entre sí, se aumenta el dominio de difusión, como se ve
en la segunda mitad de la animación. En este caso, se reenvía una trama de difusión a todos
los puertos conectados en el switch S1. El switch S1 está conectado al switch S2. Luego, la
trama se propaga a todos los dispositivos conectados al switch S2.
2.2.3
Velocidades de puertos rápidas : las velocidades de los puertos del switch Ethernet
varían según el modelo y el propósito. Por ejemplo, la mayoría de los switches de capa
de acceso admiten velocidades de puerto de 100 Mbps y 1 Gbps. Los switches de
capa de distribución admiten velocidades de puerto de 100 Mbps, 1 Gbps y 10 Gbps y
los switches de nivel central y centro de datos admiten velocidades de puerto de 100
Gbps, 40 Gbps y 10 Gbps. Los switches con velocidades de puerto más rápidas
cuestan más pero pueden reducir la congestión.
Cambio interno rápido : los switches utilizan un bus interno rápido o memoria
compartida para proporcionar un alto rendimiento.
Búferes de trama grande : los switches utilizan búferes de memoria grande para
almacenar temporalmente más tramas recibidas antes de tener que empezar a
descartarlas. Esto permite que el tráfico de entrada desde un puerto más rápido (por
ejemplo, 1 Gbps) se reenvíe a un puerto de salida más lento (por ejemplo, 100 Mbps)
sin perder tramas.
Alta densidad de puertos : un switch de alta densidad de puertos reduce los costos
generales porque reduce el número de switches requeridos. Por ejemplo, si se
necesitaran 96 puertos de acceso, sería menos costoso comprar dos switches de 48
puertos en lugar de cuatro switches de 24 puertos. Los switches de alta densidad de
puertos también ayudan a mantener el tráfico local, lo que ayuda a aliviar la
congestión.
2.2.4
La decisión sobre cómo un switch reenvía el tráfico se toma en relación con el flujo de ese tráfico. El
término ingreso describe el puerto donde una trama ingresa a un dispositivo. El término salida
describe el puerto que las tramas utilizarán al salir del dispositivo. Una trama Ethernet nunca será
reenviada fuera del puerto donde ingresó. Para definir qué puerto usar para transmitir una trama, el
switch primero debe saber qué dispositivos existen en cada puerto. A medida que el switch aprende
la relación de los puertos con los dispositivos, construye una tabla llamada tabla de direcciones MAC.
Cada trama que ingresa a un switch se comprueba para obtener información nueva examinando la
dirección MAC de origen de la trama y el número de puerto donde la trama ingresó al switch. Si la
dirección MAC de destino es una dirección de unidifusión, el switch busca una coincidencia entre la
dirección MAC de destino de la trama y una entrada en la tabla de direcciones MAC. Los métodos de
reenvío de switches incluyen almacenamiento y reenvío y corte. Almacenaje y reenvío utiliza la
comprobación de errores y el almacenamiento en búfer automático. El corte no comprueba errores.
En su lugar, realiza un cambio rápido de trama. Esto significa que el switch puede tomar una decisión
de reenvío tan pronto como haya buscado la dirección MAC de destino de la trama en su tabla de
direcciones MAC.
Cambio de Dominio
Si un puerto Ethernet de switch funciona en semidúplex, cada segmento está en su propio dominio de
colisión. No hay dominios de colisión cuando los puertos del switch funcionan en dúplex completo. De
manera predeterminada, los puertos de Ethernet del switch negociarán automáticamente el dúplex
completo cuando el dispositivo adyacente también pueda funcionar en dúplex completo. Una serie de
switches interconectados forma un dominio de difusión simple. Solo los dispositivos de capa de red,
como los routers, pueden dividir un dominio de difusión de capa 2. El dominio de difusión de capa 2
se denomina “dominio de difusión MAC”. El dominio de difusión MAC consta de todos los dispositivos
en la LAN que reciben tramas de difusión de un host. Cuando un switch recibe una trama de difusión,
la reenvía por cada uno de sus puertos, excepto el puerto de entrada en el que se recibió la trama de
difusión. Cada dispositivo conectado al switch recibe una copia de la trama de difusión y la procesa.
Los switches pueden: interconectar segmentos LAN, usar una tabla de direcciones MAC para
determinar los puertos de salida y pueden reducir o eliminar por completo las colisiones. Para ayudar
a aliviar la congestión, los switches utilizan velocidades de puerto rápidas, cambio interno rápido,
búferes de tramas grandes y densidades de puertos altas
2.3.2
Imagina que estás a cargo de una conferencia muy grande. Hay personas de todas partes que
comparten un interés común y algunas que también tienen una experiencia especial.
Imagínese si cada experto que quisiera presentar su información a un público más pequeño
tuviera que hacerlo en la misma sala grande con todos los demás expertos y sus audiencias
más pequeñas. Nadie podría oír nada. Tendrías que encontrar salas separadas para todos los
expertos y sus audiencias más pequeñas. La LAN virtual (VLAN) hace algo similar en una red.
Las VLAN se crean en la Capa 2 para reducir o eliminar el tráfico de difusión. Las VLAN son la
forma en que divide la red en redes más pequeñas, de modo que los dispositivos y las
personas dentro de una sola VLAN se comunican entre sí y no tienen que administrar el tráfico
de otras redes. El administrador de red puede organizar las VLAN por ubicación, quién las
está utilizando, el tipo de dispositivo o cualquier categoría que se necesite. Sabes que quieres
aprender a hacer esto, ¡así que no esperes!
3.0.2
Objetivos del módulo: Implemente VLAN y enlaces troncales en una red conmutada.
Redes VLAN en un
Explique cómo un switch reenvía tramas según la configuración de VLAN en
entorno conmutado
un entorno conmutado múltiple.
múltiple
Configure un puerto para switch que se asignará a una VLAN según los
Configuración de VLAN
requisitos.
Enlaces troncales de la
Configure un puerto de enlace troncal en un switch LAN.
VLAN
Protocolo de enlace
Configure el protocolo de enlace troncal dinámico (DTP).
troncal dinámico
Definiciones de VLAN
Por supuesto, organizar su red en redes más pequeñas no es tan simple como separar
tornillos y ponerlos en frascos. Pero hará que su red sea más fácil de administrar. Dentro de
una red conmutada, las VLAN proporcionan la segmentación y la flexibilidad organizativa. Un
grupo de dispositivos dentro de una VLAN se comunica como si cada dispositivo estuviera
conectados al mismo cable. Las VLAN se basan en conexiones lógicas, en lugar de
conexiones físicas.
Como se muestra en la figura, las VLAN en una red conmutada permiten a los usuarios de
varios departamentos (por ejemplo, TI, recursos humanos y ventas) conectarse a la misma
red, independientemente del switch físico que se esté utilizando o de la ubicación en una LAN
del campus
Las VLAN permiten que el administrador divida las redes en segmentos según factores como
la función, el equipo del proyecto o la aplicación, sin tener en cuenta la ubicación física del
usuario o del dispositivo. Cada VLAN se considera una red lógica diferente. Los dispositivos
dentro de una VLAN funcionan como si estuvieran en su propia red independiente, aunque
compartan una misma infraestructura con otras VLAN. Cualquier puerto de switch puede
pertenecer a una VLAN.
Varias subredes IP pueden existir en una red conmutada, sin el uso de varias VLAN. Sin
embargo, los dispositivos estarán en el mismo dominio de difusión de capa 2. Esto significa
que todas las difusiones de capa 2, tales como una solicitud de ARP, serán recibidas por
todos los dispositivos de la red conmutada, incluso por aquellos que no se quiere que reciban
la difusión.
Una VLAN crea un dominio de difusión lógico que puede abarcar varios segmentos LAN
físicos. Las VLAN mejoran el rendimiento de la red mediante la división de grandes dominios
de difusión en otros más pequeños. Si un dispositivo en una VLAN envía una trama de
Ethernet de difusión, todos los dispositivos en la VLAN reciben la trama, pero los dispositivos
en otras VLAN no la reciben.
Mediante las VLAN, los administradores de red pueden implementar políticas de acceso y
seguridad de acuerdo con a grupos específicos de usuarios. Cada puerto de switch se puede
asignar a una sola VLAN (a excepción de un puerto conectado a un teléfono IP o a otro
switch).
3.1.2
La figura muestra una topología de red con varios conmutadores, varias VLAN y
direccionamiento de red contiguo. En la parte superior de la topología hay un router R1
conectado a un switch de abajo. El switch está conectado a otros dos switches. El
conmutador de la izquierda tiene tres hosts conectados a él, cada uno asignado a una VLAN
diferente. PC1 conectado al puerto F0/11 tiene la siguiente asignación: Facultad, VLAN 10,
172.17.10.21/24. PC2 conectado al puerto F0/18 tiene la siguiente asignación: Estudiante,
VLAN 20, 172.17.20.22/24. PC3 conectado al puerto F0/6 tiene la siguiente asignación:
Invitado, VLAN 30, 172.17.30.23/24. El conmutador de la derecha también tiene tres hosts
conectados a él, cada uno asignado a una VLAN diferente. PC4 conectado al puerto F0/11
tiene la siguiente asignación: Facultad, VLAN 10, 172.17.10.24/24. PC5 conectado al
puerto F0/18 tiene la siguiente asignación: Estudiante, VLAN 20, 172.17.20.25/24. PC6
conectado al puerto F0/6 tiene la siguiente asignación: Invitado, VLAN 30,
172.1.7.20.26/24.
En la tabla se enumeran las ventajas de diseñar una red con VLAN.
Ventaja Descripción
Las VLAN simplifican la administración de la red porque los usuarios con una red
Mejora la similar se pueden configurar en la misma VLAN.
eficiencia del Las VLAN se pueden nombrar para facilitar su identificación.
departamento de En la figura, VLAN 10 fue nombrado «Facultad», VLAN 20 «Estudiante», y VLAN
IT. 30 «Invitado. »
Los dominios de difusión más pequeños reducen el tráfico innecesario en la red y mejorar
Mejor rendimiento
el rendimiento.
Tipos de VLAN
Las VLAN se utilizan por diferentes razones en las redes modernas. Algunos tipos de VLAN se
definen según las clases de tráfico. Otros tipos de VLAN se definen según la función
específica que cumplen.
La VLAN predeterminada para los switches Cisco es la VLAN 1. Por lo tanto, todos los puertos
del switch están en VLAN 1 a menos que esté configurado explícitamente para estar en otra
VLAN. Todo el tráfico de control de capa 2 se asocia a la VLAN 1 de manera predeterminada.
Entre los datos importantes que hay que recordar acerca de la VLAN 1 se incluyen los
siguientes:
Por ejemplo, en la show vlan brief ilustración, todos los puertos están asignados a la VLAN 1
predeterminada. No hay ninguna VLAN nativa asignada explícitamente ni otras VLAN activas;
por lo tanto, la VLAN nativa de la red que se diseñó es la VLAN de administración. Esto se
considera un riesgo de seguridad.
VLAN de datos
Las VLAN de datos son VLAN configuradas para separar el tráfico generado por el usuario.
Las VLAN de datos se usan para dividir la red en grupos de usuarios o dispositivos. Una red
moderna tendría muchas VLAN de datos en función de los requisitos organizativos. Tenga en
cuenta que no se debe permitir el tráfico de administración de voz y red en las VLAN de datos
VLAN nativa
El tráfico de usuario de una VLAN debe etiquetarse con su ID de VLAN cuando se envía a otro
switch. Los puertos troncal se utilizan entre conmutadores para admitir la transmisión de
tráfico etiquetado. Específicamente, un puerto troncal 802.1Q inserta una etiqueta de 4 bytes
en el encabezado de trama Ethernet para identificar la VLAN a la que pertenece la trama.
Es posible que un switch también tenga que enviar tráfico sin etiqueta a través de un enlace
troncal. El tráfico sin etiquetas es generado por un switch y también puede provenir de
dispositivos heredados. El puerto de enlace troncal 802.1Q coloca el tráfico sin etiquetar en la
VLAN nativa. La VLAN nativa en un switch Cisco es VLAN 1 (es decir, VLAN predeterminada).
Se recomienda configurar la VLAN nativa como VLAN sin utilizar, independiente de la VLAN 1
y de otras VLAN. De hecho, es común utilizar una VLAN fija para que funcione como VLAN
nativa para todos los puertos de enlace troncal en el dominio conmutado.
VLAN de administración
VLAN de voz
Se necesita una VLAN separada para admitir la tecnología de voz sobre IP (VoIP). Para el
tráfico de VoIP, se necesita lo siguiente:
Para cumplir estos requerimientos, se debe diseñar la red completa para que admita VoIP.
En la figura, la VLAN 150 se diseña para enviar tráfico de voz. La computadora del estudiante
PC5 está conectada al teléfono IP de Cisco y el teléfono está conectado al switch S3. La PC5
está en la VLAN 20 que se utiliza para los datos de los estudiantes.
3.1.4
3.1.5
Un enlace troncal es un enlace punto a punto entre dos dispositivos de red que lleva más de
una VLAN. Un enlace troncal de VLAN amplía las VLAN a través de toda la red. Cisco admite
IEEE 802.1Q para coordinar enlaces troncales en las interfaces Fast Ethernet, Gigabit
Ethernet y 10-Gigabit Ethernet.
Un enlace troncal no pertenece a una VLAN específica. Es más bien un conducto para las
VLAN entre los switches y los routers. También se puede utilizar un enlace troncal entre un
dispositivo de red y un servidor u otro dispositivo que cuente con una NIC con capacidad
802.1Q. En los switches Cisco Catalyst, se admiten todas las VLAN en un puerto de enlace
troncal de manera predeterminada.
3.2.2
3.2.3
Los puertos que componen la conexión entre los switches S2 y S1 (puertos F0/1), y entre el
S1 y el S3 (puertos F0/3) son enlaces troncales y se configuraron para admitir todas las VLAN
en la red.
Cuando el S1 recibe la trama de difusión en el puerto F0/1, reenvía la trama de difusión por el
único puerto configurado para admitir la VLAN 10, que es el puerto F0/3. Cuando el S3 recibe
la trama de difusión en el puerto F0/3, reenvía la trama de difusión por el único puerto
configurado para admitir la VLAN 10, que es el puerto F0/11. La trama de difusión llega a la
única otra computadora de la red configurada en la VLAN 10, que es la computadora PC4 del
cuerpo docente.
3.2.4
Una vez que el switch introduce los campos tipo y de información de control de etiquetas,
vuelve a calcular los valores de la FCS e inserta la nueva FCS en la trama.
3.2.5
VLAN nativas y etiquetado de 802.1Q
El estándar IEEE 802.1Q especifica una VLAN nativa para los enlaces troncal, que por defecto
es VLAN 1. Cuando un marco sin etiqueta llega a un puerto troncal, se asigna a la VLAN
nativa. Las tramas de administración que se envían entre conmutadores es un ejemplo de
tráfico que normalmente no se etiqueta. Si el vínculo entre dos switches es un tronco, el switch
envía el tráfico sin etiqueta en la VLAN nativa.
Algunos dispositivos que admiten los enlaces troncales agregan una etiqueta VLAN al tráfico
de las VLAN nativas. El tráfico de control que se envía por la VLAN nativa no se debe
etiquetar. Si un puerto de enlace troncal 802.1Q recibe una trama etiquetada con la misma ID
de VLAN que la VLAN nativa, descarta la trama. Por consiguiente, al configurar un puerto de
un switch Cisco, configure los dispositivos de modo que no envíen tramas etiquetadas por la
VLAN nativa. Los dispositivos de otros proveedores que admiten tramas etiquetadas en la
VLAN nativa incluyen: teléfonos IP, servidores, routers y switches que no pertenecen a Cisco.
Cuando un puerto de enlace troncal de un switch Cisco recibe tramas sin etiquetar (poco
usuales en las redes bien diseñadas), envía esas tramas a la VLAN nativa. Si no hay
dispositivos asociados a la VLAN nativa (lo que es usual) y no existen otros puertos de enlace
troncal (es usual), se descarta la trama. La VLAN nativa predeterminada es la VLAN 1. Al
configurar un puerto de enlace troncal 802.1Q, se asigna el valor de la ID de VLAN nativa a la
ID de VLAN de puerto (PVID) predeterminada. Todo el tráfico sin etiquetar entrante o saliente
del puerto 802.1Q se reenvía según el valor de la PVID. Por ejemplo, si se configura la VLAN
99 como VLAN nativa, la PVID es 99, y todo el tráfico sin etiquetar se reenvía a la VLAN 99. Si
no se volvió a configurar la VLAN nativa, el valor de la PVID se establece en VLAN 1.
Específicamente, el teléfono IP Cisco contiene un switch 10/100 de tres puertos integrado. Los
puertos proporcionan conexiones dedicadas para estos dispositivos:
El tráfico VLAN de voz debe etiquetarse con un valor de prioridad CoS de Capa 2
adecuado.
En una VLAN de acceso con una etiqueta de valor de prioridad de CoS de capa 2
En una VLAN de acceso sin etiqueta (sin valor de prioridad de CoS de capa 2)
3.2.9
Configuración de VLAN
3.3.1
Los proveedores de servicios los* utilizan para dar servicio a varios clientes y por las
empresas globales lo suficientemente grandes como para necesitar identificadores de VLAN
de rango extendido.
Se identifican mediante una ID de VLAN entre 1006 y 4094.
Las configuraciones se guardan en el archivo de configuración en ejecución.
Admiten menos características de VLAN que las VLAN de rango normal.
Requiere la configuración del modo transparente VTP para admitir VLAN de rango
extendido.
Nota: Nota: la cantidad máxima de VLAN disponibles en los switches Catalyst es 4096, ya que
el campo ID de VLAN tiene 12 bits en el encabezado IEEE 802.1Q.
3.3.2
En la figura 1, se muestra la sintaxis del comando de IOS de Cisco que se utiliza para agregar
una VLAN a un switch y asignarle un nombre. Se recomienda asignarle un nombre a cada
VLAN en la configuración de un switch.
Nota: Además de introducir una única ID de VLAN, se puede introducir una serie de ID de
VLAN separadas por comas o un rango de ID de VLAN separado por guiones usando
el vlan comando vlan-id . Por ejemplo, al introducir el comando de configuración vlan
100,102,105-107 global se crearían las VLAN 100, 102, 105, 106 y 107.
3.3.4
En la figura se muestra la sintaxis para definir un puerto como puerto de acceso y asignarlo a
una VLAN. EL switchport mode access comando es optativo, pero se aconseja como
práctica recomendada de seguridad. Con este comando, la interfaz cambia al modo de acceso
permanente.
Nota: Use el interface range comando para configurar simultáneamente varias interfaces
3.3.5
Las VLAN se configuran en el puerto del switch y no en el terminal. La PC2 se configura con
una dirección IPv4 y una máscara de subred asociadas a la VLAN, que se configura en el
puerto de switch. En este ejemplo, es la VLAN 20. Cuando se configura la VLAN 20 en otros
switches, el administrador de red debe configurar las otras computadoras de alumnos para
que estén en la misma subred que la PC2 (172.17.20.0/24).
3.3.6
VLAN de voz, datos
Un puerto de acceso puede pertenecer a sólo una VLAN a la vez. Sin embargo, un puerto
también se puede asociar a una VLAN de voz. Por ejemplo, un puerto conectado a un teléfono
IP y un dispositivo final se asociaría con dos VLAN: una para voz y otra para datos.
Consulte la topología en la figura. En este ejemplo, la PC5 está conectada con el teléfono IP
de Cisco, que a su vez está conectado a la interfaz FastEthernet 0/18 en S3. Para
implementar esta configuración, se crean una VLAN de datos y una VLAN de voz.
3.3.7
Las redes LAN que admiten tráfico de voz por lo general también tienen la Calidad de Servicio
(QoS) habilitada. El tráfico de voz debe etiquetarse como confiable apenas ingrese en la red.
Use el mls qos trust [cos | device cisco-phone | dscp | ip-precedence] comando de
configuración para establecer el estado confiable de una interfaz, y para indicar qué campos
del paquete se usan para clasificar el tráfico.
La configuración en el ejemplo crea las dos VLAN (es decir, VLAN 20 y VLAN 150), y a
continuación, asigna la interfaz F0/18 de S3 como un puerto de switch en VLAN 20. También
asigna el tráfico de voz en VLAN 150 y permite la clasificación de QoS basada en la Clase de
Servicio (CoS) asignado por el teléfono IP.
Nota: La implementación de QoS no está contemplada en este curso.
El switchport access vlan comando fuerza la creación de una VLAN si es que aún no existe en
el switch. Por ejemplo, la VLAN 30 no está presente en la salida del comando show vlan
brief del switch. Si se introduce el comando switchport access vlan 30 en cualquier interfaz sin
configuración previa, el switch muestra lo siguiente:
El show vlan comando muestra la lista de todas las VLAN configuradas. El show
vlan comando también se puede utilizar con opciones. La sintaxis completa es show
vlan [brief | id vlan-id | name vlan-name | summary].
El show vlan summary comando muestra la lista de todas las VLAN configuradas.
3.3.9
En la salida, por ejemplo, Fa0/18 está configurado para estar en la VLAN 1 predeterminada,
tal como lo confirma el show vlan brief comando.
La show interfaces f0/18 switchport salida también se puede utilizar para verificar que la VLAN
de acceso para la interfaz F0/18 se ha restablecido a la VLAN 1 como se muestra en la salida.
3.3.10
Precaución: Antes de borrar una VLAN, reasigne todos los puertos miembros a una VLAN
distinta. Los puertos que no se trasladen a una VLAN activa no se podrán comunicar con otros
hosts una vez que se elimine la VLAN y hasta que se asignen a una VLAN activa.
3.3.11
3.3.12
Packet Tracer: Configuración de redes
VLAN
En esta actividad de Packet Tracer, completará los siguientes objetivos:
Para habilitar los vínculos troncal, configure los puertos de interconexión con el conjunto
de comandos de configuración de interfaz que se muestran en la tabla.
Establezca el puerto en
modo de enlace troncal Switch(config-if)# switchport mode trunk
permanente.
Cambie la configuración de
la VLAN nativa a otra opción Switch(config-if)# switchport trunk native vlan vlan-id
que no sea VLAN 1.
El ejemplo muestra la configuración del puerto F0/1 en el conmutador S1 como puerto troncal.
La VLAN nativa se cambia a VLAN 99 y la lista de VLAN permitidas se restringe a 10, 20, 30 y
99.
Nota: Esta configuración supone el uso de los switches Cisco Catalyst 2960 que utilizan de
manera automática la encapsulación 802.1Q en los enlaces troncales. Es posible que otros
switches requieran la configuración manual de la encapsulación. Siempre configure ambos
extremos de un enlace troncal con la misma VLAN nativa. Si la configuración de enlace troncal
802.1Q no es la misma en ambos extremos, el software IOS de Cisco registra errores.
3.4.3
Verifique la configuración de enlaces
troncales.
La salida del switch muestra la configuración del puerto del switch F0/1 en el switch S1. La
configuración se verifica con el show interfaces comando switchport interface-ID.
En el área superior resaltada, se muestra que el modo administrativo del puerto F0/1 se
estableció en trunk. El puerto está en modo de enlace troncal. En la siguiente área resaltada,
se verifica que la VLAN nativa es la VLAN 99. Más abajo en el resultado, en el área inferior
resaltada, se muestra que las VLAN 10,20,30 y 99 están habilitadas en el enlace troncal. 3.4.4
3.4.5
3.4.6
Práctica de laboratorio: Configuración de
redes VLAN y enlaces troncales
Oportunidad de Práctica de habilidades
Tendrá la oportunidad de practicar las siguientes habilidades:
Podrá practicar estas habilidades usando Packet Tracer o equipo de laboratorio, de estar
disponible.
Introducción a DTP
Algunos switches Cisco tienen un protocolo propietario que les permite negociar
automáticamente la conexión troncal con un dispositivo vecino. Este protocolo se denomina
Protocolo de Enlace Troncal Dinámico (DTP). DTP puede acelerar el proceso de configuración
de un administrador de red. Las interfaces troncal Ethernet admiten diferentes modos de
enlace troncal. Una interfaz se puede establecer en trunking o no trunking, o para negociar
trunking con la interfaz vecina. La negociación de enlaces troncales entre dispositivos de red
la maneja el Protocolo de Enlace Troncal Dinámico (DTP), que solo funciona de punto a punto.
DTP es un protocolo exclusivo de Cisco que se habilita de manera automática en los switches
de las series Catalyst 2960 y Catalyst 3560. DTP maneja la negociación de enlaces troncales
sólo si el puerto del switch vecino está configurado en un modo de enlace troncal que admite
DTP. Los switches de otros proveedores no admiten el DTP.
La configuración DTP predeterminada para los switches Catalyst 2960 y 3650 de Cisco es
automática dinámica.
Para habilitar los enlaces troncales desde un switch de Cisco hacia un dispositivo que no
admite DTP, utilice los comandos switchport mode trunk y switchport nonegotiate interface
configuration mode commands. Esto hace que la interfaz se convierta en un tronco, pero no
generará tramas DTP.
Para volver a habilitar el protocolo de enlace troncal dinámico, utilice el switchport mode
dynamic auto comando.
Si los puertos que conectan dos conmutadores están configurados para ignorar todos los
anuncios DTP con los switchport mode trunk comandos switchport nonegotiate y, los
puertos se quedarán en modo de puerto troncal. Si los puertos de conexión están
configurados en automático dinámico, no negociarán un tronco y permanecerán en el estado
de modo de acceso, creando un enlace troncal inactivo.
Cuando configure un puerto para que esté en modo de enlace troncal, utilice el switchport
mode trunk comando. No existe ambigüedad sobre el estado en que se encuentra el enlace
troncal: este se encuentra siempre activo.
3.5.2
3.5.3
Opción Descripción
El puerto queda configurado en modo troncal de forma permanente y negocia para que el
enlace se convierta en una conexión troncal.
trunk La interfaz se convierte en una interfaz de enlace troncal, incluso si la interfaz vecina no
es una interfaz troncal.
Dinámico
Dinámico Troncal Acceso
deseado
automático
Dinámico
Acceso Troncal Troncal Acceso
automático
Dinámico
Troncal Troncal Troncal Acceso
deseado
Conectividad
Troncal Troncal Troncal Troncal
limitada
Conectividad
Acceso Acceso Acceso Acceso
limitada
3.5.4
Verificación del modo de DTP
El modo DTP predeterminado depende de la versión del software Cisco IOS y de la
plataforma. Para determinar el modo DTP actual, ejecute el show dtp interface comando
como se muestra en la salida.
Nota: Una mejor práctica general cuando se requiere un enlace troncal es establecer la
interfaz en trunk y nonegotiate cuando se necesita un enlace troncal. Se debe inhabilitar DTP
en los enlaces cuando no se deben usar enlaces troncales.
3.5.5
3.5.6
3.6.2
Las LANS virtuales (VLANs) es un grupo de dispositivos dentro de una VLAN que puede
comunicarse con cada dispositivo como si estuvieran conectados al mismo cable. Las
VLAN se basan en conexiones lógicas, en lugar de conexiones físicas. Los
administradores utilizan VLAN para segmentar redes en función de factores como la
función, el equipo o la aplicación. Cada VLAN se considera una red lógica diferente.
Cualquier puerto de switch puede pertenecer a una VLAN. Una VLAN crea un dominio
de difusión lógico que puede abarcar varios segmentos LAN físicos. Las VLAN mejoran
el rendimiento de la red mediante la división de grandes dominios de difusión en otros
más pequeños. Cada VLAN de una red conmutada corresponde a una red IP; por lo
tanto, el diseño de VLAN debe utilizar un esquema jerárquico de direccionamiento de
red. Los tipos de VLAN incluyen la VLAN predeterminada, las VLAN de datos, la VLAN
nativa, las VLAN de administración. y las VLAN de voz.
Un enlace troncal no pertenece a una VLAN específica. Es un conducto para las VLAN
entre los switches y los routers. Un enlace troncal es un enlace punto a punto entre dos
dispositivos de red que lleva más de una VLAN. Un enlace troncal de VLAN amplía las
VLAN a través de toda la red. Cuando se implementan las VLAN en un switch, la
transmisión del tráfico de unidifusión, multidifusión y difusión desde un host en una
VLAN en particular se limita a los dispositivos presentes en esa VLAN. Los campos de
etiqueta de VLAN incluyen el tipo, prioridad de usuario, CFI y VID. Algunos dispositivos
que admiten los enlaces troncales agregan una etiqueta VLAN al tráfico de las VLAN
nativas. Si un puerto de enlace troncal 802.1Q recibe una trama etiquetada con la
misma ID de VLAN que la VLAN nativa, descarta la trama. Se necesita una red VLAN de
voz separada para admitir VoIP. Las directivas de QoS y seguridad se pueden aplicar al
tráfico de voz. El tráfico VLAN de voz debe etiquetarse con un valor de prioridad CoS de
Capa 2 adecuado.
Configuración de VLAN
Un enlace troncal de VLAN es un enlace de capa 2 entre dos switches que transporta el
tráfico para todas las VLAN. Hay varios comandos para configurar los puertos de
interconexión. Para verificar la configuración troncal de VLAN , utilice
el switchport comando show interfaces interface-ID. Use el no switchport trunk
allowed vlan y el no switchport trunk native vlan comando para eliminar las VLAN
permitidas y restablecer la VLAN nativa del enlace troncal.
4.0.1
Ahora sabe cómo segmentar y organizar su red en VLAN. Los hosts pueden
comunicarse con otros hosts de la misma VLAN y ya no tiene hosts que envíen
mensajes de difusión a cualquier otro dispositivo de la red, consumiendo el ancho de
banda necesario. Pero, ¿qué pasa si un host de una VLAN necesita comunicarse con un
host de otra VLAN? Si es administrador de red, sabe que las personas querrán
comunicarse con otras personas fuera de la red. Aquí es donde el inter-VLAN routing
puede ayudarle. El inter-VLAN routing utiliza un dispositivo de capa 3, como un router o
un switch de capa 3. Vamos a llevar su experiencia VLAN y combinarla con sus
habilidades de capa de red y ponerlos a prueba.
4.0.2
Router-on-a-Stick Inter-
Configure router-on-a-Stick inter-VLAN Routing
VLAN Routing
Solución de problemas de
Solución de problemas comunes de configuración de inter-VLAN
Inter-VLAN Routing
4.1.1
Inter-VLA routing es el proceso de reenviar el tráfico de red de una VLAN a otra VLAN.
4.1.2
Por ejemplo, consulte la topología donde R1 tiene dos interfaces conectadas al switch S1.
Nota en la tabla de direcciones MAC de ejemplo de S1 se rellena de la siguiente manera:
Cuando PC1 envía un paquete a PC2 en otra red, lo reenvía a su puerta de enlace
predeterminada 192.168.10.1. R1 recibe el paquete en su interfaz G0/0/0 y examina la
dirección de destino del paquete. R1 luego enruta el paquete hacia fuera de su interfaz G0/0/1
al puerto F0/12 en la VLAN 20 en S1. Finalmente, S1 reenvía la trama a PC2.
Inter-VLAN routing heredado, usa las interfaces fisicas funciona, pero tiene limitaciones
significantes. No es razonablemente escalable porque los routers tienen un número limitado
de interfaces físicas. Requerir una interfaz física del router por VLAN agota rápidamente la
capacidad de la interfaz física del router
En nuestro ejemplo, R1 requería dos interfaces Ethernet separadas para enrutar entre la
VLAN 10 y la VLAN 20. ¿Qué ocurre si hubiera seis (o más) VLAN para interconectar? Se
necesitaría una interfaz separada para cada VLAN. Obviamente, esta solución no es
escalable.
4.1.3
Una interfaz Ethernet del router Cisco IOS se configura como un troncal 802.1Q y se conecta
a un puerto troncal en un switch de capa 2. Específicamente, la interfaz del router se configura
mediante subinterfaces para identificar VLAN enrutables.
Las subinterfaces configuradas son interfaces virtuales basadas en software. Cada uno está
asociado a una única interfaz Ethernet física. Estas subinterfaces se configuran en el software
del router. Cada una se configura de forma independiente con sus propias direcciones IP y
una asignación de VLAN. Las subinterfaces se configuran para subredes diferentes que
corresponden a su asignación de VLAN. Esto facilita el enrutamiento lógico.
está configurada como una subinterfaz 802.1q, las tramas de datos se etiquetan VLAN con la
nueva VLAN y se envían de vuelta a la interfaz física.
Haga clic en Reproducir en la figura para ver una animación de la forma en que un router-on-
a-stick desempeña su función de routing.
4.1.4
Nota: Un switch de capa 3 también se denomina switch multicapa ya que funciona en la capa
2 y la capa 3. Sin embargo, en este curso usamos el término switch de capa 3.
Los SVIs entre VLAN se crean de la misma manera que se configura la interfaz de VLAN de
administración. El SVI se crea para una VLAN que existe en el switch. Aunque es virtual, el
SVI realiza las mismas funciones para la VLAN que lo haría una interfaz de router.
Específicamente, proporciona el procesamiento de Capa 3 para los paquetes que se envían
hacia o desde todos los puertos de switch asociados con esa VLAN.
A continuación se presentan las ventajas del uso de switches de capa 3 para inter-VLAN
routing:
Escenario Router-on-a-Stick
En el tema anterior, se enumeraron tres formas diferentes de crear inter-VLAN routing y se
detalló el inter-VLAN routing heredado. Este tema detalla como configurar router-on-a-stick
inter-VLAN routing. Puede ver en la figura que el router no está en el centro de la topología,
sino que parece estar en un palo cerca del borde, de ahí el nombre.
Para enrutar entre VLAN, la interfaz R1 GigabitEthernet 0/0/1 se divide lógicamente en tres
subinterfaces, como se muestra en la tabla. La tabla también muestra las tres VLAN que se
configurarán en los switches.
Router R1 Subinterfaces
subinterfaz VLAN Dirección IP
G0/0/1.10 10 192.168.10.1/24
G0/0/1.20 20 192.168.20.1/24
G0/0/1.99 99 192.168.99.1/24
Suponga que R1, S1 y S2 tienen configuraciones básicas iniciales. Actualmente, PC1 y PC2
no pueden ping entre sí porque están en redes separadas. Sólo S1 y S2 pueden ping uno al
otro, pero son inalcanzables por PC1 o PC2 porque también están en diferentes redes.
