Documentos de Académico
Documentos de Profesional
Documentos de Cultura
¡Bienvenido al primer módulo en CCNA Switching, Enrutamiento y Wireless Essentials!. Sabe que
los switches y routers vienen con alguna configuración integrada, así que ¿por qué necesitarás
aprender a configurar más switches y routers?
Imagina que compraste un juego de tren modelo. Después de haberla configurado, te diste cuenta
de que la pista era sólo una forma ovalada simple y que los vagones de tren sólo funcionaban en el
sentido de las agujas del reloj. Es posible que desee que la pista sea una figura de ocho con un
paso elevado. Es posible que desee tener dos trenes que operen independientemente el uno del
otro y sean capaces de moverse en diferentes direcciones. ¿Cómo pudiste hacer que eso pasara?
Tendrías que volver a configurar la pista y los controles. Es lo mismo con los dispositivos de red.
Como administrador de red, necesita un control detallado de los dispositivos de su red. Esto
significa configurar con precisión switches y routeres para que su red haga lo que desea que haga.
Este módulo tiene muchas actividades de Comprobador de sintaxis y trazador de paquetes para
ayudarle a desarrollar estas habilidades. Comencemos ya mismo.
Configuración de Parámetros
Configurar los parámetros iniciales en un switch Cisco.
Iniciales de un Switch
Configuración de Puertos de un Configurar los puertos de un switch para cumplir con los
Switch. requisitos de red.
Verificar redes conectadas Verificar la conectividad entre dos redes que están
directamente conectadas directamente a un router.
Configuración de parámetros
iniciales de un switch
1.1.1
Antes de poder configurar un switch, debe encenderlo y permitirle pasar por la secuencia de
arranque de cinco pasos. En este tema se tratan los conceptos básicos de la configuración de un
switch e incluye un laboratorio al final.
Después de encender un switch Cisco, pasa por la siguiente secuencia de inicio de cinco pasos:
Paso 3: El cargador de arranque lleva a cabo la inicialización de la CPU de bajo nivel. Inicializa los
registros de la CPU, que controlan dónde está asignada la memoria física, la cantidad de memoria
y su velocidad.
Paso 4: El cargador de arranque inicia el sistema de archivos flash en la placa del sistema.
Paso 5: Por último, el cargador de arranque localiza y carga una imagen de software del sistema
operativo de IOS en la memoria y delega el control del switch a IOS.
Después de encender un switch Cisco, pasa por la siguiente secuencia de inicio de cinco pasos: Si
no se establece esta variable, el switch intenta cargar y ejecutar el primer archivo ejecutable que
puede encontrar. En los switches de la serie Catalyst 2960, el archivo de imagen generalmente se
encuentra en un directorio que tiene el mismo nombre que el archivo de imagen (excepto la
extensión de archivo .bin).
El sistema operativo IOS luego inicializa las interfaces utilizando los comandos Cisco IOS que se
encuentran en el archivo de configuración de inicio. Se llama al archivo startup-config config.text y
se encuentra en flash.
En el ejemplo, la variable de entorno BOOT se establece mediante el boot system comando del
modo de configuración global. Observe que el IOS se ubica en una carpeta distinta y que se
especifica la ruta de la carpeta. Use el comando show boot para ver en qué está configurado el
archivo de arranque IOS actual.
Comando Definición
c2960-
lanbasek9- La ruta al sistema de archivos
mz.150-2.SE/
c2960-
lanbasek9-
El nombre del archivo IOS
mz.150-
2.SE.bin
Los switches Cisco Catalyst tienen varios indicadores luminosos LED de estado. Puede usar los
LED del switch para controlar rápidamente la actividad y el rendimiento del switch. Los diferentes
modelos y conjuntos de características de los switches tienen diferentes LED, y la ubicación de
estos en el panel frontal del switch también puede variar.
En la ilustración, se muestran los LED y el botón Mode de un switch Cisco Catalyst 2960.
La figura muestra los indicadores LED, el botón de modo y los puertos en la parte delantera
izquierda de un interruptor. Los indicadores LED numerados 1 - 6 de arriba a abajo son: SYST,
RPS, STAT, DUPLX, SPEED y PoE. Debajo de los indicadores LED y etiquetados 7 en la figura
está el botón de modo. Por encima de los puertos de conmutación y etiquetados 8 en la figura
están los LEDs de puerto.
El botón Modo (7 en la figura) se usa para alternar entre el estado del puerto, el dúplex del puerto,
la velocidad del puerto y, si es compatible, el estado de la alimentación a través de Ethernet (PoE)
de los LED del puerto (8 en la figura).
Muestra si el sistema está recibiendo energía y funciona correctamente. Si el LED está apagado,
significa que el sistema no está encendido. Si el LED es de color verde, el sistema funciona
normalmente. Si el LED es de color ámbar, el sistema recibe alimentación pero no funciona
correctamente.
Muestra el estado de RPS. Si el LED está apagado, el RPS está apagado o no está conectado
correctamente. Si el LED es de color verde, el RPS está conectado y listo para proporcionar
alimentación de respaldo. Si el LED parpadea y es de color verde, el RPS está conectado pero
no está disponible porque está proporcionando alimentación a otro dispositivo. Si el LED es de
color ámbar, el RPS está en modo de reserva o presenta una falla. Si el LED parpadea y es de
color ámbar, la fuente de alimentación interna del switch presenta una falla, y el RPS está
proporcionando alimentación.
Indica que el modo de estado del puerto está seleccionado cuando el LED está verde. Este es el
modo predeterminado. Al seleccionarlo, los indicadores LED del puerto muestran colores con
diferentes significados. Si el LED está apagado, no hay enlace, o el puerto estaba
administrativamente inactivo. Si el LED es de color verde, hay un enlace presente. Si el LED
parpadea y es de color verde, hay actividad, y el puerto está enviando o recibiendo datos. Si el
LED alterna entre verde y ámbar, hay una falla en el enlace. Si el LED es de color ámbar, el
puerto está bloqueado para asegurar que no haya un bucle en el dominio de reenvío y no
reenvía datos (normalmente, los puertos permanecen en este estado durante los primeros 30
segundos posteriores a su activación). Si el LED parpadea y es de color ámbar, el puerto está
bloqueado para evitar un posible bucle en el dominio de reenvío.
LED de modo dúplex del puerto
Indica que el modo dúplex del puerto está seleccionado cuando el LED está verde. Al
seleccionarlo, los LED del puerto que están apagados están en modo semidúplex. Si el LED del
puerto es de color verde, el puerto está en modo dúplex completo.
Indica que el modo de velocidad del puerto está seleccionado. Al seleccionarlo, los indicadores
LED del puerto muestran colores con diferentes significados. Si el LED está apagado, el puerto
está funcionando a 10 Mbps. Si el LED es verde, el puerto está funcionando a 100 Mbps. Si el
LED parpadea en verde, el puerto está funcionando a 1000 Mbps.
Si se admite PoE, estará presente un LED de modo PoE. Si el LED está apagado, indica que no
se seleccionó el modo de alimentación por Ethernet, que a ninguno de los puertos se le negó el
suministro de alimentación y ninguno presenta fallas. Si el LED está parpadeando en ámbar, el
modo PoE no está seleccionado, pero al menos uno de los puertos ha sido denegado o tiene
una falla PoE. Si el LED es de color verde, indica que se seleccionó el modo de alimentación por
Ethernet, y los LED del puerto muestran colores con diferentes significados. Si el LED del puerto
está apagado, la alimentación por Ethernet está desactivada. Si el LED del puerto es de color
verde, la alimentación por Ethernet está activada. Si el LED del puerto alterna entre verde y
ámbar, se niega la alimentación por Ethernet, ya que, si se suministra energía al dispositivo
alimentado, se excede la capacidad de alimentación del switch. Si el LED parpadea en ámbar,
PoE está apagado debido a una falla. Si el LED es de color ámbar, se inhabilitó la alimentación
por Ethernet para el puerto.
Se puede acceder al cargador de arranque mediante una conexión de consola con los siguientes
pasos:
Paso 1. Conecte una computadora al puerto de consola del switch con un cable de consola.
Configure el software de emulación de terminal para conectarse al switch.
Paso 5. The boot loader switch: El mensaje aparece en el software de emulación de terminal en la
PC.
Escriba help o ? en el símbolo del gestor de arranque para ver una lista de comandos disponibles.
switch: set
BOOT=flash:/c2960-lanbasek9-mz.122-55.SE7/c2960-lanbasek9-mz.122-55.SE7.bin
(output omitted)
switch: flash_init
Initializing Flash...
Directory of flash:/
Introduzca el BOOT=flash comando para cambiar la ruta de la variable de entorno BOOT que
utiliza el switch para cargar el nuevo IOS en flash. Para verificar la nueva ruta de la variable de
entorno BOOT, vuelva a set ejecutar el comando. Finalmente, para cargar el nuevo IOS escriba el
boot comando sin ningún argumento, como se muestra en la salida.
switch: BOOT=flash:c2960-lanbasek9-mz.150-2.SE8.bin
switch: set
BOOT=flash:c2960-lanbasek9-mz.150-2.SE8.bin
(output omitted)
switch: boot
Los comandos del gestor de arranque admiten la inicialización de flash, el formateo de flash, la
instalación de un nuevo IOS, el cambio de la variable de entorno BOOT y la recuperación de
contraseñas pérdidas u olvidadas.
Para el acceso a la administración remota de un switch, este se debe configurar con una dirección
IP y una máscara de subred. Tenga en cuenta que para administrar el switch desde una red
remota, el switch debe configurarse con una puerta de enlace predeterminada. Este es un proceso
muy similar a la configuración de la información de dirección IP en los dispositivos host. En la
ilustración, se debe asignar una dirección IP a la interfaz virtual del switch (SVI) de S1. La SVI es
una interfaz virtual, no un puerto físico del switch. Se utiliza un cable de consola para acceder a una
PC de modo que el switch puede configurar específicamente.
Ejemplo de Configuración de Switch SVI
Paso 1
Desde el modo de configuración de la interfaz VLAN, se aplica una dirección IPv4 y una
máscara de subred a la SVI de administración del switch.
Nota: El SVI para VLAN 99 no aparecerá como "activo / activo" hasta que se cree VLAN 99 y
haya un dispositivo conectado a un puerto de switch asociado con VLAN 99.
Nota:Es posible que el switch debata configurar para IPv6. Por ejemplo, antes de que pueda
configurar el direccionamiento IPv6 en un Cisco Catalyst 2960 que ejecute IOS versión 15.0,
deberá ingresar el comando de configuración global sdm prefer dual-ipv4-and-ipv6 default y,
a continuación, reload el switch.
Habilite la interfaz de
S1(config-if)# no shutdown
administración.
Guarde la configuración en
ejecución en la configuración de S1# copy running-config startup-config
inicio.
Paso 2
Configure el gateway
S1(config)# ip default-gateway 172.17.99.1
predeterminado para el switch.
Guarde la configuración en
ejecución en la configuración de S1# copy running-config startup-config
inicio.
Paso 3
Verificar la configuración
Los show ip interface brief comandos show ipv6 interface brief y son útiles para determinar
el estado de las interfaces físicas y virtuales. La información que se muestra confirma que la
interfaz VLAN 99 se ha configurado con una dirección IPv4 e IPv6.
Nota: Una dirección IP aplicada al SVI es solo para el acceso de administración remota al
switch; esto no permite que el switch enrute paquetes de Capa 3.
(resultado omitido)
Comunicación dúplex
La comunicación en dúplex completo aumenta el ancho de banda eficaz al permitir que ambos
extremos de una conexión transmitan y reciban datos simultáneamente. Esto también se conoce
como comunicación bidireccional y requiere microsegmentación. Las LAN microsegmentadas se
crean cuando un puerto de switch tiene solo un dispositivo conectado y funciona en modo dúplex
completo. Cuando un puerto de switch opera en modo dúplex completo, no hay dominio de colisión
conectado al puerto.
Los puertos de switch se pueden configurar manualmente con parámetros específicos de dúplex y
de velocidad. Use el comando duplex del modo de configuración de interfaz duplex para
especificar manualmente el modo dúplex de un puerto de switch. Use el speed comando del modo
de configuración de la interfaz para especificar manualmente la velocidad. Por ejemplo, ambos
switches de la topología deben funcionar siempre en dúplex completo a 100 Mbps.
La tabla muestra los comandos para S1. Los mismos comandos se pueden aplicar a S2.
Configure la velocidad de la
S1(config-if)# speed 100
interfaz.
Guarda la configuración en
ejecución en la configuración de S1# copy running-config startup-config
inicio.
La configuración predeterminada de dúplex y velocidad para los puertos de switch en los switches
Cisco Catalyst 2960 y 3560 es automática. Los puertos 10/100/1000 funcionan en modo
semidúplex o semidúplex cuando están configurados en 10 o 100 Mbps y operan solo en modo
dúplex completo cuando está configurado en 1000 Mbps (1 Gbps). La negociación automática es
útil cuando la configuración de velocidad y dúplex del dispositivo que se conecta al puerto es
desconocida o puede cambiar. Cuando se conecta a dispositivos conocidos como servidores,
estaciones de trabajo dedicadas o dispositivos de red, la mejor práctica es establecer manualmente
la configuración de velocidad y dúplex.
Cuando se solucionan problemas relacionados con el puerto del switch, es importante que se
verifique la configuración de dúplex y velocidad.
Nota: Si la configuración para el modo dúplex y la velocidad de puertos del switch presenta
incompatibilidades, se pueden producir problemas de conectividad. Una falla de autonegociación
provoca incompatibilidades en la configuración.
Todos los puertos de fibra óptica, como los puertos 1000BASE-SX, solo funcionan a una velocidad
predefinida y siempre son dúplex completo.
1.2.3
Hasta hace poco, se requerían determinados tipos de cable (cruzado o directo) para conectar
dispositivos. Las conexiones switch a switch o switch a router requerían el uso de diferentes cables
Ethernet. Mediante el uso de la característica automática de conexión cruzada de interfaz
dependiente del medio (auto-MDIX) en una interfaz, se elimina este problema. Al habilitar la
característica auto-MDIX, la interfaz detecta automáticamente el tipo de conexión de cable
requerido (directo o cruzado) y configura la conexión conforme a esa información. Al conectarse a
los switches sin la función auto-MDIX, los cables directos deben utilizarse para conectar a
dispositivos como servidores, estaciones de trabajo o routers. Los cables cruzados se deben utilizar
para conectarse a otros switches o repetidores.
Con la característica auto-MDIX habilitada, se puede usar cualquier tipo de cable para conectarse a
otros dispositivos, y la interfaz se ajusta de manera automática para proporcionar comunicaciones
satisfactorias. En los switches Cisco más nuevos, el comando mdix auto del modo de
configuración de interfaz habilita la función. Al usar auto-MDIX en una interfaz, la velocidad de la
interfaz y el dúplex deben configurarse para que la función auto funcione correctamente.
Nota: La función auto-MDIX está habilitada de manera predeterminada en los switches Catalyst
2960 y Catalyst 3560, pero no está disponible en los switches Catalyst 2950 y Catalyst 3550
anteriores.
Para examinar la configuración de auto-MDIX para una interfaz específica, use el comando show
controllers ethernet-controller con la palabra clave phy. Para limitar la salida a líneas que hagan
referencia a auto-MDIX, use el filtro include Auto-MDIX Como se muestra el resultado indica On
(Habilitada) u Off (Deshabilitada) para la característica.
1.2.4
Muestra el estado y la
S1# show interfaces [interface-id]
configuración de la interfaz.
El comando show running-config se puede usar para verificar que el switch se haya configurado
correctamente. De la salida abreviada de muestra en S1, se muestra alguna información importante
en la figura:
ip default-gateway 172.17.99.1
El comando show interfaces es otro comando de uso común, que muestra información de estado
y estadísticas en las interfaces de red del switch. El comando show interfaces se usa con
frecuencia al configurar y monitorear dispositivos de red.
La primera línea de salida para el comando show interfaces fastEthernet 0/18 indica que la
interfaz FastEthernet 0/18 está activa / activa, lo que significa que está operativa. Más abajo en el
resultado, se muestra que el modo dúplex es full (completo) y la velocidad es de 100 Mb/s.
1.2.6
El resultado del comando show interfaces es útil para detectar problemas comunes de medios.
Una de las partes más importantes de esta salida es la visualización de la línea y el estado del
protocolo de enlace de datos, como se muestra en el ejemplo.
Según el resultado del comando show interfaces, los posibles problemas se pueden solucionar de
la siguiente manera:
● Si la interfaz está activa y el protocolo de línea está inactivo, hay un problema. Puede haber
una incompatibilidad en el tipo de encapsulación, la interfaz en el otro extremo puede estar
inhabilitada por errores o puede haber un problema de hardware.
● Si el protocolo de línea y la interfaz están inactivos, no hay un cable conectado o existe
algún otro problema de interfaz. Por ejemplo, en una conexión directa, el otro extremo de la
conexión puede estar administrativamente inactivo.
● If the interface is administratively down, it has been manually disabled (the **** shutdown)
en la configuración activa.
El resultado del comando show interfaces muestra contadores y estadísticas para la interfaz
Fastethernet0/18, como se destaca en el ejemplo.
Algunos errores de los medios no son lo suficientemente graves como para hacer que el circuito
falle, pero causan problemas de rendimiento de la red. La tabla explica algunos de estos errores
comunes que se pueden detectar con el comando show interfaces.
Una colisión que ocurre después de 512 bits de la trama han sido
Colisiones tardías
Transmitido
1.2.7
“Input errors” indica la suma de todos los errores en los datagramas que se recibieron en la interfaz
que se analiza. Estos incluyen los recuentos de fragmentos de colisión, de fragmentos gigantes, de
los que no están almacenados en buffer, de CRC, de tramas, de saturación y de ignorados. Los
errores de entrada informados del comando show interfaces incluyen lo siguiente:
● Runt Frames - las tramas Ethernet que son más cortas que la longitud mínima permitida de
64 bytes se llaman runts. La NIC en mal funcionamiento son la causa habitual de las tramas
excesivas de fragmentos de colisión, pero también pueden deberse a colisiones.
● Giants -Las tramas de Ethernet que son más grandes que el tamaño máximo permitido se
llaman gigantes.
● CRC errors -En las interfaces Ethernet y serie, los errores de CRC generalmente indican
un error de medios o cable. Las causas más comunes incluyen interferencia eléctrica,
conexiones flojas o dañadas o cableado incorrecto. Si aparecen muchos errores de CRC,
hay demasiado ruido en el enlace, y se debe examinar el cable. También se deben buscar y
eliminar las fuentes de ruido.
“Output errors” es la suma de todos los errores que impiden la transmisión final de los datagramas
por la interfaz que se analiza. Los errores de salida informados del comando show interfaces
incluyen lo siguiente:
● Colisión - Las colisiones en operaciones half-duplex son normales. Sin embargo, nunca
debe observar colisiones en una interfaz configurada para la comunicación en dúplex
completo.
● Colisiones tardías -Una colisión tardía se refiere a una colisión que ocurre después de que
se han transmitido 512 bits de la trama. La longitud excesiva de los cables es la causa más
frecuente de las colisiones tardías. Otra causa frecuente es la configuración incorrecta de
dúplex. Por ejemplo, el extremo de una conexión puede estar configurado para dúplex
completo y el otro para semidúplex. Las colisiones tardías se verían en la interfaz que está
configurada para semidúplex. En ese caso, debe configurar los mismos parámetros de
dúplex en ambos extremos. Una red diseñada y configurada correctamente nunca debería
tener colisiones tardías.
1.2.8
Resolución de problemas de la capa de
acceso a la red
La mayoría de los problemas que afectan a las redes conmutadas se produce durante la
implementación inicial. En teoría, una vez instaladas, las redes continúan funcionando sin
problemas. Sin embargo, los cables se dañan, la configuración cambia, y se conectan al switch
nuevos dispositivos que requieren cambios de configuración en este. Se requiere el mantenimiento
y la resolución de problemas de infraestructura de la red de forma permanente.
Una colisión tardía se refiere a una colisión que ocurre después de que se han transmitido 512 bits
de la trama.
● Verifique que se usen los cables adecuados. Además, revise los cables y los conectores
para detectar daños. Si se sospecha que hay un cable defectuoso o incorrecto,
reemplácelo.
● Si la interfaz continúa inactiva, el problema puede deberse a una incompatibilidad en la
configuración de velocidad. La velocidad de una interfaz generalmente se negocia
automáticamente; por lo tanto, incluso si se aplica manualmente a una interfaz, la
interfaz de conexión debe negociarse automáticamente en consecuencia. Si se produce
una incompatibilidad de velocidad debido a una configuración incorrecta o a un problema
de hardware o de software, esto podría provocar que la interfaz quede inactiva.
Establezca manualmente la misma velocidad en ambos extremos de la conexión si se
sospecha que hay un problema.
Si la interfaz está activa pero aún hay problemas de conectividad, realice lo siguiente:
● Using the comando show interfaces , verifique si hay indicios de ruido excesivo. Los
indicios pueden incluir un aumento en los contadores de fragmentos de colisión, de
fragmentos gigantes y de errores de CRC. Si hay un exceso de ruido, primero busque el
origen del ruido y, si es posible, elimínelo. Además, verifique qué tipo de cable se utiliza
y que el cable no supere la longitud máxima.
● Si no hay problemas de ruido, verifique si hay un exceso de colisiones. Si hay colisiones
o colisiones tardías, verifique la configuración de dúplex en ambos extremos de la
conexión. Al igual que la configuración de velocidad, la configuración dúplex
generalmente se negocia automáticamente. Si parece haber una diferencia entre dúplex,
configure manualmente el dúplex como full (completo) en ambos extremos de la
conexión.
S1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)#interface FastEthernet0/1
S1(config-if)#duplex auto
S1(config-if)#speed auto
S1(config-if)#mdix auto
S1(config-if)#end
%SYS-5-CONFIG_I: Configured from console by console
S1#copy running-config startup-config
Es posible que no siempre tenga acceso directo al switch cuando necesite configurarlo. Necesita
poder acceder a él de forma remota y es imperativo que su acceso sea seguro. En este tema se
explica cómo configurar Secure Shell (SSH) para el acceso remoto. Una actividad Packet Tracer le
da la oportunidad de probar esto usted mismo.
Telnet utiliza el puerto TCP 23. Es un protocolo más antiguo que utiliza la transmisión de texto sin
formato segura tanto de la autenticación de inicio de sesión (nombre de usuario y contraseña)
como de los datos transmitidos entre los dispositivos de comunicación. Un actor de amenazas
puede monitorear paquetes usando Wireshark. Por ejemplo, en la figura, el actor de amenazas
capturó el nombre de usuario admin y la contraseña ccna de una sesión Telnet.
captura de pantalla de una captura WireShark de una sesión Telnet que muestra el nombre de
usuario y la contraseña enviados en texto sin formato
Funcionamiento de SSH
Secure Shell (SSH) es un protocolo seguro que utiliza el puerto TCP 22. Proporciona una conexión
de administración segura (encriptada) a un dispositivo remoto. El SSH debe reemplazar a Telnet
para las conexiones de administración. SSH proporciona seguridad para las conexiones remotas
mediante el cifrado seguro cuando se autentica un dispositivo (nombre de usuario y contraseña) y
también para los datos transmitidos entre los dispositivos que se comunican.
Por ejemplo, la figura muestra una captura Wireshark de una sesión SSH. Proporciona una
conexión de administración segura (encriptada) a un dispositivo remoto. Sin embargo, a diferencia
de Telnet, con SSH el nombre de usuario y la contraseña están cifrados.
Para habilitar SSH en un switch Catalyst 2960, el switch debe usar una versión del software IOS
que incluya características y capacidades criptográficas (cifradas). Utilice el comando show
version del switch para ver qué IOS está ejecutando el switch. Un nombre de archivo de IOS que
incluye la combinación «k9» admite características y capacidades criptográficas (cifradas). El
ejemplo muestra la salida del comando show version.
Use el comando show ip ssh para verificar que el switch sea compatible con SSH. Si el switch
no ejecuta un IOS que admita características criptográficas, este comando no se reconoce.
Paso 2
Configure el IP domain.
Paso 3
No todas las versiones del IOS utilizan la versión 2 de SSH de manera predeterminada, y la
versión 1 de SSH tiene fallas de seguridad conocidas. Para configurar SSH versión 2, emita el
comando del modo de configuración global ip ssh version 2. La creación de un par de claves
RSA habilita SSH automáticamente. Use el comando del modo de configuración global crypto
key generate rsa, para habilitar el servidor SSH en el switch y generar un par de claves RSA. Al
crear claves RSA, se solicita al administrador que introduzca una longitud de módulo. La
configuración de ejemplo en la figura 1 utiliza un tamaño de módulo de 1024 bits. Una longitud
de módulo mayor es más segura, pero se tarda más en generarlo y utilizarlo.
Nota:Para eliminar el par de claves RSA, use el comando del modo de configuración global
crypto key zeroize rsa. Después de eliminarse el par de claves RSA, el servidor SSH se
deshabilita automáticamente.
Paso 4
El servidor SSH puede autenticar a los usuarios localmente o con un servidor de autenticación.
Para usar el método de autenticación local, cree un par de nombre de usuario y contraseña con
el comando username username secret password modo de configuración global. En el ejemplo,
se asignó la contraseña ccna al usuario admin.
Paso 5
Habilite el protocolo SSH en las líneas vty utilizando el comando del modo de configuración de
línea transport input ssh. El switch Catalyst 2960 tiene líneas vty que van de 0 a 15. Esta
configuración evita las conexiones que no son SSH (como Telnet) y limita al switch a que acepte
solo las conexiones SSH. Use el comando line vty del modo de configuración global y luego el
comando login local del modo de configuración de línea para requerir autenticación local para
las conexiones SSH de la base de datos de nombre de usuario local.
