Documentos de Académico
Documentos de Profesional
Documentos de Cultura
• Paso 5: EL Boot-Loader localiza y carga la IOS en la memoria y la IOS coge el control del
Switch.
Command Definition
boot system
The main command
flash:
The storage device
c2960-lanbasek9-mz.150-2.SE/ The path to the file
system
c2960-lanbasek9-mz.150-2.SE.bin
The IOS file name
Puede usar los LED del switch para controlar rápidamente la actividad y el rendimiento del switch.
Ejemplo Catalyst 2960
El boton mode (7) se utiliza para alternar el estado del puerto, el dúplex del puerto, la velocidad y si
lo soporta, el estado de PoE en los les de puerto (8)
1. SYST : System Led; Muestra si el sistema esta recibiendo energía y funciona correctamente.
• Off : Indica sistema no encendido
• Blinking Green : RPS conectado pero no esta listo para dar suministro
• Blinking Amber : La fuente de alimentación interna tiene una falla y el RPS está
proporcionando alimentación.
3. STAT (STADÍSTICAS) : Led modo de estado de puerto seleccionado
• Off : No hay enlace o está administrativamente inactivo
• Amber : Puerto bloqueado para evitar loops en el dominio de reenvío. Los puertos
permanecen en este modo los primeros 30 segundos desde su activación.
• Blinking Amber : Boqueado para evitar un loop en el dominio de reenvío.
Después de que flash haya terminado de inicializar, puede ingresar el dir flash: comando para ver
los directorios y archivos en flash, como se muestra en la salida.
Introduzca el BOOT=flash comando para cambiar la ruta de la variable de entorno BOOT que
utiliza el switch para cargar el nuevo IOS en flash. Para verificar la nueva ruta de la variable de
entorno BOOT, vuelva a set ejecutar el comando. Finalmente, para cargar el nuevo IOS escriba el
boot comando sin ningún argumento, como se muestra en la salida.
Para el acceso a la administración remota de un switch, se debe configurar con una dirección IP y
una máscara de subred en la SVI, y debe configurarse la default-gateway.
Todos los puertos se asignan a la VLAN 1 de manera predeterminada. Por motivos de seguridad, se
considera una práctica recomendada utilizar una VLAN distinta de la VLAN 1 para la VLAN de
administración, como la VLAN 99 en el ejemplo.
Paso 1
Desde el modo de configuración de la interfaz VLAN, se aplica una dirección IPv4 y una máscara
de subred a la SVI de administración del switch.
Nota: El SVI para VLAN 99 no aparecerá como "activo / activo" hasta que se cree VLAN 99 y
haya un dispositivo conectado a un puerto de switch asociado con VLAN 99.
Nota:Es posible que el switch debata configurar para IPv6. Por ejemplo, antes de que pueda
configurar el direccionamiento IPv6 en un Cisco Catalyst 2960 que ejecute IOS versión 15.0,
deberá ingresar el comando de configuración global sdm prefer dual-ipv4-and-ipv6 default y, a
continuación, reload el switch.
Paso 2
Si el switch se va a administrar de forma remota desde redes que no están conectadas directamente,
se debe configurar con un default-gateway.
Nota: Dado que recibirá la información de la default-gateway en un mensaje de anuncio de router
(Router Advertisement ,RA), el switch no requiere una puerta de enlace predeterminada IPv6.
Verificar la configuración
Los show ip interface brief comandos show ipv6 interface brief y son útiles para determinar el
estado de las interfaces físicas y virtuales.
Nota: Una dirección IP aplicada al SVI es solo para el acceso de administración remota al switch;
esto no permite que el switch enrute paquetes de Capa 3.
Duplex comunication
La comunicación en dúplex completo aumenta el ancho de banda eficaz al permitir que ambos
extremos de una conexión transmitan y reciban datos simultáneamente. Esto también se conoce
como comunicación bidireccional y requiere microsegmentación. Las LAN microsegmentadas se
crean cuando un puerto de switch tiene solo un dispositivo conectado y funciona en modo dúplex
completo. Cuando un puerto de switch opera en modo dúplex completo, no hay dominio de colisión
conectado al puerto.
A diferencia de la comunicación en dúplex completo, la comunicación en semidúplex es
unidireccional. La comunicación en semidúplex genera problemas de rendimiento debido a que los
datos fluyen en una sola dirección por vez, lo que a menudo provoca colisiones.
Los puertos de switch se pueden configurar manualmente con parámetros específicos de dúplex y
de velocidad. Use el comando duplex del modo de configuración de interfaz duplex para
especificar manualmente el modo dúplex de un puerto de switch. Use el speed comando del modo
de configuración de la interfaz para especificar manualmente la velocidad.
La configuración predeterminada de dúplex y velocidad para los puertos de switch en los switches
Cisco Catalyst 2960 y 3560 es automática. En 10/100 los puertos funcionan en half-duplex, en 1000
funcionan en full-duplex. La negociación automática es útil cuando la configuración de velocidad y
dúplex del dispositivo que se conecta al puerto es desconocida o puede cambiar.
Cuando se conecta a dispositivos conocidos como servidores, estaciones de trabajo dedicadas o
dispositivos de red, la mejor práctica es establecer manualmente la configuración de velocidad y
dúplex.
Todos los puertos de fibra óptica, como los puertos 1000BASE-SX, solo funcionan a una velocidad
predefinida y siempre son full-dúplex.
Auto-MDIX
Para examinar la configuración de auto-MDIX para una interfaz específica, use el comando show
controllers ethernet-controller con la palabra clave phy. Para limitar la salida a líneas que hagan
referencia a auto-MDIX, use el filtro include Auto-MDIX Como se muestra el resultado indica On
(Habilitada) u Off (Deshabilitada)
O
Muestra información de IP de una interfaz.
S1# show ipv6 interface [interface-id]
O
Muestra la tabla de direcciones MAC.
S1# show mac address-table
Verify Switch Ports Configuration
El comando show interfaces es otro comando de uso común, que muestra información de estado y
estadísticas en las interfaces de red del switch.
El resultado del comando show interfaces es útil para detectar problemas comunes de medios. Una
de las partes más importantes de esta salida es la visualización de la línea y el estado del protocolo
de enlace de datos
El primer parámetro (FastEthernet0 / 18 is up) se refiere a la capa de hardware e indica si la interfaz
está recibiendo una señal de detección de portadora. El segundo parámetro (line protocol is up) se
refiere a la capa de enlace de datos e indica si se reciben los keepalives del protocolo de capa de
enlace de datos.
Según el resultado del comando show interfaces, los posibles problemas se pueden solucionar de la
siguiente manera:
• Si la interface up y el protocolo down, hay un problema. Puede haber una incompatibilidad
en el tipo de encapsulación, la interfaz en el otro extremo puede estar inhabilitada por
errores o puede haber un problema de hardware.
• Si el interface down y el protocolo down, no hay un cable conectado o existe algún otro
problema de interfaz. Por ejemplo, en una conexión directa, el otro extremo de la conexión
puede estar administrativamente inactivo.
• Si la interface is administratively down, it has been manually disabled (the **** shutdown)
en la configuración activa.
El resultado del comando show interfaces muestra contadores y estadísticas para la interfaz
Fastethernet0/18, como se destaca en el ejemplo.
Algunos errores de los medios no son lo suficientemente graves como para hacer que el circuito
falle, pero causan problemas de rendimiento de la red. La tabla explica algunos de estos errores
comunes que se pueden detectar con el comando show interfaces.
“Input errors” indica la suma de todos los errores en los datagramas que se recibieron en la
interfaz que se analiza. Estos incluyen los recuentos de runts, giants, de los que no están
almacenados en buffer, de CRC, de tramas, de saturación y de ignorados. Los errores de entrada
informados del comando show interfaces incluyen lo siguiente:
• Runt Frames : las tramas Ethernet que son más cortas que la longitud mínima permitida de
64 bytes se llaman runts. La NIC en mal funcionamiento son la causa habitual, pero también
puede deberse a colisiones.
• Giants : Las tramas de Ethernet que son más grandes que el tamaño máximo permitido
• CRC errors : En las interfaces Ethernet y serie, los errores de CRC generalmente indican
un error de medios o cable. Las causas más comunes incluyen interferencia eléctrica,
conexiones flojas o dañadas o cableado incorrecto. Si aparecen muchos errores de CRC, hay
demasiado ruido en el enlace, y se debe examinar el cable. También se deben buscar y
eliminar las fuentes de ruido.
“Output errors” es la suma de todos los errores que impiden la transmisión final de los datagramas
por la interfaz que se analiza. Los errores de salida informados del comando show interfaces
incluyen lo siguiente:
• Collisions : Las colisiones en operaciones half-duplex son normales. Sin embargo, nunca
debe observar colisiones en una interfaz configurada en full-duplex
• Late collisions : Se refiere a una colisión que ocurre después de que se han transmitido 512
bits de la trama. La longitud excesiva de los cables es la causa más frecuente. Otra causa
frecuente es la configuración incorrecta de dúplex, se verían en la interfaz que está
configurada en half-duplex. En ese caso, debe configurar los mismos parámetros de dúplex
en ambos extremos. Una red diseñada y configurada correctamente nunca debería tener late
collisions.
La mayoría de los problemas que afectan a las redes conmutadas se produce durante la
implementación inicial. En teoría, una vez instaladas, las redes continúan funcionando sin
problemas. Sin embargo, los cables se dañan, la configuración cambia, y se conectan al switch
nuevos dispositivos que requieren cambios de configuración en este. Se requiere el mantenimiento y
la resolución de problemas de infraestructura de la red de forma permanente.
Si la interfaz está activa pero aún hay problemas de conectividad, realice lo siguiente:
• Con el comando show interfaces , verifique si hay indicios de ruido excesivo. Los indicios
pueden incluir un aumento en los contadores de fragmentos runts, giants y de errores de
CRC. Si hay un exceso de ruido, primero busque el origen del ruido y, si es posible,
elimínelo. Además, verifique qué tipo de cable se utiliza y que el cable no supere la longitud
máxima.
• Si no hay problemas de ruido, verifique si hay un exceso de colisiones. Si hay collisions o
late collisions, verifique la configuración de dúplex en ambos extremos de la conexión. Al
igual que la configuración de velocidad, la configuración dúplex generalmente se negocia
automáticamente. Si parece haber una diferencia entre dúplex, configure manualmente el
dúplex como full (completo) en ambos extremos de la conexión
Telnet utiliza el puerto TCP 23. Es un protocolo más antiguo que utiliza la transmisión de texto sin
formato , que transmite de forma insegura tanto las credenciales como los datos trasmitidos.
Secure Shell (SSH) es un protocolo seguro que utiliza el puerto TCP 22. Proporciona una conexión
de administración segura (encriptada) a un dispositivo remoto.
Para habilitar SSH en un switch Catalyst 2960, el switch debe usar una versión del software IOS
que incluya características y capacidades criptográficas (cifradas). Utilice el comando show version
del switch para ver qué IOS está ejecutando el switch. Un nombre de archivo de IOS que incluye la
combinación «k9» admite características y capacidades criptográficas (cifradas).
Antes de configurar SSH, el switch debe tener configurado, como mínimo, un nombre de host único
y los parámetros correctos de conectividad de red.
Si desea que los dispositivos puedan enviar y recibir datos fuera de su red, deberá configurar
routers.
Las siguientes tareas de configuración siempre deben realizarse. Asigne un nombre al dispositivo
para distinguirlo de otros routeres y configure contraseñas
Una característica que distingue a los switches de los routers es el tipo de interfaces que admite
cada uno.
Los routers admiten redes LAN y WAN, y pueden interconectar distintos tipos de redes; por lo
tanto, admiten muchos tipos de interfaces. Por ejemplo, los ISR G2 tienen una o dos interfaces
Gigabit Ethernet integradas y ranuras para tarjetas de interfaz WAN de alta velocidad (HWIC) para
admitir otros tipos de interfaces de red, incluidas las interfaces seriales, DSL y de cable.
Para que una interfaz esté disponible, debe cumplir los siguientes requisitos:
• Configurado con al menos una dirección IP: - Utilice los comandos de configuración de
ip address ip-address subnet-mask y ipv6 address ipv6-address/prefix interface.
• Activado: - Las interfaces LAN y WAN no están activadas de manera predeterminada
(shutdown). Para habilitar una interfaz, esta se debe activar mediante el comando no
shutdown. La interfaz también debe estar conectada a otro dispositivo (un hub, un switch u
otro router) para que la capa física se active.
• Descripción - Opcionalmente, la interfaz también se puede configurar con una breve
descripción de hasta 240 caracteres. Es aconsejable configurar una descripción en cada
interfaz.
IPv4 Loopback interfaces
Se la considera una interfaz de software que se coloca automáticamente en estado "up" (activo),
siempre que el router esté en funcionamiento.
La interfaz loopback es útil para probar y administrar un dispositivo Cisco IOS, ya que asegura que
por lo menos una interfaz esté siempre disponible.
El proceso de habilitación y asignación de una dirección de loopback:
Se pueden habilitar varias interfaces loopback en un router. La dirección IPv4 para cada interfaz de
loopback debe ser única y no debe ser utilizada por ninguna otra interfaz
Interface Verification commands
Los siguientes comandos son especialmente útiles para identificar rápidamente el estado de una
interfaz:
• show ip interface brief y show ipv6 interface brief -Estos muestran un resumen de todas
las interfaces, incluida la dirección IPv4 o IPv6 de la interfaz y el estado operativo actual.
• show running-config interface interface-id -Esto muestra los comandos aplicados a la
interfaz especificada.
• show ip route y show ipv6 route - Este muestra el contenido de la tabla IPv4 o IPv6
almacenada en la memoria RAM. En Cisco IOS 15, las interfaces activas deben aparecer en
la tabla de ruteo con dos entradas relacionadas identificadas con el código 'C' (Connected) o
'L' (Local). En versiones anteriores de IOS, solo aparece una entrada con el código 'C'.
La salida de los comandos show ip interface brief y show ipv6 interface brief y se puede usar
para revelar rápidamente el estado de todas las interfaces en el router. Puede verificar que las
interfaces están activas y operativas como se indica en el estado de «up» y el protocolo de «up».
Junto con la dirección local del enlace y la dirección de unidifusión global, show running-config
interface la salida incluye las direcciones de multidifusión asignadas a la interfaz, comenzando con
el prefijo FF02
show interfaces - Muestra la información de la interfaz y el recuento de flujo de paquetes para
todas las interfaces en el dispositivo.
show ip interface and show ipv6 interface -Muestra la información relacionada con IPv4 e IPv6
para todas las interfaces en un router.
Verify Routes
La salida de los show ip route comandos show ipv6 route y muestra las tres entradas de red
conectadas directamente y las tres entradas de interfaz de ruta de host local, las directamente
conectadas.
Una ‘C’ junto a una ruta dentro de la tabla de enrutamiento indica que se trata de una red conectada
directamente. Cuando la interfaz del router está configurada con una dirección de unicast global y
está en el estado "up / up", el prefijo IPv6 y la longitud del prefijo se agregan a la tabla de
enrutamiento IPv6 como una ruta conectada.
La dirección de unicast global IPv6 aplicada a la interfaz también se instala en la tabla de
enrutamiento como una ruta local. La ruta local tiene un prefijo /128. La tabla de routing utiliza las
rutas locales para procesar eficazmente los paquetes cuyo destino es la dirección de la interfaz del
router. El ping comando para IPv6 :
Filter Show Command Output
Los comandos que generan varias pantallas de resultados se pausan al cabo de 24 líneas de manera
predeterminada. Use el comando terminal length para especificar el número de líneas que se
mostrarán. Un valor 0 (cero) evita que el router haga una pausa entre las pantallas de resultados.
Los comandos de filtrado se pueden utilizar para mostrar secciones específicas de los resultados.
Para habilitar el comando de filtrado, ingrese uin pipe “ | “ después del comando show y después
ingrese un parámetro de filtrado y una expresión de filtrado. Hay 4 parámetros de filtrado :
1. section : Muestra la sección completa que comienza con la expresión de filtrado.
2. Include : Incluye todas las líneas de salida que coinciden con la expresión de filtrado.
3. Exclude : Excluye todas las líneas de salida que coinciden con la expresión de filtrado
4. begin : Muestra todas las líneas de salida desde un punto determinado, comenzando con la
línea que coincide con la expresión de filtrado.
section:
include:
exclude:
begin:
Para recuperar comandos en el búfer de historial, presione Ctrl+P o la Up Arrow. Para volver a los
comandos más recientes en el búfer de historial, presione Ctrl+N o la Down Arrow
De manera predeterminada, el historial de comandos está habilitado, y el sistema captura las últimas
10 líneas de comandos en el búfer de historial. Utilice el show history comando EXEC privilegiado
para mostrar el contenido del búfer.
Use el terminal history size comando EXEC del usuario para aumentar o disminuir el tamaño del
búfer.
2. Switching in Networking
La decisión sobre cómo un switch reenvía el tráfico se toma en relación con el flujo de ese tráfico.
Hay dos términos asociados:
• Ingrees - Este término se usa para describir el puerto por donde una trama ingresa al
dispositivo.
• Egrees - Este término se usa para describir el puerto que las tramas utilizarán al salir del
dispositivo.
Un switch LAN reenvía tráfico basado en el puerto de entrada y la dirección MAC de destino de
una trama Ethernet.
A medida que el switch aprende la relación de los puertos con los dispositivos, construye una tabla
llamada tabla de direcciones MAC. Esta tabla se almacena en la Memoria de Contenido
Direccionable (Content-Addressable Memory, CAM) , también llamada Tabla MAC.
Un switch llena su tabla de direcciones MAC al registrar la dirección MAC de origen de cada
dispositivo conectado a cada uno de sus puertos.
El siguiente proceso de dos pasos se realiza para cada trama de Ethernet que ingresa a un switch.
Los switches toman decisiones de reenvío de capa 2 muy rápidamente. Esto se debe al software en
los circuitos integrados para aplicaciones específicas (application-specific-integrated circuits,
ASIC, por sus siglas en ingles). Los ASIC reducen el tiempo de manejo de paquetes dentro del
dispositivo y permiten que el dispositivo pueda manejar una mayor cantidad de puertos sin
disminuir el rendimiento.
Los switches de capa 2 utilizan uno de estos dos métodos:
• Store-and-forward switching : Este método toma una decisión de reenvío en una trama
después de haber recibido la trama completa y revisada para la detección de errores
mediante un mecanismo matemático de verificación de errores conocido como Verificación
por Redundancia Cíclica (Cyclic Redundancy Check, CRC). El intercambio por
almacenamiento y envío es el método principal de switching LAN de Cisco.