Para permitir que los dispositivos se hagan ping entre sí, los switches deben configurarse con
VLAN y trunking, y el router debe configurarse para el inter-VLAN routing.
4.2.2
En primer lugar, las VLAN se crean y nombran. Las VLAN sólo se crean después de salir del
modo de subconfiguración de VLAN.
A continuación, el puerto Fa0/6 que se conecta a PC1 se configura como un puerto de acceso
en la VLAN 10. Supongamos que PC1 se ha configurado con la dirección IP correcta yel
default gateway.
Por último, los puertos Fa0/1 que se conectan a S2 y Fa05 que se conectan a R1 se
configuran como puertos troncales.
4.2.3
Configuración de subinterfaces de R1
Para el método de router-on-a-stick, se requieren subinterfaces configuradas para cada VLAN
que se pueda enrutar.
Repita el proceso para cada VLAN que se vaya a enrutar. Es necesario asignar una dirección
IP a cada subinterfaz del router en una subred única para que se produzca el routing.
Cuando se hayan creado todas las subinterfaces, habilite la interfaz física mediante el
comando de configuración de no shutdown interfaz. Si la interfaz física está deshabilitada,
todas las subinterfaces están deshabilitadas.
En la siguiente configuración, las subinterfaces R1 G0/0/1 se configuran para las VLAN 10, 20
y 99.
4.2.5
Verificar la conectividad entre PC1 y PC2
La configuración del router-on-a-stick se completa después de configurar los enlaces troncales
del switch y las subinterfaces del router. La configuración se puede verificar desde los hosts, el
router y el switch.
4.2.6
Verificación de Router-on-a-Stick Inter-
VLAN Routing
Además de utilizar ping entre dispositivos, se pueden utilizar los siguientes show comandos
para verificar y solucionar problemas de la configuración del router-on-a-stick.
show ip route
show ip interface brief
show interfaces
show interfaces trunk
Otro comando útil del router es show ip interface brief, como se muestra en el resultado. El
resultado confirma que las subinterfaces tienen configurada la dirección IPv4 correcta y que
están operativas.
4.2.7
4.2.8
Lab - Configure Router-on-a-Stick Inter-
VLAN Routing
En este laboratorio, cumplirá los siguientes objetivos:
Las LAN de campus empresariales utilizan switches de capa 3 para proporcionar inter-VLAN
routing. Los switches de capa 3 utilizan switching basado en hardware para lograr velocidades
de procesamiento de paquetes más altas que los routers. Los switches de capa 3 también se
implementan comúnmente en armarios de cableado de capa de distribución empresarial.
Ruta de una VLAN a otra mediante múltiples interfaces virtuales de switch (SVIs).
Convierta un puerto de switch de capa 2 en una interfaz de capa 3 (es decir, un puerto
enrutado). Un puerto enrutado es similar a una interfaz física en un router Cisco IOS.
Para proporcionar enrutamiento entre VLAN, los switches de capa 3 utilizan SVIs. Los SVIs se
configuran utilizando el mismo comando interface vlan vlan-id utilizado para crear el SVI de
administración en un switch de capa 2. Se debe crear un SVI de Capa 3 para cada una de las
VLAN enrutables.
4.3.2
Escenario de switch de capa 3
En la figura, el switch de capa 3, D1, está conectado a dos hosts en diferentes VLAN. PC1
está en VLAN 10 y PC2 está en VLAN 20, como se muestra. El switch de capa 3
proporcionará servicios inter-VLAN routing a los dos hosts.
D1 VLAN IP Addresses
VLAN
Dirección IP
Interface
10 192.168.10.1/24
20 192.168.20.1/24
4.3.3
Configurar el SVI para VLANs 10 y 20 Las direcciones IP configuradas servirán como default
gateways para los hosts de las VLAN respectivas. Observe que los mensajes informativos que
muestran el protocolo de línea en ambos SVIs cambiaron a funcionales.
A continuación, configure los puertos de acceso que se conectan a los hosts y asígnelos a sus
respectivas VLAN.
4. Habilitar IP routing.
Por último, habilite el enrutamiento IPv4 con el comando de configuración ip routing global
para permitir el intercambio de tráfico entre las VLAN 10 y 20. Este comando debe
configurarse para habilitar el inter-VAN routing en un switch de capa 3 para IPv4.
D1(config)# ip routing
4.3.4
C:\Users\PC1> ipconfig
A continuación, verifique la conectividad con PC2 mediante el comando host de ping Windows,
como se muestra en el ejemplo. El ping resultado confirma correctamente que el enrutamiento
entre VLANs está funcionando.
4.3.5
4.3.6
4.3.7
Configuración de enrutamiento en un
switch de capa 3
Complete los siguientes pasos para configurar D1 para enrutar con R1:
Configure G1/0/1 para que sea un puerto enrutado, asígnele una dirección IPv4 y habilítelo.
2. Activar el routing.
D1(config)# ip routing
3. Configurar el enrutamiento.
Configure el protocolo de enrutamiento OSPF para anunciar las redes VLAN 10 y VLAN 20,
junto con la red que está conectada a R1. Observe el mensaje informándole de que se ha
establecido una adyacencia con R1.
4. Verificar enrutamiento.
Verifique la tabla de enrutamiento en D1. Observe que D1 ahora tiene una ruta a la red
10.20.20.0/24.
5. Verificar la conectividad.
En este momento, PC1 y PC2 pueden hacer ping al servidor conectado a R1.
4.3.8
4.4.1
Hay varias razones por las que una configuración entre VLANs puede no funcionar. Todos
están relacionados con problemas de conectividad. En primer lugar, compruebe la capa física
para resolver cualquier problema en el que un cable pueda estar conectado al puerto
incorrecto. Si las conexiones son correctas, utilice la lista de la tabla para otras razones
comunes por las que puede fallar la conectividad entre VLAN.
Tipo de Cómo
Cómo arreglar
problema verificar
show vlan
Cree (o vuelva a crear) la VLAN si no existe. [brief]
show
VLAN faltantes Asegúrese de que el puerto host está asignado a la VLAN correcta.
interfaces
switchport
ping
show
Asegúrese de que los enlaces troncales estén configurados interfaces
Problemas con el correctamente. trunk
puerto troncal del
Asegúrese de que el puerto es un puerto troncal y está habilitado. show
switch running-
config
show
interfaces
Asigne el puerto a la VLAN correcta. switchport
Problemas en los Asegúrese de que el puerto es un puerto de acceso y está habilitado. show
puertos de
El host está configurado incorrectamente en la subred incorrecta. running-
acceso de switch config
interface
ipconfig
4.4.2
Router R1 Subinterfaces
G0/0/0.10 10 192.168.10.1/24
G0/0/0.20 20 192.168.20.1/24
G0/0/0.30 99 192.168.99.1/24
4.4.3
VLAN faltantes
Un problema de conectividad entre VLAN podría deberse a la falta de una VLAN. La VLAN
podría faltar si no se creó, se eliminó accidentalmente o no se permite en el enlace troncal.
Por ejemplo, PC1 está conectado actualmente a la VLAN 10, como se muestra en el ejemplo
del show vlan brief comando.
Utilice el show interface comando switchport interface-id para verificar la pertenencia a VLAN.
Si se vuelve a crear la VLAN que falta, se reasignarán automáticamente los hosts a ella, como
se muestra en el siguiente resultado.
S1(config)# vlan 10 S1(config-vlan)# do show vlan brief
Observe que la VLAN no se ha creado como se esperaba. La razón se debe a que debe salir
del modo de subconfiguración de VLAN para crear la VLAN, como se muestra en el siguiente
resultado.
S1(config-vlan)# exit
S1(config)# vlan 10
Ahora observe que la VLAN está incluida en la lista y que el host conectado a Fa0/6 está en la
VLAN 10.
4.4.4
Sin embargo, con una solución router-on-a-stick, la causa más común es un puerto troncal mal
configurado.
Por ejemplo, suponga que PC1 pudo conectarse a hosts de otras VLAN hasta hace poco. Un
vistazo rápido a los registros de mantenimiento reveló que recientemente se accedió al switch
S1 Capa 2 para el mantenimiento rutinario. Por lo tanto, sospecha que el problema puede
estar relacionado con ese switch.
En S1, verifique que el puerto que se conecta a R1 (es decir, F0/5) esté configurado
correctamente como enlace troncal utilizando el show interfaces trunk comando, como se
muestra.
Como pueden ver, el puerto fue apagado accidentalmente. Para corregir el problema, vuelva a
habilitar el puerto y verifique el estado de enlace troncal, como se muestra en el ejemplo.
S1(config)# interface fa0/5
Para reducir el riesgo de una falla en el enlace entre switch es que interrumpa el inter-VLAN
routing, el diseño de red debe contar con enlaces redundantes y rutas alternativas.
4.4.5
Supongamos que PC1 tiene la dirección IPv4 correcta y el default gateway, pero no es capaz
de ping su propio default gateway PC1 se supone que debe estar conectado a un puerto
VLAN 10.
Verifique la configuración del puerto en S1 mediante el show
interfaces comando switchport interface-id.
4.4.6
Por ejemplo, R1 debería proporcionar inter-VLAN routing para los usuarios de VLAN 10,
20 y 99. Sin embargo, los usuarios de VLAN 10 no pueden llegar a ninguna otra VLAN.
La topología de red física muestra dos PC, dos switches y un router. PC1 tiene la dirección
IP 192.168.10.10/24, un default gateway de 192.168.10.1 y está en VLAN 10. PC2 tiene la
dirección IP 192.168.20.10/24, un default gateway 192.168.20.1 y está en VLAN 20. PC1
se conecta al switch S1 en el puerto F0/6. PC2 se conecta al switch S2 en el puerto F0/18.
El switch S1 y el switch S2 están interconectados entre sí a través de un enlace troncal en el
puerto F0/1. El switch S1 está conectado al router R1 a través de un enlace troncal en el
puerto del switch F0/5 que se conecta a las interfaces G0/0/1 en R1. La dirección IP de
administración en S1 es 192.168.99.2/24. La dirección IP de administración en S1 es
192.168.99.3/24.
Verificó el enlace troncal del switch y todo parece estar en orden. Verificar el estatus de las
interfaces usando el show ip interface brief comando
A las subinterfaces se les han asignado las direcciones IPv4 correctas y están operativas.
Compruebe en qué VLAN se encuentra cada una de las subinterfaces. Para ello, el show
interfaces comando es útil, pero genera una gran cantidad de resultados adicionales no
requeridos. El resultado del comando se puede reducir utilizando filtros de comando IOS como
se muestra en el ejemplo.
El símbolo de tubería (|) junto con algunas palabras clave de selección es un método útil para
ayudar a filtrar el resultado del comando. En este ejemplo, la palabra clave se include utilizó
para identificar que sólo se mostrarán las líneas que contienen las letras «Gig» o «802.1Q».
Debido a la forma en que se enumera naturalmente la show interface salida, el uso de estos
filtros genera una lista condensada de interfaces y sus VLAN asignadas.
Observe que la interfaz G0/0/1.10 se ha asignado incorrectamente a la VLAN 100 en lugar de
a la VLAN 10. Esto se confirma mirando la configuración de la subinterfaz GigabitEthernet R1
0/0/1.10, como se muestra.
Para corregir este problema, configure la subinterfaz G0/0/1.10 para que esté en la VLAN
correcta mediante el comando encapsulation dot1q 10 en el modo de configuración de
subinterfaz.
R1# conf t
Una vez asignada la subinterfaz a la VLAN correcta, los dispositivos en esa VLAN pueden
acceder a ella, y el router puede realizar inter-VLAN routing.
4.4.7
4.4.9
Práctica de laboratorio: resolución de
problemas de inter-VLAN routing
Oportunidad de Práctica de habilidades
Tendrá la oportunidad de practicar las siguientes habilidades:
Podrá practicar estas habilidades usando Packet Tracer o equipo de laboratorio, de estar
disponible.
4.5.2
4.5.3
Hay varias razones por las que una configuración entre van puede no funcionar . Todos
están relacionados con problemas de conectividad, como las VLAN faltantes, los
problemas del puerto troncal del switch, los problemas del puerto de acceso del switch y
los problemas de configuración del router. Podría faltar una VLAN si no se creó, se
eliminó accidentalmente o no se permite en el enlace troncal. Otro problema para el
enrutamiento entre VLAN incluye puertos de switch mal configurados. En una solución
interVLAN heredada, podría producirse un puerto de switch mal configurado cuando el
puerto del router de conexión no está asignado a la VLAN correcta. Con una solución
router-on-a-stick, la causa más común es un puerto troncal mal configurado. Cuando se
sospecha un problema con una configuración del puerto de acceso del switch, utilice
los ping comandos show interfaces interface-id switchport y _interface-para identificar
el problema. Los problemas de configuración del router con configuraciones de router-
on-a-stick suelen estar relacionados con configuraciones erróneas de subinterfaz.
Verificar el estatus de las interfaces usando el show ip interface brief comando
5.0.1
Una red de nivel 2 bien diseñada tendrá conmutadores y rutas redundantes para garantizar
que si un conmutador se apaga, otra ruta a otro conmutador esté disponible para reenviar
datos. Los usuarios de la red no experimentarían ninguna interrupción del servicio. La
redundancia en un diseño de red jerárquica soluciona el problema de un solo punto de falla,
pero puede crear un tipo diferente de problema llamado bucles de Capa 2.
¿Qué es un bucle? Imagina que estás en un concierto. El micrófono del cantante y el altavoz
amplificado pueden, por diversas razones, crear un bucle de retroalimentación. Lo que se oye
es una señal amplificada del micrófono que sale del altavoz que luego es recogido de nuevo
por el micrófono, amplificado más y pasado de nuevo a través del altavoz. El sonido
rápidamente se vuelve muy fuerte, desagradable y hace que sea imposible escuchar música
real. Esto continúa hasta que se corta la conexión entre el micrófono y el altavoz.
Un bucle de capa 2 crea un caos similar en una red. Puede suceder muy rápidamente y hacer
imposible el uso de la red. Hay algunas formas comunes de crear y propagar un bucle de
Capa 2. El protocolo de árbol de expansión (STP) está diseñado específicamente para
eliminar los bucles de capa 2 en la red. Este módulo analiza las causas de los bucles y los
diversos tipos de protocolos de árbol de expansión. Incluye un vídeo y una actividad Packet
Tracer para ayudarle a entender los conceptos STP.
5.0.2
Objetivo del módulo: Explique cómo STP permite la redundancia en una red de capa 2.
Leyenda de la tabla
Título del tema Objetivo del tema
Funcionamientos del STP Explicar cómo opera STP en una red conmutada simple.
Las LAN Ethernet requieren una topología sin bucles con una única ruta entre dos
dispositivos. Un bucle en una LAN Ethernet puede provocar una propagación continua de
tramas Ethernet hasta que un enlace se interrumpe y interrumpa el bucle.
5.1.2
Protocolo de árbol de extensión
El protocolo de árbol de expansión (STP) es un protocolo de red de prevención de bucles que
permite redundancia mientras crea una topología de capa 2 sin bucles. IEEE 802.1D es el
estándar original IEEE MAC Bridging para STP.
Haga clic en Reproducir en la figura para ver una animación de STP en acción.
The figure is an animation showing 4 p c s and 3 switches. The three switches are connected
to each other in a triangle. three pcs are connected to s 2. p c 1 sends a broadcast frame. it is
received by s 2. s 2 forwards teh broadcast out all ports except the originating port and the
blocked port to s 3. the two other p cs and s1 receive the frame. s 1 forwards the broadcast out
all ports except the originating port. the frame is received by p c 4 and s 3. s 3 forwards the
frame back to s 2. s 2 drops the frame because it received it on a blocked port.
Recalcular STP
Haga clic en Reproducir en la siguiente figura para ver una animación del recálculo de STP
cuando ocurre una falla.
5.1.5
Bucles de la capa 2
Sin STP habilitado, se pueden formar bucles de capa 2, lo que hace que las tramas de
difusión, multidifusión y unidifusión desconocidos se reproduzcan sin fin. Esto puede derribar
una red en un período de tiempo muy corto, a veces en pocos segundos. Por ejemplo, las
tramas de difusión, como una solicitud ARP, se reenvían a todos los puertos del conmutador,
excepto el puerto de entrada original. Esto asegura que todos los dispositivos en un dominio
de difusión reciban la trama. Si hay más de una ruta para reenviar la trama, se puede formar
un bucle infinito. Cuando se produce un bucle, la tabla de direcciones MAC en un conmutador
cambiará constantemente con las actualizaciones de las tramas de difusión, lo que resulta en
la inestabilidad de la base de datos MAC. Esto puede causar una alta utilización de la CPU, lo
que hace que el switch no pueda reenviar tramas.
Las tramas de difusión no son el único tipo de tramas que son afectadas por los bucles. Si se
envían tramas de unidifusión desconocidas a una red con bucles, se puede producir la llegada
de tramas duplicadas al dispositivo de destino. Una trama de unidifusión desconocida se
produce cuando el switch no tiene la dirección MAC de destino en la tabla de direcciones MAC
y debe reenviar la trama a todos los puertos, excepto el puerto de ingreso.
Haga clic en Reproducir en la figura para ver la animación. Cuando la animación se detiene,
lea el texto que describe la acción. La animación continuará después de una pausa breve.
5.1.6
Haga clic en Reproducir en la figura para ver una animación que muestra los efectos cada vez
más adversos de un bucle a medida que los fotogramas de difusión y de unidifusión
desconocidos continúan propagándose indefinidamente en una tormenta de difusión.
Un host atrapado en un bucle de capa 2 no está accesible para otros hosts en la red. Además,
debido a los constantes cambios en su tabla de direcciones MAC, el conmutador no sabe
desde qué puerto reenviar las tramas de unidifusión. En la animación anterior, los
conmutadores tendrán los puertos incorrectos listados para PC1. Cualquier trama de
unidifusión con destino a la PC1 se repite en bucle por la red, como lo hacen las tramas de
difusión. Cuando se repiten en bucle cada vez más tramas, se termina creando una tormenta
de difusión.
Para evitar que ocurran estos problemas en una red redundante, se debe habilitar algún tipo
de árbol de expansión en los switches. De manera predeterminada, el árbol de expansión está
habilitado en los switches Cisco para prevenir que ocurran bucles en la capa 2.
5.1.7
Sin el protocolo de prevención de bucles, se producirían bucles que harían inoperable una red
de conmutadores redundantes.
Topología de la situación
Este escenario STA utiliza una LAN Ethernet con conexiones redundantes entre varios
conmutadores.
Nota: STA y STP se refieren a conmutadores como puentes . Esto se debe a que en los
primeros días de Ethernet, los switches se denominaban puentes.
STP evita que ocurran bucles mediante la configuración de una ruta sin bucles a través de la
red, con puertos “en estado de bloqueo” ubicados estratégicamente. Los switches que
ejecutan STP pueden compensar las fallas mediante el desbloqueo dinámico de los puertos
bloqueados anteriormente y el permiso para que el tráfico se transmita por las rutas
alternativas.
Bloquear rutas redundantes
STP asegura que solo haya una ruta lógica entre todos los destinos en la red al bloquear
intencionalmente las rutas redundantes que podrían causar un bucle, como se muestra en la
figura. Cuando se bloquea un puerto, se impide que los datos del usuario entren o salgan de
ese puerto. El bloqueo de las rutas redundantes es fundamental para evitar bucles en la red.
Un puerto bloqueado tiene el efecto de convertir ese enlace en un vínculo no reenvío entre los
dos switches, como se muestra en la figura. Observe que esto crea una topología en la que
cada conmutador tiene una única ruta al puente raíz, similar a las ramas de un árbol que se
conectan a la raíz del árbol.
Fallos de enlacecausan recálculo
Las rutas físicas aún existen para proporcionar la redundancia, pero las mismas se
deshabilitan para evitar que se generen bucles. Si alguna vez la ruta es necesaria para
compensar la falla de un cable de red o de un switch, STP vuelve a calcular las rutas y
desbloquea los puertos necesarios para permitir que la ruta redundante se active. Los
recálculos STP también pueden ocurrir cada vez que se agrega un nuevo conmutador o un
nuevo vínculo entre switches a la red.
La figura muestra un error de enlace entre los conmutadores S2 y S4 que hace que STP se
vuelva a calcular. Observe que el vínculo anteriormente redundante entre S4 y S5 se está
reenviando para compensar este error. Todavía hay solo una ruta entre cada switch y el
puente raíz.
STP evita que ocurran bucles mediante la configuración de una ruta sin bucles a través de la
red, con puertos “en estado de bloqueo” ubicados estratégicamente. Los switches que
ejecutan STP pueden compensar las fallas mediante el desbloqueo dinámico de los puertos
bloqueados anteriormente y el permiso para que el tráfico se transmita por las rutas
alternativas.
5.1.8
5.1.9
Durante las funciones STA y STP, los conmutadores utilizan unidades de datos de
protocolo de puente (BPDU) para compartir información sobre sí mismos y sus conexiones.
Las BPDU se utilizan para elegir el root bridge, los root ports, los puertos designados y los
puertos alternativos. Cada BPDU contiene una ID de puente (BID) que identifica qué
switch envió la BPDU. El BID participa en la toma de muchas de las decisiones STA,
incluidos los roles de puertos y root bridge. El BID contiene un valor de prioridad, la
dirección MAC del conmutador y un ID de sistema extendido. El valor de BID más bajo lo
determina la combinación de estos tres campos.
El gráfico muestra tres cuadros, cada uno de los cuales representa un componente del ID de
puente. De izquierda a derecha, el primer cuadro es Bridge Priority, que tiene 4 bits de
longitud, el segundo cuadro es Extended System ID, que tiene 12 bits de longitud, y el
tercer cuadro es la dirección MAC que tiene 48 bits de longitud. El texto a la derecha de los
cuadros indica Bridge ID con Extended System ID. El texto en la parte inferior del gráfico
dice El BID incluye la prioridad del puente, el ID del sistema extendido y la dirección
MAC del conmutador.
Prioridad de puente
El valor de prioridad predeterminado para todos los switches Cisco es el valor decimal 32768.
El rango va de 0 a 61440 y aumenta de a 4096. Es preferible una prioridad de puente más
baja. La prioridad de puente 0 prevalece sobre el resto de las prioridades de puente.
Sistema extendido ID
El valor de ID del sistema extendido es un valor decimal agregado al valor de prioridad del
puente en el BID para identificar la VLAN para esta BPDU.
Las primeras implementaciones de IEEE 802.1D estaban diseñadas para redes que no
utilizaban VLAN. Existía un único árbol de expansión común para todos los switches. Por esta
razón, en los switches más antiguos, el ID del sistema extendido no se incluía en las BPDU. A
medida que las VLAN se volvieron más comunes en la segmentación de la infraestructura de
red, se fue mejorando el estándar 802.1D para incluir a las VLAN, lo que requirió que se
incluyera la ID de VLAN en la trama de BPDU. La información de VLAN se incluye en la trama
BPDU mediante el uso de la ID de sistema extendido.
El ID del sistema extendido permite que las implementaciones posteriores de STP, como
Rapid STP (RSTP) tengan diferentes root bridge para diferentes conjuntos de VLAN. Esto
puede permitir que enlaces redundantes y sin reenvío en una topología STP para un conjunto
de VLAN sean utilizados por un conjunto diferente de VLAN que utilice un root bridge
diferente.
Dirección MAC
Cuando dos switches están configurados con la misma prioridad y tienen la misma ID de
sistema extendido, el switch que posee la dirección MAC con el menor valor, expresado en
hexadecimal, tendrá el menor BID.
5.2.2
Un proceso de elección determina el switch que se transforma en el puente raíz. Todos los
switches del dominio de difusión participan del proceso de elección. Una vez que el switch
arranca, comienza a enviar tramas BPDU cada dos segundos. Estas tramas BPDU contienen
el BID del switch de envío y el BID del root bridge, conocido como Root ID.
El switch que tiene el BID más bajo se convierte en el puente raíz. Al principio, todos los
conmutadores se declaran a sí mismos como el puente raíz con su propio BID establecido
como ID raíz. Eventualmente, los switches aprenden a través del intercambio de BPDU qué
switch tiene el BID más bajo y acordarán un puente raíz.
En la figura, todos los switches están configurados con la misma prioridad de 32769. Aquí la
dirección MAC se convierte en el factor decisivo en cuanto a qué interruptor se convierte en el
puente raíz. El conmutador con el valor de dirección MAC hexadecimal más bajo es el puente
raíz preferido. En este ejemplo, S2 tiene el valor más bajo para su dirección MAC y se elige
como el puente raíz para esa instancia de árbol de expansión.
Note: La BPDU incluye el costo de la ruta raíz. Este es el costo de la ruta que va desde el
switch que envía los datos hasta el puente raíz.
Cuando un switch recibe la BPDU, agrega el costo del puerto de ingreso del segmento para
determinar el costo interno de la ruta hacia la raíz.
Los costos de los puertos predeterminados se definen por la velocidad a la que funcionan los
mismos. La tabla muestra los costos de puerto predeterminados sugeridos por IEEE. Los
switches Cisco utilizan de forma predeterminada los valores definidos por el estándar IEEE
802.1D, también conocido como costo de ruta corta, tanto para STP como para RSTP. Sin
embargo, el estándar IEEE sugiere usar los valores definidos en el IEEE-802.1w, también
conocido como costo de ruta larga, cuando se usan enlaces de 10 Gbps y más rápido.
Note: RSTP se discute con más detalle más adelante en este módulo.
Costo de RSTP:
Velocidad de STP Cost: IEEE
IEEE 802.1w-
enlace 802.1D-1998
2004
10Gbps 2 2000
1Gbps 4 20000
100Mbps 19 200000
Pese a que los puertos de switch cuentan con un costo de puerto predeterminado asociado a
los mismos, tal costo puede configurarse. La capacidad de configurar costos de puerto
individuales le da al administrador la flexibilidad para controlar de forma manual las rutas de
árbol de expansión hacia el puente raíz.
5.2.5
El costo interno de la ruta raíz es igual a la suma de todos los costos del puerto a lo largo de la
ruta al root bridge, como se muestra en la figura. Las rutas con el costo más bajo se
convierten en las preferidas, y el resto de las rutas redundantes se bloquean. En el ejemplo, el
costo de ruta interno desde S2 al root bridge S1 a través de la ruta 1 es de 19 (según el costo
de puerto individual especificado por el IEEE), mientras que el costo interno de la ruta hacia la
raíz a través de la ruta 2 es de 38. Debido a que la ruta 1 tiene un costo de ruta general más
bajo para el root bridge, es la ruta preferida y F0 / 1 se convierte en el root port en S2.
5.2.6
Cada segmento entre dos switches tendrá un puerto designado. El puerto designado es un
puerto en el segmento (con dos switches) que tiene el costo de ruta raíz interna al puente raíz.
En otras palabras, el puerto designado tiene la mejor ruta para recibir el tráfico que conduce al
puente raíz.
Todos los puertos en el root bridge son puertos designados. Esto se debe a que el root bridge
tiene el costo más bajo para sí mismo.
Todos los puertos en el puente raiz (root bridge) son puertos designados
Puerto designado cuando hay un puerto raíz
Note: Todos los puertos del switch con dispositivos finales (hosts) conectados son puertos
designados.
La interfaz Fa0/1 en S4 es un puerto designado porque la interfaz Fa0/3 de S3 es un puerto raiz
Puerto designado cuando no hay puerto raíz
Esto deja solo segmentos entre dos switches donde ninguno de los switches es el puente raíz.
En este caso, el puerto del switch con la ruta de menor costo al puente raíz es el puerto
designado para el segmento. Por ejemplo, en la figura, el último segmento es el que está entre
S2 y S3. Tanto S2 como S3 tienen el mismo costo de ruta para el puente raíz. El algoritmo del
árbol de expansión utilizará el ID del puente como un interruptor de corbata. Aunque no se
muestra en la figura, S2 tiene un BID menor. Por lo tanto, el puerto F0/2 de S2 se elegirá
como el puerto designado. Los puertos designados están en estado de reenvío.
La interfaz Fa0/2 de S2 es el puerto designado en el segmento con S3
5.2.7
Cuando un switch tiene varias rutas de igual costo al puente raíz, el switch determinará un
puerto utilizando los siguientes criterios:
La figura muestra una topología con cuatro conmutadores, incluido el conmutador S1 como
puente raíz. Al examinar los roles de puerto, vemos que el puerto F0/1 del switch S3 y el
puerto F0/3 del switch S4 se han seleccionado como puertos raíz porque tienen la ruta con el
menor costo (costo de la ruta hacia la raíz) al puente raíz para sus respectivos switches. S2
tiene dos puertos, F0 / 1 y F0 / 2 con rutas de igual costo al puente raíz. En este caso los ID
de puente de los switches vecinos, S3 y S4, se utilizan para definir el empate. Esto se conoce
como BID del emisor. S3 tiene un BID de 32769.5555.5555.5555 y S4 tiene un BID de
32769.1111.1111.1111. Como S4 tiene un BID más bajo, el puerto F0 / 1 de S2, que es el
puerto conectado a S4, será el puerto raíz.
Para demostrar estos dos criterios siguientes, la topología se cambia a uno donde dos
switches están conectados con dos paths de igual costo entre ellos. S1 es el puente raíz, por
lo que ambos puertos son puertos designados.
S4 tiene dos puertos con rutas de igual costo al puente raíz. Dado que ambos puertos están
conectados al mismo conmutador, el BID (S1) del remitente es igual. Entonces el primer paso
es un empate.
A continuación en la lista está la prioridad del puerto del remitente (S1). La prioridad de puerto
predeterminada es 128, por lo que ambos puertos de S1 tienen la misma prioridad de puerto.
Esto también es una corbata. Sin embargo, si cualquiera de los puertos de S1 se configuraba
con una prioridad de puerto más baja, S4 pondría su puerto adyacente en estado de reenvío.
El otro puerto en S4 sería un estado de bloqueo.
5.2.9
Nota: Los tiempos predeterminados se pueden cambiar en el puente raíz, que dicta el valor de
estos temporizadores para el dominio STP.
STP facilita la ruta lógica sin bucles en todo el dominio de difusión. El árbol de expansión se
determina a través de la información obtenida en el intercambio de tramas de BPDU entre los
switches interconectados. Si un puerto de switch pasa directamente del estado de bloqueo al
de reenvío sin información acerca de la topología completa durante la transición, el puerto
puede crear un bucle de datos temporal. Por esta razón, STP tiene cinco estados de puertos,
cuatro de los cuales son estados de puertos operativos, como se muestra en la figura. El
estado deshabilitado se considera no operativo.
Los detalles de cada estado de puerto se muestran en la tabla.
Estado del
Descripción
puerto
Después del estado de bloqueo, un puerto se moverá al estado de escucha. La recibe BPDU para
determinar la ruta a la raíz. Puerto del switch también transmite sus propias tramas BPDU e
Escucha
informa a los conmutadores adyacentes que el puerto del conmutador se está preparando para
participar en la topología activa.
Un puerto de switch pasa al estado de aprendizaje después de la escucha STP. Durante el estado
de aprendizaje, el puerto del switch recibe y procesa BPDU y se prepara para participar en el
Aprendizaje
reenvío de tramas. También comienza a rellenar la tabla de direcciones MAC. Sin embargo, en el
estado de aprendizaje, el usuario frames are not forwarded to the destination.
En el estado de reenvío, un puerto de switch se considera parte de la dividida. El puerto del switch
Reenvío
reenvía el tráfico de usuario y envía y recibe Marcos BPDU.
Actualización de la
Aprendizaje Recibir y enviar No
tabla
Actualización de la
Reenvío Recibir y enviar Sí
tabla
No se ha enviado ni
Deshabilitado No hay actualización No
recibido
5.2.11
In Per-VLAN Spanning Tree (PVST) versions of STP, there is a root bridge elected for each
spanning tree instance. Esto hace posible tener diferentes puentes raíz para diferentes
conjuntos de VLAN. STP opera una instancia independiente de STP para cada VLAN
individual. Si todos los puertos de todos los switches pertenecen a la VLAN 1, solo se da una
instancia de árbol de expansión.
Desde el lanzamiento del estándar IEEE 802.1D original, surgió una gran variedad de
protocolos de árbol de expansión.
Variedad
Descripción
STP
Esta es la versión original de IEEE 802.1D (802.1D-1998 y versiones anteriores) que proporciona una
topología sin bucles en una red con enlaces redundantes. También llamado Common Spanning Tree
STP
(CST), asume una instancia de árbol de expansión para toda la red puenteada, independientemente de
la cantidad de VLAN.
El árbol de expansión por VLAN (PVST +) es una mejora de Cisco de STP que provides a separate
PVST+ 802.1D spanning tree instance for each VLAN Configure la red PVST+ soporta PortFast, UplinkFast,
BackboneFast, BPDU guard, BPDU filter, root guard, y loop guard.
802.1D-
Esta es una versión actualizada del estándar STP, que incorpora IEEE 802.1w.
2004
Protocolo de Árbol de Expansión Rápido (RSTP), o IEEE 802.1w, es una evolución de STP que
RSTP
proporciona una convergencia más veloz de STP. Proporciona una convergencia más rápida de STP.
Esta es una mejora de Cisco de RSTP que utiliza PVST + y proporciona un instancia separada de
PVST+
802.1w por VLAN. Cada instancia independiente admite PortFast, BPDU guard, BPDU filter, root guard,
rápido
y loop guard.
Múltiple Spanning Tree (MST) es la implementación de MSTP de Cisco, que proporciona hasta 16
instancias de RSTP y combina muchas VLAN con el misma topología física y lógica en una instancia
Instancia
RSTP común. Cada instancia aparte admite PortFast, protección de BPDU, filtro de BPDU, protección
de raíz y protección de bucle. loop guard.
Es posible que un profesional de red, cuyas tareas incluyen la administración de los switches,
deba decidir cuál es el tipo de protocolo de árbol de expansión que se debe implementar.
Los switches de Cisco con IOS 15.0 o posterior ejecutan PVST+ de manera predeterminada.
