CCNA2 SRWE

1. Basic Device Configuration

Switch Boot Sequence

La secuencia de arranque de un Switch incluye 5 pasos:

• Paso 1: El switch carga un programa de autodiagnostico al encender (power-on self-test,
POST) almacenado en la ROM. POST comprueba la CPU, DRAM y parte de la Flash.
• Paso 2: A continuación el Switch carga el software Boot-Loader. El Boot-Loader se
almacena en la ROM y se ejecuta después de que el POST se complete correctamente.
• Paso 3: El Boot-Loader inicializa la CPU de bajo nivel, inicializa los registros de la CPU
que controlan donde está asignada la memoria física, la cantidad de memoria y se velocidad.
• Paso 4: El Boot-Loader inicializa el sistema de archivos Flash en la placa del sistema.

• Paso 5: EL Boot-Loader localiza y carga la IOS en la memoria y la IOS coge el control del
Switch.

The boot system command

El Switch intenta cargar automaticamente la informacion de la variable de entorno BOOT. Si no se

establece esta variable, el Switch intentará cargar el primer archivo ejecutable que encuentre. En los
Switch Catalyst 2960, el archivo de imagen se encuentra en un directorio que tiene el mismo
nombre que el archivo.
IOS después carga las interfaces usando los comandos encontrados en el archivo startup-config. El
archivo startup-config se llama config-text y se almacena en la flash.
En el siguiente ejemplo la variable de entorno BOOT se establece mediante el comando boot
system en el modo global.
Definición del comando boot system:

Command Definition
boot system
The main command
flash:
The storage device
c2960-lanbasek9-mz.150-2.SE/ The path to the file
system
c2960-lanbasek9-mz.150-2.SE.bin
The IOS file name

Switch led indicators

Puede usar los LED del switch para controlar rápidamente la actividad y el rendimiento del switch.
Ejemplo Catalyst 2960

El boton mode (7) se utiliza para alternar el estado del puerto, el dúplex del puerto, la velocidad y si
lo soporta, el estado de PoE en los les de puerto (8)
1. SYST : System Led; Muestra si el sistema esta recibiendo energía y funciona correctamente.
• Off : Indica sistema no encendido

• Green : Funciona correctamente

• Amber: Sistema encendido pero no funciona correctamente

2. Redundant Power System (RPS) LED : Muestra el estado de RPS

 • Off : RPS apagado o no conectado correctamente

• Green : RPS conectado y listo para dar suministro de respaldo

• Blinking Green : RPS conectado pero no esta listo para dar suministro

• Amber : RPS está en standby o tiene una falla

• Blinking Amber : La fuente de alimentación interna tiene una falla y el RPS está
proporcionando alimentación.
3. STAT (STADÍSTICAS) : Led modo de estado de puerto seleccionado
• Off : No hay enlace o está administrativamente inactivo

• Green : Enlace presente

• Blinking Green : Enlace presente con actividad

• Alternating green-amber : Hay una falla en el enlace

• Amber : Puerto bloqueado para evitar loops en el dominio de reenvío. Los puertos
permanecen en este modo los primeros 30 segundos desde su activación.
• Blinking Amber : Boqueado para evitar un loop en el dominio de reenvío.

4. DUPLX : Indica el modo duplex

• Off : Modo semi duplex

• Green : Modo duplex completo

5. SPEED : Indica el modo de velocidad de puerto

• Off : El puerto está funcionando a 10Mbps

• Green : El puerto está funcionando a 100Mbps

• Blinking Green : El puerto está funcionando a 1000Mbps

6. PoE : Si admite PoE el Switch, existirá el modo PoE

• Off : No se selecciono el modo de alimentación por Ethernet, no se ha negado el
suministro y no hay fallas
• Blinking Amber : El modo PoE no se ha seleccionado, pero al menos uno de los puertos
ha sido denegado o tiene una falla PoE.
• Green : Modo PoE seleccionado y los led de puertos muestran colores con diferentes
significados:
▪ Port led’s Off : Alimentación por Ethernet desactivada

▪ Port led’s Green : Alimentación por Ethernet activada

▪ Alternating green-amber : Se niega alimentación por Ethernet por limitación de la

capacidad del Switch
 ▪ Blinking Amber : PoE apagado debido a una falla

▪ Amber : Se inhabilitó la alimentación por Ethernet para el puerto

Recovery from a System Crash

El Boot-Loader proporciona acceso al Switch si no se puede usar la ISO debido a la falta de

archivos de sistema o al daño de estos. El Boot-Loader tiene una CLI que proporciona acceso a los
archivos almacenados en la Flash.
Paso 1. Conecte una computadora al puerto de consola del Switch con un cable de consola.
Configure el software de emulación de terminal para conectarse al Switch.
Paso 2. Desconecte el cable de alimentación del Switch.
Paso 3. Vuelva a conectar el cable de alimentación al Switch y, en 15 segundos, presione y
mantenga presionado el botón Mode mientras el LED del sistema todavía parpadea en verde.
Paso 4. Continúe presionando el botón Mode hasta que el LED del sistema se vuelva brevemente
ámbar y luego verde sólido; luego suelte el botón Mode.
Paso 5. The boot loader switch: El mensaje aparece en el software de emulación de terminal en la
PC.
Escriba help o ? en el símbolo del gestor de arranque para ver una lista de comandos disponibles.

De manera predeterminada, el Switch intenta iniciarse automáticamente mediante el uso de

información en la variable de entorno BOOT. Para ver la ruta de acceso de la variable de entorno
BOOT del switch, escriba el comando set. A continuación, inicialice el sistema de archivos flash
utilizando el comando flash_init para ver los archivos actuales en flash, como se muestra en la
salida.

Después de que flash haya terminado de inicializar, puede ingresar el dir flash: comando para ver
los directorios y archivos en flash, como se muestra en la salida.
Introduzca el BOOT=flash comando para cambiar la ruta de la variable de entorno BOOT que
utiliza el switch para cargar el nuevo IOS en flash. Para verificar la nueva ruta de la variable de
entorno BOOT, vuelva a set ejecutar el comando. Finalmente, para cargar el nuevo IOS escriba el
boot comando sin ningún argumento, como se muestra en la salida.

Los comandos del Boot-Loader admiten la inicialización yl formateo de flash, la instalación de un

nuevo IOS, el cambio de la variable de entorno BOOT y la recuperación de contraseñas pérdidas u
olvidadas.

Switch Management Access / Configuration SVI

Para el acceso a la administración remota de un switch, se debe configurar con una dirección IP y
una máscara de subred en la SVI, y debe configurarse la default-gateway.
Todos los puertos se asignan a la VLAN 1 de manera predeterminada. Por motivos de seguridad, se
considera una práctica recomendada utilizar una VLAN distinta de la VLAN 1 para la VLAN de
administración, como la VLAN 99 en el ejemplo.

Paso 1

Configuración de la interfaz de administración

Desde el modo de configuración de la interfaz VLAN, se aplica una dirección IPv4 y una máscara
de subred a la SVI de administración del switch.
Nota: El SVI para VLAN 99 no aparecerá como "activo / activo" hasta que se cree VLAN 99 y
haya un dispositivo conectado a un puerto de switch asociado con VLAN 99.
Nota:Es posible que el switch debata configurar para IPv6. Por ejemplo, antes de que pueda
configurar el direccionamiento IPv6 en un Cisco Catalyst 2960 que ejecute IOS versión 15.0,
deberá ingresar el comando de configuración global sdm prefer dual-ipv4-and-ipv6 default y, a
continuación, reload el switch.

Tarea Comandos IOS

Ingrese al modo de S1# configure terminal
configuración global.
Ingrese al modo de
S1(config)# interface vlan 99
configuración de interfaz para
la SVI.
Configure la dirección IPv4 de S1(config-if)# ip address 172.17.99.11 255.255.255.0
la interfaz de administración.
Configure la dirección IPv6 de S1(config-if)# ipv6 address 2001:db8:acad:99::1/64
la interfaz de administración
Habilite la interfaz de S1(config-if)# no shutdown
administración.
Vuelva al modo EXEC S1(config-if)# end
privilegiado.
Guarde la configuración en
S1# copy running-config startup-config
ejecución en la configuración
de inicio.

Paso 2

Configuración del default-gateway

Si el switch se va a administrar de forma remota desde redes que no están conectadas directamente,
se debe configurar con un default-gateway.
Nota: Dado que recibirá la información de la default-gateway en un mensaje de anuncio de router
(Router Advertisement ,RA), el switch no requiere una puerta de enlace predeterminada IPv6.

Tarea Comandos IOS

S1# configure terminal
Ingrese al modo de configuración global.
Configure el gateway predeterminado S1(config)# ip default-gateway 172.17.99.1
para el switch.
S1(config-if)# end
Vuelva al modo EXEC privilegiado.
Guarde la configuración en ejecución en S1# copy running-config startup-config
la configuración de inicio.
Paso 3

Verificar la configuración
Los show ip interface brief comandos show ipv6 interface brief y son útiles para determinar el
estado de las interfaces físicas y virtuales.
Nota: Una dirección IP aplicada al SVI es solo para el acceso de administración remota al switch;
esto no permite que el switch enrute paquetes de Capa 3.

Duplex comunication

La comunicación en dúplex completo aumenta el ancho de banda eficaz al permitir que ambos
extremos de una conexión transmitan y reciban datos simultáneamente. Esto también se conoce
como comunicación bidireccional y requiere microsegmentación. Las LAN microsegmentadas se
crean cuando un puerto de switch tiene solo un dispositivo conectado y funciona en modo dúplex
completo. Cuando un puerto de switch opera en modo dúplex completo, no hay dominio de colisión
conectado al puerto.
A diferencia de la comunicación en dúplex completo, la comunicación en semidúplex es
unidireccional. La comunicación en semidúplex genera problemas de rendimiento debido a que los
datos fluyen en una sola dirección por vez, lo que a menudo provoca colisiones.

Gigabit Ethernet y NIC de 10 Gb requieren conexiones full-duplex para funcionar. En el modo

dúplex completo, el circuito de detección de colisiones de la NIC se encuentra inhabilitado.

Configure Switch Ports at the Phisycal Layer

Los puertos de switch se pueden configurar manualmente con parámetros específicos de dúplex y
de velocidad. Use el comando duplex del modo de configuración de interfaz duplex para
especificar manualmente el modo dúplex de un puerto de switch. Use el speed comando del modo
de configuración de la interfaz para especificar manualmente la velocidad.

Tarea Comandos IOS

S1# configure terminal
Ingrese al modo de configuración global.
S1(config)# interface FastEthernet 0/1
Ingrese el modo de configuración de interfaz.
S1(config-if)# duplex full
Configure el modo dúplex de la interfaz.
S1(config-if)# speed 100
Configure la velocidad de la interfaz.
S1(config-if)# end
Vuelva al modo EXEC privilegiado.
Guarda la configuración en ejecución en la S1# copy running-config startup-config
configuración de inicio.

La configuración predeterminada de dúplex y velocidad para los puertos de switch en los switches
Cisco Catalyst 2960 y 3560 es automática. En 10/100 los puertos funcionan en half-duplex, en 1000
funcionan en full-duplex. La negociación automática es útil cuando la configuración de velocidad y
dúplex del dispositivo que se conecta al puerto es desconocida o puede cambiar.
Cuando se conecta a dispositivos conocidos como servidores, estaciones de trabajo dedicadas o
dispositivos de red, la mejor práctica es establecer manualmente la configuración de velocidad y
dúplex.
Todos los puertos de fibra óptica, como los puertos 1000BASE-SX, solo funcionan a una velocidad
predefinida y siempre son full-dúplex.

Auto-MDIX

Al habilitar la característica auto-MDIX, la interfaz detecta automáticamente el tipo de conexión de

cable requerido (directo o cruzado). Al conectarse a los switches sin la función auto-MDIX, los
cables directos deben utilizarse para conectar a dispositivos como servidores, estaciones de trabajo
o routers. Los cables cruzados se deben utilizar para conectarse a otros switches o repetidores.
En los switches Cisco más nuevos, el comando mdix auto del modo de configuración de interfaz
habilita la función. Al usar auto-MDIX en una interfaz, la velocidad de la interfaz y el dúplex deben
configurarse para que la función auto funcione correctamente.
Nota: La función auto-MDIX está habilitada de manera predeterminada en los switches Catalyst
2960 y Catalyst 3560, pero no está disponible en los switches Catalyst 2950 y Catalyst 3550
anteriores.

Para examinar la configuración de auto-MDIX para una interfaz específica, use el comando show
controllers ethernet-controller con la palabra clave phy. Para limitar la salida a líneas que hagan
referencia a auto-MDIX, use el filtro include Auto-MDIX Como se muestra el resultado indica On
(Habilitada) u Off (Deshabilitada)

Switch verification commands

Tarea Comandos IOS

Muestra el estado y la configuración de la S1# show interfaces [interface-id]
interfaz.
S1# show startup-config
Muestra la configuración de inicio actual.
S1# show running-config
Muestra la configuración actual en ejecución.
Muestra información sobre el sistema de S1# show flash
archivos flash.
Muestra el estado del hardware y el software S1# show version
del sistema.
S1# show history
Muestra la configuración actual en ejecución.
S1# show ip interface [interface-id]

O
Muestra información de IP de una interfaz.
S1# show ipv6 interface [interface-id]

S1# show mac-address-table

O
Muestra la tabla de direcciones MAC.
S1# show mac address-table
Verify Switch Ports Configuration

El comando show running-config

El comando show interfaces es otro comando de uso común, que muestra información de estado y
estadísticas en las interfaces de red del switch.

Network Access Layer

El resultado del comando show interfaces es útil para detectar problemas comunes de medios. Una
de las partes más importantes de esta salida es la visualización de la línea y el estado del protocolo
de enlace de datos
El primer parámetro (FastEthernet0 / 18 is up) se refiere a la capa de hardware e indica si la interfaz
está recibiendo una señal de detección de portadora. El segundo parámetro (line protocol is up) se
refiere a la capa de enlace de datos e indica si se reciben los keepalives del protocolo de capa de
enlace de datos.
Según el resultado del comando show interfaces, los posibles problemas se pueden solucionar de la
siguiente manera:
• Si la interface up y el protocolo down, hay un problema. Puede haber una incompatibilidad
en el tipo de encapsulación, la interfaz en el otro extremo puede estar inhabilitada por
errores o puede haber un problema de hardware.
• Si el interface down y el protocolo down, no hay un cable conectado o existe algún otro
problema de interfaz. Por ejemplo, en una conexión directa, el otro extremo de la conexión
puede estar administrativamente inactivo.
• Si la interface is administratively down, it has been manually disabled (the **** shutdown)
en la configuración activa.
El resultado del comando show interfaces muestra contadores y estadísticas para la interfaz
Fastethernet0/18, como se destaca en el ejemplo.
Algunos errores de los medios no son lo suficientemente graves como para hacer que el circuito
falle, pero causan problemas de rendimiento de la red. La tabla explica algunos de estos errores
comunes que se pueden detectar con el comando show interfaces.

Tipo de error Descripción

Cantidad total de errores. Incluye runts, giants, sin buffer, CRC, ,
Input Error
desbordamiento y recuentos ignorados.
Paquetes que se descartan porque son más pequeños que el mínimo
Runts tamaño del paquete para el medio. Por ejemplo, cualquier paquete
Ethernet que sea menos de 64 bytes se considera un runt.
Paquetes que se descartan porque exceden el tamaño máximo de
Giants paquete para el medio. Por ejemplo, cualquier paquete de Ethernet que
sea mayor que 1.518 bytes se considera giant.
Los errores de CRC se generan cuando la suma de comprobación
CRC
calculada no es la misma que la suma de comprobación recibida.
Suma de todos los errores que impidieron la transmisión final de
Output Errors
datagramas de la interfaz que se está examinando.
Collisions Cantidad de mensajes retransmitidos debido a una colisión de Ethernet.
Una colisión que ocurre después de 512 bits de la trama han sido
Late Collisions
Transmitido

Interface Input and Output Errors

“Input errors” indica la suma de todos los errores en los datagramas que se recibieron en la
interfaz que se analiza. Estos incluyen los recuentos de runts, giants, de los que no están
almacenados en buffer, de CRC, de tramas, de saturación y de ignorados. Los errores de entrada
informados del comando show interfaces incluyen lo siguiente:
• Runt Frames : las tramas Ethernet que son más cortas que la longitud mínima permitida de
64 bytes se llaman runts. La NIC en mal funcionamiento son la causa habitual, pero también
puede deberse a colisiones.
• Giants : Las tramas de Ethernet que son más grandes que el tamaño máximo permitido

• CRC errors : En las interfaces Ethernet y serie, los errores de CRC generalmente indican
un error de medios o cable. Las causas más comunes incluyen interferencia eléctrica,
conexiones flojas o dañadas o cableado incorrecto. Si aparecen muchos errores de CRC, hay
demasiado ruido en el enlace, y se debe examinar el cable. También se deben buscar y
eliminar las fuentes de ruido.

“Output errors” es la suma de todos los errores que impiden la transmisión final de los datagramas
por la interfaz que se analiza. Los errores de salida informados del comando show interfaces
incluyen lo siguiente:
 • Collisions : Las colisiones en operaciones half-duplex son normales. Sin embargo, nunca
debe observar colisiones en una interfaz configurada en full-duplex
• Late collisions : Se refiere a una colisión que ocurre después de que se han transmitido 512
bits de la trama. La longitud excesiva de los cables es la causa más frecuente. Otra causa
frecuente es la configuración incorrecta de dúplex, se verían en la interfaz que está
configurada en half-duplex. En ese caso, debe configurar los mismos parámetros de dúplex
en ambos extremos. Una red diseñada y configurada correctamente nunca debería tener late
collisions.

Troubleshooting Network Access Layer Issues

La mayoría de los problemas que afectan a las redes conmutadas se produce durante la
implementación inicial. En teoría, una vez instaladas, las redes continúan funcionando sin
problemas. Sin embargo, los cables se dañan, la configuración cambia, y se conectan al switch
nuevos dispositivos que requieren cambios de configuración en este. Se requiere el mantenimiento y
la resolución de problemas de infraestructura de la red de forma permanente.

Si la interfaz está inactiva, realice lo siguiente:

 • Verifique que se usen los cables adecuados. Además, revise los cables y los conectores para
detectar daños. Si se sospecha que hay un cable defectuoso o incorrecto, reemplácelo.
• Si la interfaz continúa inactiva, el problema puede deberse a una incompatibilidad en la
configuración de velocidad. La velocidad de una interfaz generalmente se negocia
automáticamente; por lo tanto, incluso si se aplica manualmente a una interfaz, la interfaz de
conexión debe negociarse automáticamente en consecuencia. Si se produce una
incompatibilidad de velocidad debido a una configuración incorrecta o a un problema de
hardware o de software, esto podría provocar que la interfaz quede inactiva. Establezca
manualmente la misma velocidad en ambos extremos de la conexión si se sospecha que hay
un problema.

Si la interfaz está activa pero aún hay problemas de conectividad, realice lo siguiente:
• Con el comando show interfaces , verifique si hay indicios de ruido excesivo. Los indicios
pueden incluir un aumento en los contadores de fragmentos runts, giants y de errores de
CRC. Si hay un exceso de ruido, primero busque el origen del ruido y, si es posible,
elimínelo. Además, verifique qué tipo de cable se utiliza y que el cable no supere la longitud
máxima.
• Si no hay problemas de ruido, verifique si hay un exceso de colisiones. Si hay collisions o
late collisions, verifique la configuración de dúplex en ambos extremos de la conexión. Al
igual que la configuración de velocidad, la configuración dúplex generalmente se negocia
automáticamente. Si parece haber una diferencia entre dúplex, configure manualmente el
dúplex como full (completo) en ambos extremos de la conexión

Secure Remote Access

Telnet utiliza el puerto TCP 23. Es un protocolo más antiguo que utiliza la transmisión de texto sin
formato , que transmite de forma insegura tanto las credenciales como los datos trasmitidos.
Secure Shell (SSH) es un protocolo seguro que utiliza el puerto TCP 22. Proporciona una conexión
de administración segura (encriptada) a un dispositivo remoto.

Para habilitar SSH en un switch Catalyst 2960, el switch debe usar una versión del software IOS
que incluya características y capacidades criptográficas (cifradas). Utilice el comando show version
del switch para ver qué IOS está ejecutando el switch. Un nombre de archivo de IOS que incluye la
combinación «k9» admite características y capacidades criptográficas (cifradas).
Antes de configurar SSH, el switch debe tener configurado, como mínimo, un nombre de host único
y los parámetros correctos de conectividad de red.

Paso 1: Verificar soporte SSH

Use el comando show ip ssh para verificar que el switch sea compatible con SSH. Si el switch no
ejecuta un IOS que admita características criptográficas, este comando no se reconoce.

Paso 2: Configurar IP domain

Configure el nombre de dominio IP de la red utilizando el comando ip domain-name domain-name
modo de configuración global

Paso 3: Generar par de claves RSA

No todas las versiones del IOS utilizan la versión 2 de SSH de manera predeterminada, y la versión
1 de SSH tiene fallas de seguridad conocidas. Para configurar SSH versión 2, emita el comando del
modo de configuración global ip ssh version 2. La creación de un par de claves RSA habilita SSH
automáticamente. Use el comando del modo de configuración global crypto key generate rsa, para
habilitar el servidor SSH en el switch y generar un par de claves RSA. Al crear claves RSA, se
solicita al administrador que introduzca una longitud de módulo. La configuración de ejemplo en la
figura 1 utiliza un tamaño de módulo de 1024 bits. Una longitud de módulo mayor es más segura,
pero se tarda más en generarlo y utilizarlo.
Nota:Para eliminar el par de claves RSA, use el comando del modo de configuración global crypto
key zeroize rsa. Después de eliminarse el par de claves RSA, el servidor SSH se deshabilita
automáticamente.

Paso 4: Autenticación de usuarios

El servidor SSH puede autenticar a los usuarios localmente o con un servidor de autenticación. Para
usar el método de autenticación local, cree un par de nombre de usuario y contraseña con el
comando username username secret password.
Paso 5: Configurar lineas vty
Habilite el protocolo SSH en las líneas vty utilizando el comando del modo de configuración de
línea transport input ssh. Esta configuración evita conexiones que no sean SSH. Use el comando
line vty del modo de configuración global y luego el comando login local del modo de
configuración de línea para requerir autenticación local para las conexiones SSH de la base de datos
de nombre de usuario local.

Paso 6: Habilitar SSH v2

SSH admite las versiones 1 y 2. Al admitir ambas versiones, esto se muestra en la salida show ip
ssh como compatible con la versión 2. Habilite la versión SSH utilizando el comando de
configuración global ip ssh version 2 .

Verify SSH is Operational

usa un cliente SSH, como PuTTY, para conectarse a un servidor SSH.

• SSH habilitado en S1

• Interfaz VLAN 99 (SVI) con la dirección IPv4 172.17.99.11 en el switch S1

• PC1 con la dirección IPv4 172.17.99.21.

Cuando está conectado, se solicita al usuario un nombre de usuario y una contraseña como se
muestra en el ejemplo. Usando la configuración del ejemplo anterior, se ingresan el nombre de
usuario: admin y la contraseña: ccna Después de ingresar la combinación correcta, el usuario se
conecta a través de SSH a la interfaz de línea de comando
Para mostrar los datos de la versión y de configuración de SSH en el dispositivo que configuró
como servidor SSH, use el comando show ip ssh. En el ejemplo, se habilitó la versión 2 de SSH.

Configure Basic Router Setting

Si desea que los dispositivos puedan enviar y recibir datos fuera de su red, deberá configurar
routers.
Las siguientes tareas de configuración siempre deben realizarse. Asigne un nombre al dispositivo
para distinguirlo de otros routeres y configure contraseñas

Configure un banner para proporcionar notificaciones legales de acceso no autorizado

Guarde los cambios en un router.

Dual stack Topology

Una característica que distingue a los switches de los routers es el tipo de interfaces que admite
cada uno.

Configure router interfaces

Los routers admiten redes LAN y WAN, y pueden interconectar distintos tipos de redes; por lo
tanto, admiten muchos tipos de interfaces. Por ejemplo, los ISR G2 tienen una o dos interfaces
Gigabit Ethernet integradas y ranuras para tarjetas de interfaz WAN de alta velocidad (HWIC) para
admitir otros tipos de interfaces de red, incluidas las interfaces seriales, DSL y de cable.
Para que una interfaz esté disponible, debe cumplir los siguientes requisitos:
• Configurado con al menos una dirección IP: - Utilice los comandos de configuración de
ip address ip-address subnet-mask y ipv6 address ipv6-address/prefix interface.
• Activado: - Las interfaces LAN y WAN no están activadas de manera predeterminada
(shutdown). Para habilitar una interfaz, esta se debe activar mediante el comando no
shutdown. La interfaz también debe estar conectada a otro dispositivo (un hub, un switch u
otro router) para que la capa física se active.
• Descripción - Opcionalmente, la interfaz también se puede configurar con una breve
descripción de hasta 240 caracteres. Es aconsejable configurar una descripción en cada
interfaz.
IPv4 Loopback interfaces

Se la considera una interfaz de software que se coloca automáticamente en estado "up" (activo),
siempre que el router esté en funcionamiento.
La interfaz loopback es útil para probar y administrar un dispositivo Cisco IOS, ya que asegura que
por lo menos una interfaz esté siempre disponible.
El proceso de habilitación y asignación de una dirección de loopback:

Se pueden habilitar varias interfaces loopback en un router. La dirección IPv4 para cada interfaz de
loopback debe ser única y no debe ser utilizada por ninguna otra interfaz
Interface Verification commands

Los siguientes comandos son especialmente útiles para identificar rápidamente el estado de una
interfaz:
• show ip interface brief y show ipv6 interface brief -Estos muestran un resumen de todas
las interfaces, incluida la dirección IPv4 o IPv6 de la interfaz y el estado operativo actual.
• show running-config interface interface-id -Esto muestra los comandos aplicados a la
interfaz especificada.
• show ip route y show ipv6 route - Este muestra el contenido de la tabla IPv4 o IPv6
almacenada en la memoria RAM. En Cisco IOS 15, las interfaces activas deben aparecer en
la tabla de ruteo con dos entradas relacionadas identificadas con el código 'C' (Connected) o
'L' (Local). En versiones anteriores de IOS, solo aparece una entrada con el código 'C'.

Verify Interface status

La salida de los comandos show ip interface brief y show ipv6 interface brief y se puede usar
para revelar rápidamente el estado de todas las interfaces en el router. Puede verificar que las
interfaces están activas y operativas como se indica en el estado de «up» y el protocolo de «up».

Verify Ipv6 Link Local and Multicast Address

El resultado del comando show ipv6 interface brief show ipv6 interface brief show ipv6 interface
brief  muestra dos direcciones IPv6 configuradas por interfaz. Una de las direcciones es la IPv6
global unicast que se introdujo manualmente. La otra, que comienza con FE80, es la dirección de
unicast link-local para la interfaz. La dirección link-local se agrega automáticamente a una interfaz
cuando se asigna una dirección de unidifusión global. Las interfaces de red IPv6 deben tener una
dirección link-local, pero no necesariamente una dirección global unicast.
El comando show ipv6 interface gigabitethernet 0/0/0 muestra el estado de la interfaz y todas las
direcciones IPv6 que pertenecen a la interfaz. Junto con la dirección Link-local y la dirección de
global unicast, la salida incluye las direcciones multicast asignadas a la interfaz, comenzando con el
prefijo FF02.

Verify Interface Configuration

Junto con la dirección local del enlace y la dirección de unidifusión global, show running-config
interface la salida incluye las direcciones de multidifusión asignadas a la interfaz, comenzando con
el prefijo FF02
show interfaces - Muestra la información de la interfaz y el recuento de flujo de paquetes para
todas las interfaces en el dispositivo.
show ip interface and show ipv6 interface -Muestra la información relacionada con IPv4 e IPv6
para todas las interfaces en un router.

Verify Routes

La salida de los show ip route comandos show ipv6 route y muestra las tres entradas de red
conectadas directamente y las tres entradas de interfaz de ruta de host local, las directamente
conectadas.

Una ‘C’ junto a una ruta dentro de la tabla de enrutamiento indica que se trata de una red conectada
directamente. Cuando la interfaz del router está configurada con una dirección de unicast global y
está en el estado "up / up", el prefijo IPv6 y la longitud del prefijo se agregan a la tabla de
enrutamiento IPv6 como una ruta conectada.
La dirección de unicast global IPv6 aplicada a la interfaz también se instala en la tabla de
enrutamiento como una ruta local. La ruta local tiene un prefijo /128. La tabla de routing utiliza las
rutas locales para procesar eficazmente los paquetes cuyo destino es la dirección de la interfaz del
router. El ping comando para IPv6 :
Filter Show Command Output

Los comandos que generan varias pantallas de resultados se pausan al cabo de 24 líneas de manera
predeterminada. Use el comando terminal length para especificar el número de líneas que se
mostrarán. Un valor 0 (cero) evita que el router haga una pausa entre las pantallas de resultados.
Los comandos de filtrado se pueden utilizar para mostrar secciones específicas de los resultados.
Para habilitar el comando de filtrado, ingrese uin pipe “ | “ después del comando show y después
ingrese un parámetro de filtrado y una expresión de filtrado. Hay 4 parámetros de filtrado :
1. section : Muestra la sección completa que comienza con la expresión de filtrado.
2. Include : Incluye todas las líneas de salida que coinciden con la expresión de filtrado.
3. Exclude : Excluye todas las líneas de salida que coinciden con la expresión de filtrado
4. begin : Muestra todas las líneas de salida desde un punto determinado, comenzando con la
línea que coincide con la expresión de filtrado.
section:

include:

exclude:
begin:

Command History Feature

Para recuperar comandos en el búfer de historial, presione Ctrl+P o la Up Arrow. Para volver a los
comandos más recientes en el búfer de historial, presione Ctrl+N o la Down Arrow
De manera predeterminada, el historial de comandos está habilitado, y el sistema captura las últimas
10 líneas de comandos en el búfer de historial. Utilice el show history comando EXEC privilegiado
para mostrar el contenido del búfer.
Use el terminal history size comando EXEC del usuario para aumentar o disminuir el tamaño del
búfer.
2. Switching in Networking

El concepto de switching y reenvío de tramas es universal en la tecnología de redes y en las

telecomunicaciones. En las redes LAN, WAN y en la red pública de telefonía conmutada (Public
Switched Telephone Network , PSTN), se usan diversos tipos de switches.

La decisión sobre cómo un switch reenvía el tráfico se toma en relación con el flujo de ese tráfico.
Hay dos términos asociados:
• Ingrees - Este término se usa para describir el puerto por donde una trama ingresa al
dispositivo.
• Egrees - Este término se usa para describir el puerto que las tramas utilizarán al salir del
dispositivo.

Un switch LAN reenvía tráfico basado en el puerto de entrada y la dirección MAC de destino de
una trama Ethernet.
A medida que el switch aprende la relación de los puertos con los dispositivos, construye una tabla
llamada tabla de direcciones MAC. Esta tabla se almacena en la Memoria de Contenido
Direccionable (Content-Addressable Memory, CAM) , también llamada Tabla MAC.

Un switch llena su tabla de direcciones MAC al registrar la dirección MAC de origen de cada
dispositivo conectado a cada uno de sus puertos.

The Switch Learn and Forward Method

El siguiente proceso de dos pasos se realiza para cada trama de Ethernet que ingresa a un switch.