S1(config-line)# salida
Paso 6
De manera predeterminada, SSH admite las versiones 1 y 2. Al admitir ambas versiones, esto
se muestra en la salida show ip ssh como compatible con la versión 2. Habilite la versión SSH
utilizando el comando de configuración global ip ssh version 2.
En las computadoras se usa un cliente SSH, como PuTTY, para conectarse a un servidor SSH. Por
ejemplo, suponga que se configura lo siguiente:
La figura muestra la configuración de PuTTy para PC1 para iniciar una conexión SSH a la
dirección SVI VLAN IPv4 de S1.
Cuando está conectado, se solicita al usuario un nombre de usuario y una contraseña como se
muestra en el ejemplo. Usando la configuración del ejemplo anterior, se ingresan el nombre de
usuario: admin y la contraseña: ccna Después de ingresar la combinación correcta, el usuario
se conecta a través de SSH a la interfaz de línea de comando (CLI) en el switch Catalyst 2960.
S1#
Para mostrar los datos de la versión y de configuración de SSH en el dispositivo que configuró
como servidor SSH, use el comando show ip ssh. En el ejemplo, se habilitó la versión 2 de
SSH.
S1#
Hasta ahora, este módulo solo ha cubierto switches. Si desea que los dispositivos puedan enviar y
recibir datos fuera de su red, deberá configurar routeres. En este tema se enseña la configuración
básica del router y se proporcionan dos Comprobadores de sintaxis y una actividad de Rastreador
de paquetes para que pueda practicar estas habilidades.
Los routers y switches Cisco tienen muchas similitudes. Admiten sistemas operativos modales y
estructuras de comandos similares, así como muchos de los mismos comandos. Además, los
pasos de configuración inicial son similares para ambos dispositivos. Por ejemplo, las siguientes
tareas de configuración siempre deben realizarse. Asigne un nombre al dispositivo para distinguirlo
de otros routeres y configure contraseñas, como se muestra en el ejemplo.
R1(config)#
R1(config)#
[OK]
1.4.2
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R2
Configure ciscocomo la contraseña de la línea de consola y solicite a los usuarios que inicien
sesión. Luego, salga del modo de configuración de línea.
R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#exit
Configure cisco como contraseña vty para las líneas 0 a 4 y requiera que los usuarios inicien sesión
.
R1(config)#line vty 0 4
R1(config-line)#password cisco
R1(config-line)#login
Salga del modo de configuración de línea y cifre todas las contraseñas de texto sin formato.
R1(config-line)#exit
R1(config)#service password-encryption
R1(config)#exit
R1#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Una característica que distingue a los switches de los routers es el tipo de interfaces que admite
cada uno. Por ejemplo, los switches de capa 2 admiten LAN; por lo tanto, tienen múltiples puertos
FastEthernet o Gigabit Ethernet. La topología de pila dual de la figura se utiliza para demostrar la
configuración de las interfaces IPv4 e IPv6 del router.
topología de red de doble pila que consta de múltiples hosts, switches y routeres con interfaces
configuradas con direcciones IPv4 e IPv6
Configurar interfaces de routers
Los routers admiten redes LAN y WAN, y pueden interconectar distintos tipos de redes; por lo tanto,
admiten muchos tipos de interfaces. Por ejemplo, los ISR G2 tienen una o dos interfaces Gigabit
Ethernet integradas y ranuras para tarjetas de interfaz WAN de alta velocidad (HWIC) para admitir
otros tipos de interfaces de red, incluidas las interfaces seriales, DSL y de cable.
Para que una interfaz esté disponible, debe cumplir los siguientes requisitos:
● Configurado con al menos una dirección IP: - Utilice los comandos de configuración de
ip address ip-address subnet-mask y ipv6 address ipv6-address/prefix interface.
● Activado: - Las interfaces LAN y WAN no están activadas de manera predeterminada
(shutdown). Para habilitar una interfaz, esta se debe activar mediante el comando no
shutdown. (Es como encender la interfaz.) La interfaz también debe estar conectada a otro
dispositivo (un hub, un switch u otro router) para que la capa física se active.
● Descripción - Opcionalmente, la interfaz también se puede configurar con una breve
descripción de hasta 240 caracteres. Es aconsejable configurar una descripción en cada
interfaz. En las redes de producción, los beneficios de las descripciones de la interfaz se
obtienen rápidamente, ya que son útiles para solucionar problemas e identificar una
conexión de terceros y la información de contacto.
R1(config)#
1.4.5
En esta actividad del Comprobador de sintaxis, configurará R2 con sus interfaces IPv4 e IPv6.
Router(config)#interface g0/0/0
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#ipv6 address 2001:db8:acad:4::1/64
Router(config-if)#description Link to LAN 3
Router(config-if)#no shutdown
%LINK-3-UPDOWN: Interface GigabitEthernet0/0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0,
changed state to up
Router(config-if)#interface g0/0/1
Router(config-if)#ip address 10.1.2.1 255.255.255.0
Router(config-if)#ipv6 address 2001:db8:acad:5::1/64
Router(config-if)#description Link to LAN 4
Router(config-if)#no shutdown
%LINK-3-UPDOWN: Interface GigabitEthernet0/0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/1,
changed state to up
Router(config-if)#interface s0/0/0
Router(config-if)#ip address 209.165.200.226 255.255.255.252
Router(config-if)#ipv6 address 2001:db8:acad:3::226/64
Router(config-if)#description Link to R1
Router(config-if)#no shutdown
%LINK-3-UPDOWN: Interface Serial0/0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed
state to up
Otra configuración común de los routers Cisco IOS es la habilitación de una interfaz loopback.
La interfaz de bucle invertido es una interfaz lógica interna del router. No está asignado a un puerto
físico y nunca se puede conectar a ningún otro dispositivo. Se la considera una interfaz de software
que se coloca automáticamente en estado "up" (activo), siempre que el router esté en
funcionamiento.
La interfaz loopback es útil para probar y administrar un dispositivo Cisco IOS, ya que asegura que
por lo menos una interfaz esté siempre disponible. Por ejemplo, se puede usar con fines de prueba,
como la prueba de procesos de routing interno, mediante la emulación de redes detrás del router.
Las interfaces de bucle invertido también se utilizan comúnmente en entornos de laboratorio para
crear interfaces adicionales. Por ejemplo, puede crear varias interfaces de bucle invertido en un
router para simular más redes con fines de práctica de configuración y pruebas. En este plan de
estudios, a menudo usamos una interfaz de bucle invertido para simular un enlace a Internet.
Se pueden habilitar varias interfaces loopback en un router. La dirección IPv4 para cada interfaz de
bucle invertido debe ser única y no debe ser utilizada por ninguna otra interfaz, como se muestra
en la configuración de ejemplo de la interfaz de bucle invertido 0 en R1.
Hay varios comandos show que se pueden usar para verificar el funcionamiento y la configuración
de una interfaz. La topología de la figura se utiliza para demostrar la verificación de la configuración
de la interfaz del router.
Los siguientes comandos son especialmente útiles para identificar rápidamente el estado de una
interfaz:
● show ip interface brief y show ipv6 interface brief -Estos muestran un resumen de
todas las interfaces, incluida la dirección IPv4 o IPv6 de la interfaz y el estado operativo
actual.
● show running-config interface interface-id -Esto muestra los comandos aplicados a la
interfaz especificada.
● show ip route y show ipv6 route - Este muestra el contenido de la tabla IPv4 o IPv6
almacenada en la memoria RAM. En Cisco IOS 15, las interfaces activas deben
aparecer en la tabla de ruteo con dos entradas relacionadas identificadas con el código
'C' (Conectado) o 'L' (Local). En versiones anteriores de IOS, solo aparece una entrada
con el código 'C'.
La salida de los comandos show ip interface brief y show ipv6 interface brief y se puede usar
para revelar rápidamente el estado de todas las interfaces en el router. Puede verificar que las
interfaces están activas y operativas como se indica en el estado de «up» y el protocolo de «up»,
como se muestra en el ejemplo. Un resultado distinto indicaría un problema con la configuración o
el cableado.
1.5.3
El resultado del comando show ipv6 interface brief show ipv6 interface brief show ipv6 interface
brief muestra dos direcciones IPv6 configuradas por interfaz. Una de las direcciones es la
dirección de unidifusión global de IPv6 que se introdujo manualmente. La otra, que comienza con
FE80, es la dirección de unidifusión link-local para la interfaz. La dirección link-local se agrega
automáticamente a una interfaz cuando se asigna una dirección de unidifusión global. Las
interfaces de red IPv6 deben tener una dirección link-local, pero no necesariamente una dirección
de unidifusión global.
El comando show ipv6 interface gigabitethernet 0/0/0 muestra el estado de la interfaz y todas las
direcciones IPv6 que pertenecen a la interfaz. Junto con la dirección local del enlace y la dirección
de unidifusión global, la salida incluye las direcciones de multidifusión asignadas a la interfaz,
comenzando con el prefijo FF02, como se muestra en el ejemplo.
1.5.4
Junto con la dirección local del enlace y la dirección de unidifusión global, show running-config
interface la salida incluye las direcciones de multidifusión asignadas a la interfaz, comenzando con
el prefijo FF02, como se muestra en el ejemplo.
R1#
Los dos comandos siguientes se usan para recopilar información más detallada sobre la interfaz:
1.5.5
Verificar rutas
La salida de los show ip route comandos show ipv6 route y muestra las tres entradas de red
conectadas directamente y las tres entradas de interfaz de ruta de host local, como se muestra en
el ejemplo. La ruta de host local tiene una distancia administrativa de 0. También tiene una
máscara /32 para IPv4 y una máscara /128 para IPv6. La ruta del host local es para rutas en el
router que posee la dirección IP. Estas se usan para permitir que el router procese los paquetes
destinados a esa dirección IP.
C 2001:DB8:ACAD:1::/64 [0/0]
via GigabitEthernet0/0/0, directly connected
L 2001:DB8:ACAD:1::1/128 [0/0]
via GigabitEthernet0/0/0, receive
C 2001:DB8:ACAD:2::/64 [0/0]
via GigabitEthernet0/0/1, directly connected
L 2001:DB8:ACAD:2::1/128 [0/0]
via GigabitEthernet0/0/1, receive
C 2001:DB8:ACAD:3::/64 [0/0]
via Serial0/1/0, directly connected
L 2001:DB8:ACAD:3::1/128 [0/0]
via Serial0/1/0, receive
L FF00::/8 [0/0]
via Null0, receive
R1#
Una ‘C’ junto a una ruta dentro de la tabla de enrutamiento indica que se trata de una red
conectada directamente. Cuando la interfaz del router está configurada con una dirección de
unidifusión global y está en el estado "arriba / arriba", el prefijo IPv6 y la longitud del prefijo se
agregan a la tabla de enrutamiento IPv6 como una ruta conectada.
El ping comando para IPv6 es idéntico al comando usado con IPv4, excepto que se usa una
dirección IPv6. Como se muestra en el ejemplo, el ping comando se usa para verificar la
conectividad de Capa 3 entre R1 y PC1.
1.5.6
Los comandos que generan varias pantallas de resultados se pausan al cabo de 24 líneas de
manera predeterminada. Al final del resultado detenido, se muestra el texto --More--. Al presionar
Enter se muestra la siguiente línea y al presionar la barra espaciadora se muestra el siguiente
conjunto de líneas. Use el terminal length comando para especificar el número de líneas que se
mostrarán. Un valor 0 (cero) evita que el router haga una pausa entre las pantallas de resultados.
Otra característica muy útil que mejora la experiencia del usuario en la CLI es el show filtrado de
salida. Los comandos de filtrado se pueden utilizar para mostrar secciones específicas de los
resultados. Para habilitar el comando de filtrado, ingrese una barra vertical partida (|) después del
show comando y luego ingrese un parámetro de filtrado y una expresión de filtrado.
section
Muestra la sección completa que comienza con la expresión de filtrado, como se muestra en el
ejemplo.
include
Incluye todas las líneas de salida que coinciden con la expresión de filtrado, como se muestra en
el ejemplo.
exclude
Excluye todas las líneas de salida que coinciden con la expresión de filtrado, como se muestra
en el ejemplo.
begin
Muestra todas las líneas de salida desde un punto determinado, comenzando con la línea que
coincide con la expresión de filtrado, como se muestra en el ejemplo.
Introduzca el comando para filtrar el resultado del comando show running-config para la sección
'line con'.
Introduzca el comando para filtrar las interfaces con estado “down” (inactivo) en la lista resumida.
R1#show ip interface brief | include down
Serial0/1/1 unassigned NO unset down down
Introduzca el comando para excluir las interfaces con estado “up” (activo) en la lista resumida.
Introduzca el comando para filtrar el resultado del comando show running-config para que
comience desde la palabra “line”.
Historial de comandos
Para recuperar comandos en el búfer de historial, presione Ctrl+P o la Up Arrow tecla. El resultado
de los comandos comienza con el comando más reciente. Repita la secuencia de teclas para
recuperar sucesivamente los comandos más antiguos. Para volver a los comandos más recientes
en el búfer de historial, presione Ctrl+N o la Down Arrow tecla. Repita la secuencia de teclas para
recuperar sucesivamente los comandos más recientes.
Un ejemplo de los comandos terminal history size y show history se muestra en la figura.
R1>show history
show running-config | section line con
show ip interface brief | include down
show ip interface brief | exclude up
show running-config | begin line
terminal history size 200
show history
R1>
Después de encender un switch Cisco, pasa por una secuencia de arranque de cinco pasos. La
variable de entorno BOOT se establece utilizando el boot system comando del modo de
configuración global. El IOS se encuentra en una carpeta distinta y se especifica la ruta de la
carpeta. Utilice los LED del interruptor para supervisar la actividad y el rendimiento del interruptor:
SYST, RPS, STAT, DUPLX, SPEED y PoE. El cargador de arranque proporciona acceso al switch
si no se puede usar el sistema operativo debido a la falta de archivos de sistema o al daño de
estos. El cargador de arranque tiene una línea de comando que proporciona acceso a los archivos
almacenados en la memoria flash. Para el acceso a la administración remota de un switch, este se
debe configurar con una dirección IP y una máscara de subred. Para administrar el switch desde
una red remota, el switch debe configurarse con una puerta de enlace predeterminada. Para
configurar el switch SVI, primero debe configurar la interfaz de administración, luego configurar la
puerta de enlace predeterminada y, finalmente, verificar la configuración.
La comunicación en dúplex completo aumenta el ancho de banda eficaz al permitir que ambos
extremos de una conexión transmitan y reciban datos simultáneamente. La comunicación
semidúplex es unidireccional. Los puertos de switch se pueden configurar manualmente con
parámetros específicos de dúplex y de velocidad. Utilice la negociación automática cuando la
configuración de velocidad y dúplex del dispositivo que se conecta al puerto sea desconocida o
pueda cambiar. Al habilitar la característica auto-MDIX, la interfaz detecta automáticamente el tipo
de conexión de cable requerido (directo o cruzado) y configura la conexión conforme a esa
información. Hay varios show comandos que se pueden utilizar al verificar las configuraciones del
switch. Utilice el show running-config comando y el show interfaces comando para verificar la
configuración de un puerto de switch. El resultado del show interfaces comando también es útil
para detectar problemas comunes de capa de acceso a la red, ya que muestra el estado del
protocolo de línea y vínculo de datos. Los errores de entrada reportados desde el show interfaces
comando incluyen: tramas runt, gigantes, errores CRC, junto con colisiones y colisiones tardías.
Utilícelo show interfaces para determinar si la red no tiene conexión o una conexión incorrecta
entre un switch y otro dispositivo.
Telnet (que usa el puerto TCP 23) es un protocolo más antiguo que utiliza la transmisión de texto
sin formato segura tanto de la autenticación de inicio de sesión (nombre de usuario y contraseña)
como de los datos transmitidos entre los dispositivos de comunicación. SSH (utilizando el puerto
TCP 22) es un protocolo seguro que proporciona una conexión de administración cifrada a un
dispositivo remoto. SSH proporciona seguridad para las conexiones remotas mediante el cifrado
seguro cuando se autentica un dispositivo (nombre de usuario y contraseña) y también para los
datos transmitidos entre los dispositivos que se comunican. Utilice el show version comando del
switch para ver qué IOS está ejecutando el switch. Un nombre de archivo de IOS que incluye la
combinación «k9» admite características y capacidades criptográficas. Para configurar SSH, debe
verificar que el switch lo admita, configurar el dominio IP, generar pares de claves RSA, configurar
la autenticación de uso, configurar las líneas VTY y habilitar SSH versión 2. Para verificar que SSH
esté operativo, use el show ip ssh comando para mostrar la versión y los datos de configuración
de SSH en el dispositivo.
Siempre se deben realizar las siguientes tareas de configuración inicial: nombrar el dispositivo para
distinguirlo de otros routeres y configurar contraseñas, configurar un banner para proporcionar
notificación legal de acceso no autorizado y guardar los cambios en un router. Una característica
que distingue a los switches de los routers es el tipo de interfaces que admite cada uno. Por
ejemplo, los switches de capa 2 admiten redes LAN y, por lo tanto, tienen varios puertos
FastEthernet o Gigabit Ethernet. La topología de pila dual se utiliza para demostrar la configuración
de las interfaces IPv4 e IPv6 del router. Los routers admiten redes LAN y WAN, y pueden
interconectar distintos tipos de redes; por lo tanto, admiten muchos tipos de interfaces. Por ejemplo,
los ISR G2 tienen una o dos interfaces Gigabit Ethernet integradas y ranuras para tarjetas de
interfaz WAN de alta velocidad (HWIC) para admitir otros tipos de interfaces de red, incluidas las
interfaces seriales, DSL y de cable. La interfaz de bucle invertido IPv4 es una interfaz lógica interna
del router. No está asignado a un puerto físico y nunca se puede conectar a ningún otro dispositivo.
Utilice los siguientes comandos para identificar rápidamente el estado de una interfaz: show ip
interface brief y show ipv6 interface brief para ver un resumen de todas las interfaces
(direcciones IPv4 e IPv6 y estado operativo), show running-config interface interface-id para ver
los comandos aplicados a una interfaz especificada show ip route y show ipv6 route para ver el
de la tabla de enrutamiento IPv4 o IPv6 almacenada en la RAM. La salida de los show ip interface
brief comandos show ipv6 interface brief y se puede usar para revelar rápidamente el estado de
todas las interfaces en el enrutador. El show ipv6 interface gigabitethernet 0/0/0 comando
muestra el estado de la interfaz y todas las direcciones IPv6 que pertenecen a la interfaz. Junto con
la dirección local del enlace y la dirección de unidifusión global, la salida incluye las direcciones de
multidifusión asignadas a la interfaz. La salida del show running-config interface comando
muestra los comandos actuales aplicados a una interfaz específica. El show interfaces comando
muestra la información de la interfaz y el recuento de flujo de paquetes para todas las interfaces en
el dispositivo. Verifique la configuración de la interfaz mediante show ip interface los comandos
show ipv6 interface y, que muestran la información relacionada con IPv4 e IPv6 para todas las
interfaces de un router. Compruebe las rutas mediante los show ip route comandos show ipv6
route y. Filtrar la salida del comando show usando el carácter pipe (|). Usar expresiones de filtro:
sección, inclusión, exclusión y comienzo. De forma predeterminada, el historial de comandos está
habilitado y el sistema captura las últimas 10 líneas de comando en su búfer de historial. Utilice el
show history comando EXEC privilegiado para mostrar el contenido del búfer.
Puede conectar y configurar switches, ¡eso es genial!. Pero incluso una red con la tecnología más
reciente desarrolla sus propios problemas eventualmente. Si tiene que solucionar problemas de la
red, necesita saber cómo funcionan los switches. Este módulo le proporciona los fundamentos de
los switches y su funcionamiento. Por suerte, el funcionamiento del switch es fácil de entender.
2.0.2
Switching en la red
La decisión sobre cómo un switch reenvía el tráfico se toma en relación con el flujo de ese tráfico.
Hay dos términos asociados a las tramas que entran y salen de una interfaz:
● Entrada - Este término se usa para describir el puerto por donde una trama ingresa al
dispositivo.
● Salida - Este término se usa para describir el puerto que las tramas utilizarán al salir del
dispositivo.
Un switch LAN mantiene una tabla a la que hace referencia al reenviar tráfico a través del switch.
La única inteligencia de un switch LAN es su capacidad de usar su tabla para reenviar tráfico. Un
switch LAN reenvía tráfico basado en el puerto de entrada y la dirección MAC de destino de una
trama Ethernet. Con un switch LAN, hay solamente una tabla de switching principal que describe
una asociación estricta entre las direcciones MAC y los puertos; por lo tanto, una trama Ethernet
con una dirección de destino determinada siempre sale por el mismo puerto de salida,
independientemente del puerto de entrada por el que ingresa.
Nota: Una trama Ethernet nunca se reenviará fuera del mismo puerto en el que se recibió.
Haga clic en el botón Reproducir para ver una animación del proceso de switching.
Un switch se compone de circuitos integrados y del software complementario que controla las rutas
de datos a través del switch. Los switches usan direcciones MAC de destino para dirigir las
comunicaciones de red a través del switch, fuera del puerto apropiado, hacia el destino.
Para definir qué puerto usar para transmitir una trama, el switch primero debe saber qué
dispositivos existen en cada puerto. A medida que el switch aprende la relación de los puertos con
los dispositivos, construye una tabla llamada tabla de direcciones MAC. Esta tabla se almacena en
la Memoria de Contenido Direccionable (Content-Addressable Memory, CAM), la cual es un tipo
especial de memoria utilizada en aplicaciones de búsqueda de alta velocidad. Por esta razón, la
tabla de direcciones MAC a veces también se denomina tabla CAM.
Los switches LAN determinan cómo manejar las tramas de datos entrantes manteniendo la tabla de
direcciones MAC. Un switch llena su tabla de direcciones MAC al registrar la dirección MAC de
origen de cada dispositivo conectado a cada uno de sus puertos. El switch hace referencia a la
información en la tabla de direcciones MAC para enviar tramas destinadas a un dispositivo
específico fuera del puerto que se ha asignado a ese dispositivo.
2.1.3
El siguiente proceso de dos pasos se realiza para cada trama de Ethernet que ingresa a un switch.
Se revisa cada trama que ingresa a un switch para obtener información nueva. Esto se realiza
examinando la dirección MAC de origen de la trama y el número de puerto por el que ingresó al
switch.
Si la dirección MAC de destino es una dirección de unidifusión, el switch busca una coincidencia
entre la dirección MAC de destino de la trama y una entrada de la tabla de direcciones MAC:
Los switches toman decisiones de reenvío de capa 2 muy rápidamente. Esto se debe al software
en los circuitos integrados para aplicaciones específicas (ASIC, por sus siglas en ingles). Los ASIC
reducen el tiempo de manejo de paquetes dentro del dispositivo y permiten que el dispositivo
pueda manejar una mayor cantidad de puertos sin disminuir el rendimiento.
Los switches de capa 2 utilizan uno de estos dos métodos para cambiar tramas:
2.1.6
La figura ilustra cómo almacenar y reenviar toma una decisión basada en la trama Ethernet.
Switching por método de corte
Por el contrario, los switches que usan el método de corte pueden reenviar tramas no válidas, ya
que no realizan la verificación de FCS. Sin embargo, el switching de corte tiene la capacidad de
realizar un cambio de trama rápida. Esto significa que los switches que usan el método de corte
pueden tomar una decisión de reenvío tan pronto como encuentren la dirección MAC de destino de
la trama en la tabla de direcciones MAC, tal y como se muestra en la ilustración.
muestra un diagrama de una trama Ethernet, y resalta el hecho de que en el switching de corte
puede reenviar la trama una vez que lee la dirección MAC de destino
El switch no tiene que esperar a que el resto de la trama ingrese al puerto de entrada antes de
tomar la decisión de reenvío.
El switching libre de fragmentos es una forma modificada de corte, en la que el switch solo
comienza a reenviar la trama después de haber leído el campo Tipo. El switching libre de
fragmentos proporciona una mejor verificación de errores que el método de corte, con
prácticamente ningún aumento de latencia.
La velocidad de latencia más baja del switching por corte hace que resulte más adecuado para
las aplicaciones mas demandantes de Tecnología Informática de Alto Rendimiento (High-
Performance Computing, HPC) que requieren latencias de proceso a proceso de 10
microsegundos o menos.
El método switching de corte puede reenviar tramas con errores. Si hay un índice de error alto
(tramas no válidas) en la red, el switching por método de corte puede tener un impacto negativo
en el ancho de banda, de esta forma, se obstruye el ancho de banda con las tramas dañadas y
no válidas.
Dominios de colisiones
En el tema anterior, obtuvo una mejor comprensión de lo que es un switch y cómo funciona. En
este tema se explica cómo funcionan los switches entre sí y con otros dispositivos para eliminar
colisiones y reducir la congestión de la red. Los términos colisiones y congestión se utilizan aquí de
la misma manera que se utilizan en el tráfico callejero.
En segmentos Ethernet basados en hubs antiguos, los dispositivos de red compitieron por el medio
compartido. Los segmentos de red que comparten el mismo ancho de banda entre dispositivos se
conocen como dominios de colisión. Cuando dos o más dispositivos del mismo dominio de colisión
tratan de comunicarse al mismo tiempo, se produce una colisión.