Esta versión incluye muchas de las especificaciones IEEE 802.1D-2004, como puertos
alternativos en lugar de los puertos no designados anteriores. Los conmutadores deben
configurarse explícitamente para el modo de árbol de expansión rápida para ejecutar el
protocolo de árbol de expansión rápida.
5.3.2
Conceptos de RSTP
RSTP (IEEE 802.1w) reemplaza al 802.1D original mientras conserva la compatibilidad con
versiones anteriores. La terminología de STP 802.1w sigue siendo fundamentalmente la
misma que la de STP IEEE 802.1D original. La mayoría de los parámetros se han dejado sin
cambios. Los usuarios que estén familiarizados con el estándar STP original pueden
configurar fácilmente RSTP. El mismo algoritmo de árbol de expansión se utiliza tanto para
STP como para RSTP para determinar los roles de puerto y la topología.
RSTP aumenta la velocidad del recálculo del árbol de expansión cuando cambia la topología
de la red de Capa 2. RSTP puede lograr una convergencia mucho más rápida en una red
configurada en forma adecuada, a veces sólo en unos pocos cientos de milisegundos. Si un
puerto está configurado como puerto alternativo o de respaldo, puede cambiar
automáticamente al estado de reenvío sin esperar a que converja la red.
Note: PVST+ rápido es la implementación que hace Cisco de RSTP por VLAN. Con Rapid
PVST + se ejecuta una instancia independiente de RSTP para cada VLAN.
5.3.3
Solo hay tres estados de puerto en RSTP que corresponden a los tres estados operativos
posibles en STP. Los estados de desactivación, bloqueo y escucha 802.1D se fusionan en
un único estado de descarte 802.1w.
Estados de puertos STP y RSTP
Como se muestra en la figura, los puertos raíz y los puertos designados son los mismos para
STP y RSTP. Sin embargo, hay dos roles de puerto RSTP que corresponden al estado de
bloqueo de STP. En STP, un puerto bloqueado se define como no ser el puerto designado o
raíz. RSTP tiene dos funciones de puerto para este propósito.
Puertos RSTP alternativos y de copia de seguridad
Como se muestra en la figura, el puerto alternativo tiene una ruta alternativa al puente raíz. El
puerto de copia de seguridad es una copia de seguridad en un medio compartido, como un
concentrador. Un puerto de copia de seguridad es menos común porque ahora los
concentradores se consideran dispositivos heredados.
5.3.4
Note: Aunque esto puede ocurrir con clientes que envían mensajes de solicitud de enrutador
ICMPv6, el enrutador continuará enviando mensajes de anuncio de enrutador ICMPv6 para
que el dispositivo sepa cómo obtener su información de dirección.
Cuando un puerto de conmutador se configura con PortFast, ese puerto pasa del bloqueo al
estado de reenvío inmediatamente, omitiendo los estados de escucha y aprendizaje STP y
evitando un retraso de 30 segundos. Use PortFast en los puertos de acceso para permitir que
los dispositivos conectados a estos puertos, como los clientes DHCP, accedan a la red de
inmediato, en lugar de esperar a que STP converja en cada VLAN. Debido a que el propósito
de PortFast es minimizar el tiempo que los puertos de acceso deben esperar a que el árbol de
expansión converja, solo debe usarse en los puertos de acceso. Si habilita PortFast en un
puerto que se conecta a otro switch, corre el riesgo de crear un bucle de árbol de expansión.
PortFast solo se puede usar en puertos conmutadores que se conectan a dispositivos finales.
En una configuración de PortFast válida, nunca se deben recibir BPDU, ya que esto indicaría
que hay otro puente o switch conectado al puerto, lo que podría causar un bucle de árbol de
expansión. Esto potencialmente causa un bucle de árbol de expansión. Para evitar que se
produzca este tipo de escenario, los switches Cisco admiten una función llamada guardia
BPDU. Cuando está habilitado, inmediatamente pone el puerto del conmutador en un estado
errdisabled (error-disabled) al recibir cualquier BPDU. Esto protege contra posibles bucles al
apagar eficazmente el puerto. La característica de protección BPDU proporciona una
respuesta segura a la configuración no válida, ya que se debe volver a activar la interfaz de
forma manual.
5.3.5
Alternativas a STP
STP era y sigue siendo un protocolo de prevención de bucles Ethernet. A lo largo de los años,
las organizaciones requerían una mayor resiliencia y disponibilidad en la LAN. Las LAN
Ethernet pasaron de unos pocos conmutadores interconectados conectados conectados a un
único enrutador, a un sofisticado diseño de red jerárquica que incluye conmutadores de
acceso, distribución y capa central, como se muestra en la figura.
Aunque es muy probable que STP siga utilizándose como mecanismo de prevención de
bucles en la empresa, en los conmutadores de capa de acceso también se están utilizando
otras tecnologías, incluidas las siguientes:
Agregación de enlaces de
Las rutas redundantes en una red Ethernet conmutada pueden causar bucles de Capa 2
físicos y lógicos. Un bucle de capa 2 puede provocar inestabilidad en la tabla de direcciones
MAC, saturación de enlaces y alta utilización de CPU en conmutadores y dispositivos finales.
Esto hace que la red se vuelva inutilizable. A diferencia de los protocolos de Capa 3, IPv4 e
IPv6, Layer 2 Ethernet no incluye un mecanismo para reconocer y eliminar tramas de bucle sin
fin. Las LAN Ethernet requieren una topología sin bucles con una única ruta entre dos
dispositivos. STP es un protocolo de red de prevención de bucles que permite redundancia
mientras crea una topología de capa 2 sin bucles. Sin STP, se pueden formar bucles de capa
2, lo que hace que las tramas de difusión, multidifusión y unicast desconocidos se
reproduzcan sin fin, lo que reduce una red. Una tormenta de difusión es un número
anormalmente alto de emisiones que abruman la red durante un período específico de tiempo.
Las tormentas de difusión pueden deshabilitar una red en cuestión de segundos al abrumar
los conmutadores y los dispositivos finales. STP se basa en un algoritmo inventado por Radia
Perlman. Su algoritmo de árbol de expansión (STA) crea una topología sin bucles al
seleccionar un único puente raíz donde todos los demás conmutadores determinan una única
ruta de menor costo.
Operaciones STP
Usando STA, STP crea una topología sin bucles en un proceso de cuatro pasos: elija el
puente raíz, elija los puertos raíz, elija los puertos designados y elija los puertos alternativos
(bloqueados). Durante las funciones STA y STP, los conmutadores utilizan BPDU para
compartir información sobre sí mismos y sus conexiones. Las BPDU se utilizan para elegir el
puente raíz, los puertos raíz, los puertos designados y los puertos alternativos. Cada BPDU
contiene un BID que identifica al switch que envió la BPDU. El BID participa en la toma de
muchas de las decisiones STA, incluidos los roles de puente raíz y puerto. El BID contiene un
valor de prioridad, la dirección MAC del conmutador y un ID de sistema extendido. El valor de
BID más bajo lo determina la combinación de estos tres campos. El switch que tiene el BID
más bajo se convierte en el puente raíz. Dado que el BID predeterminado es 32.768, es
posible que dos o más conmutadores tengan la misma prioridad. En este escenario, donde las
prioridades son las mismas, el conmutador con la dirección MAC más baja se convertirá en el
puente raíz. Cuando se ha elegido el puente raíz para una instancia de árbol de expansión
dado, el STA determina las mejores rutas al puente raíz desde todos los destinos en el
dominio de difusión. La información de la ruta, conocida como el costo interno de la ruta raíz,
está determinada por la suma de todos los costos de los puertos individuales a lo largo de la
ruta desde el conmutador hasta el puente raíz. Después de determinar el puente raíz, el
algoritmo STA selecciona el puerto raíz. El puerto raíz es el puerto más cercano al puente raíz
en términos de costo total, que se denomina costo de ruta raíz interna. Después de que cada
switch selecciona un puerto raíz, los switches seleccionarán los puertos designados. El puerto
designado es un puerto en el segmento (con dos switches) que tiene el costo de ruta raíz
interna al puente raíz. Si un puerto no es un puerto raíz o un puerto designado, se convierte en
un puerto alternativo (o de copia de seguridad). Los puertos alternativos y los puertos de
respaldo están en estado de descarte o bloqueo para evitar bucles. Cuando un switch tiene
varias rutas de igual costo al puente raíz, el switch determinará un puerto utilizando los
siguientes criterios: BID del remitente más bajo, prioridad del puerto del remitente más bajo y,
finalmente, el ID del puerto del remitente más bajo. La convergencia STP requiere tres
temporizadores: el temporizador de saludo, el temporizador de retardo de avance y el
temporizador de edad máxima. Los estados de puerto están bloqueando, escuchando,
aprendiendo, reenviando y deshabilitados. En las versiones PVST de STP, hay un puente raíz
elegido para cada instancia de árbol de expansión. Esto hace posible tener diferentes puentes
raíz para diferentes conjuntos de VLAN.
Evolución de STP
El término Protocolo Spanning Tree y el acrónimo STP pueden ser engañosos. STP se utiliza
a menudo para hacer referencia a las diversas implementaciones del árbol de expansión,
como RSTP y MSTP. RSTP es una evolución de STP que proporciona una convergencia más
rápida que STP. Los estados del puerto RSTP están aprendiendo, reenviando y descartando.
PVST + es una mejora de Cisco de STP que proporciona una instancia de árbol de expansión
separada para cada VLAN configurada en la red. PVST + admite PortFast, UplinkFast,
BackboneFast, protección BPDU, filtro BPDU, protección raíz y protección de bucle. Los
switches de Cisco con IOS 15.0 o posterior ejecutan PVST+ de manera predeterminada.
Rapid PVST+ es una mejora de Cisco de RSTP que utiliza PVST+ y proporciona una instancia
independiente de 802.1w por VLAN. Cuando un puerto de conmutador se configura con
PortFast, ese puerto pasa del bloqueo al estado de reenvío inmediatamente, omitiendo los
estados de escucha y aprendizaje STP y evitando un retraso de 30 segundos. Use PortFast
en los puertos de acceso para permitir que los dispositivos conectados a estos puertos, como
los clientes DHCP, accedan a la red de inmediato, en lugar de esperar a que STP converja en
cada VLAN. Los switches Cisco admiten una función llamada BPDU guard que coloca
inmediatamente el puerto del switch en un estado de error deshabilitado al recibir cualquier
BPDU para protegerlo contra posibles bucles. A lo largo de los años, las LAN Ethernet
pasaron de unos pocos conmutadores interconectados conectados conectados a un único
router, a un sofisticado diseño de red jerárquica. Dependiendo de la implementación, la capa 2
puede incluir no solo la capa de acceso, sino también la distribución o incluso las capas
principales. Estos diseños pueden incluir cientos de switches, con cientos o incluso miles de
VLAN. STP se ha adaptado a la redundancia y complejidad añadida con mejoras como parte
de RSTP y MSTP. El enrutamiento de capa 3 permite rutas y bucles redundantes en la
topología, sin bloquear puertos. Por esta razón, algunos entornos están en transición a la capa
3 en todas partes, excepto donde los dispositivos se conectan al conmutador de capa de
acceso.
Introducción
6.0.1
¿Por qué debería tomar este módulo?
¡Bienvenido a EtherChannel!
El diseño de la red incluye switches y enlaces redundantes. Usted tiene alguna versión de
STP configurada para evitar bucles de Capa 2. Pero ahora usted, como la mayoría de los
administradores de red, se da cuenta de que podría usar más ancho de banda y redundancia
en su red. ¡Nada de qué preocuparse, EtherChannel está aquí para ayudarle! EtherChannel
agrega enlaces entre dispositivos en paquetes. Estos paquetes incluyen enlaces redundantes.
STP puede bloquear uno de esos enlaces, pero no los bloqueará todos. ¡Con EtherChannel su
red puede tener redundancia, prevención de bucles y mayor ancho de banda!
Hay dos protocolos, PAgP y LACP. Este módulo explica ambos y también muestra cómo
configurarlos, verificarlos y solucionarlos. Un Verificador de sintaxis y dos actividades Packet
Tracer le ayudan a comprender mejor estos protocolos. ¿Qué está esperando?
6.0.2
Funcionamiento de
Describa la tecnología EtherChannel.
EtherChannel
Configuración de
Configure EtherChannel.
EtherChannel
Verificación y solución de
Solucione problemas de EtherChannel.
problemas de EtherChannel
Funcionamiento de EtherChannel
6.1.1
Añadidura de enlaces
Hay escenarios en los que se necesita más ancho de banda o redundancia entre dispositivos
que lo que puede proporcionar un único enlace. Se pueden conectar varios enlaces entre
dispositivos para aumentar el ancho de banda. Sin embargo, el Spanning Tree Protocol (STP),
que está habilitado en dispositivos de capa 2 como switches de Cisco de forma
predeterminada, bloqueará enlaces redundantes para evitar bucles de switching, como se
muestra en la figura.
Se necesita una tecnología de agregación de enlaces que permita enlaces redundantes entre
dispositivos que no serán bloqueados por STP. Esa tecnología se conoce como EtherChannel.
EtherChannel es una tecnología de agregación de enlaces que agrupa varios enlaces Ethernet
físicos en un único enlace lógico. Se utiliza para proporcionar tolerancia a fallos, uso
compartido de carga, mayor ancho de banda y redundancia entre switches, routers y
servidores.
La tecnología de EtherChannel hace posible combinar la cantidad de enlaces físicos entre los
switches para aumentar la velocidad general de la comunicación switch a switch.
6.1.2
EtherChannel
En los inicios, Cisco desarrolló la tecnología EtherChannel como una técnica switch a switch
LAN para agrupar varios puertos Fast Ethernet o gigabit Ethernet en un único canal lógico.
Cuando se configura un EtherChannel, la interfaz virtual resultante se denomina “canal de
puertos”. Las interfaces físicas se agrupan en una interfaz de canal de puertos, como se
muestra en la figura.
6.1.3
Ventajas de EtherChannel
La tecnología EtherChannel tiene muchas ventajas, que incluye:
Restricciones de implementación
EtherChannel tiene ciertas restricciones de implementación, entre las que se incluyen las
siguientes:
No pueden mezclarse los tipos de interfaz. Por ejemplo, Fast Ethernet y Gigabit Ethernet
no se pueden mezclar dentro de un único EtherChannel.
En la actualidad, cada EtherChannel puede constar de hasta ocho puertos Ethernet
configurados de manera compatible. El EtherChannel proporciona un ancho de banda
full-duplex de hasta 800 Mbps (Fast EtherChannel) u 8 Gbps (Gigabit EtherChannel)
entre un switch y otro switch o host.
El switch Cisco Catalyst 2960 Layer 2 soporta actualmente hasta seis EtherChannels.
Sin embargo, a medida que se desarrollan nuevos IOS y cambian las plataformas,
algunas tarjetas y plataformas pueden admitir una mayor cantidad de puertos dentro de
un enlace EtherChannel, así como una mayor cantidad de Gigabit EtherChannels.
La configuración de los puertos individuales que forman parte del grupo EtherChannel
debe ser coherente en ambos dispositivos. Si los puertos físicos de un lado se
configuran como enlaces troncales, los puertos físicos del otro lado también se deben
configurar como enlaces troncales dentro de la misma VLAN nativa. Además, todos los
puertos en cada enlace EtherChannel se deben configurar como puertos de capa 2.
Cada EtherChannel tiene una interfaz de canal de puertos lógica, como se muestra en la
figura. La configuración aplicada a la interfaz de canal de puertos afecta a todas las
interfaces físicas que se asignan a esa interfaz.
6.1.5
Protocolos de negociación automática
Los EtherChannels se pueden formar por medio de una negociación con uno de dos
protocolos: Port Aggregation Protocol (PAgP) o Link Aggregation Control Protocol (LACP).
Estos protocolos permiten que los puertos con características similares formen un canal
mediante una negociación dinámica con los switches adyacentes.
6.1.6
Funcionamiento PAgP
PAgP (pronunciado “Pag - P”) es un protocolo patentado por Cisco que ayuda en la creación
automática de enlaces EtherChannel. Cuando se configura un enlace EtherChannel mediante
PAgP, se envían paquetes PAgP entre los puertos aptos para EtherChannel para negociar la
formación de un canal. Cuando PAgP identifica enlaces Ethernet compatibles, agrupa los
enlaces en un EtherChannel. El EtherChannel después se agrega al árbol de expansión como
un único puerto.
Cuando se habilita, PAgP también administra el EtherChannel. Los paquetes PAgP se envían
cada 30 segundos. PAgP revisa la coherencia de la configuración y administra los enlaces que
se agregan, así como las fallas entre dos switches. Cuando se crea un EtherChannel, asegura
que todos los puertos tengan el mismo tipo de configuración.
Nota: En EtherChannel, es obligatorio que todos los puertos tengan la misma velocidad, la
misma configuración de dúplex y la misma información de VLAN. Cualquier modificación de
los puertos después de la creación del canal también modifica a los demás puertos del canal.
On - Este modo obliga a la interfaz a proporcionar un canal sin PAgP. Las interfaces
configuradas en el modo encendido no intercambian paquetes PAgP.
PAgP deseable - Este modo PAgP coloca una interfaz en un estado de negociación
activa en el que la interfaz inicia negociaciones con otras interfaces al enviar paquetes
PAgP.
PAgP automático - Este modo PAgP coloca una interfaz en un estado de negociación
pasiva en el que la interfaz responde a los paquetes PAgP que recibe, pero no inicia la
negociación PAgP.
Los modos deben ser compatibles en cada lado. Si se configura un lado en modo automático,
se coloca en estado pasivo, a la espera de que el otro lado inicie la negociación del
EtherChannel. Si el otro lado se establece en modo automático, la negociación nunca se inicia
y no se forma el canal EtherChannel. Si se deshabilitan todos los modos usando no el
comando, o si se configura el modo no, el EtherChannel se deshabilitará.
El hecho de que no haya negociación entre los dos switches significa que no hay un control
para asegurarse de que todos los enlaces en el EtherChannel terminen del otro lado o de que
haya compatibilidad con PAgP en el otro switch.
6.1.7
PAgP Modes
S1 S2 Establecimiento del canal
Activo Activo Sí
Activado Desdeseable/Automático No
Deseado Deseado Sí
Automático Deseado Sí
Automático Automático No
6.1.8
Operación LACP
LACP forma parte de una especificación IEEE (802.3ad) que permite agrupar varios puertos
físicos para formar un único canal lógico. LACP permite que un switch negocie un grupo
automático mediante el envío de paquetes LACP al otro switch. Realiza una función similar a
PAgP con EtherChannel de Cisco. Debido a que LACP es un estándar IEEE, se puede usar
para facilitar los EtherChannels en entornos de varios proveedores. En los dispositivos de
Cisco, se admiten ambos protocolos.
Nota: LACP en los inicios, se definió como IEEE 802.3ad. Sin embargo, LACP ahora se define
en el estándar más moderno IEEE 802.1AX para la redes de área local y metropolitana.
LACP proporciona los mismos beneficios de negociación que PAgP. LACP ayuda a crear el
enlace EtherChannel al detectar la configuración de cada lado y al asegurarse de que sean
compatibles, de modo que se pueda habilitar el enlace EtherChannel cuando sea necesario.
Los modos para LACP son los siguientes:
On - Este modo obliga a la interfaz a proporcionar un canal sin LACP. Las interfaces
configuradas en el modo encendido no intercambian paquetes LACP.
LACP activo - Este modo de LACP coloca un puerto en estado de negociación activa.
En este estado, el puerto inicia negociaciones con otros puertos mediante el envío de
paquetes LACP.
LACP pasivo - Este modo de LACP coloca un puerto en estado de negociación pasiva.
En este estado, el puerto responde a los paquetes LACP que recibe, pero no inicia la
negociación de paquetes LACP.
Al igual que con PAgP, los modos deben ser compatibles en ambos lados para que se forme
el enlace EtherChannel. Se repite el modo encendido, ya que crea la configuración de
EtherChannel incondicionalmente, sin la negociación dinámica de PAgP o LACP.
El protocolo LACP permite ocho enlaces activos y, también, ocho enlaces de reserva. Un
enlace de reserva se vuelve activo si falla uno de los enlaces activos actuales.
6.1.9
Activo Activo Sí
Activado Activo/pasivo No
Activo Activo Sí
Pasivo Activo Sí
Pasivo Pasivo No
Configuración de EtherChannel
6.2.1
Instrucciones de configuración
Ahora que ya sabe qué es EtherChannel, en este tema se explica cómo configurarlo. Las
siguientes pautas y restricciones son útiles para configurar EtherChannel:
La figura muestra una configuración que permitiría que se forme un EtherChannel entre el S1
y el S2.
En la siguiente figura, los puertos de S1 están configurados en modo semidúplex. Por lo tanto,
no se formará un EtherChannel entre el S1 y el S2.
El canal de puertos se puede configurar en modo de acceso, modo de enlace troncal (más
frecuente) o en un puerto enrutado.
6.2.2
Ejemplo de Configuración de LACP
EtherChannel está deshabilitado de forma predeterminada y debe configurarse. La topología
de la figura se utilizará para demostrar un ejemplo de configuración de EtherChannel
utilizando LACP.
6.2.3
6.2.4
Verificación y solución de
problemas de EtherChannel
6.3.1
Verificar EtherChannel
Como siempre, al configurar dispositivos en su red, debe verificar su configuración. Si hay
problemas, también deberá poder solucionarlos y solucionarlos. En este tema se proporcionan
los comandos que se deben verificar, así como algunos problemas comunes de red
EtherChannel y sus soluciones.
Use el comando show etherchannel port-channel para mostrar información sobre la interfaz
del canal de puertos específica, como se muestra en el resultado. En el ejemplo, la interfaz de
canal de puertos 1 consta de dos interfaces físicas, FastEthernet0/1 y FastEthernet0/2. Esta
usa LACP en modo activo. Está correctamente conectada a otro switch con una configuración
compatible, razón por la cual se dice que el canal de puertos está en uso.
En cualquier miembro de una interfaz física de un grupo EtherChannel, el show interfaces
etherchannel comando puede proporcionar información sobre la función de la interfaz en el
EtherChannel, como se muestra en el resultado. La interfaz FastEthernet0/1 forma parte del
grupo EtherChannel 1. El protocolo para este EtherChannel es LACP.
6.3.2
Common Issues with EtherChannel
Configurations
Todas las interfaces dentro de un EtherChannel deben tener la misma configuración de
velocidad y modo dúplex, de VLAN nativas y permitidas en los enlaces troncales, y de VLAN
de acceso en los puertos de acceso. Garantizar estas configuraciones reducirá
significativamente los problemas de red relacionados con EtherChannel. Entre los problemas
comunes de EtherChannel se incluyen los siguientes:
Nota: Es fácil confundir PAgP o LACP con DTP, ya que ambos son protocolos que se usan
para automatizar el comportamiento en los enlaces troncales. PAgP y LACP se usan para la
agregación de enlaces (EtherChannel). DTP se usa para automatizar la creación de enlaces
troncales. Cuando se configura un enlace troncal de EtherChannel, normalmente se configura
primero EtherChannel (PAgP o LACP) y después DTP.
6.3.3
En la show run | begin interface port-channel salida, una salida más detallada indica que
existen modos PAgP incompatibles configurados en los switches S1 y S2.
Paso 3. Corregir las configuraciones incorrectas
Nota: EtherChannel y STP deben interoperar. Por este motivo, el orden en el que se
introducen los comandos relacionados con EtherChannel es importante, y por ello se puede
ver que se quitó el canal de puertos de interfaz1 y después se volvió a agregar con
el channel-group comando, en vez de cambiarse directamente. Si se intenta cambiar la
configuración directamente, los errores STP hacen que los puertos asociados entren en
estado de bloqueo o errdisabled.
Paso 4. Verificar que EtherChannel este en funcionamiento
El EtherChannel ahora está activo según lo verificado por la salida del show etherchannel
summary comando.
6.3.4
6.4.2
6.4.3
Para aumentar el ancho de banda o la redundancia, se pueden conectar varios enlaces entre
dispositivos. Sin embargo, el STP bloquea los enlaces redundantes para evitar los bucles de
switching. EtherChannel es una tecnología de agregación de enlaces que permite enlaces
redundantes entre dispositivos que no serán bloqueados por STP. EtherChannel agrupa varios
enlaces Ethernet físicos en un único enlace lógico. Proporciona tolerancia a fallos, uso
compartido de carga, mayor ancho de banda y redundancia entre conmutadores, enrutadores
y servidores. Cuando se configura un EtherChannel, la interfaz virtual resultante se denomina
“canal de puertos”. EtherChannel tiene varias ventajas, así como algunas restricciones a la
implementación. Los EtherChannels se pueden formar por medio de una negociación con uno
de dos protocolos: PAgP o LACP. Estos protocolos permiten que los puertos con
características similares formen un canal mediante una negociación dinámica con los switches
adyacentes. Cuando se configura un enlace EtherChannel mediante un propietario Cisco
PAgP, se envían paquetes PAgP entre los puertos aptos para EtherChannel para negociar la
formación de un canal. Los modos PAgP se encienden, PAgP deseable y PAgP automático.
LACP realiza una función similar a PAgP con EtherChannel de Cisco. Debido a que LACP es
un estándar IEEE, se puede usar para facilitar los EtherChannels en entornos de varios
proveedores. Los modos LACP se encienden, LACP activo y LACP pasivo.
Configurar EtherChannel
Paso 2. Cree la interfaz de canal de puerto con el comando channel-group identifier mode
active en el modo de configuración de rango de interfaz.
Existe una variedad de comandos para verificar una configuración EtherChannel que
incluye, show interfaces port-channel, show etherchannel summary, show etherchannel
port-channel y show interfaces etherchannel. Entre los problemas comunes de
EtherChannel se incluyen los siguientes:
Introducción
7.0.1
7.0.2
Configurar un servidor
Configure un router como servidor DHCPv4.
DHCPv4 del IOS de Cisco
Conceptos DHCPv4
7.1.1
7.1.2
Funcionamiento de DHCPv4
DHCPv4 funciona en un modo cliente/servidor. Cuando un cliente se comunica con un
servidor de DHCPv4, el servidor asigna o arrienda una dirección IPv4 a ese cliente. El cliente
se conecta a la red con esa dirección IPv4 arrendada hasta que caduque el arrendamiento. El
cliente debe ponerse en contacto con el servidor de DHCP periódicamente para extender el
arrendamiento. Este mecanismo de arrendamiento asegura que los clientes que se trasladan o
se desconectan no mantengan las direcciones que ya no necesitan. Cuando caduca un
arrendamiento, el servidor de DHCP devuelve la dirección al conjunto, donde se puede volver
a asignar según sea necesario.
7.1.3
Cuando el cliente recibe el mensaje DHCPOFFER proveniente del servidor, envía un mensaje
DHCPREQUEST. Este mensaje se utiliza tanto para el origen como para la renovación del
arrendamiento. Cuando se utiliza para el origen del arrendamiento, el mensaje
DHCPREQUEST sirve como notificación de aceptación vinculante al servidor seleccionado
para los parámetros que ofreció y como un rechazo implícito a cualquier otro servidor que
pudiera haber proporcionado una oferta vinculante al cliente.
7.1.4
El router que funciona como servidor de DHCPv4 asigna todas las direcciones IPv4 en un
conjunto de direcciones DHCPv4, a menos que esté configurado para excluir direcciones
específicas. Generalmente, algunas direcciones IPv4 de un conjunto se asignan a dispositivos
de red que requieren asignaciones de direcciones estáticas. Por lo tanto, estas direcciones
IPv4 no deben asignarse a otros dispositivos. La sintaxis del comando para excluir direcciones
IPv4 es la siguiente:
Se puede excluir una única dirección o un rango de direcciones especificando la dirección más
baja y la dirección más alta del rango. Las direcciones excluidas deben incluir las direcciones
asignadas a los routers, a los servidores, a las impresoras y a los demás dispositivos que se
configuraron o se configurarán manualmente. También puede introducir el comando varias
veces.
La tabla indica las tareas para finalizar la configuración del pool de DHCPv4.
Otros comandos del pool de DHCPv4 son optativos. Por ejemplo, la dirección IPv4 del servidor
DNS que está disponible para un cliente DHCPv4 se configura mediante el comando dns-
server. El comando domain-name se utiliza para definir el nombre de dominio. La duración
del arrendamiento de DHCPv4 puede modificarse mediante el comando lease. El valor de
arrendamiento predeterminado es un día. El comando netbios-name-server se utiliza para
definir el servidor WINS con NetBIOS.
7.2.3
Ejemplo de configuración
La topología para el ejemplo de configuración se muestra en la figura.
7.2.4
show
running-
config | Muestra los comandos DHCPv4 configurados en el router.
section
dhcp
show ip
dhcp Muestra una lista de todos los enlaces de direcciones IPv4 a direcciones MAC proporcionados por el
binding servicio DHCPv4.
show ip
dhcp Muestra información de conteo con respecto a la cantidad de mensajes DHCPv4 que han sido
server enviados y recibidos.
statistics
7.2.5
La salida de la show ip dhcp server statistics se utiliza para verificar que los mensajes están
siendo recibidos o enviados por el router. Este comando muestra información de conteo con
respecto a la cantidad de mensajes DHCPv4 que se enviaron y recibieron.
7.2.6
Nota: Si se borra los enlaces DHCP o se detiene y reinicia el servicio DHCP, se pueden
asignar temporalmente direcciones IP duplicadas en la red.
Retransmisión DHCPv4
En una red jerárquica compleja, los servidores empresariales suelen estar ubicados en una
central. Estos servidores pueden proporcionar servicios DHCP, DNS, TFTP y FTP para la red.
Generalmente, los clientes de red no se encuentran en la misma subred que esos servidores.
Para ubicar los servidores y recibir servicios, los clientes con frecuencia utilizan mensajes de
difusión.
En la figura, la PC1 intenta adquirir una dirección IPv4 de un servidor de DHCPv4 mediante un
mensaje de difusión. En esta situación, el router R1 no está configurado como servidor de
DHCPv4 y no reenvía el mensaje de difusión. Dado que el servidor de DHCPv4 está ubicado
en una red diferente, la PC1 no puede recibir una dirección IP mediante DHCP. R1 debe
configurarse para retransmitir mensajes DHCPv4 al servidor DHCPv4
En este escenario, un administrador de red está intentando renovar la información de
direccionamiento IPv4 para PC1. Haga clic en cada botón para ver la salida del comando a
medida que el administrador de red resuelve este problema.
ipconfig /release
PC1 es una computadora con Windows. El administrador de red libera toda la información de
direccionamiento IPv4 actual mediante el comando ipconfig /release. Observe que se libera
la dirección IPv4 y ninguna dirección aparece.
ipconfig /renew
El administrador de red podría agregar servidores DHCPv4 en R1 para todas las subredes.
Sin embargo, esto crearía costos adicionales y gastos administrativos.
ip helper-address
Una mejor solución es configurar R1 con el comando ip helper-address address interface
configuration. Esto hará que R1 retransmita transmisiones DHCPv4 al servidor DHCPv4.
Como se muestra en el ejemplo, la interfaz en R1 que recibe la difusión desde PC1 está
configurada para retransmitir la dirección DHCPv4 al servidor DHCPv4 en 192.168.11.6.
show ip interface
ipconfig /all
Como se muestra en la salida, PC1 ahora puede adquirir una dirección IPv4 del servidor
DHCPv4 como se ha verificado con el ipconfig /all comando .
7.2.9
7.2.10
Packet Tracer - Configurar DHCPv4
En esta actividad de Packet Tracer, completará los siguientes objetivos:
En ocasiones, los routers Cisco en oficinas pequeñas y oficinas domésticas (SOHO) y en los
sitios de sucursales deben configurarse como clientes DHCPv4 de manera similar a los
equipos cliente. El método específico utilizado depende del ISP. Sin embargo, en su
configuración más simple, se utiliza la interfaz Ethernet para conectarse a un cable módem o a
un módem DSL.
Para configurar una interfaz Ethernet como cliente DHCP, utilice el ip address dhcp comando
del modo de configuración de interfaz.
7.3.2
Ejemplo de configuración
Para configurar una interfaz Ethernet como cliente DHCP, utilice el ip address dhcp comando
del modo de configuración de interfaz, como se muestra en el ejemplo. Esta configuración
supone que el ISP se ha configurado para proporcionar a los clientes seleccionados
información de direcciones IPv4.
El comando show ip interface g0/0/1 confirma que la interfaz está activa y que la dirección
fue asignada por un servidor DHCPv4.
7.3.3
7.4.2
7.4.3
Un router Cisco que ejecuta el software IOS de Cisco puede configurarse para que funcione
como servidor de DHCPv4. Siga los pasos siguientes para configurar un servidor DHCPv4 del
IOS de Cisco: excluir direcciones IPv4, definir un nombre de grupo DHCPv4 y configurar el
grupo DHCPv4. Verifique la configuración usando los comandos show running-config |
section dhcp, show ip dhcp bindingy show ip dhcp server statistics. El servicio DHCPv4
está habilitado de manera predeterminada. Para desabilitar el servicio, use el comando no
service dhcp del modo de configuración global. En una red jerárquica compleja, los
servidores empresariales suelen estar ubicados en una central. Estos servidores pueden
proporcionar servicios DHCP, DNS, TFTP y FTP para la red. Generalmente, los clientes de
red no se encuentran en la misma subred que esos servidores. Para ubicar los servidores y
recibir servicios, los clientes con frecuencia utilizan mensajes de difusión. La PC1 intenta
adquirir una dirección IPv4 de un servidor de DHCPv4 mediante un mensaje de difusión. Si el
router R1 no está configurado como servidor de DHCPv4, no reenviará el mensaje de difusión.
Si el servidor DHCPv4 está ubicado en una red distinta, el PC no podrá recibir la dirección IP
mediante DHCP. El router debe estar configurado para retransmitir mensajes DHCPv4 al
servidor DHCPv4. El administrador de red libera toda la información de direccionamiento IPv4
actual mediante el comando ipconfig /release. A continuación, el administrador de red intenta
renovar la información de direccionamiento IPv4 con el comando ipconfig /renew. Una mejor
solución es configurar R1 con el comando ip helper-address address interface configuration.