Paso 1. Learn - Examinando la dirección Origen MAC

Se revisa cada trama que ingresa a un switch para obtener información nueva. Esto se realiza
examinando la dirección MAC de origen de la trama y el número de puerto por el que ingresó al
switch.
• Si la dirección MAC de origen no existe en la tabla de direcciones MAC, la dirección MAC
y el número de puerto entrante son agregados a la tabla.
 • Si la dirección MAC de origen existe, el switch actualiza el temporizador para esa entrada.
De manera predeterminada, la mayoría de los switches Ethernet guardan una entrada en la
tabla durante cinco minutos. Si la dirección MAC de origen existe en la tabla, pero en un
puerto diferente, el switch la trata como una entrada nueva. La entrada se reemplaza con la
misma dirección MAC, pero con el número de puerto más actual.

Paso 2. Forward - Examinadno la dirección destino MAC

Si la dirección MAC de destino es una dirección de unicast, el switch busca una coincidencia entre
la dirección MAC de destino de la trama y una entrada de la tabla de direcciones MAC:

• Si la dirección MAC de destino está en la tabla, reenviará la trama por el puerto

especificado.
• Si la dirección MAC de destino no está en la tabla, el switch reenviará la trama por todos los
puertos, excepto por el de entrada. Esto se conoce como “unknow unicast” . Si la dirección
MAC de destino es broadcast o multicast, la trama también se envía por todos los puertos,
excepto por el de entrada.

Switching Forwarding Methods

Los switches toman decisiones de reenvío de capa 2 muy rápidamente. Esto se debe al software en
los circuitos integrados para aplicaciones específicas (application-specific-integrated circuits,
ASIC, por sus siglas en ingles). Los ASIC reducen el tiempo de manejo de paquetes dentro del
dispositivo y permiten que el dispositivo pueda manejar una mayor cantidad de puertos sin
disminuir el rendimiento.
Los switches de capa 2 utilizan uno de estos dos métodos:
• Store-and-forward switching : Este método toma una decisión de reenvío en una trama
después de haber recibido la trama completa y revisada para la detección de errores
mediante un mecanismo matemático de verificación de errores conocido como Verificación
por Redundancia Cíclica (Cyclic Redundancy Check, CRC). El intercambio por
almacenamiento y envío es el método principal de switching LAN de Cisco.
• Cut-through switching : Este método inicia el proceso de reenvío una vez que se determinó
la dirección MAC de destino de una trama entrante y se estableció el puerto de salida.

Store-and-forward switching a diferencia de “cut-through”, tiene las siguientes características

principales:
 • Error checking : Después de recibir la trama completa en el puerto de entrada, el switch
compara el valor de Secuencia de Verificación de Trama (Frame Check Sequence, FCS) en
el último campo del datagrama con sus propios cálculos de FCS. FCS es un proceso de
verificación de errores que contribuye a asegurar que la trama no contenga errores físicos ni
de enlace de datos. Si la trama no posee errores, el switch la reenvía. De lo contrario, se
descartan las tramas.
• Automatic buffering : El proceso de almacenamiento en buffer que usan los switches de
almacenamiento y envío proporciona la flexibilidad para admitir cualquier combinación de
velocidades de Ethernet. Ante cualquier incompatibilidad de las velocidades de los puertos
de entrada y salida, el switch almacena la trama completa en un buffer, calcula la
verificación de FCS, la reenvía al buffer del puerto de salida y después la envía.

Cut-Through Switching

Los switches que usan cut-through pueden reenviar tramas no válidas, ya que no realizan la
verificación de FCS. Sin embargo tiene la capacidad de realizar un cambio de trama rápida y
pueden tomar una decisión de reenvío tan pronto como encuentren la dirección MAC de destino de
la trama en la tabla de direcciones MAC.
El switch no tiene que esperar a que el resto de la trama ingrese al puerto de entrada antes de tomar
la decisión de reenvío.
El switching “Fragment free” es una forma modificada de “cut-through”, en la que el switch sólo
comienza a reenviar la trama después de haber leído el campo “type”. El switching libre de
fragmentos proporciona una mejor verificación de errores que el método de corte, con
prácticamente ningún aumento de latencia.
La velocidad de latencia más baja del switching por corte hace que resulte más adecuado para las
aplicaciones mas demandantes de Tecnología Informática de Alto Rendimiento (High-Performance
Computing, HPC) que requieren latencias de proceso a proceso de 10 microsegundos o menos.

Collision and Broadcast Domains

Los segmentos de red que comparten el mismo ancho de banda entre dispositivos se conocen como
dominios de colisión. Cuando dos o más dispositivos del mismo dominio de colisión tratan de
comunicarse al mismo tiempo, se produce una colisión.
Si un puerto Ethernet de switch funciona en half-duplex, cada segmento está en su propio dominio
de colisión. No hay dominios de colisión cuando los puertos del switch funcionan en full-dúplex.
De manera predeterminada, los puertos de Ethernet del switch negociarán automáticamente el full-
dúplex, si un dispositivo funciona en half-duplex, la negociación es half-duplex. En el caso de half-
duplex, el puerto de switch formará parte de un dominio de colisión.
Broadcast Domain

Una serie de switches interconectados forma un dominio de broadcast. Sólo los dispositivos de capa
3 como los router , pueden dividir un dominio de broadcast de capa 2. Los router se utilizan para
segmentar los dominios de broadcast y los dominios de colision.
El dominio de bradcast de capa 2 se llama MAC broadcast domain.
De manera predeterminada, los puertos de switch interconectados tratan de establecer un enlace en
full-dúplex, y por lo tanto se eliminan los dominios de colision. Las conexiones full-duplex se
requieren para conexiones de 1Gb/s y superiores.
Los switches interconectan segmentos LAN, usan una tabla de direcciones MAC para determinar
los puertos de salida y pueden reducir o eliminar por completo las colisiones.
Características de los Switches para aliviar las congestiones de red:
• Fast port speeds : La mayoría de los switches de capa de acceso admiten velocidades de
puerto de 100 Mbps y 1 Gbps. Los switches de capa de distribución admiten velocidades de
puerto de 100 Mbps, 1 Gbps y 10 Gbps y los switches de data center y centro de datos
admiten velocidades de puerto de 100 Gbps, 40 Gbps y 10 Gbps.
• Fast internal switching : os switches utilizan un bus interno rápido o memoria compartida
para proporcionar un alto rendimiento.
 • Large frame buffers : los switches utilizan búferes de memoria grande para almacenar
temporalmente más tramas recibidas antes de tener que empezar a descartarlas. Esto permite
que el tráfico de entrada desde un puerto más rápido (por ejemplo, 1 Gbps) se reenvíe a un
puerto de salida más lento (por ejemplo, 100 Mbps) sin perder tramas.
• High port density : un switch de alta densidad de puertos reduce los costos generales
porque reduce el número de switches requeridos.

3. VLAN Definitions
Las VLAN permiten que el administrador divida las redes en segmentos según factores como la
función, el equipo del proyecto o la aplicación, sin tener en cuenta la ubicación física del usuario o
del dispositivo. Cada VLAN se considera una red lógica diferente. Los dispositivos dentro de una
VLAN funcionan como si estuvieran en su propia red independiente, aunque compartan una misma
infraestructura con otras VLAN.

Los paquetes de unicast, broadcast y multicast se reenvían solamente a terminales dentro de la

VLAN donde los paquetes son de origen .

Una VLAN crea un dominio de broadcast lógico que puede abarcar varios segmentos LAN físicos.
Las VLAN mejoran el rendimiento de la red mediante la división de grandes dominios de broadcast
en otros más pequeños.

Cada puerto de switch se puede asignar a una sola VLAN (a excepción de un puerto conectado a un
teléfono IP o a otro switch).

Benefits of a VLAN Design

Ventajas de diseñar una red con VLAN

Ventaja Descripción
• Dividir una red en VLAN reduce el número de dispositivos
en el dominio de broadcast.
Dominios de broadcast • En la figura, hay seis computadoras en la red, pero solo
más pequeños tres dominios de difusión (es decir, Facultad, Estudiante e
Invitado).
 • Sólo los usuarios de la misma VLAN pueden comunicarse
juntos.
• En la figura, el tráfico de red de profesores en la VLAN 10
Seguridad mejorada
es completamente separados y protegidos de los usuarios
en otras VLAN.

• Las VLAN simplifican la administración de la red porque

los usuarios con una red similar se pueden configurar en la
misma VLAN.
Mejora la eficiencia del • Las VLAN se pueden nombrar para facilitar su
departamento de IT. identificación.
• En la figura, VLAN 10 fue nombrado «Facultad», VLAN 20
«Estudiante», y VLAN 30 «Invitado. »

Las VLAN reducen la necesidad de realizar costosas

actualizaciones de red y utilizan el ancho de banda existente y
Reducción de costos
enlaces ascendentes de manera más eficiente, lo que resulta en
costos Ahorro
Los dominios de broadcast más pequeños reducen el tráfico
Mejor rendimiento
innecesario en la red y mejorar el rendimiento.
• Las VLAN agregan usuarios y dispositivos de red para
admitir empresas o necesidades geográficas.
Administración más • Tener funciones separadas hace que administrar un
simple de proyectos y proyecto o trabajar con un aplicación especializada más
aplicaciones fácil; un ejemplo de tal aplicación es una plataforma de
desarrollo de e-learning para profesores.

Types of VLAN

Algunos tipos de VLAN se definen según las clases de tráfico. Otros tipos de VLAN se definen
según la función específica que cumplen.
Default VLAN
La VLAN predeterminada para los switches Cisco es la VLAN 1. Por lo tanto, todos los puertos del
switch están en VLAN 1 a menos que esté configurado explícitamente para estar en otra VLAN.
Todo el tráfico de control de capa 2 se asocia a la VLAN 1 de manera predeterminada.
Todos los puertos se asignan a la VLAN 1 de manera predeterminada.
• De manera predeterminada, la VLAN nativa es la VLAN 1.
• De manera predeterminada, la VLAN de administración es la VLAN 1.
• No es posible eliminar ni cambiar el nombre de VLAN 1.

la VLAN nativa de la red que se diseñó es la VLAN de administración se considera un riesgo de

seguridad.

Defining VLAN Trunks

Los Trunks o troncales de VLAN permiten que todo el tráfico de VLAN se propague entre
switches. Esto permite que los dispositivos conectados a diferentes switches pero en la misma
VLAN se comuniquen sin pasar por un router.
Un enlace troncal es un enlace peer-to-peer entre dos dispositivos de red que lleva más de una
VLAN. Cisco admite IEEE 802.1Q para coordinar enlaces troncales en las interfaces Fast Ethernet,
Gigabit Ethernet y 10-Gigabit Ethernet.
También se puede utilizar un enlace troncal entre un dispositivo de red y un servidor u otro
dispositivo que cuente con una NIC con capacidad 802.1Q. En los switches Cisco Catalyst, se
admiten todas las VLAN en un puerto de enlace troncal de manera predeterminada.
Cuando se envía una trama broadcast en una red diseñada con VLAN, sólo se reenviará la trama por
los puertos identificados por la VLAN indicada en la trama.
Cuando se implementan las VLAN en un switch, la transmisión del tráfico de unicast, multicast y
broadcast desde un host en una VLAN en particular se limita a los dispositivos presentes en esa
VLAN.
Identification VLAN with a Tag

El encabezado de trama Ethernet estándar no contiene información sobre la VLAN a la que

pertenece la trama. Por lo tanto, cuando las tramas de Ethernet se ubican en un enlace troncal, se
necesita agregar información sobre las VLAN a las que pertenecen. Este proceso, denominado
“etiquetado, tagging”, se logra mediante el uso del encabezado IEEE 802.1Q, especificado en el
estándar IEEE 802.1Q. El encabezado 802.1Q incluye una etiqueta de 4 bytes insertada en el
encabezado de la trama de Ethernet original que especifica la VLAN a la que pertenece la trama.
Cuando el switch recibe una trama en un puerto configurado en modo de acceso y asignado a una
VLAN, el switch coloca una etiqueta “tag VLAN” en el encabezado de la trama, vuelve a calcular
la Secuencia de Verificación de Tramas (FCS) y envía la trama etiquetada por un puerto de enlace
troncal.

Campo VLAN Tag:

El campo de etiqueta de la VLAN consta de un campo de Type, un campo de Priority, un campo de

Canonical Format Identifier (CFI) y un campo de VLAN ID:
• Type : Un valor de 2 bytes denominado “Tag Protocol ID” (TPID). Para Ethernet, este valor
se establece en 0x8100 hexadecimal.
• User priority : Es un valor de 3 bits que admite la implementación de nivel o de servicio.

• Canonical Format Identifier (CFI) : Es un identificador de 1 bit que habilita las tramas
Token Ring que se van a transportar a través de los enlaces Ethernet.
• VLAN ID (VID) : Es un número de identificación de VLAN de 12 bits que admite hasta
4096 ID de VLAN.

Una vez que el switch introduce los campos tipo y de información de control de etiquetas, vuelve a
calcular los valores de la FCS e inserta la nueva FCS en la trama.
Native VLAN and 802.1Q Tagging

Tagged Frames on the Native VLAN

El estándar IEEE 802.1Q especifica una VLAN nativa para los enlaces troncal, que por defecto es
VLAN 1. Cuando un marco sin etiqueta llega a un puerto troncal, se asigna a la VLAN nativa. Las
tramas de administración que se envían entre Switches es un ejemplo de tráfico que normalmente
no se etiqueta.
Algunos dispositivos que admiten los enlaces troncales agregan una etiqueta VLAN al tráfico de las
VLAN nativas. El tráfico de control que se envía por la VLAN nativa no se debe etiquetar. Si un
puerto de enlace troncal 802.1Q recibe una trama etiquetada con la misma ID de VLAN que la
VLAN nativa, descarta la trama. Los dispositivos de otros proveedores que admiten tramas
etiquetadas en la VLAN nativa incluyen: teléfonos IP, servidores, routers y switches que no
pertenecen a Cisco.
Untagged Frames on Native VLAN
Cuando un puerto de enlace troncal de un switch Cisco recibe tramas sin etiquetar (poco usuales en
las redes bien diseñadas), envía esas tramas a la VLAN nativa. Si no hay dispositivos asociados a la
VLAN nativa (lo que es usual) y no existen otros puertos de enlace troncal (es usual), se descarta la
trama.
Al configurar un puerto de enlace troncal 802.1Q, se asigna el valor de la ID de VLAN nativa a la
ID de VLAN de puerto (Port VLAN ID , PVID) predeterminada. Todo el tráfico sin etiquetar
entrante o saliente del puerto 802.1Q se reenvía según el valor de la PVID.

La PC1 envía el tráfico sin etiquetar, que los switches asocian a la VLAN nativa configurada en los
puertos de enlace troncal y que reenvían según corresponda. El tráfico etiquetado del enlace troncal
que recibe la PC1 se descarta. Esta situación refleja un diseño de red deficiente por varios motivos:
utiliza un hub, tiene un host conectado a un enlace troncal y esto implica que los switches tengan
puertos de acceso asignados a la VLAN nativa. También ilustra la motivación de la especificación
IEEE 802.1Q para que las VLAN nativas sean un medio de manejo de entornos antiguos.

Voice VLAN Tagging

Se necesita una red VLAN de voz separada para admitir VoIP. Esto permite aplicar políticas de
calidad de servicio (QoS) y seguridad al tráfico de voz.
Un puerto de acceso que conecta un teléfono IP de Cisco puede configurarse para utilizar dos
VLAN separadas: Una VLAN es para el tráfico de voz y la otra es una VLAN de datos para admitir
el tráfico de host. El enlace entre el switch y el teléfono IP funciona como un enlace troncal para
transportar tanto el tráfico de la VLAN de voz como el tráfico de la VLAN de datos.
Específicamente, el teléfono IP Cisco contiene un switch 10/100 de tres puertos integrado. Los
puertos proporcionan conexiones dedicadas para estos dispositivos:
• El puerto 1 se conecta al switch o a otro dispositivo VoIP.
• El puerto 2 es una interfaz interna 10/100 que envía el tráfico del teléfono IP.
 • El puerto 3 (puerto de acceso) se conecta a una PC u otro dispositivo.

El puerto de acceso del switch envía paquetes CDP que indican al teléfono IP conectado que envíe
tráfico de voz de una de las tres maneras. El método utilizado varía según el tipo de tráfico:
• El tráfico VLAN de voz debe etiquetarse con un valor de prioridad CoS de Capa 2
adecuado.
• En una VLAN de acceso con una etiqueta de valor de prioridad de CoS (Class Of Service)
de capa 2
• En una VLAN de acceso sin etiqueta (sin valor de prioridad de CoS de capa 2)

VLAN Verification:
Muestra que la interface fa0/18 se configura con la VLAN 10 y la 150.

VLAN Ranges on Catalyst Switches

los switches de las series Catalyst 2960 y 3560 admiten más de 4000 VLAN. Las VLAN de rango
normal en estos switches se numeran del 1 al 1005, y las VLAN de rango extendido se numeran del
1006 al 4094.
Características de las VLAN de rango normal:
• Se utiliza en redes pequeñas y medianas

• Se identifica con ID entre 1 – 1005

• Las ID de 1002 – 1005 se reservan para las VLAN de Token Ring y Fiber Distributed Data
Interface (FDDI)
• Las ID de 1 – 1005 se crean automáticamente y no se pueden eliminar.

• La configuracion se almacena en el archivo vlan.dat que se almacena en la flash:

• Cuando se configura VTP (Virtual Trunking Protocol) , ayuda a sincronizar la bbdd entre
switches.

Características de rango extendido:

• Los proveedores de servicios los utilizan para dar servicio a varios clientes y por las
empresas globales lo suficientemente grandes como para necesitar identificadores de VLAN
de rango extendido.
• Se identifican mediante una ID de VLAN entre 1006 y 4094.

• Las configuraciones se guardan en el archivo running-config.

• Admiten menos características de VLAN que las de rango normal.

• Se requiere la configuración de VTP para admitir VLAN de rango extendido

VLAN Creation Commands

Al configurar redes VLAN de rango normal, los detalles de configuración se almacenan en la

memoria flash del switch en un archivo denominado vlan.dat. La memoria flash es persistente y no
requiere salvar la configuración en ejecución en la startup.
Tarea Comando de IOS
Switch# configure terminal
Ingresa al modo de configuración global.
Switch(config)# vlan vlan-id
Cree una VLAN con un número de ID válido.
Especificar un nombre único para identificar la Switch(config-vlan)# name vlan-name
VLAN.
Switch(config-vlan)# end
Vuelva al modo EXEC privilegiado.

Se pueden crear varias VLAN simultaneamente colocando comas entre los ID. vlan 100,102,105-
107 .

para definir un puerto como puerto de acceso y asignarlo a una VLAN. EL switchport mode access
comando es optativo, pero se aconseja como práctica recomendada de seguridad. Con este
comando, la interfaz cambia al modo de acceso permanente.

Tarea Comando de IOS

Ingrese al modo de configuración Switch# configure terminal
global.
Ingrese el modo de configuración Switch(config)# interface interface-id
de interfaz.
Establezca el puerto en modo de Switch(config-if)# switchport mode access
acceso.
Switch(config-if)# switchport access vlan vlan-id
Asigne el puerto a una VLAN.
Vuelva al modo EXEC Switch(config-if)#
privilegiado.
Data and Voice VLANs

Un puerto de acceso puede pertenecer a sólo una VLAN a la vez. Sin embargo, un puerto también
se puede asociar a una VLAN de voz. Por ejemplo, un puerto conectado a un teléfono IP y un
dispositivo final se asociaría con dos VLAN: una para voz y otra para datos.
Utilice el comando switchport voice vlan vlan-id interface configuration para asignar una VLAN
de voz a un puerto.
El tráfico de voz debe etiquetarse como confiable apenas ingrese en la red.
Use el comando mls qos trust [cos | device cisco-phone | dscp | ip-precedence] para establecer el
estado confiable de una interfaz, y para indicar qué campos del paquete se usan para clasificar el
tráfico.
La configuración en el ejemplo crea las dos VLAN (es decir, VLAN 20 y VLAN 150), y a
continuación, asigna la interfaz F0/18 de S3 como un puerto de switch en VLAN 20. También
asigna el tráfico de voz en VLAN 150 y permite la clasificación de QoS basada en la Clase de
Servicio (CoS) asignado por el teléfono IP.

El switchport access vlan comando fuerza la creación de una VLAN si es que aún no existe en el
switch. Por ejemplo, la VLAN 30 no está presente en la salida del comando show vlan brief del
switch. Si se introduce el comando switchport access vlan 30 en cualquier interfaz sin
configuración previa, el switch muestra lo siguiente:

El show vlan comando muestra la lista de todas las VLAN configuradas

Opción de
Tarea
comando
Muestra el nombre de VLAN, el estado y sus puertos una VLAN por brief
linea.
Muestra información sobre el número de ID de VLAN identificado. Para id vlan-id
vlan-id, the range is 1 to 4094.
Muestra información sobre el número de ID de VLAN identificado. El name vlan-name
vlan-name es una cadena ASCII de 1 a 32 caracteres.
 summary
Mostrar el resumen de información de la VLAN.
El show vlan summary comando muestra la lista de todas las VLAN configuradas.

Otros comandos útiles son: el comando

• show interfaces interface-id switchport

• show interfaces vlan vlan-id.

Por ejemplo, el show interfaces fa0/18 switchport comando se puede utilizar para confirmar que el
puerto FastEthernet 0/18 se ha asignado correctamente a las VLAN de datos y voz.

Change VLAN Port Membership

Existen varias maneras de cambiar la pertenencia de puertos de una VLAN.

Ingresar el comando switchport access vlan vlan-id interface configuration con el ID de VLAN
correcto.
Para volver a cambiar la pertenencia de un puerto a la VLAN 1 predeterminada, utilice el comando
no switchport access vlan.
La show interfaces f0/18 switchport salida también se puede utilizar para verificar que la VLAN
de acceso para la interfaz F0/18 se ha restablecido a la VLAN 1.

Delete VLAN

El comando de modo de configuración global no vlan vlan-id se usa para remover una VLAN
desde el archivo del switch vlan.dat.
Se puede eliminar el archivo vlan.dat en su totalidad con el comando delete flash:vlan.dat delete
flash:vlan.datdel modo EXEC con privilegios.Se puede utilizar la versión abreviada del comando
(delete vlan.dat) delete vlan.dat si no se trasladó el archivo vlan.dat de su ubicación
predeterminada.
Para restaurar un Switch Catalyst a su condición predeterminada de fábrica introduzca el comando
de modo EXEC erase startup-config privilegiado seguido del delete vlan.dat comando.
VLAN Trunks

Un enlace troncal de VLAN es un enlace de capa 2 del modelo OSI entre dos switches que
transporta el tráfico para todas las VLAN (a menos que se restrinja la lista de VLAN permitidas de
manera manual o dinámica).

Tarea Comando de IOS

Ingrese al modo de Switch# configure terminal
configuración global.
Ingrese el modo de
Switch(config)# interface interface-id
configuración de
interfaz.
Establezca el puerto en
Switch(config-if)# switchport mode trunk
modo de enlace troncal
permanente.
Cambie la
configuración de la
Switch(config-if)# switchport trunk native vlan vlan-id
VLAN nativa a otra
opción que no sea
VLAN 1.
Especifique la lista de
VLAN que se Switch(config-if)# switchport trunk allowed vlan vlan-list
permitirán en el enlace
troncal.
Vuelva al modo EXEC Switch(config-if)# end
privilegiado.

El ejemplo muestra la configuración del puerto F0/1 en el Switch S1 como puerto troncal. La
VLAN nativa se cambia a VLAN 99 y la lista de VLAN permitidas se restringe a 10, 20, 30 y 99.

Esta configuración supone el uso de los switches Cisco Catalyst 2960 que utilizan de manera
automática la encapsulación 802.1Q en los enlaces troncales. Es posible que otros switches
requieran la configuración manual de la encapsulación. Siempre configure ambos extremos de un
enlace troncal con la misma VLAN nativa. Si la configuración de enlace troncal 802.1Q no es la
misma en ambos extremos, el software IOS de Cisco registra errores.
La configuración se verifica con el show interfaces comando switchport interface-ID.

En el área superior resaltada, se muestra que el modo administrativo del puerto F0/1 se estableció
en trunk. El puerto está en modo de enlace troncal. En la siguiente área resaltada, se verifica que la
VLAN nativa es la VLAN 99. Más abajo en el resultado, en el área inferior resaltada, se muestra
que las VLAN 10,20,30 y 99 están habilitadas en el enlace troncal.

Reset the Trunk to the Default State

Use el no switchport trunk allowed vlan y el no switchport trunk native vlan comando para
eliminar las VLAN permitidas y restablecer la VLAN nativa del enlace troncal. Cuando se
restablece al estado predeterminado, el enlace troncal permite todas las VLAN y utiliza la VLAN 1
como VLAN nativa.
La figura muestra el resultado de los comandos utilizados para eliminar la característica de enlace
troncal del puerto F0/1 del switch S1. El show interfaces f0/1 switchport comando revela que la
interfaz F0/1 ahora está en modo de acceso estático.

Dynamic Truking Protocol

Algunos switches Cisco tienen un protocolo propietario que les permite negociar automáticamente
la conexión troncal con un dispositivo vecino. Este protocolo se denomina Protocolo de Enlace
Troncal Dinámico (Dynamic Trunking Protocol, DTP).
Una interfaz se puede establecer en trunking o nontruking, o para negociar con la interface vecina.
La negociación de enlaces troncales entre dispositivos de red la maneja el Protocolo de Enlace
Troncal Dinámico (DTP), que solo funciona de punto a punto.
DTP es un protocolo exclusivo de Cisco que se habilita de manera automática en los switches de las
series Catalyst 2960 y Catalyst 3560. DTP maneja la negociación de enlaces troncales sólo si el
puerto del switch vecino está configurado en un modo de enlace troncal que admite DTP. Los
switches de otros proveedores no admiten el DTP.
Desactivar el DTP en las interfaces de un switch de Cisco conectado a dispositivos que no admiten
DTP.
Para habilitar los enlaces troncales desde un switch de Cisco hacia un dispositivo que no admite
DTP, utilice los comandos switchport mode trunk y switchport nonegotiate interface
configuration mode commands. Esto hace que la interfaz se convierta en un tronco, pero no
generará tramas DTP.

Para volver a habilitar el protocolo de enlace troncal dinámico, utilice el switchport mode
dynamic auto comando.

Si los puertos de conexión están configurados en automático dinámico, no negociarán un troncal y

permanecerán en el estado de modo de acceso, creando un enlace troncal inactivo.

Negotiated Interface Modes

El switchport mode comando tiene opciones adicionales para negociar el modo de interfaz.

Opción Descripción
• Pone la interfaz (puerto de acceso) en modo permanente de no
trunking y negocia para convertir el enlace en un enlace no
troncal.
access
• La interfaz se convierte en una interfaz no troncal,
independientemente de si la interfaz vecina es una interfaz
troncal.
 • Hace que la interfaz pueda convertir el enlace en un enlace
troncal.
• La interfaz se convierte en una interfaz de enlace troncal, si la
dynamic auto
interfaz vecina está configurado en modo troncal o deseable.
• El modo de puerto de switch predeterminado para todas las
interfaces Ethernet es dynamic auto.

• Hace que el puerto intente convertir el enlace en un enlace

troncal. 64 K.
dynamic
• La interfaz se convierte en una interfaz de enlace troncal, si la
desirable
interfaz vecina está configurado en modo automático troncal,
deseable o dinámico.

• El puerto queda configurado en modo troncal de forma

permanente y negocia para que el enlace se convierta en una
trunk conexión troncal.
• La interfaz se convierte en una interfaz de enlace troncal,
incluso si la interfaz vecina no es una interfaz troncal.

config(if)#switchport nonegotiate para detener la negociación DTP. Este comando sólo se puede
utilizar cuando el modo interface switchport es access o trunk.

Dynamic
Dynamic Auto Trunk Access
Desirable
Dynamic Auto Access Trunk Trunk Access
Dynamic DesirableTrunk Trunk Trunk Access
Limited
Trunk Trunk Trunk Trunk
connectivity
Access Access Access Limited connectivity Access

Verify DTP Mode

El modo DTP predeterminado depende de la versión del software Cisco IOS y de la plataforma.
Para determinar el modo DTP actual, ejecute el show dtp interface.
4. What is Inter VLAN-Routing
Las VLAN se utilizan para segmentar las redes de switch de Capa 2, los hosts de una VLAN no
pueden comunicarse con los hosts de otra VLAN a menos que haya un router o un switch de capa 3
para proporcionar servicios de enrutamiento.
Inter-VLAN routing es el proceso de reenviar el tráfico de red de una VLAN a otra VLAN.
Hay tres opciones inter-VLAN routing:
• Legacy Inter-VLAN routing : Es una solución antigua. No escala bien

• Router-on-a-Stick : Solución para una red pequeña y mediana.

• Layer 3 switch using switched virtual interfaces (SVIs) : Switch de capa 3 con SVI,
solución más escalable para organizaciones medianas y grandes.

Legacy Inter-VLAN Routing

inter-VLAN routing Legacy se basó en el uso de un router con múltiples interfaces Ethernet. Cada
interfaz del router estaba conectada a un puerto del switch en diferentes VLAN. Las interfaces del
router sirven como default gateways para los hosts locales en la subred de la VLAN.

Al utilizar las interfaces físicas del router como gateway para enrutar el tráfico entre VLAN, no es
una solución escalable ya que tiene las limitaciones físicas de del router. Requerir una interfaz física
del router por VLAN agota rápidamente la capacidad de la interfaz física del router .

Router on-a-Sitck Inter VLAN Routing

Supera la limitacion del metodo legacy anterior, sólo necesita una interfaz Ethernet física para
enrutar el tráfico entre las VLAN.
El método router-on-a-stick de inter-VLAN routing no escala mas allá de 50 VLANs.
Una interfaz Ethernet del router Cisco IOS se configura como un troncal 802.1Q y se conecta a un
puerto troncal en un switch de capa 2. Específicamente, la interfaz del router se configura mediante
subinterfaces para identificar VLAN enrutables.
Las subinterfaces configuradas son interfaces virtuales basadas en software. Cada una se configura
de forma independiente con sus propias direcciones IP y una asignación de VLAN. Las
subinterfaces se configuran para subredes diferentes que corresponden a su asignación de VLAN.
Cuando el tráfico etiquetado de VLAN entra en la interfaz del router, se reenvía a la subinterfaz de
VLAN. Después de tomar una decisión de enrutamiento basada en la dirección de red IP de destino,
el router determina la interfaz de salida del tráfico. Si la interfaz de salida está configurada como
una subinterfaz 802.1q, las tramas de datos se etiquetan con la nueva VLAN y se envían a la
subinterfaz que corresponda.

Inter-VLAN Routing on a Layer 3 Switch

Para realizar el enrutamiento entre VLAN utiliza las SVI de switches de capa 3. Los SVIs entre
VLAN se crean de la misma manera que se configura la interfaz de VLAN de administración,
proporciona el procesamiento de Capa 3 para los paquetes que se envían hacia o desde todos los
puertos de switch asociados con esa VLAN.
Ventajas del uso de switches de capa 3 para inter-VLAN routing:
• Es mucho más veloz que router-on-a-stick, porque todo el switching y el routing se realizan
por hardware.
• El routing no requiere enlaces externos del switch al router.

• No se limitan a un enlace porque los EtherChannels de Capa 2 se pueden utilizar como

enlaces troncal entre los switches para aumentar el ancho de banda.
• La latencia es mucho más baja, dado que los datos no necesitan salir del switch para ser
enrutados a una red diferente. Se implementan con mayor frecuencia en una LAN de
campus que en routers.