• Cut-through switching : Este método inicia el proceso de reenvío una vez que se determinó
la dirección MAC de destino de una trama entrante y se estableció el puerto de salida.
Cut-Through Switching
Los switches que usan cut-through pueden reenviar tramas no válidas, ya que no realizan la
verificación de FCS. Sin embargo tiene la capacidad de realizar un cambio de trama rápida y
pueden tomar una decisión de reenvío tan pronto como encuentren la dirección MAC de destino de
la trama en la tabla de direcciones MAC.
El switch no tiene que esperar a que el resto de la trama ingrese al puerto de entrada antes de tomar
la decisión de reenvío.
El switching “Fragment free” es una forma modificada de “cut-through”, en la que el switch sólo
comienza a reenviar la trama después de haber leído el campo “type”. El switching libre de
fragmentos proporciona una mejor verificación de errores que el método de corte, con
prácticamente ningún aumento de latencia.
La velocidad de latencia más baja del switching por corte hace que resulte más adecuado para las
aplicaciones mas demandantes de Tecnología Informática de Alto Rendimiento (High-Performance
Computing, HPC) que requieren latencias de proceso a proceso de 10 microsegundos o menos.
Los segmentos de red que comparten el mismo ancho de banda entre dispositivos se conocen como
dominios de colisión. Cuando dos o más dispositivos del mismo dominio de colisión tratan de
comunicarse al mismo tiempo, se produce una colisión.
Si un puerto Ethernet de switch funciona en half-duplex, cada segmento está en su propio dominio
de colisión. No hay dominios de colisión cuando los puertos del switch funcionan en full-dúplex.
De manera predeterminada, los puertos de Ethernet del switch negociarán automáticamente el full-
dúplex, si un dispositivo funciona en half-duplex, la negociación es half-duplex. En el caso de half-
duplex, el puerto de switch formará parte de un dominio de colisión.
Broadcast Domain
Una serie de switches interconectados forma un dominio de broadcast. Sólo los dispositivos de capa
3 como los router , pueden dividir un dominio de broadcast de capa 2. Los router se utilizan para
segmentar los dominios de broadcast y los dominios de colision.
El dominio de bradcast de capa 2 se llama MAC broadcast domain.
De manera predeterminada, los puertos de switch interconectados tratan de establecer un enlace en
full-dúplex, y por lo tanto se eliminan los dominios de colision. Las conexiones full-duplex se
requieren para conexiones de 1Gb/s y superiores.
Los switches interconectan segmentos LAN, usan una tabla de direcciones MAC para determinar
los puertos de salida y pueden reducir o eliminar por completo las colisiones.
Características de los Switches para aliviar las congestiones de red:
• Fast port speeds : La mayoría de los switches de capa de acceso admiten velocidades de
puerto de 100 Mbps y 1 Gbps. Los switches de capa de distribución admiten velocidades de
puerto de 100 Mbps, 1 Gbps y 10 Gbps y los switches de data center y centro de datos
admiten velocidades de puerto de 100 Gbps, 40 Gbps y 10 Gbps.
• Fast internal switching : os switches utilizan un bus interno rápido o memoria compartida
para proporcionar un alto rendimiento.
• Large frame buffers : los switches utilizan búferes de memoria grande para almacenar
temporalmente más tramas recibidas antes de tener que empezar a descartarlas. Esto permite
que el tráfico de entrada desde un puerto más rápido (por ejemplo, 1 Gbps) se reenvíe a un
puerto de salida más lento (por ejemplo, 100 Mbps) sin perder tramas.
• High port density : un switch de alta densidad de puertos reduce los costos generales
porque reduce el número de switches requeridos.
3. VLAN Definitions
Las VLAN permiten que el administrador divida las redes en segmentos según factores como la
función, el equipo del proyecto o la aplicación, sin tener en cuenta la ubicación física del usuario o
del dispositivo. Cada VLAN se considera una red lógica diferente. Los dispositivos dentro de una
VLAN funcionan como si estuvieran en su propia red independiente, aunque compartan una misma
infraestructura con otras VLAN.
Una VLAN crea un dominio de broadcast lógico que puede abarcar varios segmentos LAN físicos.
Las VLAN mejoran el rendimiento de la red mediante la división de grandes dominios de broadcast
en otros más pequeños.
Cada puerto de switch se puede asignar a una sola VLAN (a excepción de un puerto conectado a un
teléfono IP o a otro switch).
Ventaja Descripción
• Dividir una red en VLAN reduce el número de dispositivos
en el dominio de broadcast.
Dominios de broadcast • En la figura, hay seis computadoras en la red, pero solo
más pequeños tres dominios de difusión (es decir, Facultad, Estudiante e
Invitado).
• Sólo los usuarios de la misma VLAN pueden comunicarse
juntos.
• En la figura, el tráfico de red de profesores en la VLAN 10
Seguridad mejorada
es completamente separados y protegidos de los usuarios
en otras VLAN.
Types of VLAN
Algunos tipos de VLAN se definen según las clases de tráfico. Otros tipos de VLAN se definen
según la función específica que cumplen.
Default VLAN
La VLAN predeterminada para los switches Cisco es la VLAN 1. Por lo tanto, todos los puertos del
switch están en VLAN 1 a menos que esté configurado explícitamente para estar en otra VLAN.
Todo el tráfico de control de capa 2 se asocia a la VLAN 1 de manera predeterminada.
Todos los puertos se asignan a la VLAN 1 de manera predeterminada.
• De manera predeterminada, la VLAN nativa es la VLAN 1.
• De manera predeterminada, la VLAN de administración es la VLAN 1.
• No es posible eliminar ni cambiar el nombre de VLAN 1.
Los Trunks o troncales de VLAN permiten que todo el tráfico de VLAN se propague entre
switches. Esto permite que los dispositivos conectados a diferentes switches pero en la misma
VLAN se comuniquen sin pasar por un router.
Un enlace troncal es un enlace peer-to-peer entre dos dispositivos de red que lleva más de una
VLAN. Cisco admite IEEE 802.1Q para coordinar enlaces troncales en las interfaces Fast Ethernet,
Gigabit Ethernet y 10-Gigabit Ethernet.
También se puede utilizar un enlace troncal entre un dispositivo de red y un servidor u otro
dispositivo que cuente con una NIC con capacidad 802.1Q. En los switches Cisco Catalyst, se
admiten todas las VLAN en un puerto de enlace troncal de manera predeterminada.
Cuando se envía una trama broadcast en una red diseñada con VLAN, sólo se reenviará la trama por
los puertos identificados por la VLAN indicada en la trama.
Cuando se implementan las VLAN en un switch, la transmisión del tráfico de unicast, multicast y
broadcast desde un host en una VLAN en particular se limita a los dispositivos presentes en esa
VLAN.
Identification VLAN with a Tag
• Canonical Format Identifier (CFI) : Es un identificador de 1 bit que habilita las tramas
Token Ring que se van a transportar a través de los enlaces Ethernet.
• VLAN ID (VID) : Es un número de identificación de VLAN de 12 bits que admite hasta
4096 ID de VLAN.
Una vez que el switch introduce los campos tipo y de información de control de etiquetas, vuelve a
calcular los valores de la FCS e inserta la nueva FCS en la trama.
Native VLAN and 802.1Q Tagging
El estándar IEEE 802.1Q especifica una VLAN nativa para los enlaces troncal, que por defecto es
VLAN 1. Cuando un marco sin etiqueta llega a un puerto troncal, se asigna a la VLAN nativa. Las
tramas de administración que se envían entre Switches es un ejemplo de tráfico que normalmente
no se etiqueta.
Algunos dispositivos que admiten los enlaces troncales agregan una etiqueta VLAN al tráfico de las
VLAN nativas. El tráfico de control que se envía por la VLAN nativa no se debe etiquetar. Si un
puerto de enlace troncal 802.1Q recibe una trama etiquetada con la misma ID de VLAN que la
VLAN nativa, descarta la trama. Los dispositivos de otros proveedores que admiten tramas
etiquetadas en la VLAN nativa incluyen: teléfonos IP, servidores, routers y switches que no
pertenecen a Cisco.
Untagged Frames on Native VLAN
Cuando un puerto de enlace troncal de un switch Cisco recibe tramas sin etiquetar (poco usuales en
las redes bien diseñadas), envía esas tramas a la VLAN nativa. Si no hay dispositivos asociados a la
VLAN nativa (lo que es usual) y no existen otros puertos de enlace troncal (es usual), se descarta la
trama.
Al configurar un puerto de enlace troncal 802.1Q, se asigna el valor de la ID de VLAN nativa a la
ID de VLAN de puerto (Port VLAN ID , PVID) predeterminada. Todo el tráfico sin etiquetar
entrante o saliente del puerto 802.1Q se reenvía según el valor de la PVID.
La PC1 envía el tráfico sin etiquetar, que los switches asocian a la VLAN nativa configurada en los
puertos de enlace troncal y que reenvían según corresponda. El tráfico etiquetado del enlace troncal
que recibe la PC1 se descarta. Esta situación refleja un diseño de red deficiente por varios motivos:
utiliza un hub, tiene un host conectado a un enlace troncal y esto implica que los switches tengan
puertos de acceso asignados a la VLAN nativa. También ilustra la motivación de la especificación
IEEE 802.1Q para que las VLAN nativas sean un medio de manejo de entornos antiguos.
Se necesita una red VLAN de voz separada para admitir VoIP. Esto permite aplicar políticas de
calidad de servicio (QoS) y seguridad al tráfico de voz.
Un puerto de acceso que conecta un teléfono IP de Cisco puede configurarse para utilizar dos
VLAN separadas: Una VLAN es para el tráfico de voz y la otra es una VLAN de datos para admitir
el tráfico de host. El enlace entre el switch y el teléfono IP funciona como un enlace troncal para
transportar tanto el tráfico de la VLAN de voz como el tráfico de la VLAN de datos.
Específicamente, el teléfono IP Cisco contiene un switch 10/100 de tres puertos integrado. Los
puertos proporcionan conexiones dedicadas para estos dispositivos:
• El puerto 1 se conecta al switch o a otro dispositivo VoIP.
• El puerto 2 es una interfaz interna 10/100 que envía el tráfico del teléfono IP.
• El puerto 3 (puerto de acceso) se conecta a una PC u otro dispositivo.
El puerto de acceso del switch envía paquetes CDP que indican al teléfono IP conectado que envíe
tráfico de voz de una de las tres maneras. El método utilizado varía según el tipo de tráfico:
• El tráfico VLAN de voz debe etiquetarse con un valor de prioridad CoS de Capa 2
adecuado.
• En una VLAN de acceso con una etiqueta de valor de prioridad de CoS (Class Of Service)
de capa 2
• En una VLAN de acceso sin etiqueta (sin valor de prioridad de CoS de capa 2)
VLAN Verification:
Muestra que la interface fa0/18 se configura con la VLAN 10 y la 150.
los switches de las series Catalyst 2960 y 3560 admiten más de 4000 VLAN. Las VLAN de rango
normal en estos switches se numeran del 1 al 1005, y las VLAN de rango extendido se numeran del
1006 al 4094.
Características de las VLAN de rango normal:
• Se utiliza en redes pequeñas y medianas
• Las ID de 1002 – 1005 se reservan para las VLAN de Token Ring y Fiber Distributed Data
Interface (FDDI)
• Las ID de 1 – 1005 se crean automáticamente y no se pueden eliminar.
• Cuando se configura VTP (Virtual Trunking Protocol) , ayuda a sincronizar la bbdd entre
switches.
Se pueden crear varias VLAN simultaneamente colocando comas entre los ID. vlan 100,102,105-
107 .
para definir un puerto como puerto de acceso y asignarlo a una VLAN. EL switchport mode access
comando es optativo, pero se aconseja como práctica recomendada de seguridad. Con este
comando, la interfaz cambia al modo de acceso permanente.
Un puerto de acceso puede pertenecer a sólo una VLAN a la vez. Sin embargo, un puerto también
se puede asociar a una VLAN de voz. Por ejemplo, un puerto conectado a un teléfono IP y un
dispositivo final se asociaría con dos VLAN: una para voz y otra para datos.
Utilice el comando switchport voice vlan vlan-id interface configuration para asignar una VLAN
de voz a un puerto.
El tráfico de voz debe etiquetarse como confiable apenas ingrese en la red.
Use el comando mls qos trust [cos | device cisco-phone | dscp | ip-precedence] para establecer el
estado confiable de una interfaz, y para indicar qué campos del paquete se usan para clasificar el
tráfico.
La configuración en el ejemplo crea las dos VLAN (es decir, VLAN 20 y VLAN 150), y a
continuación, asigna la interfaz F0/18 de S3 como un puerto de switch en VLAN 20. También
asigna el tráfico de voz en VLAN 150 y permite la clasificación de QoS basada en la Clase de
Servicio (CoS) asignado por el teléfono IP.
El switchport access vlan comando fuerza la creación de una VLAN si es que aún no existe en el
switch. Por ejemplo, la VLAN 30 no está presente en la salida del comando show vlan brief del
switch. Si se introduce el comando switchport access vlan 30 en cualquier interfaz sin
configuración previa, el switch muestra lo siguiente:
Opción de
Tarea
comando
Muestra el nombre de VLAN, el estado y sus puertos una VLAN por brief
linea.
Muestra información sobre el número de ID de VLAN identificado. Para id vlan-id
vlan-id, the range is 1 to 4094.
Muestra información sobre el número de ID de VLAN identificado. El name vlan-name
vlan-name es una cadena ASCII de 1 a 32 caracteres.
summary
Mostrar el resumen de información de la VLAN.
El show vlan summary comando muestra la lista de todas las VLAN configuradas.
Por ejemplo, el show interfaces fa0/18 switchport comando se puede utilizar para confirmar que el
puerto FastEthernet 0/18 se ha asignado correctamente a las VLAN de datos y voz.
Delete VLAN
El comando de modo de configuración global no vlan vlan-id se usa para remover una VLAN
desde el archivo del switch vlan.dat.
Se puede eliminar el archivo vlan.dat en su totalidad con el comando delete flash:vlan.dat delete
flash:vlan.datdel modo EXEC con privilegios.Se puede utilizar la versión abreviada del comando
(delete vlan.dat) delete vlan.dat si no se trasladó el archivo vlan.dat de su ubicación
predeterminada.
Para restaurar un Switch Catalyst a su condición predeterminada de fábrica introduzca el comando
de modo EXEC erase startup-config privilegiado seguido del delete vlan.dat comando.
VLAN Trunks
Un enlace troncal de VLAN es un enlace de capa 2 del modelo OSI entre dos switches que
transporta el tráfico para todas las VLAN (a menos que se restrinja la lista de VLAN permitidas de
manera manual o dinámica).
El ejemplo muestra la configuración del puerto F0/1 en el Switch S1 como puerto troncal. La
VLAN nativa se cambia a VLAN 99 y la lista de VLAN permitidas se restringe a 10, 20, 30 y 99.
Esta configuración supone el uso de los switches Cisco Catalyst 2960 que utilizan de manera
automática la encapsulación 802.1Q en los enlaces troncales. Es posible que otros switches
requieran la configuración manual de la encapsulación. Siempre configure ambos extremos de un
enlace troncal con la misma VLAN nativa. Si la configuración de enlace troncal 802.1Q no es la
misma en ambos extremos, el software IOS de Cisco registra errores.
La configuración se verifica con el show interfaces comando switchport interface-ID.
En el área superior resaltada, se muestra que el modo administrativo del puerto F0/1 se estableció
en trunk. El puerto está en modo de enlace troncal. En la siguiente área resaltada, se verifica que la
VLAN nativa es la VLAN 99. Más abajo en el resultado, en el área inferior resaltada, se muestra
que las VLAN 10,20,30 y 99 están habilitadas en el enlace troncal.
Use el no switchport trunk allowed vlan y el no switchport trunk native vlan comando para
eliminar las VLAN permitidas y restablecer la VLAN nativa del enlace troncal. Cuando se
restablece al estado predeterminado, el enlace troncal permite todas las VLAN y utiliza la VLAN 1
como VLAN nativa.
La figura muestra el resultado de los comandos utilizados para eliminar la característica de enlace
troncal del puerto F0/1 del switch S1. El show interfaces f0/1 switchport comando revela que la
interfaz F0/1 ahora está en modo de acceso estático.
Algunos switches Cisco tienen un protocolo propietario que les permite negociar automáticamente
la conexión troncal con un dispositivo vecino. Este protocolo se denomina Protocolo de Enlace
Troncal Dinámico (Dynamic Trunking Protocol, DTP).
Una interfaz se puede establecer en trunking o nontruking, o para negociar con la interface vecina.
La negociación de enlaces troncales entre dispositivos de red la maneja el Protocolo de Enlace
Troncal Dinámico (DTP), que solo funciona de punto a punto.
DTP es un protocolo exclusivo de Cisco que se habilita de manera automática en los switches de las
series Catalyst 2960 y Catalyst 3560. DTP maneja la negociación de enlaces troncales sólo si el
puerto del switch vecino está configurado en un modo de enlace troncal que admite DTP. Los
switches de otros proveedores no admiten el DTP.
Desactivar el DTP en las interfaces de un switch de Cisco conectado a dispositivos que no admiten
DTP.
Para habilitar los enlaces troncales desde un switch de Cisco hacia un dispositivo que no admite
DTP, utilice los comandos switchport mode trunk y switchport nonegotiate interface
configuration mode commands. Esto hace que la interfaz se convierta en un tronco, pero no
generará tramas DTP.
Para volver a habilitar el protocolo de enlace troncal dinámico, utilice el switchport mode
dynamic auto comando.
El switchport mode comando tiene opciones adicionales para negociar el modo de interfaz.
Opción Descripción
• Pone la interfaz (puerto de acceso) en modo permanente de no
trunking y negocia para convertir el enlace en un enlace no
troncal.
access
• La interfaz se convierte en una interfaz no troncal,
independientemente de si la interfaz vecina es una interfaz
troncal.
• Hace que la interfaz pueda convertir el enlace en un enlace
troncal.
• La interfaz se convierte en una interfaz de enlace troncal, si la
dynamic auto
interfaz vecina está configurado en modo troncal o deseable.
• El modo de puerto de switch predeterminado para todas las
interfaces Ethernet es dynamic auto.
config(if)#switchport nonegotiate para detener la negociación DTP. Este comando sólo se puede
utilizar cuando el modo interface switchport es access o trunk.