El administrador de red puede utilizar el comando show ip interface para verificar la
configuración. El PC ahora puede adquirir una dirección IPv4 del servidor DHCPv4 como se
ha verificado con el comando ipconfig /all. De manera predeterminada, el ip helper-
address comando reenvia los siguientes ocho servidcios UDP:
La interfaz Ethernet se usa para conectarse a un cable o modem DSL. Para configurar una
interfaz Ethernet como cliente DHCP, utilice el ip address dhcp interface comando del modo
de configuración. Los routers de los hogares se configuran para recibir información de
asignación de dirección IPv4 automáticamente desde el ISP. El tipo de conexión de internet
está establecido en Automatic Configuration - DHCP. Se utiliza esta selección cuando el router
se conecta a un cable módem o DSL y actúa como cliente DHCPv4 y solicita una dirección
IPv4 del ISP.
8.0.1
Bienvenido
Bienvenido a SLAAC y DHCPv6!
SLAAC y DHCPv6 son protocolos de direccionamiento dinámico para una red IPv6. Por lo
tanto, un poco de configuración hará que su día como administrador de red sea mucho más
fácil. En este módulo, aprenderá a usar SLAAC para permitir a los hosts crear su propia
dirección de unidifusión global IPv6, así como configurar un router Cisco IOS para que sea un
servidor DHCPv6, un cliente DHCPv6 o un agente de retransmisión DHCPv6. Este módulo
incluye un laboratorio donde configurará DHCPv6 en equipos reales!
8.0.2
Asignación de direcciones
Explique cómo un host IPv6 puede adquirir su configuración IPv6.
de unidifusión global IPv6
Configurar un servidor
Configurar servidor DHCPv6 stateful y stateless.
DHCPv6
8.1.2
En la figura, observe que la interfaz no creó una GUA IPv6. La razón se debe a que, en este
ejemplo, el segmento de red no tiene un router que proporcione instrucciones de configuración
de red para el host.
Nota: A veces, los sistemas operativoshost mostrarán una dirección link-local anexada con un
"%" y un número. Esto se conoce como Id. de zona o Id. de ámbito. Es utilizado por el sistema
operativo para asociar el LLA con una interfaz específica.
C:\PC1> ipconfig
8.1.3
IPv6 GUA se puede asignar dinámicamente utilizando servicios stateless y stateful, como se
muestra en la figura.
Todos los métodos stateless y stateful de este módulo utilizan mensajes de RA ICMPv6 para
sugerir al host cómo crear o adquirir su configuración IPv6. Aunque los sistemas operativos
del host siguen la sugerencia del RA, la decisión real depende en última instancia del host.
8.1.4
Un mensaje de RA ICMPv6 incluye tres flags para identificar las opciones dinámicas
disponibles para un host, como se indica a continuación:
SLAAC es un servicio stateless. Esto significa que no hay ningún servidor que mantenga
información de direcciones de red para saber qué direcciones IPv6 se están utilizando y
cuáles están disponibles.
Un host también puede enviar un mensaje Router Solicitation (RS) solicitando que un router
habilitado para IPv6 envíe al host un RA.
SLAAC se puede implementar como SLAAC solamente, o SLAAC con DHCPv6.
8.2.2
Activación de SLAAC
Consulte la topología siguiente para ver cómo está habilitado SLAAC para proporcionar
asignación GUA dinámica stateless.
Para habilitar el envío de mensajes RA, un router debe unirse al grupo de todos los routers
IPv6 mediante el comando ipv6 unicast-routing global config, como se muestra en el
ejemplo.
El A = 1 flag sugiere al cliente que cree su propio IPv6 GUA usando el prefijo anunciado en la
RA. El cliente puede crear su propio ID de interfaz utilizando el método Extended Unique
Identifier (EUI-64) o hacer que se genere aleatoriamente.
Los flags O =0 y M=0 le indican al cliente que use la información del mensaje RA
exclusivamente. Esto incluye información del prefijo, de la longitud de prefijo, del servidor
DNS, de la MTU y del default gateway. No se encuentra disponible ninguna otra información
de un servidor de DHCPv6.
En el ejemplo, PC1 esta habilitada para obtener su información de direccion de IPv6 de forma
automática. Debido a la configuración de los flags A, O y M, PC1 sólo realiza SLAAC,
utilizando la información contenida en el mensaje RA enviado por R1.
La dirección del default gateway es la dirección IPv6 de origen del mensaje RA, que es la LLA
para R1. El default gateway solo se puede obtener de forma automática mediante un mensaje
RA. Un servidor DHCPv6 no proporciona esta información.
C:\PC1> ipconfig
8.2.4
ICMPv6 RS Messages
Un router envía mensajes de RA cada 200 segundos. Sin embargo, también enviará un
mensaje RA si recibe un mensaje RS de un host.
8.2.5
Nota: Windows, Linux y Mac OS permiten al usuario modificar la generación del ID de interfaz
para que se genere aleatoriamente o utilice EUI-64.
C:\PC1> ipconfig
8.2.6
Ya que SLAAC es stateless; por lo tanto, un host tiene la opción de verificar que una dirección
IPv6 recién creada sea única antes de que pueda usarse Un host utiliza el proceso de
detección de direcciones duplicadas (DAD) para asegurarse de que IPv6 GUA es único.
DAD se implementa usando ICMPv6. Para realizar DAD, el host envía un mensaje ICMPv6 NS
con una dirección de multidifusión especialmente construida, llamada dirección de
multidifusión de nodo solicitado. Esta dirección duplica los últimos 24 bits de dirección IPv6 del
host.
Si ningún otro dispositivo responde con un mensaje NA, prácticamente se garantiza que la
dirección es única y puede ser utilizada por la PC1. Si un mensaje NA es recibido por el host,
la dirección no es única, y el sistema operativo debe determinar una nueva ID de interfaz para
utilizar.
Internet Engineering Task Force (IETF) recomienda que DAD se utilice en todas las
direcciones de unidifusión IPv6 independientemente de si se crea con SLAAC sólo, se obtiene
con DHCPv6 stateful, o se configura manualmente. DAD no es obligatorio porque un ID de
interfaz de 64 bits proporciona 18 quintillion de posibilidades y la posibilidad de que haya una
duplicación es remota. Sin embargo, la mayoría de los sistemas operativos realizan DAD en
todas las direcciones de unidifusión IPv6, independientemente de cómo se configure la
dirección.
DHCPv6
8.3.1
Si bien DHCPv6 es similar a DHCPv4 en cuanto a lo que proporciona, los dos protocolos son
independientes respecto sí.
El host comienza las comunicaciones cliente / servidor DHCPv6 después de que se indica
DHCPv6 stateles o DHCPv6 stateful en el RA.
Los mensajes DHCPv6 de servidor a cliente utilizan el puerto de destino UDP 546, mientras
que los mensajes DHCPv6 de cliente a servidor utilizan el puerto de destino UDP 547.
Uno o más servidores DHCPv6 responden con un mensaje unidifusión DHCPv6 ADVERTISE
El mensaje ADVERTISE le informa al cliente DHCPv6 que el servidor se encuentra disponible
para el servicio DHCPv6.
Paso 5. El host responde al servidor DHCPv6.
Cliente DHCPv6 Stateless - El cliente crea una dirección IPv6 utilizando el prefijo en
el mensaje RA y una ID de interfaz autogenerada. El cliente envía un mensaje
DHCPv6 INFORMATION-REQUEST al servidor de DHCPv6 en el que solicita
solamente parámetros de configuración, como la dirección del servidor DNS.
Cliente DHCPv6 Stateful - el cliente envía un mensaje DHCPv6 REQUEST al
servidor para obtener una dirección IPv6 y todos los demás parámetros de
configuración del servidor.
Paso 6. El servidor DHCPv6 envía un mensaje REPLY
Note: El cliente usara la direccion IPv6 link-local de origen del RA como su direccion default
gateway. Un servidor DHCPv6 no proporciona esta información .
8.3.2
Este proceso se conoce como DHCPv6 stateless, debido a que el servidor no mantiene
información de estado del cliente (es decir, una lista de direcciones IPv6 asignadas y
disponibles). El servidor de DHCPv6 stateless solo proporciona parámetros de configuración
para los clientes, no direcciones IPv6.
El resultado resaltado confirma que la RA le indicará a los hosts receptores que usen la
configuración automática stateless (A flag = 1) y se comunique con un servidor DHCPv6 para
obtener otra información de configuración (O flag = 1).
Note: You can use the no ipv6 nd other-config flag para restablecer la interfaz a la opción
predeterminada de SLAAC sólo (O flag = 0).
8.3.4
Esto se conoce como DHCPv6 stateful, debido a que el servidor de DHCPv6 mantiene
información de estado de IPv6. Esto es similar a la asignación de direcciones para IPv4 por
parte de un servidor de DHCPv4.
El resultado resaltado en el ejemplo confirma que RA indicará al host que obtenga toda la
información de configuración IPv6 de un servidor DHCPv6 (flag M = 1).
Configure DHCPv6 Server
8.4.1
8.4.2
Hay cinco pasos para configurar y verificar un router como servidor DHCPv6 stateless:
Cree el grupo DHCPv6 mediante el comando ipv6 dhcp pool POOL-NAME global config.
Esto entra en el modo de subconfiguración del grupo DHCPv6 identificado por elRouter(config-
dhcpv6)# mensaje .
Note: El nombre del grupo no tiene que estar en mayúsculas. Sin embargo, el uso de un
nombre en mayúsculas facilita la visualización en una configuración.
El grupo DHCPv6 debe vincularse a la interfaz mediante el comando ipv6 dhcp server POOL-
NAME interface config como se muestra en el ejemplo.
El router responde a las solicitudes de DHCPv6 stateless en esta interfaz con la información
incluida en el pool. El flag O debe cambiarse manualmente de 0 a 1 utilizando el comando de
interfazipv6 nd other-config-flag. Los mensajes RA enviados en esta interfaz indican que hay
información adicional disponible de un servidor de DHCPv6 stateless. El flag A es 1 de forma
predeterminada, indicando a los clientes que usen SLAAC para crear su propio GUA.
Paso 5. Compruebe que los hosts han recibido información de direccionamiento IPv6.
Para comprobar DHCP stateless en un host de Windows, utilice el ipconfig /all comando. El
resultado de ejemplo muestra la configuración en PC1.
Observe en el resultado que PC1 creó su GUA IPv6 utilizando el prefijo 2001:db8:acad:1: :/64.
Observe también que el default gateway es la dirección link-local IPv6 de R1. Esto confirma
que PC1 derivó su configuración IPv6 de la RA de R1.
El resultado resaltado confirma que PC1 ha aprendido el nombre de dominio y la dirección del
servidor DNS del servidor DHCPv6 stateless.
El router cliente necesita tener una dirección link-local. Una dirección link-local IPv6 se crea en
una interfaz de router cuando se configura una dirección de unidifusión global. También se
puede crear sin un GUA mediante el comando de configuración de ipv6 enable interfaz. Cisco
IOS utiliza EUI-64 para crear un ID de interfaz aleatorio.
En el resultado, el ipv6 enable comando se configura en la interfaz Gigabit Ethernet 0/0/1 del
router cliente R3.
Utilice el show ipv6 interface brief comando para verificar la configuración del host como se
muestra. El resultado confirma que a la interfaz G0/0/1 en R3 se le asignó una GUA válida.
El show ipv6 dhcp interface g0/0/1 comando confirma que R3 también aprendió el DNS y los
nombres de dominio.
8.4.4
En la figura, R1 proporcionará servicios DHCPv6 stateful a todos los hosts de la red local.
Configurar un servidor de DHCPv6 stateful es similar a configurar un servidor stateless. La
diferencia más importante es que un servidor stateful también incluye información de
direccionamiento IPv6 de manera similar a un servidor DHCPv4.
Hay cinco pasos para configurar y verificar un router como servidor DHCPv6 stateless:
Cree el grupo DHCPv6 mediante el comando ipv6 dhcp pool POOL-NAME global config.
El grupo DHCPv6 debe vincularse a la interfaz mediante el comando ipv6 dhcp server POOL-
NAME interface config.
The M flag is manually changed from 0 to 1 using the interface command ipv6 nd
managed-config-flag.
The A flag is manually changed from 1 to 0 using the interface command ipv6 nd
prefix default no-autoconfig. El flag A se puede dejar en 1, pero algunos sistemas
operativos cliente como Windows crearán una GUA usando SLAAC y obtendrán una
GUA del servidor DHCPv6 stateful. Establecer el flag A en 0 indica al cliente que no
utilice SLAAC para crear un GUA.
The El comando IPv6 dhcp server vincula el conjunto de DHCPv6 con la interfaz. R1
responderá ahora con la información contenida en el grupo cuando reciba solicitudes
DHCPv6 stateful en esta interfaz.
Note: You can use the no ipv6 nd managed-config-flag to set the M flag back to its default of
0. The no ipv6 nd prefix default no-autoconfig comando establece el flag A su valor
predeterminado de 1.
Paso 5. Compruebe que los hosts han recibido información de direccionamiento IPv6.
Para comprobar en un host de Windows, utilice el ipconfig /all comando para comprobar el
método de configuración DHCP stateful. El ejemplo muestra la configuración en PC1. El
resultado resaltado muestra que PC1 ha recibido su GUA IPv6 de un servidor DHCPv6
stateful.
8.4.5
Configurar un cliente DHCPv6 stateful.
Un router también puede ser un cliente DHCPv6. El router cliente debe tener ipv6 unicast-
routing habilitado y una dirección link-local IPv6 para enviar y recibir mensajes IPv6.
Hay cinco pasos para configurar y verificar un router como servidor DHCPv6 stateless:
Utilice el show ipv6 interface brief comando para verificar la configuración del host como se
muestra.
Paso 5. Verifique que el router cliente haya recibido otra información DHCPv6
necesaria.
El show ipv6 dhcp interface g0/0/1 comando confirma que R3 aprendió el DNS y los
nombres de dominio.
El show ipv6 dhcp pool comando verifica el nombre del pool de DHCPv6 y sus parámetros.
El comando también identifica el número de clientes activos. En este ejemplo, el grupo IPV6-
STATEFUL tiene actualmente 2 clientes, lo que refleja PC1 y R3 que reciben su dirección de
unidifusión global IPv6 de este servidor.
Cuando un router proporciona servicios DHCPv6 stateful, también mantiene una base de
datos de direcciones IPv6 asignadas.
Utilice el resultado del show ipv6 dhcp binding comando para mostrar la dirección link-local
IPv6 del cliente y la dirección de unidifusión global asignada por el servidor.
El resultado muestra el enlace con estado actual en R1. El primer cliente en el resultado es
PC1 y el segundo cliente es R3.
8.4.7
La sintaxis del comando para configurar un router como agente de retransmisión DHCPv6 es
la siguiente:
Este comando se configura en la interfaz que frente a los clientes DHCPv6 y especifica la
dirección del servidor DHCPv6 y la interfaz de salida para llegar al servidor, como se muestra
en el ejemplo. La interfaz de salida sólo es necesaria cuando la dirección de salto siguiente es
una LLA.
Observe que a una dirección link-local de cliente se le ha asignado un GUA IPv6. Podemos
suponer que esto es PC1.
8.5.2
¿Qué aprenderé en este módulo?
Asignación IPv6 GUA
SLAAC
El método SLAAC permite a los hosts crear su propia dirección única global IPv6 sin los
servicios de un servidor DHCPv6. SLAAC, que es stateless, utiliza mensajes ICMPv6 RA para
proporcionar direccionamiento y otra información de configuración que normalmente
proporcionaría un servidor DHCP SLAAC se puede implementar como SLAAC solamente, o
SLAAC con DHCPv6. Para habilitar el envío de mensajes RA, un router debe unirse al grupo
de todos los routers IPv6 mediante el comando ipv6 unicast-routing global config. Utilice
el show ipv6 interface comando para verificar si un router está habilitado. El método SLAAC
sólo, está habilitado de forma predeterminada cuando se configura el comando ipv6 unicast-
routing. Todas las interfaces Ethernet habilitadas con un GUA IPv6 configurado comenzarán a
enviar mensajes RA con el flag A establecido en 1 y los flags O y M establecidos en 0. El flag
A = 1 sugiere al cliente crear su propio IPv6 GUA usando el prefijo anunciado en RA. Los flags
O =0 y M=0 le indican al cliente que use la información del mensaje RA exclusivamente. Un
router envía mensajes de RA cada 200 segundos. Sin embargo, también enviará un mensaje
RA si recibe un mensaje RS de un host. Mediante SLAAC, un host suele adquirir su
información de subred IPv6 de 64 bits del RA del router . Sin embargo, debe generar el
identificador de interfaz (ID) de 64 bits restante utilizando uno de estos dos métodos: generado
aleatoriamente, o EUI-64. Un host utiliza el proceso DAD para asegurarse de que IPv6 GUA
es único. DAD se implementa usando ICMPv6. Para realizar DAD, el host envía un mensaje
ICMPv6 NS con una dirección de multidifusión especialmente construida, llamada dirección de
multidifusión de nodo solicitado. Esta dirección duplica los últimos 24 bits de dirección IPv6 del
host .
DHCPv6
El host comienza las comunicaciones cliente / servidor DHCPv6 después de que se indica
DHCPv6 stateles o DHCPv6 stateful en el RA. Los mensajes DHCPv6 de servidor a cliente
utilizan el puerto de destino UDP 546, mientras que los mensajes DHCPv6 de cliente a
servidor utilizan el puerto de destino UDP 547. La opción de DHCPv6 stateless informa al
cliente que utilice la información del mensaje RA para el direccionamiento, pero que hay más
parámetros de configuración disponibles de un servidor de DHCPv6. Esto se denomina
DHCPv6 stateless porque el servidor no mantiene ninguna información de estado del cliente.
DHCPv6 Stateless está habilitado en una interfaz de router mediante el comandoipv6 nd
other-config-flag interface configuration. Esto establece el flag O en 1. En este caso, el
mensaje RA indica al cliente que obtenga toda la información de direccionamiento de un
servidor DHCPv6 stateful, excepto la dirección del default gateway que es la dirección link-
local IPv6 de origen de la RA. Esto se conoce como DHCPv6 stateful, debido a que el servidor
de DHCPv6 mantiene información de estado de IPv6. DHCPv6 Stateful es habilitado en una
interfaz de router mediante el comando ipv6 nd managed-config-flag interface configuration
Esto establece el flag M en 1.
Un router Cisco IOS se puede configurar para proporcionar servicios de servidor DHCPv6
como uno de los tres tipos siguientes: servidor DHCPv6, cliente DHCPv6 o agente de
retransmisión DHCPv6. La opción de servidor DHCPv6 stateless requiere que el router
anuncie la información de direccionamiento de red IPv6 en los mensajes RA. Un router
también puede ser un cliente DHCPv6 y obtener una configuración IPv6 de un servidor
DHCPv6. La opción de servidor DHCP stateful requiere que el router habilitado para IPv6
indique al host que se ponga en contacto con un servidor DHCPv6 para obtener toda la
información de direccionamiento de red IPv6 necesaria. El router cliente debe tener have ipv6
unicast-routing habilitado y una dirección link-local IPv6 para enviar y recibir mensajes IPv6.
Utilice los show ipv6 dhcp pool comandos show ipv6 dhcp binding y para verificar el
funcionamiento DHCPv6 en un router. Si el servidor de DHCPv6 está ubicado en una red
distinta de la del cliente, el router IPv6 puede configurarse como agente de retransmisión
DHCPv6 utilizando el comando ipv6 dhcp relay destination ipv6-address [interface-type
interface-number] Este comando se configura en la interfaz que enfrenta a los clientes
DHCPv6 y especifica la dirección del servidor DHCPv6 y la interfaz de salida para llegar al
servidor. La interfaz de salida sólo es necesaria cuando la dirección de salto siguiente es una
LLA. Compruebe que el agente de retransmisión DHCPv6 esté operativo con los show ipv6
dhcp interface comandos show ipv6 dhcp binding
Introducción
9.0.1
Puede evitar este problema fácilmente. Los protocolos de redundancia de primer salto (FHRP)
son la solución que necesita. Este módulo analiza lo que hace la FHRP y todos los tipos de
FHRP disponibles para usted. Uno de estos tipos es un FHRP propietario de Cisco llamado
Hot Standby Router Protocol (HSRP). Aprenderá cómo funciona HSRP y completará una
actividad en Packet Tracer donde configurará y verificará HSRP. ¡No esperes, empieza!
9.0.2
Objetivos del módulo: Explique cómo los FHRP proporcionan servicios de gateway
predeterminados en una red redundante.
Protocolos de Redundancia de
Primer Salto
9.1.1
En una red conmutada, cada cliente recibe solo un gateway predeterminado. No hay forma de
usar un gateway secundario, incluso si existe una segunda ruta que transporte paquetes fuera
del segmento local.
En la figura, el R1 es el responsable de enrutar los paquetes de la PC1. Si el R1 deja de estar
disponible, los protocolos de routing pueden converger de forma dinámica. Ahora, el R2 enruta
paquetes de redes externas que habrían pasado por el R1. Sin embargo, el tráfico de la red
interna asociado al R1, incluido el tráfico de las estaciones de trabajo, de los servidores y de
las impresoras que se configuraron con el R1 como gateway predeterminado, aún se envía al
R1 y se descarta.
Nota: Nota: Para los efectos del análisis de la redundancia de los routers, no hay diferencia
funcional entre un switch capa 3 y un router en la capa de distribución. En la práctica, es
común que un switch capa 3 funcione como gateway predeterminado para cada VLAN en una
red conmutada. Esta discusión se centra en la funcionalidad del enrutamiento,
independientemente del dispositivo físico utilizado.
Por lo general, los dispositivos finales o terminales se configuran con una única dirección IPv4
para un gateway predeterminado. Esta dirección no se modifica cuando cambia la topología
de la red. Si no se puede llegar a esa dirección IPv4 de gateway predeterminado, el dispositivo
local no puede enviar paquetes fuera del segmento de red local, lo que lo desconecta
completamente de las demás redes. Aunque exista un router redundante que sirva como
puerta de enlace predeterminada para ese segmento, no hay un método dinámico para que
estos dispositivos puedan determinar la dirección de una nueva puerta de enlace
predeterminada.
9.1.2
La dirección IPv4 del router virtual se configura como la puerta de enlace predeterminada para
las estaciones de trabajo de un segmento específico de IPv4. Cuando se envían tramas desde
los dispositivos host hacia el gateway predeterminado, los hosts utilizan ARP para resolver la
dirección MAC asociada a la dirección IPv4 del gateway predeterminado. La resolución de
ARP devuelve la dirección MAC del router virtual. El router actualmente activo dentro del
grupo de routers virtuales puede procesar físicamente las tramas que se envían a la dirección
MAC del router virtual. Los protocolos se utilizan para identificar dos o más routers como los
dispositivos responsables de procesar tramas que se envían a la dirección MAC o IP de un
único router virtual. Los dispositivos host envían el tráfico a la dirección del router virtual. El
router físico que reenvía este tráfico es transparente para los dispositivos host.
Un protocolo de redundancia proporciona el mecanismo para determinar qué router debe
cumplir la función activa en el reenvío de tráfico. Además, determina cuándo un router de
reserva debe asumir la función de reenvío. La transición entre los routers de reenvío es
transparente para los dispositivos finales.
La capacidad que tiene una red para recuperarse dinámicamente de la falla de un dispositivo
que funciona como gateway predeterminado se conoce como “redundancia de primer salto”.
9.1.3
1. El router de reserva deja de recibir los mensajes de saludo del router de reenvío.
2. El router de reserva asume la función del router de reenvío.
3. Debido a que el nuevo router de reenvío asume tanto la dirección IPv4 como la dirección
MAC del router virtual, los dispositivos host no perciben ninguna interrupción en el
servicio.
9.1.4
Opciones de FHRP
La FHRP utilizada en un entorno de producción depende en gran medida del equipo y las
necesidades de la red. La tabla muestra todas las opciones disponibles para FHRP.
HRSP es una FHRP propietaria de Cisco que está diseñada para permitir conmutación
por error (failover) transparente de un dispositivo IPv4 de primer salto. HSRP
proporciona alta disponibilidad de red al proporcionar redundancia de enrutamiento de
primer salto para IPv4 hosts en redes configuradas con una dirección de puerta de
Protocolo de Router de Reserva enlace predeterminada IPv4. HSRP se utiliza en un grupo de routers para seleccionar un
Directa (HSRP, Hot Standby dispositivo activo y un dispositivo de espera. En un grupo de interfaces de dispositivo, el
Router Protocol) dispositivo activo es el dispositivo que se utiliza para enrutar los paquetes; el dispositivo
de espera es el dispositivo que se hace cargo cuando el dispositivo activo falla o cuando
se preconfigura se cumplen las condiciones. La función del router de espera HSRP es
supervisar el estado operativo del grupo HSRP y asumir rápidamente responsabilidad de
reenvío de paquetes si falla el router activo.
Protocolo de Equilibrio de Carga Este es un FHRP propiedad de Cisco que protege el tráfico de datos de un router o
del Gateway (Load Balancing circuito fallido, como HSRP y VRRP, mientras que también permite la carga equilibrada
Protocol, GLBP) (también llamado uso compartido de carga) entre un grupo de routers.
Es el protocolo FHRP exclusivo de Cisco diseñado para permitir la conmutación por falla
transparente de los dispositivos IPv4 de primer salto.
HSRP proporciona una alta disponibilidad de red, ya que proporciona redundancia de routing
de primer salto para los hosts IPv4 en las redes configuradas con una dirección IPv4 de
gateway predeterminado. HSRP se utiliza en un grupo de routers para seleccionar un
dispositivo activo y un dispositivo de reserva. En un grupo de interfaces de dispositivo, el
dispositivo activo es aquel que se utiliza para enrutar paquetes, y el dispositivo de reserva es
el que toma el control cuando falla el dispositivo activo o cuando se cumplen condiciones
previamente establecidas. La función del router de suspensión del HSRP es controlar el
estado operativo del grupo de HSRP y asumir rápidamente la responsabilidad de reenvío de
paquetes si falla el router activo.
9.2.2
Prioridad HSRP
La prioridad HSRP se puede utilizar para determinar el router activo. El router con la prioridad
HSRP más alta será el router activo. De manera predeterminada, la prioridad HSRP es 100. Si
las prioridades son iguales, el router con la dirección IPv4 numéricamente más alta es elegido
como router activo.
Para configurar un router para que sea el router activo, utilice el comando de interfaz standby
priority El rango de prioridad HSRP es de 0 a 255.
Preferencias HSRP
El intento de prioridad solo permite que un router se convierta en router activo si tiene una
prioridad más alta. Un router habilitado para intento de propiedad, con una prioridad
equivalente pero una dirección IPv4 más alta, no desplazará la prioridad de un router activo.
Consulte la topología de la figura
Nota: Nota: Si el intento de prioridad está desactivado, el router que arranque primero será el
router activo si no hay otros routers en línea durante el proceso de elección.
9.2.3
Estado de
Descripción
HSRP
Si falla un router o una interfaz del router (que funciona como gateway predeterminado), los
hosts configurados con ese gateway predeterminado quedan aislados de las redes externas.
Se necesita un mecanismo para proporcionar gateways predeterminados alternativos en las
redes conmutadas donde hay dos o más routers conectados a las mismas VLAN. Una forma
de evitar un único punto de falla en el gateway predeterminado es implementar un router
virtual. Como se muestra en la figura, para implementar este tipo de redundancia de router, se
configuran varios routers para que funcionen juntos y así dar la sensación de que hay un único
router a los hosts en la LAN. Cuando falla el router activo, el protocolo de redundancia hace
que el router de reserva asuma el nuevo rol de router activo. Estos son los pasos que se
llevan a cabo cuando falla el router activo:
1. El router de reserva deja de recibir los mensajes de saludo del router de reenvío.
2. El router de reserva asume la función del router de reenvío.
3. Debido a que el nuevo router de reenvío asume tanto la dirección IPv4 como la dirección
MAC del router virtual, los dispositivos host no perciben ninguna interrupción en el
servicio.
La FHRP utilizada en un entorno de producción depende en gran medida del equipo y las
necesidades de la red. Estas son las opciones disponibles para FHRP:
HSRP
Es el protocolo HSRP exclusivo de Cisco diseñado para permitir la conmutación por falla
transparente de los dispositivos IPv4 de primer salto. HSRP se utiliza en un grupo de routers
para seleccionar un dispositivo activo y un dispositivo de reserva. En un grupo de interfaces de
dispositivo, el dispositivo activo es aquel que se utiliza para enrutar paquetes, y el dispositivo
de reserva es el que toma el control cuando falla el dispositivo activo o cuando se cumplen
condiciones previamente establecidas. La función del router de suspensión del HSRP es
controlar el estado operativo del grupo de HSRP y asumir rápidamente la responsabilidad de
reenvío de paquetes si falla el router activo. El router con la prioridad HSRP más alta será el
router activo. El intento de prioridad es la capacidad de un router HSRP de activar el proceso
de la nueva elección. Con este intento de prioridad activado, un router disponible en línea con
una prioridad HSRP más alta asume el rol de router activo. Los estados HSRP incluyen inicial,
aprendizaje, escucha, habla y espera.
9.3.3
9.3.4
Los Centros de Datos pueden variar en tamaño desde sólo unos pocos servidores hasta
albergar cientos o incluso miles de servidores. Sea cual sea el tamaño, el Centro de Datos
debe construirse de una manera extremadamente organizada para simplificar la
administración y la solución de problemas de un entorno complejo. Otra característica del
diseño es hacer que el Centro de Datos sea más robusto mediante el uso de redundancia para
eliminar cualquier punto único de falla. Esto podría implicar la adición de dispositivos
adicionales para proporcionar redundancia física y/o el uso de tecnologías como los
Protocolos de Redundancia de Primer Salto (FHRP) y la agregación de enlaces para
proporcionar redundancia lógica.
En esta actividad de Packet Tracer - Physical Mode (PTPM), la mayoría de los dispositivos de
los Centros de Datos de Toronto y Seattle ya están implementados y configurados. Acaban de
ser contratados para revisar la implementación actual y ampliar la capacidad del Centro de
Datos 1 en Toronto.
Nota: Por favor tenga paciencia. Esta actividad de PTPM puede tardar varios minutos en
cargarse.
¿Usted entiende lo que hace a una LAN segura? ¿Sabe lo que los usuarios maliciosos pueden
hacer para romper la seguridad de la red? ¿Usted sabe lo que puede hacer para detenerlos?
Este módulo es su introducción al mundo de la seguridad en redes, no espere más, ¡haga clic
en Siguiente!
10.0.2
Objetivo del Módulo: Explique cómo las vulnerabilidades ponen en riesgo la seguridad de
LAN.
Leyenda de la tabla
Título del tema Objetivo del tema
Seguridad de punto terminal Explique cómo usar la seguridad de punto terminal para mitigar los ataques.
Explique cómo se utilizan AAA y 802.1x para autenticar los terminales y los punto
Control de acceso
terminal LAN y dispositivos.
Amenazas a la seguridad de
Identifique vulnerabilidades de la Capa 2.
Capa 2
Ataque de tablas de Explique cómo un ataque de tablas de direcciones MAC compromete la seguridad de
direcciones MAC LAN.
Ataques a la LAN Explique cómo los ataques a la LAN comprometen la seguridad de LAN.
10.1.2
Red Privada Virtual (VPN) proporciona una conexión segura para que usuarios remotos se
conecten a la red empresarial a través de una red pública. Los servicios VPN pueden ser
integrados en el firewall.
Firewall de Siguiente Generación (NGFW) - proporciona inspección de paquetes con estado,
visibilidad y control de aplicaciones, un Sistema de Prevención de Intrusos de Próxima
Generación (NGIPS), Protección Avanzada contra Malware (AMP) y filtrado de URL.
10.1.3
Protección de terminales
Los dispositivos LAN como los switches, los Controladores de LAN Inalámbricos (WLCs), y
otros puntos de acceso (AP) interconectan puntos terminales. La mayoría de estos
dispositivos son susceptibles a los ataques LAN que se cubren en este módulo.
La figura es una topología simple que representa todos los dispositivos de seguridad de red y
soluciones de dispositivos finales discutidas en este módulo.
10.1.4
El dispositivo Cisco ESA está diseñado para monitorear el Protocolo Simple de Transferencia
de Correo (SMTP). Cisco ESA se actualiza en tiempo real de Cisco Talos, quien detecta y
correlaciona las amenazas con un sistema de monitoreo que utiliza una base de datos
mundial. Cisco ESA extrae estos datos de inteligencia de amenazas cada tres o cinco
minutos. Estas son algunas funciones de Cisco ESA:
10.1.5
Cisco WSA proporciona un control completo sobre cómo los usuarios acceden a Internet.
Ciertas funciones y aplicaciones, como chat, mensajería, video y audio, pueden permitirse,
restringirse con límites de tiempo y ancho de banda, o bloquearse, de acuerdo con los
requisitos de la organización. La WSA puede realizar listas negras de URL, filtrado de URL,
escaneo de malware, categorización de URL, filtrado de aplicaciones web y cifrado y
descifrado del tráfico web.
Control de Acceso
10.2.1
Muchas formas de autenticación pueden ser llevadas a cabo en dispositivos de red, y cada
método ofrece diferentes niveles de seguridad. El método más simple de autenticación para
acceso remoto consiste en configurar un inicio de sesión, combinando nombre de usuario y
contraseña, a nivel de consola, lineas vty, y puertos auxiliares, como se muestra en el
siguiente ejemplo. Este método es el más simple de implementar, pero también el mas débil y
menos seguro. Este método no es fiable y la contraseña es enviada en texto plano. Cualquier
persona con la contraseña puede acceder al dispositivo
R1(config-line)# login
El siguiente ejemplo ilustra el SSH y métodos de acceso remoto a una base de datos local
Las cuenta de usuario deben ser configuradas localmente en cada dispositivo. En una
gran empresa con múltiples routers y switches que controlar, puede tomar mucho
tiempo implementar y cambiar bases de datos locales en cada dispositivo.