Router on-a-Stick

Para enrutar entre VLAN, la interfaz R1 GigabitEthernet 0/0/1 se divide lógicamente en tres
subinterfaces, como se muestra en la tabla. La tabla también muestra las tres VLAN que se
configurarán en los switches.
subinterfaz VLAN Dirección IP
G0/0/1.10 10 192.168.10.1/24
G0/0/1.20 20 192.168.20.1/24
G0/0/1.99 99 192.168.99.1/24
Para permitir que los dispositivos de diferentes VLAN se hagan ping entre sí, los switches deben
configurarse con VLAN y trunking, y el router debe configurarse para el inter-VLAN routing.
Pasos para configurar VLAN y Truking:

Create and name VLAN:

Las VLAN sólo se crean después de salir del modo de subconfiguración de VLAN.

Create the management interface:

se crea la interfaz de administración en VLAN 99 junto con el default gateway de R1.
Configure access port:
el puerto Fa0/6 que se conecta a PC1 se configura como un puerto de acceso en la VLAN 10.
Supongamos que PC1 se ha configurado con la dirección IP correcta y el default gateway.

Configure truking ports:

Los puertos Fa0/1 que se conectan a S2 y Fa05 que se conectan a R1 se configuran como puertos
troncal.

S2 VLAN and Trunking Configuration

R1 Subinterface Configuration

Se crea una subinterfaz mediante el comando interface interface_id subinterface_id global

configuration mod, cada subinterfaz se configura con los dos comandos siguientes:
• encapsulation dot1q vlan_id [native] : Establece la encapsulacion dot1q en la subinterface.
Nativa sólo se agrega en el caso de ser una VLAN diferente a la VLAN1
• ip address ip-address subnet-mask : Este comando configura la dirección IPv4 de la
subinterfaz. Esta dirección normalmente sirve como default gateway para la VLAN
identificada.
Repita el proceso para cada VLAN que se vaya a enrutar. Es necesario asignar una dirección IP a
cada subinterfaz del router en una subred única para que se produzca el routing
Cuando se hayan creado todas las subinterfaces, habilite la interfaz física mediante el comando de
configuración de no shutdown interfaz. Si la interfaz física está deshabilitada, todas las
subinterfaces están deshabilitadas.
Router-on-a-Stick Inter-VLAN Routing Verification

Además de utilizar ping entre dispositivos, se pueden utilizar los siguientes show comandos para
verificar y solucionar problemas de la configuración del router-on-a-stick.
• Show ip route

• show ip interface brief

• show interfaces

• show interface trunk

Inter-VLAN Routing using Layer 3 Switches

En estas redes muy grandes, los administradores de red utilizan switches de capa 3 para configurar
el inter-VLAN routing
Los switches de capa 3 utilizan switching basado en hardware para lograr velocidades de
procesamiento de paquetes más altas que los routers.
Capacidades de un switch de capa 3 :
• Ruta de una VLAN a otra mediante múltiples interfaces virtuales de switch (SVIs).

• Convierta un puerto de switch de capa 2 en una interfaz de capa 3 (es decir, un puerto
enrutado). Un puerto enrutado es similar a una interfaz física en un router Cisco IOS.
Se debe crear un SVI de Capa 3 para cada una de las VLAN enrutables.

Layer 3 Switch Configuration

Pasos para configurar Inter-VLAN con un Switch capa 3

Create the VLAN :

Create the SVI VLAN interfaces

Configurar el SVI para VLANs 10 y 20 Las direcciones IP configuradas servirán como default
gateways para los hosts de las VLAN respectivas
Configure access Ports
Configure los puertos de acceso que se conectan a los hosts y asígnelos a sus respectivas VLAN.

Enable IP Routing
habilite el enrutamiento IPv4 con el comando de configuración ip routing global para permitir el
intercambio de tráfico entre las VLAN 10 y 20. Este comando debe configurarse para habilitar el
inter-VAN routing en un switch de capa 3 para IPv4.

Routing on a Layer 3 Switch

Si se quiere que otros dispositivos de Capa 3 puedan acceder a las VLAN, deben anunciarse
mediante enrutamiento estático o dinámico. Para habilitar el enrutamiento en un switch de capa 3,
se debe configurar un puerto enrutado.
Un puerto enrutado se crea en un switch de Capa 3 deshabilitando la función switchport de un
switch de Capa 2 que está conectado a otro dispositivo de Capa 3. Específicamente, al configurar el
comando de configuración de no switchport interfaz en un puerto de Capa 2, se convierte en una
interfaz de Capa 3. A continuación, la interfaz se puede configurar con una configuración IPv4 para
conectarse a un router u otro switch de capa 3.
Routing configuration on a Layer 3 Switch

Configure the routed port:

Enable Routing:

Configure Routing:
Configure el protocolo de enrutamiento OSPF para anunciar las redes VLAN 10 y VLAN 20, junto
con la red que está conectada a R1.
Verify Routing:
Observe que D1 ahora tiene una ruta a la red 10.20.20.0/24.

ThroubleShoot Inter-VLAN Issues

Problemas comunies de Inter-VLAN routing.

En primer lugar verificar si los cables están conectados al puerto correcto.

Tipo de problema Cómo arreglar Cómo verificar

• Cree (o vuelva a crear) la
VLAN si no existe. show vlan [brief]
• Asegúrese de que el puerto show interfaces switchport
VLAN faltantes
ping
host está asignado a la
VLAN correcta.
• Asegúrese de que los
enlaces troncales estén
Problemas con el configurados correctamente. show interfaces trunk
puerto troncal del • Asegúrese de que el puerto show running-config
switch
es un puerto troncal y está
habilitado.
• Asigne el puerto a la VLAN
correcta.
• Asegúrese de que el puerto show interfaces switchport
Problemas en los es un puerto de acceso y show running-config interface
puertos de acceso está habilitado. ipconfig
de switch
• El host está configurado
incorrectamente en la subred
incorrecta.
Temas de • La dirección IPv4 de la show ip interface brief
configuración del subinterfaz del router está show interfaces
router configurada incorrectamente.
• La subinterfaz del router se
 asigna al ID de VLAN.

Para resolver probemas en una configuracion Router-on-a-stick. Comprobamos en que VLAN

están configuradas cada una de la interfaces .
show interfaces | include Gig|802.1Q

5. Purpose of STP
La redundancia es una parte importante del diseño jerárquico para eliminar puntos únicos de falla y
prevenir la interrupción de los servicios de red para los usuarios. Las redes redundantes requieren la
adición de rutas físicas, pero la redundancia lógica también debe formar parte del diseño. Sin
embargo, las rutas redundantes en una red Ethernet conmutada pueden causar bucles físicos y
lógicos en la capa 2.

Spanning Tree Protocol

STP es un protocolo de red de prevención de bucles que permite redundancia mientras crea una
topología de capa 2 sin bucles. IEEE 802.1D es el estándar original IEEE MAC Bridging para STP.

Cuando existen múltiples rutas entre dos dispositivos en una red Ethernet, y no hay implementación
de árbol de expansión en los conmutadores, se produce un bucle de capa 2. Un bucle de capa 2
puede provocar inestabilidad en la tabla de direcciones MAC, saturación de enlaces y alta
utilización de CPU en switcher y dispositivos finales.
Tanto IPv4 como IPv6 incluyen un mecanismo que limita la cantidad de veces que un dispositivo de
red de Capa 3 puede retransmitir un paquete. Un router disminuirá el TTL (Tiempo de vida) en cada
paquete IPv4 y el campo Límite de saltos en cada paquete IPv6. Cuando estos campos se reducen a
0, un router dejará caer el paquete. Los switches Ethernet y Ethernet no tienen un mecanismo
comparable para limitar el número de veces que un switches retransmite una trama de Capa 2. STP
fue desarrollado específicamente como un mecanismo de prevención de bucles para Ethernet de
Capa 2.

Layer 2 Loops

Sin STP habilitado, se pueden formar bucles de capa 2, lo que hace que las tramas de broadcast,
multicast y unicast unknow se reproduzcan sin fin. Cuando se produce un bucle, la tabla de
direcciones MAC en un conmutador cambiará constantemente con las actualizaciones de las tramas
de broadcast, lo que resulta en la inestabilidad de la base de datos MAC. Esto puede causar una alta
utilización de la CPU, lo que hace que el switch no pueda reenviar tramas.
Si se envían tramas de unicast unknow a una red con bucles, se puede producir la llegada de tramas
duplicadas al dispositivo de destino. Una trama de unicast unknow se produce cuando el switch no
tiene la dirección MAC de destino en la tabla de direcciones MAC y debe reenviar la trama a todos
los puertos, excepto el puerto de ingreso.

Broadcast Storm

Una tormenta de broadcast es un número anormalmente alto de emisiones que abruman la red
durante un período específico de tiempo. Las tormentas de difusión pueden deshabilitar una red en
cuestión de segundos al abrumar los switch y los dispositivos finales. Las tormentas de broadcast
pueden deberse a un problema de hardware como una NIC defectuosa o a un bucle de capa 2 en la
red.
Las multicast de capa 2 normalmente se reenvían de la misma manera que una broadcast por el
switch. Por lo tanto, aunque los paquetes IPv6 nunca se reenvían como una broadcast de Capa 2,
ICMPv6 Neighbor Discovery utiliza multicast de Capa 2.
De manera predeterminada, STP está habilitado en los switches Cisco para prevenir que ocurran
bucles en la capa 2.

The Spanning Treee Algorithm

STP se basa en un algoritmo inventado por Radia Perlman mientras trabajaba para Digital
Equipment Corporation, y publicado en el artículo de 1985 "Un algoritmo para la computación
distribuida de un árbol de expansión en una LAN extendida". Su algoritmo de árbol de expansión
(STA) crea una topología sin bucles al seleccionar un único puente raíz donde todos los demás
switch determinan una única ruta de menor costo.

Este escenario STA utiliza una LAN Ethernet con conexiones redundantes entre varios switch:
Select the Root Bridge
STP comienza seleccionando un único root bridge (puente raíz). La figura muestra que el switch S1
se ha seleccionado como puente raíz. En esta topología, todos los enlaces tienen el mismo costo
(mismo ancho de banda). Cada switch determinará una única ruta de menor costo desde sí mismo
hasta el puente raíz.
STA y STP se refiere a switches como bridges (puentes).
Block Redundant Paths
STP asegura que solo haya una ruta lógica entre todos los destinos en la red al bloquear
intencionalmente las rutas redundantes que podrían causar un bucle. Cuando se bloquea un puerto,
se impide que los datos del usuario entren o salgan de ese puerto.

Loop-Free Topology
Esto crea una topología en la que cada switch tiene una única ruta al root bridge.
Link Failure Causes Recalculation
Las rutas físicas aún existen para proporcionar la redundancia, pero las mismas se deshabilitan para
evitar que se generen bucles. Si alguna vez la ruta es necesaria para compensar la falla de un cable
de red o de un switch, STP vuelve a calcular las rutas y desbloquea los puertos necesarios para
permitir que la ruta redundante se active. Los recálculos STP también pueden ocurrir cada vez que
se agrega un nuevo switch o un nuevo vínculo entre switches a la red.
STP evita que ocurran bucles mediante la configuración de una ruta sin bucles a través de la red,
con puertos “blocking-state ” ubicados estratégicamente. Los switches que ejecutan STP pueden
compensar las fallas mediante el desbloqueo dinámico de los puertos bloqueados anteriormente y el
permiso para que el tráfico se transmita por las rutas alternativas.

Steps to a Loop-Free Topology

Usando STA, STP crea una topología sin bucles en un proceso de cuatro pasos:
1. Elige a root bridge
2. Elige puertos root
3. Elegir puertos designed
4. Elegir puertos alternativos, block.

Durante las funciones STA y STP, los switch utilizan (Bridge Protocol Data Units, BPDU) para
compartir información sobre sí mismos y sus conexiones. Las BPDU se utilizan para elegir el root
bridge, los puertos root, designate y alternate. Cada BPDU contiene una Bridge ID (BID) que
identifica qué switch envió la BPDU. El BID participa en la toma de muchas de las decisiones STA,
incluidos los roles de puertos y root bridge. El BID contiene un valor de prioridad, la dirección
MAC del switch y un ID de sistema extendido. El valor de BID más bajo lo determina la
combinación de estos tres campos.

Bridge Priority
El valor de prioridad predeterminado para todos los switches Cisco es el valor decimal 32768. El
rango va de 0 a 61440 y aumenta de a 4096. Es preferible una prioridad de bridge más baja. La
prioridad de bridge 0 prevalece sobre el resto de las prioridades de puente.

Extended System ID
El valor de ID del sistema extendido es un valor decimal agregado al valor de prioridad del bridge
en el BID para identificar la VLAN para esta BPDU.
Las primeras implementaciones de IEEE 802.1D estaban diseñadas para redes que no utilizaban
VLAN. Existía un único árbol de expansión común para todos los switches. Por esta razón, en los
switches más antiguos, el ID del sistema extendido no se incluía en las BPDU. A medida que las
VLAN se volvieron más comunes en la segmentación de la infraestructura de red, se fue mejorando
el estándar 802.1D para incluir a las VLAN, lo que requirió que se incluyera la ID de VLAN en la
trama de BPDU. La información de VLAN se incluye en la trama BPDU mediante el uso de la ID
de sistema extendido.
El ID del sistema extendido permite que las implementaciones posteriores de STP, como Rapid STP
(RSTP) tengan diferentes root bridge para diferentes conjuntos de VLAN. Esto puede permitir que
enlaces redundantes y sin reenvío en una topología STP para un conjunto de VLAN sean utilizados
por un conjunto diferente de VLAN que utilice un root bridge diferente.

MAC address
Cuando dos switches están configurados con la misma prioridad y tienen la misma ID de sistema
extendido, el switch que posee la dirección MAC con el menor valor, expresado en hexadecimal,
tendrá el menor BID.

1. Elegir Root Bridge

El STA designa un único switch como root bridge y lo utiliza como punto de referencia para todos
los cálculos de rutas. Los switches intercambian BPDU para crear la topología sin bucles
comenzando con la selección del root bridge.
Un proceso de elección determina el switch que se transforma en el puente raíz. Todos los switches
del dominio de broadcast participan del proceso de elección. Una vez que el switch arranca,
comienza a enviar tramas BPDU cada dos segundos. Estas tramas BPDU contienen el BID del
switch de envío y el BID del root bridge, conocido como Root ID.
El switch que tiene el BID más bajo se convierte en el root bridge. Al principio, todos los
conmutadores se declaran a sí mismos como root bridge con su propio BID establecido como ID
raíz. Eventualmente, los switches aprenden a través del intercambio de BPDU qué switch tiene el
BID más bajo y acordarán un puente raíz.
Impact of Default BIDs

Dado que el BID predeterminado es 32768, es posible que dos o más switches tengan el mismo
priority. En este escenario, donde las prioridades son las mismas, el switch con la MAC address más
baja se convertirá en el root bridge. Para asegurar que el puente raíz elegido cumpla con los
requisitos de la red, se recomienda que el administrador configure el switch de puente raíz deseado
con una prioridad menor.
La prioridad de todos los switches es 32769. El valor se basa en la prioridad de puente
predeterminada 32768 y la ID del sistema extendida (asignación de VLAN 1) asociada con cada
conmutador (32768 + 1) .
La prioridad (bridge-priority) por defecto es de 32768, pero podemos usar de 0 a 65535. Si está
activado el sistema de ID extendido, los posible IDs son: 0 4096 8192 12288 16384 20480 24576
28672 32768 36864 40960 45056 49152 53248 57344 61440.
Determine the Root Path Cost

Una vez que se eligió root bridge para la instancia de spaning tree, el STA comienza el proceso para
determinar las mejores rutas hacia el root bridge desde todos los destinos en el dominio de
broadcast. La información de la ruta, conocida como el costo interno de la root path, está
determinada por la suma de todos los costos de los puertos individuales a lo largo de la ruta desde el
switch hasta el root bridge.
La BPDU incluye el costo de la ruta raíz. Este es el costo de la ruta que va desde el switch que
envía los datos hasta el root bridge.
Los costos de los puertos predeterminados se definen por la velocidad a la que funcionan los
mismos. La tabla muestra los costos de puerto predeterminados sugeridos por IEEE. Los switches
Cisco utilizan de forma predeterminada los valores definidos por el estándar IEEE 802.1D, también
conocido como “short path cost” tanto para STP como para RSTP. IEEE sugiere usar los valores
definidos en el IEEE-802.1w, también conocido como “long path cost”, cuando se usan enlaces de
10 Gbps o más.

Link Speed STP Cost: IEEE 802.1D-1998 RSTP Cost: IEEE 802.1w-2004
10 Gbps 2 2
1 Gbps 4 20
100 Mbps 19 200
10 Mbps 100 2,000,000
 2. Elect the Root Ports

Después de determinar el bridge root, se utiliza el algoritmo STA para seleccionar el puerto raíz.
Cada switch que NO SEA ROOT BRIDGE seleccionará un puerto raíz. El puerto raíz es el puerto
más cercano al root bridge en términos de costo total (best path) para llegar al root bridge. Este
costo general se conoce como “internal root path cost”.
El costo interno de la ruta raíz (internal root path cost) es igual a la suma del costo de todos los
puertos a lo largo de la ruta hasta el root bridge, Las rutas con el costo más bajo se convierten en las
preferidas, y el resto de las rutas redundantes se bloquean.

3. Elect Designated Ports

Después de que cada switch selecciona un puerto raíz, los switches seleccionarán los puertos
designados.
Cada segmento entre dos switches tendrá un puerto designado. El puerto designado tiene la mejor
ruta para recibir el tráfico que conduce al root bridge.
Lo que no es un puerto root o un puerto designado se convierte en un puerto alternativo o
bloqueado. El resultado final es una ruta única desde cada conmutador al root bridge.

Puertos designados en el Root Bridge

Todos los puertos en el root bridge son puertos designados. Esto se debe a que el root bridge tiene el
costo más bajo para sí mismo.

Puerto designado cuando hay un Root Port:

Si un extremo de un segmento es un puerto raíz, el otro extremo es un puerto designado. Todos los
puertos del switch con dispositivos finales (hosts) conectados son puertos designados.
Puerto designado cuando no hay Root Port:
Esto deja solo segmentos entre dos switches donde ninguno de los switches es Root Bridge. En este
caso, el puerto del switch con la ruta de menor costo al Rott Bridge es el puerto designado para el
segmento.
Por ejemplo, en la figura, el último segmento es el que está entre S2 y S3. Tanto S2 como S3 tienen
el mismo costo de ruta para el puente raíz. El algoritmo del SPT utilizara el Bridge ID como un
desempate. Aunque no se muestra en la figura, S2 tiene un BID menor. Por lo tanto, el puerto F0/2
de S2 se elegirá como el puerto designado. Los puertos designados están en estado de forwarding.

4. Elect Alternate (Blocked) Ports

Si un puerto no es un puerto raíz o un puerto designado, se convierte en un puerto alternativo

(backup) . Los puertos alternativos y los puertos de respaldo están en estado de “discarding” o
“bloking” para evitar bucles.
En la figura, la STA ha configurado el puerto F0 / 2 en S3 en el rol alternativo. El puerto F0/2 en S3
está en estado “bloking”bloqueo y no reenviará tramas Ethernet. Todos los demás puertos entre
switch están en estado de “forwarding”. Esta es la parte de prevención de bucles de STP.
Seleccione un puerto raíz a partir de varias rutas de igual coste

Cuando un switch tiene varias rutas de igual costo al puente raíz, el switch determinará un puerto
utilizando los siguientes criterios:
• BID más bajo del remitente

• Port Priority más bajo del remitente

• Port ID más bajo del remitente

Remitente con el BID más bajo

La figura muestra una topología con cuatro switch, incluido S1 como Root Bridge. Al examinar los
roles de puerto, vemos que el puerto F0/1 del switch S3 y el puerto F0/3 del switch S4 se han
seleccionado como puertos raíz porque tienen la ruta con el menor costo al Root Bridge para sus
respectivos switches. S2 tiene dos puertos, F0 / 1 y F0 / 2 con rutas de igual costo al Root Bridge.
En este caso los BID de los switches vecinos, S3 y S4, se utilizan para desempatar. Esto se conoce
como “sender’s BID” S3 tiene un BID de 32769.5555.5555.5555 y S4 tiene un BID de
32769.1111.1111.1111. Como S4 tiene un BID más bajo, el puerto F0 / 1 de S2, que es el puerto
conectado a S4, será el puerto raíz.
Prioridad de puerto del remitente más baja
S4 tiene dos puertos con rutas de igual costo al puente raíz. Dado que ambos puertos están
conectados al mismo conmutador, el BID (S1) del remitente es igual. Entonces el primer paso es un
empate.
A continuación en la lista está la prioridad del puerto del remitente (S1). La prioridad de puerto
predeterminada es 128, por lo que ambos puertos de S1 tienen la misma prioridad de puerto. Esto
también es un empate. Sin embargo, si cualquiera de los puertos de S1 se configuraba con una
prioridad de puerto más baja, S4 pondría su puerto adyacente en estado de reenvío. El otro puerto
en S4 sería un estado de bloqueo.

ID de puerto del remitente más bajo

El último desempate es el ID de puerto del remitente más bajo. El switch S4 ha recibido BPDU
desde el puerto F0/1 y el puerto F0/2 en S1. Recuerde que la decisión se basa en el ID del puerto del
remitente, no en el ID del puerto del receptor. Dado que el Id. de puerto de F0/1 en S1 es menor que
el puerto F0/2, el puerto F0/6 en el conmutador S4 será el puerto raíz. Este es el puerto de S4 que
está conectado al puerto F0/1 de S1.
El puerto F0/5 en S4 se convertirá en un puerto alternativo y se colocará en el estado de bloqueo,
que es la parte de prevención de bucles de STP.
STP Timers and Port States

La convergencia STP requiere tres temporizadores :

• Hello Timer : Es el intervalo entre BPDU. El valor predeterminado es 2 segundos, pero se
puede modificar entre 1 y 10 segundos.
• Forward Delay Timer : Es el tiempo que se pasa en el estado de “listening” y “learning”.
El valor predeterminado es 15 segundos, pero se puede modificar a entre 4 y 30 segundos.
• Max Age Timer : Es la duración máxima de tiempo que un switch espera antes de intentar
cambiar la topología STP. El valor predeterminado es 20 segundos, pero se puede modificar
entre 6 y 40 segundos.

Los tiempos predeterminados se pueden cambiar en el puente raíz, que dicta el valor de estos
temporizadores para el dominio STP.
STP facilita la ruta lógica sin bucles en todo el dominio de difusión. El spanning-tree se determina a
través de la información obtenida en el intercambio de tramas de BPDU entre los switches
interconectados. Si un puerto de switch pasa directamente del estado bloking al de forwarding sin
información acerca de la topología completa durante la transición, el puerto puede crear un bucle de
datos temporal. Por esta razón, STP tiene cinco estados de puertos, cuatro de los cuales son estados
de puertos operativos, como se muestra en la figura. El estado disable se considera non-operational.
Estado del
Descripción
puerto
Es un puerto alternativo y no participa en el reenvío de tramas. El puerto
recibe tramas BPDU para determinar la ubicación y el root ID del Root
Bridge. Las tramas BPDU también determinan qué roles debe asumir cada
Bloking
puerto del switch en la topología STP activa final. Con un Temporizador de
Max-Age de 20 segundos, un puerto del switch que no ha recibido un
BPDU de un switch vecino entrará en el estado blocking.
Después del estado blocking, un puerto se moverá al estado de listening.
El puerto del switch también transmite sus propias tramas BPDU e informa
Listening
a los switches adyacentes que se está preparando para participar en la
topología activa.
Un puerto de switch pasa al estado de learning después de la escucha
STP. Durante el estado de learning, el puerto del switch recibe y procesa
Learning BPDU y se prepara para participar en el reenvío de tramas. También
comienza a rellenar la tabla de direcciones MAC. Sin embargo, en el
estado de learning, las tramas de usuario no son enviadas al destino.
En el estado de forwarding, un puerto de switch se considera parte de la
Forwarding topología activa. El puerto del switch reenvía el tráfico de usuario y envía y
recibe tramas BPDU.
Un puerto de switch en el estado disable no participa en SPT y no reenvía
Disable tramas. El estado disable se establece cuando el puerto se ha desactivado
administrativamente.
Operational Detail of Each Port State

En la tabla se resumen los detalles operativos de cada estado de puerto.

Estado del Tabla de direcciones Reenvío de frames de

BPDU
puerto MAC datos
Blocking Recibir solo No hay actualización No
Listening Recibir y enviar No hay actualización No
Actualización de la
Learning Recibir y enviar No
tabla
Actualización de la
Forwarding Recibir y enviar Sí
tabla
No se ha enviado ni
Disable No hay actualización No
recibido

Per-VLAN Spanning-Tree -PVST

En Per-VLAN Spanning Tree (PVST) , hay un root bridge por cada instancia de spanning-tree. Esto
hace posible tener diferentes puentes raíz para diferentes conjuntos de VLAN.

Diferentes versiones de STP

En este tema se detallan las diferentes versiones de STP y otras opciones para evitar bucles en la
red.
El último estándar para spanning-tree está contenido en IEEE-802-1D-2004, el estándar IEEE para
redes de área local y metropolitana: Media Access Control (MAC) Bridges. Esta versión del
estándar indica que los switch y bridges que cumplen con el estándar utilizarán Rapid Spanning
Tree Protocol (RSTP) en lugar del protocolo STP anterior especificado en el estándar 802.1d
original. En este currículo, cuando se analiza el protocolo de árbol de expansión original, se utiliza
la frase “árbol de expansión 802.1D original” para evitar confusiones. Debido a que los dos
protocolos comparten gran parte de la misma terminología y métodos para la ruta sin bucles, el
enfoque principal estará en el estándar actual y las implementaciones propietarias de Cisco de STP
y RSTP.

Variedad
Descripción
STP
STP Esta es la versión original de IEEE 802.1D (802.1D-1998 y versiones
anteriores) que proporciona una topología sin bucles en una red con enlaces
redundantes. También llamado Common Spanning Tree (CST), asume una
instancia de spanning-tree para toda la red puenteada, independientemente
 de la cantidad de VLAN.

El árbol de expansión por VLAN (PVST +) es una mejora de Cisco de STP

que proporciona una instancia de spanning-tree 802.1D por cada VLAN
PVST+
Configure la red PVST+ soporta PortFast, UplinkFast, BackboneFast, BPDU
guard, BPDU filter, root guard, y loop guard.

802.1D- Esta es una versión actualizada del estándar STP, que incorpora IEEE
2004 802.1w.

Rapid Spanning-Tree Protocol (RSTP), o IEEE 802.1w, es una evolución de

RSTP
STP que proporciona una convergencia más veloz de STP.

Esta es una mejora de Cisco de RSTP que utiliza PVST+ y proporciona un

Rapid
instancia separada de 802.1w por VLAN. Cada instancia independiente
PVST+
admite PortFast, BPDU guard, BPDU filter, root guard, y loop guard.

Multiple Spanning-Tree Protocol (MSTP) es un estándar IEEE inspirado en el

MSTP STP de instancia múltiple (MISTP) anterior propietario de Cisco. MSTP
asigna varias VLAN en la misma instancia de spanning-tree.

Múltiple Spanning Tree (MST) es la implementación de MSTP de Cisco, que

proporciona hasta 16 instancias de RSTP y combina muchas VLAN con el
MST
misma topología física y lógica en una instancia RSTP común. Cada instancia
aparte admite PortFast, BPDU Guard, BPDU Filter, Root Guard y Loop Guard.

Los switches de Cisco con IOS 15.0 o posterior ejecutan PVST+ de manera predeterminada. Esta
versión incluye muchas de las especificaciones IEEE 802.1D-2004, como puertos alternativos en
lugar de los puertos no designados anteriores. Los switches deben configurarse explícitamente para
el modo Rapid Spanning-Tree para ejecutar el protocolo de árbol de expansión rápida.

RSTP Concepts

RSTP (IEEE 802.1w) reemplaza al 802.1D original mientras conserva la compatibilidad con
versiones anteriores. La terminología de STP 802.1w sigue siendo fundamentalmente la misma que
la de STP IEEE 802.1D original. La mayoría de los parámetros se han dejado sin cambios. El
mismo algoritmo de árbol de expansión se utiliza tanto para STP como para RSTP para determinar
los roles de puerto y la topología.
RSTP aumenta la velocidad del recálculo de spanning-tree cuando cambia la topología de la red de
Capa 2. RSTP puede lograr una convergencia mucho más rápida en una red configurada en forma
adecuada, a veces sólo en unos pocos cientos de milisegundos. Si un puerto está configurado como
puerto alternativo o de respaldo, puede cambiar automáticamente al estado de reenvío sin esperar a
que converja la red.
PVST+ rápido es la implementación que hace Cisco de RSTP por VLAN. Con Rapid PVST + se
ejecuta una instancia independiente de RSTP para cada VLAN.
RSTP Port States and Port Roles

Los estados de puerto y las funciones de puerto entre STP y RSTP son similares.

STP and RSTP Port States :

Solo hay tres estados de puerto en RSTP que corresponden a los tres estados operativos posibles en
STP. Los estados disable, blocking y listening 802.1D se fusionan en un único estado de descarte
802.1w.
STP and RSTP Port Roles

Como se muestra en la figura, los puertos raíz y los puertos designados son los mismos para STP y
RSTP. Hay dos roles de puerto rn RSTP que corresponden al estado de bloqueo en STP. En STP un
puerto bloqueado se define por no ser un puerto designado ni tampoco root. RSTP tiene dos roles de
puerto para este propósito.

RSTP Alternate and Backup Ports

El puerto alternativo tiene una ruta alternativa al puente raíz. Un pueto backup es el backup de un
medio compartido.
PortFast and BPDU Guard

Cuando un dispositivo está conectado a un puerto del switch cuando un switch se enciende, el
puerto del switch pasa por los estados de listening y learning, esperando cada vez que expire el
temporizador de Forward Delay. Este retraso es de 15 segundos para cada estado, listening y
learning, para un total de 30 segundos. Este retraso puede presentar un problema para los clientes
DHCP que intentan detectar un servidor DHCP. Los mensajes DHCP del host conectado no se
reenviarán durante los 30 segundos de temporizadores de Forward Delay y el proceso DHCP puede
agotarse. IPv4 no recibirá una dirección IPv4 válida.
Aunque esto puede ocurrir con clientes que envían mensajes de solicitud de enrutador ICMPv6, el
enrutador continuará enviando mensajes Router Advertisement ICMPv6 para que el dispositivo sepa
cómo obtener su información de dirección.
Cuando un puerto de switch se configura con PortFast, ese puerto pasa de blocking al estado de
forwarding inmediatamente, omitiendo los estados de listening y learning STP y evitando un retraso
de 30 segundos. Use PortFast en los puertos de acceso para permitir que los dispositivos conectados
a estos puertos, como los clientes DHCP, accedan a la red de inmediato, en lugar de esperar a que
STP converja en cada VLAN. PortFast solo se puede usar en puertos que se conectan a dispositivos
finales.

En una configuración de PortFast válida, nunca se deben recibir BPDU, ya que esto indicaria que
hay un switch conectado y probabilidad de loop. BPDU Guard evita que se pueda crear un loop
activado el estado errdisable en el puerto que reciba una trama BPDU que no se espera.
Alternatives to STP

Las LAN Ethernet pasaron de unos pocos switch interconectados a un único enrutador, conectados a
un sofisticado diseño de red jerárquica por capas que incluye switch de acceso, distribución y core.