Dynamic
Dynamic Auto Trunk Access
Desirable
Dynamic Auto Access Trunk Trunk Access
Dynamic DesirableTrunk Trunk Trunk Access
Limited
Trunk Trunk Trunk Trunk
connectivity
Access Access Access Limited connectivity Access
El modo DTP predeterminado depende de la versión del software Cisco IOS y de la plataforma.
Para determinar el modo DTP actual, ejecute el show dtp interface.
4. What is Inter VLAN-Routing
Las VLAN se utilizan para segmentar las redes de switch de Capa 2, los hosts de una VLAN no
pueden comunicarse con los hosts de otra VLAN a menos que haya un router o un switch de capa 3
para proporcionar servicios de enrutamiento.
Inter-VLAN routing es el proceso de reenviar el tráfico de red de una VLAN a otra VLAN.
Hay tres opciones inter-VLAN routing:
• Legacy Inter-VLAN routing : Es una solución antigua. No escala bien
• Layer 3 switch using switched virtual interfaces (SVIs) : Switch de capa 3 con SVI,
solución más escalable para organizaciones medianas y grandes.
inter-VLAN routing Legacy se basó en el uso de un router con múltiples interfaces Ethernet. Cada
interfaz del router estaba conectada a un puerto del switch en diferentes VLAN. Las interfaces del
router sirven como default gateways para los hosts locales en la subred de la VLAN.
Al utilizar las interfaces físicas del router como gateway para enrutar el tráfico entre VLAN, no es
una solución escalable ya que tiene las limitaciones físicas de del router. Requerir una interfaz física
del router por VLAN agota rápidamente la capacidad de la interfaz física del router .
Supera la limitacion del metodo legacy anterior, sólo necesita una interfaz Ethernet física para
enrutar el tráfico entre las VLAN.
El método router-on-a-stick de inter-VLAN routing no escala mas allá de 50 VLANs.
Una interfaz Ethernet del router Cisco IOS se configura como un troncal 802.1Q y se conecta a un
puerto troncal en un switch de capa 2. Específicamente, la interfaz del router se configura mediante
subinterfaces para identificar VLAN enrutables.
Las subinterfaces configuradas son interfaces virtuales basadas en software. Cada una se configura
de forma independiente con sus propias direcciones IP y una asignación de VLAN. Las
subinterfaces se configuran para subredes diferentes que corresponden a su asignación de VLAN.
Cuando el tráfico etiquetado de VLAN entra en la interfaz del router, se reenvía a la subinterfaz de
VLAN. Después de tomar una decisión de enrutamiento basada en la dirección de red IP de destino,
el router determina la interfaz de salida del tráfico. Si la interfaz de salida está configurada como
una subinterfaz 802.1q, las tramas de datos se etiquetan con la nueva VLAN y se envían a la
subinterfaz que corresponda.
Para realizar el enrutamiento entre VLAN utiliza las SVI de switches de capa 3. Los SVIs entre
VLAN se crean de la misma manera que se configura la interfaz de VLAN de administración,
proporciona el procesamiento de Capa 3 para los paquetes que se envían hacia o desde todos los
puertos de switch asociados con esa VLAN.
Ventajas del uso de switches de capa 3 para inter-VLAN routing:
• Es mucho más veloz que router-on-a-stick, porque todo el switching y el routing se realizan
por hardware.
• El routing no requiere enlaces externos del switch al router.
Router on-a-Stick
Para enrutar entre VLAN, la interfaz R1 GigabitEthernet 0/0/1 se divide lógicamente en tres
subinterfaces, como se muestra en la tabla. La tabla también muestra las tres VLAN que se
configurarán en los switches.
subinterfaz VLAN Dirección IP
G0/0/1.10 10 192.168.10.1/24
G0/0/1.20 20 192.168.20.1/24
G0/0/1.99 99 192.168.99.1/24
Para permitir que los dispositivos de diferentes VLAN se hagan ping entre sí, los switches deben
configurarse con VLAN y trunking, y el router debe configurarse para el inter-VLAN routing.
Pasos para configurar VLAN y Truking:
Además de utilizar ping entre dispositivos, se pueden utilizar los siguientes show comandos para
verificar y solucionar problemas de la configuración del router-on-a-stick.
• Show ip route
• show interfaces
En estas redes muy grandes, los administradores de red utilizan switches de capa 3 para configurar
el inter-VLAN routing
Los switches de capa 3 utilizan switching basado en hardware para lograr velocidades de
procesamiento de paquetes más altas que los routers.
Capacidades de un switch de capa 3 :
• Ruta de una VLAN a otra mediante múltiples interfaces virtuales de switch (SVIs).
• Convierta un puerto de switch de capa 2 en una interfaz de capa 3 (es decir, un puerto
enrutado). Un puerto enrutado es similar a una interfaz física en un router Cisco IOS.
Se debe crear un SVI de Capa 3 para cada una de las VLAN enrutables.
Enable IP Routing
habilite el enrutamiento IPv4 con el comando de configuración ip routing global para permitir el
intercambio de tráfico entre las VLAN 10 y 20. Este comando debe configurarse para habilitar el
inter-VAN routing en un switch de capa 3 para IPv4.
Si se quiere que otros dispositivos de Capa 3 puedan acceder a las VLAN, deben anunciarse
mediante enrutamiento estático o dinámico. Para habilitar el enrutamiento en un switch de capa 3,
se debe configurar un puerto enrutado.
Un puerto enrutado se crea en un switch de Capa 3 deshabilitando la función switchport de un
switch de Capa 2 que está conectado a otro dispositivo de Capa 3. Específicamente, al configurar el
comando de configuración de no switchport interfaz en un puerto de Capa 2, se convierte en una
interfaz de Capa 3. A continuación, la interfaz se puede configurar con una configuración IPv4 para
conectarse a un router u otro switch de capa 3.
Routing configuration on a Layer 3 Switch
Enable Routing:
Configure Routing:
Configure el protocolo de enrutamiento OSPF para anunciar las redes VLAN 10 y VLAN 20, junto
con la red que está conectada a R1.
Verify Routing:
Observe que D1 ahora tiene una ruta a la red 10.20.20.0/24.
5. Purpose of STP
La redundancia es una parte importante del diseño jerárquico para eliminar puntos únicos de falla y
prevenir la interrupción de los servicios de red para los usuarios. Las redes redundantes requieren la
adición de rutas físicas, pero la redundancia lógica también debe formar parte del diseño. Sin
embargo, las rutas redundantes en una red Ethernet conmutada pueden causar bucles físicos y
lógicos en la capa 2.
STP es un protocolo de red de prevención de bucles que permite redundancia mientras crea una
topología de capa 2 sin bucles. IEEE 802.1D es el estándar original IEEE MAC Bridging para STP.
Cuando existen múltiples rutas entre dos dispositivos en una red Ethernet, y no hay implementación
de árbol de expansión en los conmutadores, se produce un bucle de capa 2. Un bucle de capa 2
puede provocar inestabilidad en la tabla de direcciones MAC, saturación de enlaces y alta
utilización de CPU en switcher y dispositivos finales.
Tanto IPv4 como IPv6 incluyen un mecanismo que limita la cantidad de veces que un dispositivo de
red de Capa 3 puede retransmitir un paquete. Un router disminuirá el TTL (Tiempo de vida) en cada
paquete IPv4 y el campo Límite de saltos en cada paquete IPv6. Cuando estos campos se reducen a
0, un router dejará caer el paquete. Los switches Ethernet y Ethernet no tienen un mecanismo
comparable para limitar el número de veces que un switches retransmite una trama de Capa 2. STP
fue desarrollado específicamente como un mecanismo de prevención de bucles para Ethernet de
Capa 2.
Layer 2 Loops
Sin STP habilitado, se pueden formar bucles de capa 2, lo que hace que las tramas de broadcast,
multicast y unicast unknow se reproduzcan sin fin. Cuando se produce un bucle, la tabla de
direcciones MAC en un conmutador cambiará constantemente con las actualizaciones de las tramas
de broadcast, lo que resulta en la inestabilidad de la base de datos MAC. Esto puede causar una alta
utilización de la CPU, lo que hace que el switch no pueda reenviar tramas.
Si se envían tramas de unicast unknow a una red con bucles, se puede producir la llegada de tramas
duplicadas al dispositivo de destino. Una trama de unicast unknow se produce cuando el switch no
tiene la dirección MAC de destino en la tabla de direcciones MAC y debe reenviar la trama a todos
los puertos, excepto el puerto de ingreso.
Broadcast Storm
Una tormenta de broadcast es un número anormalmente alto de emisiones que abruman la red
durante un período específico de tiempo. Las tormentas de difusión pueden deshabilitar una red en
cuestión de segundos al abrumar los switch y los dispositivos finales. Las tormentas de broadcast
pueden deberse a un problema de hardware como una NIC defectuosa o a un bucle de capa 2 en la
red.
Las multicast de capa 2 normalmente se reenvían de la misma manera que una broadcast por el
switch. Por lo tanto, aunque los paquetes IPv6 nunca se reenvían como una broadcast de Capa 2,
ICMPv6 Neighbor Discovery utiliza multicast de Capa 2.
De manera predeterminada, STP está habilitado en los switches Cisco para prevenir que ocurran
bucles en la capa 2.
STP se basa en un algoritmo inventado por Radia Perlman mientras trabajaba para Digital
Equipment Corporation, y publicado en el artículo de 1985 "Un algoritmo para la computación
distribuida de un árbol de expansión en una LAN extendida". Su algoritmo de árbol de expansión
(STA) crea una topología sin bucles al seleccionar un único puente raíz donde todos los demás
switch determinan una única ruta de menor costo.
Este escenario STA utiliza una LAN Ethernet con conexiones redundantes entre varios switch:
Select the Root Bridge
STP comienza seleccionando un único root bridge (puente raíz). La figura muestra que el switch S1
se ha seleccionado como puente raíz. En esta topología, todos los enlaces tienen el mismo costo
(mismo ancho de banda). Cada switch determinará una única ruta de menor costo desde sí mismo
hasta el puente raíz.
STA y STP se refiere a switches como bridges (puentes).
Block Redundant Paths
STP asegura que solo haya una ruta lógica entre todos los destinos en la red al bloquear
intencionalmente las rutas redundantes que podrían causar un bucle. Cuando se bloquea un puerto,
se impide que los datos del usuario entren o salgan de ese puerto.
Loop-Free Topology
Esto crea una topología en la que cada switch tiene una única ruta al root bridge.
Link Failure Causes Recalculation
Las rutas físicas aún existen para proporcionar la redundancia, pero las mismas se deshabilitan para
evitar que se generen bucles. Si alguna vez la ruta es necesaria para compensar la falla de un cable
de red o de un switch, STP vuelve a calcular las rutas y desbloquea los puertos necesarios para
permitir que la ruta redundante se active. Los recálculos STP también pueden ocurrir cada vez que
se agrega un nuevo switch o un nuevo vínculo entre switches a la red.
STP evita que ocurran bucles mediante la configuración de una ruta sin bucles a través de la red,
con puertos “blocking-state ” ubicados estratégicamente. Los switches que ejecutan STP pueden
compensar las fallas mediante el desbloqueo dinámico de los puertos bloqueados anteriormente y el
permiso para que el tráfico se transmita por las rutas alternativas.
Usando STA, STP crea una topología sin bucles en un proceso de cuatro pasos:
1. Elige a root bridge
2. Elige puertos root
3. Elegir puertos designed
4. Elegir puertos alternativos, block.
Durante las funciones STA y STP, los switch utilizan (Bridge Protocol Data Units, BPDU) para
compartir información sobre sí mismos y sus conexiones. Las BPDU se utilizan para elegir el root
bridge, los puertos root, designate y alternate. Cada BPDU contiene una Bridge ID (BID) que
identifica qué switch envió la BPDU. El BID participa en la toma de muchas de las decisiones STA,
incluidos los roles de puertos y root bridge. El BID contiene un valor de prioridad, la dirección
MAC del switch y un ID de sistema extendido. El valor de BID más bajo lo determina la
combinación de estos tres campos.
Bridge Priority
El valor de prioridad predeterminado para todos los switches Cisco es el valor decimal 32768. El
rango va de 0 a 61440 y aumenta de a 4096. Es preferible una prioridad de bridge más baja. La
prioridad de bridge 0 prevalece sobre el resto de las prioridades de puente.
Extended System ID
El valor de ID del sistema extendido es un valor decimal agregado al valor de prioridad del bridge
en el BID para identificar la VLAN para esta BPDU.
Las primeras implementaciones de IEEE 802.1D estaban diseñadas para redes que no utilizaban
VLAN. Existía un único árbol de expansión común para todos los switches. Por esta razón, en los
switches más antiguos, el ID del sistema extendido no se incluía en las BPDU. A medida que las
VLAN se volvieron más comunes en la segmentación de la infraestructura de red, se fue mejorando
el estándar 802.1D para incluir a las VLAN, lo que requirió que se incluyera la ID de VLAN en la
trama de BPDU. La información de VLAN se incluye en la trama BPDU mediante el uso de la ID
de sistema extendido.
El ID del sistema extendido permite que las implementaciones posteriores de STP, como Rapid STP
(RSTP) tengan diferentes root bridge para diferentes conjuntos de VLAN. Esto puede permitir que
enlaces redundantes y sin reenvío en una topología STP para un conjunto de VLAN sean utilizados
por un conjunto diferente de VLAN que utilice un root bridge diferente.
MAC address
Cuando dos switches están configurados con la misma prioridad y tienen la misma ID de sistema
extendido, el switch que posee la dirección MAC con el menor valor, expresado en hexadecimal,
tendrá el menor BID.
El STA designa un único switch como root bridge y lo utiliza como punto de referencia para todos
los cálculos de rutas. Los switches intercambian BPDU para crear la topología sin bucles
comenzando con la selección del root bridge.
Un proceso de elección determina el switch que se transforma en el puente raíz. Todos los switches
del dominio de broadcast participan del proceso de elección. Una vez que el switch arranca,
comienza a enviar tramas BPDU cada dos segundos. Estas tramas BPDU contienen el BID del
switch de envío y el BID del root bridge, conocido como Root ID.
El switch que tiene el BID más bajo se convierte en el root bridge. Al principio, todos los
conmutadores se declaran a sí mismos como root bridge con su propio BID establecido como ID
raíz. Eventualmente, los switches aprenden a través del intercambio de BPDU qué switch tiene el
BID más bajo y acordarán un puente raíz.
Impact of Default BIDs
Dado que el BID predeterminado es 32768, es posible que dos o más switches tengan el mismo
priority. En este escenario, donde las prioridades son las mismas, el switch con la MAC address más
baja se convertirá en el root bridge. Para asegurar que el puente raíz elegido cumpla con los
requisitos de la red, se recomienda que el administrador configure el switch de puente raíz deseado
con una prioridad menor.
La prioridad de todos los switches es 32769. El valor se basa en la prioridad de puente
predeterminada 32768 y la ID del sistema extendida (asignación de VLAN 1) asociada con cada
conmutador (32768 + 1) .
La prioridad (bridge-priority) por defecto es de 32768, pero podemos usar de 0 a 65535. Si está
activado el sistema de ID extendido, los posible IDs son: 0 4096 8192 12288 16384 20480 24576
28672 32768 36864 40960 45056 49152 53248 57344 61440.
Determine the Root Path Cost
Una vez que se eligió root bridge para la instancia de spaning tree, el STA comienza el proceso para
determinar las mejores rutas hacia el root bridge desde todos los destinos en el dominio de
broadcast. La información de la ruta, conocida como el costo interno de la root path, está
determinada por la suma de todos los costos de los puertos individuales a lo largo de la ruta desde el
switch hasta el root bridge.
La BPDU incluye el costo de la ruta raíz. Este es el costo de la ruta que va desde el switch que
envía los datos hasta el root bridge.
Los costos de los puertos predeterminados se definen por la velocidad a la que funcionan los
mismos. La tabla muestra los costos de puerto predeterminados sugeridos por IEEE. Los switches
Cisco utilizan de forma predeterminada los valores definidos por el estándar IEEE 802.1D, también
conocido como “short path cost” tanto para STP como para RSTP. IEEE sugiere usar los valores
definidos en el IEEE-802.1w, también conocido como “long path cost”, cuando se usan enlaces de
10 Gbps o más.
Link Speed STP Cost: IEEE 802.1D-1998 RSTP Cost: IEEE 802.1w-2004
10 Gbps 2 2
1 Gbps 4 20
100 Mbps 19 200
10 Mbps 100 2,000,000
2. Elect the Root Ports
Después de determinar el bridge root, se utiliza el algoritmo STA para seleccionar el puerto raíz.
Cada switch que NO SEA ROOT BRIDGE seleccionará un puerto raíz. El puerto raíz es el puerto
más cercano al root bridge en términos de costo total (best path) para llegar al root bridge. Este
costo general se conoce como “internal root path cost”.
El costo interno de la ruta raíz (internal root path cost) es igual a la suma del costo de todos los
puertos a lo largo de la ruta hasta el root bridge, Las rutas con el costo más bajo se convierten en las
preferidas, y el resto de las rutas redundantes se bloquean.
Cuando un switch tiene varias rutas de igual costo al puente raíz, el switch determinará un puerto
utilizando los siguientes criterios:
• BID más bajo del remitente
Los tiempos predeterminados se pueden cambiar en el puente raíz, que dicta el valor de estos
temporizadores para el dominio STP.
STP facilita la ruta lógica sin bucles en todo el dominio de difusión. El spanning-tree se determina a
través de la información obtenida en el intercambio de tramas de BPDU entre los switches
interconectados. Si un puerto de switch pasa directamente del estado bloking al de forwarding sin
información acerca de la topología completa durante la transición, el puerto puede crear un bucle de
datos temporal. Por esta razón, STP tiene cinco estados de puertos, cuatro de los cuales son estados
de puertos operativos, como se muestra en la figura. El estado disable se considera non-operational.
Estado del
Descripción
puerto
Es un puerto alternativo y no participa en el reenvío de tramas. El puerto
recibe tramas BPDU para determinar la ubicación y el root ID del Root
Bridge. Las tramas BPDU también determinan qué roles debe asumir cada
Bloking
puerto del switch en la topología STP activa final. Con un Temporizador de
Max-Age de 20 segundos, un puerto del switch que no ha recibido un
BPDU de un switch vecino entrará en el estado blocking.
Después del estado blocking, un puerto se moverá al estado de listening.
El puerto del switch también transmite sus propias tramas BPDU e informa
Listening
a los switches adyacentes que se está preparando para participar en la
topología activa.