Además, la configuración de la base de datos local no proporciona ningún método de
autenticación de respaldo. Por ejemplo, ¿qué sucede si el administrador olvida el
nombre de usuario y la contraseña para ese dispositivo? Sin un método de respaldo
disponible para la autenticación, la restauración se convierte en la única opción.
Una mejor solución es hacer que todos los dispositivos se refieran a la misma base de datos
de nombres de usuario y contraseñas alojados en un servidor central.
10.2.2
Componentes AAA
AAA significa Autenticación, Autorización y Registro El concepto de AAA es similar al uso de
una tarjeta de crédito, como se muestra en la imagen La tarjeta de crédito identifica quién la
usa y cuánto puede gastar puede el usuario de esta, y mantiene un registro de cuántos
elementos o servicios adquirió el usuario.
"AAA" o "triple A", estos servicios proporcionan el marco principal para ajustar el control de
acceso en un dispositivo de red. AAA es un modo de controlar quién tiene permitido acceder a
una red (autenticar), controlar lo que las personas pueden hacer mientras se encuentran allí
(autorizar) y qué acciones realizan mientras acceden a la red (registrar).
10.2.3
Autenticación
Dos métodos de implementación de autenticación AAA son Local y basado en servidor.
Los AAA locales guardan los nombres de usuario y contraseñas localmente en un dispositivo
de red como el router de Cisco. Los usuarios se autentican contra la base de datos local,
como se muestra en la figura. AAA local es ideal para las redes pequeñas.
Con el método basado en servidor, el router accede a un servidor central de AAA, como se
muestra en la imagen El servidor AAA contiene los nombres de usuario y contraseñas de
todos los usuarios. El router AAA usa el protocolo de Sistema de Control de Acceso del
Controlador de Acceso Terminal Mejorado (TACACS+) o el protocolo de Servicio de
Autenticación Remota de Usuario de Discado (RADIUS) para comunicarse con el servidor
de AAA. Cuando hay múltiples enrutadores y switches, el método basado en el servidor es
más apropiado.
Autorización
La autorización es automática y no requiere que los usuarios tomen medidas adicionales
después de la autenticación. La autorización controla lo que el usuario puede hacer o no en la
red después de una autenticación satisfactoria:
La autorización utiliza un conjunto de atributos que describe el acceso del usuario a la red.
Estos atributos son usados por el servidor AAA para determinar privilegios y restricciones para
ese usuario, como se muestra en la figura.
10.2.5
Registro
El registro de AAA recopila y reporta datos de uso. La organización puede utilizar estos datos
para fines como auditorías o facturación. Los datos recopilados pueden incluir la hora de inicio
y finalización de la conexión, los comandos ejecutados, la cantidad de paquetes y el número
de bytes.
Un uso muy implementado debe registro consiste en combinarlo con la autenticación AAA. Los
servidores AAA mantienen un registro detallado de lo que el usuario autenticado hace
exactamente en el dispositivo, como se muestra en la imagen Esto incluye todos los
comandos EXEC y de configuración que emite el usuario. El registro contiene varios campos
de datos, incluidos el nombre de usuario, la fecha y hora, y el comando real que introdujo el
usuario. Esta información resulta útil para solucionar problemas de dispositivos. Ademas
proporciona evidencia contra individuos que realizan actividades maliciosas.
10.2.6
802.1x
El estándar IEEE 802.1X define un control de acceso y un protocolo de autenticación basados
en puertos. Este protocol evita que las estaciones de trabajo no autorizadas se conecten a una
LAN a través de puertos de switch de acceso público. El servidor de autenticación autentica
cada estación de trabajo, que está conectada a un puerto del switch, antes de habilitar
cualquier servicio ofrecido por el switch o la LAN.
Con la autenticación 802.1X basada en puertos, los dispositivos de la red cumplen roles
específicos, como se muestra en la figura:
Capa 2 Vulnerabilidades
Los dos temas anteriores discutieron seguridad en puntos terminales. En este tema, usted va
a seguir aprendiendo sobre formas de asegurar una LAN, enfocándose en las tramas de la
Capa de Enlace (Capa 2) y el switch.
Recuerde que el modelo de referencia OSI está dividido en siete capas, las cuales trabajan de
manera independiente una de otra. La figura muestra la función de cada capa y los principales
componentes que pueden ser explotados.
10.3.2
Categorías de Ataques a Switches
La seguridad es solamente tan sólida como el enlace más débil en el sistema, y la Capa 2 es
considerada el enlace más débil. Esto se debe a que las LAN estaban tradicionalmente bajo el
control administrativo de una sola organización. Nosotros confiábamos inherentemente en
todas las personas y dispositivos conectados a nuestra LAN. Hoy, con BYOD y ataques más
sofisticados, nuestras LAN se han vuelto más vulnerables a la penetración. Además de
proteger de la Capa 3 a la Capa 7, los profesionales de seguridad de red también deben
mitigar los ataques a la infraestructura LAN de la Capa 2.
Los ataques contra la infraestructura LAN de capa 2 se describen en la tabla y se analizan con
más detalle más adelante en este módulo.
Layer 2 Attacks
Leyenda de la tabla
Categoría Ejemplos
Ataques a la tabla
Incluye ataques de saturación de direcciones MAC.
MAC
Incluye ataques VLAN Hopping y VLAN Double-Tagging Esto tambien incluye ataques entre
Ataques de VLAN
dispositivos en una misma VLAN.
Ataques de
Suplantación de Incluye los ataques de suplantación de direcciones MAC e IP.
Direcciones
Seguridad de Puertos Previene muchos tipos de ataques incluyendo ataques MAC address floodin
Inspección ARP dinámica (DAI) Previene la suplantación de ARP y los ataques de envenenamiento de ARP
Protección de IP de origen
Impide los ataques de suplantación de direcciones MAC e IP.
(IPSG)
Recuerde que para tomar decisiones de reenvío, un Switch LAN de Capa 2 crea una tabla
basada en las direcciones MAC de origen que se encuentran en las tramas recibidas. Como
se muestra en la figura, esto es llamado un tabla de direcciones MAC. Tabla de direcciones
MAC se guarda en la memoria y son usadas para reenviar tramas de forma eficiente.
S1# show mac address-table dynamic
10.4.2
Cuando esto ocurre, el switch trata la trama como un unicast desconocido y comienza a
inundar todo el tráfico entrante por todos los puertos en la misma VLAN sin hacer referencia a
la tabla MAC. Esta condición ahora permite que un atacante capture todas las tramas
enviadas desde un host a otro en la LAN local o VLAN local.
Nota: El tráfico se satura solo dentro de la LAN o VLAN local. El atacante solo puede capturar
el tráfico dentro de la LAN o VLAN local a la que está conectado el atacante.
La figura muestra como el atacante puede fácilmente usar la herramienta de ataque de red
llamada macof para desbordar una tabla de direcciones MAC.
10.4.3
# macof -i eth1
Otra razón por la que estas herramientas de ataque son peligrosas, es porque no solo afectan
el switch local sino que también afectan switches conectados de Capa 2. Cuando la tabla de
direcciones MAC de un switch está llena, comienza a desbordar todos los puertos, incluidos
los conectados a otros switches de Capa 2.
Para mitigar los ataques de saturación de la tabla de direcciones MAC, los administradores de
red deben implementar la seguridad del puerto. Seguridad de puertos (Port security) permitirá
que el puerto aprenda sólo un número específico de direcciones MAC de origen. Seguridad de
puertos (Port security) será discutido más adelante en otro módulo.
Ataques a la LAN
10.5.1
Haga clic en reproducir en la figura para ver un video sobre ataques de denegación de
servicio.
10.5.2
Paso 1
El atacante envía una trama 802.1Q con doble etiqueta (double tag) al switch. El encabezado
externo tiene la etiqueta VLAN del atacante, que es la misma que la VLAN nativa del puerto de
enlace troncal. Para fines de este ejemplo, supongamos que es la VLAN 10. La etiqueta
interna es la VLAN víctima; en este caso, la VLAN 20.
Paso 2
El frame llega al primer switch, que mira la primera etiqueta 802.1Q de 4 bytes. El switch ve
que la trama esta destinada para la VLAN 10, la cual es una VLAN nativa. El switch reenvía el
paquete a todos los puertos de VLAN 10, después de quitar la etiqueta de VLAN 10. La trama
no es re-etiquetada porque es parte de la VLAN nativa. En este punto, la etiqueta de VLAN 20
todavía está intacta y no ha sido inspeccionada por el primer switch.
Paso 3
La trama llega al segundo switch, que no tiene conocimiento de que debía ser para la VLAN
10. El switch emisor no etiqueta el tráfico de la VLAN nativa, como se especifica en la
especificación 802.1Q. El segundo switch observa solo la etiqueta interna 802.1Q, que el
atacante insertó, y ve que la trama está destinada a la VLAN 20 (la VLAN víctima). El segundo
switch envía el paquete al puerto víctima o lo satura, dependiendo de si existe una entrada en
la tabla de MAC para el host víctima
10.5.4
Mensajes DHCP
Los servidores DHCP, de manera dinámica, proporcionan información de configuración de IP
a los clientes, como la dirección IP, la máscara de subred, el gateway predeterminado, los
servidores DNS y más. Una revisión de la secuencia típica de un intercambio de mensajes
DHCP entre el cliente y el servidor es mostrada en la figura.
10.5.5
Ataques de DHCP
Los dos tipos de ataques DHCP son agotamiento y suplantación de identidad. Ambos ataques
pueden ser mitigados implementando DHCP snooping.
Gobbler tiene la capacidad de ver todo el alcance de las direcciones IP alquilables e intenta
alquilarlas todas. Específicamente, este crea un mensaje DHCP DISCOVER con una dirección
MAC falsa.
Paso 1
Supongamos que un atacante conecta con éxito un servidor DHCP no autorizado a un puerto
de switch en la misma subred que los clientes. El objetivo del servidor no autorizado es
proporcionar a los clientes información de configuración de IP falsa.
Paso 2
Paso 4
El cliente acepta la oferta del servidor DHCP no autorizado
La oferta maliciosa fue recibida primero, y por lo tanto, el cliente hace envía un DHCP
REQUEST, tipo broadcast, aceptando los parámetros IP definidos por el atacante. El servidor
legítimo y el dudoso recibirán la solicitud.
Paso 5
Solamente el servidor no autorizado emite una respuesta individual al cliente para acusar
recibo de su solicitud. El servidor legítimo dejará de comunicarse con el cliente.
10.5.6
10.5.7
Ataques ARP
Recuerde que los hosts transmiten una solicitud de ARP a otros hosts del segmento para
determinar la dirección MAC de un host con una dirección IP específica. Esto es típicamente
hecho para descubrir la dirección MAC de una puerta de enlace predeterminada. Todos los
hosts de la subred reciben y procesan la solicitud de ARP. El host con la dirección IP que
coincide con la de la solicitud de ARP envía una respuesta de ARP.
Según ARP RFC, cualquier cliente puede enviar una respuesta de ARP no solicitada llamada
“ARP gratuito” Cuando un host envía un ARP gratuito, otros hosts en la subred almacenan en
sus tablas de ARP la dirección MAC y la dirección IP que contiene dicho ARP.
El problema es que un atacante puede enviar un mensaje ARP gratuito al switch y el switch
podría actualizar su tabla MAC de acuerdo a esto. Por lo tanto, cualquier host puede reclamar
ser el dueño de cualquier combinación de direccion IP Y MAC que ellos elijan. En un ataque
típico el atacante puede enviar respuestas ARP, no solicitadas, a otros hosts en la subred con
la dirección MAC del atacante y la dirección IP de la puerta de enlace predeterminada.
Hay muchas herramientas disponibles en Internet para crear ataques de MITM de ARP, como
dsniff, Cain & Abel, ettercap y Yersinia. IPv6 utiliza el protocolo de descubrimiento de vecinos
ICMPv6 para la resolución de direcciones de Capa 2. IPv6 utiliza el protocolo de
descubrimiento de vecinos ICMPv6 para la resolución de direcciones de capa 2.
Paso 1
Cada dispositivo tiene una tabla MAC actualizada con la dirección IP y MAC correctas de cada
dispositivo en la red.
Paso 2
1. En el primero ARP informa todos los dispositivos en la LAN que la direccion MAC del
atacante (CC:CC:CC) está mapeado a la direccion IP de la PC1, 10.0.0.11.
2. EL segundo le informa a todos los dispositivos en la LAN que la direccion MAC del
atacante (CC:CC:CC) está mapeado a la direccion IP de la PC1, 10.0.0.11.
Paso 3
R1 y PC1 remueven la entrada correcta de la dirección MAC de cada uno y la reemplaza con
la dirección MAC de PC2. El atacante ha logrado envenenar la caché ARP de todos los
dispositivos en la subred. El envenenamiento ARP lleva a varios ataques MITM, posando una
seria amenaza de seguridad en la red.
10.5.8
Ataque de Suplantación de Dirección
Las direcciones IP y las direcciones MAC pueden ser suplantadas por una cantidad de
razones. El ataque de suplantación de identidad se da cuando un atacante secuestra una
dirección IP valida de otro dispositivo en la subred o usa una dirección IP al azar. La
suplantación de direcciones IP es difícil de mitigar, especialmente cuando se usa dentro de
una subred a la que pertenece la IP.
Los atacantes cambian la dirección MAC de su host para que coincida con la dirección MAC
conocida de un otro host objetivo. Luego, el host atacante envía una trama a través de la red
con la dirección MAC recién configurada. Cuando el switch recibe la trama, examina la
dirección MAC de origen. El switch sobrescribe la entrada actual en la tabla MAC y asigna la
dirección MAC al nuevo puerto, como se ve en la figura. Luego, sin darse cuenta, reenvía las
tramas host atacante.
Cuando el host de destino envía tráfico, el switch corregirá el error, re-alineando la dirección
MAC al puerto original. Para evitar que el switch corrija la asignación del puerto a su estado
correcto, el atacante puede crear un programa o script que constantemente enviará tramas al
switch, para que el switch mantenga la información incorrecta o falsificada. No hay un
mecanismo de seguridad en la Capa 2 que permita a un switch verificar la fuente de las
direcciones MAC, lo que lo hace tan vulnerable a la suplantación de identidad.
10.5.9
Ataque de STP
Los atacantes de red pueden manipular el Protocolo de Árbol de Expansión (STP) para
realizar un ataque falsificando el root bridge y cambiando la topología de una red. Los
atacantes hacen que su host parezca ser un root bridge; por lo tanto capturan todo el trafico
para el dominio del Switch inmediato.
Para realizar un ataque de manipulación de STP, el host atacante transmite Unidades de
Datos de Protocolo de Puente STP (BPDU), que contienen cambios de configuración y
topología que forzarán los re-cálculos de Árbol de Expansión, como se muestra en la figura.
Las BPDU enviadas por el host atacante anuncian una prioridad de puente (bridge) inferior, en
un intento de ser elegidas como root bridge.
Si tiene éxito, el host atacante se convierte en el puente raíz, como se muestra en la figura, y
ahora puede capturar una variedad de frames, que de otro modo no serían accesible
Este ataque STP es mitigado implementando BPDU Guard en todos los puertos de acceso.
BPDU Guard se discute con detalle más adelante en el curso.
10.5.10
Reconocimiento CDP
Cisco Discovery Protocol (CDP) es un protocolo de detección de enlaces de Capa 2
patentado. Está habilitado en todos los dispositivos de Cisco de manera predeterminada. CDP
puede detectar automáticamente otros dispositivos con CDP habilitado y ayudar a configurar
automáticamente la conexión. Los administradores de red también usan CDP para configurar
dispositivos de red y solucionar problemas.
La información de CDP se envía por los puertos con CDP habilitado en transmisiones
periódicas sin encriptar. La información de CDP incluye la dirección IP del dispositivo, la
versión de software de IOS, la plataforma, las funcionalidades y la VLAN nativa. El dispositivo
que recibe el mensaje de CDP actualiza la base de datos de CDP.
La información de CDP es muy útil para la solución de problemas de red. Por ejemplo, CDP
puede usarse para verificar la conectividad de Capa 1 y 2. Si un administrador no puede hacer
ping a una interfaz con conexión directa, pero aún recibe información de CDP, es probable
que el problema esté en la configuración de Capa 3.
Sin embargo, un atacante puede usar la información proporcionada por CDP para detectar
vulnerabilidades en la infraestructura de red.
En la figura, una captura de Wireshark de ejemplo, muestra el contenido de un paquete de
CDP. El atacante puede identificar la versión del software Cisco IOS del dispositivo. Esto
permite que el atacante determine si hay vulnerabilidades de seguridad específicas a esa
versión determinada de IOS.
Para mitigar la explotación de CDP, se debe limitar el uso de CDP en los dispositivos o
puertos. Por ejemplo, se debe deshabilitar CDP en los puertos de extremo que se conectan a
dispositivos no confiables.
AAA es un modo de controlar quién tiene permitido acceder a una red (autenticar), controlar lo
que las personas pueden hacer mientras se encuentran allí (autorizar) y qué acciones realizan
mientras acceden a la red (registrar). La autorización utiliza un conjunto de atributos que
describe el acceso del usuario a la red. Un uso muy implementado del Registro es en
combinación con la Autenticación AAA. Los servidores AAA mantienen un registro detallado
de lo que el usuario autenticado hace exactamente en el dispositivo. El estándar IEEE 802.1X
define un control de acceso y un protocolo de autenticación basado en puertos, que evita que
las estaciones de trabajo no autorizadas se conecten a una LAN a través de los puertos de
switch acceso público.
Los ataques por saturación de MAC, saturan la tabla de direcciones MAC del switch, con
información falsa, hasta que este llena. Cuando esto ocurre, el switch trata la trama como un
unicast desconocido, y comienza a reenviar todo el tráfico entrante por todos los puertos en la
misma VLAN, sin hacer referencia a la tabla MAC. El atacante puede ahora capturar todas las
tramas enviadas desde un host para otro host en una LAN o VLAN local. El atacante
usa macof para rapidamente generar, de manera aleatoria, muchas direcciones MAC y IP de
origen y destino. Para mitigar los ataques de saturación de la tabla de direcciones MAC, los
administradores de red deben implementar la seguridad del puerto.
El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar primero
un router. El atacante configura a un host para actuar como un Switch y tomar ventaja de la
característica de puerto troncal habitabilidad por defecto en la mayoría de puertos del switch
Un ataque VLAN Double-Tagging es unidireccional y funciona únicamente cuando el atacante
está conectado a un puerto que reside en la misma VLAN que la VLAN nativa del puerto
troncal. El Double-Tagging permite al actor de la amenaza enviar datos a los hosts o
servidores en una VLAN que de otro modo se bloquearía por algún tipo de configuración de
control de acceso El trafico de retorno también sera permitido, dejando que el atacante se
comunique con otros dispositivos en la VLAN normalmente bloqueada.
Los ataques de VLAN hopping and VLAN double-tagging se pueden evitar mediante la
implementación de las siguientes pautas de seguridad troncal:
Ataque ARP: un atacante puede enviar un mensaje ARP gratuito al switch y el switch podría
actualizar su tabla MAC de acuerdo a esto. Ahora el atacante envía respuestas ARP no
solicitadas a otros hosts en la subred con la dirección MAC del actor amenazante y la
dirección IP del default gateway. La suplantación de identidad ARP y el envenenamiento ARP
son mitigados implementando DAI.
Ataque STP: el amenazante manipula STP para conducir un ataque suplantando root bridge y
cambiando la topologia de la red. Los atacantes hacen que su host aparezca como un root
bridge; por lo tanto capturan todo el trafico para el dominio del Switch inmediato. Este ataque
STP es mitigado implementando BPDU guard en todos los puertos de acceso.
La información de CDP se envía por los puertos con CDP habilitado en transmisiones
periódicas sin encriptar. La información de CDP incluye la dirección IP del dispositivo, la
versión de software de IOS, la plataforma, las funcionalidades y la VLAN nativa. El dispositivo
que recibe el mensaje CDP actualiza su base de datos CDP, la información suministrada por
el CDP puede también ser usada por un atacante para descubrir vulnerabilidades en la
infraestructura de la red. Para mitigar la explotación de CDP, se debe limitar el uso de CDP en
los dispositivos o puertos.
Introducción
11.0.1
¿Por qué debería tomar este módulo?
¡Bienvenido a Configuración de Seguridad de Switch!
11.0.2
Module Objective: Configure la seguridad del switch para mitigar los ataques de LAN.
Implementación de Seguridad Implemente la seguridad de puertos para mitigar los ataques de tablas de direcciones
de Puertos MAC.
Mitigación de ataques de
Explique cómo configurar DTP y la VLAN nativa para mitigar los ataques de VLAN.
VLAN
Mitigación de ataques de
Explique cómo configurar el snooping de DHCP para mitigar los ataques de DHCP.
DHCP
Mitigación de ataques de ARP Explique cómo configurar ARP para mitigar los ataques de ARP.
Mitigación de ataques de STP Explique como configurar Portfast y BPDU Guard para mitigar los ataques de STP.
mplementación de Seguridad de
Puertos
11.1.1
Se deben proteger todos los puertos del switch (interfaces) antes de implementar el switch
para su uso en producción. Como un puerto es protegido depende de su función.
Un método simple que muchos administradores usan para contribuir a la seguridad de la red
ante accesos no autorizados es inhabilitar todos los puertos del switch que no se utilizan. Por
ejemplo, si un switch Catalyst 2960 tiene 24 puertos y hay tres conexiones Fast Ethernet en
uso, es aconsejable inhabilitar los 21 puertos que no se utilizan. Navegue a cada puerto no
utilizado y emita el comando shutdown de Cisco IOS. Si un puerto debe reactivarse más
tarde, se puede habilitar con el comando no shutdown.
Por ejemplo, para apagar los puertos for Fa0/8 hasta Fa0/24 en S1, usted debe ingresar el
siguiente comando.
S1(config-if-range)# shutdown
11.1.2
11.1.3
Note: La seguridad del puerto troncal está más allá del alcance de este curso.
Use el comando show port-security interface para mostrar la configuración de seguridad del
puerto actual para FastEthernet 0/1, como se muestra en el ejemplo. Note que port security
esta habilitado, el modo de violación esta apagado, y que el numero máximo de direcciones
MAC permitidas es 1. Si un dispositivo esta conectado al puerto, el switch automáticamente
agregara la direccion MAC de este dispositivo como una direccion MAC segura. En este
ejemplo, no existe ningún dispositivo conectado al puerto.
El switch se puede configurar para aprender direcciones MAC en un puerto seguro de tres
maneras:
1. Configurado Manualmente
The output of the show port-security interface command verifies that port security is
enabled, there is a host connected to the port (i.e., Secure-up), a total of 2 MAC addresses will
be allowed, and S1 has learned one MAC address statically and one MAC address
dynamically (i.e., sticky).
The output of the show port-security address command lists the two learned MAC
addresses.
11.1.5
Utilice el vencimiento para remover las direcciones MAC seguras en un puerto seguro sin
necesidad de eliminar manualmente las direcciones MAC existentes. Los tiempos limite de
vencimiento pueden ser incrementados para asegurarse que las direcciones MAC pasadas se
queden, aun cuando se agregan nuevas direcciones MAC. El vencimiento de direcciones
seguras configuradas estáticamente puede ser habilitado o des-habilitado por puerto.
Parámetro Descripción
Note: Las direcciones MAC se están mostrando con 24 bits para efectos de hacerlo sencillo.
El puerto bota los paquetes con direcciones MAC de origen desconocidas hasta que
restrict
usted remueva un numero suficiente de direcciones MAC seguras para llegar debajo
del maximo valor o incremente el máximo valor Este modo causa que el contador de
violación de seguridad incremente y genere un mensaje syslog.
del router Descripción
Protect Sí No No No
Restrict Sí Sí Sí No
Apagado Sí Sí Sí Sí
11.1.7
In the example, the show interface command identifies the port status as err-disabled. La
salida del show port-security interface comando ahora muestra el estado del puerto
como secure-shutdown. El contador de violación incrementa en uno.
Para volver a habilitar el puerto, primero use el shutdown comando, luego use el no
shutdown comando para que el puerto sea operativo, como se muestra en el ejemplo.
11.1.8
Use el show port-security interface comando para ver los detalles de una interfaz específica,
como se muestra anteriormente y en este ejemplo.
Use el show port-security interface comando para ver los detalles de una interfaz específica,
como se muestra anteriormente y en este ejemplo.
Para verificar que las direcciones MAC están "pegadas" a la configuración, use el show
run comando como se muestra en el ejemplo de FastEthernet 0/19.
Para mostrar todas las direcciones MAC seguras que se configuran manualmente o se
aprenden dinámicamente en todas las interfaces de conmutador, use el comando show port-
security address como se muestra en el ejemplo.
La suplantación de mensajes DTP del host atacante hace que el switch entre en modo
de enlace troncal. Desde aquí, el atacante puede enviar tráfico etiquetado con la VLAN
de destino, y el conmutador luego entrega los paquetes al destino.
Introduciendo un switch dudoso y habilitando enlaces troncales. El atacante puede
acceder todas las VLANs del switch victima desde el switch dudoso.
Otro tipo de ataque de salto a VLAN es el ataque doble etiqueta o doble encapsulado.
Este ataque toma ventaja de la forma en la que opera el hardware en la mayoría de los
switches.
11.2.2
Paso 1 : Deshabilite las negociaciones de DTP (enlace automático) en puertos que no sean
enlaces mediante el switchport mode access comando de configuración de la interfaz.
Paso 4 : Deshabilite las negociaciones de DTP (enlace automático) en los puertos de enlace
mediante el comando switchport nonegotiate.
Paso 5 : Establezca la VLAN nativa en otra VLAN que no sea la VLAN 1 mediante el
comando switchport trunk native vlan vlan \ _number.
Los puertos FastEthernet 0/1 hasta fa0/16 son puertos de acceso activos
Los puertos FastEthernet 0/17 hasta 0/20 no estan en uso
FastEthernet ports 0/21 through 0/24 son puertos troncales.
Los puertos Fastethernet 0/1 al 0/16 son puertos de acceso y por lo tanto troncal se
deshabilita poniéndolos explicitamente como puertos de acceso.
Los puertos FastEthernet 0/17 al 0/20 son puertos que no están en uso y están
deshabilitados y asignados a una VLAN que no se usa.
Los puertos FastEthernet 0/21 al 0/24 son enlaces troncales y se configuran
manualmente como troncales con DTP deshabilitado. La VLAN nativa también se
cambia de la VLAN predeterminada 1 a la VLAN 999 que no se usa.
Sin embargo mitigar ataques DHCP de suplantación de identidad requiere mas protección.
Gobbler podría configurarse para usar la dirección MAC de la interfaz real como la dirección
Ethernet de origen, pero especifique una dirección Ethernet diferente en la carga útil de
DHCP. Esto haría que la seguridad del puerto sea ineficaz porque la dirección MAC de origen
sería legítima.
Los ataques de suplantación de DHCP se pueden mitigar mediante el uso de detección DHCP
en puertos confiables.
11.3.2
Indagación de DHCP
La inspección de DHCP no depende de las direcciones MAC de origen. En cambio, la
inspección de DHCP determina si los mensajes de DHCP vienen de una fuente configurada
administrativamente como confiable o no confiable. Luego filtra los mensajes de DHCP y limita
la velocidad del trafico DHCP viniendo desde fuentes no confiables.
Dispositivos que estén bajo su control administrativo como Switches, enrutadores y servidores,
son fuentes confiables. Cualquier dispositivo más allá del cortafuegos fuera de su red son
fuentes no confiables. Además, todos los puertos de acceso son tratados generalmente como
fuentes no fiables. La figura muestra un ejemplo de puertos fiables y no fiables.
Note que el servidor DHCP dudoso podría estar en un puerto no confiable después de habilitar
DHCP snooping. Todas las interfaces son tratadas por defecto como no confiables.
Típicamente las interfaces confiables son enlaces troncales y puertos conectados
directamente a un servidor DHCP legitimo. Estas interfasces deben ser configuradas
explicitamente como confiables.
Se crea una tabla DHCP que incluye la dirección MAC de origen de un dispositivo en un
puerto no confiable y la dirección IP asignada por el servidor DHCP a ese dispositivo. La
dirección MAC y la dirección IP están unidas. Por lo tanto, esta tabla se denomina tabla de
enlace DHCP snooping.
11.3.3
Paso 3: Limite la cantidad de mensajes de descubrimiento de DHCP que puede recibir por
segundo en puertos no confiables mediante el ip dhcp snooping limit rate comando de
configuración de la interfaz.
Paso 4. Habilite la inspección DHCP por VLAN, o por un rango de VLAN, utilizando el
comando ip dhcp snooping vlan de la configuración global.
11.3.4
El siguiente es un ejemplo de como configurar DHCP snooping en S1. Note como DHCP
snooping es activado primero. La interfaz ascendente al servidor DHCP es explícitamente
confiable. Luego, el rango de puertos FastEthernet desde F0/5 a F0/24 son no confiables de
manera predeterminada, de manera que se establece un limite de transferencia de seis
paquetes por segundo. Finalmente, la inspección DHCP está habilitada en VLANS 5, 10, 50,
51 y 52.
Use el comando show ip dhcp snooping EXEC privilegiado para verificar la inspección
DHCP show ip dhcp snooping binding y para ver los clientes que han recibido información
DHCP, como se muestra en el ejemplo.
Nota: La inspección dinámica de ARP (DAI) también requiere de la inspección DHCP, que es
el siguiente tema
La inspección dinámica (DAI) requiere de DHCP snooping y ayuda a prevenir ataques ARP
así:
11.4.2
11.4.3
Como se muestra en el ejemplo, la inspección DHCP está habilitada porque DAI requiere que
funcione la tabla de enlace de inspección DHCP. Siguiente,la detección de DHCP y la
inspección de ARP están habilitados para la computadora en la VLAN 10. El puerto de enlace
ascendente al router es confiable y, por lo tanto, está configurado como confiable para la
inspección DHP y ARP.
DAI se puede configurar para revisar si hay direcciones MAC e IP de destino o de origen:
En la figura, los puertos de acceso para S1 deberían ser configurados con PortFast y BPDU
Guard.
11.5.2
Configure PortFast
PortFast omite los estados de escucha y aprendizaje de STP para minimizar el tiempo que los
puertos de acceso deben esperar a que STP converja. Si habilita PortFast en un puerto que se
conecta a otro switch, corre el riesgo de crear un bucle de árbol de expansión.
Para verificar si PortFast está habilitado globalmente, puede usar el comando show running-
config | begin span o el comando show spanning-tree summary. Para verificar si PortFast
tiene habilitada una interfaz, use el comando show running-config interface type / number,
como se muestra en el siguiente ejemplo. El comando show spanning-tree interface type /
number detail también se puede usar para la verificación.
11.5.3
Configurar la protección BPDU
Aunque PortFast esta2 habilitado, la interfaz seguirá escuchando por BPDUs. Los BPDUs
inesperados pueden ser accidentales o parte de un intento no autorizado para agregar un
switch a una red.
Si se recibe una BPDU en un puerto de acceso habilitado para BPDU Guard, el puerto se
pone en estado de error deshabilitado. Esto significa que el puerto se cierra y debe volver a
habilitarse manualmente o recuperarse automáticamente mediante el comando
global errdisable recovery cause psecure_violation.
Para mostrar información sobre el estado del árbol de expansión, use el comando show
spanning-tree summary En este ejemplo, PortFast predeterminado y modo de protección de
BPDU están activados como estado predeterminado para los puertos configurados como de
modo de acceso.
Note: Siempre active BPDU Guard en todos los puertos habilitados para PortFast.
Introducción
12.0.1
Existen tantas maneras de conectarse de forma inalámbrica. Como todo lo demás que tiene
que ver con las redes, este tipo de conexiones funcionan mejorar en situaciones particulares.
Requieren de dispositivos específicos y también son propensos a ciertos tipos de ataques. Y
por supuesto, existen soluciones para mitigar este tipo de ataques. ¿Desea más información?
El modulo de Conceptos de WLAN le brinda a usted el conocimiento fundamental que usted
necesita para entender qué son las LAN Inalámbricas, lo que pueden hacer y como
protegerlas.
12.0.2
Objetivo del módulo: Explique cómo las WLAN habilitan la conectividad de red.
Introducción a la tecnología
Describa la tecnología y los estándares WLAN.
inalámbrica
Funcionamiento de CAPWAP Explique cómo un WLC utiliza CAPWAP para administrar múltiples AP.
Introducción a la tecnología
inalámbrica
12.1.1
En las empresas que cuentan con una infraestructura inalámbrica, puede haber un ahorro de
costos cada vez que se cambia el equipo, o al reubicar a un empleado dentro de un edificio,
reorganizar el equipo o un laboratorio, o mudarse a ubicaciones temporales o sitios de
proyectos. Una infraestructura inalámbrica puede adaptarse a los rápidos cambios de
necesidades y tecnologías.
12.1.2
Redes inalámbricas de área personal (WPAN) - Utiliza transmisores de baja potencia para
una red de corto alcance, generalmente de 20 a 30 pies (6 a 9 metros). Los dispositivos
basados en Bluetooth y ZigBee se usan comúnmente en WPANs. Los WPAN se basan en el
estándar 802.15 y una frecuencia de radio de 2.4 GHz.
Redes LAN Inalámbricas (WLAN) - Utiliza transmisores para cubrir una red de tamaño
mediano, generalmente de hasta 300 pies. Las redes WLANs son adecuadas para uso en
casas, oficinas, e inclusive campus. Las WLAN se basan en el estándar 802.11 y una
frecuencia de radio de 2,4 GHz o 5 GHz.
Redes MAN inalámbricos(WMAN) - Utiliza transmisores para proporcionar servicio
inalámbrico en un área geográfica más grande. Las redes WMANs son adecuadas para
proveer acceso inalámbrico a ciudades metropolitanas o distritos específicos. Las WMANs
utilizan frecuencias específicas con licencia.
Tecnologías inalámbricas
Para enviar y recibir datos, la tecnología inalámbrica usa el espectro de radio sin licencia.
Cualquier persona que tenga un router inalámbrico y tecnología inalámbrica en el dispositivo
que utilice puede acceder al espectro sin licencia.