Un aspecto importante del diseño de red es la convergencia rápida y predecible cuando se produce
un error o un cambio en la topología. El árbol de expansión no ofrece las mismas eficiencias y
predecibilidades proporcionadas por los protocolos de enrutamiento en la Capa 3. La figura muestra
un diseño de red jerárquica tradicional con los conmutadores multicapa de distribución y núcleo que
realizan enrutamiento.
El enrutamiento de capa 3 permite rutas y bucles redundantes en la topología, sin bloquear puertos.
Por esta razón, algunos entornos están en transición a la capa 3 en todas partes, excepto donde los
dispositivos se conectan al conmutador de capa de acceso. En otras palabras, las conexiones entre
los conmutadores de capa de acceso y los conmutadores de distribución serían Capa 3 en lugar de
Capa 2.

Aunque es muy probable que STP siga utilizándose como mecanismo de prevención de bucles en la
empresa, en los conmutadores de capa de acceso también se están utilizando otras tecnologías,
incluidas las siguientes:
• Multi System Link Aggregation (MLAG)

• Shortest Path Bridging (SPB)

• Transparent Interconnect of Lots of Links (TRILL)

Para establecer el rrot primary en spanning-tree se puede hacer estableciendo la prioridad o

simplemente indicando al switch que queremos que sea root: En ambos casos aplica la misma
prioridad.
S1(config)# spanning-tree vlan 1 root primary
S1(config)# spanning-tree vlan 1 priority 24576
6. Link Aggregation

Hay escenarios en los que se necesita más ancho de banda o redundancia entre dispositivos que lo
que puede proporcionar un único enlace. Se pueden conectar varios enlaces entre dispositivos para
aumentar el ancho de banda.
Se necesita una tecnología de agregación de enlaces que permita enlaces redundantes entre
dispositivos que no serán bloqueados por STP. Esa tecnología se conoce como EtherChannel.
EtherChannel es una tecnología de agregación de enlaces que agrupa varios enlaces Ethernet físicos
en un único enlace lógico. Se utiliza para proporcionar fault-tolerance , load sharing , increased
bandwidth y redundancy entre switches, routers y servidores.
Cuando se configura un EtherChannel, la interfaz virtual resultante se denomina “port-channel”.
Las interfaces físicas se agrupan en una interfaz de canal de puertos

Ventajas de EtherChannel

• La mayoría de las tareas de configuración se pueden realizar en la interfaz EtherChannel en

lugar de en cada puerto individual, lo que asegura la coherencia de configuración en todos
los enlaces.
• EtherChannel depende de los puertos de switch existentes. No es necesario actualizar el
enlace a una conexión más rápida y más costosa para tener más ancho de banda
• El Load Balancing ocurre entre los enlaces que forman parte del mismo EtherChannel.
Según la plataforma de hardware, se pueden implementar uno o más métodos de load-
balancing. Estos métodos incluyen load-balancing de la MAC de origen a la MAC de
destino o load-balancing de la IP de origen a la IP de destino, a través de enlaces físicos
• EtherChannel crea una agregación que se ve como un único enlace lógico. Cuando existen
varios grupos EtherChannel entre dos switches, STP puede bloquear uno de los grupos para
evitar los bucles de switching. Cuando STP bloquea uno de los enlaces redundantes, bloquea
el EtherChannel completo.
• EtherChannel proporciona redundancia, ya que el enlace general se ve como una única
conexión lógica. Además, la pérdida de un enlace físico dentro del canal no crea ningún
cambio en la topología. Por lo tanto, no es necesario volver a calcular el árbol de expansión.
Suponiendo que haya por lo menos un enlace físico presente, el EtherChannel permanece en
funcionamiento, incluso si su rendimiento general disminuye debido a la pérdida de un
enlace dentro del EtherChannel.
EtherChannel, restricciones de implementación:

• No pueden mezclarse los tipos de interfaz dentro de un mismo grupo. Por ejemplo, Fast
Ethernet y Gigabit Ethernet.
• Cada EtherChannel puede constar de hasta ocho puertos Ethernet configurados de manera
compatible. El EtherChannel proporciona un ancho de banda full-duplex de hasta 800 Mbps
(Fast EtherChannel) u 8 Gbps (Gigabit EtherChannel)
• El switch Cisco Catalyst 2960 Layer 2 soporta actualmente hasta seis EtherChannels,
algunas tarjetas y plataformas pueden admitir una mayor cantidad de puertos dentro de un
enlace EtherChannel, así como una mayor cantidad de Gigabit EtherChannels.
• La configuración de los puertos individuales que forman parte del grupo EtherChannel debe
ser coherente en ambos dispositivos. Todos los puertos en cada enlace EtherChannel se
deben configurar como puertos de capa 2,, misma vlan y en modo truking.
• La configuración aplicada a la interfaz port-channel afecta a todas las interfaces físicas que
se asignan a esa interfaz.

Protocolos de negociación automática

Los EtherChannels se pueden formar por medio de una negociación con uno de dos protocolos: Port
Aggregation Protocol (PAgP) o Link Aggregation Control Protocol (LACP). Estos protocolos
permiten que los puertos con características similares formen canal mediante una negociación
dinámica con los switches adyacentes.
También es posible configurar un EtherChannel estático o incondicional sin PAgP o LACP.

Funcionamiento PagP

Es un protocolo patentado por Cisco que ayuda en la creación automática de enlaces EtherChannel.
Cuando se configura un enlace EtherChannel mediante PAgP, se envían paquetes PAgP entre los
puertos aptos para EtherChannel para negociar la formación de un canal. Cuando PAgP identifica
enlaces Ethernet compatibles, agrupa los enlaces en un EtherChannel. El EtherChannel después se
agrega al árbol de expansión como un único puerto.
Los paquetes PAgP se envían cada 30 segundos. PAgP revisa la coherencia de la configuración y
administra los enlaces que se agregan, así como las fallas entre dos switches. Cuando se crea un
EtherChannel, asegura que todos los puertos tengan el mismo tipo de configuración.
En EtherChannel, es obligatorio que todos los puertos tengan la misma velocidad, la misma
configuración de dúplex y la misma información de VLAN. Cualquier modificación de los puertos
después de la creación del canal también modifica a los demás puertos del canal.
PAgP ayuda a crear el enlace EtherChannel al detectar la configuración de cada lado y asegurarse de
que los enlaces sean compatibles, de modo que se pueda habilitar el enlace EtherChannel cuando
sea necesario.
Modos Pag-P:
• On : Este modo obliga a la interfaz a proporcionar un canal sin PAg -P. No intercambian
paquetes PAg-P
• PAgP desirable : Este modo PAgP coloca una interfaz en un estado de negociación activa en
el que la interfaz inicia negociaciones con otras interfaces al enviar paquetes PAgP.
• PAgP auto : Este modo PAgP coloca una interfaz en un estado de negociación pasiva en el
que la interfaz responde a los paquetes PAgP que recibe, pero no inicia la negociación PAgP.

Los modos deben ser compatibles en cada lado. Si se configura un lado en modo automático, se
coloca en estado pasivo, a la espera de que el otro lado inicie la negociación del EtherChannel.
El modo on coloca manualmente la interfaz en un EtherChannel, sin ninguna negociación. Funciona
solo si el otro lado también se establece en modo on.
El hecho de que no haya negociación entre los dos switches significa que no hay un control para
asegurarse de que todos los enlaces en el EtherChannel terminen del otro lado o de que haya
compatibilidad con PAgP en el otro switch.
Ejemplo de configuración Pag-P

Pag-P Modes:

Establecimiento del
S1 S2
canal
On On Yes
On Desirable/Auto No
Desirable Desirable Yes
Desirable Auto Yes
Auto Desirable Yes
Auto Auto No

LACP Operation – Link Aggregation Control Protocol

LACP forma parte de una especificación IEEE (802.3ad) que permite agrupar varios puertos físicos
para formar un único canal lógico. LACP permite que un switch negocie un grupo automático
mediante el envío de paquetes LACP al otro switch. Debido a que LACP es un estándar IEEE, se
puede usar para facilitar los EtherChannels en entornos de varios proveedores.
LACP en los inicios, se definió como IEEE 802.3ad. Sin embargo, LACP ahora se define en el
estándar más moderno IEEE 802.1AX para la redes de área local y metropolitana.
LACP proporciona los mismos beneficios de negociación que PAgP. LACP ayuda a crear el enlace
EtherChannel al detectar la configuración de cada lado y al asegurarse de que sean compatibles, de
modo que se pueda habilitar el enlace EtherChannel cuando sea necesario. Los modos para LACP
son los siguientes:
• On : Este modo obliga a la interfaz a proporcionar un canal sin LACP. No intercambian
paquetes LACP
• LACP active : Este modo de LACP coloca un puerto en estado de negociación activa. En
este estado, el puerto inicia negociaciones con otros puertos mediante el envío de paquetes
LACP.
 • LACP passive : Este modo de LACP coloca un puerto en estado de negociación pasiva. En
este estado, el puerto responde a los paquetes LACP que recibe, pero no inicia la
negociación de paquetes LACP.
Al igual que con PAgP, los modos deben ser compatibles en ambos lados para que se forme el
enlace
El protocolo LACP permite ocho enlaces activos y, también, ocho enlaces de reserva. Un enlace de
reserva se vuelve activo si falla uno de los enlaces activos actuales.
Combinaciones de modos LACP :

S1 S2 Channel Establishment
On On Yes
On Active/Passive No
Active Active Yes
Active Passive Yes
Passive Active Yes
Passive Passive No

Pautas y restricciones para configurar un EtherChannel

• EtherChannel support : Todas las interfaces Ethernet deben admitir EtherChannel, sin
necesidad de que las interfaces sean físicamente contiguas
• Speed and duplex : Configure todas las interfaces en un EtherChannel para que funcionen a
la misma velocidad y en el mismo modo dúplex.
• VLAN match : Todas las interfaces en el grupo EtherChannel se deben asignar a la misma
VLAN o se deben configurar como enlace troncal (mostrado en la figura).
• Range of VLANs : Un EtherChannel soporta el mismo rango permitido de VLAN en todas
las interfaces de un enlace trunking. Si no coinciden los rango de VLAN, no se formará el
Etherchannel.
No se formará un EtherChannel :

Si se deben modificar estos parámetros, configurar en el modo de configuración de interfaz port-

channel. Cualquier configuración que se aplique a la interfaz de port-channel también afectará a las
interfaces individuales. Sin embargo, las configuraciones que se aplican a las interfaces individuales
no afectan a la interfaz port-channel.
El port-channel se puede configurar en modo de acceso, modo de enlace troncal (más frecuente) o
en un puerto enrutado.

LACP Configuration

EtherChannel está deshabilitado de forma predeterminada y debe configurarse. La topología de la

figura se utilizará para demostrar un ejemplo de configuración de EtherChannel utilizando LACP.

La configuración de EtherChannel con LACP requiere tres pasos:

Paso 1. Especifique las interfaces que conforman el grupo EtherChannel mediante el interface
range
Paso 2. Cree la interfaz port channel con el channel-group comando mode active identifier en el
modo de configuración de interface range. El identificador especifica el número de channel-group.
Las mode active palabras clave identifican a esta configuración como EtherChannel LACP.
Paso 3. Para cambiar la configuración de capa 2 en la interfaz de port-channel, ingrese al modo de
configuración de interfaz port-channel mediante el interface port-channel , seguido del
identificador de la interfaz. En el ejemplo, S1 está configurado con un EtherChannel LACP. El
port-channel está configurado como interfaz trunk con VLAN permitidas específicas.

Verificación y solución de problemas de EtherChannel

Comandos para verificar EtherChannel:

show interfaces port-channel ID : muestra el estado general de la interfaz de port-channel

show etherchannel summary : muestra una única línea de información de por port-channel
cuando se configuren varias interfaces de port-channel en el mismo dispositivo.
show etherchannel port-channel : muestra información especíofica sobre la interfaz de port-
channel. En el ejemplo, la interfaz de port-channel 1 consta de dos interfaces físicas,
FastEthernet0/1 y FastEthernet0/2. Esta usa LACP en modo activo. Está correctamente conectada a
otro switch con una configuración compatible, razón por la cual se dice que el canal de puertos está
en uso.

show interfaces id-interface etherchannel : Puede proporcionar información sobre la función de la

interfaz en el EtherChannel, como se muestra en el resultado. La interfaz FastEthernet0/1 forma
parte del grupo EtherChannel 1. El protocolo para este EtherChannel es LACP.
Common Issues with EtherChannel Configurations

Todas las interfaces dentro de un EtherChannel deben tener la misma configuración de velocidad y
modo dúplex, de VLAN nativas y permitidas en los enlaces troncales, y de VLAN de acceso en los
puertos de acceso. Entre los problemas comunes de EtherChannel se incluyen los siguientes:
• Los puertos asignados en el EtherChannel no son parte de la misma VLAN ni son
configurados como enlace troncal. Los puertos con VLAN nativas diferentes no pueden
formar un EtherChannel. La* conexión troncal se configuró en algunos de los puertos que
componen el EtherChannel, pero no en todos ellos. No se recomienda que configure el modo
de enlace troncal en los puertos individuales que conforman el EtherChannel.
• Si el rango permitido de VLAN no es el mismo, los puertos no forman un EtherChannel
incluso cuando PAgP está configurado en modo auto o desirable.
• Las opciones de negociación dinámica para PAgP y LACP no se encuentran configuradas de
manera compatible en ambos extremos del EtherChannel.

Es fácil confundir PAgP o LACP con DTP, ya que ambos son protocolos que se usan para
automatizar el comportamiento en los enlaces troncales. PAgP y LACP se usan para la agregación
de enlaces (EtherChannel). DTP se usa para automatizar la creación de enlaces troncales. Cuando se
configura un enlace troncal de EtherChannel, normalmente se configura primero EtherChannel
(PAgP o LACP) y después DTP.

Ejemplo de solucionar problemas de EtherChannel.

En la figura, las interfaces F0/1 y F0/2 en los switches S1 y S2 se conectan con un EtherChannel.
Sin embargo, el EtherChannel no está operativo.

Paso 1. Ver la información de resumen de EtherChannel

La salida del show etherchannel summary comando indica que el EtherChannel está caído.
Paso 2. Verifique la configuración de canalización de puerto
show run | begin interface port-channel ofrece una salida más detallada, indica que existen
modos PAgP incompatibles configurados en los switches S1 y S2.

Paso 3. Corregir las configuraciones incorrectas

Para corregir el problema, el modo PAgP en el EtherChannel se cambia a desirable
EtherChannel y STP deben interoperar. Por este motivo, el orden en el que se introducen los
comandos relacionados con EtherChannel es importante , y por ello se puede ver que se quitó el
interface port-channel 1 y después se volvió a agregar con el comando channel-group, en vez de
cambiarse directamente. Si se intenta cambiar la configuración directamente, los errores STP hacen
que los puertos asociados entren en estado de bloqueo o errdisabled.
Paso 4. Verificar que EtherChannel este en funcionamiento
El EtherChannel ahora está activo según lo verificado por la salida del comando show
etherchannel summary

Verificar y resolver problemas de EtherChannel.

Existe una variedad de comandos para verificar una configuración EtherChannel que incluye, show
interfaces port-channel, show etherchannel summary, show etherchannel port-channel y show
interfaces etherchannel. Entre los problemas comunes de EtherChannel se incluyen los siguientes:
• Los puertos asignados en el EtherChannel no son parte de la misma VLAN ni son
configurados como enlace troncal. Los puertos con VLAN nativas diferentes no pueden
formar un EtherChannel.
• La conexión troncal se configuró en algunos de los puertos que componen el EtherChannel,
pero no en todos ellos. Si el rango permitido de VLAN no es el mismo, los puertos no
forman un EtherChannel, incluso cuando PAgP se establece en modo automático o deseado.
Las opciones de negociación dinámica para PAgP y LACP no se encuentran configuradas de
manera compatible en ambos extremos del EtherChannel.

7. DHCPv6 Server And Client

Dynamic Host Configuration Protocol v4 (DHCPv4) asigna direcciones IPv4 y otra información de
configuración de red dinámicamente.
Cuando el cliente arranca (o quiere unirse a una red), comienza un proceso de cuatro pasos para
obtener un arrendamiento:
1. Detección de DHCP (DHCPDISCOVER)
2. Oferta de DHCP (DHCPOFFER)
3. Solicitud de DHCP (DHCPREQUEST)
4. Acuse de recibo de DHCP (DHCPACK)

Paso 1. Detección DHCP (DHCPDISCOVER)

El cliente inicia el proceso enviando el mensaje DHCPDISCOVER como broadcast de capa 2 y 3
para localizar a un servidor DHCPv4.

Paso 2. Ofrecimiento de DHCP (DHCPOFFER)

Cuando el servidor DHCPv4 recibe el mensaje DHCPDISCOVER, reserva una dirección IPv4
disponible y crea una entrada ARP con la MAC del cliente y la IPv4 que le ofrece. El servidor envia
el mensaje DHCPOFFER con los datos solicitados por el cliente.

Paso 3. Solicitud de DHCP (DHCPREQUEST)

Un cliente envía un DHCPREQUEST por broadcast para confirmar la oferta recibida en el mensaje
DHCPOFFER. Si existiera otro servidor que hubiera enviado otra oferta, al recibir por broadcast el
DHCPREQUEST, entiende que su oferta es cancelada. El mensaje DHCPREQUEST también se
utiliza como renovación del arrendamiento.
Paso 4. Confirmación de DHCP (DHCPACK)
Al recibir el mensaje DHCPREQUEST, el servidor verifica la información del arrendamiento con
un ping ICMP a esa dirección para asegurarse de que no esté en uso, crea una nueva entrada ARP
para el arrendamiento del cliente y responde con un mensaje DHCPACK. El mensaje DHCPACK es
un duplicado del mensaje DHCPOFFER, a excepción de un cambio en el campo de tipo de mensaje.
Cuando el cliente recibe el mensaje DHCPACK, registra la información de configuración y realiza
una búsqueda de ARP para la dirección asignada. Si no hay respuesta al ARP, el cliente sabe que la
dirección IPv4 es válida y comienza a utilizarla como propia.
Pasos para renovar el arrendamiento
Proceso de dos pasos para renovar la concesión con el servidor DHCPv4.
1. Detección DHCP (DHCPREQUEST) : Antes de que caduque el arrendamiento, el cliente
envía un mensaje DHCPREQUEST directamente al servidor de DHCPv4 que ofreció la
dirección IPv4 en primera instancia. Si no se recibe un mensaje DHCPACK dentro de una
cantidad de tiempo especificada, el cliente transmite otro mensaje DHCPREQUEST de
modo que uno de los otros servidores de DHCPv4 pueda extender el arrendamiento.
2. Ofrecimiento de DHCP (DHCPACK) : Al recibir el mensaje DHCPREQUEST, el servidor
verifica la información del arrendamiento al devolver un DHCPACK.
Nota: Estos mensajes (principalmente DHCPOFFER y DHCPACK) se pueden enviar como
unidifusión o difusión según la IETF RFC 2131.
Configure a Cisco IOS DHCPv4 Server

El servidor de DHCPv4 que utiliza IOS de Cisco asigna y administra direcciones IPv4 de conjuntos
de direcciones especificados dentro del router para los clientes DHCPv4. Pasos para configurar un
servidor DHCPv4 del IOS de Cisco:
1. Excluir direcciones IPv4
2. Definir un nombre del pool DHCPv4 .
3. Configurar el pool DHCPv4.

Paso 1. Excluir direcciones IPv4

Algunas direcciones IPv4 de un conjunto se asignan a dispositivos de red que requieren
asignaciones de direcciones estáticas. Por lo tanto, estas direcciones IPv4 no deben asignarse a otros
dispositivos. El comando es: ip dhcp excluded-address low-address [high-address]

Se puede excluir una única dirección o un rango de direcciones especificando la dirección más baja
y la dirección más alta del rango.
Paso 2. Defina un nombre de grupo DHCPv4
El comando ip dhcp pool _pool-name_ crea un conjunto (pool) con el nombre especificado y
coloca al router en el modo de configuración de DHCPv4.

Paso 3. Configure el grupo DHCPv4

El conjunto de direcciones y el router de gateway predeterminado deben estar configurados. La
instrucción network es para definir el rango de direcciones disponibles. El comando default-router
para definir el router de gateway predeterminado. Se requiere un gateway, pero se pueden indicar
hasta ocho direcciones si hay varios gateways.
Comandos optativos:
• dns-server : la dirección IPv4 del servidor DNS que está disponible

• domain-name : definir el nombre de dominio

• lease : La duración del arrendamiento, el valor predeterminado es un día.

• Netbios-name-server : Definir el servidor WINS con NetBIOS.

Tarea Comando de IOS

network network-number [mask | / prefix-length]
Definir el pool de direcciones.
Definir el router o gateway default-router address [ address2….address8]
predeterminado.
dns-server address [ address2…address8]
Definir un servidor DNS.
domain-name domain
Definir el nombre de dominio.
Definir la duración de la lease {days [hours [ minutes]] | infinite}
concesión DHCP.
Definir el servidor WINS con netbios-name-server address [ address2…address8]
NetBIOS.
Comandos de verificación DHCP
Ver los comandos DHCPv4 introducidos al router:
show running-config | section dhcp

Muestra una lista de todos los enlaces de direcciones IPv4 a direcciones MAC proporcionados por
el servicio DHCPv4.
show ip dhcp binding

Muestra información de conteo con respecto a la cantidad de mensajes DHCPv4 que han sido
enviados y recibidos.
show ip dhcp server statistics

Verificar la configuración DHCPv4

El resultado del comando show running-config | section dhcp muestran los comandos de DHCPv4
configurados en el R1. El | section parámetro muestra solo los comandos asociados a la
configuración DHCPv4.

Verificar las asignaciones de DHCP

Este comando muestra una lista de todas las vinculaciones de la dirección IPv4 con la dirección
MAC que fueron proporcionadas por el servicio DHCPv4.

Verificar estadísticas DHCPv4

La salida de la show ip dhcp server statistics se utiliza para verificar que los mensajes están siendo
recibidos o enviados por el router. Este comando muestra información de conteo con respecto a la
cantidad de mensajes DHCPv4 que se enviaron y recibieron.
El servicio DHCPv4 está habilitado de manera predeterminada. Para desabilitar el servicio, use el
comando no service dhcp del modo de configuración global. Use el comando del modo service
dhcp de configuración global para volver a habilitar el proceso del servidor DHCPv4.

Relay DHCPv4 - Retransmision

En una red jerárquica compleja, los servidores empresariales suelen estar ubicados en una central.
Estos servidores pueden proporcionar servicios DHCP, DNS, TFTP y FTP para la red.
Generalmente, los clientes de red no se encuentran en la misma subred que esos servidores. Para
ubicar los servidores y recibir servicios, los clientes con frecuencia utilizan mensajes de difusión.
En la figura, la PC1 intenta adquirir una dirección IPv4 de un servidor de DHCPv4 mediante un
mensaje de difusión. En esta situación, el router R1 no está configurado como servidor de DHCPv4
y no reenvía el mensaje de difusión. Dado que el servidor de DHCPv4 está ubicado en una red
diferente, la PC1 no puede recibir una dirección IP mediante DHCP. R1 debe configurarse para
retransmitir mensajes DHCPv4 al servidor DHCPv4.

Problema visto desde un host:

La solución mediante el comando ip helper-address:
configurar R1 con el comando ip helper-address address interface configuration. Esto hará que R1
retransmita transmisiones DHCPv4 al servidor DHCPv4. Como se muestra en el ejemplo, la
interfaz en R1 que recibe la difusión desde PC1 está configurada para retransmitir la dirección
DHCPv4 al servidor DHCPv4 en 192.168.11.6.

De manera predeterminada, el comando ip helper-address reenvia los siguientes ocho servicios

UDP:
• Port 37: Time

• Port 49: TACACS

• Port 53: DNS

• Port 67: DHCP/BOOTP server

• Port 68: DHCP/BOOTP client

• Port 69: TFTP

• Port 137: NetBIOS name service

• Port 138: NetBIOS datagram service

Router Cisco como Cliente DHCPv4

Hay escenarios en los que puede tener acceso a un servidor DHCP a través de su ISP. En estos
casos, puede configurar un router Cisco IOS como cliente DHCPv4. En esta guía se explicará ese
proceso. El método específico utilizado depende del ISP. Sin embargo, en su configuración más
simple, se utiliza la interfaz Ethernet para conectarse a un cable módem o a un módem DSL.
Para configurar una interfaz Ethernet como cliente DHCP, utilice el comando ip address dhcp.
Confirmamos que está activa:

8. Configuración de host IPv6

Para utilizar la configuración automática de direcciones stateless (SLAAC) o DHCPv6, debe revisar
las direcciones globales de unicast (GUA) y las direcciones link-local (LLAs).
El comando ipv6 address ipv6-address/prefix-length interface. Configura la dirección Global
Unicast Adddress (GUA).
Cuando se selecciona el direccionamiento IPv6 automático, el host intentará obtener y configurar
automáticamente la información de direcciones IPv6 en la interfaz. El host utilizará uno de los tres
métodos definidos por el Internet Control Message Protocol version 6 (ICMPv6) :
• RA (Router Advertisement) recibidos en la interfaz. Un router IPv6 que está en el mismo
Link que el host envía mensajes de RA que sugieren a los hosts cómo obtener su
información de direccionamiento IPv6. El host crea automáticamente la Link-Local-
Address (LLA) IPv6 cuando se inicia y la interfaz Ethernet está activa.
A veces, los sistemas operativos host mostrarán una dirección link-local anexada con un "%" y un
número. Esto se conoce como Zone ID o Scope ID. Es utilizado por el sistema operativo para
asociar el LLA con una interfaz específica.

IPv6 GUA Assignment

IPv6 GUA se puede asignar dinámicamente utilizando servicios stateless y stateful, como se
muestra en la figura.
Todos los métodos stateless y stateful de este módulo utilizan mensajes de RA ICMPv6 para sugerir
al host cómo crear o adquirir su configuración IPv6. Aunque los sistemas operativos del host siguen
la sugerencia del RA, la decisión real depende en última instancia del host.
3 Flags de un Mensaje RA

La decisión de cómo un cliente obtendrá un GUA IPv6 depende de la configuración dentro del
mensaje RA.
Un mensaje de RA ICMPv6 incluye tres flags para identificar las opciones dinámicas disponibles
para un host:
• A flag : Address Autoconfiguration flag. Este es el indicador de configuración automática
de direcciones. Usa Stateless Address Autoconfiguration (SLAAC) para crear un GUA de
IPv6.
• O flag : Indicador Other Configuration flag. La información está disponible desde un
servidor DHCPv6 stateless.
• M flag :Indicador Managed Address Configuration flag. Utiliza un servidor DHCPv6
stateful para obtener una GUA IPv6.

Mediante diferentes combinaciones de los flags A, O y M, los mensajes RA informan al host sobre
las opciones dinámicas disponibles.
Descripcion general de SLAAC

El método SLAAC permite a los hosts crear su propia dirección única global IPv6 sin los servicios
de un servidor DHCPv6.
SLAAC es un servicio stateless. No hay ningún servidor que mantenga información de direcciones
de red para saber qué direcciones IPv6 se están utilizando y cuáles están disponibles.
SLAAC utiliza mensajes ICMPv6 RA para proporcionar direccionamiento y otra información de
configuración que normalmente proporcionaría un servidor DHCP. Un host configura su dirección
IPv6 en función de la información que se envía en la RA. Los mensajes RA son enviados por un
router IPv6 cada 200 segundos.
Un host también puede enviar un mensaje Router Solicitation (RS) solicitando que un router
habilitado para IPv6 envíe al host un RA.
SLAAC se puede implementar como SLAAC solamente, o SLAAC con DHCPv6.
Activación de SLAAC
Consulte la topología siguiente para ver cómo está habilitado SLAAC para proporcionar asignación
GUA dinámica stateless.

Suponga que R1 GigabitEthernet 0/0/1 se ha configurado con la GUA IPv6 indicada y direcciones
link-local. Direccionamiento asignado a #R1.
• Link-local IPv6 address - fe80::1

• GUA and subnet - 2001:db8:acad:1: :1 y 2001:db8:acad:1: :/64

• IPv6 all-nodes group - ff02::1

Habilitar enrutamiento IPv6

Para habilitar el envío de mensajes RA, un router debe unirse al grupo de todos los routers IPv6
mediante el comando ipv6 unicast-routing.
Verificar que SLAAC esté habilitado
El grupo de todos los routers IPv6 responde a la dirección de multidifusión IPv6 ff02 :: 2. El
comando show ipv6 interface es para verificar si un router está habilitado.
Un router Cisco habilitado para IPv6 envía mensajes RA a la dirección de multicast de todos los
nodos IPv6 ff02: :1 cada 200 segundos.

Método sólo SLAAC

El método sólo SLAAC está habilitado de forma predeterminada cuando se configura el comando
ipv6 unicast-routing. Todas las interfaces Ethernet habilitadas con un GUA IPv6 comenzarán a
enviar mensajes RA con el flag A establecido en 1 y los flags O y M establecidos en 0
El A = 1 flag sugiere al cliente que cree su propio IPv6 GUA usando el prefijo anunciado en la RA.
El cliente puede crear su propio ID de interfaz utilizando el método Extended Unique Identifier
(EUI-64) o hacer que se genere aleatoriamente.
Los flags O =0 y M=0 le indican al cliente que use la información del mensaje RA exclusivamente.
Esto incluye información del prefijo, de la longitud de prefijo, del servidor DNS, de la MTU y del
default gateway.
La dirección del default gateway es la dirección IPv6 de origen del mensaje RA, que es la LLA para
R1. El default gateway solo se puede obtener de forma automática mediante un mensaje RA. Un
servidor DHCPv6 no proporciona esta información.

ICMPv6 RS Messages

Un router envía mensajes de RA cada 200 segundos. Sin embargo, también enviará un mensaje RA
si recibe un mensaje RS de un host.

Cuando un cliente está configurado para obtener su información de direccionamiento

automáticamente, envía un mensaje RS a la dirección de multicast IPv6 de ff02: :2.
Proceso de host para generar ID de interfaz

Mediante SLAAC, un host suele adquirir su información de subred IPv6 de 64 bits del RA del
router. Sin embargo, debe generar el resto del identificador de interfaz (ID) de 64 bits utilizando uno
de estos dos métodos:
• De generación aleatoria : La identificación de la interfaz de 64 bits es generada
aleatoriamente por el sistema operativo del cliente. Este es el método utilizado por Win 10.
• EUI-64 : El host crea un ID de interfaz utilizando su dirección MAC de 48 bits e inserta el
valor hexadecimal de fffe en el medio de la dirección, después de los primeros 24bytes.
Después invierte el valor del séptimo bit, de cero pasa a uno o viceversa.

Detección de direcciones duplicadas

Ya que SLAAC es stateless, un host utiliza el proceso de detección de direcciones duplicadas
(Duplicate Address Detection, DAD) para asegurarse de que IPv6 GUA es único.
DAD se implementa usando ICMPv6. Para realizar DAD, el host envía un mensaje ICMPv6 NS
con una dirección de multicast llamada Neighbor Solicitation (NS).Esta dirección duplica los
últimos 24 bits de dirección IPv6 del host.
Si ningún otro dispositivo responde con un mensaje NA (Neighbor Advertisement), prácticamente
se garantiza que la dirección es única y puede ser utilizada
Internet Engineering Task Force (IETF) recomienda que DAD se utilice en todas las direcciones de
unicast IPv6 independientemente de si se crea con SLAAC sólo, se obtiene con DHCPv6 stateful, o
se configura manualmente. Sin embargo, la mayoría de los sistemas operativos realizan DAD en
todas las direcciones de unidifusión IPv6, independientemente de cómo se configure la dirección.