Un puerto de switch pasa al estado de learning después de la escucha
STP. Durante el estado de learning, el puerto del switch recibe y procesa
Learning BPDU y se prepara para participar en el reenvío de tramas. También
comienza a rellenar la tabla de direcciones MAC. Sin embargo, en el
estado de learning, las tramas de usuario no son enviadas al destino.
En el estado de forwarding, un puerto de switch se considera parte de la
Forwarding topología activa. El puerto del switch reenvía el tráfico de usuario y envía y
recibe tramas BPDU.
Un puerto de switch en el estado disable no participa en SPT y no reenvía
Disable tramas. El estado disable se establece cuando el puerto se ha desactivado
administrativamente.
Operational Detail of Each Port State
En este tema se detallan las diferentes versiones de STP y otras opciones para evitar bucles en la
red.
El último estándar para spanning-tree está contenido en IEEE-802-1D-2004, el estándar IEEE para
redes de área local y metropolitana: Media Access Control (MAC) Bridges. Esta versión del
estándar indica que los switch y bridges que cumplen con el estándar utilizarán Rapid Spanning
Tree Protocol (RSTP) en lugar del protocolo STP anterior especificado en el estándar 802.1d
original. En este currículo, cuando se analiza el protocolo de árbol de expansión original, se utiliza
la frase “árbol de expansión 802.1D original” para evitar confusiones. Debido a que los dos
protocolos comparten gran parte de la misma terminología y métodos para la ruta sin bucles, el
enfoque principal estará en el estándar actual y las implementaciones propietarias de Cisco de STP
y RSTP.
Variedad
Descripción
STP
STP Esta es la versión original de IEEE 802.1D (802.1D-1998 y versiones
anteriores) que proporciona una topología sin bucles en una red con enlaces
redundantes. También llamado Common Spanning Tree (CST), asume una
instancia de spanning-tree para toda la red puenteada, independientemente
de la cantidad de VLAN.
802.1D- Esta es una versión actualizada del estándar STP, que incorpora IEEE
2004 802.1w.
Los switches de Cisco con IOS 15.0 o posterior ejecutan PVST+ de manera predeterminada. Esta
versión incluye muchas de las especificaciones IEEE 802.1D-2004, como puertos alternativos en
lugar de los puertos no designados anteriores. Los switches deben configurarse explícitamente para
el modo Rapid Spanning-Tree para ejecutar el protocolo de árbol de expansión rápida.
RSTP Concepts
RSTP (IEEE 802.1w) reemplaza al 802.1D original mientras conserva la compatibilidad con
versiones anteriores. La terminología de STP 802.1w sigue siendo fundamentalmente la misma que
la de STP IEEE 802.1D original. La mayoría de los parámetros se han dejado sin cambios. El
mismo algoritmo de árbol de expansión se utiliza tanto para STP como para RSTP para determinar
los roles de puerto y la topología.
RSTP aumenta la velocidad del recálculo de spanning-tree cuando cambia la topología de la red de
Capa 2. RSTP puede lograr una convergencia mucho más rápida en una red configurada en forma
adecuada, a veces sólo en unos pocos cientos de milisegundos. Si un puerto está configurado como
puerto alternativo o de respaldo, puede cambiar automáticamente al estado de reenvío sin esperar a
que converja la red.
PVST+ rápido es la implementación que hace Cisco de RSTP por VLAN. Con Rapid PVST + se
ejecuta una instancia independiente de RSTP para cada VLAN.
RSTP Port States and Port Roles
Los estados de puerto y las funciones de puerto entre STP y RSTP son similares.
Como se muestra en la figura, los puertos raíz y los puertos designados son los mismos para STP y
RSTP. Hay dos roles de puerto rn RSTP que corresponden al estado de bloqueo en STP. En STP un
puerto bloqueado se define por no ser un puerto designado ni tampoco root. RSTP tiene dos roles de
puerto para este propósito.
Cuando un dispositivo está conectado a un puerto del switch cuando un switch se enciende, el
puerto del switch pasa por los estados de listening y learning, esperando cada vez que expire el
temporizador de Forward Delay. Este retraso es de 15 segundos para cada estado, listening y
learning, para un total de 30 segundos. Este retraso puede presentar un problema para los clientes
DHCP que intentan detectar un servidor DHCP. Los mensajes DHCP del host conectado no se
reenviarán durante los 30 segundos de temporizadores de Forward Delay y el proceso DHCP puede
agotarse. IPv4 no recibirá una dirección IPv4 válida.
Aunque esto puede ocurrir con clientes que envían mensajes de solicitud de enrutador ICMPv6, el
enrutador continuará enviando mensajes Router Advertisement ICMPv6 para que el dispositivo sepa
cómo obtener su información de dirección.
Cuando un puerto de switch se configura con PortFast, ese puerto pasa de blocking al estado de
forwarding inmediatamente, omitiendo los estados de listening y learning STP y evitando un retraso
de 30 segundos. Use PortFast en los puertos de acceso para permitir que los dispositivos conectados
a estos puertos, como los clientes DHCP, accedan a la red de inmediato, en lugar de esperar a que
STP converja en cada VLAN. PortFast solo se puede usar en puertos que se conectan a dispositivos
finales.
En una configuración de PortFast válida, nunca se deben recibir BPDU, ya que esto indicaria que
hay un switch conectado y probabilidad de loop. BPDU Guard evita que se pueda crear un loop
activado el estado errdisable en el puerto que reciba una trama BPDU que no se espera.
Alternatives to STP
Las LAN Ethernet pasaron de unos pocos switch interconectados a un único enrutador, conectados a
un sofisticado diseño de red jerárquica por capas que incluye switch de acceso, distribución y core.
Un aspecto importante del diseño de red es la convergencia rápida y predecible cuando se produce
un error o un cambio en la topología. El árbol de expansión no ofrece las mismas eficiencias y
predecibilidades proporcionadas por los protocolos de enrutamiento en la Capa 3. La figura muestra
un diseño de red jerárquica tradicional con los conmutadores multicapa de distribución y núcleo que
realizan enrutamiento.
El enrutamiento de capa 3 permite rutas y bucles redundantes en la topología, sin bloquear puertos.
Por esta razón, algunos entornos están en transición a la capa 3 en todas partes, excepto donde los
dispositivos se conectan al conmutador de capa de acceso. En otras palabras, las conexiones entre
los conmutadores de capa de acceso y los conmutadores de distribución serían Capa 3 en lugar de
Capa 2.
Aunque es muy probable que STP siga utilizándose como mecanismo de prevención de bucles en la
empresa, en los conmutadores de capa de acceso también se están utilizando otras tecnologías,
incluidas las siguientes:
• Multi System Link Aggregation (MLAG)
Hay escenarios en los que se necesita más ancho de banda o redundancia entre dispositivos que lo
que puede proporcionar un único enlace. Se pueden conectar varios enlaces entre dispositivos para
aumentar el ancho de banda.
Se necesita una tecnología de agregación de enlaces que permita enlaces redundantes entre
dispositivos que no serán bloqueados por STP. Esa tecnología se conoce como EtherChannel.
EtherChannel es una tecnología de agregación de enlaces que agrupa varios enlaces Ethernet físicos
en un único enlace lógico. Se utiliza para proporcionar fault-tolerance , load sharing , increased
bandwidth y redundancy entre switches, routers y servidores.
Cuando se configura un EtherChannel, la interfaz virtual resultante se denomina “port-channel”.
Las interfaces físicas se agrupan en una interfaz de canal de puertos
Ventajas de EtherChannel
• No pueden mezclarse los tipos de interfaz dentro de un mismo grupo. Por ejemplo, Fast
Ethernet y Gigabit Ethernet.
• Cada EtherChannel puede constar de hasta ocho puertos Ethernet configurados de manera
compatible. El EtherChannel proporciona un ancho de banda full-duplex de hasta 800 Mbps
(Fast EtherChannel) u 8 Gbps (Gigabit EtherChannel)
• El switch Cisco Catalyst 2960 Layer 2 soporta actualmente hasta seis EtherChannels,
algunas tarjetas y plataformas pueden admitir una mayor cantidad de puertos dentro de un
enlace EtherChannel, así como una mayor cantidad de Gigabit EtherChannels.
• La configuración de los puertos individuales que forman parte del grupo EtherChannel debe
ser coherente en ambos dispositivos. Todos los puertos en cada enlace EtherChannel se
deben configurar como puertos de capa 2,, misma vlan y en modo truking.
• La configuración aplicada a la interfaz port-channel afecta a todas las interfaces físicas que
se asignan a esa interfaz.
Funcionamiento PagP
Es un protocolo patentado por Cisco que ayuda en la creación automática de enlaces EtherChannel.
Cuando se configura un enlace EtherChannel mediante PAgP, se envían paquetes PAgP entre los
puertos aptos para EtherChannel para negociar la formación de un canal. Cuando PAgP identifica
enlaces Ethernet compatibles, agrupa los enlaces en un EtherChannel. El EtherChannel después se
agrega al árbol de expansión como un único puerto.
Los paquetes PAgP se envían cada 30 segundos. PAgP revisa la coherencia de la configuración y
administra los enlaces que se agregan, así como las fallas entre dos switches. Cuando se crea un
EtherChannel, asegura que todos los puertos tengan el mismo tipo de configuración.
En EtherChannel, es obligatorio que todos los puertos tengan la misma velocidad, la misma
configuración de dúplex y la misma información de VLAN. Cualquier modificación de los puertos
después de la creación del canal también modifica a los demás puertos del canal.
PAgP ayuda a crear el enlace EtherChannel al detectar la configuración de cada lado y asegurarse de
que los enlaces sean compatibles, de modo que se pueda habilitar el enlace EtherChannel cuando
sea necesario.
Modos Pag-P:
• On : Este modo obliga a la interfaz a proporcionar un canal sin PAg -P. No intercambian
paquetes PAg-P
• PAgP desirable : Este modo PAgP coloca una interfaz en un estado de negociación activa en
el que la interfaz inicia negociaciones con otras interfaces al enviar paquetes PAgP.
• PAgP auto : Este modo PAgP coloca una interfaz en un estado de negociación pasiva en el
que la interfaz responde a los paquetes PAgP que recibe, pero no inicia la negociación PAgP.
Los modos deben ser compatibles en cada lado. Si se configura un lado en modo automático, se
coloca en estado pasivo, a la espera de que el otro lado inicie la negociación del EtherChannel.
El modo on coloca manualmente la interfaz en un EtherChannel, sin ninguna negociación. Funciona
solo si el otro lado también se establece en modo on.
El hecho de que no haya negociación entre los dos switches significa que no hay un control para
asegurarse de que todos los enlaces en el EtherChannel terminen del otro lado o de que haya
compatibilidad con PAgP en el otro switch.
Ejemplo de configuración Pag-P
Pag-P Modes:
Establecimiento del
S1 S2
canal
On On Yes
On Desirable/Auto No
Desirable Desirable Yes
Desirable Auto Yes
Auto Desirable Yes
Auto Auto No
LACP forma parte de una especificación IEEE (802.3ad) que permite agrupar varios puertos físicos
para formar un único canal lógico. LACP permite que un switch negocie un grupo automático
mediante el envío de paquetes LACP al otro switch. Debido a que LACP es un estándar IEEE, se
puede usar para facilitar los EtherChannels en entornos de varios proveedores.
LACP en los inicios, se definió como IEEE 802.3ad. Sin embargo, LACP ahora se define en el
estándar más moderno IEEE 802.1AX para la redes de área local y metropolitana.
LACP proporciona los mismos beneficios de negociación que PAgP. LACP ayuda a crear el enlace
EtherChannel al detectar la configuración de cada lado y al asegurarse de que sean compatibles, de
modo que se pueda habilitar el enlace EtherChannel cuando sea necesario. Los modos para LACP
son los siguientes:
• On : Este modo obliga a la interfaz a proporcionar un canal sin LACP. No intercambian
paquetes LACP
• LACP active : Este modo de LACP coloca un puerto en estado de negociación activa. En
este estado, el puerto inicia negociaciones con otros puertos mediante el envío de paquetes
LACP.
• LACP passive : Este modo de LACP coloca un puerto en estado de negociación pasiva. En
este estado, el puerto responde a los paquetes LACP que recibe, pero no inicia la
negociación de paquetes LACP.
Al igual que con PAgP, los modos deben ser compatibles en ambos lados para que se forme el
enlace
El protocolo LACP permite ocho enlaces activos y, también, ocho enlaces de reserva. Un enlace de
reserva se vuelve activo si falla uno de los enlaces activos actuales.
Combinaciones de modos LACP :
S1 S2 Channel Establishment
On On Yes
On Active/Passive No
Active Active Yes
Active Passive Yes
Passive Active Yes
Passive Passive No
• EtherChannel support : Todas las interfaces Ethernet deben admitir EtherChannel, sin
necesidad de que las interfaces sean físicamente contiguas
• Speed and duplex : Configure todas las interfaces en un EtherChannel para que funcionen a
la misma velocidad y en el mismo modo dúplex.
• VLAN match : Todas las interfaces en el grupo EtherChannel se deben asignar a la misma
VLAN o se deben configurar como enlace troncal (mostrado en la figura).
• Range of VLANs : Un EtherChannel soporta el mismo rango permitido de VLAN en todas
las interfaces de un enlace trunking. Si no coinciden los rango de VLAN, no se formará el
Etherchannel.
No se formará un EtherChannel :
LACP Configuration
show etherchannel summary : muestra una única línea de información de por port-channel
cuando se configuren varias interfaces de port-channel en el mismo dispositivo.
show etherchannel port-channel : muestra información especíofica sobre la interfaz de port-
channel. En el ejemplo, la interfaz de port-channel 1 consta de dos interfaces físicas,
FastEthernet0/1 y FastEthernet0/2. Esta usa LACP en modo activo. Está correctamente conectada a
otro switch con una configuración compatible, razón por la cual se dice que el canal de puertos está
en uso.
Todas las interfaces dentro de un EtherChannel deben tener la misma configuración de velocidad y
modo dúplex, de VLAN nativas y permitidas en los enlaces troncales, y de VLAN de acceso en los
puertos de acceso. Entre los problemas comunes de EtherChannel se incluyen los siguientes:
• Los puertos asignados en el EtherChannel no son parte de la misma VLAN ni son
configurados como enlace troncal. Los puertos con VLAN nativas diferentes no pueden
formar un EtherChannel. La* conexión troncal se configuró en algunos de los puertos que
componen el EtherChannel, pero no en todos ellos. No se recomienda que configure el modo
de enlace troncal en los puertos individuales que conforman el EtherChannel.
• Si el rango permitido de VLAN no es el mismo, los puertos no forman un EtherChannel
incluso cuando PAgP está configurado en modo auto o desirable.
• Las opciones de negociación dinámica para PAgP y LACP no se encuentran configuradas de
manera compatible en ambos extremos del EtherChannel.
Es fácil confundir PAgP o LACP con DTP, ya que ambos son protocolos que se usan para
automatizar el comportamiento en los enlaces troncales. PAgP y LACP se usan para la agregación
de enlaces (EtherChannel). DTP se usa para automatizar la creación de enlaces troncales. Cuando se
configura un enlace troncal de EtherChannel, normalmente se configura primero EtherChannel
(PAgP o LACP) y después DTP.
En la figura, las interfaces F0/1 y F0/2 en los switches S1 y S2 se conectan con un EtherChannel.
Sin embargo, el EtherChannel no está operativo.
Dynamic Host Configuration Protocol v4 (DHCPv4) asigna direcciones IPv4 y otra información de
configuración de red dinámicamente.
Cuando el cliente arranca (o quiere unirse a una red), comienza un proceso de cuatro pasos para
obtener un arrendamiento:
1. Detección de DHCP (DHCPDISCOVER)
2. Oferta de DHCP (DHCPOFFER)
3. Solicitud de DHCP (DHCPREQUEST)
4. Acuse de recibo de DHCP (DHCPACK)
El servidor de DHCPv4 que utiliza IOS de Cisco asigna y administra direcciones IPv4 de conjuntos
de direcciones especificados dentro del router para los clientes DHCPv4. Pasos para configurar un
servidor DHCPv4 del IOS de Cisco:
1. Excluir direcciones IPv4
2. Definir un nombre del pool DHCPv4 .
3. Configurar el pool DHCPv4.
Se puede excluir una única dirección o un rango de direcciones especificando la dirección más baja
y la dirección más alta del rango.
Paso 2. Defina un nombre de grupo DHCPv4
El comando ip dhcp pool _pool-name_ crea un conjunto (pool) con el nombre especificado y
coloca al router en el modo de configuración de DHCPv4.
Muestra una lista de todos los enlaces de direcciones IPv4 a direcciones MAC proporcionados por
el servicio DHCPv4.
show ip dhcp binding
Muestra información de conteo con respecto a la cantidad de mensajes DHCPv4 que han sido
enviados y recibidos.
show ip dhcp server statistics
En una red jerárquica compleja, los servidores empresariales suelen estar ubicados en una central.
Estos servidores pueden proporcionar servicios DHCP, DNS, TFTP y FTP para la red.
Generalmente, los clientes de red no se encuentran en la misma subred que esos servidores. Para
ubicar los servidores y recibir servicios, los clientes con frecuencia utilizan mensajes de difusión.
En la figura, la PC1 intenta adquirir una dirección IPv4 de un servidor de DHCPv4 mediante un
mensaje de difusión. En esta situación, el router R1 no está configurado como servidor de DHCPv4
y no reenvía el mensaje de difusión. Dado que el servidor de DHCPv4 está ubicado en una red
diferente, la PC1 no puede recibir una dirección IP mediante DHCP. R1 debe configurarse para
retransmitir mensajes DHCPv4 al servidor DHCPv4.
Para utilizar la configuración automática de direcciones stateless (SLAAC) o DHCPv6, debe revisar
las direcciones globales de unicast (GUA) y las direcciones link-local (LLAs).
El comando ipv6 address ipv6-address/prefix-length interface. Configura la dirección Global
Unicast Adddress (GUA).
Cuando se selecciona el direccionamiento IPv6 automático, el host intentará obtener y configurar
automáticamente la información de direcciones IPv6 en la interfaz. El host utilizará uno de los tres
métodos definidos por el Internet Control Message Protocol version 6 (ICMPv6) :
• RA (Router Advertisement) recibidos en la interfaz. Un router IPv6 que está en el mismo
Link que el host envía mensajes de RA que sugieren a los hosts cómo obtener su
información de direccionamiento IPv6. El host crea automáticamente la Link-Local-
Address (LLA) IPv6 cuando se inicia y la interfaz Ethernet está activa.