Bluetooth de baja energía (BLE) - admite topología de malla para dispositivos de red
a gran escala.
Velocidad básica Bluetooth / Velocidad mejorada (BR / EDR): - admite topologías
punto a punto y está optimizada para la transmisión de audio.
12.1.4
A través de los años, se han desarrollado varias implementaciones de los estándares IEEE
802.11, como se muestra en la figura. La tabla destaca estos estándares.
Estándar
IEEE Radiofrecuencia Descripción
WLAN
las velocidades de datos varían de 150 Mbps a 600 Mbps con un rango de
distancia de hasta 70 m (230 pies)
Los AP y los clientes inalámbricos requieren múltiples antenas usando
802.11n 2.4 GHz 5 GHz MIMO Tecnología
Es compatible con dispositivos 802.11a/b/g con datos limitados
velocidades
proporciona velocidades de datos que van desde 450 Mbps a 1.3 Gbps
(1300 Mbps) usando tecnología MIMO
802.11ac 5 GHz Se pueden soportar hasta ocho antenas
Es compatible con dispositivos 802.11a/n con datos limitados
Estándar
IEEE Radiofrecuencia Descripción
WLAN
12.1.5
Radiofrecuencia
Todos los dispositivos inalámbricos funcionan en el rango del espectro electromagnético. Las
redes WLAN operan en la banda de frecuencia de 2,4 GHz y la banda de 5 GHz. Los
dispositivos de LAN inalámbricos tienen transmisores y receptores sintonizados a frecuencias
específicas de ondas de radio para comunicarse. Específicamente, las siguientes bandas de
frecuencia se asignan a LAN inalámbricas 802.11:
El espectro electromagnético
12.1.6
Organizaciones de estándares
inalámbricos
Los estándares aseguran la interoperabilidad entre dispositivos fabricados por diferentes
fabricantes. A nivel internacional, las tres organizaciones que influyen en los estándares
WLAN son ITU-R, el IEEE, y la Wi-Fi Alliance.
El IEEE especifica cómo se modula una frecuencia de radio para transportar información.
Mantiene los estándares para redes de área local y metropolitana (MAN) con la familia de
estándares IEEE 802 LAN / MAN. Los estándares dominantes en la familia IEEE 802 son
802.3 Ethernet y 802.11 WLAN.
La Wi-Fi Alliance es una asociación comercial global, sin fines de lucro, dedicada a promover
el crecimiento y la aceptación de las WLAN. Es una asociación de proveedores cuyo objetivo
es mejorar la interoperabilidad de los productos que se basan en el estándar 802.1
Componentes de la WLAN
12.2.1
Video – Componentes WLAN
En el tema anterior usted aprendió sobre los beneficios de la tecnología inalámbrica, tipos de
redes inalámbricas, estándar 802.11 y frecuencias de radio. Aquí aprenderemos sobre los
componentes WLAN.
12.2.2
NIC inalámbrica
Las implementaciones inalámbricas requieren un mínimo de dos dispositivos que tengan un
transmisor de radio y un receptor de radio sintonizados a las mismas frecuencias de radio:
Nota: Muchos dispositivos inalámbricos con los que está familiarizado no tienen antenas
visibles. Están integrados dentro de teléfonos inteligentes, computadoras portátiles y routers
domésticos inalámbricos.
La mayoría de los routers inalámbricos también ofrecen funciones avanzadas, como acceso
de alta velocidad, soporte para transmisión de video, direccionamiento IPv6, calidad de
servicio (QoS), utilidades de configuración y puertos USB para conectar impresoras o
unidades portátiles.
Además, los usuarios domésticos que desean ampliar sus servicios de red pueden
implementar extensores de alcance Wi-Fi. Un dispositivo puede conectarse de forma
inalámbrica al extensor, lo que aumenta sus comunicaciones para que se repitan al router
inalámbrico.
12.2.4
Si bien los extensores de alcance son fáciles de configurar, la mejor solución sería instalar otro
punto de acceso inalámbrico para proporcionar acceso inalámbrico dedicado a los dispositivos
del usuario. Los clientes inalámbricos usan su NIC inalámbrica para descubrir puntos de
acceso cercanos compartiendo el SSID Los clientes luego intentan asociarse y autenticarse
con un AP. Después de ser autenticados los usuarios inalámbricos tienen acceso a los
recursos de la red. En la figura, se ve el software Cisco Meraki.
12.2.5
Categorías AP
Los AP se pueden clasificar como AP autónomos o AP basados en controladores.
AP autónomo
Antenas inalámbricas
La mayoría de los AP de clase empresarial requieren antenas externas para que sean
unidades completamente funcionales.
Las antenas omnidireccionales como la que se muestra en la figura brindan una cobertura de
360 grados y son ideales en casas, áreas de oficinas abiertas, salas de conferencias y áreas
exteriores.
Antenas direccionales enfocan la señal de radio en una dirección específica. Esto mejora la
señal hacia y desde el AP en la dirección en que apunta la antena. Esto proporciona una
fuerza de señal más fuerte en una dirección y una fuerza de señal reducida en todas las
demás direcciones. Ejemplos de antenas direccionales Wi-Fi incluyen antenas Yagi y antenas
parabólicas.
Entrada múltiple Salida múltiple (MIMO) utiliza múltiples antenas para aumentar el ancho de
banda disponible para las redes inalámbricas IEEE 802.11n/ac/ax. Se pueden utilizar hasta
ocho antenas de transmisión y recepción para aumentar el rendimiento.
Funcionamiento de WLAN
12.3.1
12.3.2
Modo ad hoc- Es cuando dos dispositivos se conectan de forma inalámbrica de igual a igual
(P2P) sin utilizar AP o routers inalámbricos. Los ejemplos incluyen clientes inalámbricos que
se conectan directamente entre sí mediante Bluetooth o Wi-Fi Direct. El estándar IEEE 802.11
se refiere a una red ad hoc como un conjunto de servicios básicos independientes (IBSS).
Modo Infraestructura- Esto ocurre cuando los clientes inalámbricos se interconectan a través
de un router inalámbrico o AP, como en las WLAN. Los AP se conectan a la infraestructura de
red utilizando el sistema de distribución por cable, como Ethernet.
Anclaje a red - La variación de la topología ad hoc es cuando un teléfono inteligente o tableta
con acceso a datos móviles está habilitado para crear un punto de acceso personal. En
ocasiones se refiere a esta característica como “anclaje a red (tethering.)”. Un punto de
acceso suele ser una solución rápida temporal que permite que un teléfono inteligente brinde
los servicios inalámbricos de un router Wi-Fi. Otros dispositivos pueden asociarse y
autenticarse con el teléfono inteligente para usar la conexión a Internet.
12.3.3
BSS y ESS
El modo de infraestructura define dos bloques de construcción de topología: un conjunto de
servicios básicos (BSS) y un conjunto de servicios extendidos (ESS).
Utiliza un AP único para interconectar todos los clientes inalámbricos asociados. Dos BSS se
muestran en la figura. Los círculos representan el área de cobertura del BSS, que se
denomina Área de Servicio Básico (BSA). Si un cliente inalámbrico se muda de su BSA, ya no
puede comunicarse directamente con otros clientes inalámbricos dentro de la BSA.
La dirección MAC de capa 2 del AP se utiliza para identificar de forma exclusiva cada BSS,
que se denomina Identificador de conjunto de servicios básicos (BSSID). Por lo tanto, el
BSSID es el nombre formal del BSS y siempre está asociado con un solo AP.
12.3.4
12.3.5
CSMA/CA
Las WLAN son configuraciones de medios compartidos semidúplex. Half-duplex significa que
solo un cliente puede transmitir o recibir en dado momento. Medios compartidos significa que
todos los clientes pueden transmitir y recibir en el mismo canal de radio. S Esto crea un
problema porque un cliente inalámbrico no puede escuchar mientras está enviando, lo que
hace que sea imposible detectar una colisión.
Para resolver este problema las WLAN utilizan el acceso múltiple con detección de operador
con evitación de colisiones (CSMA / CA) para determinar cómo y cuándo enviar datos. Un
cliente inalámbrico hace lo siguiente:
1. Escucha el canal para ver si está inactivo, es decir, no hay otro tráfico actualmente en el
canal. El canal es también llamado el portador.
2. Envía un mensaje Ready to Send (RTS) al AP para solicitar acceso dedicado a la red.
3. Recibe un mensaje Clear to Send (CTS) del AP que otorga acceso para enviar.
4. Si el cliente inalámbrico no recibe el mensaje CTS este espera una cantidad de tiempo
aleatoria antes de reiniciar el proceso.
5. Después de recibir el CTS, trasmite la información.
6. Todas las transmisiones son reconocidas. Si un cliente no recibe el reconocimiento,
asume que ocurrió una colisión y reinicia el proceso.
12.3.6
Descubre un AP inalámbrico
Autenticar con el AP.
Asociarse con el AP.
Para lograr una asociación exitosa, un cliente inalámbrico y un AP deben acordar parámetros
específicos: Para permitir la negociación de estos procesos, se deben configurar los
parámetros en el AP y posteriormente en el cliente.
12.3.7
Para descubrir las redes WLAN cercanas, un cliente inalámbrico también podría enviar una
solicitud de sondeo sin un nombre de SSID. Los AP configurados para transmitir por difusión
tramas de señal responderían al cliente inalámbrico con una respuesta de sondeo y
proporcionarían el nombre del SSID. Los AP con la característica de transmisión del SSID por
difusión deshabilitada no responden.
Funcionamiento de CAPWAP
12.4.1
Video - CAPWAP
En el tema anterior aprendiste sobre la operación de WLAN. Ahora aprenderá sobre Control y
aprovisionamiento de puntos de acceso inalámbricos (CAPWAP)
Haga clic en Reproducir para ver un video sobre el protocolo de Control y aprovisionamiento
de puntos de acceso inalámbrico (CAPWAP).
12.4.2
Introducción a la CAPWAP
CAPWAP es un protocolo estándar IEEE que permite que un WLC administre múltiples AP y
WLANs. CAPWAP también es responsable de la encapsulación y el reenvío del tráfico del
cliente WLAN entre un AP y un WLC.
Basado en LWAPP pero agrega seguridad adicional con Datagram Transport Layer Security
(DLTS). CAPWAP establece túneles en los puertos del Protocolo de datagramas de usuario
(UDP). CAPWAP puede operar sobre IPv4 o IPv6, pero usa IPv4 de manera predeterminada.
IPv4 e IPv6 pueden usar los puertos UDP 5246 y 5247. Sin embargo, los túneles CAPWAP
usan diferentes protocolos IP en el encabezado de la trama. IPv4 usa el protocolo IP 17 e IPv6
usa el protocolo IP 136.
12.4.3
AP Funciones MAC
Funciones WLC MAC
La tabla muestra algunas de las funciones MAC realizadas por cada uno.
Cifrado y descifrado de datos de capa MAC Terminación del tráfico 802.11 en una interfaz cableada
12.4.4
Encriptación de DTLS
DTLS es un protocolo que proporciona seguridad entre el AP y el WLC. Les permite
comunicarse mediante encriptación y evita escuchas o alteraciones.
DTLS está habilitado de manera predeterminada para asegurar el canal de control CAPWAP
pero está deshabilitado de manera predeterminada para el canal de datos, como se muestra
en la figura. Todo el tráfico de control y gestión CAPWAP intercambiado entre un AP y WLC
está encriptado y protegido de forma predeterminada para proporcionar privacidad en el plano
de control y evitar ataques de Man-In-the-Middle (MITM).
El cifrado de datos CAPWAP es opcional y se habilita para cada AP. El cifrado de datos está
deshabilitado de manera predeterminada y requiere que se instale una licencia DTLS en el
WLC antes de que se pueda habilitar en el AP. Cuando está habilitado, todo el tráfico del
cliente WLAN se encripta en el AP antes de reenviarse al WLC y viceversa.
12.4.5
AP FlexConnect
FlexConnect es una solución inalámbrica para las implementaciones en sucursales y oficinas
remotas. Le permite configurar y controlar puntos de acceso en una sucursal desde la oficina
corporativa a través de un enlace WAN, sin implementar un controlador en cada oficina.
Administración de canales
12.5.1
Si la demanda de un canal específico es demasiado alta, es probable que ese canal se sature
en exceso. La saturación del medio inalámbrico degrada la calidad de la comunicación. Con
los años, se han creado una serie de técnicas para mejorar la comunicación inalámbrica y
aliviar la saturación. Estas técnicas mitigan la saturación de canales usándolos de manera
más eficiente.
Espectro ensanchado por salto de frecuencia (FHSS)- Esto se basa en métodos de amplio
espectro para comunicarse. Transmite señales de radio cambiando rápidamente una señal
portadora entre muchos canales de frecuencia. El emisor y el receptor deben estar
sincronizados para "saber" a qué canal saltar. Este proceso de salto de canal permite un uso
más eficiente de los canales, disminuyendo la congestión del canal. FHSS fue Usado por el
estándar 802.11 original. Los walkie-talkies y los teléfonos inalámbricos de 900 MHz también
usan FHSS, y Bluetooth usa una variación de FHSS.
Selección de canales
Una práctica recomendada para las WLAN que requieren múltiples AP es utilizar canales no
superpuestos. Por ejemplo, los estándares 802.11b/g/n operan en el espectro de 2.4 GHz a
2.5GHz. La banda 2.4 GHz está subdividida en múltiples canales. Cada canal tiene un ancho
de banda de 22 MHz y está separado del siguiente canal por 5 MHz. El estándar 802.11b
identifica 11 canales para América del Norte, como se muestra en la figura (13 en Europa y 14
en Japón).
Nota: Busque en Internet canales de 5 GHz para obtener más información sobre los otros 16
canales disponibles y para conocer más sobre las variaciones de los diferentes países.
La figura muestra 11 canales que tienen 22MHz de ancho y 5MHz entre cada uno. El espectro
está entre 2.2GHz y 2.5GHz.
Para los estándares de 5 GHz 802.11a/n/ac, hay 24 canales. La banda de 5Ghz está dividida
en tres secciones. Cada canal está separado del siguiente canal por 20 MHz La figura muestra
la primera sección de ocho canales para la banda de 5 GHz. Aunque hay una ligera
superposición, los canales no interfieren entre sí. La conexión inalámbrica de 5 GHz puede
proporcionar una transmisión de datos más rápida para clientes inalámbricos en redes
inalámbricas muy pobladas debido a la gran cantidad de canales inalámbricos no
superpuestos.
Nota: Busque en Internet canales de 5 GHz para obtener más información sobre los otros 16
canales disponibles y para conocer más sobre las variaciones de los diferentes países.
La figura muestra 8 canales que tienen 20 MHz entre cada uno. El espectro está entre 5150
MHz y 5350 MHz.
Primeros ocho canales no interferentes de 5
GHz
Al igual que con las WLAN de 2.4GHz, elija canales que no interfieran al configurar múltiples
AP de 5GHz adyacentes entre sí, como se muestra en la figura.
12.5.3
La figura muestra un mapa de un lugar con diferentes áreas, entradas y salidas. Hay círculos
en diferentes áreas para limitar el área de cobertura.
Canales no interferentes de 5 GHz para
802.11a/n/ac
12.5.3
Amenazas a la WLAN
12.6.1
12.6.2
Los ataques pueden ser generados por personas externas, empleados descontentos e incluso
involuntariamente por los empleados. Las redes inalámbricas son específicamente
susceptibles a varias amenazas, incluidas las siguientes:
Intercepción de datos - Los datos inalámbricos deben estar encriptados para evitar
que los espías los lean.
Intrusos inalámbricos - Los usuarios no autorizados que intentan acceder a los
recursos de la red pueden ser disuadidos mediante técnicas de autenticación efectivas.
Ataques de denegación de servicio (DoS) - El acceso a los servicios WLAN puede
verse comprometido de forma accidental o maliciosa. Existen varias soluciones
dependiendo de la fuente del ataque DoS.
APs Falsos - Los AP no autorizados instalados por un usuario bien intencionado o con
fines maliciosos se pueden detectar utilizando un software de administración.
12.6.3
Ataques de DoS
Los ataques DoS inalámbricos pueden ser el resultado de:
12.6.4
Una vez conectado, el AP falso puede ser usado por el atacante para capturar direcciones
MAC, capturar paquetes de datos, obtener acceso a recursos de red o lanzar un ataque
intermediario.
Un punto de acceso a la red personal también podría usarse como un AP no autorizado, por
ejemplo, un usuario con acceso seguro a la red permite que su host Windows autorizado se
convierta en un AP Wi-Fi. Al hacerlo, elude las medidas de seguridad y otros dispositivos no
autorizados ahora pueden acceder a los recursos de la red como un dispositivo compartido.
Para evitar la instalación de puntos de acceso no autorizados, las organizaciones deben
configurar WLC con políticas de puntos de acceso no autorizados y utilizar software de
monitoreo para monitorear activamente el espectro de radio en busca de puntos de acceso no
autorizados.
12.6.5
Ataque man-in-the-middle
En un ataque intermediario (MITM por su sigla en inglés), el pirata informático se coloca
entre dos entidades legítimas para leer o modificar los datos que pasan entre las dos partes.
Hay muchas maneras de crear un ataque MITM.
haga clic para reproducir el video sobre técnicas de seguridad para WLANs.
12.7.2
Para abordar las amenazas de mantener alejados a los intrusos inalámbricos y proteger los
datos, se utilizaron dos características de seguridad tempranas que aún están disponibles en
la mayoría de los enrutadores y puntos de acceso:SSID cloaking y MAC address filtering.
Encubrimiento SSID
12.7.3
12.7.4
Método de
Descripción
autenticación
La especificación original 802.11 designada para proteger los datos usando el Rivest
Privacidad equivalente Cipher 4 (RC4) Método de cifrado con una llave estática. Sin embargo, La llave nunca
al cableado (WEP) cambia cuando se intercambian paquetes. Esto lo hace fácil de hackear. WEP ya no
se recomienda y nunca debe usarse.
Un estándar de alianza Wi-Fi que usa WEP, pero asegura los datos con un cifrado
Acceso Wi-Fi protegido más sólido que el Protocolo de integridad de clave temporal (TKIP). generación de
(WPA) hash. El TKIP cambia la clave para cada paquete, lo que hace que sea mucho más
difícil de hackear
12.7.5
Métodos de encriptación
El cifrado suele utilizarse para proteger datos. Si un intruso ha capturado datos cifrados, no
podrá descifrarlos en un período de tiempo razonable.
En la figura el administrador está configurando el router inalámbrico para usar WPA2 con
cifrado AES en la banda 2.4 GHz.
12.7.7
Autenticación en la empresa
En redes que tienen requerimientos de seguridad estrictos, una autenticación adicional o inicio
de sesión es requerida para garantizar al cliente acceso inalámbrico. La elección del modo de
seguridad empresarial requiere un servidor RADIUS de autenticación, autorización y
contabilidad (AAA).
El proceso de inicio de sesión 802.1X utiliza EAP para comunicarse con el servidor AP y
RADIUS. EAP es un marco para autenticar el acceso a la red. Puede proporcionar un
mecanismo de autenticación seguro y negociar una clave privada segura que luego puede
usarse para una sesión de encriptación inalámbrica usando encriptación TKIP o AES.
12.7.8
WPA3
En el momento de este escrito los dispositivos que soportan autenticación WPA3 autenticación
no están fácilmente disponibles. Sin embargo, WPA2 ya no se considera segura WPA3, si
está disponible, es el método de autenticación 802.11 recomendado. WPA3 incluye cuatro
características;
WPA3-personal
WPA3-empresa
Redes abiertas
Internet de las cosas (IoT)
WPA3-personal
WPA3-empresa
WPA3 - Empresa: Utiliza la autenticación 802.1X / EAP. Sin embargo, requiere el uso de una
suite criptográfica de 192 bits y elimina la combinación de protocolos de seguridad para los
estándares 802.11 anteriores. WPA3-Enterprise se adhiere a la Suite de Algoritmo de
Seguridad Nacional Comercial (CNSA) que se usa comúnmente en redes Wi-Fi de alta
seguridad.
Redes abiertas
Las redes abiertas en WPA2 envían tráfico de usuarios en texto claro no autenticado. En
WPA3, las redes Wi-Fi abiertas o públicas aún no utilizan ninguna autenticación. Sin embargo,
utiliza el cifrado inalámbrico oportunista (OWE) para cifrar todo el tráfico inalámbrico.
IOT Integración
Aunque WPA2 incluyó la Configuración protegida de Wi-Fi (WPS) para incorporar rápidamente
dispositivos sin configurarlos primero, WPS es vulnerable a una variedad de ataques y no se
recomienda. Además, los dispositivos IoT generalmente no tienen cabeza, lo que significa que
no tienen una interfaz gráfica de usuario incorporada para la configuración, y necesitan una
forma fácil de conectarse a la red inalámbrica. El Protocolo de aprovisionamiento de
dispositivos (DPP) se diseñó para abordar esta necesidad. Cada dispositivo sin cabeza tiene
una clave pública codificada. La clave suele estar estampada en el exterior del dispositivo o en
su embalaje como un código de Respuesta rápida (QR). El administrador de red puede
escanear el código QR y rápidamente a bordo del dispositivo. Aunque no es estrictamente
parte del estándar WPA3, DPP reemplazará a WPS con el tiempo.
El estándar 802.11 identifica dos modos principales de topología inalámbrica: modo Ad hoc y
modo Infraestructura. El anclaje a red es usado para proveer un acceso inalámbrico rápido. El
modo de infraestructura define dos bloques de construcción de topología: un conjunto de
servicios básicos (BSS) y un conjunto de servicios extendidos (ESS). Todas las tramas 802.11
contienen los siguientes campos: control de frame, duración, dirección 1, dirección 2, dirección
3, control de secuencia y dirección 4. WLANs usan CSMA/CA como el método para
determinar cómo y cuando enviar datos en la red. Una parte importante del proceso 802.11 es
descubrir una WLAN y conectarse a esta. Los dispositivos inalámbricos descubren un AP
inalámbrico, se autentican con él y luego se asocian con él. Los clientes inalámbricos se
conectan al AP mediante un proceso de exploración (sondeo) pasivo o activo.
CAPWAP es un protocolo estándar IEEE que permite que un WLC administre múltiples AP y
WLAN. El concepto CAPWAP dividir MAC realiza todas las funciones que normalmente
realizan los AP individuales y las distribuye entre dos componentes funcionales: DTLS es un
protocolo que proporciona seguridad entre el AP y el WLC. FlexConnect es una solución
inalámbrica para las implementaciones en sucursales y oficinas remotas. Usted puede
configurar y controlar puntos de acceso en una sucursal desde la oficina corporativa a través
de un enlace WAN, sin implementar un controlador en cada oficina. Hay dos modos de opción
para FlexConnect AP: Conectado e independiente.
Las redes inalámbricas son susceptibles a amenazas, que incluyen: interceptación de datos,
intrusos inalámbricos, ataques DoS y puntos de acceso no autorizados. Los ataques DoS
inalámbricos pueden ser el resultado de: dispositivos mal configurados, un usuario
malintencionado que interfiere intencionalmente con la comunicación inalámbrica e
interferencia accidental. Un AP falso es un AP o un router inalámbrico que se ha conectado a
una red corporativa sin autorización explícita y en contra de la política corporativa. Una vez
conectado, el atacante puede ser utilizado por un atacante para capturar direcciones MAC,
capturar paquetes de datos, obtener acceso a recursos de red o lanzar un ataque de hombre
en el medio. Ataque man-in-the-middle: el agente de amenaza se coloca entre dos entidades
legítimas para leer, modificar o redirigir los datos que se transmiten entre las dos partes. Un
ataque de "AP gemelo malvado" es un ataque MITM inalámbrico popular en el que un
atacante introduce un AP falso y lo configura con el mismo SSID que un AP legítimo Para
evitar la instalación de puntos de acceso no autorizados, las organizaciones deben configurar
WLC con políticas de puntos de acceso no autorizados.
Para mantener alejados a los intrusos inalámbricos y proteger los datos, dos características de
seguridad tempranas todavía están disponibles en la mayoría de los enrutadores y puntos de
acceso: ocultamiento de SSID y filtrado de direcciones MAC. Hay cuatro técnicas de
autenticación de clave compartida disponibles: WEP, WPA, WPA2 y WPA3 (los dispositivos
con WPA3 aún no están disponibles fácilmente). Los routers domésticos suelen tener dos
opciones de autenticación: WPA y WPA2 WPA2 es el más fuerte de los dos El cifrado suele
utilizarse para proteger datos. Los estándares WPA y WPA2 usan los siguientes métodos de
cifrado: TKIP y AES. En redes que tienen requerimientos de seguridad estrictos, una
autenticación adicional o inicio de sesión es requerida para garantizar al cliente acceso
inalámbrico. La elección del modo de seguridad empresarial requiere un servidor RADIUS de
autenticación, autorización y contabilidad (AAA).
Introducción
13.0.1
Algunos de nosotros recordamos conectarnos al Internet usando conexiones dial up. Para la
conexión dial up se usaba la linea telefónica fija. No era posible hacer o recibir llamadas con el
teléfono fijo mientras se navegaba en Internet. La conexión al Internet con dial up era muy
lenta. Básicamente, para la mayoría de las personas, su computadora estaba en un lugar fijo
en la casa o escuela.
Y después pudimos conectarnos al Internet sin usar las lineas telefónicas fijas. Sin embargo
nuestras computadoras estaban aún conectadas con cables a dispositivos que se conectaban
al Internet. Hoy en día podemos conectarnos al Internet usando dispositivos inalámbricos que
nos permitan llevar nuestros teléfonos, laptops y tablets prácticamente a cualquier lugar. Es
grandioso tener esa libertad de moverse, pero requiere de dispositivos intermediarios y finales
especiales y un buen entendimiento de los protocolos inalámbricos. ¿Desea obtener más
información? Entonces, ¡este es el modulo para ti!
13.0.2
Objetivo del Módulo: Implemente una WLAN con un router inalámbrico y WLC.
Título del tema Objetivo del tema
Configure una red inalámbrica Configure un WLC de red inalámbrica WLAN para que use una
WLAN WPA2 Enterprise en el interfaz VLAN, un servidor DHCP, y autenticación WPA2.
WLC Autenticación Enterprise
13.1.2
Router inalámbrico
Los trabajadores remotos, las oficinas pequeñas y las redes caseras, comúnmente usan
routers de casa y oficina pequeña. A estos routers en ocasiones se les llama routers
integrados porque típicamente incluyen un switch para dispositivos conectados por cable, un
puerto para conectarse al Internet (a veces llamado "WAN"), y componentes inalámbricos para
clientes de acceso inalámbrico, como se muestra en la figura del Cisco Meraki MX64W. En lo
que resta de este módulo, a los routers de casas y oficinas pequeñas los llamaremos routers
inalámbricos.
Cisco Meraki MX64W
La próxima imagen muestra la conexión física de una laptop cableada, hacia un router
inalámbrico, que a su vez se conecta a un modem DSL o cable modem para obtener
conectividad a Internet.
Nota: La configuración del módem por cable o DSL generalmente se realiza a través del
representante del proveedor de servicios, ya sea en el sitio o de manera remota, a través de
un tutorial con usted en el teléfono. Si usted compra el módem, el mismo vendrá con la
documentación sobre cómo conectarlo a su proveedor de servicios, lo que muy probablemente
incluirá el contacto con su proveedor de servicios para obtener más información
13.1.3
Para obtener acceso a la GUI de configuración del router inalámbrico, abra un navegador web.
En el campo Dirección, ingrese la dirección IP privada predeterminada de su router
inalámbrico. La dirección IP predeterminada se puede encontrar en la documentación que
viene con el router inalámbrico o se puede buscar en Internet. La figura muestra la dirección
IPv4 192.168.0.1, que es un valor predeterminado común para muchos fabricantes. Una
ventana de seguridad solicita autorización para acceder a la GUI del router. La palabra admin
se utiliza comúnmente como nombre de usuario y contraseña predeterminados. Nuevamente,
consulte la documentación del router inalámbrico o busque en Internet.
13.1.4
Después de iniciar sesión, se abre una GUI. La GUI tendrá las pestañas o menús para
ayudarlo a navegar en las distintas tareas de configuración del router. A menudo es necesario
guardar las opciones de configuración modificadas en una ventana antes de pasar a otra
ventana. En este punto, se recomienda realizar cambios en la configuración predeterminada.
Una vez que usted guarde la contraseña, el router inalámbrico solicitará autorización
nuevamente. Ingrese el nombre de usuario y la contraseña nueva, como se muestra en el
ejemplo.
Cambie la dirección IPv4 predeterminada del router. Una práctica recomendada es utilizar
direcciones IPv4 privadas dentro de su red. En el ejemplo, se utiliza la dirección IPv4
10.10.10.1, pero podría ser cualquier dirección IPv4 privada que elija.
Al hacer clic en guardar, perderá temporalmente el acceso al router inalámbrico. Abra una
ventana de comandos y renueve su dirección IP con el comando ipconfig/renew, como se
muestra en el ejemplo.
Ingrese la nueva dirección IP del router para recuperar el acceso a la GUI de configuración del
router, como se muestra en el ejemplo. Ahora está listo para continuar con la configuración de
acceso inalámbrico en el router.
13.1.5
Configuración inalámbrica
La configuración básica de la red inalámbrica incluye los siguientes pasos:
Algunos routers inalámbricos le permiten escoger qué estándar 802.11 desea implementar.
Este ejemplo muestra que se ha seleccionado "Legacy". Esto significa que todos los
dispositivos inalámbricos que se conectan al router inalámbrico deben tener una variedad de
NIC inalámbricas instaladas. Los routers inalámbricos actuales configurados para el modo
mixto admiten, en su mayoría, las NIC 802.11a, 802.11n y 802.11ac.
Asignar un SSID a las redes inalámbricas WLANs. OfficeNet se usa en el ejemplo para todas
las tres redes WLANS (la tercera WLAN no se muestra). El router inalámbrico anuncia su
presencia mediante el envío de broadcasts que anuncian su SSID. Esto le permite a los hosts
inalámbricos detectar automáticamente el nombre de la red inalámbrica. Si la difusión del
SSID está desactivada, debe introducir manualmente el SSID en cada dispositivo inalámbrico
que se conecte a la WLAN.
4 Configurar el canal
Los dispositivos configurados con el mismo canal dentro de la banda de 2,4 GHz pueden
superponerse y causar distorsión, lo que disminuye el rendimiento inalámbrico y
potencialmente podría interrumpir las conexiones de red. La solución para evitar la
interferencia es configurar canales que no se superpongan en los routers inalámbricos y los
puntos de acceso cercanos entre sí. Específicamente, los canales 1, 6 y 11 son canales que
no se superponen. En el ejemplo, el router inalámbrico está configurado para utilizar el canal
6.
La WPA2 Personal utiliza una contraseña para autenticar a los clientes inalámbricos. La
WPA2 personal es más fácil de usar en entornos de oficinas pequeñas o domésticas, ya que
no requiere un servidor de autenticación. Las organizaciones más grandes implementan la
WPA2 Enterprise y requieren que los clientes inalámbricos se autentiquen con un nombre de
usuario y una contraseña.
13.1.6
13.1.7
Algunos ISP utilizan la asignación de direcciones privadas para conectarse a los dispositivos
del cliente. Sin embargo, al final, su tráfico abandonará la red del proveedor y se enrutará en
Internet. Para ver las direcciones IP de sus dispositivos, busque "Cuál es mi dirección IP" en
Internet. Haga esto para otros dispositivos en la misma red y verá que todos comparten la
misma dirección IPv4 pública. NAT hace esto posible realizando un rastreo de los números de
puerto de origen para cada sesión establecida por dispositivo. Si su ISP tiene la IPv6
habilitada, verá una dirección IPv6 única para cada dispositivo.
13.1.8
Calidad de servicio
Muchos routers inalámbricos tienen una opción para configurar la Calidad de Servicio (QoS).
Al configurar QoS, puede garantizar que ciertos tipos de tráfico, como voz y video, tengan
prioridad sobre el tráfico que no es sensible a retrasos, como el correo electrónico y la
navegación web. En algunos routers inalámbricos, también se puede priorizar el tráfico en
puertos específicos.
La figura es un boceto simplificado de una interfaz de QoS basada en una GUI de Netgear.
Por lo general, encontrará la configuración de QoS en los menús avanzados. Si tiene un router
inalámbrico disponible, investigue las configuraciones de QoS. A veces, es posible que se
enumeren bajo "Control de Ancho de Banda" o algo similar. Consulte la documentación del
router inalámbrico o busque "configuraciones de QoS" en Internet para la marca y el modelo
de su router.
13.1.9
Reenvío de Puerto
Los routers inalámbricos comúnmente se pueden utilizar para bloquear puertos TCP y UDP, a
fin de impedir el acceso no autorizado entrante y saliente de una LAN. No obstante, existen
situaciones en las que deben abrirse puertos específicos para que determinados programas y
aplicaciones puedan comunicarse con dispositivos de otras redes. El Reenvío de Puerto es un
método basado en reglas que permite dirigir el tráfico entre dispositivos de redes separadas.
Una vez que el tráfico llega al router, este determina si debe reenviarse el tráfico a
determinado dispositivo según el número de puerto que se encuentra en el tráfico. Por
ejemplo, se puede configurar un router para que reenvíe el puerto 80, que esta asociado con
HTTP. Cuando el router recibe un paquete con el puerto de destino 80, reenvía el tráfico al
servidor interno de la red que sirve a las páginas web. En la figura, el reenvío de puerto está
habilitado para el puerto 80 y se asigna al servidor web en la dirección IPv4 10.10.10.50.
La activación de puertos permite que el router reenvíe datos temporalmente mediante puertos
entrantes a un dispositivo determinado. Se puede utilizar la activación de puertos para
reenviar datos a una PC, solo si se utiliza un rango de puertos designados para realizar una
solicitud saliente. Por ejemplo, un videojuego puede utilizar los puertos 27000 a 27100 para
establecer una conexión con otros jugadores. Estos son los puertos de activación. Un cliente
de chat puede utilizar el puerto 56 para conectar a los mismos jugadores, a fin de que
interactúen entre sí. En este caso, si existe tráfico de juegos en un puerto saliente dentro del
rango de puertos activados, el tráfico de chat entrante que corresponde al puerto 56 se
reenvía a la PC que se utiliza para jugar el videojuego y para chatear con amigos. Una vez
que finaliza el juego y dejan de utilizarse los puertos activados, el puerto 56 ya no puede
enviar tráfico de ningún tipo a esta PC.