Si un puerto Ethernet de switch funciona en semidúplex, cada segmento está en su propio dominio
de colisión. No hay dominios de colisión cuando los puertos del switch funcionan en dúplex
completo. Sin embargo, podría haber un dominio de colisión si un puerto de switch funciona en
semidúplex.
Como se muestra en la figura, se elige dúplex completo si ambos dispositivos cuentan con la
funcionalidad, junto con su ancho de banda común más elevado.
Cuando un dispositivo desea enviar una difusión de capa 2, la dirección MAC de destino de la
trama se establece solo en números uno binarios.
muestra una animación de diagrama de un mensaje de difusión que viaja a cada host conectado al
switch, y también de switch a switch, dentro del dominio de difusión o LAN
Cuando un switch recibe una trama de difusión, la reenvía por cada uno de sus puertos, excepto
por el puerto de entrada en el que se recibió la trama de difusión. Cada dispositivo conectado al
switch recibe una copia de la trama de difusión y la procesa.
En ocasiones, las difusiones son necesarias para localizar inicialmente otros dispositivos y
servicios de red, pero también reducen la eficacia de la red. El ancho de banda de red se usa
para propagar el tráfico de difusión. Si hay demasiadas difusiones y una carga de tráfico intensa
en una red, se puede producir una congestión, lo que reduce el rendimiento de la red.
Cuando hay dos switches conectados entre sí, se aumenta el dominio de difusión, como se ve
en la segunda mitad de la animación. En este caso, se reenvía una trama de difusión a todos los
puertos conectados en el switch S1. El switch S1 está conectado al switch S2. Luego, la trama
se propaga a todos los dispositivos conectados al switch S2.
Reenvío de trama
La decisión sobre cómo un switch reenvía el tráfico se toma en relación con el flujo de ese tráfico.
El término ingreso describe el puerto donde una trama ingresa a un dispositivo. El término salida
describe el puerto que las tramas utilizarán al salir del dispositivo. Una trama Ethernet nunca será
reenviada fuera del puerto donde ingresó. Para definir qué puerto usar para transmitir una trama, el
switch primero debe saber qué dispositivos existen en cada puerto. A medida que el switch aprende
la relación de los puertos con los dispositivos, construye una tabla llamada tabla de direcciones
MAC. Cada trama que ingresa a un switch se comprueba para obtener información nueva
examinando la dirección MAC de origen de la trama y el número de puerto donde la trama ingresó
al switch. Si la dirección MAC de destino es una dirección de unidifusión, el switch busca una
coincidencia entre la dirección MAC de destino de la trama y una entrada en la tabla de direcciones
MAC. Los métodos de reenvío de switches incluyen almacenamiento y reenvío y corte. Almacenaje
y reenvío utiliza la comprobación de errores y el almacenamiento en búfer automático. El corte no
comprueba errores. En su lugar, realiza un cambio rápido de trama. Esto significa que el switch
puede tomar una decisión de reenvío tan pronto como haya buscado la dirección MAC de destino
de la trama en su tabla de direcciones MAC.
Cambio de Dominio
Si un puerto Ethernet de switch funciona en semidúplex, cada segmento está en su propio dominio
de colisión. No hay dominios de colisión cuando los puertos del switch funcionan en dúplex
completo. De manera predeterminada, los puertos de Ethernet del switch negociarán
automáticamente el dúplex completo cuando el dispositivo adyacente también pueda funcionar en
dúplex completo. Una serie de switches interconectados forma un dominio de difusión simple. Solo
los dispositivos de capa de red, como los routers, pueden dividir un dominio de difusión de capa 2.
El dominio de difusión de capa 2 se denomina “dominio de difusión MAC”. El dominio de difusión
MAC consta de todos los dispositivos en la LAN que reciben tramas de difusión de un host. Cuando
un switch recibe una trama de difusión, la reenvía por cada uno de sus puertos, excepto el puerto
de entrada en el que se recibió la trama de difusión. Cada dispositivo conectado al switch recibe
una copia de la trama de difusión y la procesa. Los switches pueden: interconectar segmentos LAN,
usar una tabla de direcciones MAC para determinar los puertos de salida y pueden reducir o
eliminar por completo las colisiones. Para ayudar a aliviar la congestión, los switches utilizan
velocidades de puerto rápidas, cambio interno rápido, búferes de tramas grandes y densidades de
puertos altas
¿Por qué debería tomar este módulo?
Imagina que estás a cargo de una conferencia muy grande. Hay personas de todas partes que
comparten un interés común y algunas que también tienen una experiencia especial. Imagínese si
cada experto que quisiera presentar su información a un público más pequeño tuviera que hacerlo
en la misma sala grande con todos los demás expertos y sus audiencias más pequeñas. Nadie
podría oír nada. Tendrías que encontrar salas separadas para todos los expertos y sus audiencias
más pequeñas. La LAN virtual (VLAN) hace algo similar en una red. Las VLAN se crean en la Capa
2 para reducir o eliminar el tráfico de difusión. Las VLAN son la forma en que divide la red en redes
más pequeñas, de modo que los dispositivos y las personas dentro de una sola VLAN se
comunican entre sí y no tienen que administrar el tráfico de otras redes. El administrador de red
puede organizar las VLAN por ubicación, quién las está utilizando, el tipo de dispositivo o cualquier
categoría que se necesite. Sabes que quieres aprender a hacer esto, ¡así que no esperes!
3.0.2
Objetivos del módulo: Implemente VLAN y enlaces troncales en una red conmutada.
Definiciones de VLAN
Por supuesto, organizar su red en redes más pequeñas no es tan simple como separar tornillos y
ponerlos en frascos. Pero hará que su red sea más fácil de administrar. Dentro de una red
conmutada, las VLAN proporcionan la segmentación y la flexibilidad organizativa. Un grupo de
dispositivos dentro de una VLAN se comunica como si cada dispositivo estuviera conectados al
mismo cable. Las VLAN se basan en conexiones lógicas, en lugar de conexiones físicas.
Como se muestra en la figura, las VLAN en una red conmutada permiten a los usuarios de varios
departamentos (por ejemplo, TI, recursos humanos y ventas) conectarse a la misma red,
independientemente del switch físico que se esté utilizando o de la ubicación en una LAN del
campus.
Las VLAN permiten que el administrador divida las redes en segmentos según factores como la
función, el equipo del proyecto o la aplicación, sin tener en cuenta la ubicación física del usuario
o del dispositivo. Cada VLAN se considera una red lógica diferente. Los dispositivos dentro de
una VLAN funcionan como si estuvieran en su propia red independiente, aunque compartan una
misma infraestructura con otras VLAN. Cualquier puerto de switch puede pertenecer a una
VLAN.
Varias subredes IP pueden existir en una red conmutada, sin el uso de varias VLAN. Sin
embargo, los dispositivos estarán en el mismo dominio de difusión de capa 2. Esto significa que
todas las difusiones de capa 2, tales como una solicitud de ARP, serán recibidas por todos los
dispositivos de la red conmutada, incluso por aquellos que no se quiere que reciban la difusión.
Una VLAN crea un dominio de difusión lógico que puede abarcar varios segmentos LAN físicos.
Las VLAN mejoran el rendimiento de la red mediante la división de grandes dominios de difusión
en otros más pequeños. Si un dispositivo en una VLAN envía una trama de Ethernet de difusión,
todos los dispositivos en la VLAN reciben la trama, pero los dispositivos en otras VLAN no la
reciben.
Mediante las VLAN, los administradores de red pueden implementar políticas de acceso y
seguridad de acuerdo con a grupos específicos de usuarios. Cada puerto de switch se puede
asignar a una sola VLAN (a excepción de un puerto conectado a un teléfono IP o a otro switch).
Cada VLAN en una red conmutada corresponde a una red IP. Por lo tanto, el diseño de VLAN debe
tener en cuenta la implementación de un esquema de direccionamiento de red jerárquico. El
direccionamiento jerárquico de la red significa que los números de red IP se aplican a los
segmentos de red o a las VLAN de manera ordenada, lo que permite que la red se tome en cuenta
como conjunto. Los bloques de direcciones de red contiguas se reservan para los dispositivos en
un área específica de la red y se configuran en estos, como se muestra en la ilustración.
La figura muestra una topología de red con varios conmutadores, varias VLAN y direccionamiento
de red contiguo. En la parte superior de la topología hay un router R1 conectado a un switch de
abajo. El switch está conectado a otros dos switches. El conmutador de la izquierda tiene tres hosts
conectados a él, cada uno asignado a una VLAN diferente. PC1 conectado al puerto F0/11 tiene la
siguiente asignación: Facultad, VLAN 10, 172.17.10.21/24. PC2 conectado al puerto F0/18 tiene la
siguiente asignación: Estudiante, VLAN 20, 172.17.20.22/24. PC3 conectado al puerto F0/6 tiene la
siguiente asignación: Invitado, VLAN 30, 172.17.30.23/24. El conmutador de la derecha también
tiene tres hosts conectados a él, cada uno asignado a una VLAN diferente. PC4 conectado al
puerto F0/11 tiene la siguiente asignación: Facultad, VLAN 10, 172.17.10.24/24. PC5 conectado al
puerto F0/18 tiene la siguiente asignación: Estudiante, VLAN 20, 172.17.20.25/24. PC6 conectado
al puerto F0/6 tiene la siguiente asignación: Invitado, VLAN 30, 172.1.7.20.26/24.
Ventaja Descripción
VLAN predeterminada
La VLAN predeterminada para los switches Cisco es la VLAN 1. Por lo tanto, todos los puertos
del switch están en VLAN 1 a menos que esté configurado explícitamente para estar en otra
VLAN. Todo el tráfico de control de capa 2 se asocia a la VLAN 1 de manera predeterminada.
Entre los datos importantes que hay que recordar acerca de la VLAN 1 se incluyen los
siguientes:
● Todos los puertos se asignan a la VLAN 1 de manera predeterminada.
● De manera predeterminada, la VLAN nativa es la VLAN 1.
● De manera predeterminada, la VLAN de administración es la VLAN 1.
● No es posible eliminar ni cambiar el nombre de VLAN 1.
Por ejemplo, en la show vlan brief ilustración, todos los puertos están asignados a la VLAN 1
predeterminada. No hay ninguna VLAN nativa asignada explícitamente ni otras VLAN activas;
por lo tanto, la VLAN nativa de la red que se diseñó es la VLAN de administración. Esto se
considera un riesgo de seguridad.
VLAN de datos
Las VLAN de datos son VLAN configuradas para separar el tráfico generado por el usuario. Las
VLAN de datos se usan para dividir la red en grupos de usuarios o dispositivos. Una red
moderna tendría muchas VLAN de datos en función de los requisitos organizativos. Tenga en
cuenta que no se debe permitir el tráfico de administración de voz y red en las VLAN de datos.
VLAN nativa
El tráfico de usuario de una VLAN debe etiquetarse con su ID de VLAN cuando se envía a otro
switch. Los puertos troncal se utilizan entre conmutadores para admitir la transmisión de tráfico
etiquetado. Específicamente, un puerto troncal 802.1Q inserta una etiqueta de 4 bytes en el
encabezado de trama Ethernet para identificar la VLAN a la que pertenece la trama.
Es posible que un switch también tenga que enviar tráfico sin etiqueta a través de un enlace
troncal. El tráfico sin etiquetas es generado por un switch y también puede provenir de
dispositivos heredados. El puerto de enlace troncal 802.1Q coloca el tráfico sin etiquetar en la
VLAN nativa. La VLAN nativa en un switch Cisco es VLAN 1 (es decir, VLAN predeterminada).
Se recomienda configurar la VLAN nativa como VLAN sin utilizar, independiente de la VLAN 1 y
de otras VLAN. De hecho, es común utilizar una VLAN fija para que funcione como VLAN nativa
para todos los puertos de enlace troncal en el dominio conmutado.
VLAN de administración
Una VLAN de administración es una VLAN de datos configurada específicamente para el tráfico
de administración de red, incluyendo SSH, Telnet, HTTPS, HHTP y SNMP. De forma
predeterminada, la VLAN 1 se configura como la VLAN de administración en un conmutador de
capa 2.
VLAN de voz
Se necesita una VLAN separada para admitir la tecnología de voz sobre IP (VoIP). Para el
tráfico de VoIP, se necesita lo siguiente:
Para cumplir estos requerimientos, se debe diseñar la red completa para que admita VoIP.
En la figura, la VLAN 150 se diseña para enviar tráfico de voz. La computadora del estudiante
PC5 está conectada al teléfono IP de Cisco y el teléfono está conectado al switch S3. La PC5
está en la VLAN 20 que se utiliza para los datos de los estudiantes.
La figura muestra un host conectado a un teléfono IP que muestra la configuración de una VLAN
de voz y datos. En la parte superior del diagrama se encuentra el router R1 conectado a través
de la interfaz G0/0/1 al conmutador S1 en el puerto F0/5. S1 está configurado para admitir el
tráfico de voz de la siguiente manera: utiliza VLAN 150 para VLAN de voz y prioriza el tráfico de
voz. S1 está conectado a través del puerto F0/3 para conmutar S3 en el puerto F0/3. S3 se
conecta a través del puerto F0/18 a un teléfono IP que luego se conecta al host PC5. PC5 tiene
la siguiente tarea: Estudiante, VLAN 20, 172.17.20.25. El puerto F0/18 en S3 está configurado
para soportar el tráfico de voz: el puerto envía tramas CDP para proporcionar información
utilizada por el teléfono IP y el puerto reenvía tramas asociadas con VLAN 150.
Definición de troncos de VLAN
Las VLAN no serían muy útiles sin los enlaces troncales de VLAN. Los troncos de VLAN permiten
que todo el tráfico de VLAN se propague entre conmutadores. Esto permite que los dispositivos
conectados a diferentes switches pero en la misma VLAN se comuniquen sin pasar por un router.
Un enlace troncal es un enlace punto a punto entre dos dispositivos de red que lleva más de una
VLAN. Un enlace troncal de VLAN amplía las VLAN a través de toda la red. Cisco admite IEEE
802.1Q para coordinar enlaces troncales en las interfaces Fast Ethernet, Gigabit Ethernet y 10-
Gigabit Ethernet.
Un enlace troncal no pertenece a una VLAN específica. Es más bien un conducto para las VLAN
entre los switches y los routers. También se puede utilizar un enlace troncal entre un dispositivo de
red y un servidor u otro dispositivo que cuente con una NIC con capacidad 802.1Q. En los switches
Cisco Catalyst, se admiten todas las VLAN en un puerto de enlace troncal de manera
predeterminada.
En la ilustración, los enlaces entre los switches S1 y S2, y S1 y S3 se configuraron para transmitir
el tráfico proveniente de las VLAN 10, 20, 30 y 99 a través de la red. Esta red no podría funcionar
sin los enlaces troncales de VLAN.
La figura es una topología de red con varios conmutadores y varias VLAN que resaltan los vínculos
troncal de VLAN entre los conmutadores. En la parte superior de la topología está el interruptor S1.
S1 está conectado a través del puerto F0/1 al conmutador S2 en el puerto F0/1. Esta conexión se
resalta. S1 también está conectado a través del puerto F0/3 para conmutar S3 en el puerto F0/3.
Esta conexión también se resalta. Tanto S2 como S3 tienen tres hosts conectados a ellos, cada
uno asignado a una VLAN diferente. Están conectados a S2 PC1, PC2 y PC3. PC1 está conectado
al puerto F0/11 tiene la siguiente asignación: Facultad, VLAN 10, 172.17.10.21. PC2 está
conectado al puerto F0/18 tiene la siguiente asignación: Estudiante, VLAN 20, 172.17.20.22. PC3
está conectado al puerto F0/6 tiene la siguiente asignación: Invitado, VLAN 30, 172.17.30.23. Están
conectados a S3 PC4, PC5 y PC6. PC4 está conectado al puerto F0/11 tiene la siguiente
asignación: Facultad, VLAN 10, 172.17.10.24. PC5 está conectado al puerto F0/18 tiene la
siguiente asignación: Estudiante, VLAN 20, 172.17.20.25. PC6 está conectado al puerto F0/6 tiene
la siguiente asignación: Invitado, VLAN 30, 172.1.7.20.26.
En condiciones normales de funcionamiento, cuando un switch recibe una trama de difusión en uno
de sus puertos, reenvía la trama por todos los demás puertos, excepto el puerto por donde recibió
la difusión. En la animación de la figura se configuró toda la red en la misma subred
(172.17.40.0/24), y no se configuró ninguna VLAN. Como consecuencia, cuando la computadora
del cuerpo docente (PC1) envía una trama de difusión, el switch S2 envía dicha trama de difusión
por todos sus puertos. Finalmente, toda la red recibe la difusión porque la red es un dominio de
difusión.
Los puertos que componen la conexión entre los switches S2 y S1 (puertos F0/1), y entre el S1 y
el S3 (puertos F0/3) son enlaces troncales y se configuraron para admitir todas las VLAN en la
red.
Cuando el S1 recibe la trama de difusión en el puerto F0/1, reenvía la trama de difusión por el
único puerto configurado para admitir la VLAN 10, que es el puerto F0/3. Cuando el S3 recibe la
trama de difusión en el puerto F0/3, reenvía la trama de difusión por el único puerto configurado
para admitir la VLAN 10, que es el puerto F0/11. La trama de difusión llega a la única otra
computadora de la red configurada en la VLAN 10, que es la computadora PC4 del cuerpo
docente.
Cuando el switch recibe una trama en un puerto configurado en modo de acceso y asignado a una
VLAN, el switch coloca una etiqueta VLAN en el encabezado de la trama, vuelve a calcular la
Secuencia de Verificación de Tramas (FCS) y envía la trama etiquetada por un puerto de enlace
troncal.
● Tipo - Un valor de 2 bytes denominado “ID de Protocolo de Etiqueta” (TPID). Para Ethernet,
este valor se establece en 0x8100 hexadecimal.
● Prioridad de usuario - Es un valor de 3 bits que admite la implementación de nivel o de
servicio.
● Identificador de Formato Canónico (CFI) - Es un identificador de 1 bit que habilita las
tramas Token Ring que se van a transportar a través de los enlaces Ethernet.
● VLAN ID (VID) - Es un número de identificación de VLAN de 12 bits que admite hasta 4096
ID de VLAN.
Una vez que el switch introduce los campos tipo y de información de control de etiquetas, vuelve a
calcular los valores de la FCS e inserta la nueva FCS en la trama.
La figura muestra una etiqueta de VLAN que se inserta en un encabezado de trama. En la parte
superior de la figura hay un marco que muestra los siguientes campos: Dst MAC, SRC MAC,
Tipo/Longitud, Datos y FCS. Debajo está el marco que se muestra de nuevo, esta vez con el
campo Etiqueta insertado entre los campos MAC de Src y Tipo/Longitud. Debajo están los
siguientes subcampos de la etiqueta y su longitud: Tipo (0x8100), longitud 2 Bytes; Pri, longitud 3
bits; CFI, longitud 1 bit; y VID, longitud 12 bits.
VLAN nativas y etiquetado de 802.1Q
El estándar IEEE 802.1Q especifica una VLAN nativa para los enlaces troncal, que por defecto es
VLAN 1. Cuando un marco sin etiqueta llega a un puerto troncal, se asigna a la VLAN nativa. Las
tramas de administración que se envían entre conmutadores es un ejemplo de tráfico que
normalmente no se etiqueta. Si el vínculo entre dos switches es un tronco, el switch envía el tráfico
sin etiqueta en la VLAN nativa.
Algunos dispositivos que admiten los enlaces troncales agregan una etiqueta VLAN al tráfico de las
VLAN nativas. El tráfico de control que se envía por la VLAN nativa no se debe etiquetar. Si un
puerto de enlace troncal 802.1Q recibe una trama etiquetada con la misma ID de VLAN que la
VLAN nativa, descarta la trama. Por consiguiente, al configurar un puerto de un switch Cisco,
configure los dispositivos de modo que no envíen tramas etiquetadas por la VLAN nativa. Los
dispositivos de otros proveedores que admiten tramas etiquetadas en la VLAN nativa incluyen:
teléfonos IP, servidores, routers y switches que no pertenecen a Cisco.
Cuando un puerto de enlace troncal de un switch Cisco recibe tramas sin etiquetar (poco usuales
en las redes bien diseñadas), envía esas tramas a la VLAN nativa. Si no hay dispositivos asociados
a la VLAN nativa (lo que es usual) y no existen otros puertos de enlace troncal (es usual), se
descarta la trama. La VLAN nativa predeterminada es la VLAN 1. Al configurar un puerto de enlace
troncal 802.1Q, se asigna el valor de la ID de VLAN nativa a la ID de VLAN de puerto (PVID)
predeterminada. Todo el tráfico sin etiquetar entrante o saliente del puerto 802.1Q se reenvía
según el valor de la PVID. Por ejemplo, si se configura la VLAN 99 como VLAN nativa, la PVID es
99, y todo el tráfico sin etiquetar se reenvía a la VLAN 99. Si no se volvió a configurar la VLAN
nativa, el valor de la PVID se establece en VLAN 1.
La PC1 envía el tráfico sin etiquetar, que los switches asocian a la VLAN nativa configurada en
los puertos de enlace troncal y que reenvían según corresponda. El tráfico etiquetado del enlace
troncal que recibe la PC1 se descarta. Esta situación refleja un diseño de red deficiente por
varios motivos: utiliza un hub, tiene un host conectado a un enlace troncal y esto implica que los
switches tengan puertos de acceso asignados a la VLAN nativa. También ilustra la motivación
de la especificación IEEE 802.1Q para que las VLAN nativas sean un medio de manejo de
entornos antiguos.
Se necesita una red VLAN de voz separada para admitir VoIP. Esto permite aplicar políticas de
calidad de servicio (QoS) y seguridad al tráfico de voz.
El puerto de acceso del switch envía paquetes CDP que indican al teléfono IP conectado que envíe
tráfico de voz de una de las tres maneras. El método utilizado varía según el tipo de tráfico:
● El tráfico VLAN de voz debe etiquetarse con un valor de prioridad CoS de Capa 2
adecuado.
● En una VLAN de acceso con una etiqueta de valor de prioridad de CoS de capa 2
● En una VLAN de acceso sin etiqueta (sin valor de prioridad de CoS de capa 2)
Se muestra la salida de ejemplo para el show interface fa0/18 switchport comando. El análisis de
los comandos de voz de Cisco IOS excede el ámbito de este curso, pero las áreas resaltadas en el
resultado de ejemplo muestran que la interfaz F0/18 se configuró con una VLAN configurada para
datos (VLAN 20) y una VLAN configurada para voz (VLAN 150).
S1# show interfaces fa0/18 switchport
Name: Fa0/18
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 20 (student)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Crear VLAN, como la mayoría de los demás aspectos de la red, es cuestión de introducir los
comandos apropiados. En este tema se detalla cómo configurar y verificar diferentes tipos de
VLAN.
Los distintos switches Cisco Catalyst admiten diversas cantidades de VLAN. La cantidad de VLAN
que admiten es suficiente para satisfacer las necesidades de la mayoría de las organizaciones. Por
ejemplo, los switches de las series Catalyst 2960 y 3560 admiten más de 4000 VLAN. Las VLAN de
rango normal en estos switches se numeran del 1 al 1005, y las VLAN de rango extendido se
numeran del 1006 al 4094. En la ilustración, se muestran las VLAN disponibles en un switch
Catalyst 2960 que ejecuta IOS de Cisco, versión 15.x.
3.3.2
Ingresa al modo de
Switch# configure terminal
configuración global.
Especificar un nombre
único para identificar la Switch(config-vlan)# name vlan-name
VLAN.
En la figura, se muestra cómo se configura la VLAN para estudiantes (VLAN 20) en el switch S1.
S1(config-vlan)# end
Nota: Además de introducir una única ID de VLAN, se puede introducir una serie de ID de VLAN
separadas por comas o un rango de ID de VLAN separado por guiones usando el vlan comando
vlan-id . Por ejemplo, al introducir el comando de configuración vlan 100,102,105-107 global se
crearían las VLAN 100, 102, 105, 106 y 107.
3.3.4
Comandos de asignación de puertos
VLAN
En la figura se muestra la sintaxis para definir un puerto como puerto de acceso y asignarlo a una
VLAN. EL switchport mode access comando es optativo, pero se aconseja como práctica
recomendada de seguridad. Con este comando, la interfaz cambia al modo de acceso permanente.
Nota: Use el interface range comando para configurar simultáneamente varias interfaces
3.3.5
S1(config-if)# end
3.3.6
Utilice el comando switchport voice vlan vlan-id interface configuration para asignar una VLAN de
voz a un puerto.
Las redes LAN que admiten tráfico de voz por lo general también tienen la Calidad de Servicio
(QoS) habilitada. El tráfico de voz debe etiquetarse como confiable apenas ingrese en la red. Use el
mls qos trust [cos | device cisco-phone | dscp | ip-precedence] comando de configuración para
establecer el estado confiable de una interfaz, y para indicar qué campos del paquete se usan para
clasificar el tráfico.
La configuración en el ejemplo crea las dos VLAN (es decir, VLAN 20 y VLAN 150), y a
continuación, asigna la interfaz F0/18 de S3 como un puerto de switch en VLAN 20. También
asigna el tráfico de voz en VLAN 150 y permite la clasificación de QoS basada en la Clase de
Servicio (CoS) asignado por el teléfono IP.