A veces, los sistemas operativos host mostrarán una dirección link-local anexada con un "%" y un
número. Esto se conoce como Zone ID o Scope ID. Es utilizado por el sistema operativo para
asociar el LLA con una interfaz específica.
IPv6 GUA se puede asignar dinámicamente utilizando servicios stateless y stateful, como se
muestra en la figura.
Todos los métodos stateless y stateful de este módulo utilizan mensajes de RA ICMPv6 para sugerir
al host cómo crear o adquirir su configuración IPv6. Aunque los sistemas operativos del host siguen
la sugerencia del RA, la decisión real depende en última instancia del host.
3 Flags de un Mensaje RA
La decisión de cómo un cliente obtendrá un GUA IPv6 depende de la configuración dentro del
mensaje RA.
Un mensaje de RA ICMPv6 incluye tres flags para identificar las opciones dinámicas disponibles
para un host:
• A flag : Address Autoconfiguration flag. Este es el indicador de configuración automática
de direcciones. Usa Stateless Address Autoconfiguration (SLAAC) para crear un GUA de
IPv6.
• O flag : Indicador Other Configuration flag. La información está disponible desde un
servidor DHCPv6 stateless.
• M flag :Indicador Managed Address Configuration flag. Utiliza un servidor DHCPv6
stateful para obtener una GUA IPv6.
Mediante diferentes combinaciones de los flags A, O y M, los mensajes RA informan al host sobre
las opciones dinámicas disponibles.
Descripcion general de SLAAC
El método SLAAC permite a los hosts crear su propia dirección única global IPv6 sin los servicios
de un servidor DHCPv6.
SLAAC es un servicio stateless. No hay ningún servidor que mantenga información de direcciones
de red para saber qué direcciones IPv6 se están utilizando y cuáles están disponibles.
SLAAC utiliza mensajes ICMPv6 RA para proporcionar direccionamiento y otra información de
configuración que normalmente proporcionaría un servidor DHCP. Un host configura su dirección
IPv6 en función de la información que se envía en la RA. Los mensajes RA son enviados por un
router IPv6 cada 200 segundos.
Un host también puede enviar un mensaje Router Solicitation (RS) solicitando que un router
habilitado para IPv6 envíe al host un RA.
SLAAC se puede implementar como SLAAC solamente, o SLAAC con DHCPv6.
Activación de SLAAC
Consulte la topología siguiente para ver cómo está habilitado SLAAC para proporcionar asignación
GUA dinámica stateless.
Suponga que R1 GigabitEthernet 0/0/1 se ha configurado con la GUA IPv6 indicada y direcciones
link-local. Direccionamiento asignado a #R1.
• Link-local IPv6 address - fe80::1
El método sólo SLAAC está habilitado de forma predeterminada cuando se configura el comando
ipv6 unicast-routing. Todas las interfaces Ethernet habilitadas con un GUA IPv6 comenzarán a
enviar mensajes RA con el flag A establecido en 1 y los flags O y M establecidos en 0
El A = 1 flag sugiere al cliente que cree su propio IPv6 GUA usando el prefijo anunciado en la RA.
El cliente puede crear su propio ID de interfaz utilizando el método Extended Unique Identifier
(EUI-64) o hacer que se genere aleatoriamente.
Los flags O =0 y M=0 le indican al cliente que use la información del mensaje RA exclusivamente.
Esto incluye información del prefijo, de la longitud de prefijo, del servidor DNS, de la MTU y del
default gateway.
La dirección del default gateway es la dirección IPv6 de origen del mensaje RA, que es la LLA para
R1. El default gateway solo se puede obtener de forma automática mediante un mensaje RA. Un
servidor DHCPv6 no proporciona esta información.
ICMPv6 RS Messages
Un router envía mensajes de RA cada 200 segundos. Sin embargo, también enviará un mensaje RA
si recibe un mensaje RS de un host.
Mediante SLAAC, un host suele adquirir su información de subred IPv6 de 64 bits del RA del
router. Sin embargo, debe generar el resto del identificador de interfaz (ID) de 64 bits utilizando uno
de estos dos métodos:
• De generación aleatoria : La identificación de la interfaz de 64 bits es generada
aleatoriamente por el sistema operativo del cliente. Este es el método utilizado por Win 10.
• EUI-64 : El host crea un ID de interfaz utilizando su dirección MAC de 48 bits e inserta el
valor hexadecimal de fffe en el medio de la dirección, después de los primeros 24bytes.
Después invierte el valor del séptimo bit, de cero pasa a uno o viceversa.
Operaciones DHCPv6
En este tema se explica DHCPv6 stateless y stateful. DHCPv6 stateless utiliza partes de SLAAC
para asegurarse de que toda la información necesaria se suministra al host. DHCPv6 stateful no
requiere SLAAC.
El host comienza las comunicaciones cliente / servidor DHCPv6 después de que se indica DHCPv6
stateles o DHCPv6 stateful en el RA.
El cliente utilizan el puerto de destino UDP 546 para enviar y recibir mensajes DHCPv6, mientras
que el servidor utilizan el puerto UDP 547 .
Los pasos para las operaciones DHCPv6 :
1. El host envía un mensaje RS:
2. El router responde con un mensaje RA:
R1 recibe el RS y responde con un RA indicando que el cliente debe iniciar la
comunicación con un servidor DHCPv6.
3. El host envía un mensaje DHCPv6 SOLICIT:
El cliente necesita localizar un servidor DHCPv6 y envía un mensaje DHCPv6
SOLICIT a la dirección reservada de todos los servidores DHCPv6 de multicast IPv6
de ff02::1:2. Esta dirección de multicast tiene alcance link-local, lo cual significa que
los routers no reenvían los mensajes a otras redes.
4. El servidor DHCPv6 responde con un mensaje ADVERTISE:
Uno o más servidores DHCPv6 pueden responder con un mensaje unicast DHCPv6
ADVERTISE. El mensaje ADVERTISE le informa al cliente DHCPv6 que el servidor se
encuentra disponible para el servicio DHCPv6.
5. El host responde al servidor DHCPv6:
La respuesta depende de si está utilizando DHCPv6 stateful o stateless:
• Cliente DHCPv6 Stateless - El cliente crea una dirección IPv6 utilizando el prefijo
en el mensaje RA y una ID de interfaz autogenerada. El cliente envía un mensaje
DHCPv6 INFORMATION-REQUEST al servidor de DHCPv6 en el que solicita
solamente parámetros de configuración, como la dirección del servidor DNS.
• Cliente DHCPv6 Stateful - el cliente envía un mensaje DHCPv6 REQUEST al
servidor para obtener una dirección IPv6 y todos los demás parámetros de
configuración del servidor.
6. El servidor DHCPv6 envía un mensaje REPLY :
El servidor envía un mensaje de unicast DHCPv6 REPLY al cliente. El contenido del
mensaje varía en función de si responde a un mensaje REQUEST o INFORMATION-
REQUEST.
Note: El cliente usara la direccion IPv6 link-local de origen del RA como su direccion default
gateway. Un servidor DHCPv6 no proporciona esta información .
La opción de DHCPv6 stateless informa al cliente que utilice la información del mensaje RA para el
direccionamiento, pero que hay más parámetros de configuración disponibles de un servidor de
DHCPv6.
Debido a que el servidor no mantiene información de estado del cliente (es decir, una lista de
direcciones IPv6 asignadas y disponibles). El servidor de DHCPv6 stateless solo proporciona
parámetros de configuración para los clientes, no direcciones IPv6.
Habilitar DHCPv6 stateless en una interfaz
DHCPv6 Stateless está habilitado en una interfaz de router mediante el comando ipv6 nd other-
config-flag interface configuration. Esto establece el flag O en 1.
El resultado resaltado confirma que la RA le indicará a los hosts receptores que usen la
configuración automática stateless (A flag = 1) y se comunique con un servidor DHCPv6 para
obtener otra información de configuración (O flag = 1).
Puedes usar el comando no ipv6 nd other-config flag para restablecer la interfaz a la opción
predeterminada de SLAAC sólo (O flag = 0).
Operaciones de DHCPv6 stateful
Esta opción es la más similar a DHCPv4. En este caso, el mensaje RA indica al cliente que obtenga
toda la información de direccionamiento de un servidor DHCPv6 stateful, excepto la dirección del
default gateway que es la dirección link-local IPv6 de origen de la RA.
Esto se conoce como DHCPv6 stateful, debido a que el servidor de DHCPv6 mantiene información
de estado de IPv6. Esto es similar a la asignación de direcciones para IPv4 por parte de un servidor
de DHCPv4.
Habilitar DHCPv6 stateful en una interfaz
DHCPv6 Stateful es habilitado en una interfaz de router mediante el comando ipv6 nd managed-
config-flag interface configuration Esto establece el flag M en 1.
El resultado resaltado en el ejemplo confirma que RA indicará al host que obtenga toda la
información de configuración IPv6 de un servidor DHCPv6 (flag M = 1).
En redes más pequeñas, no es necesario tener dispositivos separados para tener un servidor
DHCPv6, un cliente o un agente de retransmisión. Se puede configurar un router Cisco para
proporcionar servicios DHCPv6.
Se puede configurar para que sea uno de los siguientes:
• DHCPv6 Server : El router proporciona servicios DHCPv6 stateless o stateful
• DHCPv6 Client : La interfaz del router adquiere una configuración IP IPv6 de un servidor
DHCPv6.
• DHCPv6 Relay Agent : Router proporciona servicios de reenvío DHCPv6 cuando el cliente
y el servidor se encuentran en diferentes redes.
Un router también puede ser un cliente DHCPv6 y obtener una configuración IPv6 de un servidor
DHCPv6
Hay cinco pasos para configurar y verificar un router como cliente DHCPv6 stateless :
1. Habilite el enrutamiento IPv6:
5. Verifique que el enrutador cliente haya recibido otra información DHCPv6 necesaria:
El comando show ipv6 dhcp interface g0/0/1 confirma que R3 también aprendió el
DNS y los nombres de dominio.
La opción de servidor DHCP stateful requiere que el router habilitado para IPv6 indique al host que
se ponga en contacto con un servidor DHCPv6 para obtener toda la información de
direccionamiento de red IPv6 necesaria.
R1 proporcionará servicios DHCPv6 stateful a todos los hosts de la red local. Configurar un
servidor de DHCPv6 stateful es similar a configurar un servidor stateless. La diferencia más
importante es que un servidor stateful también incluye información de direccionamiento
Hay cinco pasos para configurar y verificar un router como servidor DHCPv6 stateful:
1. Habilite el enrutamiento IPv6. :
Un router también puede ser un cliente DHCPv6. El router cliente debe tener ipv6 unicast-routing
habilitado y una dirección link-local IPv6 para enviar y recibir mensajes IPv6.
Hay cinco pasos para configurar y verificar un router como cliente DHCPv6 stateless:
1. Habilite el enrutamiento IPv6.
2. Configure el router cliente para crear una LLA.
5. Verifique que el router cliente haya recibido otra información DHCPv6 necesaria.
El comando show ipv6 dhcp interface g0/0/1 confirma que R3 aprendió el DNS y los
nombres de dominio.
Comandos de verificación del server DHCPv6
El comando show ipv6 dhcp pool verifica el nombre del pool de DHCPv6 y sus parámetros. El
comando también identifica el número de clientes activos. El grupo IPV6-STATEFUL tiene
actualmente 2 clientes, lo que refleja PC1 y R3 que reciben su dirección de unidifusión global IPv6
de este servidor.
Cuando un router proporciona servicios DHCPv6 stateful, también mantiene una base de datos de
direcciones IPv6 asignadas.
Con el comando show ipv6 dhcp binding vemos la dirección link-local IPv6 del cliente y la
dirección de unicast global asignada por el servidor.
El resultado muestra el enlace con estado actual en R1. El primer cliente en el resultado es PC1 y el
segundo cliente es R3.
Esta información la mantiene un servidor de DHCPv6 stateful. Un servidor DHCPv6 stateless no
mantendría esta información.
Configuración del agente Relay DHCPv6
Si el servidor de DHCPv6 está ubicado en una red distinta del cliente, el router IPv6 puede
configurarse como agente relay DHCPv6.
R3 se configura como un servidor DHCPv6 stateful. PC1 está en la red 2001:db8:acad:2: :/64 y
requiere los servicios de un servidor DHCPv6 stateful para adquirir su configuración IPv6. R1 debe
configurarse como el Agente de retransmisión DHCPv6.
Este comando especifica la dirección del servidor DHCPv6 y la interfaz de salida para llegar al
servidor, la interfaz de salida sólo es necesaria cuando la dirección del siguiente salto es una LLA.
El comando show ipv6 dhcp binding se utiliza para comprobar si se ha asignado una configuración
IPv6 a alguno de los hosts.
9. Limitaciones del Gateway Predeterminado
Si falla un router o una interfaz del router (que funciona como gateway predeterminado), los hosts
configurados con ese gateway predeterminado quedan aislados de las redes externas. Se necesita un
mecanismo para proporcionar gateways predeterminados alternativos en las redes conmutadas
donde hay dos o más routers conectados a las mismas VLAN. Este mecanismo es proporcionado
por los protocolos de redundancia de primer salto (FHRP).
Nota: Nota: Para los efectos del análisis de la redundancia de los routers, no hay diferencia
funcional entre un switch capa 3 y un router en la capa de distribución. En la práctica, es común que
un switch capa 3 funcione como gateway predeterminado para cada VLAN en una red conmutada
Si no se puede llegar a esa dirección IPv4 de gateway predeterminado, el dispositivo local no puede
enviar paquetes fuera del segmento de red local.
Los dispositivos IPv6 reciben dinámicamente su dirección de puerta de enlace predeterminada del
anuncio de router ICMPv6.
Una forma de evitar un único punto de falla en el gateway predeterminado es implementar un router
virtual. Como se muestra en la figura, para implementar este tipo de redundancia de router, se
configuran varios routers para que funcionen juntos y así dar la sensación de que hay un único
router a los hosts en la LAN. Al compartir una dirección IP y una dirección MAC, dos o más routers
pueden funcionar como un único router virtual.
La dirección IPv4 del router virtual se configura como la puerta de enlace predeterminada para las
estaciones de trabajo de un segmento específico de IPv4. Cuando se envían tramas desde los
dispositivos host hacia el gateway predeterminado, los hosts utilizan ARP para resolver la dirección
MAC asociada a la dirección IPv4 del gateway predeterminado. La resolución de ARP devuelve la
dirección MAC del router virtual. El router actualmente activo dentro del grupo de routers virtuales
puede procesar físicamente las tramas que se envían a la dirección MAC del router virtual. Los
protocolos se utilizan para identificar dos o más routers como los dispositivos responsables de
procesar tramas que se envían a la dirección MAC o IP de un único router virtual. Los dispositivos
host envían el tráfico a la dirección del router virtual. El router físico que reenvía este tráfico es
transparente para los dispositivos host.
Un protocolo de redundancia proporciona el mecanismo para determinar qué router debe cumplir la
función activa en el reenvío de tráfico. Además, determina cuándo un router de reserva debe asumir
la función de reenvío. La transición entre los routers de reenvío es transparente para los dispositivos
finales.
1. El router de reserva deja de recibir los mensajes de saludo del router de reenvío.
2. El router de reserva asume la función del router de reenvío.
3. Debido a que el nuevo router de reenvío asume tanto la dirección IPv4 como la dirección
MAC del router virtual, los dispositivos host no perciben ninguna interrupción en el
servicio.
Opciones de FHRP – First Hop Redundancy Protocol
Opciones de
Descripción
FHRP
Propietaria de Cisco, para hosts IPv4. HSRP se utiliza en un grupo
Hot Standby
de routers para seleccionar un dispositivo activo y un dispositivo de
Router Protocol
espera. La función del router de espera HSRP es supervisar el
(HSRP)
estado operativo del grupo HSRP.
ICMP Router Especificado en RFC 1256, IRDP es una solución FHRP heredada.
Discovery Protocol IRDP permite host IPv4 para localizar routers que proporcionan
(IRDP) conectividad IPv4 a otras redes IP (no locales).
Cisco proporciona HSRP y HSRP para IPv6 como una forma de evitar la pérdida de acceso externo
a la red si falla el router predeterminado.
HSRP se utiliza en un grupo de routers para seleccionar un dispositivo activo y un dispositivo de
reserva.
Prioridad HSRP
La prioridad HSRP se puede utilizar para determinar el router activo. El router con la prioridad
HSRP más alta será el router activo. De manera predeterminada, la prioridad HSRP es 100. Si las
prioridades son iguales, el router con la dirección IPv4 numéricamente más alta es elegido como
router activo.
Para configurar un router para que sea el router activo, utilice el comando de interfaz standby
priority. El rango de prioridad HSRP es de 0 a 255.
Preferencias HSRP
De forma predeterminada, después de que un router se convierte en el router activo, seguirá siendo
el router activo incluso si otro router está disponible en línea con una prioridad HSRP más alta.
Para forzar un nuevo proceso de elección HSRP mediante el comando standby preempt interface.
Preempt la capacidad de un router HSRP de activar el proceso de la nueva elección. Con este
intento de prioridad activado, un router disponible en línea con una prioridad HSRP más alta asume
el rol de router activo.
El intento de prioridad sólo permite que un router se convierta en router activo si tiene una prioridad
más alta.
Si el intento de prioridad está desactivado, el router que arranque primero será el router activo si no
hay otros routers en línea durante el proceso de elección.
HSRP
Description
State
Estos dispositivos podrían incluir un router habilitado con una Red Privada Virtual (VPN), un
Firewall de Siguiente Generación (NGFW), y un Dispositivo de Acceso a la Red (NAC).
• VPN-enabled router : Red Privada Virtual (VPN) proporciona una conexión segura para
que usuarios remotos se conecten a la red empresarial a través de una red pública. Los
servicios VPN pueden ser integrados en el firewall.
• NGFW - Next-Generation FireWall : Firewall de Siguiente Generación (NGFW) -
proporciona inspección de paquetes con estado, visibilidad y control de aplicaciones, un
Sistema de Prevención de Intrusos de Próxima Generación (NGIPS), Protección Avanzada
contra Malware (AMP) y filtrado de URL.
• NAC - Network Access Control : Authentication, Authorization Accounting (AAA),
autenticación, autorización y registro. En empresas más grandes, estos servicios podrían
incorporarse en un dispositivo que pueda administrar políticas de acceso en una amplia
variedad de usuarios y tipos de dispositivos. El Cisco Identity Services Engine (ISE) en un
ejemplo de dispositivo NAC.