13.1.10
13.1.11
Haga clic en Reproducir para ver la demostración de como configurar un WLC 3504 Cisco con
conectividad WLAN
13.2.2
Topología WLC
Para topologia y el esquema de direccionamiento usados en los videos y este tema se
muestran en la figura y en la tabla. El punto de acceso (AP) es basado en un controlador, que
es diferente a un AP autónomo. Recuerde que los puntos de acceso basados en controlador
no necesitan una configuración inicial y normalmente se les denomina Puntos de Acceso
Lightweight (LAPs). Los puntos de acceso LAP usan el Protocolo Lightweight Access Point
Protocol (LWAPP) para comunicarse con el controlador WLAN (WLC). Los puntos de acceso
basados en controlador son útiles en situaciones en las que se necesitan varios puntos de
acceso en la red. Conforme se agregan puntos de acceso, cada punto de acceso es
configurado y administrado de manera automática por el WLC.
Addressing Table
DeviceInterfaceIP AddressSubnet
MaskR1F0/0172.16.1.1255.255.255.0R1F0/1.1192.168.200.1255.255.255.0S1VLAN
1DHCPWLCManagement192.168.200.254255.255.255.0AP1Wired
0192.168.200.3255.255.255.0PC-ANIC172.16.1.254255.255.255.0PC-BNICDHCPWireless
LaptopNICDHCP
Máscara de
Dispositivo Interfaz Dirección IP
subred
S1 VLAN 1 DHCP
Computadora portátil
NIC DHCP
inalámbrica
13.2.3
Nota: Las figuras de este tema que muestran la interfaz gráfica (GUI) y los menús, son del
Controlador Inalámbrico Cisco 3504. Sin embargo, otros modelos de WLC tienen menús y
características similares.
La figura muestra un usuario iniciando sesión en el WLC con los credenciales que fueron
configurados en la configuración inicial.
La página de Network Summary es un panel que provee una visión rápida del número de
redes inalámbricas configuradas, los puntos de acceso asociados y los clientes activos.
También se puede ver la cantidad de puntos de acceso dudosos y los clientes, como se
muestra en la figura.
13.2.4
13.2.5
Configuración Avanzada
La mayoría de los WLC tienen configuraciones básicas y menús que los usuarios pueden
accesar rápidamente para implementar una variedad de configuraciones comunes. Sin
embargo, como administrador de la red, usted comúnmente accederá a la configuración
avanzada. En el Wireless Controller Cisco 3504, haga clic en Advanced en la esquina
superior derecha para accesar la página Summary, como se muestra en la figura. Desde
aquí, usted puede acceder a toda la configuración del WLC.
13.2.6
Configurar una WLAN
Los controladores de red LAN inalámbricos tienen puertos e interfaces. Los puertos son los
conectores para las conexiones físicas a la red cableada. Se ven como puertos de switch Las
interfaces son virtuales. Se crean a nivel de software y son muy similares a las VLAN
interfaces. De hecho, cada interfaz que lleva trafico desde una WLAN se configura en el WLC
como una VLAN diferente. El Cisco WLC 3504 soporta hasta 150 puntos de acceso y 4096
VLANs; sin embargo, sólo tiene cinco puertos físicos, como se muestra en la figura. Esto
significa que cada puerto físico puede soportar varios puntos de acceso y WLANs. Los puertos
en el WLC son básicamente puertos troncales que pueden llevar trafico de múltiples VLANs
hacia un switch para distribuirlo a múltiples puntos de acceso. Cada punto de acceso puede
soportar varias WLANs.
1. Crear la WLAN.
2. Aplicar y activar la WLAN
3. Seleccionar una interfaz.
4. Asegurar la WLAN
5. Verificar que la WLAN este funcionando
6. Monitorear la WLAN
7. Ver la información del cliente inalámbrico
1. Crear la WLAN
Después de hacer clic en Apply, el administrador de la red debe habilitar la WLAN antes de
que sea accesado por los usuarios, como se muestra en la figura. La casilla de verificación
Enabled permite al administrador configurar una variedad de funciones para la WLAN, así
como WLANs adicionales, antes de habilitarlas para que sean accesibles para los clientes.
Desde aquí, el administrador de la red puede configurar una variedad de funciones para la
WLAN incluyendo seguridad, QoS, políticas y otras configuraciones avanzadas.
Cuando crea la red WLAN, debe seleccionar la interfaz que llevara el trafico del WLAN La
próxima figura muestra la selección de una interfaz que ya ha sido creada en el WLC.
Aprenderemos como crear interfaces mas adelante en este modulo.
4. Asegurar la WLAN
Haga clic en la pestaña de Security para accesar todas las opciones disponibles para asegurar
la red LAN. El administrador de la red desea asegurar la Capa 2 con WPA2-PSK. WPA2 y
802.1X están definidos de manera predeterminada. En el menú de Security de Capa 2, debe
verificar que WPA+WPA2 esta seleccionado(no se muestra). Haga clic en PSK y ponga el
pre-shared key, como se muestra en la figura. Luego, haga clic en Apply. Esto habilitará la
WLAN con autenticación WPA2-PSK. A partir de ahora, los clientes inalámbricos que
conozcan el pre-shared key pueden asociarse y autenticarse con el punto de acceso.
Haga clic en WLANs en el menú de la izquierda, para ver la nueva WLAN configurada. En la
figura, puede verificar que el ID del WLAN esta configurado con el nombre y
SSID Wireless_LAN, que esta activo, y que esta usando seguridad WPA2 PSK.
6. Monitorear la WLAN
Haga clic en la pestaña Monitor en la parte superior para acceder de nuevo a la pagina
avanzada Summary. Aquí puede ver que Wireless_LAN ahora tiene un cliente usando sus
servicios, como se muestra en la figura.
Haga clic en Clients en el menú de la derecha para ver mas información sobre los clientes
conectados al WLAN, como se muestra en la figura. Un cliente esta conectado
a Wireless_LAN a través de un punto de acceso y se le asigno la dirección IP 192.168.5.2.
Los servicios de DHCP en esta topologia son dados por el router.
13.2.7
Haga clic en reproducir en la figura para ver una demostración de como configurar servicios de
SNMP y RADIUS en el WLC.
13.3.2
SNMP y RADIUS
EN la figura, PC-A esta ejecutando software de servidor de Protocolo Simple de
Administración de Red (SNMP) y de Servicio de Autenticación Remota de Usuario de Discado
(RADIUS). SNMP se utiliza para monitorear la red El administrador de la red desea que el
WLC reenvíe mensajes de registro de SNMP, llamados traps, al servidor SNMP.
Además, para la autenticación con el WLAN, el administrador de la red desea usar el servidor
RADIUS para los servicios de autenticación, autorización y registro (AAA). En vez de ingresar
una llave pre-compartida para autenticarse, como se hace con WPA2-PSK, los usuarios
ingresan sus propio usuario y contraseña. Los credenciales serán verificados en el servidor
RADIUS. De esta manera, el acceso de cada usuario puede ser rastreado y auditado de
manera individual, de ser necesario las cuentas de usuario pueden ser agregadas o
modificadas desde una locación central. El servidor RADIUS es requerido cuando las redes
WLAN están usando autenticación WPA2 Enterprise.
Nota: La configuración del servidor SNMP y del servidor RADIUS esta fuera del alcance de
este modulo.
Esta figura muestra una topología de red. PC-A es un servidor RADIUS/SNMP conectado a
R1 en la interfaz F0/0 de R1. La PC-B esta conectada a S1 en el puerto F0/6 de S1. R1 y S1
están conectados juntos en la interfaz F0/1 de R1 y en la F0/5 de S1 S1 esta conectado a un
WLC en el puerto F0/18. El puerto F0/1 de S1 esta conectado al punto de acceso AP1. Hay
una computadora portátil conectada en forma inalámbrica a AP1
Topología
13.3.3
13.3.4
Para configurar el WLC con la información del servidor RADIUS, haga clic en SECURITY tab
> RADIUS > Authentication. No existen servidores RADIUS configurados Haga clic
en Nuevo... para agregar la PC-A como el servidor RADIUS.
Agregue la direccion IPv4 para PC-A y el secreto compartido. Esta es la contraseña que se
usa entre el WLC y el servidor RADIUS. No es para los usuarios Haga clic en Apply, como se
muestra en la figura.
13.3.6
El administrador de la red ha decidido que la nueva WLAN use la interfaz VLAN 5 y la red
192.168.5.0/24. R1 ya tiene un sub-interfaz configurada y activa para VLAN 5, tal como se
muestra en la topología y en la salida del comando show ip interface brief.
Esta figura muestra una topología de red. PC-A es un servidor RADIUS/SNMP conectado a
R1 en la interfaz F0/0 de R1. R1 tiene una sub-interfaz configurada en la VLAN 5 con la
dirección IP 192.168.5.1. La PC-B esta conectada a S1 en el puerto F0/6 de S1. R1 y S1 están
conectados R1 y S1 están conectados entre sí, usando la interfaz F0/1 de R1 y la F0/5 de S1
S1 no esta conectado a un WLC en el puerto F0/18. El WLC tiene la dirección IP
192.168.200.254 para administración y una interfaz en VLAN 5 con la dirección IP
192.168.5.254. El puerto F0/1 en S1 esta conectado a un punto de acceso, AP1. Hay una
computadora portátil conectada en forma inalámbrica a AP1
Topología
13.3.7
Para agregar una nueva interfaz, haga clic en CONTROLLER > Interfaces > New..., como se
muestra en la figura.
13.3.8
13.3.9
Un alcance DHCP es muy similar a un pool de DHCP en un router. Puede incluir una variedad
de información como grupos de direcciones para asignar a los clientes de DHCP, información
del servidor DNS, tiempos de asignación y mas. Para configurar un nuevo alcance DHCP,
haga clic en Internal DHCP Server > DHCP Scope > New..., como se muestra en la figura.
13.3.10
13.3.11
Haga clic en la pestaña WLANs y luego en Ir para crear una nueva WLAN, como se muestra
en la figura.
Rellene con el nombre del perfil y el SSID Con el fin de ser consistente con la VLAN que fue
previamente configurada, escoja un ID de 5. Sin embargo, puede usar cualquier valor
disponible. Haga clic en Apply, para crear una nueva WLAN, como se muestra en la figura.
La WLAN ha sido creada pero aun necesita activarse y asociarse con la interfaz VLAN
correcta. Cambiar el estado de Enabled y escoger vlan5 en la lista desplegable de
Interface/Interface Grupo(G). Haga clic en Aplicar y haga clic en OK para aceptar el mensaje
emergente, como se muestra en la figura
4. Verifique los valores predeterminados de AES y 802.1X.
Haga clic en la pestaña Security para ver la configuración predeterminada de seguridad para
la WLAN nueva. La WLAN usará seguridad WPA2 con encripción AES. El tráfico de
autenticación es manejado por 802.1X entre el WLC y el servidor RADIUS.
5. Configurar el servidor RADIUS.
Ahora necesitamos seleccionar el servidor RADIUS que va a usarse para autenticar los
usuarios de esta WLAN. Haga clic en la ficha AAA Servers. En la lista desplegable
seleccionar el servidor RADIUS que fue configurado previamente en el WLC. Aplique los
cambios.
Para verificar que la nueva WLAN esta listada y activa, haga clic en Back o en el sub-
menú WLANs a la izquierda. Tanto la WLAN Wireless_LAN como la
WLAN CompanyName están listadas. En la figura, note que ambos están
activos. Wireless_LAN esta usando WPA2 con autenticación PSK. CompanyName esta
usando seguridad WPA2 con autenticación 802.1X.
13.3.12
Packet Tracer: Configuración de WLAN
WPA2 Enterprise en el WLC
En esta actividad, usted va a configurar una nueva WLAN en un controlador inalámbrico LAN
(WLC), incluyendo la interfaz VLAN que se usara. Usted va a configurar la WLAN para que
use un servidor RADIUS y WPA2-Enterprise para autenticar usuarios. Configure también el
WLC para usar un servidor SNMP.
Los problemas de red pueden ser simples o complejos, y pueden ser el resultado de una
combinación de problemas de hardware, software y conectividad. Los técnicos informáticos
deben ser capaces de analizar el problema y determinar la causa del error para poder reparar
el problema de red. Este proceso se denomina “solución de problemas”.
Para resolver problemas de red de cualquier tipo, se debe seguir un proceso sistemático. Una
metodología de solución de problemas común y eficaz se basa en el método científico, y se
puede dividir en los seis pasos importantes que se muestran en la ilustración.
Establecer un plan de
Una vez que haya determinado la causa raíz del problema,
acción para solucionar el
4 establezca un plan de acción para solucionar el problema e
problema e implementar
implementar la solución.
la solución Solución
Verifique la funcionalidad
Una vez que haya corregido el problema, verifique la
total del sistema e
5 funcionalidad total y, si corresponde, implementación de medidas
implemente medidas
preventivas
preventivas
13.4.2
¿Qué tan lejos esta la PC del punto de acceso? ¿Está la PC fuera del área planeada de
cobertura (BSA)?
Revise la configuración del canal en el cliente inalámbrico. El software del cliente
debería detectar el canal siempre que el SSID sea el correcto.
Revise si existen otros dispositivos en el área que puedan estar interfiriendo con la
banda de 2.4 GHz. Algunos dispositivos como por ejemplo, teléfonos inalámbricos,
monitores de bebes, hornos microondas, sistemas de seguridad inalámbricos, y
potencialmente puntos de acceso no autorizados. Los datos enviados por estos
dispositivos pueden causar interferencia con la WLAN y problemas intermitentes de
conexión entre un cliente inalámbrico y un AP.
Cuando el usuario de la PC es descartado como posible fuente del problema, y el estado físico
de los dispositivos ha sido confirmado, empiece a investigar el desempeño del AP. Revise el
estado de energía en el punto de acceso.
13.4.3
La banda de 2.4 GHz puede ser muy útil para manejo de trafico en internet básico que
no es sensible al tiempo.
El ancho de banda se puede compartir con otros WLANs cercanos.
La banda 5 GHz esta mucho menos concurrida que la banda de 2.4 Ghz, lo que la hace
ideal para transmitir multimedia.
La banda de 5 GHz tiene mas canales, por lo tanto, el canal que se usa esta
posiblemente libre de interferencia.
Los routers y APs de doble banda usan el mismo nombre de red tanto en la banda de 2.4 Ghz
como en la de 5 Ghz de manera predeterminada. La manera más sencilla de segmentar el
trafico es renombrar una de las redes inalámbricas. Con un nombre separado y que sea
descriptivo, es mas fácil conectarse a la red correcta.
Para mejorar el rango de una red inalámbrica, asegúrese de que la ubicación del router
inalámbrico o AP se encuentre libre de obstrucciones como muebles, accesorios y
electrodomésticos altos. Estos bloquean la señal, lo cual acorta el rango de la WLAN. Si esto
no resuelve el problema, puede que necesite usar un Extensor de Rango de Wi-Fi o
implementar la tecnología inalámbrica Powerline.
13.4.4
Actualizar el Firmware
La mayoría de los routers y AP inalámbricos ofrecen firmware actualizable. Las versiones de
firmware pueden contener correcciones de problemas comunes informados por los clientes así
como las vulnerabilidades de seguridad. Revise periódicamente el sitio web del fabricante para
ver el firmware actualizado. En la figura, se puede ver que el administrador de la red esta
verificando que el firmware este actualizado en un AP Cisco Meraki.
En un WLC, es muy posible que se pueda actualizar el firmware de todos los APs que son
controlados por el WLC. En la próxima figura, el administrador de la red esta descargando la
imagen del firmware que se usara para actualiza todos los APs.
En un controlador inalámbrico Cisco 3504, haga clic en WIRELESS tab > Access Point desde
el menú de la izquierda >sub-menú Global Configuration. Luego diríjase hasta el fondo de la
pagina hacia la sección de Pre-descarga.
13.4.5
Packet Tracer: Solución de problemas
WLAN
Ahora que usted ha aprendido a configurar conexiones inalámbricas en la casa y en redes
empresariales, debe aprender a resolver problemas en ambos ambientes inalámbrico. Su
objetivo es habilitar conectividad entre los hosts en las redes hacia el servidor Web tanto por
dirección IP como por URL. No se requiere que haya conectividad entre la red de casa y la red
empresarial.
13.5.2
Nota: Por favor tenga paciencia. Esta actividad de PTPM puede tardar varios minutos en
cargarse.
13.5.3
Los puntos de acceso LAP usan el Protocolo Lightweight Access Point Protocol (LWAPP) para
comunicarse con el controlador WLAN (WLC). Configurar un controlados de LAN inalámbrico
(WLC) es similar a configurar un router inalámbrico, excepto que un WLC controla los puntos
de acceso y provee mas capacidades de administración y servicios. Use la interfaz del WLC
para ver un panorama completo del sistema de información y desempeño de los puntos de
acceso, para accesar la configuración avanzada y para configurar una WLAN.
SNMP se utiliza para monitorear la red El WLC esta configurado para enviar todos los
registros de SNMP al servidor, utilizando traps. Para la autenticación de usuarios en en
WLAN, se utiliza un servidor RADIUS para autenticación, autorización y registro(AAA). Acceso
de un usuario puede ser monitoreado y auditado Use la interfaz del WLC para configurar el
servidor SNMP y la información del servidor RADIUS, las interfaces VLAN, el alcance DHCP y
una WLAN WPA2 Enterprise.
Introducción
14.0.1
No importa cuán eficaz sea la configuración de la red, algo siempre dejará de funcionar
correctamente o incluso dejará de funcionar completamente. Esta es una simple verdad sobre
la creación de redes. Por lo tanto, a pesar de que ya sabe bastante sobre el enrutamiento,
todavía necesita saber cómo funcionan sus routers. Este conocimiento es fundamental si
desea poder solucionar problemas de su red. Este módulo entra en detalle sobre el
funcionamiento de un router. ¡Súbete!
14.0.2
¿Qué aprenderé en este módulo?
Título del módulo: Conceptos de enrutamiento
Objetivos del módulo: Explique cómo los routers utilizan la información en los paquetes para
tomar decisiones de reenvío.
Reenvío de paquetes Explicar cómo los routers reenvían los paquetes al destino.
Determinación de trayecto
14.1.1
Los switches Ethernet se utilizan para conectar dispositivos finales y otros dispositivos
intermediarios, como otros conmutadores Ethernet, a la misma red. Un router conecta varias
redes, lo que significa que posee varias interfaces, cada una de las cuales pertenece una red
IP diferente.
Cuando un router recibe un paquete IP en una interfaz, determina qué interfaz debe usar para
reenviar el paquete hacia el destino. Esto se conoce como enrutamiento. La interfaz que usa
el router para reenviar el paquete puede ser el destino final o una red conectada a otro router
que se usa para llegar a la red de destino. Generalmente, cada red a la que se conecta un
router requiere una interfaz separada, pero puede que este no siempre el caso.
Las funciones principales de un router son determinar la mejor ruta para reenviar paquetes
basándose en la información de su tabla de enrutamiento, y reenviar paquetes hacia su
destino.
14.1.2
Ejemplo de Funciones del router
El router usa su tabla de routing para encontrar la mejor ruta para reenviar un paquete. Haga
clic en Reproducir en la animación de la ilustración, para seguir un paquete desde la
computadora de origen hasta la computadora de destino. Observe cómo tanto R1 como R2
utilizan sus respectivas tablas de enrutamiento IP para determinar primero la mejor ruta y, a
continuación, reenviar el paquete.
14.1.3
La mejor coincidencia es la ruta de la tabla de routing que contiene la mayor cantidad de bits
del extremo izquierdo coincidentes con la dirección IPv4 de destino del paquete. La ruta con la
mayor cantidad de bits del extremo izquierdo equivalentes, o la coincidencia más larga, es
siempre la ruta preferida.
Nota: El término longitud del prefijo se utilizará para hacer referencia a la parte de red de
direcciones IPv4 e IPv6.
14.1.4
14.1.5
Para el paquete IPv6 de destino con la dirección 2001:db8:c000: :99, considere las tres
entradas de ruta siguientes:
Entradas de
Longitud del prefijo/prefijo ¿Coincide?
ruta
14.1.6
La figura muestra tres tipos de redes Directed Connected Network, Remote Network y Default
Route. El Router1 (R1) es la red conectada directamente con dos conmutadores S1 y S2
conectados a dos PC1 y PC2. El switch está conectado al router R1. R1 y Router2 (R2) se
conectan directamente a través de una conexión punto a punto. R2 está conectado dos
conmutadores S# y S4 con cada conmutador que tiene un PC PC3 y P4 conectado a ellos. R2
forma la red remota. R2 tiene una conexión remota adicional al ISP mediante una conexión
punto a punto que es la conexión a Internet. El esquema numérico para cada dispositivo es
direcciones IPv4 e IPv6 de doble pila.
Las redes conectadas directamente son redes que están configuradas en las interfaces
activas de un router. Una red conectada directamente se agrega a la tabla de enrutamiento
cuando una interfaz se configura con una dirección IP y una máscara de subred (longitud de
prefijo) y está activa (arriba y arriba).
Redes remotas
Las redes remotas son redes que no están conectadas directamente al router. Un router
descubre redes remotas de dos maneras:
Ruta predeterminada
Una ruta predeterminada específica un router de salto siguiente que se utilizará cuando la
tabla de enrutamiento no contiene una ruta específica que coincida con la dirección IP de
destino. La ruta predeterminada puede configurarse manualmente como ruta estática o puede
introducirla el protocolo de routing.
Una ruta predeterminada sobre IPv4 tiene una entrada de ruta de 0.0.0.0/0 y una ruta
predeterminada sobre IPv6 tiene una entrada de ruta de: :/0. La longitud del prefijo /0 indica
que cero bits o ningún bit deben coincidir con la dirección IP de destino para que se utilice esta
entrada de ruta. Si no hay rutas con una coincidencia más larga, más de 0 bits, entonces la
ruta predeterminada se utiliza para reenviar el paquete. A veces, la ruta predeterminada se
conoce como una puerta de enlace de último recurso.
Reenvío de paquetes
14.2.1
La figura muestra cómo un router determina primero la mejor ruta y, a continuación, reenvía el
paquete.
Reenvía el paquete a un dispositivo en una red conectada directamente
Si la entrada de ruta indica que la interfaz de salida es una red conectada directamente, esto
significa que la dirección IP de destino del paquete pertenece a un dispositivo de la red
conectada directamente. Por lo tanto, el paquete se puede reenviar directamente al dispositivo
de destino. El dispositivo de destino suele ser un dispositivo final en una LAN Ethernet, lo que
significa que el paquete debe estar encapsulado en una trama Ethernet.
Paquete IPv4 - El router comprueba su tabla ARP para la dirección IPv4 de destino y
una dirección MAC Ethernet asociada. Si no hay coincidencia, el router envía una
solicitud ARP. El dispositivo de destino devolverá una respuesta ARP con su dirección
MAC. El router ahora puede reenviar el paquete IPv4 en una trama Ethernet con la
dirección MAC de destino adecuada.
PaqueteIPv6 - El router comprueba su caché vecino para la dirección IPv6 de destino
y una dirección MAC Ethernet asociada. Si no hay coincidencia, el router envía un
mensaje ICMPv6 Solicitud de vecino (ICMPv6 Neighbor Solicitation) (NS). El
dispositivo de destino devolverá un mensaje ICMPv6 Neighbor Advertisement (NA)
con su dirección MAC. El router ahora puede reenviar el paquete IPv6 en una trama
Ethernet con la dirección MAC de destino adecuada.
14.2.2
Reenvío de paquetes
Una responsabilidad principal de la función de switching es la de encapsular los paquetes en
el tipo de marco de enlace de datos correcto para el enlace de datos de salida. Por ejemplo, el
formato de marco de vínculo de datos para un vínculo serie podría ser el protocolo punto a
punto (PPP), el protocolo de control de enlace de datos de alto nivel (HDLC) o algún otro
protocolo de capa 2.
En la primera animación, PC1 envía un paquete a PC2. Ya que la PC2 está en una red
diferente, la PC1 reenviará los paquetes a su puerta de enlace predeterminada (gateway).
PC1 buscará en su caché ARP la dirección MAC de gateway predeterminada y agregará la
información de trama indicada.
Nota: Si una entrada de ARP no existe en la tabla de ARP para la puerta de enlace
predeterminada (gateway) de 192.168.1.1, la PC1 enviará una solicitud de ARP El router R1
envía a cambio una respuesta ARP con su dirección MAC.
14.2.3
Switching de procesos
Switching rápido
Cisco Express Forwarding (CEF)
Un mecanismo de reenvío de paquetes más antiguo que todavía está disponible para routers
Cisco. Cuando un paquete llega a una interfaz, se reenvía al plano de control, donde la CPU
hace coincidir la dirección de destino con una entrada de la tabla de routing y, a continuación,
determina la interfaz de salida y reenvía el paquete. Es importante comprender que el router
hace esto con cada paquete, incluso si el destino es el mismo para un flujo de paquetes. Este
mecanismo de switching de procesos es muy lento y rara vez se implementa en las redes
modernas. Compare esto con el switching rápido.
Una analogía frecuente que se usa para describir los tres mecanismos de reenvío de paquetes
es la siguiente:
La conmutación rápida es otro mecanismo de reenvío de paquetes más antiguo que fue el
sucesor de la conmutación de procesos. Fast switching usa una memoria caché de switching
rápido para almacenar la información de siguiente salto. Cuando un paquete llega a una
interfaz, se reenvía al plano de control, donde la CPU busca una coincidencia en la caché de
switching rápido. Si no encuentra ninguna, se aplica el switching de procesos al paquete, y
este se reenvía a la interfaz de salida. La información de flujo del paquete también se
almacena en la caché de switching rápido. Si otro paquete con el mismo destino llega a una
interfaz, se vuelve a utilizar la información de siguiente salto de la caché sin intervención de la
CPU.
Con el switching rápido, observe que el switching de procesos se aplica solo al primer paquete
de un flujo, el cual se agrega a la caché de switching rápido. Los cuatro paquetes siguientes
se procesan rápidamente según la información de la caché de switching rápido.
Una analogía frecuente que se usa para describir los tres mecanismos de reenvío de paquetes
es la siguiente:
Una analogía frecuente que se usa para describir los tres mecanismos de reenvío de paquetes
es la siguiente:
El switching de procesos resuelve un problema realizando todos los cálculos
matemáticos, incluso si los problemas son idénticos.
El switching rápido resuelve un problema realizando todos los cálculos matemáticos
una vez y recuerda la respuesta para los problemas posteriores idénticos.
CEF soluciona todos los problemas posibles antes de tiempo en una hoja de cálculo.
Una analogía frecuente que se usa para describir los tres mecanismos de reenvío de paquetes
es la siguiente:
Topología
Un router utiliza una tabla de enrutamiento para determinar a dónde enviar los paquetes. Pero
antes de sumergirse en los detalles de la tabla de enrutamiento IP, este tema revisa las tareas
básicas de configuración y verificación del enrutador. También completarás una actividad de
Rastreador de paquetes para actualizar tus habilidades.
Comandos de Configuración
Los siguientes ejemplos muestran la configuración completa de R1.
14.3.3
Comandos de verificación
Algunos comandos de verificación comunes incluyen los siguientes:
En cada caso, ip reemplace ipv6 por la versión IPv6 del comando. La figura muestra de nuevo
la topología para facilitar la referencia.
14.3.4
Los parámetros de filtrado que se pueden configurar después de la barra vertical incluyen lo
siguiente:
Nota: Los filtros de salida se pueden usar en combinación con cualquier comando show.
14.3.4
Los parámetros de filtrado que se pueden configurar después de la barra vertical incluyen lo
siguiente:
Nota: Los filtros de salida se pueden usar en combinación con cualquier comando show.
Estos ejemplos demuestran algunos de los usos más comunes de los parámetros de filtrado.
14.3.5
Tabla de routing IP
14.4.1
Origen de la ruta
¿Cómo sabe un router dónde puede enviar paquetes? Crea una tabla de enrutamiento basada
en la red en la que se encuentra.
Una tabla de enrutamiento contiene una lista de rutas a redes conocidas (prefijos y longitudes
de prefijo). La fuente de esta información se deriva de lo siguiente:
En las tablas de enrutamiento para R1 y R2, observe que los orígenes de cada ruta se
identifican mediante un código. El código identifica la forma en que se descubrió la ruta. Por
ejemplo, los códigos frecuentes incluyen lo siguiente:
14.4.2
Principios de la tabla de
Ejemplo
enrutamiento
Cada router toma su decisión R1 sólo puede reenviar paquetes utilizando su propia tabla de enrutamiento.
por sí solo, basándose en la R1 no sabe qué rutas están en las tablas de enrutamiento de otros (por ejemplo,
información que tiene en su R2).
propia tabla de enrutamiento.
La información de enrutamiento R1 recibe un paquete con la dirección IP de destino de PC1 y la la dirección IP de origen
sobre una ruta no proporciona de PC3. Solo porque R1 sabe reenviar el paquete fuera de su interfaz G0/0/0, no
enrutamiento de retorno al significa necesariamente que sepa cómo reenviar paquetes procedentes de PC1 a la
secundario. red remota de PC3.
14.4.3
La tabla de enrutamiento también contiene una ruta local para cada una de sus redes
conectadas directamente, indicada por el código de estado de L. Esta es la dirección IP que
se asigna a la interfaz en esa red conectada directamente. Para las rutas locales IPv4, la
longitud del prefijo es /32 y para las rutas locales IPv6 la longitud del prefijo es /128. Esto
significa que la dirección IP de destino del paquete debe coincidir con todos los bits de la ruta
local para que esta ruta sea una coincidencia. El propósito de la ruta local es permitir que el
router determine de forma eficaz si recibe un paquete para la interfaz o para reenviar.
Las redes conectadas directamente y las rutas locales se muestran en el siguiente resultado.
14.4.5
Rutas estáticas
Después de configurar las interfaces conectadas directamente y de agregarlas a la tabla de
routing, se puede implementar el routing estático o dinámico.
Las rutas estáticas se configuran de forma manual. Estas definen una ruta explícita entre dos
dispositivos de red. A diferencia de los protocolos de routing dinámico, las rutas estáticas no
se actualizan automáticamente y se deben reconfigurar de forma manual si se modifica la
topología de la red. Los beneficios de utilizar rutas estáticas incluyen la mejora de la seguridad
y la eficacia de los recursos. Las rutas estáticas consumen menos ancho de banda que los
protocolos de routing dinámico, y no se usa ningún ciclo de CPU para calcular y comunicar las
rutas. La principal desventaja de usar rutas estáticas es que no se vuelven a configurar de
manera automática si se modifica la topología de la red.
La figura muestra un ejemplo de red superpuesta. En dicha ilustración, observe que cualquier
red conectada al R1 solo tiene una manera de alcanzar otros destinos, ya sean redes
conectadas al R2 o destinos más allá del R2. Esto significa que las redes 10.0.1.0/24 y
10.0.2.0/24 son redes stub y R1 es un router stub.
En este ejemplo, se puede configurar una ruta estática en R2 para llegar a las redes R1.
Además, como el R1 tiene solo una forma de enviar tráfico no local, se puede configurar una
ruta estática predeterminada en el R1 para señalar al R2 como el siguiente salto para todas
las otras redes.
14.4.6
14.4.7
La figura muestra los routers R1 y R2 que utilizan un protocolo de enrutamiento común para
compartir información de red.
14.4.8
Nota: Los protocolos de enrutamiento IPv6 utilizan la dirección de vínculo local del router de
siguiente salto.
Nota: La configuración de enrutamiento OSPF para IPv4 e IPv6 está fuera del alcance de este
curso.
14.4.9
Ruta predeterminada
Las rutas predeterminadas son similares a un gateway predeterminado en un host. La ruta
predeterminada especifica un enrutador de salto siguiente que se utilizará cuando la tabla de
enrutamiento no contiene una ruta específica que coincida con la dirección IP de destino.
Una ruta predeterminada puede ser una ruta estática o aprenderse automáticamente de un
protocolo de enrutamiento dinámico. Una ruta predeterminada tiene una entrada de ruta IPv4
de 0.0.0.0/0 o una entrada de ruta IPv6 de: :/0. Esto significa que cero o ningún bit deben
coincidir entre la dirección IP de destino y la ruta predeterminada.
Un router, como un router doméstico o de oficina pequeña que solo tiene una LAN, puede
llegar a todas sus redes remotas a través de una ruta predeterminada. Esto es útil cuando el
router solo tiene redes conectadas directamente y un punto de salida a un enrutador
proveedor de servicios.
Los ejemplos siguientes muestran las entradas de la tabla de enrutamiento IPv4 e IPv6 para
las rutas estáticas predeterminadas configuradas en R2.
14.4.10
Nota: La tabla de enrutamiento IPv4 del ejemplo no procede de ningún router de la topología
utilizada en este módulo.
Aunque los detalles de la estructura están fuera del alcance de este módulo, es útil reconocer
la estructura de la tabla. Una entrada sangría se conoce como ruta secundaria. Una entrada
de ruta se sangra si es la subred de una dirección con clase (red de clase A, B o C). Las redes
conectadas directamente siempre tendrán sangría (rutas secundarias) porque la dirección
local de la interfaz siempre se introduce en la tabla de enrutamiento como /32. La ruta
secundaria incluirá el origen de la ruta y toda la información de reenvío, como la dirección de
salto siguiente. La dirección de red con clase de esta subred se mostrará encima de la entrada
de ruta, con menos sangría y sin código fuente. Esto se conoce como “ruta principal”.
Nota: Esto es solo una breve introducción a la estructura de una tabla de enrutamiento IPv4 y
no cubre detalles ni detalles específicos de esta arquitectura.