Operaciones DHCPv6

En este tema se explica DHCPv6 stateless y stateful. DHCPv6 stateless utiliza partes de SLAAC
para asegurarse de que toda la información necesaria se suministra al host. DHCPv6 stateful no
requiere SLAAC.
El host comienza las comunicaciones cliente / servidor DHCPv6 después de que se indica DHCPv6
stateles o DHCPv6 stateful en el RA.
El cliente utilizan el puerto de destino UDP 546 para enviar y recibir mensajes DHCPv6, mientras
que el servidor utilizan el puerto UDP 547 .
Los pasos para las operaciones DHCPv6 :
1. El host envía un mensaje RS:
2. El router responde con un mensaje RA:
R1 recibe el RS y responde con un RA indicando que el cliente debe iniciar la
comunicación con un servidor DHCPv6.
3. El host envía un mensaje DHCPv6 SOLICIT:
El cliente necesita localizar un servidor DHCPv6 y envía un mensaje DHCPv6
SOLICIT a la dirección reservada de todos los servidores DHCPv6 de multicast IPv6
de ff02::1:2. Esta dirección de multicast tiene alcance link-local, lo cual significa que
los routers no reenvían los mensajes a otras redes.
4. El servidor DHCPv6 responde con un mensaje ADVERTISE:
Uno o más servidores DHCPv6 pueden responder con un mensaje unicast DHCPv6
ADVERTISE. El mensaje ADVERTISE le informa al cliente DHCPv6 que el servidor se
encuentra disponible para el servicio DHCPv6.
5. El host responde al servidor DHCPv6:
La respuesta depende de si está utilizando DHCPv6 stateful o stateless:
• Cliente DHCPv6 Stateless - El cliente crea una dirección IPv6 utilizando el prefijo
en el mensaje RA y una ID de interfaz autogenerada. El cliente envía un mensaje
DHCPv6 INFORMATION-REQUEST al servidor de DHCPv6 en el que solicita
solamente parámetros de configuración, como la dirección del servidor DNS.
 • Cliente DHCPv6 Stateful - el cliente envía un mensaje DHCPv6 REQUEST al
servidor para obtener una dirección IPv6 y todos los demás parámetros de
configuración del servidor.
6. El servidor DHCPv6 envía un mensaje REPLY :
El servidor envía un mensaje de unicast DHCPv6 REPLY al cliente. El contenido del
mensaje varía en función de si responde a un mensaje REQUEST o INFORMATION-
REQUEST.
Note: El cliente usara la direccion IPv6 link-local de origen del RA como su direccion default
gateway. Un servidor DHCPv6 no proporciona esta información .

Operación DHCPv6 stateless

La opción de DHCPv6 stateless informa al cliente que utilice la información del mensaje RA para el
direccionamiento, pero que hay más parámetros de configuración disponibles de un servidor de
DHCPv6.
Debido a que el servidor no mantiene información de estado del cliente (es decir, una lista de
direcciones IPv6 asignadas y disponibles). El servidor de DHCPv6 stateless solo proporciona
parámetros de configuración para los clientes, no direcciones IPv6.
Habilitar DHCPv6 stateless en una interfaz
DHCPv6 Stateless está habilitado en una interfaz de router mediante el comando ipv6 nd other-
config-flag interface configuration. Esto establece el flag O en 1.
El resultado resaltado confirma que la RA le indicará a los hosts receptores que usen la
configuración automática stateless (A flag = 1) y se comunique con un servidor DHCPv6 para
obtener otra información de configuración (O flag = 1).
Puedes usar el comando no ipv6 nd other-config flag para restablecer la interfaz a la opción
predeterminada de SLAAC sólo (O flag = 0).
Operaciones de DHCPv6 stateful

Esta opción es la más similar a DHCPv4. En este caso, el mensaje RA indica al cliente que obtenga
toda la información de direccionamiento de un servidor DHCPv6 stateful, excepto la dirección del
default gateway que es la dirección link-local IPv6 de origen de la RA.
Esto se conoce como DHCPv6 stateful, debido a que el servidor de DHCPv6 mantiene información
de estado de IPv6. Esto es similar a la asignación de direcciones para IPv4 por parte de un servidor
de DHCPv4.
Habilitar DHCPv6 stateful en una interfaz
DHCPv6 Stateful es habilitado en una interfaz de router mediante el comando ipv6 nd managed-
config-flag interface configuration Esto establece el flag M en 1.
El resultado resaltado en el ejemplo confirma que RA indicará al host que obtenga toda la
información de configuración IPv6 de un servidor DHCPv6 (flag M = 1).

Roles de router DHCPv6

En redes más pequeñas, no es necesario tener dispositivos separados para tener un servidor
DHCPv6, un cliente o un agente de retransmisión. Se puede configurar un router Cisco para
proporcionar servicios DHCPv6.
Se puede configurar para que sea uno de los siguientes:
• DHCPv6 Server : El router proporciona servicios DHCPv6 stateless o stateful

• DHCPv6 Client : La interfaz del router adquiere una configuración IP IPv6 de un servidor
DHCPv6.
• DHCPv6 Relay Agent : Router proporciona servicios de reenvío DHCPv6 cuando el cliente
y el servidor se encuentran en diferentes redes.

Configurar un servidor DHCPv6 stateless

La opción de servidor DHCPv6 stateless requiere que el router anuncie la información de

direccionamiento de red IPv6 en los mensajes RA. Sin embargo, el cliente debe ponerse en contacto
con un servidor DHCPv6 para obtener más información.
R1 proporcionará servicios SLAAC para la configuración IPv6 del host y los servicios DHCPv6.
1. Habilite el enrutamiento IPv6.
El comando ipv6 unicast-routing es requerido para habilitar el enrutamiento IPv6. Este
comando no es necesario para que el router sea un servidor de DHCPv6 stateless, pero se
requiere para que el router origine los mensajes RA ICMPv6.

2. Defina un nombre de grupo DHCPv6.

Cree el grupo DHCPv6 mediante el comando ipv6 dhcp pool POOL-NAME. El uso de
un nombre en mayúsculas facilita la visualización en una configuración.

3. Configure un pool DHCPv6.

R1 se configurará para proporcionar información DHCP adicional, incluida la dirección
del servidor DNS y el nombre de dominio.
 4. Enlace el grupo DHCPv6 a una interfaz.
El grupo DHCPv6 debe vincularse a la interfaz mediante el comando ipv6 dhcp server
POOL-NAME.
El router responde a las solicitudes de DHCPv6 stateless en esta interfaz con la
información incluida en el pool. El flag O debe cambiarse manualmente de 0 a 1
utilizando el comando de interfaz ipv6 nd other-config-flag. Los mensajes RA enviados
en esta interfaz indican que hay información adicional disponible de un servidor de
DHCPv6 stateless. El flag A es 1 de forma predeterminada, indicando a los clientes que
usen SLAAC para crear su propio GUA.

5. Compruebe que los hosts han recibido información de direccionamiento IPv6.

Para comprobar DHCP stateless en un host de Windows, utilice el ipconfig /all

Configuracion Router modo Servidor DHCPv6 stateless

R1(config)#ipv6 unicast-routing
R1(config)#ipv6 dhcp pool IPV6-STATELESS
R1(config-dhcpv6)#dns-server 2001:db8:acad:1::254
R1(config-dhcpv6)#domain-name example.com
R1(config-dhcpv6)#exit
R1(config)#interface GigabitEthernet
R1(config)#interface GigabitEthernet 0/0/1
R1(config-if)#description Link to LAN
R1(config-if)#ipv6 address fe80::1 link-local
R1(config-if)#ipv6 address 2001:db8:acad:1::1/64
R1(config-if)#ipv6 nd other-config-flag
R1(config-if)#ipv6 dhcp server IPV6-STATELESS
R1(config-if)#no shutdo
R1(config-if)#end
Configurar un cliente DHCPv6 stateless

Un router también puede ser un cliente DHCPv6 y obtener una configuración IPv6 de un servidor
DHCPv6

Hay cinco pasos para configurar y verificar un router como cliente DHCPv6 stateless :
1. Habilite el enrutamiento IPv6:

2. Configure el router cliente para crear una LLA :

El router cliente necesita tener una dirección link-local. Una dirección link-local IPv6 se
crea en una interfaz de router cuando se configura una dirección de unicast global.
También se puede crear sin un GUA mediante el comando de configuración de ipv6
enable interfaz. Cisco IOS utiliza EUI-64 para crear un ID de interfaz aleatorio

3. Configure el router cliente para usar SLAAC :

El ipv6 address autoconfig comando habilita la configuración automática del
direccionamiento IPv6 mediante SLAAC.
 4. Verifique que el router cliente tenga asignado un GUA :
Utilice el show ipv6 interface brief comando para verificar la configuración del host
como se muestra.

5. Verifique que el enrutador cliente haya recibido otra información DHCPv6 necesaria:
El comando show ipv6 dhcp interface g0/0/1 confirma que R3 también aprendió el
DNS y los nombres de dominio.

Configuracion de Router en modo cliente stateless:

R3(config)#interface g0/0/1
R3(config-if)#ipv6 enable
R3(config-if)#ipv6 address autoconfig
R3(config-if)#no shutdown
Configurar un servidor DHCPv6 stateful

La opción de servidor DHCP stateful requiere que el router habilitado para IPv6 indique al host que
se ponga en contacto con un servidor DHCPv6 para obtener toda la información de
direccionamiento de red IPv6 necesaria.
R1 proporcionará servicios DHCPv6 stateful a todos los hosts de la red local. Configurar un
servidor de DHCPv6 stateful es similar a configurar un servidor stateless. La diferencia más
importante es que un servidor stateful también incluye información de direccionamiento

Hay cinco pasos para configurar y verificar un router como servidor DHCPv6 stateful:
1. Habilite el enrutamiento IPv6. :

2. Definir el nombre del Pool DHCPv6:

3. Configurar el Pool DHCPv6:

R1 se configurará para proporcionar direccionamiento IPv6, dirección del servidor DNS
y nombre de dominio. Con DHCPv6 stateful, todos los parámetros de direccionamiento
y otros parámetros de configuración deben ser asignados por el servidor de DHCPv6.
 El comando address prefix se utiliza para indicar el conjunto de direcciones que debe
asignar el servidor.

4. Enlazar el Pool DHCPv6 a una interface:

El grupo DHCPv6 debe vincularse a la interfaz mediante el comando ipv6 dhcp server
POOL-NAME interface config.
ipv6 nd managed-config-flag.; Cambiamos M Flag de 0 a 1
ipv6 nd prefix default no-autoconfig :Cambiamos el A Flag de 1 a 0
El flag A se puede dejar en 1, pero algunos sistemas operativos cliente como Windows
crearán una GUA usando SLAAC y obtendrán una GUA del servidor DHCPv6 stateful.
Establecer el flag A en 0 indica al cliente que no utilice SLAAC para crear un GUA.
El comando IPv6 dhcp server vincula el Pool de DHCPv6 con la interfaz. R1
responderá ahora con la información contenida en el grupo cuando reciba solicitudes
DHCPv6 stateful en esta interfaz.
no ipv6 nd managed-config-flag ; M Flag vuelve a su valor default 0
no ipv6 nd prefix default no-autoconfig ; A Flag vuelve a su estado default 1

5. Comprobar que los host han recibido información de direccionamiento:

ipconfig /all para comprobar el método de configuración DHCP stateful.
Configurar un cliente DHCPv6 stateful

Un router también puede ser un cliente DHCPv6. El router cliente debe tener ipv6 unicast-routing
habilitado y una dirección link-local IPv6 para enviar y recibir mensajes IPv6.

Hay cinco pasos para configurar y verificar un router como cliente DHCPv6 stateless:
1. Habilite el enrutamiento IPv6.
2. Configure el router cliente para crear una LLA.

3. Configure el router cliente para que use DHCPv6:

1. El comando ipv6 address dhcp configura R3 para solicitar su información de
direccionamiento IPv6 de un servidor DHCPv6.

4. Verifique que el router cliente tenga asignado un GUA.

5. Verifique que el router cliente haya recibido otra información DHCPv6 necesaria.
El comando show ipv6 dhcp interface g0/0/1 confirma que R3 aprendió el DNS y los
nombres de dominio.
Comandos de verificación del server DHCPv6

El comando show ipv6 dhcp pool verifica el nombre del pool de DHCPv6 y sus parámetros. El
comando también identifica el número de clientes activos. El grupo IPV6-STATEFUL tiene
actualmente 2 clientes, lo que refleja PC1 y R3 que reciben su dirección de unidifusión global IPv6
de este servidor.
Cuando un router proporciona servicios DHCPv6 stateful, también mantiene una base de datos de
direcciones IPv6 asignadas.

Con el comando show ipv6 dhcp binding vemos la dirección link-local IPv6 del cliente y la
dirección de unicast global asignada por el servidor.
El resultado muestra el enlace con estado actual en R1. El primer cliente en el resultado es PC1 y el
segundo cliente es R3.
Esta información la mantiene un servidor de DHCPv6 stateful. Un servidor DHCPv6 stateless no
mantendría esta información.
Configuración del agente Relay DHCPv6

Si el servidor de DHCPv6 está ubicado en una red distinta del cliente, el router IPv6 puede
configurarse como agente relay DHCPv6.
R3 se configura como un servidor DHCPv6 stateful. PC1 está en la red 2001:db8:acad:2: :/64 y
requiere los servicios de un servidor DHCPv6 stateful para adquirir su configuración IPv6. R1 debe
configurarse como el Agente de retransmisión DHCPv6.
Este comando especifica la dirección del servidor DHCPv6 y la interfaz de salida para llegar al
servidor, la interfaz de salida sólo es necesaria cuando la dirección del siguiente salto es una LLA.

Verificar el Agente Relay

El comando show ipv6 dhcp interface verificará que la interfaz G0/0/1 esté en modo relay.

El comando show ipv6 dhcp binding se utiliza para comprobar si se ha asignado una configuración
IPv6 a alguno de los hosts.
9. Limitaciones del Gateway Predeterminado

Si falla un router o una interfaz del router (que funciona como gateway predeterminado), los hosts
configurados con ese gateway predeterminado quedan aislados de las redes externas. Se necesita un
mecanismo para proporcionar gateways predeterminados alternativos en las redes conmutadas
donde hay dos o más routers conectados a las mismas VLAN. Este mecanismo es proporcionado
por los protocolos de redundancia de primer salto (FHRP).
Nota: Nota: Para los efectos del análisis de la redundancia de los routers, no hay diferencia
funcional entre un switch capa 3 y un router en la capa de distribución. En la práctica, es común que
un switch capa 3 funcione como gateway predeterminado para cada VLAN en una red conmutada
Si no se puede llegar a esa dirección IPv4 de gateway predeterminado, el dispositivo local no puede
enviar paquetes fuera del segmento de red local.
Los dispositivos IPv6 reciben dinámicamente su dirección de puerta de enlace predeterminada del
anuncio de router ICMPv6.

Redundancia del Router

Una forma de evitar un único punto de falla en el gateway predeterminado es implementar un router
virtual. Como se muestra en la figura, para implementar este tipo de redundancia de router, se
configuran varios routers para que funcionen juntos y así dar la sensación de que hay un único
router a los hosts en la LAN. Al compartir una dirección IP y una dirección MAC, dos o más routers
pueden funcionar como un único router virtual.
La dirección IPv4 del router virtual se configura como la puerta de enlace predeterminada para las
estaciones de trabajo de un segmento específico de IPv4. Cuando se envían tramas desde los
dispositivos host hacia el gateway predeterminado, los hosts utilizan ARP para resolver la dirección
MAC asociada a la dirección IPv4 del gateway predeterminado. La resolución de ARP devuelve la
dirección MAC del router virtual. El router actualmente activo dentro del grupo de routers virtuales
puede procesar físicamente las tramas que se envían a la dirección MAC del router virtual. Los
protocolos se utilizan para identificar dos o más routers como los dispositivos responsables de
procesar tramas que se envían a la dirección MAC o IP de un único router virtual. Los dispositivos
host envían el tráfico a la dirección del router virtual. El router físico que reenvía este tráfico es
transparente para los dispositivos host.
Un protocolo de redundancia proporciona el mecanismo para determinar qué router debe cumplir la
función activa en el reenvío de tráfico. Además, determina cuándo un router de reserva debe asumir
la función de reenvío. La transición entre los routers de reenvío es transparente para los dispositivos
finales.

Pasos para la Conmutación por Falla del Router

1. El router de reserva deja de recibir los mensajes de saludo del router de reenvío.
2. El router de reserva asume la función del router de reenvío.
3. Debido a que el nuevo router de reenvío asume tanto la dirección IPv4 como la dirección
MAC del router virtual, los dispositivos host no perciben ninguna interrupción en el
servicio.
Opciones de FHRP – First Hop Redundancy Protocol

Opciones de
Descripción
FHRP
Propietaria de Cisco, para hosts IPv4. HSRP se utiliza en un grupo
Hot Standby
de routers para seleccionar un dispositivo activo y un dispositivo de
Router Protocol
espera. La función del router de espera HSRP es supervisar el
(HSRP)
estado operativo del grupo HSRP.

Propietaria de Cisco que proporciona la misma funcionalidad de

HSRP, pero en un entorno IPv6. Un grupo IPv6 HSRP tiene un MAC
virtual derivada del número de grupo HSRP y un link-local address
HSRP for IPv6
IPv6 derivada de la dirección MAC virtual HSRP. Se envían anuncios
periodicos (RA) para el link-local address IPv6 virtual HSRP cuando
el grupo HSRP está activo.

Virtual Router No propietario Admite LAN IPv4. Varios routers en un enlace

Redundancy multiacceso utilizan la misma dirección IPv4 virtual.. En una
Protocol version 2 configuración VRRP, se elige un router como el virtual router
(VRRPv2) master, con los otros routers como copias de seguridad.

Admite direcciones IPv4 e IPv6. VRRPv3 Funciona en entornos de

VRRPv3
varios proveedores y es más escalable que VRRPv2.
Gateway Load
Propiedad de Cisco , es como HSRP y VRRP, mientras que también
Balancing Protocol
permite load balancing entre un grupo de routers.
(GLBP)
Esta es una FHRP propietaria de Cisco para un entorno IPv6 en una
LAN. Múltiples routers de primer salto en la LAN se combinan para
GLBP for IPv6
ofrecer un único router IPv6 virtual de primer salto mientras
comparte el reenvío de paquetes IPv6 carga.

ICMP Router Especificado en RFC 1256, IRDP es una solución FHRP heredada.
Discovery Protocol IRDP permite host IPv4 para localizar routers que proporcionan
(IRDP) conectividad IPv4 a otras redes IP (no locales).

HSRP: Descripción general

Cisco proporciona HSRP y HSRP para IPv6 como una forma de evitar la pérdida de acceso externo
a la red si falla el router predeterminado.
HSRP se utiliza en un grupo de routers para seleccionar un dispositivo activo y un dispositivo de
reserva.

Prioridad HSRP
La prioridad HSRP se puede utilizar para determinar el router activo. El router con la prioridad
HSRP más alta será el router activo. De manera predeterminada, la prioridad HSRP es 100. Si las
prioridades son iguales, el router con la dirección IPv4 numéricamente más alta es elegido como
router activo.
Para configurar un router para que sea el router activo, utilice el comando de interfaz standby
priority. El rango de prioridad HSRP es de 0 a 255.

Preferencias HSRP
De forma predeterminada, después de que un router se convierte en el router activo, seguirá siendo
el router activo incluso si otro router está disponible en línea con una prioridad HSRP más alta.
Para forzar un nuevo proceso de elección HSRP mediante el comando standby preempt interface.
Preempt la capacidad de un router HSRP de activar el proceso de la nueva elección. Con este
intento de prioridad activado, un router disponible en línea con una prioridad HSRP más alta asume
el rol de router activo.
El intento de prioridad sólo permite que un router se convierta en router activo si tiene una prioridad
más alta.
Si el intento de prioridad está desactivado, el router que arranque primero será el router activo si no
hay otros routers en línea durante el proceso de elección.

Estados y Temporizadores de HSRP

HSRP
Description
State

Este estado se ingresa a través de un cambio de configuración o cuando una

Initial
interfaz está disponible en primera instancia.

El router no ha determinado la dirección IP virtual y aún no ha visto un

Learn mensaje hello desde el router active. En este estado, el router espera para
escuchar al router activo.

El router conoce la dirección IP virtual, pero no es el router active ni el router

Listen
standby. Escucha los mensajes hello de los routers.

El router envía mensajes hello periódicos y participa activamente en la

Speak
elección del router active y/o standy.

El router es candidato a convertirse en el próximo router active y envía

Standby
mensajes hello periódicos.

Active El Router elegido

El router HSRP active y el de standby envían paquetes hello a la dirección de multicast del grupo
HSRP cada 3 segundos, de forma predeterminada. El router standby se convertirá en active si no
recibe un mensaje hello del router active después de 10 segundos.
No configure el hello timer a menos de 1 segundo o el hold timer a menos de 4 segundos.

10. Ataques de Red Actuales

• Distributed Denial of Service (DDoS) : Negación de Servicio Distribuido(DDoS) , ataque

coordinado desde muchos dispositivos, llamados zombies, con la intención de degradar o
detener acceso publico al sitio web y los recursos de una organización.
• Data Breach : Filtración de Datos , los servidores de datos o los hosts de una organización
han sido comprometidos con el fin de robar información confidencial.
• Malware : Los hosts de una organización son infectados con software malicioso que causa
una serie de problemas. Por ejemplo, ransomware como WannaCry, mostrado en la figura,
encripta los datos en un host y bloquea el acceso hasta que se le pague un rescate.

Dispositivos de Seguridad de Red

Estos dispositivos podrían incluir un router habilitado con una Red Privada Virtual (VPN), un
Firewall de Siguiente Generación (NGFW), y un Dispositivo de Acceso a la Red (NAC).
• VPN-enabled router : Red Privada Virtual (VPN) proporciona una conexión segura para
que usuarios remotos se conecten a la red empresarial a través de una red pública. Los
servicios VPN pueden ser integrados en el firewall.
• NGFW - Next-Generation FireWall : Firewall de Siguiente Generación (NGFW) -
proporciona inspección de paquetes con estado, visibilidad y control de aplicaciones, un
Sistema de Prevención de Intrusos de Próxima Generación (NGIPS), Protección Avanzada
contra Malware (AMP) y filtrado de URL.
• NAC - Network Access Control : Authentication, Authorization Accounting (AAA),
autenticación, autorización y registro. En empresas más grandes, estos servicios podrían
incorporarse en un dispositivo que pueda administrar políticas de acceso en una amplia
variedad de usuarios y tipos de dispositivos. El Cisco Identity Services Engine (ISE) en un
ejemplo de dispositivo NAC.
Protección de terminales

Los dispositivos LAN como los switches, los Controladores de LAN Inalámbricos (WLCs), y otros
puntos de acceso (AP) interconectan puntos terminales.
Los puntos terminales son particularmente susceptibles a ataques relacionados con malware que se
originan a través del correo electrónico o la navegación web. Estos puntos finales suelen utilizar
características de seguridad tradicionales basadas en host, como antivirus/antimalware, firewalls
basados en host y sistemas de prevención de intrusiones (HIPS) basados en host.
actualmente los puntos finales están más protegidos por una combinación de NAC, software AMP
basado en host, un Dispositivo de Seguridad de Correo Electrónico (ESA) y un Dispositivo de
Seguridad Web (WSA). Los productos de Protección Avanzado de Malware (AMP) incluyen
soluciones de dispositivos finales como Cisco AMP.

Cisco Email Security Appliance

Dispositivo de Seguridad de Correo Electrónico Cisco (ESA)

Los dispositivos de seguridad de contenido incluyen un control detallado sobre el correo electrónico
y la navegación web para los usuarios de una organización.
Los ataques de suplantación de identidad son una forma de correo electrónico no deseado
particularmente virulento. Recuerde que un ataque de phishing lleva al usuario a hacer clic en un
enlace o abrir un archivo adjunto.
Spear phishing (phising dirigido)selecciona como objetivo a empleados o ejecutivos de alto perfil
que pueden tener credenciales de inicio de sesión elevadas. Esto es particularmente crucial en el
ambiente actual, donde, de acuerdo al instituto SANS, 95% de todos los ataques en redes
empresariales son del resultado de un spear phishing exitoso.
El dispositivo Cisco ESA está diseñado para monitorear el Protocolo Simple de Transferencia de
Correo (Simple Mail Transfer Protocol – SMTP). Cisco ESA se actualiza en tiempo real alimentado
por Talos de Cisco, quien detecta y correlaciona las amenazas con un sistema de monitoreo que
utiliza una base de datos mundial. Cisco ESA extrae estos datos de inteligencia de amenazas cada
tres o cinco minutos. Estas son algunas funciones de Cisco ESA:
• Bloquear las amenazas

• Remediar contra el malware invisible que evade la detección inicial

• Descartar correos con enlaces maliciosos

• Bloquear el acceso a sitios recién infectados

• Encriptar el contenido de los correos salientes para prevenir perdida de datos.

Dispositivo de Seguridad de la Red de Cisco (WSA)

Cisco Web Security Appliance (WSA) es una tecnología de mitigación para amenazas basadas en la
web.
Cisco WSA combina protección avanzada contra malware, visibilidad y control de aplicaciones,
controles de políticas de uso aceptable e informes.
Ciertas funciones y aplicaciones, como chat, mensajería, video y audio, pueden permitirse,
restringirse con límites de tiempo y ancho de banda, o bloquearse, de acuerdo con los requisitos de
la organización. La WSA puede realizar listas negras de URL, filtrado de URL, escaneo de
malware, categorización de URL, filtrado de aplicaciones web y cifrado y descifrado del tráfico
web.

Control de Acceso

Autenticación con password local

El método más simple y más débil de autenticación para acceso remoto consiste en configurar un
inicio de sesión, combinando nombre de usuario y contraseña. Este método no es fiable y la
contraseña es enviada en texto plano. Cualquier persona con la contraseña puede acceder al
dispositivo
SSH es un tipo de acceso remoto más seguro:
• Requiere un nombre de usuario y una contraseña, que se encriptan durante la transmisión.

• El nombre de usuario y la contraseña pueden ser autenticados por el método de base de

datos local.
• Proporciona más responsabilidad porque el nombre de usuario queda registrado cuando un
usuario inicia sesión.
El siguiente ejemplo ilustra el SSH y métodos de acceso remoto a una base de datos local:

El método de base de datos local tiene algunas limitaciones:

• Las cuenta de usuario deben ser configuradas localmente en cada dispositivo. En una gran
empresa con múltiples routers y switches que controlar, puede tomar mucho tiempo
implementar y cambiar bases de datos locales en cada dispositivo.
• Además, la configuración de la base de datos local no proporciona ningún método de
autenticación de respaldo. Por ejemplo, ¿qué sucede si el administrador olvida el nombre de
usuario y la contraseña para ese dispositivo? Sin un método de respaldo disponible para la
autenticación, la restauración se convierte en la única opción.

Componentes AAA - Authentication, Authorization Accounting

El concepto de AAA es similar al uso de una tarjeta de crédito, como se muestra en la imagen La
tarjeta de crédito identifica quién la usa y cuánto puede gastar puede el usuario de esta, y mantiene
un registro de cuántos elementos o servicios adquirió el usuario.

Autenticación

Dos métodos de implementación de autenticación AAA son Local y basado en servidor.

Autenticación AAA local

Los AAA locales guardan los nombres de usuario y contraseñas localmente en un dispositivo de red
como el router de Cisco. Los usuarios se autentican contra la base de datos local, como se muestra
en la figura. AAA local es ideal para las redes pequeñas.
Autenticación AAA basada en el servidor
Con el método basado en servidor, el router accede a un servidor central de AAA. El servidor AAA
contiene los nombres de usuario y contraseñas de todos los usuarios. El router AAA usa el protocolo
(Terminal Access Controller Access Control System - TACACS+) o el protocolo (Remote
Authentication Dial-In User Service - RADIUS) para comunicarse con el servidor de AAA.
Cuando hay múltiples enrutadores y switches, el método basado en el servidor es más apropiado.
Autorización

La autorización es automática y no requiere que los usuarios tomen medidas adicionales después de
la autenticación. La autorización controla lo que el usuario puede hacer o no en la red después de
una autenticación satisfactoria:
La autorización utiliza un conjunto de atributos que describe el acceso del usuario a la red. Estos
atributos son usados por el servidor AAA para determinar privilegios y restricciones para ese
usuario.

Accounting \ Registro

El registro de AAA recopila y reporta datos de uso. La organización puede utilizar estos datos para
fines como auditorías o facturación. Los datos recopilados pueden incluir la hora de inicio y
finalización de la conexión, los comandos ejecutados, la cantidad de paquetes y el número de bytes.
802.1x

El estándar IEEE 802.1X define un control de acceso y un protocolo de autenticación basados en

puertos. Este protocolo evita que las estaciones de trabajo no autorizadas se conecten a una LAN a
través de puertos de switch de acceso público. El servidor de autenticación autentica cada estación
de trabajo, que está conectada a un puerto del switch, antes de habilitar cualquier servicio ofrecido
por el switch o la LAN.

• Client (Supplicant) : Este es un dispositivo ejecutando software de cliente 802.1X, el cual

esta disponible para dispositivos conectados por cable o inalámbricos.
• Switch (Authenticator) : El switch actúa como intermediario (proxy) entre el cliente y el
servidor de autenticación. Solicita la identificación de la información del cliente, verifica
dicha información al servidor de autenticación y transmite una respuesta al cliente. Otro
dispositivo que puede actuar como autenticador es un punto de acceso inalámbrico.
• Authentication server : El servidor valida la identidad del cliente y notifica al switch o al
punto de acceso inalámbrico si el cliente esta o no autorizado para acceder a la LAN y a los
servicios del Switch.

Capa 2 Vulnerabilidades

Los administradores de red regularmente implementan soluciones de seguridad para proteger los
componentes en la Capa 3 y hasta la Capa 7. Ellos usan VPNs, firewalls, y dispositivos IPS para
proteger estos elementos. Si la Capa 2 se ve comprometida, todas las capas superiores también se
ven afectadas.
Categorías de Ataques a Switches

Hoy, con BYOD y ataques más sofisticados, nuestras LAN se han vuelto más vulnerables a la
penetración. Además de proteger de la Capa 3 a la Capa 7, los profesionales de seguridad de red
también deben mitigar los ataques a la infraestructura LAN de la Capa 2.

Layer 2 Attacks
Categoría Ejemplos
MAC Table Attacks Includes MAC address flooding (saturación) attacks.

Incluye ataques VLAN Hopping y VLAN Double-Tagging Esto

VLAN Attacks tambien incluye ataques entre dispositivos en una misma
VLAN.

Incluye ataques starvation (agotamiento) y spoofing

DHCP Attacks
(suplantación) DHCP.

Incluye ARP spoofing (suplantación) y poisoning

ARP Attacks
(envenenamiento) de ARP.