Protección de terminales
Los dispositivos LAN como los switches, los Controladores de LAN Inalámbricos (WLCs), y otros
puntos de acceso (AP) interconectan puntos terminales.
Los puntos terminales son particularmente susceptibles a ataques relacionados con malware que se
originan a través del correo electrónico o la navegación web. Estos puntos finales suelen utilizar
características de seguridad tradicionales basadas en host, como antivirus/antimalware, firewalls
basados en host y sistemas de prevención de intrusiones (HIPS) basados en host.
actualmente los puntos finales están más protegidos por una combinación de NAC, software AMP
basado en host, un Dispositivo de Seguridad de Correo Electrónico (ESA) y un Dispositivo de
Seguridad Web (WSA). Los productos de Protección Avanzado de Malware (AMP) incluyen
soluciones de dispositivos finales como Cisco AMP.
Los dispositivos de seguridad de contenido incluyen un control detallado sobre el correo electrónico
y la navegación web para los usuarios de una organización.
Los ataques de suplantación de identidad son una forma de correo electrónico no deseado
particularmente virulento. Recuerde que un ataque de phishing lleva al usuario a hacer clic en un
enlace o abrir un archivo adjunto.
Spear phishing (phising dirigido)selecciona como objetivo a empleados o ejecutivos de alto perfil
que pueden tener credenciales de inicio de sesión elevadas. Esto es particularmente crucial en el
ambiente actual, donde, de acuerdo al instituto SANS, 95% de todos los ataques en redes
empresariales son del resultado de un spear phishing exitoso.
El dispositivo Cisco ESA está diseñado para monitorear el Protocolo Simple de Transferencia de
Correo (Simple Mail Transfer Protocol – SMTP). Cisco ESA se actualiza en tiempo real alimentado
por Talos de Cisco, quien detecta y correlaciona las amenazas con un sistema de monitoreo que
utiliza una base de datos mundial. Cisco ESA extrae estos datos de inteligencia de amenazas cada
tres o cinco minutos. Estas son algunas funciones de Cisco ESA:
• Bloquear las amenazas
Cisco Web Security Appliance (WSA) es una tecnología de mitigación para amenazas basadas en la
web.
Cisco WSA combina protección avanzada contra malware, visibilidad y control de aplicaciones,
controles de políticas de uso aceptable e informes.
Ciertas funciones y aplicaciones, como chat, mensajería, video y audio, pueden permitirse,
restringirse con límites de tiempo y ancho de banda, o bloquearse, de acuerdo con los requisitos de
la organización. La WSA puede realizar listas negras de URL, filtrado de URL, escaneo de
malware, categorización de URL, filtrado de aplicaciones web y cifrado y descifrado del tráfico
web.
Control de Acceso
El concepto de AAA es similar al uso de una tarjeta de crédito, como se muestra en la imagen La
tarjeta de crédito identifica quién la usa y cuánto puede gastar puede el usuario de esta, y mantiene
un registro de cuántos elementos o servicios adquirió el usuario.
Autenticación
La autorización es automática y no requiere que los usuarios tomen medidas adicionales después de
la autenticación. La autorización controla lo que el usuario puede hacer o no en la red después de
una autenticación satisfactoria:
La autorización utiliza un conjunto de atributos que describe el acceso del usuario a la red. Estos
atributos son usados por el servidor AAA para determinar privilegios y restricciones para ese
usuario.
Accounting \ Registro
El registro de AAA recopila y reporta datos de uso. La organización puede utilizar estos datos para
fines como auditorías o facturación. Los datos recopilados pueden incluir la hora de inicio y
finalización de la conexión, los comandos ejecutados, la cantidad de paquetes y el número de bytes.
802.1x
Capa 2 Vulnerabilidades
Los administradores de red regularmente implementan soluciones de seguridad para proteger los
componentes en la Capa 3 y hasta la Capa 7. Ellos usan VPNs, firewalls, y dispositivos IPS para
proteger estos elementos. Si la Capa 2 se ve comprometida, todas las capas superiores también se
ven afectadas.
Categorías de Ataques a Switches
Hoy, con BYOD y ataques más sofisticados, nuestras LAN se han vuelto más vulnerables a la
penetración. Además de proteger de la Capa 3 a la Capa 7, los profesionales de seguridad de red
también deben mitigar los ataques a la infraestructura LAN de la Capa 2.
Layer 2 Attacks
Categoría Ejemplos
MAC Table Attacks Includes MAC address flooding (saturación) attacks.
Address Spoofing
Incluye spoofing (suplantacion) de direcciones MAC e IP.
Attacks
Solución Descripción
INSEGUROS SEGUROS
Syslog SSH
SNMP, Simple Network Management Protocol SCP, Secure Copy Protocol
TFTP, Trivial File Transfer Protocol SFTP, Secure FTP
Telnet SSL/TLS, Secure Socket Layer/Transport
Layer Security
FTP, File Transfer Protocol
La mayoría de otros protocolos comunes son inseguros, por lo tanto, se recomiendan las siguientes
estrategias:
• Utilice siempre variantes seguras de protocolos de administración
• Usar una VLAN de administración dedicada que solo aloje el tráfico de administración.
Para tomar decisiones de reenvío, un Switch LAN de Capa 2 crea una tabla basada en las
direcciones MAC de origen que se encuentran en las tramas recibidas. Como se muestra en la
figura, esto es llamado un tabla de direcciones MAC. Tabla de direcciones MAC se guarda en la
memoria y son usadas para reenviar tramas de forma eficiente.
Otra razón por la que estas herramientas de ataque son peligrosas, es porque no solo afectan el
switch local sino que también afectan switches conectados de Capa 2.
Parta mitigar los ataques Table-Overflow, los administradores deben implementar la medida Port-
Security. Port-Security sólo permite un número determinado de direcciones MAC de origen en el
puerto donde se aplica.
El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar primero
un router.En un ataque de VLAN Hopping básico, el atacante configura un host para que actúe
como un switch para aprovechar la función trunk automático habilitada de forma predeterminada en
la mayoría de puertos del switches.
Un atacante configura un host suplantando las señales 802.1Q y DTP (Dynamic Trunking Protocol)
para conectar por trunk con el switch. Si es exitoso, el switch establece un enlace troncal con el
host. Ahora el atacante puede acceder todas las VLANS en el switch. El atacante puede enviar y
recibir tráfico en cualquier VLAN, saltando efectivamente entre las VLAN.
Un atacante esta conectado a un switch que esta conectado a otro switch por medio de un troncal
802.1Q. El segundo switch tiene una conexión con el servidor 1 en la VLAN 10 y una conexión al
servidor 2 en la VLAN 20. El atacante estableció un enlace troncal 802.1Q, no autorizado, al switch
para ganar acceso a la VLAN del servidor.
Ataque de VLAN Double-Tagging
Un atacante, en situaciones específicas, podrían insertar una etiqueta 802.1Q oculta dentro de la
trama que ya tiene una etiqueta 802.1Q. Esta etiqueta permite que la trama se envíe a una VLAN
que la etiqueta 802.1Q externa no especificó.
Paso 1
El atacante envía una trama 802.1Q con doble etiqueta (double tag) al switch. El encabezado
externo tiene la etiqueta VLAN del atacante, que es la misma que la VLAN nativa del puerto de
enlace troncal. Para fines de este ejemplo, supongamos que es la VLAN 10. La etiqueta interna es la
VLAN víctima; en este caso, la VLAN 20.
Paso 2
La trama llega al primer switch, que mira la primera etiqueta 802.1Q de 4 bytes. El switch ve que la
trama esta destinada para la VLAN 10, la cual es una VLAN nativa. El switch reenvía el paquete a
todos los puertos de VLAN 10, después de quitar la etiqueta de VLAN 10. La trama no es re-
etiquetada porque es parte de la VLAN nativa. En este punto, la etiqueta de VLAN 20 todavía está
intacta y no ha sido inspeccionada por el primer switch.
Paso 3
La trama llega al segundo switch, que no tiene conocimiento de que debía ser para la VLAN 10. El
switch emisor no etiqueta el tráfico de la VLAN nativa, como se especifica en la especificación
802.1Q. El segundo switch observa solo la etiqueta interna 802.1Q, que el atacante insertó, y ve que
la trama está destinada a la VLAN 20 (la VLAN víctima). El segundo switch envía el paquete al
puerto víctima o lo satura, dependiendo de si existe una entrada en la tabla de MAC para el host
víctima.
• Asegúrese de que la VLAN nativa sólo se usa para los enlaces troncales.
Mensajes DHCP
Ataques de DHCP
Los dos tipos de ataques DHCP son starvation (agotamiento) y spoofing (suplantación de
identidad). Ambos ataques pueden ser mitigados implementando DHCP snooping.
DHCP Starvation Attack
El objetivo de un ataque de agotamiento DHCP es crear un DoS para la conexión de clientes. Los
ataques de agotamiento de DHCP requieren una herramienta de ataque, como Gobbler.
Gobbler tiene la capacidad de ver todo el alcance de las direcciones IP alquilables e intenta
alquilarlas todas. Específicamente, este crea un mensaje DHCP DISCOVER con una dirección
MAC falsa.
Ataques ARP
La solicitud de ARP a otros hosts del segmento para determinar la dirección MAC de un host con
una dirección IP específica. Esto es típicamente hecho para descubrir la dirección MAC de un
Gateway. Todos los hosts de la subred reciben y procesan la solicitud de ARP. El host con la
dirección IP que coincide con la de la solicitud de ARP envía una respuesta de ARP.
Según ARP RFC, cualquier cliente puede enviar una respuesta de ARP no solicitada llamada
“gratuitous ARP ” Cuando un host envía un gratuitous ARP , otros hosts en la subred almacenan en
sus tablas de ARP la dirección MAC y la dirección IP que contiene dicho ARP.
El problema es que un atacante puede enviar un mensaje ARP gratuitous al switch y el switch
podría actualizar su tabla MAC de acuerdo a esto. Por lo tanto, cualquier host puede reclamar ser el
dueño de cualquier combinación de dirección IP Y MAC que ellos elijan.
Hay muchas herramientas disponibles en Internet para crear ataques de MITM de ARP, como dsniff,
Cain & Abel, ettercap y Yersinia. IPv6 utiliza el protocolo de descubrimiento de vecinos ICMPv6
para la resolución de direcciones de Capa 2.
ARP Spoofing (suplantación de identidad) y ARP poisoning (envenenamiento) son mitigados
implementando DAI.
Ataque de STP
Los atacantes de red pueden manipular Spanning Tree Protocol (STP) para realizar un ataque
falsificando el root bridge y cambiando la topología de una red. Los atacantes hacen que su host
parezca ser un root bridge; por lo tanto capturan todo el trafico para el dominio del Switch
inmediato.
Para realizar un ataque de manipulación de STP, el host atacante transmite Bridge Protocol Data
Unit STP (BPDU), que contienen cambios de configuración y topología que forzarán los re-cálculos
de SPT. Las BPDU enviadas por el host atacante anuncian una prioridad de puente (bridge) inferior,
en un intento de ser elegidas como root bridge.
Reconocimiento CDP
Cisco Discovery Protocol (CDP) es un protocolo de detección de enlaces de Capa 2. Está habilitado
en todos los dispositivos de Cisco de manera predeterminada. CDP puede detectar automáticamente
otros dispositivos con CDP habilitado y ayudar a configurar automáticamente la conexión. Los
administradores de red también usan CDP para configurar dispositivos de red y solucionar
problemas.
La información de CDP se envía por los puertos con CDP habilitado en transmisiones periódicas sin
encriptar. La información de CDP incluye la dirección IP del dispositivo, la versión de software
de IOS, la plataforma, las funcionalidades y la VLAN nativa. El dispositivo que recibe el
mensaje de CDP actualiza la base de datos de CDP.
CDP puede usarse para verificar la conectividad de Capa 1 y 2. Si un administrador no puede hacer
ping a una interfaz con conexión directa, pero aún recibe información de CDP, es probable que el
problema esté en la configuración de Capa 3.
Un atacante puede usar la información proporcionada por CDP para detectar vulnerabilidades en la
infraestructura de red.
Wireshark con captura cdp packet:
Port security solo se puede configurar en puertos de acceso o trunks configurados manualmente.
Los puertos capa 2 del switch están definidos como dynamic auto (trunk on), de manera
predeterminada, hay que reconfigurarlos para poder aplicar Port-Security.
Use el comando show port-security interface para mostrar la configuración de seguridad del
puerto. Note que Port-Security : enable, violation-mode: shutdown, y Maximum MAC Address: 1. Si
un dispositivo esta conectado al puerto, el switch automáticamente agregara la dirección MAC de
este dispositivo como una dirección MAC segura, y cambiara Port-Status: Secure-up.
Si un puerto activo está configurado con el comando switchport port-security y hay más de un
dispositivo conectado a ese puerto, el puerto pasará al estado de error desactivado.
El switch se puede configurar para aprender direcciones MAC en un puerto seguro de tres maneras:
1. Configurado Manualmente; El administrador configura manualmente una(s) dirección
MAC estática usando el siguiente comando para cada dirección MAC en el puerto:
La salida muestra:
• Port-Security : Enable, verifica que port security está activo
Parámetro Descripción
Mode Descripción
Incrementa el
Violation Discards Envía mensaje Desactiva el
contador de
Mode Offending Traffic de syslog puerto
violaciones
Protect Sí No No No
Restrict Sí Sí Sí No
Shutdown Sí Sí Sí Sí
Cuando un puerto esta apagado y puesto en modo error-disable, no se envía ni se recibe tráfico a
través de ese puerto. En la consola, se muestra una serie de mensajes relacionados con la seguridad
del puerto.
Show interface muestra el estado de la interface como err-disabled. La salida de show port-
security interface ahora muestra el estado del puerto como secure-shutdown. El contador de
violación incrementa en uno.
show port-security interface para ver los detalles de una interfaz específica:
Verificar las direcciones MAC aprendidas
Step 1 : Deshabilitar negociaciones DTP en puertos no trunk mediante switchport mode access
Step 2 : Deshabilitar puertos sin uso y asignarlos a una vlan sin utilizar.
Step 3 : Habilitar enlaces trunk mediante switchport mode trunk
Step 4 : Deshabilitar negociaciones DTP en puertos trunk mediante switchport nonegotiate
Step 5 : Establecer una nativa diferente a la VLAN 1 en los puertos trunk mediante switchport
trunk native vlan VLAN ID
El objetivo de starvation attack (ataque de agotamiento) es causar un. DoS a los clientes. Para estos
ataques se requiere una herramienta como Gobbler. Este tipo de artaques se mitigta utilzando port-
security ya que Gobbler utiliza la misma MAC de origen en cada solicitud. Sin embargo, Gobbler
podría configurarse para utilizar la MAC real de la interfaz legitima y utilizar una MAC diferente en
el payload de DHCP. Port-security no sería efectivo porque la MAC es legítima.
DHCP Snooping
Determina si los mensajes de DHCP vienen de una fuente configurada administrativamente como
confiable o no confiable. Filtra los mensajes DHCP, establece limites de velocidad a los mensajes
de fuentes no confiables.
Dispositivos que estén bajo su control administrativo como Switches, enrutadores y servidores, son
trusted sources (fuentes confiables). Cualquier dispositivo más allá del cortafuegos fuera de su red
son fuentes no confiables. Además, todos los puertos de acceso son tratados generalmente como
untrusted source (fuentes no fiables).
las interfaces confiables son enlaces troncales y puertos conectados directamente a un servidor
DHCP legitimo. Estas interfaces deben ser configuradas explícitamente como confiables.
Se crea una tabla DHCP que incluye la dirección MAC de origen de un dispositivo en un puerto no
confiable y la dirección IP asignada por el servidor DHCP a ese dispositivo. La dirección MAC y la
dirección IP están unidas. Por lo tanto, esta tabla se denomina DHCP snooping binding table.
El comando show ip dhcp snooping EXEC privilegiado para verificar la inspección DHCP show
ip dhcp snooping bin ding y para ver los clientes que han recibido información DHCP.
Mitigate ARP Attacks
Un atacante puede enviar a otros host en la subred ARP request con su dirección MAC y la IP del
Gateway. Para prevenir ARP Spoofing (suplantación) y el poisoning (envenenamiento) resultante,
un Switch debe garantizar que sólo se transmitan las ARP request y replies validas.
Dynamic ARP Inspection (DAI) requiere de DHCP snooping y ayuda a prevenir ataques ARP:
• No retransmitiendo invalidas o gratuitous ARP Request a otros puertos en la misma VLAN.
Generalmente, es aconsejable configurar todos los puertos de switch de acceso como no confiables
y configurar todos los puertos de enlace ascendente que están conectados a otros switches como
confiables.
S1 está conectado a dos usuarios en la VLAN 10. DAI será configurado para mitigar ataques ARP
spoofing and ARP poisonig.
DHCP snooping está habilitado porque DAI requiere que funcione DHCP snooping binding table.
DAI se puede configurar para revisar si hay direcciones MAC e IP de destino o de origen:
• Destination MAC : Comprueba la dirección MAC de destino en el encabezado de Ethernet
con la dirección MAC de destino en el cuerpo ARP.
• Source MAC : Comprueba la dirección MAC de origen en el encabezado de Ethernet con la
dirección MAC del remitente en el cuerpo ARP.
• IP address : comprueba el cuerpo ARP en busca de direcciones IP no válidas e inesperadas,
incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las direcciones IP multicast .
El ip arp inspection validate {[src-mac] [dst-mac] [ip]} se utiliza para configurar DAI, para
descartar paquetes ARP cuando las direcciones IP no son válidas. Se puede usar cuando las
direcciones MAC en el cuerpo de los paquetes ARP no coinciden con las direcciones que se
especifican en el encabezado Ethernet . Al ingresar varios comandos ip arp inspection validate se
sobrescribe el comando anterior. Para incluir mas de un método de validación, ingreselos en la
misma línea de comando como se muestra y verifica en la siguiente salida.
PortFast omite los estados de listening y learning de STP para minimizar el tiempo que los puertos
de acceso deben esperar a que STP converja. Si habilita PortFast en un puerto que se conecta a otro
switch, corre el riesgo de crear un bucle de árbol de expansión.
• if#spanning-tree portfast : Habilita porfast en la interfaz que se aplica.
• show running-config interface type / number : Verifica si está habilitado por interfaz
• show running-config interface type / number detail: Verifica por interfaz con más detalle.
Configure BPDU Guard
Si se recibe una BPDU en un puerto de acceso habilitado para BPDU Guard, el puerto se pone en
estado error-diasble. Esto significa que el puerto se cierra y debe volver a habilitarse manualmente
o recuperarse automáticamente mediante el comando global errdisable recovery cause
bpduguard.