S3(config)# vlan 20
S3(config-vlan)# name student
S3(config-vlan)# vlan 150
S3(config-vlan)# name VOICE
S3(config-vlan)# exit
S3(config)# interface fa0/18
S3(config-if)# switchport mode access
S3(config-if)# switchport access vlan 20
S3(config-if)# mls qos trust cos
S3(config-if)# switchport voice vlan 150
S3(config-if)# end
S3#
3.3.8
Una vez que se configura una VLAN, se puede validar la configuración con los comandos show de
IOS de Cisco
El show vlan comando muestra la lista de todas las VLAN configuradas. El show vlan comando
también se puede utilizar con opciones. La sintaxis completa es show vlan [brief | id vlan-id |
name vlan-name | summary].
El show vlan summary comando muestra la lista de todas las VLAN configuradas.
Otros comandos útiles son el comando show interfaces interface-id switchport y el comando
show interfaces vlan vlan-id. Por ejemplo, el show interfaces fa0/18 switchport comando se
puede utilizar para confirmar que el puerto FastEthernet 0/18 se ha asignado correctamente a las
VLAN de datos y voz.
(Output omitted)
3.3.9
Si el puerto de acceso del switch se ha asignado incorrectamente a una VLAN, simplemente vuelva
a ingresar el comando switchport access vlan vlan-id interface configuration con el ID de VLAN
correcto. Por ejemplo, suponga que Fa0/18 se configuró incorrectamente para estar en la VLAN 1
predeterminada en lugar de la VLAN 20. Para cambiar el puerto a VLAN 20, simplemente ingrese
switchport access vlan 20.
En la salida, por ejemplo, Fa0/18 está configurado para estar en la VLAN 1 predeterminada, tal
como lo confirma el show vlan brief comando.
La show interfaces f0/18 switchport salida también se puede utilizar para verificar que la VLAN
de acceso para la interfaz F0/18 se ha restablecido a la VLAN 1 como se muestra en la salida.
3.3.10
El comando de modo de configuración global no vlan vlan-id se usa para remover una VLAN desde
el archivo del switch vlan.dat.
Precaución: Antes de borrar una VLAN, reasigne todos los puertos miembros a una VLAN distinta.
Los puertos que no se trasladen a una VLAN activa no se podrán comunicar con otros hosts una
vez que se elimine la VLAN y hasta que se asignen a una VLAN activa.
Se puede eliminar el archivo vlan.dat en su totalidad con el comando delete flash:vlan.dat delete
flash:vlan.datdel modo EXEC con privilegios. Se puede utilizar la versión abreviada del comando
(delete vlan.dat) delete vlan.dat si no se trasladó el archivo vlan.dat de su ubicación
predeterminada. Después de emitir este comando y de volver a cargar el switch, las VLAN
configuradas anteriormente ya no están presentes. Esto vuelve al switch a la condición
predeterminada de fábrica con respecto a la configuración de VLAN.
3.3.11
Comprobador de sintaxis - Configuración
de VLAN
S1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)#vlan 20
S1(config-vlan)#name student
S1(config-vlan)#end
*Mar 31, 08:55:14.5555: %SYS-5-CONFIG_I: Configured from console by
console
S1#configure terminal
S1(config)#vlan 150
S1(config-vlan)#name VOICE
S1(config-vlan)#exit
Complete los siguientes pasos para asignar las VLAN de voz y datos a un puerto:
S1(config)#interface fa0/18
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 20
S1(config-if)#mls qos trust cos
S1(config-if)#switchport voice vlan 150
S1(config-if)#end
Complete los siguientes pasos para eliminar y verificar una VLAN eliminada en un puerto:
S1#configure terminal
S1(config)#interface fa0/18
S1(config-if)#no switchport access vlan
S1(config-if)#do show vlan brief
VLAN Name Status Ports
---- -------------------------------- ---------
-------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3,
Fa0/4
Fa0/5, Fa0/6, Fa0/7,
Fa0/8
Fa0/9, Fa0/10, Fa0/11,
Fa0/12
Fa0/13, Fa0/14, Fa0/15,
Fa0/16
Fa0/17, Fa0/18, Fa0/19,
Fa0/20
Fa0/21, Fa0/22, Fa0/23,
Fa0/24
Gi0/1, Gi0/2
20 student active
150 VOICE active Fa0/18
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
S1(config-if)#interface fa0/11
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 20
S1(config-if)#end
Muestre la información del puerto de switch. fa0/11 Utilícelo para la designación de interfaz.
omandos de configuración
troncal
Ingrese al modo de
Switch# configure terminal
configuración global.
Ingrese el modo de
configuración de Switch(config)# interface interface-id
interfaz.
Establezca el puerto en
modo de enlace troncal Switch(config-if)# switchport mode trunk
permanente.
Cambie la configuración
Switch(config-if)# switchport trunk native
de la VLAN nativa a otra
vlan vlan-id
opción que no sea VLAN 1.
Especifique la lista de
Switch(config-if)# switchport trunk allowed
VLAN que se permitirán en
vlan vlan-list
el enlace troncal.
Ejemplo de configuración de
troncal
S1(config-if)# end
Nota: Esta configuración supone el uso de los switches Cisco Catalyst 2960 que utilizan de manera
automática la encapsulación 802.1Q en los enlaces troncales. Es posible que otros switches
requieran la configuración manual de la encapsulación. Siempre configure ambos extremos de un
enlace troncal con la misma VLAN nativa. Si la configuración de enlace troncal 802.1Q no es la
misma en ambos extremos, el software IOS de Cisco registra errores.
3.4.3
La salida del switch muestra la configuración del puerto del switch F0/1 en el switch S1. La
configuración se verifica con el show interfaces comando switchport interface-ID.
(output omitted)
En el área superior resaltada, se muestra que el modo administrativo del puerto F0/1 se estableció
en trunk. El puerto está en modo de enlace troncal. En la siguiente área resaltada, se verifica que
la VLAN nativa es la VLAN 99. Más abajo en el resultado, en el área inferior resaltada, se muestra
que las VLAN 10,20,30 y 99 están habilitadas en el enlace troncal.
3.4.4
Use el no switchport trunk allowed vlan y el no switchport trunk native vlan comando para
eliminar las VLAN permitidas y restablecer la VLAN nativa del enlace troncal. Cuando se restablece
al estado predeterminado, el enlace troncal permite todas las VLAN y utiliza la VLAN 1 como VLAN
nativa. El ejemplo muestra los comandos utilizados para restablecer todas las características de
enlace troncal de una interfaz troncal a la configuración predeterminada.
S1(config-if)# end
The show interfaces f0/1 switchport command reveals that the trunk has been reconfigured to a
default state.
(output omitted)
La figura muestra el resultado de los comandos utilizados para eliminar la característica de enlace
troncal del puerto F0/1 del switch S1. El show interfaces f0/1 switchport comando revela que la
interfaz F0/1 ahora está en modo de acceso estático.
(output omitted)
Introducción a DTP
Algunos switches Cisco tienen un protocolo propietario que les permite negociar automáticamente
la conexión troncal con un dispositivo vecino. Este protocolo se denomina Protocolo de Enlace
Troncal Dinámico (DTP). DTP puede acelerar el proceso de configuración de un administrador de
red. Las interfaces troncal Ethernet admiten diferentes modos de enlace troncal. Una interfaz se
puede establecer en trunking o no trunking, o para negociar trunking con la interfaz vecina. La
negociación de enlaces troncales entre dispositivos de red la maneja el Protocolo de Enlace
Troncal Dinámico (DTP), que solo funciona de punto a punto.
DTP es un protocolo exclusivo de Cisco que se habilita de manera automática en los switches de
las series Catalyst 2960 y Catalyst 3560. DTP maneja la negociación de enlaces troncales sólo si el
puerto del switch vecino está configurado en un modo de enlace troncal que admite DTP. Los
switches de otros proveedores no admiten el DTP.
Precaución: Algunos dispositivos de interredes pueden reenviar tramas DTP de manera incorrecta,
lo que puede causar errores de configuración. Para evitar esto, desactive el DTP en las interfaces
de un switch de Cisco conectado a dispositivos que no admiten DTP.
La configuración DTP predeterminada para los switches Catalyst 2960 y 3650 de Cisco es
automática dinámica.
Para habilitar los enlaces troncales desde un switch de Cisco hacia un dispositivo que no admite
DTP, utilice los comandos switchport mode trunk y switchport nonegotiate interface
configuration mode commands. Esto hace que la interfaz se convierta en un tronco, pero no
generará tramas DTP.
Para volver a habilitar el protocolo de enlace troncal dinámico, utilice el switchport mode dynamic
auto comando.
Si los puertos que conectan dos conmutadores están configurados para ignorar todos los anuncios
DTP con los switchport mode trunk comandos switchport nonegotiate y, los puertos se
quedarán en modo de puerto troncal. Si los puertos de conexión están configurados en automático
dinámico, no negociarán un tronco y permanecerán en el estado de modo de acceso, creando un
enlace troncal inactivo.
Cuando configure un puerto para que esté en modo de enlace troncal, utilice el switchport mode
trunk comando. No existe ambigüedad sobre el estado en que se encuentra el enlace troncal: este
se encuentra siempre activo.
3.5.2
Opción Descripción
3.5.3
Dinámico Dinámico
Troncal Acceso
automático deseado
Dinámico
Acceso Troncal Troncal Acceso
automático
Dinámico
Troncal Troncal Troncal Acceso
deseado
Conectividad
Troncal Troncal Troncal Troncal
limitada
Conectividad
Acceso Acceso Acceso Acceso
limitada
3.5.4
El modo DTP predeterminado depende de la versión del software Cisco IOS y de la plataforma.
Para determinar el modo DTP actual, ejecute el show dtp interface comando como se muestra en
la salida.
Nota: Una mejor práctica general cuando se requiere un enlace troncal es establecer la interfaz en
trunk y nonegotiate cuando se necesita un enlace troncal. Se debe inhabilitar DTP en los enlaces
cuando no se deben usar enlaces troncales.
¿Qué aprenderé en este módulo?
Las LANS virtuales (VLANs) es un grupo de dispositivos dentro de una VLAN que puede
comunicarse con cada dispositivo como si estuvieran conectados al mismo cable. Las VLAN se
basan en conexiones lógicas, en lugar de conexiones físicas. Los administradores utilizan VLAN
para segmentar redes en función de factores como la función, el equipo o la aplicación. Cada VLAN
se considera una red lógica diferente. Cualquier puerto de switch puede pertenecer a una VLAN.
Una VLAN crea un dominio de difusión lógico que puede abarcar varios segmentos LAN físicos.
Las VLAN mejoran el rendimiento de la red mediante la división de grandes dominios de difusión en
otros más pequeños. Cada VLAN de una red conmutada corresponde a una red IP; por lo tanto, el
diseño de VLAN debe utilizar un esquema jerárquico de direccionamiento de red. Los tipos de
VLAN incluyen la VLAN predeterminada, las VLAN de datos, la VLAN nativa, las VLAN de
administración. y las VLAN de voz.
Un enlace troncal no pertenece a una VLAN específica. Es un conducto para las VLAN entre los
switches y los routers. Un enlace troncal es un enlace punto a punto entre dos dispositivos de red
que lleva más de una VLAN. Un enlace troncal de VLAN amplía las VLAN a través de toda la red.
Cuando se implementan las VLAN en un switch, la transmisión del tráfico de unidifusión,
multidifusión y difusión desde un host en una VLAN en particular se limita a los dispositivos
presentes en esa VLAN. Los campos de etiqueta de VLAN incluyen el tipo, prioridad de usuario,
CFI y VID. Algunos dispositivos que admiten los enlaces troncales agregan una etiqueta VLAN al
tráfico de las VLAN nativas. Si un puerto de enlace troncal 802.1Q recibe una trama etiquetada con
la misma ID de VLAN que la VLAN nativa, descarta la trama. Se necesita una red VLAN de voz
separada para admitir VoIP. Las directivas de QoS y seguridad se pueden aplicar al tráfico de voz.
El tráfico VLAN de voz debe etiquetarse con un valor de prioridad CoS de Capa 2 adecuado.
Configuración de VLAN
Los diferentes switches Catalyst de Cisco soportan varias cantidades de VLAN, incluidas las VLAN
de rango normal y las VLAN de rango extendido. Al configurar redes VLAN de rango normal, los
detalles de configuración se almacenan en la memoria flash del switch en un archivo denominado
vlan.dat. Aunque no es necesario, se recomienda guardar los cambios de configuración en
ejecución en la configuración de inicio. Después de crear una VLAN, el siguiente paso es asignar
puertos a la VLAN. Hay muchos comandos para definir un puerto como puerto de acceso y
asignarlo a una VLAN. Las VLAN se configuran en el puerto del switch y no en el terminal. Un
puerto de acceso puede pertenecer a sólo una VLAN por vez. Sin embargo un puerto puede
tambien estar asociado a una VLAN de voz. Por ejemplo, un puerto conectado a un teléfono IP y un
dispositivo final se asociaría con dos VLAN: una para voz y otra para datos. Una vez que se
configura una VLAN, se puede validar la configuración con los comandos show show de IOS de
Cisco Si el puerto de acceso del switch se ha asignado incorrectamente a una VLAN, simplemente
vuelva a ingresar el comando switchport access vlan vlan-id interface configuration con el ID de
VLAN correcto. El comando de modo de configuración gloabl no vlan vlan-id se usa para remover
una VLAN desde el archivo del switch vl vlan.dat.
Enlace troncal de VLAN
Un enlace troncal de VLAN es un enlace de capa 2 entre dos switches que transporta el tráfico para
todas las VLAN. Hay varios comandos para configurar los puertos de interconexión. Para verificar
la configuración troncal de VLAN , utilice el switchport comando show interfaces interface-ID.
Use el no switchport trunk allowed vlan y el no switchport trunk native vlan comando para
eliminar las VLAN permitidas y restablecer la VLAN nativa del enlace troncal.
Una interfaz se puede establecer en trunking o no trunking, o para negociar trunking con la interfaz
vecina. La negociación de enlaces troncales entre dispositivos de red la maneja el Protocolo de
Enlace Troncal Dinámico (DTP), que solo funciona de punto a punto. DTP maneja la negociación
de enlaces troncales solo si el puerto del switch vecino está configurado en un modo de enlace
troncal que admite DTP. Para habilitar los enlaces troncales desde un switch de Cisco hacia un
dispositivo que no admite DTP, utilice los comandos de modo de configuración de interfaz
switchport mode trunk y switchport nonegotiate El switchport mode comando tiene opciones
adicionales para negociar el modo de interfaz, incluyendo acceso, automático dinámico, dinámico
deseable y troncal. Para verificar el modo DTP actual, ejecute el show dtp interface comando.
Las VLAN se utilizan para segmentar las redes de switch de Capa 2 por diversas razones.
Independientemente del motivo, los hosts de una VLAN no pueden comunicarse con los hosts de
otra VLAN a menos que haya un router o un switch de capa 3 para proporcionar servicios de
enrutamiento.
Inter-VLA routing es el proceso de reenviar el tráfico de red de una VLAN a otra VLAN.
4.1.2
La primera solución de inter-VLAN routing se basó en el uso de un router con múltiples interfaces
Ethernet. Cada interfaz del router estaba conectada a un puerto del switch en diferentes VLAN. Las
interfaces del router sirven como default gateways para los hosts locales en la subred de la VLAN.
Por ejemplo, consulte la topología donde R1 tiene dos interfaces conectadas al switch S1.
El puerto Fa0/1 está asignado a la VLAN 10 y está conectado a la interfaz R1 G0/0/0. El puerto
Fa0/11 está asignado a la VLAN 10 y está conectado a PC1. El puerto Fa0/12 está asignado a la
VLAN 20 y está conectado a la interfaz R1 G0/0/1. El puerto Fa0/11 está asignado a la VLAN 20 y
está conectado a PC2.
Cuando PC1 envía un paquete a PC2 en otra red, lo reenvía a su puerta de enlace predeterminada
192.168.10.1. R1 recibe el paquete en su interfaz G0/0/0 y examina la dirección de destino del
paquete. R1 luego enruta el paquete hacia fuera de su interfaz G0/0/1 al puerto F0/12 en la VLAN
20 en S1. Finalmente, S1 reenvía la trama a PC2.
Inter-VLAN routing heredado, usa las interfaces fisicas funciona, pero tiene limitaciones
significantes. No es razonablemente escalable porque los routers tienen un número limitado de
interfaces físicas. Requerir una interfaz física del router por VLAN agota rápidamente la capacidad
de la interfaz física del router
En nuestro ejemplo, R1 requería dos interfaces Ethernet separadas para enrutar entre la VLAN 10
y la VLAN 20. ¿Qué ocurre si hubiera seis (o más) VLAN para interconectar? Se necesitaría una
interfaz separada para cada VLAN. Obviamente, esta solución no es escalable.
Nota: Este método de inter-VLAN routing ya no se implementa en redes de switches y se incluye
únicamente con fines explicativos.
4.1.3
Una interfaz Ethernet del router Cisco IOS se configura como un troncal 802.1Q y se conecta a un
puerto troncal en un switch de capa 2. Específicamente, la interfaz del router se configura mediante
subinterfaces para identificar VLAN enrutables.
Las subinterfaces configuradas son interfaces virtuales basadas en software. Cada uno está
asociado a una única interfaz Ethernet física. Estas subinterfaces se configuran en el software del
router. Cada una se configura de forma independiente con sus propias direcciones IP y una
asignación de VLAN. Las subinterfaces se configuran para subredes diferentes que corresponden a
su asignación de VLAN. Esto facilita el enrutamiento lógico.
Cuando el tráfico etiquetado de VLAN entra en la interfaz del router, se reenvía a la subinterfaz de
VLAN. Después de tomar una decisión de enrutamiento basada en la dirección de red IP de
destino, el router determina la interfaz de salida del tráfico. Si la interfaz de salida está configurada
como una subinterfaz 802.1q, las tramas de datos se etiquetan VLAN con la nueva VLAN y se
envían de vuelta a la interfaz física.
Haga clic en Reproducir en la figura para ver una animación de la forma en que un router-on-a-stick
desempeña su función de routing.
4.1.4
Nota: Un switch de capa 3 también se denomina switch multicapa ya que funciona en la capa 2 y la
capa 3. Sin embargo, en este curso usamos el término switch de capa 3.
La topología de red física muestra dos PC, dos switches de capa 2 y un switch de capa 3. El PC de
la izquierda está en VLAN 10 y está conectado a un switch de capa 2 que a su vez está conectado
al switch de capa 3. El PC de la derecha está en VLAN 20 y está conectado a un switch de capa 2
que a su vez está conectado al switch de capa 3. El switch de capa 3 tiene dos interfaces SVI. SVI1
está en VLAN 10 y tiene la dirección IP 10.1.10.1. SVI2 está en VLAN 20 y tiene la dirección IP
10.1.20.1.
Escenario Router-on-a-Stick
subinter
VLAN Dirección IP
faz
G0/0/1.1 192.168.10.1/2
10
0 4
G0/0/1.2 192.168.20.1/2
20
0 4
G0/0/1.9 192.168.99.1/2
99
9 4
Suponga que R1, S1 y S2 tienen configuraciones básicas iniciales.
Actualmente, PC1 y PC2 no pueden ping entre sí porque están en redes
separadas. Sólo S1 y S2 pueden ping uno al otro, pero son inalcanzables
por PC1 o PC2 porque también están en diferentes redes.
Para permitir que los dispositivos se hagan ping entre sí, los switches
deben configurarse con VLAN y trunking, y el router debe configurarse
para el inter-VLAN routing.
4.2.2
La topología de red física muestra dos PC, dos switches y un router. PC1
tiene la dirección IP 192.168.10.10/24. PC2 tiene la dirección IP
192.168.20.10/24. PC1 se conecta al switch S1 en el puerto F0/6. PC2 se
conecta al switch S2 en el puerto F0/18. El switch S1 y el switch S2
están interconectados entre sí en el puerto F0/1. El switch S1 está
conectado al router R1 en el puerto del switch F0/5 que se conecta a las
interfaces G0/0/1 en R1. La dirección IP de administración en S1 es
192.168.99.2/24. La dirección IP de administración en S1 es
192.168.99.3/24.
1. Crear y nombrar los VLANs.
En primer lugar, las VLAN se crean y nombran. Las VLAN sólo se crean después de salir del
modo de subconfiguración de VLAN.
S1(config)# vlan 10
S1(config-vlan)# name LAN10
S1(config-vlan)# exit
S1(config)# vlan 20
S1(config-vlan)# name LAN20
S1(config-vlan)# exit
S1(config)# vlan 99
S1(config-vlan)# name Management
S1(config-vlan)# exit
S1(config)#
S1(config)#
A continuación, el puerto Fa0/6 que se conecta a PC1 se configura como un puerto de acceso
en la VLAN 10. Supongamos que PC1 se ha configurado con la dirección IP correcta yel default
gateway.
S1(config)#
Por último, los puertos Fa0/1 que se conectan a S2 y Fa05 que se conectan a R1 se configuran
como puertos troncal.
4.2.4
Configuración de subinterfaces de R1
Para el método de router-on-a-stick, se requieren subinterfaces configuradas para cada VLAN que
se pueda enrutar.
Repita el proceso para cada VLAN que se vaya a enrutar. Es necesario asignar una dirección IP a
cada subinterfaz del router en una subred única para que se produzca el routing.
Cuando se hayan creado todas las subinterfaces, habilite la interfaz física mediante el comando de
configuración de no shutdown interfaz. Si la interfaz física está deshabilitada, todas las
subinterfaces están deshabilitadas.
En la siguiente configuración, las subinterfaces R1 G0/0/1 se configuran para las VLAN 10, 20 y 99.
R1(config)# interface G0/0/1.10
R1(config-subif)# description Default Gateway for VLAN 10
R1(config-subif)# encapsulation dot1Q 10
R1(config-subif)# ip add 192.168.10.1 255.255.255.0
R1(config-subif)# exit
R1(config)#
R1(config)# interface G0/0/1.20
R1(config-subif)# description Default Gateway for VLAN 20
R1(config-subif)# encapsulation dot1Q 20
R1(config-subif)# ip add 192.168.20.1 255.255.255.0
R1(config-subif)# exit
R1(config)#
R1(config)# interface G0/0/1.99
R1(config-subif)# description Default Gateway for VLAN 99
R1(config-subif)# encapsulation dot1Q 99
R1(config-subif)# ip add 192.168.99.1 255.255.255.0
R1(config-subif)# exit
R1(config)#
R1(config)# interface G0/0/1
R1(config-if)# description Trunk link to S1
R1(config-if)# no shut
R1(config-if)# end
R1#
*Sep 15 19:08:47.015: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/1,
changed state to down
*Sep 15 19:08:50.071: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/1,
changed state to up
*Sep 15 19:08:51.071: %LINEPROTO-5-UPDOWN: Line protocol on Interface
GigabitEthernet0/0/1, changed state to up
R1#
4.2.5
C:\Users\PC1> ipconfig
Windows IP Configuration
Ethernet adapter Ethernet0:
Connection-specific DNS Suffix . :
Link-local IPv6 Address : fe80::5c43:ee7c:2959:da68%6
IPv4 Address : 192.168.10.10
Subnet Mask : 255.255.255.0
Default Gateway : 192.168.10.1
C:\Users\PC1>
C:\Users\PC1>
4.2.6
Verificación de Router-on-a-
Stick Inter-VLAN Routing
Además de utilizar ping entre dispositivos, se pueden utilizar los siguientes show comandos para
verificar y solucionar problemas de la configuración del router-on-a-stick.
● show ip route
● show ip interface brief
● show interfaces
● show interfaces trunk
R1#
Otro comando útil del router es show ip interface brief, como se muestra en el resultado. El
resultado confirma que las subinterfaces tienen configurada la dirección IPv4 correcta y que
están operativas.
R1# show ip interface brief | include up
GigabitEthernet0/0/1 unassigned YES unset up up
Gi0/0/1.10 192.168.10.1 YES manual up up
Gi0/0/1.20 192.168.20.1 YES manual up up
Gi0/0/1.99 192.168.99.1 YES manual up up
R1#
R1#
La configuración incorrecta también podría estar en el puerto troncal del switch. Por lo tanto,
también es útil verificar los enlaces troncales activos en un switch de Capa 2 mediante el show
interfaces trunk comando, como se muestra en el ejemplo. El resultado confirma que el enlace
a R1 es troncal para las VLAN requeridas.
Las LAN de campus empresariales utilizan switches de capa 3 para proporcionar inter-VLAN
routing. Los switches de capa 3 utilizan switching basado en hardware para lograr velocidades de
procesamiento de paquetes más altas que los routers. Los switches de capa 3 también se
implementan comúnmente en armarios de cableado de capa de distribución empresarial.
● Ruta de una VLAN a otra mediante múltiples interfaces virtuales de switch (SVIs).
● Convierta un puerto de switch de capa 2 en una interfaz de capa 3 (es decir, un puerto
enrutado). Un puerto enrutado es similar a una interfaz física en un router Cisco IOS.
Para proporcionar enrutamiento entre VLAN, los switches de capa 3 utilizan SVIs. Los SVIs se
configuran utilizando el mismo comando interface vlan vlan-id utilizado para crear el SVI de
administración en un switch de capa 2. Se debe crear un SVI de Capa 3 para cada una de las
VLAN enrutables.
4.3.2
En la figura, el switch de capa 3, D1, está conectado a dos hosts en diferentes VLAN. PC1 está en
VLAN 10 y PC2 está en VLAN 20, como se muestra. El switch de capa 3 proporcionará servicios
inter-VLAN routing a los dos hosts.
La topología de red física muestra dos PC, un switch y un router. PC1 a la izquierda tiene la
dirección IP 192.168.10.10, la dirección del default gateway 192.168.10.1/24, está en VLAN 10 y
está conectado el switch en el puerto G1/0/6. PC2 a la derecha tiene la dirección IP 192.168.20.10,
la dirección del default gateway 192.168.20.10/24, está en VLAN 20 y está conectado el switch en
el puerto G1/0/18.