Address Spoofing
Incluye spoofing (suplantacion) de direcciones MAC e IP.
Attacks

Incluye ataques de manipulación al Protocolo de Árbol de

STP Attacks
Extensión (STP)
Switch Attack Mitigation Techniques
Layer 2 Attack Mitigation

Solución Descripción

Previene ataques MAC address flooding (saturación) Ataque por

Port Security
agotamiento (starvation) del DHCP

Previene ataques spoofing (suplantación) de identidad y de

DHCP Snooping
starvation (agotamiento) de DHCP

Dynamic ARP Previene ARP spoofing (suplantación) y los ARP poisoning

Inspection (DAI) (envenenamiento ARP) .

IP Source Guard Impide los ataques spoofing (suplantación) de direcciones MAC

(IPSG) e IP.

Protocolos de Administración de dispositivos:

INSEGUROS SEGUROS
Syslog SSH
SNMP, Simple Network Management Protocol SCP, Secure Copy Protocol
TFTP, Trivial File Transfer Protocol SFTP, Secure FTP
Telnet SSL/TLS, Secure Socket Layer/Transport
Layer Security
FTP, File Transfer Protocol

La mayoría de otros protocolos comunes son inseguros, por lo tanto, se recomiendan las siguientes
estrategias:
• Utilice siempre variantes seguras de protocolos de administración

• Considere usar una red de administración out-of-band para administrar dispositivos

• Usar una VLAN de administración dedicada que solo aloje el tráfico de administración.

• Use ACL para filtrar el acceso no deseado.

Ataque de tablas de direcciones MAC

Para tomar decisiones de reenvío, un Switch LAN de Capa 2 crea una tabla basada en las
direcciones MAC de origen que se encuentran en las tramas recibidas. Como se muestra en la
figura, esto es llamado un tabla de direcciones MAC. Tabla de direcciones MAC se guarda en la
memoria y son usadas para reenviar tramas de forma eficiente.

Saturación de Tablas de Direcciones MAC

Los ataques de saturación de direcciones MAC aprovechan que el tamaño de la tabla es fijo para
bombardear el switch con direcciones MAC de origen falsas hasta que la tabla de direcciones MAC
del switch esté llena.
Cuando esto ocurre, el switch trata la trama como un unicast unknown y comienza a inundar todo el
tráfico entrante por todos los puertos en la misma VLAN sin hacer referencia a la tabla MAC. Esta
condición ahora permite que un atacante capture todas las tramas enviadas desde un host a otro en
la LAN local o VLAN local.
Si el atacante detiene la ejecución de macof o si es descubierto y detenido, el switch eventualmente
elimina las entradas mas viejas de direcciones MAC de la tabla y empieza a funcionar nuevamente
como un switch.

Mitigación de Ataques a la Tabla de Direcciones MAC.

Lo que hace que herramientas como macof sean peligrosas es que un atacante puede crear un
ataque de saturación de tabla MAC muy rápidamente. Por ejemplo, un switch Catalyst 6500 puede
almacenar 132,000 direcciones MAC en su tabla de direcciones MAC. Una herramienta como
macof puede saturar un switch con hasta 8,000 tramas falsas por segundo; creando un ataque de
saturación de la tabla de direcciones MAC en cuestión de segundos. Este ejemplo muestra la salida
del comando macof en un host Linux.

Otra razón por la que estas herramientas de ataque son peligrosas, es porque no solo afectan el
switch local sino que también afectan switches conectados de Capa 2.
Parta mitigar los ataques Table-Overflow, los administradores deben implementar la medida Port-
Security. Port-Security sólo permite un número determinado de direcciones MAC de origen en el
puerto donde se aplica.

Ataque de VLAN Hopping

El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar primero
un router.En un ataque de VLAN Hopping básico, el atacante configura un host para que actúe
como un switch para aprovechar la función trunk automático habilitada de forma predeterminada en
la mayoría de puertos del switches.
Un atacante configura un host suplantando las señales 802.1Q y DTP (Dynamic Trunking Protocol)
para conectar por trunk con el switch. Si es exitoso, el switch establece un enlace troncal con el
host. Ahora el atacante puede acceder todas las VLANS en el switch. El atacante puede enviar y
recibir tráfico en cualquier VLAN, saltando efectivamente entre las VLAN.
Un atacante esta conectado a un switch que esta conectado a otro switch por medio de un troncal
802.1Q. El segundo switch tiene una conexión con el servidor 1 en la VLAN 10 y una conexión al
servidor 2 en la VLAN 20. El atacante estableció un enlace troncal 802.1Q, no autorizado, al switch
para ganar acceso a la VLAN del servidor.
Ataque de VLAN Double-Tagging

Un atacante, en situaciones específicas, podrían insertar una etiqueta 802.1Q oculta dentro de la
trama que ya tiene una etiqueta 802.1Q. Esta etiqueta permite que la trama se envíe a una VLAN
que la etiqueta 802.1Q externa no especificó.
Paso 1
El atacante envía una trama 802.1Q con doble etiqueta (double tag) al switch. El encabezado
externo tiene la etiqueta VLAN del atacante, que es la misma que la VLAN nativa del puerto de
enlace troncal. Para fines de este ejemplo, supongamos que es la VLAN 10. La etiqueta interna es la
VLAN víctima; en este caso, la VLAN 20.
Paso 2
La trama llega al primer switch, que mira la primera etiqueta 802.1Q de 4 bytes. El switch ve que la
trama esta destinada para la VLAN 10, la cual es una VLAN nativa. El switch reenvía el paquete a
todos los puertos de VLAN 10, después de quitar la etiqueta de VLAN 10. La trama no es re-
etiquetada porque es parte de la VLAN nativa. En este punto, la etiqueta de VLAN 20 todavía está
intacta y no ha sido inspeccionada por el primer switch.
Paso 3
La trama llega al segundo switch, que no tiene conocimiento de que debía ser para la VLAN 10. El
switch emisor no etiqueta el tráfico de la VLAN nativa, como se especifica en la especificación
802.1Q. El segundo switch observa solo la etiqueta interna 802.1Q, que el atacante insertó, y ve que
la trama está destinada a la VLAN 20 (la VLAN víctima). El segundo switch envía el paquete al
puerto víctima o lo satura, dependiendo de si existe una entrada en la tabla de MAC para el host
víctima.

Un ataque de VLAN Double-tagging es unicast, funciona unidireccional, y cuando el atacante está

conectado a un puerto que reside en la misma VLAN que la VLAN nativa del puerto troncal. La
idea es que el doble etiquetado permite al atacante enviar datos a hosts o servidores en una VLAN
que de otro modo se bloquearía por algún tipo de configuración de control de acceso.
Presumiblemente, también se permitirá el tráfico de retorno, lo que le dará al atacante la capacidad
de comunicarse con los dispositivos en la VLAN normalmente bloqueada.

Mitigación de Ataques a VLAN

Los ataques de VLAN hopping y VLAN Double-Tagging se pueden evitar mediante la
implementación de las siguientes pautas de seguridad troncal:
• Deshabilitar truking en todos los puertos de acceso.

• Deshabilitar auto-truking en enlaces troncales para poder habilitarlos de manera manual.

• Asegúrese de que la VLAN nativa sólo se usa para los enlaces troncales.
Mensajes DHCP

Secuencia típica de un intercambio de mensajes DHCP entre el cliente y el servidor:

Ataques de DHCP
Los dos tipos de ataques DHCP son starvation (agotamiento) y spoofing (suplantación de
identidad). Ambos ataques pueden ser mitigados implementando DHCP snooping.
DHCP Starvation Attack
El objetivo de un ataque de agotamiento DHCP es crear un DoS para la conexión de clientes. Los
ataques de agotamiento de DHCP requieren una herramienta de ataque, como Gobbler.
Gobbler tiene la capacidad de ver todo el alcance de las direcciones IP alquilables e intenta
alquilarlas todas. Específicamente, este crea un mensaje DHCP DISCOVER con una dirección
MAC falsa.

DHCP Spoofing Attack

Un ataque de suplantación DHCP se produce cuando un servidor DHCP, no autorizado, se conecta a
la red y brinda parámetros de configuración IP falsos a los clientes legítimos. Un servidor no
autorizado puede proporcionar una variedad de información engañosa:
 • Gateway incorrecto: El atacante proporciona una puerta de enlace no válida o la dirección
IP de su host para crear un ataque de MITM. Esto puede pasar totalmente inadvertido, ya
que el intruso intercepta el flujo de datos por la red.
• Servidor DNS incorrecto : El atacante proporciona una dirección del servidor DNS
incorrecta que dirige al usuario a un sitio web malicioso.
• Dirección IP incorrecta : El servidor no autorizado proporciona una dirección IP no válida
que crea efectivamente un ataque DoS en el cliente DHCP.

El atacante se conecta a un servidor DHCP dudoso.

Supongamos que un atacante conecta con éxito un servidor DHCP no autorizado a un puerto de
switch en la misma subred que los clientes. El objetivo del servidor no autorizado es proporcionar a
los clientes información de configuración de IP falsa.
El cliente transmite mensajes DHCP DISCOVER, tipo broadcast
Un cliente legítimo se conecta a la red y requiere parámetros de configuración de IP. Por lo tanto, el
cliente emite un DHCP DISCOVER, tipo broadcast, en búsqueda de una respuesta de un servidor
DHCP. Ambos servidores recibirán el mensaje y responden.

Respuesta DHCP legítima y no autorizada

El servidor DHCP legitimo responde con parámetros de configuración de IP validos. Sin embargo,
el servidor no autorizado también responde con una oferta DHCP, la cual contiene parámetros de
configuración IP definidos por el atacante. El cliente responderá a la primera oferta recibida (puede
ser cualquiera de los dos, el legitimo o el no autorizado).

El cliente acepta la oferta del servidor DHCP no autorizado

La oferta maliciosa fue recibida primero, y por lo tanto, el cliente hace envía un DHCP REQUEST,
tipo broadcast, aceptando los parámetros IP definidos por el atacante. El servidor legítimo y el
dudoso recibirán la solicitud.
Solamente el servidor no autorizado emite una respuesta individual al cliente para acusar recibo de
su solicitud. El servidor legítimo dejará de comunicarse con el cliente.

Ataques ARP

La solicitud de ARP a otros hosts del segmento para determinar la dirección MAC de un host con
una dirección IP específica. Esto es típicamente hecho para descubrir la dirección MAC de un
Gateway. Todos los hosts de la subred reciben y procesan la solicitud de ARP. El host con la
dirección IP que coincide con la de la solicitud de ARP envía una respuesta de ARP.
Según ARP RFC, cualquier cliente puede enviar una respuesta de ARP no solicitada llamada
“gratuitous ARP ” Cuando un host envía un gratuitous ARP , otros hosts en la subred almacenan en
sus tablas de ARP la dirección MAC y la dirección IP que contiene dicho ARP.
El problema es que un atacante puede enviar un mensaje ARP gratuitous al switch y el switch
podría actualizar su tabla MAC de acuerdo a esto. Por lo tanto, cualquier host puede reclamar ser el
dueño de cualquier combinación de dirección IP Y MAC que ellos elijan.
Hay muchas herramientas disponibles en Internet para crear ataques de MITM de ARP, como dsniff,
Cain & Abel, ettercap y Yersinia. IPv6 utiliza el protocolo de descubrimiento de vecinos ICMPv6
para la resolución de direcciones de Capa 2.
ARP Spoofing (suplantación de identidad) y ARP poisoning (envenenamiento) son mitigados
implementando DAI.

Ataque de Suplantación de Dirección

El ataque de Spoofing (suplantación de identidad) se da cuando un atacante secuestra una dirección

IP valida de otro dispositivo en la subred o usa una dirección IP al azar. La suplantación de
direcciones IP es difícil de mitigar, especialmente cuando se usa dentro de una subred a la que
pertenece la IP.
Los atacantes cambian la dirección MAC de su host para que coincida con la dirección MAC
conocida de un otro host objetivo. Luego, el host atacante envía una trama a través de la red con la
dirección MAC recién configurada. Cuando el switch recibe la trama, examina la dirección MAC de
origen. El switch sobrescribe la entrada actual en la tabla MAC y asigna la dirección MAC al nuevo
puerto.
Cuando el host de destino envía tráfico, el switch corregirá el error, re-alineando la dirección MAC
al puerto original. Para evitar que el switch corrija la asignación del puerto a su estado correcto, el
atacante puede crear un programa o script que constantemente enviará tramas al switch, para que el
switch mantenga la información incorrecta o falsificada. No hay un mecanismo de seguridad en la
Capa 2 que permita a un switch verificar la fuente de las direcciones MAC, lo que lo hace tan
vulnerable a la suplantación de identidad.
IP & MAC Address Spoofing puede ser mitigada implementado IPSG (IP Source Guard).

Ataque de STP

Los atacantes de red pueden manipular Spanning Tree Protocol (STP) para realizar un ataque
falsificando el root bridge y cambiando la topología de una red. Los atacantes hacen que su host
parezca ser un root bridge; por lo tanto capturan todo el trafico para el dominio del Switch
inmediato.
Para realizar un ataque de manipulación de STP, el host atacante transmite Bridge Protocol Data
Unit STP (BPDU), que contienen cambios de configuración y topología que forzarán los re-cálculos
de SPT. Las BPDU enviadas por el host atacante anuncian una prioridad de puente (bridge) inferior,
en un intento de ser elegidas como root bridge.

Reconocimiento CDP

Cisco Discovery Protocol (CDP) es un protocolo de detección de enlaces de Capa 2. Está habilitado
en todos los dispositivos de Cisco de manera predeterminada. CDP puede detectar automáticamente
otros dispositivos con CDP habilitado y ayudar a configurar automáticamente la conexión. Los
administradores de red también usan CDP para configurar dispositivos de red y solucionar
problemas.
La información de CDP se envía por los puertos con CDP habilitado en transmisiones periódicas sin
encriptar. La información de CDP incluye la dirección IP del dispositivo, la versión de software
de IOS, la plataforma, las funcionalidades y la VLAN nativa. El dispositivo que recibe el
mensaje de CDP actualiza la base de datos de CDP.
CDP puede usarse para verificar la conectividad de Capa 1 y 2. Si un administrador no puede hacer
ping a una interfaz con conexión directa, pero aún recibe información de CDP, es probable que el
problema esté en la configuración de Capa 3.
Un atacante puede usar la información proporcionada por CDP para detectar vulnerabilidades en la
infraestructura de red.
Wireshark con captura cdp packet:

Las transmisiones de CDP se envían sin encriptación ni autenticación.

Para mitigar la explotación de CDP, se debe limitar el uso de CDP en los dispositivos o puertos. Por
ejemplo, se debe deshabilitar CDP en los puertos de extremo que se conectan a dispositivos no
confiables.
Para deshabilitar CDP globalmente en un dispositivo, use el comando del modo de configuración
global no cdp run Para habilitar CDP globalmente, use el comando de configuración global cdp
run.
Para deshabilitar CDP en un puerto, use el comando de configuración de interfaz no cdp enable
Para habilitar CDP en un puerto, use el comando de configuración de interfaz cdp enable.
El Protocolo de detección de capa de enlace (Link Layer Discovery Protocol - LLDP) también es
vulnerable a los ataques de reconocimiento. Configure no lldp run para deshabilitar LLDP
globalmente. Para deshabilitar LLDP en la interfaz, configure no lldp transmit y no lldp receive.
11. Implementación de Seguridad de Puertos

Asegurar los puertos sin utilizar

Los dispositivos de Capa 2 se consideran el eslabón mas débil en la infraestructura de seguridad de
una compañía. Los ataques de Capa 2 son de los mas sencillos de desplegar para los hackers.
Un método simple es inhabilitar todos los puertos sin uso.

Mitigación de ataques por saturación de tabla de direcciones MAC

El método más simple y eficaz para evitar ataques MAC Overflow es habilitar Port Security.
Port Security limita la cantidad de direcciones MAC válidas permitidas en el puerto. Permite a un
administrador configurar manualmente las direcciones MAC para un puerto o permitir que el switch
aprenda dinámica mente un número limitado de direcciones MAC. La dirección MAC de origen se
comprueba en todas las tramas recibidas, si corresponde con las configuradas con Port Security o si
está dentro del número límite de MAC aprendidas dinámica mente.
Al limitar a uno la cantidad de direcciones MAC permitidas en un puerto, la seguridad de puertos se
puede usar para controlar la expansión no autorizada de la red.

Habilitar la seguridad del puerto.

Port security solo se puede configurar en puertos de acceso o trunks configurados manualmente.
Los puertos capa 2 del switch están definidos como dynamic auto (trunk on), de manera
predeterminada, hay que reconfigurarlos para poder aplicar Port-Security.

Use el comando show port-security interface para mostrar la configuración de seguridad del
puerto. Note que Port-Security : enable, violation-mode: shutdown, y Maximum MAC Address: 1. Si
un dispositivo esta conectado al puerto, el switch automáticamente agregara la dirección MAC de
este dispositivo como una dirección MAC segura, y cambiara Port-Status: Secure-up.
Si un puerto activo está configurado con el comando switchport port-security y hay más de un
dispositivo conectado a ese puerto, el puerto pasará al estado de error desactivado.

Limitar y Aprender MAC Addresses

Para limitar el número de direcciones MAC permitidas en un puerto.

El valor predeterminado de port-security es 1. El número máximo de direcciones MAC que se

pueden configurar depende del Switch y del IOS. En este ejemplo es 8192.

El switch se puede configurar para aprender direcciones MAC en un puerto seguro de tres maneras:
1. Configurado Manualmente; El administrador configura manualmente una(s) dirección
MAC estática usando el siguiente comando para cada dirección MAC en el puerto:

2. Aprendido automáticamente; Cuando se ingresa el comando switchport port-security, la

MAC actual del dispositivo conectado al puerto se asegura automáticamente pero no se
agrega a la configuración de inicio. Si el switch es reiniciado, el puerto tendrá que re-
aprender la direccion MAC del dispositivo.
3. Aprendido automáticamente – Sticky
El administrador puede configurar el switch para que aprenda dinamicamente la MAC del
dispositivo conectado y la agregue a la running-config.
Al guardar la running-config la MAC aprendida se guardará en la NVRAM.
EL siguiente ejemplo muestra una configuración completa de port security en la interfaz
FastEthernet 0/1. El administrador especifica un máximo de 2 direcciones MAC, configura
manualmente una dirección MAC segura y luego configura el puerto para aprender dinámicamente
direcciones MAC seguras adicionales hasta el máximo de 2 direcciones MAC seguras.
Use los comandos show port-security interface y show port-security address para verificar la
configuración.

La salida muestra:
• Port-Security : Enable, verifica que port security está activo

• Secure-up : Hay un dispositivo conectado

• Maximum MAC Addresses : Un máximo de 2 MAC serán permitidas

• Configured MAC Addresses : Se ha configurado una MAC de forma estática

 • Sticky MAC Addresses : Una MAC se ha aprendido de forma dinámica mediante sticky

Port Security Aging

Vencimiento de la seguridad del puerto

EL vencimiento de la seguridad del puerto puede usarse para poner el tiempo de vencimiento de las
direcciones seguras estáticas y dinámicas en un puerto. Hay dos tipos:
1. Absolute : Las direcciones seguras se eliminan después del tiempo de caducidad
especificado.
2. Inactivity : Las direcciones seguras se eliminan sólo si están inactivas durante el tiempo de
caducidad especificado.
Utilice el vencimiento para remover las direcciones MAC seguras en un puerto seguro sin necesidad
de eliminar manualmente las direcciones MAC existentes. Los tiempos limite de vencimiento
pueden ser incrementados para asegurarse que las direcciones MAC pasadas se queden, aun cuando
se agregan nuevas direcciones MAC. El vencimiento de direcciones seguras configuradas
estáticamente puede ser habilitado o des-habilitado por puerto.
Use el comando switchport port-security aging para habilitar o deshabilitar el vencimiento
estático para el puerto seguro, o para establecer el tiempo o el tipo de vencimiento.

Parámetro Descripción

Habilite el vencimiento para las direcciones seguras estaticamente

static
configuradas en este puerto.

Especifique el tiempo de vencimiento de este puerto. El rango es de 0

time time a 1440 minutos. Sin embargo, si el tiempo es 0, el vencimiento está
deshabilitado en este puerto.

Todas las direcciones seguras en este puerto se vencen exactamente

type absolute después del tiempo (in minutes) especificado y son removidas de la
lista de direcciones seguras.

Las direcciones seguras en este puerto se vencen solo si no hay

type inactivity trafico desde la dirección segura de origen por un periodo de tiempo
especificado.
El ejemplo muestra a un administrador configurando el tipo de vencimiento a 10 minutos de
inactividad y utilizando el comando show port-security interface para verificar la configuración.

Seguridad de puertos: modos de violación de seguridad

Si la dirección MAC de un dispositivo conectado al puerto difiere de la lista de direcciones seguras,

entonces ocurre una violación de puerto. El puerto entra en el estado de error-disabled de manera
predeterminada.
Para poner el modo de violación de seguridad de puerto, use el siguiente comando:

La tabla siguiente muestra como reacciona el switch basado en la configuración de modo de

violación.

Security Violation Mode Descriptions

Mode Descripción

El puerto transiciona al estado de error-disabled inmediatamente, apaga

shutdown el LED del puerto, y envía un mensaje syslog. Incrementa el contador de
violaciones. Cuando un puerto seguro esta en estado error-disabled un
(default) administrador debe re-habilitarlo ingresando los comandos shutdown y
no shutdown .

El puerto descarta los paquetes con direcciones MAC de origen

desconocidas hasta remover un numero suficiente de direcciones MAC
restrict seguras para llegar debajo del máximo valor o incremente el máximo
valor Este modo causa que el contador de violación de seguridad
incremente y genere un mensaje syslog.
 Este es el menos seguro de los modos de violación de seguridad. El
puerto descarta paquetes con direcciones de origen MAC desconocidas
protect hasta que elimine una cantidad suficiente de direcciones MAC seguras
para caer por debajo del valor máximo o aumentar el valor máximo. No
se envía ningún mensaje de syslog.

Security Violation Mode Comparison

Incrementa el
Violation Discards Envía mensaje Desactiva el
contador de
Mode Offending Traffic de syslog puerto
violaciones
Protect Sí No No No
Restrict Sí Sí Sí No
Shutdown Sí Sí Sí Sí

El siguiente ejemplo muestra un administrador cambiando la violación de seguridad a ''restrict''.

Puertos en Estado error-disabled

Cuando un puerto esta apagado y puesto en modo error-disable, no se envía ni se recibe tráfico a
través de ese puerto. En la consola, se muestra una serie de mensajes relacionados con la seguridad
del puerto.
Show interface muestra el estado de la interface como err-disabled. La salida de show port-
security interface ahora muestra el estado del puerto como secure-shutdown. El contador de
violación incrementa en uno.

El administrador debe determinar que causo la violación de seguridad, si un dispositivo no

autorizado está conectado a un puerto seguro,la amenazas de seguridad es eliminada antes de
restablecer el puerto.
Para volver a habilitar el puerto, primero use el shutdown comando, luego use el no shutdown
comando para que el puerto sea operativo.
Verificar la seguridad del puerto

Show port-security muestra la configuración de seguridad de puerto del Switch. En el ejemplo se

muestra que sólo en la interface fa0/1 está aplicado el comando switchport port-security.

show port-security interface para ver los detalles de una interfaz específica:
Verificar las direcciones MAC aprendidas

Para verificar que las direcciones MAC “sticky” estén en la runnning-config:

Verificar las Direcciones MAC Seguras

show port-security address para mostrar todas las direcciones MAC seguras que se configuran
manualmente o se aprenden dinámicamente en todas las interfaces.

Revisión de ataques a VLAN

Un ataque VLAN-Hopping puede ser lanzado de 3 maneras:

1. La suplantación de mensajes DTP del host atacante hace que el switch entre en modo de
enlace troncal. Desde aquí, el atacante puede enviar tráfico etiquetado con la VLAN de
destino.
2. Introduciendo un switch dudoso y habilitando enlaces troncales. El atacante puede acceder
todas las VLANs del switch victima desde el switch dudoso.
3. VLAN Hopping, ataque double-tagging o doble encapsulado. Este ataque toma ventaja de la
forma en la que opera el hardware en la mayoría de los switches.
Steps to

Step 1 : Deshabilitar negociaciones DTP en puertos no trunk mediante switchport mode access
Step 2 : Deshabilitar puertos sin uso y asignarlos a una vlan sin utilizar.
Step 3 : Habilitar enlaces trunk mediante switchport mode trunk
Step 4 : Deshabilitar negociaciones DTP en puertos trunk mediante switchport nonegotiate
Step 5 : Establecer una nativa diferente a la VLAN 1 en los puertos trunk mediante switchport
trunk native vlan VLAN ID

Mitigación de ataques de DHCP

El objetivo de starvation attack (ataque de agotamiento) es causar un. DoS a los clientes. Para estos
ataques se requiere una herramienta como Gobbler. Este tipo de artaques se mitigta utilzando port-
security ya que Gobbler utiliza la misma MAC de origen en cada solicitud. Sin embargo, Gobbler
podría configurarse para utilizar la MAC real de la interfaz legitima y utilizar una MAC diferente en
el payload de DHCP. Port-security no sería efectivo porque la MAC es legítima.

DHCP Snooping

Determina si los mensajes de DHCP vienen de una fuente configurada administrativamente como
confiable o no confiable. Filtra los mensajes DHCP, establece limites de velocidad a los mensajes
de fuentes no confiables.
Dispositivos que estén bajo su control administrativo como Switches, enrutadores y servidores, son
trusted sources (fuentes confiables). Cualquier dispositivo más allá del cortafuegos fuera de su red
son fuentes no confiables. Además, todos los puertos de acceso son tratados generalmente como
untrusted source (fuentes no fiables).

las interfaces confiables son enlaces troncales y puertos conectados directamente a un servidor
DHCP legitimo. Estas interfaces deben ser configuradas explícitamente como confiables.
Se crea una tabla DHCP que incluye la dirección MAC de origen de un dispositivo en un puerto no
confiable y la dirección IP asignada por el servidor DHCP a ese dispositivo. La dirección MAC y la
dirección IP están unidas. Por lo tanto, esta tabla se denomina DHCP snooping binding table.

Steps to implement DHCP Snooping

Step 1 : Habilitar DHCP Snooping mediante ip dhcp snooping

Step 2 : Establecer puertos de confianza mediante ip dhcp snooping trust
Step 3 : Limitar la cantidad de mensajes DHCPDISCOVER que puede recibir por segundos en
puertos no confiables mediante ip dhcp snooping limit rate [número].
Step 4 : Habilitar DHCP Snooping por VLAN o por rango de VLAN mediante ip dhcp snooping
vlan [VLAN ID, VLAN ID].
Ip dhcp snooping → habilita Snooping
ip dhcp snooping trust → establece a la interfaz que conecta con el servidor DHCP como
confiable
ip dhcp snooping limit rate→ Establece interfaces como no confiables y establece un limite de
transferencia de seis paquetes DHCPDISCOVER por segundo.
Ip dhcp snooping vlan 5,10,50-52 habilita snooping en VLANS 5, 10 y de 50 hasta 52.

El comando show ip dhcp snooping EXEC privilegiado para verificar la inspección DHCP show
ip dhcp snooping bin ding y para ver los clientes que han recibido información DHCP.
Mitigate ARP Attacks

Dynamic ARP Inspection

Un atacante puede enviar a otros host en la subred ARP request con su dirección MAC y la IP del
Gateway. Para prevenir ARP Spoofing (suplantación) y el poisoning (envenenamiento) resultante,
un Switch debe garantizar que sólo se transmitan las ARP request y replies validas.
Dynamic ARP Inspection (DAI) requiere de DHCP snooping y ayuda a prevenir ataques ARP:
• No retransmitiendo invalidas o gratuitous ARP Request a otros puertos en la misma VLAN.

• Interceptando todas las ARP Request y Replies en puertos no confiables

• Verificando cada paquete interceptado con una IP - MAC válido.

• Descarte y registro de respuestas ARP no válidas para evitar poisoning (envenenamiento).

• Error-Disabling deshabilita la interfaz si se excede del número DAI configurado en cada

paquete ARP.
Pautas de implementación DAI

Para mitigar las probabilidades de ARP spoofing Y ARP poisoning

• Enable DHCP snooping globally.

• Enable DHCP snooping on selected VLANs.

• Enable DAI on selected VLANs.

• Configure trusted interfaces for DHCP snooping and ARP inspection.

Generalmente, es aconsejable configurar todos los puertos de switch de acceso como no confiables
y configurar todos los puertos de enlace ascendente que están conectados a otros switches como
confiables.

S1 está conectado a dos usuarios en la VLAN 10. DAI será configurado para mitigar ataques ARP
spoofing and ARP poisonig.
DHCP snooping está habilitado porque DAI requiere que funcione DHCP snooping binding table.
DAI se puede configurar para revisar si hay direcciones MAC e IP de destino o de origen:
• Destination MAC : Comprueba la dirección MAC de destino en el encabezado de Ethernet
con la dirección MAC de destino en el cuerpo ARP.
• Source MAC : Comprueba la dirección MAC de origen en el encabezado de Ethernet con la
dirección MAC del remitente en el cuerpo ARP.
• IP address : comprueba el cuerpo ARP en busca de direcciones IP no válidas e inesperadas,
incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las direcciones IP multicast .

El ip arp inspection validate {[src-mac] [dst-mac] [ip]} se utiliza para configurar DAI, para
descartar paquetes ARP cuando las direcciones IP no son válidas. Se puede usar cuando las
direcciones MAC en el cuerpo de los paquetes ARP no coinciden con las direcciones que se
especifican en el encabezado Ethernet . Al ingresar varios comandos ip arp inspection validate se
sobrescribe el comando anterior. Para incluir mas de un método de validación, ingreselos en la
misma línea de comando como se muestra y verifica en la siguiente salida.

Mitigate STP Attacks

PortFast and BPDU Guard

Recuerde que los atacantes de red pueden manipular el Protocolo de árbol de expansión (STP) para
realizar un ataque falsificando el puente raíz y cambiando la topología de una red. Para mitigar los
ataques de manipulación del Protocolo de árbol de expansión (STP), use PortFast y la Unidad de
datos de protocolo de puente (BPDU) Guard.
 • PortFast : Una interfaz configurada como acceso o trunk pasa del estado block a forwarding
sin pasar por los estados listening ni learning. Aplicar a todos los puertos de acceso de
usuario final. PortFast solo debe configurarse en interfaces conectadas a dispositivos finales.
• BPDU Guard : deshabilita inmediatamente un puerto que recibe una BPDU. Al igual que
PortFast, BPDU Guard solo debe configurarse en interfaces conectadas a dispositivos
finales.

PortFast omite los estados de listening y learning de STP para minimizar el tiempo que los puertos
de acceso deben esperar a que STP converja. Si habilita PortFast en un puerto que se conecta a otro
switch, corre el riesgo de crear un bucle de árbol de expansión.
• if#spanning-tree portfast : Habilita porfast en la interfaz que se aplica.

• (config)#spanning-tree portfast default : Habilita porfast en todas las interfaces.