• spanning-tree bpduguard enable : Configura BPDU Guard a nivel de interfaz
• spanning-tree portfast bpduguard default : Habilita BPDU Guard en todas las interfaces
donde esté habilitado porfast.
• show spanning-tree summary : Muestra el estado en modo default de protección porfast y
bpduguard.
Active BPDU Guard en todos los puertos habilitados para PortFast.
12. Tipos de redes inalámbricas
Las LAN inalámbricas (WLAN) se basan en los estándares IEEE y se pueden clasificar en cuatro
tipos principales: WPAN, WLAN, WMAN y WWAN.
• Wireless Personal-Area Networks (WPAN) :Utiliza transmisores de baja potencia para
una red de corto alcance, generalmente de 20 a 30 pies (6 a 9 metros). Los dispositivos
basados en Bluetooth y ZigBee se usan comúnmente en WPANs. Los WPAN se basan en el
estándar 802.15 y una frecuencia de radio de 2.4 GHz.
• Wireless LANs (WLAN) : Utiliza transmisores para cubrir una red de tamaño mediano,
generalmente de hasta 300 pies. Las redes WLANs son adecuadas para uso en casas,
oficinas, e inclusive campus. Las WLAN se basan en el estándar 802.11 y una frecuencia de
radio de 2,4 GHz o 5 GHz.
• Wireless MANs (WMAN : Utiliza transmisores para proporcionar servicio inalámbrico en
un área geográfica más grande. Las redes WMANs son adecuadas para proveer acceso
inalámbrico a ciudades metropolitanas o distritos específicos. Las WMANs utilizan
frecuencias específicas con licencia.
• Wireless Wide-Area Networks (WWANs) : Utiliza transmisores para proporcionar
cobertura en un área geográfica extensa. Las redes WWANs son adecuadas para
comunicaciones nacionales y globales. Las WMANs utilizan frecuencias específicas con
licencia.
Bluetooth
Es un estándar IEEE 802.15 WPAN que utiliza un proceso de emparejamiento de dispositivos para
comunicarse a distancias de hasta 300 pies (100m) Se puede encontrar en dispositivos domésticos
inteligentes, conexiones de audio, automóviles y otros dispositivos que requieren una conexión de
corta distancia. Hay dos tipos de radios Bluetooth;
• Bluetooth Low Energy (BLE) : Admite múltiples tecnologías de red, incluida la topología
de malla
• Bluetooth Basic Rate/Enhanced Rate (BR/EDR) : Admite tecnologías point-to-point y
está optimizada para la transmisión de audio.
Cellular Broadband
son redes móviles inalámbricas utilizadas principalmente por teléfonos celulares, pero pueden
usarse en automóviles, tabletas y computadoras portátiles. Las redes celulares son redes de acceso
múltiple que llevan comunicaciones de datos y de voz. Los dos tipos de redes celulares son Global
System for Mobile (GSM) y Code Division Multiple Access (CDMA). GSM es reconocido
internacionalmente, mientras que CDMA se usa principalmente en los Estados Unidos.
Satellite Broadband
Proporciona acceso de red a sitios remotos mediante el uso de una antena parabólica direccional que
está alineada con un satélite de órbita terrestre geoestacionaria específica. Usualmente este es más
caro y requiere una línea de visión clara. Este es usado típicamente por dueños de casas y negocios
donde el cable y DSL no están disponibles.
La mayoría de los estándares especifican que los dispositivos inalámbricos tienen una antena para
transmitir y recibir señales inalámbricas en la frecuencia de radio especificada (2.4 GHz o 5 GHz).
Algunos de los estándares más nuevos que transmiten y reciben a velocidades más altas requieren
que los puntos de acceso (AP) y los clientes inalámbricos tengan múltiples antenas utilizando la
tecnología de entrada múltiple y salida múltiple (multiple-input and multiple-output - MIMO).
MIMO utiliza múltiples antenas como transmisor y receptor para mejorar el rendimiento de la
comunicación. Se pueden soportar hasta cuatro antenas.
• Lanzado en 2019
• Conocido como Wi-Fi 6 o High-Efficiency Wireless
(HEW)
2.4 GHz 5 • Eficiencia energética mejorada, velocidades de datos
802.11ax
GHz más altas, mayor capacidad y maneja muchos
dispositivos conectados
• Actualmente opera en 2.4 GHz y 5 GHz pero usará 1
GHz y 7 GHz cuando estén disponibles.
Radiofrecuencia
Todos los dispositivos inalámbricos funcionan en el rango del espectro electromagnético. Las redes
WLAN operan en la banda de frecuencia de 2,4 GHz y la banda de 5 GHz. Los dispositivos de
LAN inalámbricos tienen transmisores y receptores sintonizados a frecuencias específicas de ondas
de radio para comunicarse. Específicamente, las siguientes bandas de frecuencia se asignan a LAN
inalámbricas 802.11:
• 2.4 GHz (UHF) - 802.11b/g/n/ax
NIC inalámbrica
Las implementaciones inalámbricas requieren un mínimo de dos dispositivos que tengan un
transmisor de radio y un receptor de radio sintonizados a las mismas frecuencias de radio:
• Dispositivos finales con NIC inalámbricas
Categorías AP
• Autonomous APs : Estos son dispositivos independientes configurados mediante una
interfaz de línea de comandos o una GUI . Los AP autónomos son útiles en situaciones en
las que solo se requieren un par de APs en la organización. Un router doméstico es un
ejemplo de AP autónomo porque toda la configuración de AP reside en el dispositivo.
• Controller-based APs : Estos dispositivos no necesitan una configuración inicial y
normalmente se les denomina lightweight APs (LAPs) . Los puntos de acceso LAP usan el
Protocolo LightWeight Access Point Protocol (LWAPP) para comunicarse con WLAN
Controller (WLC), Los puntos de acceso basados en controlador son útiles en situaciones en
las que se necesitan varios puntos de acceso en la red. Conforme se agregan puntos de
acceso, cada punto de acceso es configurado y administrado de manera automática por el
WLC. LAG proporciona redundancia y equilibrio de carga. Todos los puertos del switch que
están conectados al WLC deben estar conectados y configurados con EtherChannel
activado. LAG no es compatible con PaGP ni LACP, protocolos de Etherchannel.
WLC tiene cuatro puertos conectados a la infraestructura de switching. Estos cuatro puertos están
configurados como un grupo de agregación de enlaces (Link Aggrgegation Group, LAG)
Antenas inalámbricas
Tipos de antenas:
• Omnidirectional : Brindan una cobertura de 360 grados y son ideales en casas, áreas de
oficinas abiertas, salas de conferencias y áreas exteriores.
• Directionals : Enfocan la señal de radio en una dirección específica. Esto mejora la señal
hacia y desde el AP en la dirección en que apunta la antena. Parabólicas, Yagi,…
• Multiple Input Multiple Output (MIMO) : Utiliza múltiples antenas para aumentar el
ancho de banda disponible para las redes inalámbricas IEEE 802.11n/ac/ax. Se pueden
utilizar hasta ocho antenas de transmisión y recepción para aumentar el rendimiento.
El estándar 802.11 identifica dos modos principales de topología inalámbrica: modo Ad hoc y modo
Infraestructure. Tetherin también es un modo en ocasiones usado para proveer un acceso
inalámbrico rápido.
• Ad hoc : Es cuando dos dispositivos se conectan de forma inalámbrica de igual a igual
(P2P) sin utilizar AP o routers inalámbricos. Los ejemplos incluyen clientes inalámbricos
que se conectan directamente entre sí mediante Bluetooth o Wi-Fi Direct. El estándar IEEE
802.11 se refiere a una red ad hoc como un conjunto de servicios básicos independientes
(Independient Basic Service Set, IBSS).
• Infraestructure : Esto ocurre cuando los clientes inalámbricos se interconectan a través de
un router inalámbrico o AP, como en las WLAN. Los AP se conectan a la infraestructura de
red utilizando el sistema de distribución por cable, como Ethernet.
• Tethering : cuando un teléfono inteligente o tableta con acceso a datos móviles está
habilitado para crear un punto de acceso personal. En ocasiones se refiere a esta
característica como “anclaje a red (tethering.)
BSS y ESS
Conjunto de servicios
extendidos - Extended Service Set
Cuando un solo BSS proporciona cobertura insuficiente, se pueden unir dos o más BSS a través de
un sistema de distribución común (DS) en un ESS. Un ESS es la unión de dos o más BSS
interconectados por un DS cableado. Cada ESS se identifica por un SSID y cada BSS se identifica
por su BSSID.
Los clientes inalámbricos en una BSA ahora pueden comunicarse con clientes inalámbricos en otra
BSA dentro del mismo ESS. Los clientes móviles inalámbricos pueden moverse de un BSA a otro
(dentro del mismo ESS.
Estructura de la trama 802.11
Recuerde que todas las tramas de capa 2 consisten en un header, payload y sección de secuencia de
verificación de trama (FCS).
• Address 3 SA/DA/BSSID : Dirección MAC del destino que podría ser un dispositivo
inalámbrico o un dispositivo con cable.
Desde AP:
• Address 1 Receiver Addres : Dirección MAC del remitente
CSMA/CA
Las WLAN son configuraciones de medios compartidos half-duplex. WLAN utilizan el acceso
múltiple con detección de portadora y prevención de colisiones (CSMA / CA) para determinar cómo
y cuándo enviar datos. Steps:
1. Escucha el canal para ver si está inactivo, es decir, no hay otro tráfico actualmente en el
canal. El canal es también llamado el portador.
2. Envía un mensaje Ready to Send (RTS) al AP para solicitar acceso dedicado a la red.
3. Recibe un mensaje Clear to Send (CTS) del AP que otorga acceso para enviar.
4. Si el cliente inalámbrico no recibe el mensaje CTS este espera una cantidad de tiempo
aleatoria antes de reiniciar el proceso.
5. Después de recibir el CTS, trasmite la información.
6. Todas las transmisiones son reconocidas. Si un cliente no recibe el reconocimiento, asume
que ocurrió una colisión y reinicia el proceso.
• Authenticate with AP
• Associate with AP
• Channel settings : Se refiere a las bandas de frecuencia que se usan para transmitir datos
inalámbricos
El cliente inalámbrico inicia el proceso al transmitir por difusión una trama de solicitud de sondeo
en varios canales. La solicitud de sondeo incluye el nombre del SSID y los estándares admitidos.
Los AP configurados con el SSID enviarán una respuesta de prueba que incluye el SSID, los
estándares admitidos y la configuración de seguridad.
CAPWAP
CAPWAP es un protocolo estándar IEEE que permite que un WLC administre múltiples AP y
WLANs. CAPWAP también es responsable de la encapsulación y el reenvío del tráfico del cliente
WLAN entre un AP y un WLC.
Basado en LWAPP pero agrega seguridad adicional con Datagram Transport Layer Security
(DLTS). CAPWAP establece túneles en los puertos del Protocolo de datagramas de usuario (UDP).
CAPWAP puede operar sobre IPv4 o IPv6, pero usa IPv4 de manera predeterminada.
IPv4 e IPv6 pueden usar los puertos UDP 5246 y 5247. Sin embargo, los túneles CAPWAP usan
diferentes protocolos IP en el encabezado de la trama. IPv4 usa el protocolo IP 17 e IPv6 usa el
protocolo IP 136.
CAPWAP divide control de acceso al medio (MAC). CAPWAP realiza todas las funciones que un
AP individual y las divide en dos componentes:
• AP MAC Functions
DTLS es un protocolo que proporciona seguridad entre el AP y el WLC. Les permite comunicarse
mediante encriptación y evita escuchas o alteraciones.
DTLS está habilitado de manera predeterminada para asegurar el canal de control CAPWAP pero
está deshabilitado de manera predeterminada para el canal de datos. Todo el tráfico de control y
gestión CAPWAP intercambiado entre un AP y WLC está encriptado y protegido de forma
predeterminada para proporcionar privacidad en el plano de control y evitar ataques de Man-In-the-
Middle (MITM).
AP FlexConnect
Las frecuencias se asignen como rangos. Los rangos se dividen en rangos más pequeños llamados
canales.
Direct-Sequence Spread Spectrum (DSSS) : Espectro de extensión de la secuencia directa
(DSSS) - Una técnica de modulación diseñada para extender una señal sobre una banda de
frecuencia más grande. Las técnicas de amplio espectro se desarrollaron durante el tiempo de guerra
para que sea más difícil para los enemigos interceptar o bloquear una señal de comunicación. Lo
hace al extender la señal sobre una frecuencia más amplia que efectivamente oculta el pico
discernible de la señal, como se muestra en la figura. Un receptor configurado correctamente puede
revertir la modulación DSSS y reconstruir la señal original. DSSS es Usado por dispositivos
802.11b para evitar interferencias de otros dispositivos que usan la misma frecuencia de 2.4 GHz.
Frequency-Hopping Spread Spectrum (FHSS) : Espectro ensanchado por salto de frecuencia
(FHSS)- Esto se basa en métodos de amplio espectro para comunicarse. Transmite señales de radio
cambiando rápidamente una señal portadora entre muchos canales de frecuencia. El emisor y el
receptor deben estar sincronizados para "saber" a qué canal saltar. Este proceso de salto de canal
permite un uso más eficiente de los canales, disminuyendo la congestión del canal. FHSS fue Usado
por el estándar 802.11 original. Los walkie-talkies y los teléfonos inalámbricos de 900 MHz
también usan FHSS, y Bluetooth usa una variación de FHSS.
Selección de canales
Una práctica recomendada para las WLAN que requieren múltiples AP es utilizar canales no
superpuestos. Por ejemplo, los estándares 802.11b/g/n operan en el espectro de 2.4 GHz a 2.5GHz.
La banda 2.4 GHz está subdividida en múltiples canales. Cada canal tiene un ancho de banda de 22
MHz y está separado del siguiente canal por 5 MHz. El estándar 802.11b identifica 11 canales para
América del Norte.
La interferencia ocurre cuando una señal se superpone a un canal reservado para otra señal,
causando una posible distorsión. La mejor práctica para las WLAN de 2.4GHz que requieren
múltiples AP es usar canales no superpuestos, aunque la mayoría de los AP modernos lo harán
automáticamente. Si hay tres AP adyacentes, use los canales 1, 6 y 11.
Para los estándares de 5 GHz 802.11a/n/ac, hay 24 canales. La banda de 5Ghz está dividida en tres
secciones. Cada canal está separado del siguiente canal por 20 MHz La figura muestra la primera
sección de ocho canales para la banda de 5 GHz. Aunque hay una ligera superposición, los canales
no interfieren entre sí. La conexión inalámbrica de 5 GHz puede proporcionar una transmisión de
datos más rápida para clientes inalámbricos en redes inalámbricas muy pobladas debido a la gran
cantidad de canales inalámbricos no superpuestos.
Planifique la implementación de WLAN
• Coloque APs verticalmente cerca del techo en el centro de cada área de cobertura, si es
posible.
• Coloque los AP en ubicaciones donde se espera que estén los usuarios. Por ejemplo, una sala
de conferencias es una mejor locación para un AP que un pasilllo.
• Si se configuró una red IEEE 802.11 para el modo mixto, los clientes inalámbricos pueden
experimentar velocidades más lentas de lo normal para admitir los estándares inalámbricos
más antiguos.
Descripción general de la seguridad inalámbrica
Los ataques pueden ser generados por personas externas, empleados descontentos e incluso
involuntariamente por los empleados. Las redes inalámbricas son específicamente susceptibles a
varias amenazas :
• Interception of data : Los datos inalámbricos deben estar encriptados.
• Wireless intruders : Los usuarios no autorizados que intentan acceder a los recursos de la
red pueden ser disuadidos mediante técnicas de autenticación efectivas.
• Denial of Service (DoS) Attacks : El acceso a los servicios WLAN puede verse
comprometido de forma accidental o maliciosa. Existen varias soluciones dependiendo de la
fuente del ataque DoS.
• Rogue APs : Falso AP, Los AP no autorizados instalados por un usuario bien intencionado o
con fines maliciosos se pueden detectar utilizando un software de administración.
Ataques de DoS
Para minimizar el riesgo de un ataque DoS debido a dispositivos mal configurados y ataques
maliciosos, fortalezca todos los dispositivos, mantenga las contraseñas seguras, cree copias de
seguridad y asegúrese de que todos los cambios de configuración se incorporen fuera de horario.
Para evitar la instalación de puntos de acceso no autorizados, las organizaciones deben configurar
WLC con políticas de puntos de acceso no autorizados y utilizar software de monitoreo para
monitorear activamente el espectro de radio en busca de puntos de acceso no autorizados.
Ataque man-in-the-middle
El pirata informático se coloca entre dos entidades legítimas para leer o modificar los datos que
pasan entre las dos partes.
Un ataque de "evil twin AP " es un ataque MITM inalámbrico popular en el que un atacante
introduce un AP falso y lo configura con el mismo SSID que un AP legítimo Las ubicaciones que
ofrecen Wi-Fi gratis, como aeropuertos, cafeterías y restaurantes, son lugares particularmente
populares para este tipo de ataque.
La mejor manera de proteger una red inalámbrica es utilizar sistemas de autenticación y cifrado.
Hay dos tipos de autenticación con el estándar 802.11 original :
• Open system authentication : Cualquier cliente inalámbrico debería poder conectarse
fácilmente y solo debería usarse en situaciones en las que la seguridad no sea una
preocupación.
• Shared key authentication : Proporciona mecanismos, como WEP, WPA, WPA2 y WPA3
para autenticar y cifrar datos entre un cliente inalámbrico y AP. Sin embargo, la contraseña
debe ser pre-compartida entre las dos partes para conectar.
Actualmente hay cuatro técnicas de autenticación de clave compartida disponibles, como se muestra
en la tabla. Hasta que la disponibilidad de dispositivos WPA3 se vuelva omnipresente, las redes
inalámbricas deben usar el estándar WPA2.
Método de
Descripción
autenticación
La especificación original 802.11 designada para proteger los datos
Privacidad usando el Rivest Cipher 4 (RC4) Método de cifrado con una llave
equivalente al estática. Sin embargo, La llave nunca cambia cuando se
cableado (WEP) intercambian paquetes. Esto lo hace fácil de hackear. WEP ya no se
recomienda y nunca debe usarse.
Un estándar de Wi-Fi Alliance que usa WEP, pero protege los datos
Acceso Wi-Fi con el algoritmo de encriptación Temporal Key Integrity Protocol
protegido (WPA) (TKIP) mucho más fuerte. TKIP cambia la clave de cada paquete, lo
que lo hace mucho más difícil de piratear.