La tabla muestra las direcciones IP de cada VLAN.
Direcciones IP de VLAN D1
VLAN
Dirección IP
Interface
10 192.168.10.1/24
20 192.168.20.1/24
4.3.3
D1(config)# vlan 10
D1(config-vlan)# vlan 20
D1(config-vlan)# exit
D1(config)#
Configurar el SVI para VLANs 10 y 20 Las direcciones IP configuradas servirán como default
gateways para los hosts de las VLAN respectivas. Observe que los mensajes informativos que
muestran el protocolo de línea en ambos SVIs cambiaron a funcionales.
D1(config-if)# no shut
D1(config-if)# exit
D1(config)#
D1(config-if)# no shut
D1(config-if)# exit
D1(config)#
A continuación, configure los puertos de acceso que se conectan a los hosts y asígnelos a sus
respectivas VLAN.
D1(config-if)# exit
D1(config)#
D1(config-if)# exit
4. Habilitar IP routing.
Por último, habilite el enrutamiento IPv4 con el comando de configuración ip routing global para
permitir el intercambio de tráfico entre las VLAN 10 y 20. Este comando debe configurarse para
habilitar el inter-VAN routing en un switch de capa 3 para IPv4.
D1(config)# ip routing
D1(config)#
El Inter-VLAN Routing mediante un switch de capa 3 es más sencillo de configurar que el método
router-on-a-stick. Una vez completada la configuración, la configuración se puede verificar
probando la conectividad entre los hosts.
Desde un host, compruebe la conectividad con un host de otra VLAN mediante el ping comando.
Es una buena idea verificar primero la configuración IP del host actual mediante el comando
ipconfig Windows host El resultado confirma la dirección IPv4 y el default gateway de PC1.
C:\Users\PC1> ipconfig
Windows IP Configuration
C:\Users\PC1>
A continuación, verifique la conectividad con PC2 mediante el comando host de ping Windows,
como se muestra en el ejemplo. El ping resultado confirma correctamente que el enrutamiento
entre VLANs está funcionando.
C:\Users\PC1>
4.3.5
Si se quiere que otros dispositivos de Capa 3 puedan acceder a las VLAN, deben anunciarse
mediante enrutamiento estático o dinámico. Para habilitar el enrutamiento en un switch de capa 3,
se debe configurar un puerto enrutado.
Un puerto enrutado se crea en un switch de Capa 3 deshabilitando la función switchport de un
switch de Capa 2 que está conectado a otro dispositivo de Capa 3. Específicamente, al configurar
el comando de configuración de no switchport interfaz en un puerto de Capa 2, se convierte en
una interfaz de Capa 3. A continuación, la interfaz se puede configurar con una configuración IPv4
para conectarse a un router u otro switch de capa 3.
4.3.6
Configuración de enrutamiento
en un switch de capa 3
Complete los siguientes pasos para configurar D1 para enrutar con R1:
Paso 1. Configure el puerto enrutado.
Configure G1/0/1 para que sea un puerto enrutado, asígnele una dirección IPv4 y habilítelo.
D1(config)#
2. Activar el routing.
D1(config)# ip routing
D1(config)#
3. Configurar el enrutamiento.
Configure el protocolo de enrutamiento OSPF para anunciar las redes VLAN 10 y VLAN 20,
junto con la red que está conectada a R1. Observe el mensaje informándole de que se ha
establecido una adyacencia con R1.
D1#
4. Verificar enrutamiento.
Verifique la tabla de enrutamiento en D1. Observe que D1 ahora tiene una ruta a la red
10.20.20.0/24.
D1#
5. Verificar la conectividad.
En este momento, PC1 y PC2 pueden hacer ping al servidor conectado a R1.
C:\Users\PC2 >
Problemas comunes de Inter-VLAN
routing
Ya sabe que cuando configure y verifique, también debe ser capaz de solucionar problemas. En
este tema se describen algunos problemas comunes de red asociados con el Inter-VLAN routing
Hay varias razones por las que una configuración entre VLANs puede no funcionar. Todos están
relacionados con problemas de conectividad. En primer lugar, compruebe la capa física para
resolver cualquier problema en el que un cable pueda estar conectado al puerto incorrecto. Si las
conexiones son correctas, utilice la lista de la tabla para otras razones comunes por las que puede
fallar la conectividad entre VLAN.
4.4.2
Escenario de resolución de problemas de
Inter-VLAN Routing
Los ejemplos de algunos de estos problemas de Inter-VLAN Routing ahora se tratarán con más
detalle.
G0/0/0.10 10 192.168.10.1/24
G0/0/0.20 20 192.168.20.1/24
G0/0/0.30 99 192.168.99.1/24
4.4.3
VLAN faltantes
Un problema de conectividad entre VLAN podría deberse a la falta de una VLAN. La VLAN podría
faltar si no se creó, se eliminó accidentalmente o no se permite en el enlace troncal.
Por ejemplo, PC1 está conectado actualmente a la VLAN 10, como se muestra en el ejemplo del
show vlan brief comando.
S1#
S1(config)# no vlan 10
S1(config)# do show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/7
Fa0/8, Fa0/9, Fa0/10, Fa0/11
Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24, Gi0/1, Gi0/2
20 LAN20 active
99 Management active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
S1(config)#
Observe que ahora falta VLAN 10 en el resultado Observe también que el puerto Fa0/6 no se ha
reasignado a la VLAN predeterminada. Cuando elimina una VLAN, cualquier puerto asignado a esa
VLAN queda inactivo. Permanecen asociados con la VLAN (y, por lo tanto, inactivos) hasta que los
asigne a una nueva VLAN o vuelva a crear la VLAN que falta.
Utilice el show interface comando switchport interface-id para verificar la pertenencia a VLAN.
(Output omitted)
Si se vuelve a crear la VLAN que falta, se reasignarán automáticamente los hosts a ella, como se
muestra en el siguiente resultado.
S1(config)# vlan 10
S1(config-vlan)# do show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/7
Fa0/8, Fa0/9, Fa0/10, Fa0/11
Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24, Gi0/1, Gi0/2
20 LAN20 active
99 Management active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
S1(config-vlan)#
Observe que la VLAN no se ha creado como se esperaba. La razón se debe a que debe salir del
modo de subconfiguración de VLAN para crear la VLAN, como se muestra en el siguiente
resultado.
S1(config-vlan)# exit
S1(config)# vlan 10
S1(config)# do show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/7
Fa0/8, Fa0/9, Fa0/10, Fa0/11
Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24, Gi0/1, Gi0/2
10 VLAN0010 active Fa0/6
20 LAN20 active
99 Management active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
S1(config)#
Ahora observe que la VLAN está incluida en la lista y que el host conectado a Fa0/6 está en la
VLAN 10.
4.4.4
Otro problema para el enrutamiento entre VLAN incluye puertos de switch mal configurados. En
una solución interVLAN heredada, esto podría deberse a que el puerto del router de conexión no
está asignado a la VLAN correcta.
Sin embargo, con una solución router-on-a-stick, la causa más común es un puerto troncal mal
configurado.
Por ejemplo, suponga que PC1 pudo conectarse a hosts de otras VLAN hasta hace poco. Un
vistazo rápido a los registros de mantenimiento reveló que recientemente se accedió al switch S1
Capa 2 para el mantenimiento rutinario. Por lo tanto, sospecha que el problema puede estar
relacionado con ese switch.
En S1, verifique que el puerto que se conecta a R1 (es decir, F0/5) esté configurado correctamente
como enlace troncal utilizando el show interfaces trunk comando, como se muestra.
S1#
El puerto Fa0/5 que conecta a R1 falta misteriosamente en el resultado. Verifique la configuración
de la interfaz mediante el show running-config interface fa0/5 comando, como se muestra.
S1#
Como pueden ver, el puerto fue apagado accidentalmente. Para corregir el problema, vuelva a
habilitar el puerto y verifique el estado de enlace troncal, como se muestra en el ejemplo.
S1(config-if)#
Para reducir el riesgo de una falla en el enlace entre switch es que interrumpa el inter-VLAN
routing, el diseño de red debe contar con enlaces redundantes y rutas alternativas.
4.4.5
Supongamos que PC1 tiene la dirección IPv4 correcta y el default gateway, pero no es capaz de
ping su propio default gateway PC1 se supone que debe estar conectado a un puerto VLAN 10.
S1#
(Output omitted)
4.4.6
Temas de configuración del
router
La topología de red física muestra dos PC, dos switches y un router. PC1
tiene la dirección IP 192.168.10.10/24, un default gateway de
192.168.10.1 y está en VLAN 10. PC2 tiene la dirección IP
192.168.20.10/24, un default gateway 192.168.20.1 y está en VLAN 20. PC1
se conecta al switch S1 en el puerto F0/6. PC2 se conecta al switch S2 en
el puerto F0/18. El switch S1 y el switch S2 están interconectados entre
sí a través de un enlace troncal en el puerto F0/1. El switch S1 está
conectado al router R1 a través de un enlace troncal en el puerto del
switch F0/5 que se conecta a las interfaces G0/0/1 en R1. La dirección IP
de administración en S1 es 192.168.99.2/24. La dirección IP de
administración en S1 es 192.168.99.3/24.
Verificó el enlace troncal del switch y todo parece estar en orden. Verificar el estatus de las
interfaces usando el show ip interface brief comando
R1#
A las subinterfaces se les han asignado las direcciones IPv4 correctas y están operativas.
Compruebe en qué VLAN se encuentra cada una de las subinterfaces. Para ello, el show
interfaces comando es útil, pero genera una gran cantidad de resultados adicionales no
requeridos. El resultado del comando se puede reducir utilizando filtros de comando IOS como
se muestra en el ejemplo.
R1#
El símbolo de tubería (|) junto con algunas palabras clave de selección es un método útil para
ayudar a filtrar el resultado del comando. En este ejemplo, la palabra clave se include utilizó
para identificar que sólo se mostrarán las líneas que contienen las letras «Gig» o «802.1Q».
Debido a la forma en que se enumera naturalmente la show interface salida, el uso de estos
filtros genera una lista condensada de interfaces y sus VLAN asignadas.
R1#
Para corregir este problema, configure la subinterfaz G0/0/1.10 para que esté en la VLAN
correcta mediante el comando encapsulation dot1q 10 en el modo de configuración de
subinterfaz.
R1# conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)# interface gigabitEthernet 0/0/1.10
R1(config-subif)# encapsulation dot1Q 10
R1(config-subif)# end
R1#
R1# show interfaces | include Gig|802.1Q
GigabitEthernet0/0/0 is administratively down, line protocol is down
GigabitEthernet0/0/1 is up, line protocol is up
Encapsulation 802.1Q Virtual LAN, Vlan ID 1., loopback not set
GigabitEthernet0/0/1.10 is up, line protocol is up
Encapsulation 802.1Q Virtual LAN, Vlan ID 10.
GigabitEthernet0/0/1.20 is up, line protocol is up
Encapsulation 802.1Q Virtual LAN, Vlan ID 20.
GigabitEthernet0/0/1.99 is up, line protocol is up
R1#
Una vez asignada la subinterfaz a la VLAN correcta, los dispositivos en esa VLAN pueden
acceder a ella, y el router puede realizar inter-VLAN routing.
Los hosts de una VLAN no pueden comunicarse con los hosts de otra VLAN a menos que haya un
router o un switch de capa 3 para proporcionar servicios de enrutamiento. Inter-VLA routing es el
proceso de reenviar el tráfico de red de una VLAN a otra VLAN. Tres opciones incluyen heredado,
router-on-a-stick y switch de capa 3 con SVIs. Heredado utiliza un router con múltiples interfaces
Ethernet. Cada interfaz del router estaba conectada a un puerto del switch en diferentes VLAN .
Requerir una interfaz física del router por VLAN agota rápidamente la capacidad de la interfaz física
del router El método ‘router-on-a-stick’ inter-VLAN routing solo requiere una interfaz Ethernet física
para enrutar el tráfico entre varias VLAN de una red. Una interfaz Ethernet del router Cisco IOS se
configura como un troncal 802.1Q y se conecta a un puerto troncal en un switch de capa 2. La
interfaz del router se configura mediante subinterfaces para identificar VLAN enrutables. Las
subinterfaces son interfaces virtuales basadas en software, asociadas con una única interfaz física.
El método moderno es el enrutamiento entre VLAN en un switch de capa 3 mediante SVIs. El SVI
se crea para una VLAN que existe en el switch. El SVI realiza las mismas funciones para la VLAN
que una interfaz del router. Proporciona procesamiento de capa 3 para los paquetes que se envían
ao desde todos los puertos de conmutador asociados con esa VLAN.
Para configurar un switch con VLAN y enlaces troncales, realice los siguientes pasos: cree y asigne
un nombre a las VLAN, cree la interfaz de administración, configure los puertos de acceso y
configure los puertos de enlace troncal. Para el método de router-on-a-stick, se requieren
subinterfaces configuradas para cada VLAN que se pueda enrutar. Se crea una subinterfaz
mediante el comando interface interface_id subinterface_id global configuration mode. Es
necesario asignar una dirección IP a cada subinterfaz del router en una subred única para que se
produzca el routing. Cuando se han creado todas las subinterfaces, la interfaz física debe
habilitarse mediante el comando de configuración de no shutdown interfaz. Desde un host,
compruebe la conectividad con un host de otra VLAN mediante el ping comando. ping Utilícelo
para verificar la conectividad con el host y el switch. Para verificar y solucionar problemas utilice los
comandos, ,show ip route, show ip interface brief, show interfaces y show interfaces trunk
Las LAN de campus empresariales utilizan switches de capa 3 para proporcionar enrutamiento
entre VLAN. Los switches de capa 3 utilizan switching basado en hardware para lograr velocidades
de procesamiento de paquetes más altas que los routers. Las capacidades de un switch de Capa 3
incluyen el enrutamiento de una VLAN a otra utilizando múltiples interfaces virtuales conmutadas
(SVI) y la conversión de un puerto de switch de Capa 2 a una interfaz de Capa 3 (es decir, un
puerto enrutado). Para proporcionar enrutamiento entre VLAN, los switches de capa 3 utilizan SVIs.
Los SVIs se configuran utilizando el mismo comando interface vlan vlan-id utilizado para crear el
SVI de administración en un switch de capa 2. Se debe crear un SVI de Capa 3 para cada una de
las VLAN enrutables. Para configurar un switch con VLAN y trunking, siga los pasos siguientes:
cree las VLAN, cree las interfaces VLAN SVI, configure los puertos de acceso y habilite el
enrutamiento IP. Desde un host, compruebe la conectividad con un host de otra VLAN mediante el
ping comando. A continuación, compruebe la conectividad con el host mediante el comando host
de ping Windows. Las VLAN deben anunciarse mediante enrutamiento estático o dinámico. Para
habilitar el enrutamiento en un switch de capa 3, se debe configurar un puerto enrutado. Un puerto
enrutado se crea en un switch de Capa 3 deshabilitando la función switchport de un switch de Capa
2 que está conectado a otro dispositivo de Capa 3. La interfaz se puede configurar con una
configuración IPv4 para conectarse a un router u otro switch de capa 3. Para configurar un switch
de capa 3 para enrutar con un router, siga estos pasos: configure el puerto enrutado, habilite el
enrutamiento, configure el enrutamiento, verifique el enrutamiento y verifique la conectividad.
Hay varias razones por las que una configuración entre van puede no funcionar . Todos están
relacionados con problemas de conectividad, como las VLAN faltantes, los problemas del puerto
troncal del switch, los problemas del puerto de acceso del switch y los problemas de configuración
del router. Podría faltar una VLAN si no se creó, se eliminó accidentalmente o no se permite en el
enlace troncal. Otro problema para el enrutamiento entre VLAN incluye puertos de switch mal
configurados. En una solución interVLAN heredada, podría producirse un puerto de switch mal
configurado cuando el puerto del router de conexión no está asignado a la VLAN correcta. Con una
solución router-on-a-stick, la causa más común es un puerto troncal mal configurado. Cuando se
sospecha un problema con una configuración del puerto de acceso del switch, utilice los ping
comandos show interfaces interface-id switchport y _interface-para identificar el problema. Los
problemas de configuración del router con configuraciones de router-on-a-stick suelen estar
relacionados con configuraciones erróneas de subinterfaz. Verificar el estatus de las interfaces
usando el show ip interface brief comando
¿Qué es un bucle? Imagina que estás en un concierto. El micrófono del cantante y el altavoz
amplificado pueden, por diversas razones, crear un bucle de retroalimentación. Lo que se oye es
una señal amplificada del micrófono que sale del altavoz que luego es recogido de nuevo por el
micrófono, amplificado más y pasado de nuevo a través del altavoz. El sonido rápidamente se
vuelve muy fuerte, desagradable y hace que sea imposible escuchar música real. Esto continúa
hasta que se corta la conexión entre el micrófono y el altavoz.
Un bucle de capa 2 crea un caos similar en una red. Puede suceder muy rápidamente y hacer
imposible el uso de la red. Hay algunas formas comunes de crear y propagar un bucle de Capa 2.
El protocolo de árbol de expansión (STP) está diseñado específicamente para eliminar los bucles
de capa 2 en la red. Este módulo analiza las causas de los bucles y los diversos tipos de protocolos
de árbol de expansión. Incluye un vídeo y una actividad Packet Tracer para ayudarle a entender los
conceptos STP.
5.0.2
Objetivo del módulo: Explique cómo STP permite la redundancia en una red de capa 2.
Funcionamientos del STP Explicar cómo opera STP en una red conmutada simple.
En este tema se tratan las causas de los bucles en una red de capa 2 y se explica brevemente
cómo funciona el protocolo de árbol de expansión. La redundancia es una parte importante del
diseño jerárquico para eliminar puntos únicos de falla y prevenir la interrupción de los servicios de
red para los usuarios. Las redes redundantes requieren la adición de rutas físicas, pero la
redundancia lógica también debe formar parte del diseño. Tener rutas físicas alternativas para que
los datos atraviesen la red permite que los usuarios accedan a los recursos de red, a pesar de las
interrupciones de la ruta. Sin embargo, las rutas redundantes en una red Ethernet conmutada
pueden causar bucles físicos y lógicos en la capa 2.
Las LAN Ethernet requieren una topología sin bucles con una única ruta entre dos dispositivos. Un
bucle en una LAN Ethernet puede provocar una propagación continua de tramas Ethernet hasta
que un enlace se interrumpe y interrumpa el bucle.
5.1.2
Haga clic en Reproducir en la figura para ver una animación de STP en acción.
The figure is an animation showing 4 p c s and 3 switches. The three switches are connected to
each other in a triangle. three pcs are connected to s 2. p c 1 sends a broadcast frame. it is received
by s 2. s 2 forwards teh broadcast out all ports except the originating port and the blocked port to s
3. the two other p cs and s1 receive the frame. s 1 forwards the broadcast out all ports except the
originating port. the frame is received by p c 4 and s 3. s 3 forwards the frame back to s 2. s 2 drops
the frame because it received it on a blocked port.
Recalcular STP
Haga clic en Reproducir en la siguiente figura para ver una animación del recálculo de STP cuando
ocurre una falla.
La figura es una animación con la misma topología que en la animación anterior. En la animación,
el enlace troncal entre S2 y S1 ha fallado. S2 desbloquea el puerto para Trunk 2. La PC1 envía una
trama de difusión al S2. S2 reenvía la transmisión a todos los puertos del conmutador, excepto el
puerto de origen y el enlace fallido para el Troncal 1. El S3 reenvía la difusión por todos los puertos
de switch disponibles, excepto el puerto de origen. El S1 reenvía la difusión solo por F0/3.
5.1.5
Bucles de la capa 2
Sin STP habilitado, se pueden formar bucles de capa 2, lo que hace que
las tramas de difusión, multidifusión y unidifusión desconocidos se
reproduzcan sin fin. Esto puede derribar una red en un período de tiempo
muy corto, a veces en pocos segundos. Por ejemplo, las tramas de
difusión, como una solicitud ARP, se reenvían a todos los puertos del
conmutador, excepto el puerto de entrada original. Esto asegura que todos
los dispositivos en un dominio de difusión reciban la trama. Si hay más
de una ruta para reenviar la trama, se puede formar un bucle infinito.
Cuando se produce un bucle, la tabla de direcciones MAC en un conmutador
cambiará constantemente con las actualizaciones de las tramas de
difusión, lo que resulta en la inestabilidad de la base de datos MAC.
Esto puede causar una alta utilización de la CPU, lo que hace que el
switch no pueda reenviar tramas.
Las tramas de difusión no son el único tipo de tramas que son afectadas
por los bucles. Si se envían tramas de unidifusión desconocidas a una red
con bucles, se puede producir la llegada de tramas duplicadas al
dispositivo de destino. Una trama de unidifusión desconocida se produce
cuando el switch no tiene la dirección MAC de destino en la tabla de
direcciones MAC y debe reenviar la trama a todos los puertos, excepto el
puerto de ingreso.
Una tormenta de difusión es un número anormalmente alto de emisiones que abruman la red
durante un período específico de tiempo. Las tormentas de difusión pueden deshabilitar una red en
cuestión de segundos al abrumar los conmutadores y los dispositivos finales. Las tormentas de
difusión pueden deberse a un problema de hardware como una NIC defectuosa o a un bucle de
capa 2 en la red.
Las emisiones de capa 2 en una red, como las solicitudes ARP, son muy comunes. Es probable
que un bucle de capa 2 tenga consecuencias inmediatas y de desactivación en la red. Las
multidifusión de capa 2 normalmente se reenvían de la misma manera que una difusión por el
conmutador. Por lo tanto, aunque los paquetes IPv6 nunca se reenvían como una difusión de Capa
2, ICMPv6 Neighbor Discovery utiliza multidifusión de Capa 2.
Haga clic en Reproducir en la figura para ver una animación que muestra los efectos cada vez más
adversos de un bucle a medida que los fotogramas de difusión y de unidifusión desconocidos
continúan propagándose indefinidamente en una tormenta de difusión.
Un host atrapado en un bucle de capa 2 no está accesible para otros hosts en la red. Además,
debido a los constantes cambios en su tabla de direcciones MAC, el conmutador no sabe desde
qué puerto reenviar las tramas de unidifusión. En la animación anterior, los conmutadores
tendrán los puertos incorrectos listados para PC1. Cualquier trama de unidifusión con destino a
la PC1 se repite en bucle por la red, como lo hacen las tramas de difusión. Cuando se repiten en
bucle cada vez más tramas, se termina creando una tormenta de difusión.
Para evitar que ocurran estos problemas en una red redundante, se debe habilitar algún tipo de
árbol de expansión en los switches. De manera predeterminada, el árbol de expansión está
habilitado en los switches Cisco para prevenir que ocurran bucles en la capa 2.
El algoritmo de árbol de
expansión
STP se basa en un algoritmo inventado por Radia Perlman mientras trabajaba para Digital
Equipment Corporation, y publicado en el artículo de 1985 "Un algoritmo para la computación
distribuida de un árbol de expansión en una LAN extendida". Su algoritmo de árbol de expansión
(STA) crea una topología sin bucles al seleccionar un único puente raíz donde todos los demás
conmutadores determinan una única ruta de menor costo.
Sin el protocolo de prevención de bucles, se producirían bucles que harían inoperable una red de
conmutadores redundantes.
Este escenario STA utiliza una LAN Ethernet con conexiones redundantes entre varios
conmutadores.
Nota: STA y STP se refieren a conmutadores como puentes . Esto se debe a que en los
primeros días de Ethernet, los switches se denominaban puentes.
Bloquear rutas redundantes
STP asegura que solo haya una ruta lógica entre todos los destinos en la red al bloquear
intencionalmente las rutas redundantes que podrían causar un bucle, como se muestra en la
figura. Cuando se bloquea un puerto, se impide que los datos del usuario entren o salgan de ese
puerto. El bloqueo de las rutas redundantes es fundamental para evitar bucles en la red.
Un puerto bloqueado tiene el efecto de convertir ese enlace en un vínculo no reenvío entre los
dos switches, como se muestra en la figura. Observe que esto crea una topología en la que
cada conmutador tiene una única ruta al puente raíz, similar a las ramas de un árbol que se
conectan a la raíz del árbol.
La figura muestra un error de enlace entre los conmutadores S2 y S4 que hace que STP se
vuelva a calcular. Observe que el vínculo anteriormente redundante entre S4 y S5 se está
reenviando para compensar este error. Todavía hay solo una ruta entre cada switch y el puente
raíz.
Ahora ya sabe cómo se crean los bucles y los conceptos básicos de usar el protocolo de árbol de
expansión para prevenirlos. Este tema le llevará paso a paso a través de la operación de STP.
Usando STA, STP crea una topología sin bucles en un proceso de cuatro pasos:
Durante las funciones STA y STP, los conmutadores utilizan unidades de datos de protocolo de
puente (BPDU) para compartir información sobre sí mismos y sus conexiones. Las BPDU se
utilizan para elegir el root bridge, los root ports, los puertos designados y los puertos alternativos.
Cada BPDU contiene una ID de puente (BID) que identifica qué switch envió la BPDU. El BID
participa en la toma de muchas de las decisiones STA, incluidos los roles de puertos y root bridge.
El BID contiene un valor de prioridad, la dirección MAC del conmutador y un ID de sistema
extendido. El valor de BID más bajo lo determina la combinación de estos tres campos.