• show running-config | begin span : Verifica si porfast está habilitado globalmente

• show running-config interface type / number : Verifica si está habilitado por interfaz

• show running-config interface type / number detail: Verifica por interfaz con más detalle.
Configure BPDU Guard

Si se recibe una BPDU en un puerto de acceso habilitado para BPDU Guard, el puerto se pone en
estado error-diasble. Esto significa que el puerto se cierra y debe volver a habilitarse manualmente
o recuperarse automáticamente mediante el comando global errdisable recovery cause
bpduguard.
• spanning-tree bpduguard enable : Configura BPDU Guard a nivel de interfaz

• spanning-tree portfast bpduguard default : Habilita BPDU Guard en todas las interfaces
donde esté habilitado porfast.
• show spanning-tree summary : Muestra el estado en modo default de protección porfast y
bpduguard.
Active BPDU Guard en todos los puertos habilitados para PortFast.
12. Tipos de redes inalámbricas
Las LAN inalámbricas (WLAN) se basan en los estándares IEEE y se pueden clasificar en cuatro
tipos principales: WPAN, WLAN, WMAN y WWAN.
• Wireless Personal-Area Networks (WPAN) :Utiliza transmisores de baja potencia para
una red de corto alcance, generalmente de 20 a 30 pies (6 a 9 metros). Los dispositivos
basados en Bluetooth y ZigBee se usan comúnmente en WPANs. Los WPAN se basan en el
estándar 802.15 y una frecuencia de radio de 2.4 GHz.
• Wireless LANs (WLAN) : Utiliza transmisores para cubrir una red de tamaño mediano,
generalmente de hasta 300 pies. Las redes WLANs son adecuadas para uso en casas,
oficinas, e inclusive campus. Las WLAN se basan en el estándar 802.11 y una frecuencia de
radio de 2,4 GHz o 5 GHz.
 • Wireless MANs (WMAN : Utiliza transmisores para proporcionar servicio inalámbrico en
un área geográfica más grande. Las redes WMANs son adecuadas para proveer acceso
inalámbrico a ciudades metropolitanas o distritos específicos. Las WMANs utilizan
frecuencias específicas con licencia.
• Wireless Wide-Area Networks (WWANs) : Utiliza transmisores para proporcionar
cobertura en un área geográfica extensa. Las redes WWANs son adecuadas para
comunicaciones nacionales y globales. Las WMANs utilizan frecuencias específicas con
licencia.

Bluetooth
Es un estándar IEEE 802.15 WPAN que utiliza un proceso de emparejamiento de dispositivos para
comunicarse a distancias de hasta 300 pies (100m) Se puede encontrar en dispositivos domésticos
inteligentes, conexiones de audio, automóviles y otros dispositivos que requieren una conexión de
corta distancia. Hay dos tipos de radios Bluetooth;
• Bluetooth Low Energy (BLE) : Admite múltiples tecnologías de red, incluida la topología
de malla
• Bluetooth Basic Rate/Enhanced Rate (BR/EDR) : Admite tecnologías point-to-point y
está optimizada para la transmisión de audio.

WiMAX (Worldwide Interoperability for Microwave Access)

es una alternativas a Internet de banda ancha por cable. Sin embargo es típicamente usado en áreas
que no están conectadas a un cable DSL o a un proveedor de cable. Es un estándar IEEE 802.16
WWAN que proporciona acceso inalámbrico de banda ancha de alta velocidad de hasta 30 millas
(50 km).

Cellular Broadband
son redes móviles inalámbricas utilizadas principalmente por teléfonos celulares, pero pueden
usarse en automóviles, tabletas y computadoras portátiles. Las redes celulares son redes de acceso
múltiple que llevan comunicaciones de datos y de voz. Los dos tipos de redes celulares son Global
System for Mobile (GSM) y Code Division Multiple Access (CDMA). GSM es reconocido
internacionalmente, mientras que CDMA se usa principalmente en los Estados Unidos.

Satellite Broadband
Proporciona acceso de red a sitios remotos mediante el uso de una antena parabólica direccional que
está alineada con un satélite de órbita terrestre geoestacionaria específica. Usualmente este es más
caro y requiere una línea de visión clara. Este es usado típicamente por dueños de casas y negocios
donde el cable y DSL no están disponibles.

Estándares de Wi-Fi 802.11

La mayoría de los estándares especifican que los dispositivos inalámbricos tienen una antena para
transmitir y recibir señales inalámbricas en la frecuencia de radio especificada (2.4 GHz o 5 GHz).
Algunos de los estándares más nuevos que transmiten y reciben a velocidades más altas requieren
que los puntos de acceso (AP) y los clientes inalámbricos tengan múltiples antenas utilizando la
tecnología de entrada múltiple y salida múltiple (multiple-input and multiple-output - MIMO).
MIMO utiliza múltiples antenas como transmisor y receptor para mejorar el rendimiento de la
comunicación. Se pueden soportar hasta cuatro antenas.

EEE WLAN Radio

Description
Standard Frequency
• Velocidad de hasta 2 Mbps
802.11 2.4 GHz
• Velocidad de hasta 54 Mbps
• Área de cobertura pequeña
• Menos efectiva en penetrar en estructuras de
802.11a 5 GHz
construcción
• No interoperable con 802.11b y 802.11g

• Velocidades de hasta 11 Mbps

• Mayor alcance que 802.11a
802.11b 2.4 GHz
• Mejor penetración en estructuras

• Velocidad de hasta 54 Mbps

• Compatible con versiones anteriores de 802.11b con
802.11g 2.4 GHz
ancho de banda reducido

• Las velocidades de datos varían de 150 Mbps hasta

600 Mbps con un rango de distancia hasta 70 m (230
pies)
2.4 GHz 5
802.11n • Los Ap’s y los clientes requieren múltiples antenas
GHz
usando MIMO
• Es compatible con 802.11a/b/g limitando velocidades

802.11ac 5 GHz • Proporciona velocidades de 450 Mbps hasta 1.3

Gbps (1300 Mbps) usando MIMO.
• Puede soportar hasta 8 antenas
 • Es compatible con dispositivos 802.11a/n limitando
velocidad.

• Lanzado en 2019
• Conocido como Wi-Fi 6 o High-Efficiency Wireless
(HEW)
2.4 GHz 5 • Eficiencia energética mejorada, velocidades de datos
802.11ax
GHz más altas, mayor capacidad y maneja muchos
dispositivos conectados
• Actualmente opera en 2.4 GHz y 5 GHz pero usará 1
GHz y 7 GHz cuando estén disponibles.

Radiofrecuencia

Todos los dispositivos inalámbricos funcionan en el rango del espectro electromagnético. Las redes
WLAN operan en la banda de frecuencia de 2,4 GHz y la banda de 5 GHz. Los dispositivos de
LAN inalámbricos tienen transmisores y receptores sintonizados a frecuencias específicas de ondas
de radio para comunicarse. Específicamente, las siguientes bandas de frecuencia se asignan a LAN
inalámbricas 802.11:
• 2.4 GHz (UHF) - 802.11b/g/n/ax

• 5 GHz (SHF) – 802.11a/n/ac/ax

Organizaciones de estándares inalámbricos

Las tres organizaciones que influyen en los estándares WLAN son :

 • ITU : La Unión Internacional de Telecomunicaciones (UIT) regula la asignación del
espectro de radiofrecuencia y las órbitas de los satélites a través del UIT-R. UIT-R significa
el Sector de Radiocomunicaciones de la UIT.
• IEEE : El IEEE especifica cómo se modula una frecuencia de radio para transportar
información. Mantiene el estándar 802.11 WLAN.
• Wi-Fi Alliance : La Wi-Fi Alliance es una asociación comercial global, sin fines de lucro,
dedicada a promover el crecimiento y la aceptación de las WLAN. Es una asociación de
proveedores cuyo objetivo es mejorar la interoperabilidad de los productos que se basan en
el estándar 802.11.

NIC inalámbrica
Las implementaciones inalámbricas requieren un mínimo de dos dispositivos que tengan un
transmisor de radio y un receptor de radio sintonizados a las mismas frecuencias de radio:
• Dispositivos finales con NIC inalámbricas

• Un dispositivo de red, como un router inalámbrico o un AP inalámbrico

Categorías AP
• Autonomous APs : Estos son dispositivos independientes configurados mediante una
interfaz de línea de comandos o una GUI . Los AP autónomos son útiles en situaciones en
las que solo se requieren un par de APs en la organización. Un router doméstico es un
ejemplo de AP autónomo porque toda la configuración de AP reside en el dispositivo.
• Controller-based APs : Estos dispositivos no necesitan una configuración inicial y
normalmente se les denomina lightweight APs (LAPs) . Los puntos de acceso LAP usan el
Protocolo LightWeight Access Point Protocol (LWAPP) para comunicarse con WLAN
Controller (WLC), Los puntos de acceso basados en controlador son útiles en situaciones en
las que se necesitan varios puntos de acceso en la red. Conforme se agregan puntos de
acceso, cada punto de acceso es configurado y administrado de manera automática por el
WLC. LAG proporciona redundancia y equilibrio de carga. Todos los puertos del switch que
están conectados al WLC deben estar conectados y configurados con EtherChannel
activado. LAG no es compatible con PaGP ni LACP, protocolos de Etherchannel.
WLC tiene cuatro puertos conectados a la infraestructura de switching. Estos cuatro puertos están
configurados como un grupo de agregación de enlaces (Link Aggrgegation Group, LAG)
Antenas inalámbricas

Tipos de antenas:
• Omnidirectional : Brindan una cobertura de 360 grados y son ideales en casas, áreas de
oficinas abiertas, salas de conferencias y áreas exteriores.
• Directionals : Enfocan la señal de radio en una dirección específica. Esto mejora la señal
hacia y desde el AP en la dirección en que apunta la antena. Parabólicas, Yagi,…
• Multiple Input Multiple Output (MIMO) : Utiliza múltiples antenas para aumentar el
ancho de banda disponible para las redes inalámbricas IEEE 802.11n/ac/ax. Se pueden
utilizar hasta ocho antenas de transmisión y recepción para aumentar el rendimiento.

Modos de topología inalámbrica

El estándar 802.11 identifica dos modos principales de topología inalámbrica: modo Ad hoc y modo
Infraestructure. Tetherin también es un modo en ocasiones usado para proveer un acceso
inalámbrico rápido.
• Ad hoc : Es cuando dos dispositivos se conectan de forma inalámbrica de igual a igual
(P2P) sin utilizar AP o routers inalámbricos. Los ejemplos incluyen clientes inalámbricos
que se conectan directamente entre sí mediante Bluetooth o Wi-Fi Direct. El estándar IEEE
 802.11 se refiere a una red ad hoc como un conjunto de servicios básicos independientes
(Independient Basic Service Set, IBSS).
• Infraestructure : Esto ocurre cuando los clientes inalámbricos se interconectan a través de
un router inalámbrico o AP, como en las WLAN. Los AP se conectan a la infraestructura de
red utilizando el sistema de distribución por cable, como Ethernet.
• Tethering : cuando un teléfono inteligente o tableta con acceso a datos móviles está
habilitado para crear un punto de acceso personal. En ocasiones se refiere a esta
característica como “anclaje a red (tethering.)

BSS y ESS

El modo de infraestructura define dos bloques de construcción de topología: un conjunto de

servicios básicos (BSS) y un conjunto de servicios extendidos (ESS).
Conjunto de Servicios Básicos (BSS) - Basic Service Set
Utiliza un AP único para interconectar todos los clientes inalámbricos asociados. El área de
cobertura del BSS, se denomina Área de Servicio Básico (BSA). La dirección MAC de capa 2 del
AP se utiliza para identificar de forma exclusiva cada BSS, que se denomina Identificador de
conjunto de servicios básicos (BSSID). Por lo tanto, el BSSID es el nombre formal del BSS.

Conjunto de servicios
extendidos - Extended Service Set
Cuando un solo BSS proporciona cobertura insuficiente, se pueden unir dos o más BSS a través de
un sistema de distribución común (DS) en un ESS. Un ESS es la unión de dos o más BSS
interconectados por un DS cableado. Cada ESS se identifica por un SSID y cada BSS se identifica
por su BSSID.
Los clientes inalámbricos en una BSA ahora pueden comunicarse con clientes inalámbricos en otra
BSA dentro del mismo ESS. Los clientes móviles inalámbricos pueden moverse de un BSA a otro
(dentro del mismo ESS.
Estructura de la trama 802.11

Recuerde que todas las tramas de capa 2 consisten en un header, payload y sección de secuencia de
verificación de trama (FCS).

Todas las tramas 802.11 inalámbricas contienen los siguientes campos;

• Frame Control : identifica el tipo de trama inalámbrica y contiene subcampos para la
versión del protocolo, el tipo de trama, el tipo de dirección, la administración de energía y la
configuración de seguridad.
• Duration : se usa para indicar el tiempo restante necesario para recibir la siguiente
transmisión de tramas.
Desde un dispositivo inalámbrico:
• Address 1 Receiver Address : Dirección MAC del remitente

• Address 2 Transmitter Address : Dirección MAC del AP

• Address 3 SA/DA/BSSID : Dirección MAC del destino que podría ser un dispositivo
inalámbrico o un dispositivo con cable.

Desde AP:
• Address 1 Receiver Addres : Dirección MAC del remitente

• Address 2 Transmitter Address : Dirección MAC del AP

• Address 3 SA/DA/BSSID : Direccion MAC del destino Wireless

• Sequence Control : Contiene información de secuencia de control y tramas fragmentadas

• Address4 : normalmente vacío, sólo se usa en modo ad-hoc

• Payload : Contiene los datos para la transmisión

• FCS : Se usa para el control de errores de Capa 2.

CSMA/CA

Las WLAN son configuraciones de medios compartidos half-duplex. WLAN utilizan el acceso
múltiple con detección de portadora y prevención de colisiones (CSMA / CA) para determinar cómo
y cuándo enviar datos. Steps:
1. Escucha el canal para ver si está inactivo, es decir, no hay otro tráfico actualmente en el
canal. El canal es también llamado el portador.
2. Envía un mensaje Ready to Send (RTS) al AP para solicitar acceso dedicado a la red.
3. Recibe un mensaje Clear to Send (CTS) del AP que otorga acceso para enviar.
4. Si el cliente inalámbrico no recibe el mensaje CTS este espera una cantidad de tiempo
aleatoria antes de reiniciar el proceso.
5. Después de recibir el CTS, trasmite la información.
6. Todas las transmisiones son reconocidas. Si un cliente no recibe el reconocimiento, asume
que ocurrió una colisión y reinicia el proceso.

Asociación de AP de cliente inalámbrico

Los dispositivos inalámbricos completan el siguiente proceso de tres etapas:

 • Discover a wireless AP

• Authenticate with AP

• Associate with AP

Un cliente inalámbrico y un AP deben acordar parámetros específicos:

• SSID : En organizaciones más grandes que usan múltiples VLAN para segmentar el tráfico,
cada SSID se asigna a una VLAN Según la configuración de la red, varios AP en una red
pueden compartir un SSID.
• Password : El cliente inalámbrico la necesita para autenticarse con el AP.

• Network mode : Esto se refiere a los estándares WLAN 802.11a/b/g/n/ac/ad

• Security mode : Se refiere a WEP, WPA o WP2.

• Channel settings : Se refiere a las bandas de frecuencia que se usan para transmitir datos
inalámbricos

Modo de descubrimiento Activo / Pasivo

En modo pasivo el AP anuncia abiertamente su servicio enviando periódicamente tramas de señal

de difusión que contienen el SSID, los estándares admitidos y la configuración de seguridad

El cliente inalámbrico inicia el proceso al transmitir por difusión una trama de solicitud de sondeo
en varios canales. La solicitud de sondeo incluye el nombre del SSID y los estándares admitidos.
Los AP configurados con el SSID enviarán una respuesta de prueba que incluye el SSID, los
estándares admitidos y la configuración de seguridad.
CAPWAP

CAPWAP es un protocolo estándar IEEE que permite que un WLC administre múltiples AP y
WLANs. CAPWAP también es responsable de la encapsulación y el reenvío del tráfico del cliente
WLAN entre un AP y un WLC.
Basado en LWAPP pero agrega seguridad adicional con Datagram Transport Layer Security
(DLTS). CAPWAP establece túneles en los puertos del Protocolo de datagramas de usuario (UDP).
CAPWAP puede operar sobre IPv4 o IPv6, pero usa IPv4 de manera predeterminada.
IPv4 e IPv6 pueden usar los puertos UDP 5246 y 5247. Sin embargo, los túneles CAPWAP usan
diferentes protocolos IP en el encabezado de la trama. IPv4 usa el protocolo IP 17 e IPv6 usa el
protocolo IP 136.
CAPWAP divide control de acceso al medio (MAC). CAPWAP realiza todas las funciones que un
AP individual y las divide en dos componentes:
• AP MAC Functions

• WLC MAC Functions

AP MAC Functions WLC MAC Functions

Beacons y respuesta de sonda
Reconocimientos de paquetes y
retransmisiones
Secuencia de trama y priorización de
paquetes
Cifrado y descifrado de datos de capa
MAC
Authentication
Asociación y re-asociación de clientes
itinerantes.
Traducción de tramas a otros protocolos
Terminación del tráfico 802.11 en una
interfaz cableada
Encriptación de DTLS

DTLS es un protocolo que proporciona seguridad entre el AP y el WLC. Les permite comunicarse
mediante encriptación y evita escuchas o alteraciones.
DTLS está habilitado de manera predeterminada para asegurar el canal de control CAPWAP pero
está deshabilitado de manera predeterminada para el canal de datos. Todo el tráfico de control y
gestión CAPWAP intercambiado entre un AP y WLC está encriptado y protegido de forma
predeterminada para proporcionar privacidad en el plano de control y evitar ataques de Man-In-the-
Middle (MITM).

AP FlexConnect

FlexConnect es una solución inalámbrica para las implementaciones en sucursales y oficinas

remotas. Le permite configurar y controlar puntos de acceso en una sucursal desde la oficina
corporativa a través de un enlace WAN, sin implementar un controlador en cada oficina.
Hay dos modos de opción para FlexConnect AP:
• Connected mode : El WLC es accesible. En este modo, el AP FlexConnect tiene
conectividad CAPWAP con su WLC y puede enviar tráfico a través del túnel CAPWAP. El
WLC realiza todas las funciones CAPWAP.
• Standalone mode : El WLC es inalcanzable. El AP FlexConnect ha perdido la conectividad
CAPWAP con el WLC. El AP FlexConnect puede asumir algunas de las funciones de WLC,
como cambiar el tráfico de datos del cliente localmente y realizar la autenticación del cliente
localmente.

Canal de frecuencia de saturación

Las frecuencias se asignen como rangos. Los rangos se dividen en rangos más pequeños llamados
canales.
Direct-Sequence Spread Spectrum (DSSS) : Espectro de extensión de la secuencia directa
(DSSS) - Una técnica de modulación diseñada para extender una señal sobre una banda de
frecuencia más grande. Las técnicas de amplio espectro se desarrollaron durante el tiempo de guerra
para que sea más difícil para los enemigos interceptar o bloquear una señal de comunicación. Lo
hace al extender la señal sobre una frecuencia más amplia que efectivamente oculta el pico
discernible de la señal, como se muestra en la figura. Un receptor configurado correctamente puede
revertir la modulación DSSS y reconstruir la señal original. DSSS es Usado por dispositivos
802.11b para evitar interferencias de otros dispositivos que usan la misma frecuencia de 2.4 GHz.
Frequency-Hopping Spread Spectrum (FHSS) : Espectro ensanchado por salto de frecuencia
(FHSS)- Esto se basa en métodos de amplio espectro para comunicarse. Transmite señales de radio
cambiando rápidamente una señal portadora entre muchos canales de frecuencia. El emisor y el
receptor deben estar sincronizados para "saber" a qué canal saltar. Este proceso de salto de canal
permite un uso más eficiente de los canales, disminuyendo la congestión del canal. FHSS fue Usado
por el estándar 802.11 original. Los walkie-talkies y los teléfonos inalámbricos de 900 MHz
también usan FHSS, y Bluetooth usa una variación de FHSS.

Orthogonal Frequency-Division Multiplexing (OFDM) : Multiplexación por división de

frecuencias ortogonales (OFDM) - A subconjunto de multiplexación por división de frecuencia en
el que un solo canal utiliza múltiples subcanales en frecuencias adyacentes. Los subcanales en un
sistema OFDM son precisamente ortogonales entre sí, lo que permite que los subcanales se
superpongan sin interferir. OFDM es utilizado por varios sistemas de comunicación, incluidos
802.11a/g/n/ac. El nuevo 802.11ax utiliza una variación de OFDM llamada acceso múltiple por
división de frecuencia ortogonal (OFDMA).

Selección de canales

Una práctica recomendada para las WLAN que requieren múltiples AP es utilizar canales no
superpuestos. Por ejemplo, los estándares 802.11b/g/n operan en el espectro de 2.4 GHz a 2.5GHz.
La banda 2.4 GHz está subdividida en múltiples canales. Cada canal tiene un ancho de banda de 22
MHz y está separado del siguiente canal por 5 MHz. El estándar 802.11b identifica 11 canales para
América del Norte.
La interferencia ocurre cuando una señal se superpone a un canal reservado para otra señal,
causando una posible distorsión. La mejor práctica para las WLAN de 2.4GHz que requieren
múltiples AP es usar canales no superpuestos, aunque la mayoría de los AP modernos lo harán
automáticamente. Si hay tres AP adyacentes, use los canales 1, 6 y 11.

Para los estándares de 5 GHz 802.11a/n/ac, hay 24 canales. La banda de 5Ghz está dividida en tres
secciones. Cada canal está separado del siguiente canal por 20 MHz La figura muestra la primera
sección de ocho canales para la banda de 5 GHz. Aunque hay una ligera superposición, los canales
no interfieren entre sí. La conexión inalámbrica de 5 GHz puede proporcionar una transmisión de
datos más rápida para clientes inalámbricos en redes inalámbricas muy pobladas debido a la gran
cantidad de canales inalámbricos no superpuestos.
Planifique la implementación de WLAN

Recomendaciones para la ubicación de AP`s:

• Si los AP van a utilizar el cableado existente o si hay ubicaciones donde no se pueden
colocar AP, tenga en cuenta estas ubicaciones en el mapa.
• Tenga en cuenta todas las fuentes potenciales de interferencia que pueden incluir hornos de
microondas, cámaras de video inalámbricas, luces fluorescentes, detectores de movimiento o
cualquier otro dispositivo que use el rango de 2.4 GHz.
• Coloque los AP por encima de las obstrucciones.

• Coloque APs verticalmente cerca del techo en el centro de cada área de cobertura, si es
posible.
• Coloque los AP en ubicaciones donde se espera que estén los usuarios. Por ejemplo, una sala
de conferencias es una mejor locación para un AP que un pasilllo.
• Si se configuró una red IEEE 802.11 para el modo mixto, los clientes inalámbricos pueden
experimentar velocidades más lentas de lo normal para admitir los estándares inalámbricos
más antiguos.
Descripción general de la seguridad inalámbrica

Los ataques pueden ser generados por personas externas, empleados descontentos e incluso
involuntariamente por los empleados. Las redes inalámbricas son específicamente susceptibles a
varias amenazas :
• Interception of data : Los datos inalámbricos deben estar encriptados.

• Wireless intruders : Los usuarios no autorizados que intentan acceder a los recursos de la
red pueden ser disuadidos mediante técnicas de autenticación efectivas.
• Denial of Service (DoS) Attacks : El acceso a los servicios WLAN puede verse
comprometido de forma accidental o maliciosa. Existen varias soluciones dependiendo de la
fuente del ataque DoS.
• Rogue APs : Falso AP, Los AP no autorizados instalados por un usuario bien intencionado o
con fines maliciosos se pueden detectar utilizando un software de administración.

Ataques de DoS

Los ataques DoS inalámbricos pueden ser el resultado de:

Dispositivos configurados inapropiadamente - Los errores de configuración pueden deshabilitar
la WLAN
Un usuario malintencionado que interfiere intencionalmente con la comunicación
inalámbrica. - Su objetivo es deshabilitar la red inalámbrica por completo o hasta el punto en que
ningún dispositivo legítimo pueda acceder al medio.
Interferencia Accidental - La redes WLANs son propensas a interferencia de otros dispositivos
inalámbricos. La banda 2,4GHz es más propensas a interferencias.

Para minimizar el riesgo de un ataque DoS debido a dispositivos mal configurados y ataques
maliciosos, fortalezca todos los dispositivos, mantenga las contraseñas seguras, cree copias de
seguridad y asegúrese de que todos los cambios de configuración se incorporen fuera de horario.

Puntos de acceso no autorizados

Para evitar la instalación de puntos de acceso no autorizados, las organizaciones deben configurar
WLC con políticas de puntos de acceso no autorizados y utilizar software de monitoreo para
monitorear activamente el espectro de radio en busca de puntos de acceso no autorizados.
Ataque man-in-the-middle

El pirata informático se coloca entre dos entidades legítimas para leer o modificar los datos que
pasan entre las dos partes.
Un ataque de "evil twin AP " es un ataque MITM inalámbrico popular en el que un atacante
introduce un AP falso y lo configura con el mismo SSID que un AP legítimo Las ubicaciones que
ofrecen Wi-Fi gratis, como aeropuertos, cafeterías y restaurantes, son lugares particularmente
populares para este tipo de ataque.

802.11 Métodos de autenticación originales

La mejor manera de proteger una red inalámbrica es utilizar sistemas de autenticación y cifrado.
Hay dos tipos de autenticación con el estándar 802.11 original :
• Open system authentication : Cualquier cliente inalámbrico debería poder conectarse
fácilmente y solo debería usarse en situaciones en las que la seguridad no sea una
preocupación.
• Shared key authentication : Proporciona mecanismos, como WEP, WPA, WPA2 y WPA3
para autenticar y cifrar datos entre un cliente inalámbrico y AP. Sin embargo, la contraseña
debe ser pre-compartida entre las dos partes para conectar.

Métodos de autenticación de clave compartida

Actualmente hay cuatro técnicas de autenticación de clave compartida disponibles, como se muestra
en la tabla. Hasta que la disponibilidad de dispositivos WPA3 se vuelva omnipresente, las redes
inalámbricas deben usar el estándar WPA2.

Método de
Descripción
autenticación
La especificación original 802.11 designada para proteger los datos
Privacidad usando el Rivest Cipher 4 (RC4) Método de cifrado con una llave
equivalente al estática. Sin embargo, La llave nunca cambia cuando se
cableado (WEP) intercambian paquetes. Esto lo hace fácil de hackear. WEP ya no se
recomienda y nunca debe usarse.
Un estándar de Wi-Fi Alliance que usa WEP, pero protege los datos
Acceso Wi-Fi con el algoritmo de encriptación Temporal Key Integrity Protocol
protegido (WPA) (TKIP) mucho más fuerte. TKIP cambia la clave de cada paquete, lo
que lo hace mucho más difícil de piratear.
 WPA2 es un estándar de la industria para proteger las redes
inalámbricas. Suele Utilizar el Estándar de cifrado avanzado (AES)
WPA2
para el cifrado. AES es actualmente se considera el protocolo de
cifrado más sólido.
La próxima generación de seguridad Wi-Fi. Todos los dispositivos
habilitados para WPA3 usan los últimos métodos de seguridad, no
permiten protocolos heredados obsoletos y requieren el uso de
WPA3
Tramas de administración protegidas (Protected Management Frames ,
PMF). Sin embargo, los dispositivos con WPA3 no están disponibles
fácilmente.

Los routers domésticos suelen tener dos opciones de autenticación:

Personal : ( PSK). Destinados a redes domésticas o de pequeñas oficinas, los usuarios se autentican
utilizando una clave pre-compartida(PSK). Los clientes inalámbricos se autentican con el enrutador
inalámbrico utilizando una contraseña previamente compartida.
Enterprise : destinado para redes empresariales pero requiere un Remote Authentication Dial-In
User Service (RADIUS) . Aunque requiere una configuración más complicada, proporciona
seguridad adicional. El servidor RADIUS debe autenticar el dispositivo y luego los usuarios deben
autenticarse utilizando el estándar 802.1X, que utiliza el Protocolo de autenticación extensible
(Extensible Authentication Protocol , EAP) para la autenticación.

Los estándares WPA y WPA2 usan los siguientes métodos de cifrado:

Temporal Key Integrity Protocol (TKIP) : TKIP es el método de encriptación utilizado por WPA.
Encripta la carga útil de la Capa 2 usando TKIP y realiza una Verificación de integridad de mensajes
(MIC) en el paquete encriptado para garantizar que el mensaje no haya sido alterado.
Advanced Encryption Standard (AES) : AES es el método de encriptación utilizado por WPA2.
Utiliza Counter Cipher Mode with Block Chaining Message Authentication Code Protocol (CCMP)
que permite a los hosts de destino reconocer si se han alterado los bits encriptados y no encriptados.

Autenticación en la empresa

En redes que tienen requerimientos de seguridad estrictos, una autenticación adicional o inicio de
sesión es requerida para garantizar al cliente acceso inalámbrico. La elección del modo de seguridad
empresarial requiere un servidor RADIUS de Authentication, Authorization, and Accounting
(AAA).
• RADIUS Server IP address : Esta es la dirección accesible del servidor RADIUS.
 • UDP port numbers : Los puertos UDP 1812 para la autenticación RADIUS y 1813 para
RADIUS Accouting, pero también pueden funcionar utilizando los puertos UDP 1645 y
1646.
• Shared key : se utiliza para autenticar el AP con el servidor RADIUS

La autenticación y autorización del usuario se maneja mediante el estándar 802.1X, que

proporciona una autenticación centralizada basada en el servidor de los usuarios finales.
El proceso de inicio de sesión 802.1X utiliza EAP para comunicarse con el servidor AP y RADIUS.
EAP es un marco para autenticar el acceso a la red. Puede proporcionar un mecanismo de
autenticación seguro y negociar una clave privada segura que luego puede usarse para una sesión de
encriptación inalámbrica usando encriptación TKIP o AES.

WPA3

WPA3 incluye cuatro características;

• WPA3-Personal

• WPA3-Enterprise

• Open Networks

• Internet of Things (IoT) Onboarding

WPA3-Personal
Los atacantes pueden escuchar el "handshake" entre un cliente inalámbrico y el AP y utilizar un
ataque de fuerza bruta para intentar adivinar el PSK. WPA3-Personal frustra este ataque utilizando
la Autenticación Simultánea (Simultaneous Authentication of Equals , SAE), una característica
especificada en el IEEE 802.11-2016. El PSK nunca es expuesto.

WPA3-empresa
Utiliza la autenticación 802.1X / EAP. Sin embargo, requiere el uso de una suite criptográfica de
192 bits y elimina la combinación de protocolos de seguridad para los estándares 802.11 anteriores.
WPA3-Enterprise se adhiere a la Suite de Algoritmo de Seguridad Nacional Comercial
(Commercial National Security Algorithm , CNSA) que se usa comúnmente en redes Wi-Fi de alta
seguridad.
Open Networks
Las redes abiertas en WPA2 envían tráfico de usuarios en texto claro no autenticado. En WPA3, las
redes Wi-Fi abiertas o públicas aún no utilizan ninguna autenticación. Sin embargo, utiliza el
cifrado inalámbrico oportunista (Opportunistic Wireless Encryption , OWE) para cifrar todo el
tráfico inalámbrico.

IoT Onboarding
Son dispositivos sin interfaz gráfica, headless. El Protocolo de aprovisionamiento de dispositivos
(Device Provisioning Protocol , DPP) se diseñó para abordar esta necesidad. Cada dispositivo sin
cabeza tiene una clave pública codificada. La clave suele estar estampada en el exterior del
dispositivo o en su embalaje como un código de Respuesta rápida (Quick Response , QR). El
administrador de red puede escanear el código QR y rápidamente a bordo del dispositivo. Aunque
no es estrictamente parte del estándar WPA3, DPP reemplazará a WPS con el tiempo.