14.4.12
Distancia administrativa
Una entrada de ruta para una dirección de red específica (longitud de prefijo y prefijo) sólo
puede aparecer una vez en la tabla de enrutamiento. Sin embargo, es posible que la tabla de
enrutamiento aprenda acerca de la misma dirección de red desde más de un origen de
enrutamiento.
El IOS de Cisco utiliza lo que se conoce como “distancia administrativa” (AD) para determinar
la ruta que se debe instalar en la tabla de routing de IP. La AD representa la "confiabilidad" de
la ruta. Cuanto menor es la AD, mayor es la confiabilidad de la ruta. Dado que EIGRP tiene un
AD de 90 y OSPF tiene un AD de 110, la entrada de ruta EIGRP se instalaría en la tabla de
enrutamiento.
Un ejemplo más común es un router que aprende la misma dirección de red de una ruta
estática y un protocolo de enrutamiento dinámico, como OSPF. Por ejemplo, la AD de una ruta
estática es 1, mientras que la AD de una ruta descubierta por OSPF es 110. El router elige la
ruta con la AD más baja entre dos rutas diferentes al mismo destino. Cuando un router puede
elegir entre una ruta estática y una ruta de OSPF, la ruta estática tiene prioridad.
Nota: Las redes conectadas directamente tienen el AD más bajo de 0. Sólo una red conectada
directamente puede tener un AD de 0.
Distancia
Origen de la ruta
administrativa
Conectado directamente 0
Ruta estática 1
BGP externo 20
EIGRP interno 90
OSPF 110
IS-IS 115
RIP 120
¿Estático o dinámico?
En el tema anterior se discutieron las formas en que un router crea su tabla de enrutamiento.
Por lo tanto, ahora sabe que el enrutamiento, como el direccionamiento IP, puede ser estático
o dinámico. ¿Debería usar enrutamiento estático o dinámico? ¡La respuesta es ambas cosas!
El routing estático y el routing dinámico no son mutuamente excluyentes. En cambio, la
mayoría de las redes utilizan una combinación de protocolos de routing dinámico y rutas
estáticas.
Rutas Estáticas
Las rutas estáticas son útiles para redes más pequeñas con solo una ruta hacia una red
externa. También proporcionan seguridad en una red más grande para ciertos tipos de tráfico
o enlaces a otras redes que necesitan más control.
A medida que las redes evolucionaron y se volvieron más complejas, surgieron nuevos
protocolos de enrutamiento. El protocolo RIP se actualizó a RIPv2 para hacer lugar al
crecimiento en el entorno de red. Sin embargo, RIPv2 aún no se escala a las
implementaciones de red de mayor tamaño de la actualidad. Con el objetivo de satisfacer las
necesidades de las redes más grandes, se desarrollaron dos protocolos de enrutamiento: el
protocolo OSPF (abrir primero la ruta más corta) y sistema intermedio a sistema intermedio
(IS-IS). Cisco desarrolló el protocolo de enrutamiento de gateway interior (IGRP) e IGRP
mejorado (EIGRP), que también tiene buena escalabilidad en implementaciones de redes más
grandes.
La tabla clasifica los protocolos de enrutamiento actuales. Los protocolos de puerta de enlace
interior (IGP) son protocolos de enrutamiento utilizados para intercambiar información de
enrutamiento dentro de un dominio de enrutamiento administrado por una sola organización.
Sólo hay un EGP y es BGP. BGP se utiliza para intercambiar información de enrutamiento
entre diferentes organizaciones, conocidos como sistemas autónomos (AS). Los ISP utilizan
BGP para enrutar paquetes a través de Internet. Los protocolos de enrutamiento vectorial de
distancia, estado de vínculo y vector de ruta se refieren al tipo de algoritmo de enrutamiento
utilizado para determinar la mejor ruta.
Vector
Vector distancia Estado de enlace
ruta
EIGRP para
IPv6 RIPng OSPFv3 IS-IS para IPv6 BGP-MP
IPv6
14.5.3
Los componentes principales de los protocolos de routing dinámico incluyen los siguientes:
Estructuras de datos - por lo general, los protocolos de routing utilizan tablas o bases
de datos para sus operaciones. Esta información se guarda en la RAM.
Mensajes del protocolo de routing - los protocolos de routing usan varios tipos de
mensajes para descubrir routers vecinos, intercambiar información de routing y realizar
otras tareas para descubrir la red y conservar información precisa acerca de ella.
Algoritmo - un algoritmo es una lista finita de pasos que se usan para llevar a cabo una
tarea. Los protocolos de routing usan algoritmos para facilitar información de routing y
para determinar el mejor camino.
Estos protocolos permiten a los routers compartir información en forma dinámica sobre redes
remotas y ofrecer esta información automáticamente en sus propias tablas de routing. Haga
clic en Reproducir para ver una animación sobre este proceso.
Los protocolos de routing determinan la mejor ruta hacia cada red y, a continuación, esa ruta
se ofrece a la tabla de routing. La ruta se instalará en la tabla de routing si no hay otro origen
de routing con una distancia administrativa menor. Uno de los beneficios principales de los
protocolos de routing dinámico es que los routers intercambian información de routing cuando
se produce un cambio en la topología. Este intercambio permite a los routers obtener
automáticamente información sobre nuevas redes y también encontrar rutas alternativas
cuando se produce una falla de enlace en la red actual.
14.5.4
El mejor camino
Antes de ofrecer una ruta a una red remota a la tabla de enrutamiento, el protocolo de
enrutamiento dinámico debe determinar la mejor ruta a esa red. La determinación de la mejor
ruta implica la evaluación de varias rutas hacia la misma red de destino y la selección de la
ruta óptima o la más corta para llegar a esa red. Cuando existen varias rutas hacia la misma
red, cada ruta utiliza una interfaz de salida diferente en el router para llegar a esa red.
El mejor camino es elegido por un protocolo de enrutamiento en función del valor o la métrica
que usa para determinar la distancia para llegar a esa red. Una métrica es un valor cuantitativo
que se utiliza para medir la distancia que existe hasta una red determinada. El mejor camino a
una red es la ruta con la métrica más baja.
Los protocolos de enrutamiento dinámico generalmente usan sus propias reglas y métricas
para construir y actualizar las tablas de enrutamiento. El algoritmo de enrutamiento genera un
valor, o una métrica, para cada ruta a través de la red. Las métricas se pueden calcular sobre
la base de una sola característica o de varias características de una ruta. Algunos protocolos
de enrutamiento pueden basar la elección de la ruta en varias métricas, combinándolas en un
único valor métrico.
En la animación de la ilustración, se destaca cómo la ruta puede ser diferente según la métrica
que se utiliza. Si falla la mejor ruta, el protocolo de enrutamiento dinámico seleccionará
automáticamente una nueva mejor ruta si existe.
14.5.5
Balance de carga
¿Qué sucede si una tabla de routing tiene dos o más rutas con métricas idénticas hacia la
misma red de destino?
Cuando un router tiene dos o más rutas hacia un destino con métrica del mismo costo, el
router reenvía los paquetes usando ambas rutas por igual. Esto se denomina “balanceo de
carga de mismo costo”. La tabla de routing contiene la única red de destino pero tiene varias
interfaces de salida, una para cada ruta de mismo costo. El router reenvía los paquetes
utilizando las distintas interfaces de salida que se indican en la tabla de routing.
Las funciones principales de un router son determinar la mejor ruta para reenviar paquetes
basándose en la información de su tabla de enrutamiento, y reenviar paquetes hacia su
destino. La mejor ruta de la tabla de enrutamiento también se conoce como la coincidencia
más larga. La mejor coincidencia es la ruta de la tabla de routing que contiene la mayor
cantidad de bits del extremo izquierdo coincidentes con la dirección IPv4 de destino del
paquete. Las redes conectadas directamente son redes que están configuradas en las
interfaces activas de un router. Una red conectada directamente se agrega a la tabla de
enrutamiento cuando una interfaz se configura con una dirección IP y una máscara de subred
(longitud de prefijo) y está activa (arriba y arriba). Los routers aprenden acerca de las redes
remotas de dos maneras: las rutas estáticas se agregan a la tabla de enrutamiento cuando
una ruta se configura manualmente y con protocolos de enrutamiento dinámicos. Mediante
protocolos de enrutamiento dinámico como EIGRP y OSPF, las rutas se agregan a la tabla de
enrutamiento cuando los protocolos de enrutamiento aprenden dinámicamente acerca de la
red remota.
Reenvío de paquetes
Después de que un router determina la ruta correcta, puede reenviar el paquete en una red
conectada directamente, puede reenviar el paquete a un enrutador de siguiente salto o puede
soltar el paquete. Una responsabilidad principal de la función de switching es la de encapsular
los paquetes en el tipo de marco de enlace de datos correcto para el enlace de datos de
salida. Los routers admiten tres mecanismos de reenvío de paquetes: conmutación de
procesos, conmutación rápida y CEF. Los siguientes pasos describen el proceso de reenvío
de paquetes:
Tabla de enrutamiento IP
Una tabla de enrutamiento contiene una lista de rutas redes conocidas (prefijos y longitudes
de prefijo). El origen de esta información se deriva de redes conectadas directamente, rutas
estáticas y protocolos de enrutamiento dinámico. Los códigos de tabla de enrutamiento
comunes incluyen:
Los protocolos de enrutamiento actuales incluyen IGP y EGP. Los IGP intercambian
información de enrutamiento dentro de un dominio de enrutamiento administrado por una sola
organización. El único EGP es BGP. BGP intercambia información de enrutamiento entre
diferentes organizaciones. Los ISP utilizan BGP para enrutar paquetes a través de Internet.
Los protocolos de enrutamiento vectorial de distancia, estado de vínculo y vector de ruta se
refieren al tipo de algoritmo de enrutamiento utilizado para determinar la mejor ruta. Los
principales componentes de los protocolos de enrutamiento dinámico son estructuras de
datos, mensajes de protocolo de enrutamiento y algoritmos. El mejor camino es elegido por un
protocolo de enrutamiento en función del valor o la métrica que usa para determinar la
distancia para llegar a esa red. Una métrica es un valor cuantitativo que se utiliza para medir la
distancia que existe hasta una red determinada. El mejor camino a una red es la ruta con la
métrica más baja. Cuando un router tiene dos o más rutas hacia un destino con métrica del
mismo costo, el router reenvía los paquetes usando ambas rutas por igual. Esto se denomina
“balanceo de carga de mismo costo”.
Introducción
15.0.1
Hay tantas maneras diferentes de enrutar dinámicamente un paquete que podría preguntarse,
por qué alguien se tomaría el tiempo para configurar manualmente una ruta estática. Es como
lavar a mano toda su ropa cuando tiene una lavadora perfectamente buena. Pero sabe que
algunos artículos de ropa no pueden entrar en la lavadora. Algunos artículos se benefician de
ser lavados a mano. Hay una similitud con el networking. De tal manera que hay muchas
situaciones en las que una ruta estática configurada manualmente es su mejor opción.
Hay diferentes tipos de rutas estáticas, y cada una es perfecta para resolver (o evitar) un tipo
específico de problema de red. Muchas redes utilizan enrutamiento dinámico y estático, por lo
que los administradores de red necesitan saber cómo configurar, verificar y solucionar
problemas de rutas estáticas. Está realizando este curso porque desea convertirse en
administrador de red o desea mejorar sus habilidades de administrador de red existentes. ¡Se
alegrará de haber tomado este módulo, porque usará estas habilidades con frecuencia! ¡Y
debido a que este módulo trata de configurar rutas estáticas, hay varias actividades de
Verificación de sintaxis, seguido por un Packet Tracer y un Lab donde puede perfeccionar sus
habilidades!
15.0.2
Configuración de rutas
Configure las rutas estáticas IPv4 e IPv6.
estáticas IP
Título del tema Objetivo del tema
Configuración de rutas
Configure las rutas estáticas predeterminadas IPv4 e IPv6.
estáticas predeterminadas IP
Configuración de rutas
Configure una ruta estática flotante para proporcionar una conexión de respaldo.
estáticas flotantes
Configuración de rutas de Configure rutas de hosts estáticas IPv4 e IPv6 que dirijan el tráfico hacia un host
host estáticas específico.
Rutas estáticas
15.1.1
Las rutas estáticas se pueden configurar para IPv4 e IPv6. Ambos protocolos admiten los
siguientes tipos de rutas estáticas:
Las rutas estáticas se configuran con el comando ip route y el de ipv6 route configuración
global.
15.1.2
Ruta del siguiente salto - Solo se especifica la dirección IP del siguiente salto
Ruta estática conectada directamente - Solo se especifica la interfaz de salida del
router
Ruta estática totalmente especificada - Se especifican la dirección IP del siguiente
salto y la interfaz de salida
15.1.3
Parámetro Descripción
network-address
Identifica la dirección de red IPv4 de destino de la red remota para agregar a la tabla de
enrutamiento.
exit-intf ip- Crea una ruta estática completamente especificada porque especifica la interfaz de salida y la
address dirección IPv4 de salto siguiente.
15.1.4
Comando de ruta estática IPv6
Las rutas estáticas IPv6 se configuran con el siguiente comando global:
La tabla muestra los distintos parámetros de ipv6 route comando y sus descripciones.
Parámetro Descripción
Identifica la dirección de la red IPv6 de destino de la red remota para agregar a la tabla de
ipv6-prefix
enrutamiento.
exit-intf ipv6- Crea una ruta estática completamente especificada porque especifica la salida y dirección IPv6 de
address salto siguiente.
Comando opcional que se puede utilizar para asignar un valor administrativo de distancia
entre 1 y 255.
distance Suele utilizarse para configurar una ruta estática flotante al establecer una distancia
administrativa mayor que una ruta dinámica predeterminada.
Nota: El ipv6 unicast-routing comando de configuración global debe configurarse para que
habilite al router para que reenvíe paquetes IPv6.
15.1.5
Topología Dual-Stack
En la figura, se ve una topología de red dual-stack. Actualmente, no hay rutas estáticas
configuradas para IPv4 o IPv6.
15.1.6
Ninguno de los routers tiene conocimiento de las redes que están fuera de las interfaces
conectadas directamente. Esto significa que cada router solo puede llegar a redes conectadas
directamente, como se demuestra en las siguientes pruebas de ping.
Un ping de R1 a la interfaz serial 0/1/0 de R2 debe tener éxito porque es una red conectada
directamente.
R1# ping 172.16.2.2
R1 puede hacerle ping a LAN R3
Sin embargo, un ping del R1 a la LAN del R3 debe fallar porque R1 no tiene una entrada en
su tabla de routing para la red LAN del R3.
15.1.7
Ninguno de los routers tiene conocimiento de las redes que están fuera de las interfaces
conectadas directamente.
Sin embargo, a ping a la LAN R3 no tiene éxito. Esto se debe a que el R1 no tiene una
entrada en su tabla de routing para esa red.
En una ruta estática de siguiente salto, solo se especifica la dirección IP del siguiente salto. La
interfaz de salida se deriva del próximo salto. Por ejemplo, se configuran tres rutas estáticas
de siguiente salto en el R1 con la dirección IP del siguiente salto, el R2
Los comandos para configurar R1 con las rutas estáticas IPv4 a las tres redes remotas son los
siguientes:
La tabla de enrutamiento para R1 ahora tiene rutas a las tres redes IPv4 remotas.
15.2.2
Nota: Generalmente se recomienda utilizar una dirección de salto siguiente. Las rutas
estáticas conectadas directamente solo deben usarse con interfaces seriales punto a punto,
como en este ejemplo.
La tabla de routing IPv6 para el R1 en el ejemplo muestra que cuando un paquete está
destinado a la red 2001:db8:cafe:2::/64, el R1 busca una coincidencia en la tabla de routing y
encuentra que puede reenviar el paquete desde su interfaz serial 0/0/0.
Nota: Generalmente se recomienda utilizar una dirección de salto siguiente. Solo se deben
utilizar rutas estáticas conectadas directamente con interfaces seriales de punto a punto, como
se muestra en este ejemplo.
La diferencia entre una red Ethernet de accesos múltiples y una red serial punto a punto es
que esta última solo tiene un dispositivo más en esa red, el router que se encuentra en el otro
extremo del enlace. Con las redes Ethernet, es posible que existan muchos dispositivos
diferentes que comparten la misma red de accesos múltiples, incluyendo hosts y hasta routers
múltiples.
Cuando la interfaz de salida sea una red Ethernet, se recomienda utilizar una ruta estática que
incluya una dirección del siguiente salto. También puede usar una ruta estática
completamente especificada que incluye la interfaz de salida y la dirección de siguiente salto.
Al reenviar paquetes al R2, la interfaz de salida es GigabitEthernet 0/0/1 y la dirección IPv4 del
siguiente salto es 172.16.2.2. como se muestra en el show ip route resultado de R1.
15.2.6
Ruta estática completamente especificada
IPv6
En una ruta estática IPv6 completamente especificada, se especifican tanto la interfaz de
salida como la dirección IPv6 del siguiente salto. Hay una situación en IPv6 que se da cuando
se debe utilizar una ruta estática completamente especificada. Si la ruta estática IPv6 usa una
dirección IPv6 link-local como la dirección del siguiente salto, debe utilizarse una ruta estática
completamente especificada. La figura muestra un ejemplo de una ruta estática IPv6
completamente especificada que utiliza una dirección IPv6 link-local como la dirección del
siguiente salto.
En el ejemplo, se configura una ruta estática completamente especificada con la dirección link-
local del R2 como dirección del siguiente salto. Observe que el IOS requiere que se
especifique una interfaz de salida.
La razón por la cual se debe utilizar una ruta estática completamente especificada es que las
direcciones IPv6 link-local no están incluidas en la tabla de routing IPv6. Las direcciones link-
local solo son exclusivas en una red o un enlace dados. La dirección link-local del siguiente
salto puede ser una dirección válida en varias redes conectadas al router. Por lo tanto, es
necesario que la interfaz de salida se incluya.
El siguiente ejemplo muestra la entrada de la tabla de routing IPv6 para esta ruta. Observe
que la dirección link-local del siguiente salto y la interfaz de salida están incluidas.
15.2.7
Esta salida muestra sólo las rutas estáticas IPv4 en la tabla de enrutamiento. También tenga
en cuenta dónde el filtro comienza la salida, excluyendo todos los códigos.
Este comando mostrará la salida sólo para la red especificada en la tabla de enrutamiento.
Los routers suelen utilizar rutas predeterminadas configuradas de forma local, o bien,
descubiertas por otro router, mediante un protocolo de routing dinámico. Una ruta
predeterminada no requiere de ningún bit para que coincida entre la ruta predeterminada y la
dirección IP destino. Una ruta predeterminada se utiliza cuando ninguna otra ruta de la tabla
de routing coincide con la dirección IP de destino del paquete. Es decir, si no existe una
coincidencia más específica, entonces se utiliza la ruta predeterminada como el gateway de
último recurso.
La sintaxis del comando para una ruta estática predeterminada IPv4 es similar a cualquier otra
ruta estática, con la excepción de que la dirección de red es 0.0.0.0 y la máscara de subred
es 0.0.0.0. 0.0.0.0 0.0.0.0 en la ruta coincidirá con cualquier dirección de red.
Nota: Una ruta estática predeterminada IPv4 suele llamarse “ruta de cuádruple cero”.
La sintaxis del comando básico de una ruta estática predeterminada IPv4 es la siguiente:
Router(config)# ip route 0.0.0.0 0.0.0.0 {ip-address | exit-intf}
La sintaxis del comando para una ruta estática predeterminada IPv4 es similar a la sintaxis del
comando de cualquier otra ruta estática, excepto que ipv6-prefix/prefix-length es ::/0, que
coincide con todas las rutas.
La sintaxis del comando básico de una ruta estática predeterminada IPv6 es la siguiente:
15.3.2
El ejemplo muestra una ruta estática predeterminada IPv4 configurada en R1. Con la
configuración del ejemplo, cualquier paquete que no coincida con entradas más específicas de
la ruta se reenvía a 172.16.2.2.
Una ruta estática predeterminada IPv6 se configura de manera similar. Con esta
configuración, cualquier paquete que no coincida con entradas más específicas de la ruta IPv6
se reenvía a R2 al 2001:db8:acad:2::2
15.3.3
La salida del comando show ip route static de R1 muestra el contenido de las rutas estáticas
en la tabla de routing. Vea el asterisco (*) Al lado de la ruta con el código "S". Como se
muestra en la tabla de códigos en la salida del comando show ip route , el asterisco indica
que la ruta estática es una ruta predeterminada candidata, razón por la cual se selecciona
como gateway de último recurso.
Este ejemplo muestra el show ipv6 route static resultado del comando para mostrar el
contenido de la tabla de routing.
Observe que la configuración de ruta estática predeterminada utiliza la máscara /0 para las
rutas predeterminadas IPv4 y el prefijo: :/0 para las rutas predeterminadas IPv6. Recuerde que
la longitud de la máscara subnet IPv4 y el prefijo de IPv6 en una tabla de routing determina
cuántos bits deben coincidir entre la dirección IP de destino del paquete y la ruta en la tabla de
routing. Un prefijo /0 mask or ::/0 indica que no se requiere que ninguno de los bits coincida.
Mientras no exista una coincidencia más específica, la ruta estática predeterminada coincide
con todos los paquetes.
15.3.4
Otro tipo de ruta estática es una ruta estática flotante. Las rutas estáticas flotantes son rutas
estáticas que se utilizan para proporcionar una ruta de respaldo a una ruta estática o dinámica
principal, en el caso de una falla del enlace. La ruta estática flotante se utiliza únicamente
cuando la ruta principal no está disponible.
Para lograrlo, la ruta estática flotante se configura con una distancia administrativa mayor que
la ruta principal. La distancia administrativa representa la confiabilidad de una ruta. Si existen
varias rutas al destino, el router elegirá la que tenga una menor distancia administrativa.
Por ejemplo, suponga que un administrador desea crear una ruta estática flotante como
respaldo de una ruta descubierta por EIGRP. La ruta estática flotante se debe configurar con
una distancia administrativa mayor que el EIGRP. El EIGRP tiene una distancia administrativa
de 90. Si la ruta estática flotante se configura con una distancia administrativa de 95, se
prefiere la ruta dinámica descubierta por el EIGRP a la ruta estática flotante. Si se pierde la
ruta descubierta por el EIGRP, en su lugar se utiliza la ruta estática flotante.
De manera predeterminada, las rutas estáticas tienen una distancia administrativa de 1, lo que
las hace preferibles a las rutas descubiertas mediante protocolos de routing dinámico. Por
ejemplo, las distancias administrativas de algunos protocolos de routing dinámico comunes
son las siguientes:
EIGRP = 90
OSPF = 110
IS-IS = 115
La distancia administrativa de una ruta estática se puede aumentar para hacer que la ruta sea
menos deseable que la ruta de otra ruta estática o una ruta descubierta mediante un protocolo
de routing dinámico. De esta manera, la ruta estática “flota” y no se utiliza cuando está activa
la ruta con la mejor distancia administrativa. Sin embargo, si se pierde la ruta de preferencia,
la ruta estática flotante puede tomar el control, y se puede enviar el tráfico a través de esta
ruta alternativa.
15.4.2
Consulte la topología en la figura y los comandos ip route y ipv6 route emitidos en R1. En
esta situación, la ruta predeterminada preferida desde R1 es a R2. La conexión al R3 se debe
utilizar solo para respaldo.
El R1 se configura con las rutas estáticas predeterminadas IPv4 e IPv6 apuntando al R2.
Debido a que no está configurada ninguna distancia administrativa, se utiliza el valor
predeterminado (1) para esta ruta estática. El R1 también se configura con las rutas estáticas
flotantes predeterminadas IPv6 que apuntan al R3 con una distancia administrativa de 5. Este
valor es mayor que el valor predeterminado de 1 y, por lo tanto, esta ruta flota y no está
presente en la tabla de routing, a menos que falle la ruta preferida.
show ip route y show ipv6 route verifican que la ruta predeterminada al R2 esté instalada en
la tabla de routing. Observe que la ruta estática flotante de IPv4 a R3 no está presente en la
tabla de routing.
Utilice el comando show run para comprobar que las rutas estáticas flotantes están en la
configuración. Por ejemplo, el siguiente comando verifica que ambas rutas estáticas
predeterminadas IPv6 estén en la configuración en ejecución.
15.4.3
Para simular esta falla, se desactivan ambas interfaces seriales del R2, como se muestra en la
configuración.
Observe que R1 genera mensajes automáticamente indicando que la interfaz serial a R2 está
caída.
Una mirada a las tablas de enrutamiento IP de R1 verifica que las rutas estáticas flotantes
predeterminadas están ahora instaladas como rutas predeterminadas y apuntan a R3 como
enrutador de salto siguiente.
15.4.4
15.5.2
Cuando una interfaz activa en un router se configura con una dirección IP, se agrega
automáticamente una ruta de host local a la tabla de routing. Las rutas locales se marcan
con L en el resultado de la tabla de routing.
15.5.3
Ruta estática de host
Una ruta de host puede ser una ruta estática configurada manualmente para dirigir el tráfico a
un dispositivo de destino específico, como un servidor de autenticación. La ruta estática utiliza
una dirección IP de destino y una máscara 255.255.255.255 (/32) para las rutas de host IPv4 y
una longitud de prefijo /128 para las rutas de host IPv6.
15.5.4
15.5.5
15.5.6
Configurar rutas de host estáticas IPV6 con
Link-Local de siguiente salto
Para rutas estáticas IPv6, la dirección del siguiente salto puede ser la dirección link-local del
router adyacente. Sin embargo, debe especificar un tipo de interfaz y un número de interfaz
cuando usa una dirección link-local como siguiente salto, como se muestra en el ejemplo. En
primer lugar, se elimina la ruta de host estática IPv6 original y, a continuación, se configura
una ruta completamente especificada con la dirección IPv6 del servidor y la dirección local del
vínculo IPv6 del router ISP.
15.5.7
15.6.2
15.6.3
Las rutas estáticas se pueden configurar para IPv4 e IPv6. Ambos protocolos admiten los
siguientes tipos de rutas estáticas: ruta estática estándar, ruta estática predeterminada, ruta
estática flotante y ruta estática de resumen. Las rutas estáticas se configuran con el comando
ip route e ipv6 route de configuración global. El siguiente salto se puede identificar mediante
una dirección IP, una interfaz de salida, o ambas cuando se está configurando una ruta
estática. La forma en que se especifica el destino crea uno de los tres tipos siguientes de ruta
estática: next hop, directamente conectado y completamente especificado. Las rutas estáticas
IPv4 se configuran mediante el siguiente comando de configuración global: ip route network-
address subnet-mask {ip-address | exit-intf [ip=address]} [distance]. Las rutas estáticas IPv6
se configuran mediante el siguiente comando de configuración global: ipv6 route ipv6-
prefix/prefix-length {ipv6-address | exit-intf [ipv6-address]} [distance]. El comando para iniciar
una tabla de routing IPv4 es show ip route | begin Gateway. El comando para iniciar una
tabla de routing IPv6 es show ipv6 route | begin C.
Una ruta predeterminada es una ruta estática que coincide con todos los paquetes. Una ruta
predeterminada no requiere que ningún bit solo coincida entre la ruta predeterminada y la
dirección IP destino. Las rutas estáticas predeterminadas se utilizan comúnmente al conectar
un router perimetral a una red de proveedor de servicios y un router stub. La sintaxis del
comando para una ruta estática predeterminada IPv4 es similar a cualquier otra ruta estática
IPv4, con la excepción de que la dirección de red es 0.0.0.0 y la máscara de subred es 0.0.0.0.
0.0.0.0 0.0.0.0 en la ruta coincidirá con cualquier dirección de red. La sintaxis del comando
para una ruta estática predeterminada IPv6 es similar a la sintaxis del comando de cualquier
otra ruta estática IPv6, excepto que ipv6-prefix/prefix-length es ::/0, que coin cide con todas las
rutas. Para verificar una ruta estática predeterminada IPv4, utilice el comando show ip route
static. Para IPV6, use el comando show ipv6 route static.
Las rutas estáticas flotantes son rutas estáticas que se utilizan para proporcionar una ruta de
respaldo a una ruta estática o dinámica principal, en el caso de una falla del enlace. La ruta
estática flotante se configura con una distancia administrativa mayor a la de una ruta principal.
De manera predeterminada, las rutas estáticas tienen una distancia administrativa de 1, lo que
las hace preferibles a las rutas descubiertas mediante protocolos de routing dinámico. Las
distancias administrativas de algunos protocolos de router dinámico de puerta de enlace
interior comunes son EIGRP = 90, OSPF = 110 e IS-IS = 115. Las rutas estáticas flotantes IP
se configuran mediante el distance argumento para especificar una distancia administrativa.
Si no se configura ninguna distancia administrativa, se utiliza el valor predeterminado
(1). show ip route y show ipv6 route verifica que las rutas predeterminadas a un router estén
instaladas en la tabla de routing.
Una ruta de host es una dirección IPv4 con una máscara de 32 bits o una dirección IPv6 con
una máscara de 128 bits. Hay tres maneras de agregar una ruta de host a la tabla de
enrutamiento: se instala automáticamente cuando se configura una dirección IP en el
enrutador, se configura como una ruta de host estática o se obtiene automáticamente a través
de otros métodos no cubiertos en este módulo. El IOS de Cisco instala automáticamente una
ruta de host, también conocida como ruta de host local, cuando se configura una dirección de
interfaz en el router. Una ruta de host puede ser una ruta estática configurada manualmente
para dirigir el tráfico a un dispositivo de destino específico. Para las rutas estáticas IPv6, la
dirección de salto siguiente puede ser la dirección link-local del router adyacente; sin embargo,
debe especificar un tipo de interfaz y un número de interfaz cuando utilice una dirección link-
local como salto siguiente. Para ello, se elimina la ruta de host estática IPv6 original y, a
continuación, se configura una ruta completamente especificada con la dirección IPv6 del
servidor y la dirección link-local IPv6 del router ISP.
Introducción
16.0.1
¡Bien hecho! Ha llegado al módulo final del curso Switching, Routing e Wireless Essentials
v7.0 (SRWE). Este curso le proporcionó los conocimientos y habilidades en profundidad que
necesita para configurar conmutadores y enrutadores (incluidos los dispositivos inalámbricos)
en su red en crecimiento. ¡Realmente eres bueno en la administración de redes!
Pero, ¿qué hace que un buen administrador de red sea un gran administrador? La capacidad
de solucionar problemas de manera efectiva. La mejor manera de adquirir habilidades de
solución de problemas de red es simple: esté siempre solucionando problemas. En este
módulo, solucionará los problemas de rutas estáticas y predeterminadas. Hay un comprobador
de sintaxis, un rastreador de paquetes y un laboratorio práctico donde puede perfeccionar sus
habilidades de solución de problemas. ¡Vamos a hacerlo!
16.0.2
Procesamiento de paquetes Explicar cómo un router procesa los paquetes cuando una ruta estática es
con rutas estáticas configurada.
Resuelva problemas de
configuración de rutas
Resolver problemas comunes de configuración de rutas estáticas y predeterminadas.
estáticas y predeterminadas
IPv4
Procesamiento de paquetes con
rutas estáticas
16.1.1
16.1.2
Verifique su conocimiento: procesamiento
de paquetes con rutas estáticas
Resuelva problemas de
configuración de rutas estáticas y
predeterminadas IPv4
16.2.1
Cambios en la red
No importa lo bien que configure la red, tendrá que estar preparado para solucionar algún
problema. Las redes están condicionadas a situaciones que pueden provocar un cambio en su
estado con bastante frecuencia. Por ejemplo, una interfaz puede fallar o un proveedor de
servicios interrumpe una conexión. Los vínculos pueden sobresaturarse o un administrador
puede introducir una configuración incorrecta.
16.2.2
ping
traceroute
show ip route
show ip interface brief
show cdp neighbors detail
La figura muestra la topología de referencia OSPF utilizada para demostrar estos comandos.
ping
traceroute
Este ejemplo muestra el resultado de un trazado de ruta desde R1 a la LAN R3. Tenga en
cuenta que cada ruta de salto devuelve una respuesta ICMP.
show ip route
Se muestra un estado rápido de todas las interfaces del router mediante el comando show ip
interface brief de este ejemplo.
El comando show cdp neighbors proporciona una lista de dispositivos Cisco conectados
directamente. Este comando valida la conectividad de la capa 2 (y, por lo tanto, la de la capa
1). Por ejemplo, si en el resultado del comando se indica un dispositivo vecino, pero no se
puede hacer ping a este, entonces se debe investigar el direccionamiento de la capa 3.
16.2.3
Resolución de un problema de
conectividad
Encontrar una ruta faltante (o mal configurada) es un proceso relativamente sencillo si se
utilizan las herramientas adecuadas de manera metódica.
Por ejemplo, el usuario en PC1 informa que no puede acceder a los recursos en la LAN R3.
Esto se puede confirmar haciendo ping a la interfaz LAN de R3 utilizando la interfaz LAN de
R1 como fuente. Una vez más, usaremos la topología de la figura para demostrar cómo
solucionar este problema de conectividad.
El administrador de red puede probar la conectividad entre las dos LAN desde R1 en lugar de
PC1. Esto se puede hacer mediante la fuente del ping desde la interfaz G0/0/0 en R1 a la
interfaz G0/0/0 en R3, como se muestra en el ejemplo. Los resultados muestran que no hay
conectividad entre estas LAN.
192.168.1.1
La tabla de enrutamiento en R2 se comprueba una vez más para confirmar que la entrada de
ruta a la LAN en R1, 172.16.3.0, es correcta y apunta hacia R1.
Hacer ping a la LAN remota de nuevo
16.2.4
16.3.2
Podrá practicar estas habilidades usando Packet Tracer o equipo de laboratorio, de estar
disponible.
16.3.3
Las redes están condicionadas a situaciones que pueden provocar un cambio en su estado
con bastante frecuencia. Una interfaz puede fallar o un proveedor de servicios interrumpir una
conexión. Los vínculos pueden sobresaturarse o un administrador puede introducir una
configuración incorrecta. Entre los comandos comunes para la resolución de problemas de
IOS, se encuentran los siguientes:
ping
traceroute
show ip route
show ip interface brief
show cdp neighbors detail