WPA2 es un estándar de la industria para proteger las redes
inalámbricas. Suele Utilizar el Estándar de cifrado avanzado (AES)
WPA2
para el cifrado. AES es actualmente se considera el protocolo de
cifrado más sólido.
La próxima generación de seguridad Wi-Fi. Todos los dispositivos
habilitados para WPA3 usan los últimos métodos de seguridad, no
permiten protocolos heredados obsoletos y requieren el uso de
WPA3
Tramas de administración protegidas (Protected Management Frames ,
PMF). Sin embargo, los dispositivos con WPA3 no están disponibles
fácilmente.
Autenticación en la empresa
En redes que tienen requerimientos de seguridad estrictos, una autenticación adicional o inicio de
sesión es requerida para garantizar al cliente acceso inalámbrico. La elección del modo de seguridad
empresarial requiere un servidor RADIUS de Authentication, Authorization, and Accounting
(AAA).
• RADIUS Server IP address : Esta es la dirección accesible del servidor RADIUS.
• UDP port numbers : Los puertos UDP 1812 para la autenticación RADIUS y 1813 para
RADIUS Accouting, pero también pueden funcionar utilizando los puertos UDP 1645 y
1646.
• Shared key : se utiliza para autenticar el AP con el servidor RADIUS
WPA3
• WPA3-Enterprise
• Open Networks
WPA3-Personal
Los atacantes pueden escuchar el "handshake" entre un cliente inalámbrico y el AP y utilizar un
ataque de fuerza bruta para intentar adivinar el PSK. WPA3-Personal frustra este ataque utilizando
la Autenticación Simultánea (Simultaneous Authentication of Equals , SAE), una característica
especificada en el IEEE 802.11-2016. El PSK nunca es expuesto.
WPA3-empresa
Utiliza la autenticación 802.1X / EAP. Sin embargo, requiere el uso de una suite criptográfica de
192 bits y elimina la combinación de protocolos de seguridad para los estándares 802.11 anteriores.
WPA3-Enterprise se adhiere a la Suite de Algoritmo de Seguridad Nacional Comercial
(Commercial National Security Algorithm , CNSA) que se usa comúnmente en redes Wi-Fi de alta
seguridad.
Open Networks
Las redes abiertas en WPA2 envían tráfico de usuarios en texto claro no autenticado. En WPA3, las
redes Wi-Fi abiertas o públicas aún no utilizan ninguna autenticación. Sin embargo, utiliza el
cifrado inalámbrico oportunista (Opportunistic Wireless Encryption , OWE) para cifrar todo el
tráfico inalámbrico.
IoT Onboarding
Son dispositivos sin interfaz gráfica, headless. El Protocolo de aprovisionamiento de dispositivos
(Device Provisioning Protocol , DPP) se diseñó para abordar esta necesidad. Cada dispositivo sin
cabeza tiene una clave pública codificada. La clave suele estar estampada en el exterior del
dispositivo o en su embalaje como un código de Respuesta rápida (Quick Response , QR). El
administrador de red puede escanear el código QR y rápidamente a bordo del dispositivo. Aunque
no es estrictamente parte del estándar WPA3, DPP reemplazará a WPS con el tiempo.
13. WLC
Topología WLC
PC-A esta ejecutando un software de servidor Simple Network Management Protocol (SNMP) y
Remote Authentication Dial-In User Service (RADIUS). SNMP se utiliza para monitorear la red El
administrador de la red desea que el WLC reenvíe mensajes de registro de SNMP, llamados traps, al
servidor SNMP.
Además, para la autenticación con el WLAN, el administrador de la red desea usar el servidor
RADIUS para los servicios de Authenticación, Authorization y Accouting (AAA). En vez de
ingresar una pre-shared key para autenticarse, como se hace con WPA2-PSK, los usuarios ingresan
sus propio usuario y contraseña. Los credenciales serán verificados en el servidor RADIUS y
podrán ser modificadas o agregadas desde una ubicación central. El servidor RADIUS es requerido
cuando las redes WLAN están usando autenticación WPA2 Enterprise.
Para configurar el WLC con la información del servidor RADIUS, haga clic en SECURITY tab >
RADIUS > Authentication. No existen servidores RADIUS configurados Haga clic en Nuevo...
para agregar la PC-A como el servidor RADIUS.
Agregue la direccion IPv4 para PC-A y el secreto compartido. Esta es la contraseña que se usa entre
el WLC y el servidor RADIUS. No es para los usuarios Haga clic en Apply, como se muestra en la
figura.
Para resolver problemas de red de cualquier tipo, se debe seguir un proceso sistemático. Una
metodología de solución de problemas común y eficaz se basa en el método científico, y se puede
dividir en los seis pasos importantes.
Redes remotas
Las redes remotas son redes que no están conectadas directamente al router. Un router descubre
redes remotas de dos maneras, dinámicas y estáticas.
Ruta predeterminada
La ruta predeterminada indica el siguiente salto y se utiliza cuando no existe coincidencia alguna en
la tabla de enrutamiento con la dirección IP de destino. La ruta predeterminada puede configurarse
manualmente como ruta estática o puede introducirla el protocolo de routing.
Una ruta predeterminada sobre IPv4 tiene una entrada de ruta de 0.0.0.0/0 y una ruta
predeterminada sobre IPv6 tiene una entrada de ruta de: :/0. La longitud del prefijo /0 indica que
cero bits o ningún bit deben coincidir con la dirección IP de destino.
Reenvío de paquetes
• Fast switching
Process Switching
Cuando un paquete llega a una interfaz, se reenvía al plano de control, donde la CPU hace coincidir
la dirección de destino con una entrada de la tabla de routing y, a continuación, determina la interfaz
de salida y reenvía el paquete. Es importante comprender que el router hace esto con cada paquete,
incluso si el destino es el mismo para un flujo de paquetes. Este mecanismo de switching de
procesos es muy lento y rara vez se implementa en las redes modernas.
Conmutación rápida(Fast Switching)
Fue el sucesor de la conmutación de procesos. Fast switching usa una memoria caché de switching
rápido para almacenar la información de siguiente salto. Cuando un paquete llega a una interfaz, se
reenvía al control-plane donde la CPU busca una coincidencia en la fast-switching cache. Si no
encuentra ninguna, se aplica process-switched al paquete, y este se reenvía a la interfaz de salida.
La información de flujo del paquete también se almacena en la caché de switching rápido. Si otro
paquete con el mismo destino llega a una interfaz, se vuelve a utilizar la información de siguiente
salto de la caché sin intervención de la CPU.
Una analogía frecuente que se usa para describir los tres mecanismos de reenvío de paquetes es la
siguiente:
• El switching de procesos resuelve un problema realizando todos los cálculos matemáticos,
incluso si los problemas son idénticos.
• El switching rápido resuelve un problema realizando todos los cálculos matemáticos una vez
y recuerda la respuesta para los problemas posteriores idénticos.
• CEF soluciona todos los problemas posibles antes de tiempo en una hoja de cálculo.
IP Routing Table
En las tablas de enrutamiento los orígenes de cada ruta se identifican mediante un código. El código
identifica la forma en que se descubrió la ruta:
• L : Identifica la dirección asignada a la interfaz de un router. Esto permite que el router
determine de forma eficaz si recibe un paquete para la interfaz o para reenviar.
• C : Identifica una red conectada directamente.
• S : Identifica una ruta estática creada para llegar a una red específica.
• O :Identifica una red que se descubre de forma dinámica de otro router con el protocolo de
routing OSPF.
• * : la ruta es candidata para una ruta predeterminada.
Principios de la tabla de
Ejemplo
enrutamiento
Rutas estáticas
• Utiliza una única ruta predeterminada para representar una ruta hacia cualquier red que no
tenga una coincidencia más específica con otra ruta en la tabla de routing.
• Enruta trafico de y hacia redes stub.
La figura muestra un ejemplo de red superpuesta. En dicha ilustración, observe que cualquier red
conectada al R1 solo tiene una manera de alcanzar otros destinos, ya sean redes conectadas al R2 o
destinos más allá del R2. Esto significa que las redes 10.0.1.0/24 y 10.0.2.0/24 son redes stub y R1
es un router stub.
En este ejemplo, se puede configurar una ruta estática en R2 para llegar a las redes R1. Además,
como el R1 tiene solo una forma de enviar tráfico no local, se puede configurar una ruta estática
predeterminada en el R1 para señalar al R2 como el siguiente salto para todas las otras redes.
Las entradas de enrutamiento utilizan el código de estado de S indicar que la ruta fue aprendida por
una ruta estática, ambas entradas también incluyen la dirección IP del router siguiente salto. El
parametros static al final muestra sólo estáticas:
Protocolos de routing dinámico
Los routers usan protocolos de enrutamiento dinámico para compartir información sobre el estado y
la posibilidad de conexión de redes remotas. Realizan detección de redes y mantenimiento de tablas
de routing.
Las ventajas importantes de los protocolos de enrutamiento dinámico son la capacidad de
seleccionar una mejor ruta y la capacidad de descubrir automáticamente una nueva mejor ruta
cuando se produce un cambio en la topología.
El código de estado de O para indicar que la ruta fue aprendida por el protocolo de enrutamiento
OSPF. Ambas entradas también incluyen la dirección IP del router de salto siguiente .
Los protocolos de enrutamiento IPv6 utilizan la link-local address del router de siguiente salto.
La ruta predeterminada especifica un enrutador de salto siguiente que se utilizará cuando la tabla de
enrutamiento no contiene una ruta específica que coincida con la dirección IP de destino.
Una ruta predeterminada puede ser una ruta estática o aprenderse automáticamente de un protocolo
de enrutamiento dinámico. Una ruta predeterminada tiene una entrada de ruta IPv4 de 0.0.0.0/0 o
una entrada de ruta IPv6 de: :/0. Esto significa que cero o ningún bit deben coincidir entre la
dirección IP de destino y la ruta predeterminada.
IPv4
Una entrada con sangría se conoce como ruta secundaria (child route ) e identifica redes conectadas
directamente con /32. La dirección de red con clase de esta subred se mostrará encima de la entrada
de ruta, con menos sangría y sin código fuente. Esto se conoce como “ruta principal” .
IPv6
Cada entrada de ruta IPv6 está formateada y alineada de la misma manera.
Distancia administrativa
Distancia
Origen de la ruta
administrativa
Directly connected 0
Static route 1
EIGRP summary route 5
External BGP 20
Internal EIGRP 90
OSPF 110
IS-IS 115
RIP 120
External EIGRP 170
Internal BGP 200
Rutas Estáticas
Las rutas estáticas se utilizan comúnmente en los siguientes escenarios:
• Como default route direccionado a un ISP
• Cuando un cambio en la topología de red requiere que la red determine otra ruta
Los protocolos IGP administrado por una sola organización. Los EGP (BGP)administrado por
varias organizaciones, conocidos como AS. Estos ultimos los utilizan los ISP.
Protocolos de
Protocolos de gateway interior
gateway exterior
Distance Vector Link-State Path Vector
OSPF Sistema intermedio a sistema
IPv4 RIPv2 EIGRP BGP-4
v2 intermedio (IS-IS)
EIGRP
OSPF
IPv6 RIPng para IS-IS para IPv6 BGP-MP
v3
IPv6
• Poder encontrar un mejor camino nuevo si la ruta actual deja de estar disponible
Los componentes principales de los protocolos de routing dinámico incluyen los siguientes:
• Estructuras de datos : los protocolos de routing utilizan tablas o bases de datos para sus
operaciones. Esta información se guarda en la RAM.
• Mensajes del protocolo de routing : los protocolos de routing usan varios tipos de
mensajes para descubrir routers vecinos, intercambiar información de routing y realizar otras
tareas para descubrir la red y conservar información precisa acerca de ella.
• Algoritmo : Un algoritmo es una lista finita de pasos que se usan para llevar a cabo una
tarea. Los protocolos de routing usan algoritmos para facilitar información de routing y para
determinar el mejor camino.
Estos protocolos permiten a los routers compartir información en forma dinámica sobre redes
remotas y ofrecer esta información automáticamente en sus propias tablas de routing.
Mejor Ruta
Cuando existen varias rutas hacia la misma red, cada ruta utiliza una interfaz de salida diferente en
el router para llegar a esa red. El mejor camino es elegido por un protocolo de enrutamiento en
función de la métrica. Una métrica es un valor cuantitativo que se utiliza para medir la distancia que
existe hasta una red determinada. El mejor camino a una red es la ruta con la métrica más baja.
Protocolos de enrutamiento comunes y sus métricas:
Cuando un router tiene dos o más rutas hacia un destino con métrica del mismo costo, el router
reenvía los paquetes usando ambas rutas por igual. Esto se denomina “balanceo de carga de mismo
costo” (equal cost load balancing).
Si está configurado correctamente, el balanceo de carga puede aumentar la efectividad y el
rendimiento de la red.
Equilibrio de carga de igual costo se implementa automáticamente mediante protocolos de
enrutamiento dinámico. Se habilita con rutas estáticas cuando hay varias rutas estáticas a la misma
red de destino utilizando diferentes enrutadores de siguiente salto.
Solo EIGRP admite el balanceo de carga con distinto costo.
Parámetro Descripción
Identifica la dirección de red IPv4 de destino de la red remota
network-address
para agregar a la tabla de enrutamiento.
• Identifica la máscara de subred de la red remota.
subnet-mask • La máscara de subred puede modificarse para resumir un
grupo de redes y crear una ruta estática resumida.
ip-address • Identifica la dirección IPv4 del router de siguiente salto.
• Normalmente se utiliza con redes de difusión (es decir,
Ethernet).
• Podría crear una ruta estática recursiva donde el router
realice una búsqueda adicional para encontrar la interfaz
de salida.
• Identifica la interfaz de salida para reenviar paquetes.
• Crea una ruta estática conectada directamente.
exit-intf
• Suele utilizarse para conectarse en una configuración
punto a punto.
Crea una ruta estática completamente especificada porque
exit-intf ip-address especifica la interfaz de salida y la dirección IPv4 de salto
siguiente.
• Comando opcional que se puede utilizar para asignar un
valor administrativo de distancia entre 1 y 255.
distance • Suele utilizarse para configurar una ruta estática flotante al
establecer una distancia administrativa mayor a la de una
ruta dinámica predeterminada.
Parámetro Descripción
Identifica la dirección de la red IPv6 de destino de la red
ipv6-prefix
remota para agregar a la tabla de enrutamiento.
/prefix-length Identifica la longitud del prefijo de la red remota.
• Identifica la dirección IPv6 del router de siguiente salto.
• Normalmente se utiliza con redes de difusión (por
ejemplo, Ethernet)
ipv6-address
• Podría crear una ruta estática recursiva donde el router
realice una búsqueda adicional para encontrar la interfaz
de salida.
• Identifica la interfaz de salida para reenviar paquetes.
• Crea una ruta estática conectada directamente.
exit-intf
• Suele utilizarse para conectarse en una configuración
punto a punto.
Crea una ruta estática completamente especificada porque
exit-intf ipv6-address
especifica la salida y dirección IPv6 de salto siguiente.
• Comando opcional que se puede utilizar para asignar un
valor administrativo de distancia entre 1 y 255.
distance • Suele utilizarse para configurar una ruta estática flotante
al establecer una distancia administrativa mayor que
una ruta dinámica predeterminada.
Ruta estática IPv4 de siguiente salto
Sólo se especifica la dirección IP del siguiente salto.
Junto con show ip route, show ipv6 route, ping y traceroute, otros comandos útiles para verificar
las rutas estáticas son los siguientes:
• show ip route static
Una ruta predeterminada es una ruta estática que coincide con todos los paquetes. La ruta pord
efecto representa cualquier red que no está en la tabla de enrutamiento.
Las rutas estáticas predeterminadas se utilizan comúnmente al conectar un router perimetral a una
red de proveedor de servicios, o un router stub (un router con solo un router vecino ascendente).
Ruta estática predeterminada IPv4
La dirección de red es 0.0.0.0 y la máscara de subred es 0.0.0.0., también se conoce como quad-
zero route.
Cualquier paquete que no coincida con entradas más específicas de la ruta se reenvía a 172.16.2.2.
Cualquier paquete que no coincida con entradas más específicas de la ruta IPv6 se reenvía al
2001:db8:acad:2::2:
Observe que la configuración de ruta estática predeterminada utiliza la máscara /0 para las rutas
predeterminadas IPv4 y el prefijo: :/0 para las rutas predeterminadas IPv6. Recuerde que la longitud
de la máscara subnet IPv4 y el prefijo de IPv6 en una tabla de routing determina cuántos bits deben
coincidir entre la dirección IP de destino del paquete y la ruta en la tabla de routing. Un prefijo /0
mask or ::/0 indica que no se requiere que ninguno de los bits coincida. Mientras no exista una
coincidencia más específica, la ruta estática predeterminada coincide con todos los paquetes.
Rutas estáticas flotantes - Floating Static Routes
Las rutas estáticas flotantes son rutas estáticas que se utilizan para proporcionar una ruta de
respaldo a una ruta estática o dinámica principal, en el caso de una falla del enlace. La ruta estática
flotante se utiliza únicamente cuando la ruta principal no está disponible.
La ruta estática flotante se configura con una distancia administrativa mayor que la ruta principal.
La distancia administrativa representa la confiabilidad de una ruta. Si existen varias rutas al destino,
el router elegirá la que tenga una menor distancia administrativa.
Suponga que un administrador desea crear una ruta estática flotante como respaldo de una ruta
descubierta por EIGRP. La ruta estática flotante se debe configurar con una distancia administrativa
mayor que el EIGRP. El EIGRP tiene una distancia administrativa de 90. Si la ruta estática flotante
se configura con una distancia administrativa de 95, se prefiere la ruta dinámica descubierta por el
EIGRP a la ruta estática flotante. Si se pierde la ruta descubierta por el EIGRP, en su lugar se utiliza
la ruta estática flotante.
De manera predeterminada, las rutas estáticas tienen una distancia administrativa de 1, lo que las
hace preferibles a las rutas descubiertas mediante protocolos de routing dinámico.
• Otros métodos
Instaladas automáticamente:
Cuando se configura una dirección de interfaz en el router, designada con una C en la tabla de
routing para la dirección de red de la interfaz.
Cuando una interfaz activa en un router se configura con una dirección IP, se agrega
automáticamente una ruta de host local a la tabla de routing. Las rutas locales se marcan con L en el
resultado de la tabla de routing.
• show ip route