El gráfico muestra tres cuadros, cada uno de los cuales representa un componente del ID de
puente. De izquierda a derecha, el primer cuadro es Bridge Priority, que tiene 4 bits de longitud, el
segundo cuadro es Extended System ID, que tiene 12 bits de longitud, y el tercer cuadro es la
dirección MAC que tiene 48 bits de longitud. El texto a la derecha de los cuadros indica Bridge ID
con Extended System ID. El texto en la parte inferior del gráfico dice El BID incluye la prioridad del
puente, el ID del sistema extendido y la dirección MAC del conmutador.
Prioridad de puente
El valor de prioridad predeterminado para todos los switches Cisco es el valor decimal 32768. El
rango va de 0 a 61440 y aumenta de a 4096. Es preferible una prioridad de puente más baja. La
prioridad de puente 0 prevalece sobre el resto de las prioridades de puente.
Sistema extendido ID
El valor de ID del sistema extendido es un valor decimal agregado al valor de prioridad del puente
en el BID para identificar la VLAN para esta BPDU.
Las primeras implementaciones de IEEE 802.1D estaban diseñadas para redes que no utilizaban
VLAN. Existía un único árbol de expansión común para todos los switches. Por esta razón, en los
switches más antiguos, el ID del sistema extendido no se incluía en las BPDU. A medida que las
VLAN se volvieron más comunes en la segmentación de la infraestructura de red, se fue mejorando
el estándar 802.1D para incluir a las VLAN, lo que requirió que se incluyera la ID de VLAN en la
trama de BPDU. La información de VLAN se incluye en la trama BPDU mediante el uso de la ID de
sistema extendido.
El ID del sistema extendido permite que las implementaciones posteriores de STP, como Rapid
STP (RSTP) tengan diferentes root bridge para diferentes conjuntos de VLAN. Esto puede permitir
que enlaces redundantes y sin reenvío en una topología STP para un conjunto de VLAN sean
utilizados por un conjunto diferente de VLAN que utilice un root bridge diferente.
Dirección MAC
Cuando dos switches están configurados con la misma prioridad y tienen la misma ID de sistema
extendido, el switch que posee la dirección MAC con el menor valor, expresado en hexadecimal,
tendrá el menor BID.
5.2.2
El STA designa un único switch como root bridge y lo utiliza como punto de referencia para todos
los cálculos de rutas. Los switches intercambian BPDU para crear la topología sin bucles
comenzando con la selección del root bridge.
Un proceso de elección determina el switch que se transforma en el puente raíz. Todos los
switches del dominio de difusión participan del proceso de elección. Una vez que el switch arranca,
comienza a enviar tramas BPDU cada dos segundos. Estas tramas BPDU contienen el BID del
switch de envío y el BID del root bridge, conocido como Root ID.
El switch que tiene el BID más bajo se convierte en el puente raíz. Al principio, todos los
conmutadores se declaran a sí mismos como el puente raíz con su propio BID establecido como ID
raíz. Eventualmente, los switches aprenden a través del intercambio de BPDU qué switch tiene el
BID más bajo y acordarán un puente raíz.
Dado que el BID predeterminado es 32768, es posible que dos o más switches tengan la misma
prioridad. En este escenario, donde las prioridades son las mismas, el conmutador con la dirección
MAC más baja se convertirá en el puente raíz. Para asegurar que el puente raíz elegido cumpla
con los requisitos de la red, se recomienda que el administrador configure el switch de puente raíz
deseado con una prioridad menor.
En la figura, todos los switches están configurados con la misma prioridad de 32769. Aquí la
dirección MAC se convierte en el factor decisivo en cuanto a qué interruptor se convierte en el
puente raíz. El conmutador con el valor de dirección MAC hexadecimal más bajo es el puente raíz
preferido. En este ejemplo, S2 tiene el valor más bajo para su dirección MAC y se elige como el
puente raíz para esa instancia de árbol de expansión.
Note: En el ejemplo, la prioridad de todos los switches es 32769. El valor se basa en la prioridad de
puente predeterminada 32768 y la ID del sistema extendida (asignación de VLAN 1) asociada con
cada conmutador (32768 + 1).
Una vez que se eligió el puente raíz para la instancia de árbol de expansión, el STA comienza el
proceso para determinar las mejores rutas hacia el puente raíz desde todos los destinos en el
dominio de difusión. La información de la ruta, conocida como el costo interno de la ruta raíz, está
determinada por la suma de todos los costos de los puertos individuales a lo largo de la ruta desde
el conmutador hasta el puente raíz.
Note: La BPDU incluye el costo de la ruta raíz. Este es el costo de la ruta que va desde el switch
que envía los datos hasta el puente raíz.
Cuando un switch recibe la BPDU, agrega el costo del puerto de ingreso del segmento para
determinar el costo interno de la ruta hacia la raíz.
Los costos de los puertos predeterminados se definen por la velocidad a la que funcionan los
mismos. La tabla muestra los costos de puerto predeterminados sugeridos por IEEE. Los switches
Cisco utilizan de forma predeterminada los valores definidos por el estándar IEEE 802.1D, también
conocido como costo de ruta corta, tanto para STP como para RSTP. Sin embargo, el estándar
IEEE sugiere usar los valores definidos en el IEEE-802.1w, también conocido como costo de ruta
larga, cuando se usan enlaces de 10 Gbps y más rápido.
Note: RSTP se discute con más detalle más adelante en este módulo.
Costo de RSTP:
Velocidad de STP Cost: IEEE
IEEE 802.1w-
enlace 802.1D-1998
2004
10Gbps 2 2000
1Gbps 4 20000
100Mbps 19 200000
Pese a que los puertos de switch cuentan con un costo de puerto predeterminado asociado a los
mismos, tal costo puede configurarse. La capacidad de configurar costos de puerto individuales le
da al administrador la flexibilidad para controlar de forma manual las rutas de árbol de expansión
hacia el puente raíz.
5.2.5
Después de determinar el puente raíz, se utiliza el algoritmo STA para seleccionar el puerto raíz.
Cada switch que no sea root seleccionará un puerto raíz. El puerto raíz es el puerto más cercano al
root bridge en términos de costo general para el puente raíz. Este costo general se conoce como
costo de ruta raíz interna.
El costo interno de la ruta raíz es igual a la suma de todos los costos del puerto a lo largo de la ruta
al root bridge, como se muestra en la figura. Las rutas con el costo más bajo se convierten en las
preferidas, y el resto de las rutas redundantes se bloquean. En el ejemplo, el costo de ruta interno
desde S2 al root bridge S1 a través de la ruta 1 es de 19 (según el costo de puerto individual
especificado por el IEEE), mientras que el costo interno de la ruta hacia la raíz a través de la ruta 2
es de 38. Debido a que la ruta 1 tiene un costo de ruta general más bajo para el root bridge, es la
ruta preferida y F0 / 1 se convierte en el root port en S2.
La topología de red física muestra tres switches interconectados, S1, S2 y S3, y cuatro PC, PC1,
PC2, PC3, PC4. S1 es el root bridge. El Bridge ID de S1 es prioridad = 32769 y dirección MAC =
000A00333333. S1 se conecta a S3 a través del puerto del switch F0/2 y se conecta a S2 a través
del puerto del switch F0/1. El enlace entre S1 y S2 se etiqueta Trunk 1. El enlace entre S1 y S3 se
etiqueta Trunk 3. S1 se conecta a PC4 a través del puerto del switch F0/3. El Bridge ID de S2 es
prioridad = 32769 y dirección MAC = 000A00111111. S2 se conecta a S3 a través del puerto del
switch F0/2 y se conecta a S1 a través del puerto del switch F0/1. El puerto del switch F0/1 en S2
se indica como el puerto raíz. El enlace entre S2 y S3 se etiqueta Trunk 2. La ruta de S2 a S1 se
llama Ruta 1. La ruta de S2 a S3 se llama path2. S2 se conecta a PC1 a través del puerto del
switch F0/11, se conecta a PC2 a través del puerto del switch F0/18 y a PC3 a través del puerto del
switch F0/6. El Bridge ID de S3 es prioridad = 32769 y dirección MAC = 000A00222222. S3 se
conecta a S2 a través del puerto del switch F0/2 y se conecta a S1 a través del puerto del switch
F0/1. El puerto del switch F0/1 en S3 se indica como el puerto raíz. La ruta de S3 a S1 se etiqueta
ruta 2. La dirección IP de PC1 es 172.17.10.21. La dirección IP de PC2 es 172.17.10.22. La
dirección IP de PC3 es 172.17.10.23. La dirección IP de PC4 es 172.17.10.27. El texto en la parte
inferior del gráfico dice Ruta 1 Costo = 19x1=19. Coste de la ruta 2 = 19x2=38. La ruta 1 es la ruta
preferida.
Cada segmento entre dos switches tendrá un puerto designado. El puerto designado es un puerto
en el segmento (con dos switches) que tiene el costo de ruta raíz interna al puente raíz. En otras
palabras, el puerto designado tiene la mejor ruta para recibir el tráfico que conduce al puente raíz.
Todos los puertos en el root bridge son puertos designados. Esto se debe a que el root bridge
tiene el costo más bajo para sí mismo.
Esto deja solo segmentos entre dos switches donde ninguno de los switches es el puente raíz.
En este caso, el puerto del switch con la ruta de menor costo al puente raíz es el puerto
designado para el segmento. Por ejemplo, en la figura, el último segmento es el que está entre
S2 y S3. Tanto S2 como S3 tienen el mismo costo de ruta para el puente raíz. El algoritmo del
árbol de expansión utilizará el ID del puente como un interruptor de corbata. Aunque no se
muestra en la figura, S2 tiene un BID menor. Por lo tanto, el puerto F0/2 de S2 se elegirá como
el puerto designado. Los puertos designados están en estado de reenvío.
La figura muestra una topología con cuatro conmutadores, incluido el conmutador S1 como
puente raíz. Al examinar los roles de puerto, vemos que el puerto F0/1 del switch S3 y el puerto
F0/3 del switch S4 se han seleccionado como puertos raíz porque tienen la ruta con el menor
costo (costo de la ruta hacia la raíz) al puente raíz para sus respectivos switches. S2 tiene dos
puertos, F0 / 1 y F0 / 2 con rutas de igual costo al puente raíz. En este caso los ID de puente de
los switches vecinos, S3 y S4, se utilizan para definir el empate. Esto se conoce como BID del
emisor. S3 tiene un BID de 32769.5555.5555.5555 y S4 tiene un BID de 32769.1111.1111.1111.
Como S4 tiene un BID más bajo, el puerto F0 / 1 de S2, que es el puerto conectado a S4, será el
puerto raíz.
La topología de red física muestra cuatro conmutadores interconectados, S1, S2, S3 y S4. S1 es
el puente raíz y se conecta a S4 a través del puerto del switch F0/1 y S3 a través del puerto
troncal F0/2. El enlace entre S1 y S4 se etiqueta Trunk 1. La interfaz F0/1 en S1 es un puerto
designado. El ID de puente de S1 es 24577.3333.3333.3333. S1 se conecta a S3 a través del
puerto del switch F0/2. El enlace entre S1 y S3 se etiqueta Trunk 3. La interfaz F0/2 en S1 es un
puerto designado. S4 está conectado a S1 a través del puerto del switch F0/3, que es un puerto
raíz. S4 está conectado a S2 a través del puerto del switch F0/1, que es un puerto designado. El
enlace entre S1 y S2 se etiqueta Trunk 1. El ID de puente de S4 es 32769.1111.1111.1111. S2
está conectado a S4 a través del puerto del switch F0/1, que es un puerto raíz y está conectado
a S3 a través del puerto del switch F0/2, que es un puerto alternativo. El enlace entre S2 y S3 se
llama Trunk 2. Hay una X roja junto a la interfaz F0/2 de S2 que indica que está bloqueando el
tráfico. El ID de puente de S2 es 32769.AAAA.AAAA.AAA. S3 está conectado a S2 sobre el
puerto del switch F0/2 que es un puerto designado y a S1 sobre el puerto del switch F0/1 que es
un puerto raíz. El ID de puente de S3 es 32769.5555.5555.5555.
2. Prioridad de puerto del remitente más baja
Para demostrar estos dos criterios siguientes, la topología se cambia a uno donde dos switches
están conectados con dos paths de igual costo entre ellos. S1 es el puente raíz, por lo que
ambos puertos son puertos designados.
S4 tiene dos puertos con rutas de igual costo al puente raíz. Dado que ambos puertos están
conectados al mismo conmutador, el BID (S1) del remitente es igual. Entonces el primer paso es
un empate.
A continuación en la lista está la prioridad del puerto del remitente (S1). La prioridad de puerto
predeterminada es 128, por lo que ambos puertos de S1 tienen la misma prioridad de puerto.
Esto también es una corbata. Sin embargo, si cualquiera de los puertos de S1 se configuraba
con una prioridad de puerto más baja, S4 pondría su puerto adyacente en estado de reenvío. El
otro puerto en S4 sería un estado de bloqueo.
Nota: Los tiempos predeterminados se pueden cambiar en el puente raíz, que dicta el valor de
estos temporizadores para el dominio STP.
STP facilita la ruta lógica sin bucles en todo el dominio de difusión. El árbol de expansión se
determina a través de la información obtenida en el intercambio de tramas de BPDU entre los
switches interconectados. Si un puerto de switch pasa directamente del estado de bloqueo al de
reenvío sin información acerca de la topología completa durante la transición, el puerto puede crear
un bucle de datos temporal. Por esta razón, STP tiene cinco estados de puertos, cuatro de los
cuales son estados de puertos operativos, como se muestra en la figura. El estado deshabilitado se
considera no operativo.
El gráfico muestra un diagrama de flujo que representa los cuatro estados operativos STP. En la
parte superior del diagrama de flujo se encuentra el estado de bloqueo. En el estado de bloqueo No
se recibe BPDU y la edad máxima = 20 segundos. Una flecha apunta desde el estado Bloqueo al
estado Listening. El estado de escucha tiene un retraso de avance de 15 segundos. Hay una flecha
que apunta desde el estado Listening al estado Learning. El estado de aprendizaje tiene un delday
hacia adelante = 15 segundos. Hay una flecha que apunta desde el estado de aprendizaje al
estado de reenvío. Hay un diagrama de flujo títulos cuadro Enlace viene con una flecha que apunta
a un segundo cuadro titulado Bloqueo. El texto del cuadro Bloqueo indica En estado de bloqueo
hasta que SPT determine si el puerto es raíz o puerto designado. Este cuadro tiene una flecha que
apunta al estado Listening.
Los detalles de cada estado de puerto se muestran en la tabla.
Estado
del Descripción
puerto
Actualización de la
Aprendizaje Recibir y enviar No
tabla
Actualización de la
Reenvío Recibir y enviar Sí
tabla
No se ha enviado ni
Deshabilitado No hay actualización No
recibido
5.2.11
Hasta ahora, hemos hablado de STP en un entorno donde sólo hay una VLAN. Sin embargo, STP
se puede configurar para que funcione en un entorno con varias VLAN.
In Per-VLAN Spanning Tree (PVST) versions of STP, there is a root bridge elected for each
spanning tree instance. Esto hace posible tener diferentes puentes raíz para diferentes conjuntos
de VLAN. STP opera una instancia independiente de STP para cada VLAN individual. Si todos los
puertos de todos los switches pertenecen a la VLAN 1, solo se da una instancia de árbol de
expansión.
En este tema se detallan las diferentes versiones de STP y otras opciones para evitar bucles en la
red.
Hasta ahora, hemos utilizado el término Protocolo Spanning Tree y el acrónimo STP, que puede
ser engañoso. La mayoría de los profesionales suele utilizar estas denominaciones para referirse a
las diversas implementaciones del árbol de expansión, como el protocolo de árbol de expansión
rápido (RSTP) y el protocolo de árbol de expansión múltiple (MSTP). Para comunicar los conceptos
del árbol de expansión correctamente, es importante hacer referencia a la implementación o al
estándar del árbol de expansión en contexto.
El último estándar para árbol de expansión está contenido en IEEE-802-1D-2004, el estándar IEEE
para redes de área local y metropolitana:puentes de control de acceso a medios (MAC). Esta
versión del estándar indica que los conmutadores y puentes que cumplen con el estándar utilizarán
Rapid Spanning Tree Protocol (RSTP) en lugar del protocolo STP anterior especificado en el
estándar 802.1d original. En este currículo, cuando se analiza el protocolo de árbol de expansión
original, se utiliza la frase “árbol de expansión 802.1D original” para evitar confusiones. Debido a
que los dos protocolos comparten gran parte de la misma terminología y métodos para la ruta sin
bucles, el enfoque principal estará en el estándar actual y las implementaciones propietarias de
Cisco de STP y RSTP.
Desde el lanzamiento del estándar IEEE 802.1D original, surgió una gran variedad de protocolos de
árbol de expansión.
Varie
dad Descripción
STP
El árbol de expansión por VLAN (PVST +) es una mejora de Cisco de STP que
PVST provides a separate 802.1D spanning tree instance for each VLAN Configure la red
+ PVST+ soporta PortFast, UplinkFast, BackboneFast, BPDU guard, BPDU filter, root
guard, y loop guard.
802.1
D- Esta es una versión actualizada del estándar STP, que incorpora IEEE 802.1w.
2004
PVST Esta es una mejora de Cisco de RSTP que utiliza PVST + y proporciona un instancia
+ separada de 802.1w por VLAN. Cada instancia independiente admite PortFast, BPDU
rápido guard, BPDU filter, root guard, y loop guard.
Es posible que un profesional de red, cuyas tareas incluyen la administración de los switches, deba
decidir cuál es el tipo de protocolo de árbol de expansión que se debe implementar.
Los switches de Cisco con IOS 15.0 o posterior ejecutan PVST+ de manera predeterminada. Esta
versión incluye muchas de las especificaciones IEEE 802.1D-2004, como puertos alternativos en
lugar de los puertos no designados anteriores. Los conmutadores deben configurarse
explícitamente para el modo de árbol de expansión rápida para ejecutar el protocolo de árbol de
expansión rápida.
5.3.2
Conceptos de RSTP
RSTP (IEEE 802.1w) reemplaza al 802.1D original mientras conserva la compatibilidad con
versiones anteriores. La terminología de STP 802.1w sigue siendo fundamentalmente la misma que
la de STP IEEE 802.1D original. La mayoría de los parámetros se han dejado sin cambios. Los
usuarios que estén familiarizados con el estándar STP original pueden configurar fácilmente RSTP.
El mismo algoritmo de árbol de expansión se utiliza tanto para STP como para RSTP para
determinar los roles de puerto y la topología.
RSTP aumenta la velocidad del recálculo del árbol de expansión cuando cambia la topología de la
red de Capa 2. RSTP puede lograr una convergencia mucho más rápida en una red configurada en
forma adecuada, a veces sólo en unos pocos cientos de milisegundos. Si un puerto está
configurado como puerto alternativo o de respaldo, puede cambiar automáticamente al estado de
reenvío sin esperar a que converja la red.
Note: PVST+ rápido es la implementación que hace Cisco de RSTP por VLAN. Con Rapid PVST +
se ejecuta una instancia independiente de RSTP para cada VLAN.
5.3.3
Los estados de puerto y las funciones de puerto entre STP y RSTP son similares.
Solo hay tres estados de puerto en RSTP que corresponden a los tres estados operativos
posibles en STP. Los estados de desactivación, bloqueo y escucha 802.1D se fusionan en un
único estado de descarte 802.1w.
Estados de puertos STP y RSTP
Como se muestra en la figura, los puertos raíz y los puertos designados son los mismos para
STP y RSTP. Sin embargo, hay dos roles de puerto RSTP que corresponden al estado de
bloqueo de STP. En STP, un puerto bloqueado se define como no ser el puerto designado o
raíz. RSTP tiene dos funciones de puerto para este propósito.
Como se muestra en la figura, el puerto alternativo tiene una ruta alternativa al puente raíz. El
puerto de copia de seguridad es una copia de seguridad en un medio compartido, como un
concentrador. Un puerto de copia de seguridad es menos común porque ahora los
concentradores se consideran dispositivos heredados.
PortFast y protección BPDU
Note: Aunque esto puede ocurrir con clientes que envían mensajes de solicitud de enrutador
ICMPv6, el enrutador continuará enviando mensajes de anuncio de enrutador ICMPv6 para que el
dispositivo sepa cómo obtener su información de dirección.
Cuando un puerto de conmutador se configura con PortFast, ese puerto pasa del bloqueo al estado
de reenvío inmediatamente, omitiendo los estados de escucha y aprendizaje STP y evitando un
retraso de 30 segundos. Use PortFast en los puertos de acceso para permitir que los dispositivos
conectados a estos puertos, como los clientes DHCP, accedan a la red de inmediato, en lugar de
esperar a que STP converja en cada VLAN. Debido a que el propósito de PortFast es minimizar el
tiempo que los puertos de acceso deben esperar a que el árbol de expansión converja, solo debe
usarse en los puertos de acceso. Si habilita PortFast en un puerto que se conecta a otro switch,
corre el riesgo de crear un bucle de árbol de expansión. PortFast solo se puede usar en puertos
conmutadores que se conectan a dispositivos finales.
La topología de red física muestra tres conmutadores interconectados, S1, S2 y S3 y tres PC, PC1,
PC2 y PC3. S1 se conecta a S3 a través del puerto del switch F0/2 y se conecta a S2 a través del
puerto del switch F0/1 que tiene la letra D junto a él. El enlace entre S1 y S2 se etiqueta Trunk 1. El
enlace entre S1 y S3 se etiqueta Trunk 3. S1 se conecta a PC4 a través del puerto del switch F0/2
que tiene la letra D junto a él. S2 se conecta a S3 a través del puerto del switch F0/2, que tiene la
letra D junto a él y se conecta a S1 a través del puerto del switch F0/1 que tiene la letra R junto a él.
El enlace entre S2 y S3 se etiqueta Trunk 2. S2 se conecta a PC1 a través del puerto del switch
F0/11, se conecta a PC2 a través del puerto del switch F0/18 y a PC3 a través del puerto del switch
F0/6. S3 se conecta a S2 sobre el puerto del switch F0/2 que como la letra A junto a él y se conecta
a S1 sobre el puerto del switch F0/1 que tiene la letra R junto a él. Se coloca un símbolo X rojo en
el enlace troncal entre S3 y S2. La dirección IP de PC1 es 172.17.10.21. La dirección IP de PC2 es
172.17.10.22. La dirección IP de PC3 es 172.17.10.23. Un cuadro de texto lee PortFast y BPDU
Guard y tiene flechas que apuntan a los tres puertos del conmutador en S2, F0/11, F0/18 y F0/6.
En una configuración de PortFast válida, nunca se deben recibir BPDU, ya que esto indicaría
que hay otro puente o switch conectado al puerto, lo que podría causar un bucle de árbol de
expansión. Esto potencialmente causa un bucle de árbol de expansión. Para evitar que se
produzca este tipo de escenario, los switches Cisco admiten una función llamada guardia BPDU.
Cuando está habilitado, inmediatamente pone el puerto del conmutador en un estado
errdisabled (error-disabled) al recibir cualquier BPDU. Esto protege contra posibles bucles al
apagar eficazmente el puerto. La característica de protección BPDU proporciona una respuesta
segura a la configuración no válida, ya que se debe volver a activar la interfaz de forma manual.
Alternativas a STP
STP era y sigue siendo un protocolo de prevención de bucles Ethernet. A lo largo de los años, las
organizaciones requerían una mayor resiliencia y disponibilidad en la LAN. Las LAN Ethernet
pasaron de unos pocos conmutadores interconectados conectados conectados a un único
enrutador, a un sofisticado diseño de red jerárquica que incluye conmutadores de acceso,
distribución y capa central, como se muestra en la figura.
Dos topologías de red físicas que muestran un diseño de red jerárquico y un diseño de núcleo
contraído
Aunque es muy probable que STP siga utilizándose como mecanismo de prevención de bucles
en la empresa, en los conmutadores de capa de acceso también se están utilizando otras
tecnologías, incluidas las siguientes:
Agregación de enlaces de
Propósito de STP
Las rutas redundantes en una red Ethernet conmutada pueden causar bucles de Capa 2 físicos y
lógicos. Un bucle de capa 2 puede provocar inestabilidad en la tabla de direcciones MAC,
saturación de enlaces y alta utilización de CPU en conmutadores y dispositivos finales. Esto hace
que la red se vuelva inutilizable. A diferencia de los protocolos de Capa 3, IPv4 e IPv6, Layer 2
Ethernet no incluye un mecanismo para reconocer y eliminar tramas de bucle sin fin. Las LAN
Ethernet requieren una topología sin bucles con una única ruta entre dos dispositivos. STP es un
protocolo de red de prevención de bucles que permite redundancia mientras crea una topología de
capa 2 sin bucles. Sin STP, se pueden formar bucles de capa 2, lo que hace que las tramas de
difusión, multidifusión y unicast desconocidos se reproduzcan sin fin, lo que reduce una red. Una
tormenta de difusión es un número anormalmente alto de emisiones que abruman la red durante un
período específico de tiempo. Las tormentas de difusión pueden deshabilitar una red en cuestión
de segundos al abrumar los conmutadores y los dispositivos finales. STP se basa en un algoritmo
inventado por Radia Perlman. Su algoritmo de árbol de expansión (STA) crea una topología sin
bucles al seleccionar un único puente raíz donde todos los demás conmutadores determinan una
única ruta de menor costo.
Operaciones STP
Usando STA, STP crea una topología sin bucles en un proceso de cuatro pasos: elija el puente
raíz, elija los puertos raíz, elija los puertos designados y elija los puertos alternativos (bloqueados).