13. WLC

Topología WLC

Iniciar sesión en el WLC

La página de Network Summary es un panel que provee una visión rápida del número de redes
inalámbricas configuradas, los puntos de acceso asociados y los clientes activos. También se puede
ver la cantidad de puntos de acceso dudosos y los clientes .
Configurar una WLAN
Los controladores de red LAN inalámbricos tienen puertos e interfaces. Los puertos son los
conectores para las conexiones físicas a la red cableada. Se ven como puertos de switch Las
interfaces son virtuales. Se crean a nivel de software y son muy similares a las VLAN interfaces. De
hecho, cada interfaz que lleva trafico desde una WLAN se configura en el WLC como una VLAN
diferente. El Cisco WLC 3504 soporta hasta 150 puntos de acceso y 4096 VLANs; sin embargo,
sólo tiene cinco puertos físicos, como se muestra en la figura. Esto significa que cada puerto físico
puede soportar varios puntos de acceso y WLANs. Los puertos en el WLC son básicamente puertos
troncales que pueden llevar trafico de múltiples VLANs hacia un switch para distribuirlo a
múltiples puntos de acceso. Cada punto de acceso puede soportar varias WLANs.

La configuración WLAN en el WLC incluye los siguientes pasos:

1. Crear la WLAN.
2. Aplicar y activar la WLAN
3. Seleccionar una interfaz
4. Asegurar la WLAN
5. Verificar que la WLAN este funcionando
6. Monitorear la WLAN
7. Ver la información del cliente inalámbrico
SNMP y RADIUS

PC-A esta ejecutando un software de servidor Simple Network Management Protocol (SNMP) y
Remote Authentication Dial-In User Service (RADIUS). SNMP se utiliza para monitorear la red El
administrador de la red desea que el WLC reenvíe mensajes de registro de SNMP, llamados traps, al
servidor SNMP.
Además, para la autenticación con el WLAN, el administrador de la red desea usar el servidor
RADIUS para los servicios de Authenticación, Authorization y Accouting (AAA). En vez de
ingresar una pre-shared key para autenticarse, como se hace con WPA2-PSK, los usuarios ingresan
sus propio usuario y contraseña. Los credenciales serán verificados en el servidor RADIUS y
podrán ser modificadas o agregadas desde una ubicación central. El servidor RADIUS es requerido
cuando las redes WLAN están usando autenticación WPA2 Enterprise.

Configurar Información del Servidor SNMP

Agregue el nombre del SNMP Community y la dirección IP (IPv4 o IPv6) del servidor SNMP. Haga
clic en Apply. Ahora el WLC enviará los mensajes de registro de SNMP al servidor SNMP.

Configure los servidores RADIUS.

Para configurar el WLC con la información del servidor RADIUS, haga clic en SECURITY tab >
RADIUS > Authentication. No existen servidores RADIUS configurados Haga clic en Nuevo...
para agregar la PC-A como el servidor RADIUS.
Agregue la direccion IPv4 para PC-A y el secreto compartido. Esta es la contraseña que se usa entre
el WLC y el servidor RADIUS. No es para los usuarios Haga clic en Apply, como se muestra en la
figura.

Después de hacer clic en Apply, la lista de RADIUS Authentication Servers configurados se

refresca con el nuevos servidor listado, como se muestra en la figura.
Enfoques para la Solución de Problemas

Para resolver problemas de red de cualquier tipo, se debe seguir un proceso sistemático. Una
metodología de solución de problemas común y eficaz se basa en el método científico, y se puede
dividir en los seis pasos importantes.

Paso Título Descripción

El primer paso del proceso de solución de problemas
Identificación del consiste en identificar el problema. Aunque se pueden
1
problema usar herramientas en este paso, una conversación con el
usuario suele ser muy útil.
Después de hablar con el usuario e identificar el
Establecer una teoría problema, puede probar y establecer una teoría de causas
2
de causas probables probables. Este paso generalmente muestra más causas
probables del problema.
Según las causas probables, pruebe sus teorías para
determinar cuál es la causa del problema. Un técnico
Poner a prueba la regularmente hará un procedimiento rápido para probar y
3 teoría para ver si resuelve el problema Si este procedimiento no
determinar la causa corrija el problema, puede que necesite hacer una
búsqueda del problema para establecer la raíz del
problema.
Establecer un plan de
acción para
Una vez que haya determinado la causa raíz del
solucionar el
4 problema, establezca un plan de acción para solucionar el
problema e
problema e implementar la solución.
implementar la
solución Solución
Verifique la
Una vez que haya corregido el problema, verifique la
funcionalidad total del
5 funcionalidad total y, si corresponde, implementación de
sistema e implemente
medidas preventivas
medidas preventivas
 El último paso del proceso de solución de problemas
Registrar hallazgos,
6 consiste en registrar los hallazgos, acciones y resultados.
acciones y resultados
Esto es muy importante para una futura. referencia.

14. Conceptos de Enrutamiento

La mejor ruta es la que tiene la coincidencia más larga.

En IPv6 el prefijo de la tabla de ruta indica los bits que deben coincidir como mínimo. En un /64
deben coincidir 64, en /40 deben coincidir 40,…
Una tabla de enrutamiento consta de prefijos y sus longitudes de prefijo.

Redes desde la perspectiva de R1

Redes conectadas directamente
Las redes conectadas directamente son redes que están configuradas en las interfaces activas de un
router. Una red conectada directamente se agrega a la tabla de enrutamiento cuando una interfaz se
configura con una dirección IP y una máscara de subred (longitud de prefijo) y está activa.

Redes remotas
Las redes remotas son redes que no están conectadas directamente al router. Un router descubre
redes remotas de dos maneras, dinámicas y estáticas.

Ruta predeterminada
La ruta predeterminada indica el siguiente salto y se utiliza cuando no existe coincidencia alguna en
la tabla de enrutamiento con la dirección IP de destino. La ruta predeterminada puede configurarse
manualmente como ruta estática o puede introducirla el protocolo de routing.
Una ruta predeterminada sobre IPv4 tiene una entrada de ruta de 0.0.0.0/0 y una ruta
predeterminada sobre IPv6 tiene una entrada de ruta de: :/0. La longitud del prefijo /0 indica que
cero bits o ningún bit deben coincidir con la dirección IP de destino.

Decisión de reenvío de paquetes

1. La trama de enlace de datos con un paquete IP encapsulado llega a la interfaz de entrada

2. El router examina la dirección IP de destino en el encabezado del paquete y consulta su tabla
de enrutamiento IP.
3. El router encuentra el prefijo coincidente más largo en la tabla de enrutamiento.
4. El router encapsula el paquete en una nueva trama de enlace de datos y lo reenvía por la
interfaz de salida.
5. Si no hay coincidencia, se descarta.

Reenvía el paquete a un dispositivo en una red conectada directamente :

Para encapsular el paquete en la trama Ethernet, el router necesita determinar la dirección MAC de
destino asociada a la dirección IP de destino del paquete. El proceso varía según si el paquete es un
paquete IPv4 o IPv6:
• Paquete IPv4 :El router revisa su tabla ARP, si no hay coincidencia envía un ARP Request.
El dispositivo de destino responde con un ARP Reply con su MAC. El router ahora puede
reenviar el paquete IPv4 en una trama Ethernet.
• Paquete IPv6 : El router comprueba su caché vecino para la dirección IPv6 de destino y su
MAC asociada. Si no hay coincidencia envía un ICMP v6 Neighbor Solicitation (NS). El
 dispositivo destino devuelve un ICMP Neighbor Advertisement (NA). El router puede
reenviar ahora el paquete.

Reenvía el paquete a un router de salto siguiente :

El paquete debe ser reenviado a otro enrutador, específicamente a un router de siguiente salto. La
dirección de salto siguiente se indica en la entrada de ruta.
Si el router de reenvío y el router de siguiente salto se encuentran en una red Ethernet, se producirá
un proceso similar (ARP e ICMPv6 Neighbor Discovery) para determinar la dirección MAC de
destino. La diferencia es que el router buscará la dirección IP del router de salto siguiente en su
tabla ARP o caché de vecino, en lug
ar de la dirección IP de destino del paquete.

Descarta el paquete - No coincide en la tabla de enrutamiento

Si no hay ninguna coincidencia entre la dirección IP de destino y un prefijo en la tabla de
enrutamiento, y si no hay una ruta predeterminada, se descartará el paquete.

Reenvío de paquetes

Una responsabilidad principal de la función de switching es la de encapsular los paquetes en trama

de enlace de datos correcto. El formato de trama de capa 2 para el protocolo point-to-point (PPP) o
el protocolo capa 2 Level Data Link Control (HDLC), son algunos.

Mecanismos de reenvío de paquetes

Los routers admiten tres mecanismos de reenvío de paquetes:

• Process switching

• Fast switching

• Cisco Express Forwarding (CEF)

Process Switching
Cuando un paquete llega a una interfaz, se reenvía al plano de control, donde la CPU hace coincidir
la dirección de destino con una entrada de la tabla de routing y, a continuación, determina la interfaz
de salida y reenvía el paquete. Es importante comprender que el router hace esto con cada paquete,
incluso si el destino es el mismo para un flujo de paquetes. Este mecanismo de switching de
procesos es muy lento y rara vez se implementa en las redes modernas.
Conmutación rápida(Fast Switching)
Fue el sucesor de la conmutación de procesos. Fast switching usa una memoria caché de switching
rápido para almacenar la información de siguiente salto. Cuando un paquete llega a una interfaz, se
reenvía al control-plane donde la CPU busca una coincidencia en la fast-switching cache. Si no
encuentra ninguna, se aplica process-switched al paquete, y este se reenvía a la interfaz de salida.
La información de flujo del paquete también se almacena en la caché de switching rápido. Si otro
paquete con el mismo destino llega a una interfaz, se vuelve a utilizar la información de siguiente
salto de la caché sin intervención de la CPU.

Cisco Express Forwarding (CEF)

Es el mecanismo de reenvío de paquetes más reciente y predeterminado del IOS de Cisco.
Al igual que Fast switching, CEF arma una base de información de reenvío (FIB) y una tabla de
adyacencia. Sin embargo, las entradas de la tabla no se activan por los paquetes como en el Fast
switching, sino que se activan por los cambios . Cuando se converge una red, la FIB y las tablas de
adyacencia contienen toda la información que el router debe tener en cuenta al reenviar un paquete.
Cisco Express Forwarding es el mecanismo de reenvío más rápido .

Una analogía frecuente que se usa para describir los tres mecanismos de reenvío de paquetes es la
siguiente:
• El switching de procesos resuelve un problema realizando todos los cálculos matemáticos,
incluso si los problemas son idénticos.
• El switching rápido resuelve un problema realizando todos los cálculos matemáticos una vez
y recuerda la respuesta para los problemas posteriores idénticos.
• CEF soluciona todos los problemas posibles antes de tiempo en una hoja de cálculo.

IP Routing Table

En las tablas de enrutamiento los orígenes de cada ruta se identifican mediante un código. El código
identifica la forma en que se descubrió la ruta:
• L : Identifica la dirección asignada a la interfaz de un router. Esto permite que el router
determine de forma eficaz si recibe un paquete para la interfaz o para reenviar.
• C : Identifica una red conectada directamente.

• S : Identifica una ruta estática creada para llegar a una red específica.

• O :Identifica una red que se descubre de forma dinámica de otro router con el protocolo de
routing OSPF.
 • * : la ruta es candidata para una ruta predeterminada.

Existen tres principios de tabla de enrutamiento :

Principios de la tabla de
Ejemplo
enrutamiento

Cada router toma su decisión • R1 sólo puede reenviar paquetes utilizando su

por sí solo, basándose en la propia tabla de enrutamiento.
información que tiene en su • R1 no sabe qué rutas están en las tablas de
propia tabla de enrutamiento. enrutamiento de otros (por ejemplo, R2).
La información de una tabla de
enrutamiento de un enrutador Solo porque R1 tiene ruta en su tabla de enrutamiento a
no necesariamente coincide una red en el internet a través de R2, eso no significa
con la tabla de enrutamiento de que R2 conozca la misma red.
otro enrutador.
R1 recibe un paquete con la dirección IP de destino de
La información de enrutamiento
PC1 y la la dirección IP de origen de PC3. Solo porque
sobre una ruta no proporciona
R1 sabe reenviar el paquete fuera de su interfaz G0/0/0,
enrutamiento de retorno al
no significa necesariamente que sepa cómo reenviar
secundario.
paquetes procedentes de PC1 a la red remota de PC3.
Una red conectada directamente se indica mediante un código de estado de C en la tabla de
enrutamiento. La ruta contiene un prefijo de red y una longitud de prefijo.
La tabla de enrutamiento también contiene una ruta local para cada una de sus redes conectadas
directamente, indicada por el código de estado de L. Esta es la dirección IP que se asigna a la
interfaz en esa red conectada directamente.
El propósito de la ruta local es permitir que el router determine de forma eficaz si recibe un paquete
para la interfaz o para reenviar.

Rutas estáticas

La principal desventaja es que las rutas estáticas no se actualizan automáticamente y se deben

reconfigurar de forma manual si se modifica la topología de la red.
Los beneficios de utilizar rutas estáticas incluyen la mejora de la seguridad y la eficacia de los
recursos. Las rutas estáticas consumen menos ancho de banda que los protocolos de routing
dinámico, y no se usa ningún ciclo de CPU para calcular y comunicar las rutas.
Tiene tres usos principales :
• Facilita el mantenimiento de la tabla de routing en redes más pequeñas

• Utiliza una única ruta predeterminada para representar una ruta hacia cualquier red que no
tenga una coincidencia más específica con otra ruta en la tabla de routing.
• Enruta trafico de y hacia redes stub.

La figura muestra un ejemplo de red superpuesta. En dicha ilustración, observe que cualquier red
conectada al R1 solo tiene una manera de alcanzar otros destinos, ya sean redes conectadas al R2 o
destinos más allá del R2. Esto significa que las redes 10.0.1.0/24 y 10.0.2.0/24 son redes stub y R1
es un router stub.
En este ejemplo, se puede configurar una ruta estática en R2 para llegar a las redes R1. Además,
como el R1 tiene solo una forma de enviar tráfico no local, se puede configurar una ruta estática
predeterminada en el R1 para señalar al R2 como el siguiente salto para todas las otras redes.
Las entradas de enrutamiento utilizan el código de estado de S indicar que la ruta fue aprendida por
una ruta estática, ambas entradas también incluyen la dirección IP del router siguiente salto. El
parametros static al final muestra sólo estáticas:
Protocolos de routing dinámico

Los routers usan protocolos de enrutamiento dinámico para compartir información sobre el estado y
la posibilidad de conexión de redes remotas. Realizan detección de redes y mantenimiento de tablas
de routing.
Las ventajas importantes de los protocolos de enrutamiento dinámico son la capacidad de
seleccionar una mejor ruta y la capacidad de descubrir automáticamente una nueva mejor ruta
cuando se produce un cambio en la topología.
El código de estado de O para indicar que la ruta fue aprendida por el protocolo de enrutamiento
OSPF. Ambas entradas también incluyen la dirección IP del router de salto siguiente .
Los protocolos de enrutamiento IPv6 utilizan la link-local address del router de siguiente salto.

Ruta predeterminada – Default Router

La ruta predeterminada especifica un enrutador de salto siguiente que se utilizará cuando la tabla de
enrutamiento no contiene una ruta específica que coincida con la dirección IP de destino.
Una ruta predeterminada puede ser una ruta estática o aprenderse automáticamente de un protocolo
de enrutamiento dinámico. Una ruta predeterminada tiene una entrada de ruta IPv4 de 0.0.0.0/0 o
una entrada de ruta IPv6 de: :/0. Esto significa que cero o ningún bit deben coincidir entre la
dirección IP de destino y la ruta predeterminada.

Estructura de una tabla de enrutamiento

IPv4
Una entrada con sangría se conoce como ruta secundaria (child route ) e identifica redes conectadas
directamente con /32. La dirección de red con clase de esta subred se mostrará encima de la entrada
de ruta, con menos sangría y sin código fuente. Esto se conoce como “ruta principal” .
IPv6
Cada entrada de ruta IPv6 está formateada y alineada de la misma manera.

Distancia administrativa

Excepto por circunstancias muy específicas, sólo se debe implementar un protocolo de

enrutamiento dinámico en un router. Es posible tener más de uno y ambos protocolos descubrir a
una misma red por rutas diferentes según las métricas.
El IOS de Cisco utiliza lo que se conoce como “distancia administrativa” (AD) para determinar la
ruta que se debe instalar en la tabla de routing. La AD representa la "confiabilidad" de la ruta.
Cuanto menor es la AD, mayor es la confiabilidad de la ruta.
EIGRP tiene un AD de 90 y OSPF tiene un AD de 110, la entrada de ruta EIGRP se instalaría en la
tabla de enrutamiento. El AD de una ruta estática es de “1”.
El router elige la ruta con la AD más baja entre dos rutas diferentes al mismo destino. Cuando un
router puede elegir entre una ruta estática y una ruta de OSPF, la ruta estática tiene prioridad.

Distancia
Origen de la ruta
administrativa
Directly connected 0
Static route 1
EIGRP summary route 5
External BGP 20
Internal EIGRP 90
OSPF 110
IS-IS 115
RIP 120
External EIGRP 170
Internal BGP 200

Rutas Estáticas
Las rutas estáticas se utilizan comúnmente en los siguientes escenarios:
• Como default route direccionado a un ISP

• Para rutas fuera del dominio de enrutamiento y no aprendidas por el protocolo de

enrutamiento dinámico.
• Cuando el administrador de red desea definir explícitamente la ruta de acceso para una red
específica
• Para el enrutamiento entre redes stub

Protocolos de enrutamiento dinámico

Los protocolos de enrutamiento dinámico son escalables y determinan automáticamente las mejores
rutas si se produce un cambio en la topología. Se utilizan comúnmente en los siguientes escenarios:
• En redes que consisten en más de unos pocos routers

• Cuando un cambio en la topología de red requiere que la red determine otra ruta

• Escalabilidad con el aumento de redes

 Característica Routing dinámico Routing estático
Complejidad de la Aumenta con el tamaño
Independiente del tamaño de la red
configuración de la red
Cambios de Se adapta automáticamente a los Se requiere intervención
topología cambios de topología del administrador
Adecuado para topologías
Escalabilidad Adecuado para topologías complejas
simples
Seguridad La seguridad debe estar configurada La seguridad es inherente
Usa CPU, memoria, ancho de banda No se necesitan recursos
Uso de recursos
de enlaces adicionales
Predictibilidad de La ruta depende de la topología y el Definido explícitamente
Ruta protocolo de enrutamiento utilizados por el administrador

Los protocolos IGP administrado por una sola organización. Los EGP (BGP)administrado por
varias organizaciones, conocidos como AS. Estos ultimos los utilizan los ISP.

Protocolos de
Protocolos de gateway interior
gateway exterior
Distance Vector Link-State Path Vector
OSPF Sistema intermedio a sistema
IPv4 RIPv2 EIGRP BGP-4
v2 intermedio (IS-IS)
EIGRP
OSPF
IPv6 RIPng para IS-IS para IPv6 BGP-MP
v3
IPv6

Conceptos de Protocolos de routing dinámico

Un protocolo de routing es un conjunto de procesos, algoritmos y mensajes que se usan para

intercambiar información de routing y completar la tabla de routing con la elección de los mejores
caminos que realiza el protocolo. El objetivo de los protocolos de routing dinámico incluye lo
siguiente:
• Detectar redes remotas

• Mantener la información de routing actualizada

• Elección de la mejor ruta hacia las redes de destino

• Poder encontrar un mejor camino nuevo si la ruta actual deja de estar disponible
Los componentes principales de los protocolos de routing dinámico incluyen los siguientes:
• Estructuras de datos : los protocolos de routing utilizan tablas o bases de datos para sus
operaciones. Esta información se guarda en la RAM.
• Mensajes del protocolo de routing : los protocolos de routing usan varios tipos de
mensajes para descubrir routers vecinos, intercambiar información de routing y realizar otras
tareas para descubrir la red y conservar información precisa acerca de ella.
• Algoritmo : Un algoritmo es una lista finita de pasos que se usan para llevar a cabo una
tarea. Los protocolos de routing usan algoritmos para facilitar información de routing y para
determinar el mejor camino.

Estos protocolos permiten a los routers compartir información en forma dinámica sobre redes
remotas y ofrecer esta información automáticamente en sus propias tablas de routing.

Mejor Ruta

Cuando existen varias rutas hacia la misma red, cada ruta utiliza una interfaz de salida diferente en
el router para llegar a esa red. El mejor camino es elegido por un protocolo de enrutamiento en
función de la métrica. Una métrica es un valor cuantitativo que se utiliza para medir la distancia que
existe hasta una red determinada. El mejor camino a una red es la ruta con la métrica más baja.
Protocolos de enrutamiento comunes y sus métricas:

Protocolo de enrutamiento Métrica

(RIP, Routing Information
Protocol)
Open Shortest Path First (OSPF)
Enhanced Interior Gateway
Routing Protocol (EIGRP)
• La métrica es «recuento de saltos».
• Cada router a lo largo de una ruta agrega
un salto al recuento de saltos.
• Se permite un máximo de 15 saltos.
• La métrica es «costo», que está Basado en
el ancho de banda acumulado de origen a
destino
• A los enlaces más rápidos se les asignan
costos más bajos en comparación con los
más lentos (mayor costo).
• Calcula una métrica basada en el
bandiwidth (ancho de banda) más lento y el
delay (retardo) anormal.
• También podría incluir load(carga) y
(reliability) fiabilidad en la métrica cálculo.
Balance de carga – Load Balancing

Cuando un router tiene dos o más rutas hacia un destino con métrica del mismo costo, el router
reenvía los paquetes usando ambas rutas por igual. Esto se denomina “balanceo de carga de mismo
costo” (equal cost load balancing).
Si está configurado correctamente, el balanceo de carga puede aumentar la efectividad y el
rendimiento de la red.
Equilibrio de carga de igual costo se implementa automáticamente mediante protocolos de
enrutamiento dinámico. Se habilita con rutas estáticas cuando hay varias rutas estáticas a la misma
red de destino utilizando diferentes enrutadores de siguiente salto.
Solo EIGRP admite el balanceo de carga con distinto costo.

15. Tipos de rutas estáticas

Las rutas estáticas se pueden configurar para IPv4 e IPv6. Ambos protocolos admiten los siguientes
tipos:
• Ruta estática estándar

• Ruta estática predeterminada

• Ruta estática flotante

• Ruta estática resumida

Comando de ruta estática IPv4

Parámetro Descripción
Identifica la dirección de red IPv4 de destino de la red remota
network-address
para agregar a la tabla de enrutamiento.
• Identifica la máscara de subred de la red remota.
subnet-mask • La máscara de subred puede modificarse para resumir un
grupo de redes y crear una ruta estática resumida.
ip-address • Identifica la dirección IPv4 del router de siguiente salto.
• Normalmente se utiliza con redes de difusión (es decir,
Ethernet).
• Podría crear una ruta estática recursiva donde el router
 realice una búsqueda adicional para encontrar la interfaz
de salida.
• Identifica la interfaz de salida para reenviar paquetes.
• Crea una ruta estática conectada directamente.
exit-intf
• Suele utilizarse para conectarse en una configuración
punto a punto.
Crea una ruta estática completamente especificada porque
exit-intf ip-address especifica la interfaz de salida y la dirección IPv4 de salto
siguiente.
• Comando opcional que se puede utilizar para asignar un
valor administrativo de distancia entre 1 y 255.
distance • Suele utilizarse para configurar una ruta estática flotante al
establecer una distancia administrativa mayor a la de una
ruta dinámica predeterminada.

Comando de ruta estática IPv6

Parámetro Descripción
Identifica la dirección de la red IPv6 de destino de la red
ipv6-prefix
remota para agregar a la tabla de enrutamiento.
/prefix-length Identifica la longitud del prefijo de la red remota.
• Identifica la dirección IPv6 del router de siguiente salto.
• Normalmente se utiliza con redes de difusión (por
ejemplo, Ethernet)
ipv6-address
• Podría crear una ruta estática recursiva donde el router
realice una búsqueda adicional para encontrar la interfaz
de salida.
• Identifica la interfaz de salida para reenviar paquetes.
• Crea una ruta estática conectada directamente.
exit-intf
• Suele utilizarse para conectarse en una configuración
punto a punto.
Crea una ruta estática completamente especificada porque
exit-intf ipv6-address
especifica la salida y dirección IPv6 de salto siguiente.
• Comando opcional que se puede utilizar para asignar un
valor administrativo de distancia entre 1 y 255.
distance • Suele utilizarse para configurar una ruta estática flotante
al establecer una distancia administrativa mayor que
una ruta dinámica predeterminada.
Ruta estática IPv4 de siguiente salto
Sólo se especifica la dirección IP del siguiente salto.

Ruta estática IPv6 de siguiente salto

Rutas estáticas IPv6 a las tres redes remotas, ip next-hop :

Ruta Estática IPv4 Conectada Directamente

Otra opción es utilizar la interfaz de salida para especificar la dirección del siguiente salto:
Generalmente se recomienda utilizar una dirección de salto siguiente. Las rutas estáticas conectadas
directamente solo deben usarse con interfaces seriales punto a punto.

Ruta Estática IPv6 Conectada Directamente

Configurar tres rutas estáticas conectadas directamente en R1 mediante la interfaz de salida:

Ruta estática completamente especificada IPv4

Una ruta estática completamente especificada tiene determinadas tanto la interfaz de salida como la
dirección IP del siguiente salto. Esta forma de ruta estática se utiliza cuando la interfaz de salida es
una interfaz de acceso múltiple y se debe identificar explícitamente el siguiente salto.
El siguiente salto debe estar conectado directamente a la interfaz de salida especificada. El uso de
una interfaz de salida es opcional, sin embargo, es necesario utilizar una dirección de salto
siguiente.
Cuando la interfaz de salida sea una red Ethernet, se recomienda utilizar una ruta estática que
incluya una dirección del siguiente salto. También puede usar una ruta estática completamente
especificada que incluye la interfaz de salida y la dirección de siguiente salto.

Ruta estática completamente especificada IPv6

En una ruta estática IPv6 completamente especificada, se especifican tanto la interfaz de salida
como la dirección IPv6 del siguiente salto.
Si la ruta estática IPv6 usa una dirección IPv6 link-local como la dirección del siguiente salto, debe
utilizarse una ruta estática completamente especificada.
Observe que el IOS requiere que se especifique una interfaz de salida.

Verificación de una ruta estática

Junto con show ip route, show ipv6 route, ping y traceroute, otros comandos útiles para verificar
las rutas estáticas son los siguientes:
• show ip route static

• show ip route network

• show running-config | section ip route

Default Static Route

Una ruta predeterminada es una ruta estática que coincide con todos los paquetes. La ruta pord
efecto representa cualquier red que no está en la tabla de enrutamiento.
Las rutas estáticas predeterminadas se utilizan comúnmente al conectar un router perimetral a una
red de proveedor de servicios, o un router stub (un router con solo un router vecino ascendente).
Ruta estática predeterminada IPv4
La dirección de red es 0.0.0.0 y la máscara de subred es 0.0.0.0., también se conoce como quad-
zero route.

Ruta estática predeterminada IPv6

ipv6-prefix/prefix-length es ::/0, que coincide con todas las rutas.

Configuración de una ruta estática predeterminada

Cualquier paquete que no coincida con entradas más específicas de la ruta se reenvía a 172.16.2.2.
Cualquier paquete que no coincida con entradas más específicas de la ruta IPv6 se reenvía al
2001:db8:acad:2::2:

Verificar Ruta estática predeterminada IPv4

El asterisco (*) Al lado de la ruta con el código "S", el asterisco indica que la ruta estática es una
ruta predeterminada candidata, razón por la cual se selecciona como gateway de último recurso.

Verificar Ruta estática predeterminada IPv6

Observe que la configuración de ruta estática predeterminada utiliza la máscara /0 para las rutas
predeterminadas IPv4 y el prefijo: :/0 para las rutas predeterminadas IPv6. Recuerde que la longitud
de la máscara subnet IPv4 y el prefijo de IPv6 en una tabla de routing determina cuántos bits deben
coincidir entre la dirección IP de destino del paquete y la ruta en la tabla de routing. Un prefijo /0
mask or ::/0 indica que no se requiere que ninguno de los bits coincida. Mientras no exista una
coincidencia más específica, la ruta estática predeterminada coincide con todos los paquetes.
Rutas estáticas flotantes - Floating Static Routes

Las rutas estáticas flotantes son rutas estáticas que se utilizan para proporcionar una ruta de
respaldo a una ruta estática o dinámica principal, en el caso de una falla del enlace. La ruta estática
flotante se utiliza únicamente cuando la ruta principal no está disponible.
La ruta estática flotante se configura con una distancia administrativa mayor que la ruta principal.
La distancia administrativa representa la confiabilidad de una ruta. Si existen varias rutas al destino,
el router elegirá la que tenga una menor distancia administrativa.
Suponga que un administrador desea crear una ruta estática flotante como respaldo de una ruta
descubierta por EIGRP. La ruta estática flotante se debe configurar con una distancia administrativa
mayor que el EIGRP. El EIGRP tiene una distancia administrativa de 90. Si la ruta estática flotante
se configura con una distancia administrativa de 95, se prefiere la ruta dinámica descubierta por el
EIGRP a la ruta estática flotante. Si se pierde la ruta descubierta por el EIGRP, en su lugar se utiliza
la ruta estática flotante.
De manera predeterminada, las rutas estáticas tienen una distancia administrativa de 1, lo que las
hace preferibles a las rutas descubiertas mediante protocolos de routing dinámico.

Configure las Rutas Estáticas Flotantes IPv4 y IPv6

Las rutas estáticas flotantes IP se configuran mediante el argumento distance para especificar una
distancia administrativa. Si no se configura ninguna distancia administrativa, se utiliza el valor
predeterminado (1).

El asterisco indica que ruta estática es la predeterminada, la que no lo tiene es la flotante:

Rutas del host

Tres maneras de agregar una ruta de host a una tabla de routing:

• Se instala automáticamente cuando se configura una dirección IP en el router

• Configurarla como una ruta de host estático

• Otros métodos

Instaladas automáticamente:
Cuando se configura una dirección de interfaz en el router, designada con una C en la tabla de
routing para la dirección de red de la interfaz.
Cuando una interfaz activa en un router se configura con una dirección IP, se agrega
automáticamente una ruta de host local a la tabla de routing. Las rutas locales se marcan con L en el
resultado de la tabla de routing.

Ruta estática de host:

Puede ser una ruta estática configurada manualmente para dirigir el tráfico a un dispositivo de
destino específico, como un servidor de autenticación. La ruta estática utiliza una dirección IP de
destino y una máscara 255.255.255.255 (/32) para las rutas de host IPv4 y una longitud de prefijo
/128 para las rutas de host IPv6.

Configuración de rutas de host estáticas

Verificar rutas de host estáticas

Configurar rutas de host estáticas IPV6 con Link-Local de siguiente salto
Para rutas estáticas IPv6, la dirección del siguiente salto puede ser la dirección link-local del router
adyacente. Sin embargo, debe especificar un tipo de interfaz y un número de interfaz cuando usa
una dirección link-local como siguiente salto.
En primer lugar, se elimina la ruta de host estática IPv6 original y, a continuación, se configura una
ruta completamente especificada con la dirección IPv6 link-local del siguiente salto.

16. Rutas estáticas y envío de paquetes

Comandos comunes para la solución de problemas

• ping :
• traceroute

• show ip route

• show ip interface brief

• show cdp neighbors detail

Este comando valida la conectividad de la capa 2 (y, por lo tanto, la de la capa 1)