Durante las funciones STA y STP, los conmutadores utilizan BPDU para compartir información
sobre sí mismos y sus conexiones. Las BPDU se utilizan para elegir el puente raíz, los puertos raíz,
los puertos designados y los puertos alternativos. Cada BPDU contiene un BID que identifica al
switch que envió la BPDU. El BID participa en la toma de muchas de las decisiones STA, incluidos
los roles de puente raíz y puerto. El BID contiene un valor de prioridad, la dirección MAC del
conmutador y un ID de sistema extendido. El valor de BID más bajo lo determina la combinación de
estos tres campos. El switch que tiene el BID más bajo se convierte en el puente raíz. Dado que el
BID predeterminado es 32.768, es posible que dos o más conmutadores tengan la misma prioridad.
En este escenario, donde las prioridades son las mismas, el conmutador con la dirección MAC más
baja se convertirá en el puente raíz. Cuando se ha elegido el puente raíz para una instancia de
árbol de expansión dado, el STA determina las mejores rutas al puente raíz desde todos los
destinos en el dominio de difusión. La información de la ruta, conocida como el costo interno de la
ruta raíz, está determinada por la suma de todos los costos de los puertos individuales a lo largo de
la ruta desde el conmutador hasta el puente raíz. Después de determinar el puente raíz, el
algoritmo STA selecciona el puerto raíz. El puerto raíz es el puerto más cercano al puente raíz en
términos de costo total, que se denomina costo de ruta raíz interna. Después de que cada switch
selecciona un puerto raíz, los switches seleccionarán los puertos designados. El puerto designado
es un puerto en el segmento (con dos switches) que tiene el costo de ruta raíz interna al puente
raíz. Si un puerto no es un puerto raíz o un puerto designado, se convierte en un puerto alternativo
(o de copia de seguridad). Los puertos alternativos y los puertos de respaldo están en estado de
descarte o bloqueo para evitar bucles. Cuando un switch tiene varias rutas de igual costo al puente
raíz, el switch determinará un puerto utilizando los siguientes criterios: BID del remitente más bajo,
prioridad del puerto del remitente más bajo y, finalmente, el ID del puerto del remitente más bajo.
La convergencia STP requiere tres temporizadores: el temporizador de saludo, el temporizador de
retardo de avance y el temporizador de edad máxima. Los estados de puerto están bloqueando,
escuchando, aprendiendo, reenviando y deshabilitados. En las versiones PVST de STP, hay un
puente raíz elegido para cada instancia de árbol de expansión. Esto hace posible tener diferentes
puentes raíz para diferentes conjuntos de VLAN.
Evolución de STP
El término Protocolo Spanning Tree y el acrónimo STP pueden ser engañosos. STP se utiliza a
menudo para hacer referencia a las diversas implementaciones del árbol de expansión, como
RSTP y MSTP. RSTP es una evolución de STP que proporciona una convergencia más rápida que
STP. Los estados del puerto RSTP están aprendiendo, reenviando y descartando. PVST + es una
mejora de Cisco de STP que proporciona una instancia de árbol de expansión separada para cada
VLAN configurada en la red. PVST + admite PortFast, UplinkFast, BackboneFast, protección
BPDU, filtro BPDU, protección raíz y protección de bucle. Los switches de Cisco con IOS 15.0 o
posterior ejecutan PVST+ de manera predeterminada. Rapid PVST+ es una mejora de Cisco de
RSTP que utiliza PVST+ y proporciona una instancia independiente de 802.1w por VLAN. Cuando
un puerto de conmutador se configura con PortFast, ese puerto pasa del bloqueo al estado de
reenvío inmediatamente, omitiendo los estados de escucha y aprendizaje STP y evitando un
retraso de 30 segundos. Use PortFast en los puertos de acceso para permitir que los dispositivos
conectados a estos puertos, como los clientes DHCP, accedan a la red de inmediato, en lugar de
esperar a que STP converja en cada VLAN. Los switches Cisco admiten una función llamada
BPDU guard que coloca inmediatamente el puerto del switch en un estado de error deshabilitado al
recibir cualquier BPDU para protegerlo contra posibles bucles. A lo largo de los años, las LAN
Ethernet pasaron de unos pocos conmutadores interconectados conectados conectados a un único
router, a un sofisticado diseño de red jerárquica. Dependiendo de la implementación, la capa 2
puede incluir no solo la capa de acceso, sino también la distribución o incluso las capas principales.
Estos diseños pueden incluir cientos de switches, con cientos o incluso miles de VLAN. STP se ha
adaptado a la redundancia y complejidad añadida con mejoras como parte de RSTP y MSTP. El
enrutamiento de capa 3 permite rutas y bucles redundantes en la topología, sin bloquear puertos.
Por esta razón, algunos entornos están en transición a la capa 3 en todas partes, excepto donde
los dispositivos se conectan al conmutador de capa de acceso.
¡Bienvenido a EtherChannel!
El diseño de la red incluye switches y enlaces redundantes. Usted tiene alguna versión de STP
configurada para evitar bucles de Capa 2. Pero ahora usted, como la mayoría de los
administradores de red, se da cuenta de que podría usar más ancho de banda y redundancia en su
red. ¡Nada de qué preocuparse, EtherChannel está aquí para ayudarle! EtherChannel agrega
enlaces entre dispositivos en paquetes. Estos paquetes incluyen enlaces redundantes. STP puede
bloquear uno de esos enlaces, pero no los bloqueará todos. ¡Con EtherChannel su red puede tener
redundancia, prevención de bucles y mayor ancho de banda!
Hay dos protocolos, PAgP y LACP. Este módulo explica ambos y también muestra cómo
configurarlos, verificarlos y solucionarlos. Un Verificador de sintaxis y dos actividades Packet Tracer
le ayudan a comprender mejor estos protocolos. ¿Qué está esperando?
6.0.2
Funcionamiento de
Describa la tecnología EtherChannel.
EtherChannel
Verificación y solución de
Solucione problemas de EtherChannel.
problemas de EtherChannel
Añadidura de enlaces
Hay escenarios en los que se necesita más ancho de banda o redundancia entre dispositivos que
lo que puede proporcionar un único enlace. Se pueden conectar varios enlaces entre dispositivos
para aumentar el ancho de banda. Sin embargo, el Spanning Tree Protocol (STP), que está
habilitado en dispositivos de capa 2 como switches de Cisco de forma predeterminada, bloqueará
enlaces redundantes para evitar bucles de switching, como se muestra en la figura.
Se necesita una tecnología de agregación de enlaces que permita enlaces redundantes entre
dispositivos que no serán bloqueados por STP. Esa tecnología se conoce como EtherChannel.
EtherChannel es una tecnología de agregación de enlaces que agrupa varios enlaces Ethernet
físicos en un único enlace lógico. Se utiliza para proporcionar tolerancia a fallos, uso compartido de
carga, mayor ancho de banda y redundancia entre switches, routers y servidores.
La tecnología de EtherChannel hace posible combinar la cantidad de enlaces físicos entre los
switches para aumentar la velocidad general de la comunicación switch a switch.
EtherChannel
En los inicios, Cisco desarrolló la tecnología EtherChannel como una técnica switch a switch LAN
para agrupar varios puertos Fast Ethernet o gigabit Ethernet en un único canal lógico. Cuando se
configura un EtherChannel, la interfaz virtual resultante se denomina “canal de puertos”. Las
interfaces físicas se agrupan en una interfaz de canal de puertos, como se muestra en la figura.
dos switches multicapa conectados cada uno a un switch LAN a través de dos conexiones de red
físicas; ambas conexiones se han combinado en un EtherChannel
Ventajas de EtherChannel
Restricciones de implementación
EtherChannel tiene ciertas restricciones de implementación, entre las que se incluyen las
siguientes:
● No pueden mezclarse los tipos de interfaz. Por ejemplo, Fast Ethernet y Gigabit Ethernet no
se pueden mezclar dentro de un único EtherChannel.
● En la actualidad, cada EtherChannel puede constar de hasta ocho puertos Ethernet
configurados de manera compatible. El EtherChannel proporciona un ancho de banda full-
duplex de hasta 800 Mbps (Fast EtherChannel) u 8 Gbps (Gigabit EtherChannel) entre un
switch y otro switch o host.
● El switch Cisco Catalyst 2960 Layer 2 soporta actualmente hasta seis EtherChannels. Sin
embargo, a medida que se desarrollan nuevos IOS y cambian las plataformas, algunas
tarjetas y plataformas pueden admitir una mayor cantidad de puertos dentro de un enlace
EtherChannel, así como una mayor cantidad de Gigabit EtherChannels.
● La configuración de los puertos individuales que forman parte del grupo EtherChannel debe
ser coherente en ambos dispositivos. Si los puertos físicos de un lado se configuran como
enlaces troncales, los puertos físicos del otro lado también se deben configurar como
enlaces troncales dentro de la misma VLAN nativa. Además, todos los puertos en cada
enlace EtherChannel se deben configurar como puertos de capa 2.
● Cada EtherChannel tiene una interfaz de canal de puertos lógica, como se muestra en la
figura. La configuración aplicada a la interfaz de canal de puertos afecta a todas las
interfaces físicas que se asignan a esa interfaz.
Protocolos de negociación automática
Los EtherChannels se pueden formar por medio de una negociación con uno de dos protocolos:
Port Aggregation Protocol (PAgP) o Link Aggregation Control Protocol (LACP). Estos protocolos
permiten que los puertos con características similares formen un canal mediante una negociación
dinámica con los switches adyacentes.
Nota: También es posible configurar un EtherChannel estático o incondicional sin PAgP o LACP.
6.1.6
Funcionamiento PAgP
PAgP (pronunciado “Pag - P”) es un protocolo patentado por Cisco que ayuda en la creación
automática de enlaces EtherChannel. Cuando se configura un enlace EtherChannel mediante
PAgP, se envían paquetes PAgP entre los puertos aptos para EtherChannel para negociar la
formación de un canal. Cuando PAgP identifica enlaces Ethernet compatibles, agrupa los enlaces
en un EtherChannel. El EtherChannel después se agrega al árbol de expansión como un único
puerto.
Cuando se habilita, PAgP también administra el EtherChannel. Los paquetes PAgP se envían cada
30 segundos. PAgP revisa la coherencia de la configuración y administra los enlaces que se
agregan, así como las fallas entre dos switches. Cuando se crea un EtherChannel, asegura que
todos los puertos tengan el mismo tipo de configuración.
Nota: En EtherChannel, es obligatorio que todos los puertos tengan la misma velocidad, la misma
configuración de dúplex y la misma información de VLAN. Cualquier modificación de los puertos
después de la creación del canal también modifica a los demás puertos del canal.
PAgP ayuda a crear el enlace EtherChannel al detectar la configuración de cada lado y asegurarse
de que los enlaces sean compatibles, de modo que se pueda habilitar el enlace EtherChannel
cuando sea necesario. Los modos de PAgP de la siguiente manera:
● On - Este modo obliga a la interfaz a proporcionar un canal sin PAgP. Las interfaces
configuradas en el modo encendido no intercambian paquetes PAgP.
● PAgP deseable - Este modo PAgP coloca una interfaz en un estado de negociación activa
en el que la interfaz inicia negociaciones con otras interfaces al enviar paquetes PAgP.
● PAgP automático - Este modo PAgP coloca una interfaz en un estado de negociación
pasiva en el que la interfaz responde a los paquetes PAgP que recibe, pero no inicia la
negociación PAgP.
Los modos deben ser compatibles en cada lado. Si se configura un lado en modo automático, se
coloca en estado pasivo, a la espera de que el otro lado inicie la negociación del EtherChannel. Si
el otro lado se establece en modo automático, la negociación nunca se inicia y no se forma el canal
EtherChannel. Si se deshabilitan todos los modos usando no el comando, o si se configura el modo
no, el EtherChannel se deshabilitará.
El hecho de que no haya negociación entre los dos switches significa que no hay un control para
asegurarse de que todos los enlaces en el EtherChannel terminen del otro lado o de que haya
compatibilidad con PAgP en el otro switch.
Modos PAgP
S1 S2 Establecimiento del canal
Activo Activo Sí
Activado Desdeseable/Automático No
Deseado Deseado Sí
Deseado Automático Sí
Automático Deseado Sí
Automático Automático No
6.1.8
Operación LACP
LACP forma parte de una especificación IEEE (802.3ad) que permite agrupar varios puertos físicos
para formar un único canal lógico. LACP permite que un switch negocie un grupo automático
mediante el envío de paquetes LACP al otro switch. Realiza una función similar a PAgP con
EtherChannel de Cisco. Debido a que LACP es un estándar IEEE, se puede usar para facilitar los
EtherChannels en entornos de varios proveedores. En los dispositivos de Cisco, se admiten ambos
protocolos.
Nota: LACP en los inicios, se definió como IEEE 802.3ad. Sin embargo, LACP ahora se define en
el estándar más moderno IEEE 802.1AX para la redes de área local y metropolitana.
LACP proporciona los mismos beneficios de negociación que PAgP. LACP ayuda a crear el enlace
EtherChannel al detectar la configuración de cada lado y al asegurarse de que sean compatibles,
de modo que se pueda habilitar el enlace EtherChannel cuando sea necesario. Los modos para
LACP son los siguientes:
● On - Este modo obliga a la interfaz a proporcionar un canal sin LACP. Las interfaces
configuradas en el modo encendido no intercambian paquetes LACP.
● LACP activo - Este modo de LACP coloca un puerto en estado de negociación activa. En
este estado, el puerto inicia negociaciones con otros puertos mediante el envío de paquetes
LACP.
● LACP pasivo - Este modo de LACP coloca un puerto en estado de negociación pasiva. En
este estado, el puerto responde a los paquetes LACP que recibe, pero no inicia la
negociación de paquetes LACP.
Al igual que con PAgP, los modos deben ser compatibles en ambos lados para que se forme el
enlace EtherChannel. Se repite el modo encendido, ya que crea la configuración de EtherChannel
incondicionalmente, sin la negociación dinámica de PAgP o LACP.
El protocolo LACP permite ocho enlaces activos y, también, ocho enlaces de reserva. Un enlace de
reserva se vuelve activo si falla uno de los enlaces activos actuales.
6.1.9
Modos LACP
S1 S2 Establecimiento del canal
Activo Activo Sí
Activado Activo/pasivo No
Activo Activo Sí
Activo Pasivo Sí
Pasivo Activo Sí
Pasivo Pasivo No
Instrucciones de configuración
Ahora que ya sabe qué es EtherChannel, en este tema se explica cómo configurarlo. Las siguientes
pautas y restricciones son útiles para configurar EtherChannel:
● Soporte de EtherChannel - Todas las interfaces Ethernet deben admitir EtherChannel, sin
necesidad de que las interfaces sean físicamente contiguas
● Velocidad y dúplex - Configure todas las interfaces en un EtherChannel para que
funcionen a la misma velocidad y en el mismo modo dúplex.
● Coincidencia VLAN - Todas las interfaces en el grupo EtherChannel se deben asignar a la
misma VLAN o se deben configurar como enlace troncal (mostrado en la figura).
● Rango de VLAN - An EtherChannel supports the same allowed range of VLANs on all the
interfaces in a trunking EtherChannel. If the allowed range of VLANs is not the same, the
interfaces do not form an EtherChannel, even when they are set to modo or auto desirable.
La figura muestra una configuración que permitiría que se forme un EtherChannel entre el S1 y el
S2.
En la siguiente figura, los puertos de S1 están configurados en modo semidúplex. Por lo tanto,
no se formará un EtherChannel entre el S1 y el S2.
El canal de puertos se puede configurar en modo de acceso, modo de enlace troncal (más
frecuente) o en un puerto enrutado.
6.2.2
Paso 1. Especifique las interfaces que conforman el grupo EtherChannel mediante el interface
range el comando de modo de configuración interface global. La palabra clave range le permite
seleccionar varias interfaces y configurarlas a la vez.
Paso 2. Cree la interfaz port channel con el channel-group comando mode active identifier en
el modo de configuración de interface range. El identificador especifica el número del grupo del
canal. Las mode active palabras clave identifican a esta configuración como EtherChannel
LACP.
Verificador de sintaxis -
Configuración EtherChannel
Usar ayuda sensible al contexto (?) para mostrar las opciones del channel-group
comando.
S1(config-if-range)#channel-group ?
<1-6> Channel group number
S1(config-if-range)#channel-group 1 ?
mode Etherchannel Mode of the interface
S1(config-if-range)#channel-group 1 mode ?
active Enable LACP unconditionally
auto Enable PAgP only if a PAgP device is detected
desirable Enable PAgP unconditionally
on Enable Etherchannel only
passive Enable LACP only if a LACP device is detected
S1(config-if-range)#interface port-channel 1
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk allowed vlan 1,2,20
Verificar EtherChannel
(resultado omitido)
Fa0/1 SA 32768 c025.5cd7.ef00 12s 0x0 0x1 0x102 0x3Dof the port in the current state:
0d:00h:11m:51sllowed vlan 1,2,20
Nota: Es fácil confundir PAgP o LACP con DTP, ya que ambos son protocolos que se usan
para automatizar el comportamiento en los enlaces troncales. PAgP y LACP se usan para la
agregación de enlaces (EtherChannel). DTP se usa para automatizar la creación de enlaces
troncales. Cuando se configura un enlace troncal de EtherChannel, normalmente se
configura primero EtherChannel (PAgP o LACP) y después DTP.
6.3.3
La salida del show etherchannel summary comando indica que el EtherChannel está
caído.
En la show run | begin interface port-channel salida, una salida más detallada indica que
existen modos PAgP incompatibles configurados en los switches S1 y S2.
Nota: EtherChannel y STP deben interoperar. Por este motivo, el orden en el que se
introducen los comandos relacionados con EtherChannel es importante, y por ello se
puede ver que se quitó el canal de puertos de interfaz1 y después se volvió a agregar con
el channel-group comando, en vez de cambiarse directamente. Si se intenta cambiar la
configuración directamente, los errores STP hacen que los puertos asociados entren en
estado de bloqueo o errdisabled.
S1#
El EtherChannel ahora está activo según lo verificado por la salida del show etherchannel
summary comando.
Para aumentar el ancho de banda o la redundancia, se pueden conectar varios enlaces entre
dispositivos. Sin embargo, el STP bloquea los enlaces redundantes para evitar los bucles de
switching. EtherChannel es una tecnología de agregación de enlaces que permite enlaces
redundantes entre dispositivos que no serán bloqueados por STP. EtherChannel agrupa
varios enlaces Ethernet físicos en un único enlace lógico. Proporciona tolerancia a fallos,
uso compartido de carga, mayor ancho de banda y redundancia entre conmutadores,
enrutadores y servidores. Cuando se configura un EtherChannel, la interfaz virtual resultante
se denomina “canal de puertos”. EtherChannel tiene varias ventajas, así como algunas
restricciones a la implementación. Los EtherChannels se pueden formar por medio de una
negociación con uno de dos protocolos: PAgP o LACP. Estos protocolos permiten que los
puertos con características similares formen un canal mediante una negociación dinámica
con los switches adyacentes. Cuando se configura un enlace EtherChannel mediante un
propietario Cisco PAgP, se envían paquetes PAgP entre los puertos aptos para
EtherChannel para negociar la formación de un canal. Los modos PAgP se encienden, PAgP
deseable y PAgP automático. LACP realiza una función similar a PAgP con EtherChannel de
Cisco. Debido a que LACP es un estándar IEEE, se puede usar para facilitar los
EtherChannels en entornos de varios proveedores. Los modos LACP se encienden, LACP
activo y LACP pasivo.
Configurar EtherChannel
Paso 2. Cree la interfaz de canal de puerto con el comando channel-group identifier mode
active en el modo de configuración de rango de interfaz.
Existe una variedad de comandos para verificar una configuración EtherChannel que
incluye, show interfaces port-channel, show etherchannel summary, show etherchannel
port-channel y show interfaces etherchannel. Entre los problemas comunes de EtherChannel
se incluyen los siguientes:
¡Bienvenido a DHCPv4!
El protocolo de configuración dinámica de host (DHCP) se utiliza para asignar direcciones
IPv4 dinámicamente a hosts de red. DHCPv4 es para una red IPv4. (No se preocupe,
aprenderá acerca de DHCPv6 en otro módulo.) Esto significa que usted, el administrador de
la red, no tiene que pasar el día configurando direcciones IP para cada dispositivo de la red.
En una pequeña casa u oficina, eso no sería muy difícil, pero cualquier red grande podría
tener cientos, o incluso miles de dispositivos.
En este módulo, aprenderá a configurar un router Cisco IOS para que sea un servidor
DHCPv4. A continuación, aprenderá cómo configurar un router Cisco IOS como cliente. Este
módulo incluye algunos comprobadores de sintaxis y una actividad Packet Tracer para
ayudarle a probar sus nuevos conocimientos. Las habilidades de configuración DHCPv4
reducirán significativamente su carga de trabajo, ¿y quién no quiere eso?
Funcionamiento de DHCPv4
7.1.3
Cuando el cliente arranca (o quiere unirse a una red), comienza un proceso de cuatro pasos
para obtener un arrendamiento:
Configure un servidor
DHCPv4 del IOS de Cisco
7.2.1
Ahora usted tiene una comprensión básica de cómo funciona DHCPv4 y cómo
puede hacer su trabajo un poco más fácil. Si no tiene un servidor DHCPv4
independiente, este tema le mostrará cómo configurar un router Cisco IOS
para que actúe como uno. Un router Cisco que ejecuta el software IOS de
Cisco puede configurarse para que funcione como servidor de DHCPv4. El
servidor de DHCPv4 que utiliza IOS de Cisco asigna y administra
direcciones IPv4 de conjuntos de direcciones especificados dentro del
router para los clientes DHCPv4.
Utilice los siguientes pasos para configurar un servidor DHCPv4 del IOS
de Cisco:
Router(dhcp-config)#
Definir el router o
default-router address [ address2….address8]
gateway predeterminado.
Definir la duración de la
lease {days [hours [ minutes]] | infinite}
concesión DHCP.
7.2.3
Ejemplo de configuración
R1#
Utilice los comandos de la tabla para verificar que el servidor DHCPv4 del IOS de Cisco esté
funcionando.
Coman
Descripción
do
show
running-
config | Muestra los comandos DHCPv4 configurados en el router.
section
dhcp
show ip
Muestra una lista de todos los enlaces de direcciones IPv4 a direcciones MAC
dhcp
proporcionados por el servicio DHCPv4.
binding
show ip
dhcp Muestra información de conteo con respecto a la cantidad de mensajes
server DHCPv4 que han sido enviados y recibidos.
statistics
7.2.5
domain-name ejemplo.com
DHCPINFORM 0
El comando ipconfig /all cuando se emite en la PC1, muestra los parámetros TCP/IP,
como se muestra en el ejemplo. Dado que la PC1 se conectó al segmento de red
192.168.10.0/24, recibió automáticamente un sufijo DNS, una dirección IPv4, una máscara
de subred, un gateway predeterminado y una dirección del servidor DNS de ese pool. No
se requiere ninguna configuración de interfaz del router específica de DHCP. Si una
computadora está conectada a un segmento de red que tiene un pool de DHCPv4
disponible, la computadora puede obtener una dirección IPv4 del pool adecuado de
manera automática.
En esta actividad del Verificador de sintaxis, usted configurará R1 para que sea el servidor
DHCPv4 para la red 192.168.11.0/24.
Nota: Si se borra los enlaces DHCP o se detiene y reinicia el servicio DHCP, se pueden
asignar temporalmente direcciones IP duplicadas en la red.
R1(config)#
7.2.8
Retransmisión DHCPv4
En una red jerárquica compleja, los servidores empresariales suelen estar ubicados en una
central. Estos servidores pueden proporcionar servicios DHCP, DNS, TFTP y FTP para la red.
Generalmente, los clientes de red no se encuentran en la misma subred que esos
servidores. Para ubicar los servidores y recibir servicios, los clientes con frecuencia utilizan
mensajes de difusión.
En la figura, la PC1 intenta adquirir una dirección IPv4 de un servidor de DHCPv4 mediante
un mensaje de difusión. En esta situación, el router R1 no está configurado como servidor
de DHCPv4 y no reenvía el mensaje de difusión. Dado que el servidor de DHCPv4 está
ubicado en una red diferente, la PC1 no puede recibir una dirección IP mediante DHCP. R1
debe configurarse para retransmitir mensajes DHCPv4 al servidor DHCPv4.
ipconfig /release
PC1 es una computadora con Windows. El administrador de red libera toda la información
de direccionamiento IPv4 actual mediante el comando ipconfig /release. Observe que se
libera la dirección IPv4 y ninguna dirección aparece.
Configuración IP de Windows
Default Gateway . . . . . . . . . :
ipconfig /renew
Configuración IP de Windows
ip helper-address
R1(config-if)# finalizar
R1#
show ip interface
(resultado omitido)
ipconfig /all
Como se muestra en la salida, PC1 ahora puede adquirir una dirección IPv4 del servidor
DHCPv4 como se ha verificado con el ipconfig /all comando .
DHCPv4 no es el único servicio que puede configurarse para que retransmita el router. De
manera predeterminada, el ip helper-address comando reenvia los siguientes ocho
servidcios UDP:
Hay escenarios en los que puede tener acceso a un servidor DHCP a través de su ISP. En
estos casos, puede configurar un router Cisco IOS como cliente DHCPv4. En esta guía se
explicará ese proceso.
En ocasiones, los routers Cisco en oficinas pequeñas y oficinas domésticas (SOHO) y en los
sitios de sucursales deben configurarse como clientes DHCPv4 de manera similar a los
equipos cliente. El método específico utilizado depende del ISP. Sin embargo, en su
configuración más simple, se utiliza la interfaz Ethernet para conectarse a un cable módem o
a un módem DSL.
Para configurar una interfaz Ethernet como cliente DHCP, utilice el ip address dhcp
comando del modo de configuración de interfaz.
un router configurado como cliente DHCPv4 se conecta a través de G0/0/1 a un módem por
cable o DSL que luego se conecta a la nube que luego se conecta a un router ISP que
funciona como servidor DHCPv4
Ejemplo de configuración
Para configurar una interfaz Ethernet como cliente DHCP, utilice el ip address dhcp
comando del modo de configuración de interfaz, como se muestra en el ejemplo. Esta
configuración supone que el ISP se ha configurado para proporcionar a los clientes
seleccionados información de direcciones IPv4.
SOHO(config-if)# no shutdown
El comando show ip interface g0/0/1 confirma que la interfaz está activa y que la dirección
fue asignada por un servidor DHCPv4.
(output omitted)
7.3.3
En esta actividad del Comprobador de sintaxis, configurará un router Cisco como cliente
DHCP.
SOHO(config)#interface g0/0/1
Configure la interfaz para obtener información de direccionamiento IPv4 del ISP.
Active la interfaz.
SOHO(config-if)#no shutdown
SOHO(config-if)#end
(output omitted)
Conceptos DHCPv4
Un router Cisco que ejecuta el software IOS de Cisco puede configurarse para que funcione
como servidor de DHCPv4. Siga los pasos siguientes para configurar un servidor DHCPv4
del IOS de Cisco: excluir direcciones IPv4, definir un nombre de grupo DHCPv4 y configurar
el grupo DHCPv4. Verifique la configuración usando los comandos show running-config |
section dhcp, show ip dhcp bindingy show ip dhcp server statistics. El servicio DHCPv4 está
habilitado de manera predeterminada. Para desabilitar el servicio, use el comando no service
dhcp del modo de configuración global. En una red jerárquica compleja, los servidores
empresariales suelen estar ubicados en una central. Estos servidores pueden proporcionar
servicios DHCP, DNS, TFTP y FTP para la red. Generalmente, los clientes de red no se
encuentran en la misma subred que esos servidores. Para ubicar los servidores y recibir
servicios, los clientes con frecuencia utilizan mensajes de difusión. La PC1 intenta adquirir
una dirección IPv4 de un servidor de DHCPv4 mediante un mensaje de difusión. Si el router
R1 no está configurado como servidor de DHCPv4, no reenviará el mensaje de difusión. Si el
servidor DHCPv4 está ubicado en una red distinta, el PC no podrá recibir la dirección IP
mediante DHCP. El router debe estar configurado para retransmitir mensajes DHCPv4 al
servidor DHCPv4. El administrador de red libera toda la información de direccionamiento
IPv4 actual mediante el comando ipconfig /release. A continuación, el administrador de red
intenta renovar la información de direccionamiento IPv4 con el comando ipconfig /renew.
Una mejor solución es configurar R1 con el comando ip helper-address address interface
configuration. El administrador de red puede utilizar el comando show ip interface para
verificar la configuración. El PC ahora puede adquirir una dirección IPv4 del servidor
DHCPv4 como se ha verificado con el comando ipconfig /all. De manera predeterminada, el
ip helper-address comando reenvia los siguientes ocho servidcios UDP:
SLAAC y DHCPv6 son protocolos de direccionamiento dinámico para una red IPv6. Por lo
tanto, un poco de configuración hará que su día como administrador de red sea mucho más
fácil. En este módulo, aprenderá a usar SLAAC para permitir a los hosts crear su propia
dirección de unidifusión global IPv6, así como configurar un router Cisco IOS para que sea
un servidor DHCPv6, un cliente DHCPv6 o un agente de retransmisión DHCPv6. Este módulo
incluye un laboratorio donde configurará DHCPv6 en equipos reales!
8.0.2
Introducir manualmente una GUA IPv6 puede llevar mucho tiempo y ser algo propenso a
errores. Por lo tanto, la mayoría de los hosts de Windows están habilitados para adquirir
dinámicamente una configuración GUA IPv6, como se muestra en la figura.
En la figura, observe que la interfaz no creó una GUA IPv6. La razón se debe a que, en este
ejemplo, el segmento de red no tiene un router que proporcione instrucciones de
configuración de red para el host.
Nota: A veces, los sistemas operativoshost mostrarán una dirección link-local anexada con
un "%" y un número. Esto se conoce como Id. de zona o Id. de ámbito. Es utilizado por el
sistema operativo para asociar el LLA con una interfaz específica.
Nota: DHCPv6 se define en RFC 3315.
C:\PC1> ipconfig
Windows IP Configuration
IPv6 Address. . . . . . . . . . . :
Default Gateway . . . . . . . . . :
C:\PC1>
IPv6 fue diseñado para simplificar la forma en que un host puede adquirir su configuración
IPv6. De forma predeterminada, un router habilitado para IPv6 anuncia su información IPv6.
Esto permite a un host crear o adquirir dinámicamente su configuración IPv6.
IPv6 GUA se puede asignar dinámicamente utilizando servicios stateless y stateful, como se
muestra en la figura.
Todos los métodos stateless y stateful de este módulo utilizan mensajes de RA ICMPv6 para
sugerir al host cómo crear o adquirir su configuración IPv6. Aunque los sistemas operativos
del host siguen la sugerencia del RA, la decisión real depende en última instancia del host.
un diagrama de árbol invertido comienza con Asignación GUA dinámica, se divide en dos:
stateless y stateful Stateless se divide en SLAAC y SLAAC con servidor DHCPv6 y conduce
a un servidor DHCPv6 stateful.
Tres flags de mensaje RA
Un mensaje de RA ICMPv6 incluye tres flags para identificar las opciones dinámicas
disponibles para un host, como se indica a continuación:
No todas las redes tienen acceso a un servidor DHCPv6. Pero todos los dispositivos de una
red IPv6 necesitan un GUA. El método SLAAC permite a los hosts crear su propia dirección
única global IPv6 sin los servicios de un servidor DHCPv6.
SLAAC es un servicio stateless. Esto significa que no hay ningún servidor que mantenga
información de direcciones de red para saber qué direcciones IPv6 se están utilizando y
cuáles están disponibles.
Un host también puede enviar un mensaje Router Solicitation (RS) solicitando que un router
habilitado para IPv6 envíe al host un RA.
Activación de SLAAC
Consulte la topología siguiente para ver cómo está habilitado SLAAC para proporcionar
asignación GUA dinámica stateless.
FF02::1
FF02::1:FF00:1
(output omitted)
R1#
Aunque la interfaz del router tiene una configuración IPv6, todavía no está habilitada para
enviar RA que contengan información de configuración de direcciones a hosts que
utilicen SLAAC.
Para habilitar el envío de mensajes RA, un router debe unirse al grupo de todos los
routers IPv6 mediante el comando ipv6 unicast-routing global config, como se muestra en
el ejemplo.
R1(config)# exit
R1#
El grupo de todos los routers IPv6 responde a la dirección de multidifusión IPv6 ff02 :: 2.
Puede utilizar el show ipv6 interface comando para verificar si un router está habilitado
como se muestra, en el ejemplo.
FF02::1
FF02::2
FF02::1:FF00:1
R1#
El método sólo SLAAC está habilitado de forma predeterminada cuando se configura el ipv6
unicast-routing comando. Todas las interfaces Ethernet habilitadas con un GUA IPv6
configurado comenzarán a enviar mensajes RA con el flag A establecido en 1 y los flags O y
M establecidos en 0, como se muestra en la figura.
El A = 1 flag sugiere al cliente que cree su propio IPv6 GUA usando el prefijo anunciado en la
RA. El cliente puede crear su propio ID de interfaz utilizando el método Extended Unique
Identifier (EUI-64) o hacer que se genere aleatoriamente.
Los flags O =0 y M=0 le indican al cliente que use la información del mensaje RA
exclusivamente. Esto incluye información del prefijo, de la longitud de prefijo, del servidor
DNS, de la MTU y del default gateway. No se encuentra disponible ninguna otra información
de un servidor de DHCPv6.
La dirección del default gateway es la dirección IPv6 de origen del mensaje RA, que es la
LLA para R1. El default gateway solo se puede obtener de forma automática mediante un
mensaje RA. Un servidor DHCPv6 no proporciona esta información.
C:\PC1> ipconfig
Windows IP Configuration
Ethernet adapter Ethernet0:
Connection-specific DNS Suffix . :
IPv6 Address. . . . . . . . . . . : 2001:db8:acad:1:1de9:c69:73ee:ca8c
Link-local IPv6 Address . . . . . : fe80::fb:1d54:839f:f595%21
IPv4 Address. . . . . . . . . . . : 169.254.202.140
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . : fe80::1%6
C:\PC1>
ICMPv6 RS Messages
Un router envía mensajes de RA cada 200 segundos. Sin embargo, también enviará un
mensaje RA si recibe un mensaje RS de un host.
Mediante SLAAC, un host suele adquirir su información de subred IPv6 de 64 bits del RA del
router. Sin embargo, debe generar el resto del identificador de interfaz (ID) de 64 bits
utilizando uno de estos dos métodos:
C:\PC1> ipconfig
Windows IP Configuration
Ethernet adapter Ethernet0:
Connection-specific DNS Suffix . :
IPv6 Address. . . . . . . . . . . : 2001:db8:acad:1:1de9:c69:73ee:ca8c
Link-local IPv6 Address . . . . . : fe80::fb:1d54:839f:f595%21
IPv4 Address. . . . . . . . . . . : 169.254.202.140
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . : fe80::1%6
C:\PC1>
El proceso permite al host crear una dirección IPv6. Sin embargo, no hay garantía de que la
dirección sea única en la red.
Ya que SLAAC es stateless; por lo tanto, un host tiene la opción de verificar que una
dirección IPv6 recién creada sea única antes de que pueda usarse Un host utiliza el proceso
de detección de direcciones duplicadas (DAD) para asegurarse de que IPv6 GUA es único.
DAD se implementa usando ICMPv6. Para realizar DAD, el host envía un mensaje ICMPv6 NS
con una dirección de multidifusión especialmente construida, llamada dirección de
multidifusión de nodo solicitado. Esta dirección duplica los últimos 24 bits de dirección IPv6
del host.
Si ningún otro dispositivo responde con un mensaje NA, prácticamente se garantiza que la
dirección es única y puede ser utilizada por la PC1. Si un mensaje NA es recibido por el host,
la dirección no es única, y el sistema operativo debe determinar una nueva ID de interfaz
para utilizar.
Internet Engineering Task Force (IETF) recomienda que DAD se utilice en todas las
direcciones de unidifusión IPv6 independientemente de si se crea con SLAAC sólo, se
obtiene con DHCPv6 stateful, o se configura manualmente. DAD no es obligatorio porque un
ID de interfaz de 64 bits proporciona 18 quintillion de posibilidades y la posibilidad de que
haya una duplicación es remota. Sin embargo, la mayoría de los sistemas operativos
realizan DAD en todas las direcciones de unidifusión IPv6, independientemente de cómo se
configure la dirección.
En este tema se explica DHCPv6 stateless y stateful DHCPv6 stateless utiliza partes de
SLAAC para asegurarse de que toda la información necesaria se suministra al host. DHCPv6
stateful no requiere SLAAC.
Si bien DHCPv6 es similar a DHCPv4 en cuanto a lo que proporciona, los dos protocolos son
independientes respecto sí.
El host comienza las comunicaciones cliente / servidor DHCPv6 después de que se indica
DHCPv6 stateles o DHCPv6 stateful en el RA.
Los mensajes DHCPv6 de servidor a cliente utilizan el puerto de destino UDP 546, mientras
que los mensajes DHCPv6 de cliente a servidor utilizan el puerto de destino UDP 547.
La opción de DHCPv6 stateless informa al cliente que utilice la información del mensaje RA
para el direccionamiento, pero que hay más parámetros de configuración disponibles de un
servidor de DHCPv6.
Este proceso se conoce como DHCPv6 stateless, debido a que el servidor no mantiene
información de estado del cliente (es decir, una lista de direcciones IPv6 asignadas y
disponibles). El servidor de DHCPv6 stateless solo proporciona parámetros de
configuración para los clientes, no direcciones IPv6.
Note: You can use the no ipv6 nd other-config flag para restablecer la
interfaz a la opción predeterminada de SLAAC sólo (O flag = 0).
R1#
8.3.4
R1#
Los routers IOS de Cisco son dispositivos potentes. En redes más pequeñas, no es
necesario tener dispositivos separados para tener un servidor DHCPv6, un cliente o un
agente de retransmisión. Se puede configurar un router Cisco para proporcionar servicios
DHCPv6.
8.4.2
Hay cinco pasos para configurar y verificar un router como servidor DHCPv6 stateless:
R1(config)#
Cree el grupo DHCPv6 mediante el comando ipv6 dhcp pool POOL-NAME global config.
Esto entra en el modo de subconfiguración del grupo DHCPv6 identificado por
elRouter(config-dhcpv6)# mensaje .
Note: El nombre del grupo no tiene que estar en mayúsculas. Sin embargo, el uso de un
nombre en mayúsculas facilita la visualización en una configuración.
R1(config)#
El grupo DHCPv6 debe vincularse a la interfaz mediante el comando ipv6 dhcp server
POOL-NAME interface config como se muestra en el ejemplo.
R1#
Paso 5. Compruebe que los hosts han recibido información de direccionamiento IPv6.
Para comprobar DHCP stateless en un host de Windows, utilice el ipconfig /all comando.
El resultado de ejemplo muestra la configuración en PC1.
C:\PC1>
Hay cinco pasos para configurar y verificar un router como servidor DHCPv6 stateless:
● Paso 1. Habilite el enrutamiento IPv6.
● Paso 2. Configure el router cliente para crear una LLA.
● Paso 3. Configure el router cliente para usar SLAAC.
● Paso 4. Verifique que el router cliente tenga asignado un GUA.
● Paso 5. Verifique que el enrutador cliente haya recibido otra información DHCPv6
necesaria.
R3(config)#
El router cliente necesita tener una dirección link-local. Una dirección link-local IPv6 se
crea en una interfaz de router cuando se configura una dirección de unidifusión global.
También se puede crear sin un GUA mediante el comando de configuración de ipv6
enable interfaz. Cisco IOS utiliza EUI-64 para crear un ID de interfaz aleatorio.
R3(config-if)#
El router cliente debe configurarse para usar SLAAC para crear una configuración IPv6. El
ipv6 address autoconfig comando habilita la configuración automática del
direccionamiento IPv6 mediante SLAAC.
R3#
Utilice el show ipv6 interface brief comando para verificar la configuración del host como
se muestra. El resultado confirma que a la interfaz G0/0/1 en R3 se le asignó una GUA
válida.
R3#
Paso 5. Verifique que el router cliente haya recibido otra información DHCPv6 necesaria.
El show ipv6 dhcp interface g0/0/1 comando confirma que R3 también aprendió el DNS y
los nombres de dominio.
R3#
La opción de servidor DHCP stateful requiere que el router habilitado para IPv6 indique al
host que se ponga en contacto con un servidor DHCPv6 para obtener toda la información de
direccionamiento de red IPv6 necesaria.
En la figura, R1 proporcionará servicios DHCPv6 stateful a todos los hosts de la red local.
Configurar un servidor de DHCPv6 stateful es similar a configurar un servidor stateless. La
diferencia más importante es que un servidor stateful también incluye información de
direccionamiento IPv6 de manera similar a un servidor DHCPv4.
El ipv6 unicast-routing comando es requerido para habilitar el enrutamiento IPv6
R1(config)#
Cree el grupo DHCPv6 mediante el comando ipv6 dhcp pool POOL-NAME global config.
R1(config-dhcpv6)#
Note: Este ejemplo está configurando el servidor DNS en el servidor DNS público de
Google.
El grupo DHCPv6 debe vincularse a la interfaz mediante el comando ipv6 dhcp server
POOL-NAME interface config.
● The M flag is manually changed from 0 to 1 using the interface command ipv6 nd
managed-config-flag.
● The A flag is manually changed from 1 to 0 using the interface command ipv6 nd
prefix default no-autoconfig. El flag A se puede dejar en 1, pero algunos sistemas
operativos cliente como Windows crearán una GUA usando SLAAC y obtendrán
una GUA del servidor DHCPv6 stateful. Establecer el flag A en 0 indica al cliente
que no utilice SLAAC para crear un GUA.
● The El comando IPv6 dhcp server vincula el conjunto de DHCPv6 con la interfaz.
R1 responderá ahora con la información contenida en el grupo cuando reciba
solicitudes DHCPv6 stateful en esta interfaz.
Note: You can use the no ipv6 nd managed-config-flag to set the M flag back to its default
of 0. The no ipv6 nd prefix default no-autoconfig comando establece el flag A su valor
predeterminado de 1.
R1#
Paso 5. Compruebe que los hosts han recibido información de direccionamiento IPv6.
Para comprobar en un host de Windows, utilice el ipconfig /all comando para comprobar
el método de configuración DHCP stateful. El ejemplo muestra la configuración en PC1. El
resultado resaltado muestra que PC1 ha recibido su GUA IPv6 de un servidor DHCPv6
stateful.
C:\PC1>
R3(config-if)#
R3#
Utilice el show ipv6 interface brief comando para verificar la configuración del host como
se muestra.
R3#
Paso 5. Verifique que el router cliente haya recibido otra información DHCPv6 necesaria.
El show ipv6 dhcp interface g0/0/1 comando confirma que R3 aprendió el DNS y los
nombres de dominio.
R3#
El show ipv6 dhcp pool comando verifica el nombre del pool de DHCPv6 y sus
parámetros. El comando también identifica el número de clientes activos. En este
ejemplo, el grupo IPV6-STATEFUL tiene actualmente 2 clientes, lo que refleja PC1 y R3
que reciben su dirección de unidifusión global IPv6 de este servidor.
Cuando un router proporciona servicios DHCPv6 stateful, también mantiene una base de
datos de direcciones IPv6 asignadas.
R1#
Utilice el resultado del show ipv6 dhcp binding comando para mostrar la dirección link-
local IPv6 del cliente y la dirección de unidifusión global asignada por el servidor.
El resultado muestra el enlace con estado actual en R1. El primer cliente en el resultado
es PC1 y el segundo cliente es R3.
R1#
Si el servidor de DHCPv6 está ubicado en una red distinta de la del cliente, el router IPv6
puede configurarse como agente de retransmisión DHCPv6. La configuración de un agente
de retransmisión DHCPv6 es similar a la configuración de un router IPv4 como retransmisor
DHCPv4.
La sintaxis del comando para configurar un router como agente de retransmisión DHCPv6
es la siguiente:
Este comando se configura en la interfaz que frente a los clientes DHCPv6 y especifica la
dirección del servidor DHCPv6 y la interfaz de salida para llegar al servidor, como se
muestra en el ejemplo. La interfaz de salida sólo es necesaria cuando la dirección de salto
siguiente es una LLA.
R1(config)#
8.4.8
Verificar el agente de
retransmisión de DHCPv6
Compruebe que el agente de retransmisión DHCPv6 esté operativo con los show ipv6 dhcp
interface comandos show ipv6 dhcp binding Compruebe que los hosts de Windows
recibieron información de direccionamiento IPv6 con el ipconfig /all comando.
R1#
En R3, utilice el show ipv6 dhcp binding command para comprobar si se ha asignado una
configuración IPv6 a alguno de los hosts.
Por último, utilice ipconfig /all en PC1 para confirmar que se le ha asignado una
configuración IPv6. Como puede ver, PC1 ha recibido su configuración IPv6 del servidor
DHCPv6.
C:\PC1>
SLAAC
El método SLAAC permite a los hosts crear su propia dirección única global IPv6 sin los
servicios de un servidor DHCPv6. SLAAC, que es stateless, utiliza mensajes ICMPv6 RA para
proporcionar direccionamiento y otra información de configuración que normalmente
proporcionaría un servidor DHCP SLAAC se puede implementar como SLAAC solamente, o
SLAAC con DHCPv6. Para habilitar el envío de mensajes RA, un router debe unirse al grupo
de todos los routers IPv6 mediante el comando ipv6 unicast-routing global config. Utilice el
show ipv6 interface comando para verificar si un router está habilitado. El método SLAAC
sólo, está habilitado de forma predeterminada cuando se configura el comando ipv6 unicast-
routing. Todas las interfaces Ethernet habilitadas con un GUA IPv6 configurado comenzarán
a enviar mensajes RA con el flag A establecido en 1 y los flags O y M establecidos en 0. El
flag A = 1 sugiere al cliente crear su propio IPv6 GUA usando el prefijo anunciado en RA.
Los flags O =0 y M=0 le indican al cliente que use la información del mensaje RA
exclusivamente. Un router envía mensajes de RA cada 200 segundos. Sin embargo, también
enviará un mensaje RA si recibe un mensaje RS de un host. Mediante SLAAC, un host suele
adquirir su información de subred IPv6 de 64 bits del RA del router . Sin embargo, debe
generar el identificador de interfaz (ID) de 64 bits restante utilizando uno de estos dos
métodos: generado aleatoriamente, o EUI-64. Un host utiliza el proceso DAD para asegurarse
de que IPv6 GUA es único. DAD se implementa usando ICMPv6. Para realizar DAD, el host
envía un mensaje ICMPv6 NS con una dirección de multidifusión especialmente construida,
llamada dirección de multidifusión de nodo solicitado. Esta dirección duplica los últimos 24
bits de dirección IPv6 del host .
DHCPv6
El host comienza las comunicaciones cliente / servidor DHCPv6 después de que se indica
DHCPv6 stateles o DHCPv6 stateful en el RA. Los mensajes DHCPv6 de servidor a cliente
utilizan el puerto de destino UDP 546, mientras que los mensajes DHCPv6 de cliente a
servidor utilizan el puerto de destino UDP 547. La opción de DHCPv6 stateless informa al
cliente que utilice la información del mensaje RA para el direccionamiento, pero que hay
más parámetros de configuración disponibles de un servidor de DHCPv6. Esto se denomina
DHCPv6 stateless porque el servidor no mantiene ninguna información de estado del cliente.
DHCPv6 Stateless está habilitado en una interfaz de router mediante el comandoipv6 nd
other-config-flag interface configuration. Esto establece el flag O en 1. En este caso, el
mensaje RA indica al cliente que obtenga toda la información de direccionamiento de un
servidor DHCPv6 stateful, excepto la dirección del default gateway que es la dirección link-
local IPv6 de origen de la RA. Esto se conoce como DHCPv6 stateful, debido a que el
servidor de DHCPv6 mantiene información de estado de IPv6. DHCPv6 Stateful es habilitado
en una interfaz de router mediante el comando ipv6 nd managed-config-flag interface
configuration Esto establece el flag M en 1.
Un router Cisco IOS se puede configurar para proporcionar servicios de servidor DHCPv6
como uno de los tres tipos siguientes: servidor DHCPv6, cliente DHCPv6 o agente de
retransmisión DHCPv6. La opción de servidor DHCPv6 stateless requiere que el router
anuncie la información de direccionamiento de red IPv6 en los mensajes RA. Un router
también puede ser un cliente DHCPv6 y obtener una configuración IPv6 de un servidor
DHCPv6. La opción de servidor DHCP stateful requiere que el router habilitado para IPv6
indique al host que se ponga en contacto con un servidor DHCPv6 para obtener toda la
información de direccionamiento de red IPv6 necesaria. El router cliente debe tener have
ipv6 unicast-routing habilitado y una dirección link-local IPv6 para enviar y recibir mensajes
IPv6. Utilice los show ipv6 dhcp pool comandos show ipv6 dhcp binding y para verificar el
funcionamiento DHCPv6 en un router. Si el servidor de DHCPv6 está ubicado en una red
distinta de la del cliente, el router IPv6 puede configurarse como agente de retransmisión
DHCPv6 utilizando el comando ipv6 dhcp relay destination ipv6-address [interface-type
interface-number] Este comando se configura en la interfaz que enfrenta a los clientes
DHCPv6 y especifica la dirección del servidor DHCPv6 y la interfaz de salida para llegar al
servidor. La interfaz de salida sólo es necesaria cuando la dirección de salto siguiente es
una LLA. Compruebe que el agente de retransmisión DHCPv6 esté operativo con los show
ipv6 dhcp interface comandos show ipv6 dhcp binding
Puede evitar este problema fácilmente. Los protocolos de redundancia de primer salto
(FHRP) son la solución que necesita. Este módulo analiza lo que hace la FHRP y todos los
tipos de FHRP disponibles para usted. Uno de estos tipos es un FHRP propietario de Cisco
llamado Hot Standby Router Protocol (HSRP). Aprenderá cómo funciona HSRP y completará
una actividad en Packet Tracer donde configurará y verificará HSRP. ¡No esperes, empieza!
9.0.2
Objetivos del módulo: Explique cómo los FHRP proporcionan servicios de gateway
predeterminados en una red redundante.
Si falla un router o una interfaz del router (que funciona como gateway predeterminado), los
hosts configurados con ese gateway predeterminado quedan aislados de las redes externas.
Se necesita un mecanismo para proporcionar gateways predeterminados alternativos en las
redes conmutadas donde hay dos o más routers conectados a las mismas VLAN. Este
mecanismo es proporcionado por los protocolos de redundancia de primer salto (FHRP).
En una red conmutada, cada cliente recibe solo un gateway predeterminado. No hay forma
de usar un gateway secundario, incluso si existe una segunda ruta que transporte paquetes
fuera del segmento local.
Nota: Nota: Para los efectos del análisis de la redundancia de los routers, no hay diferencia
funcional entre un switch capa 3 y un router en la capa de distribución. En la práctica, es
común que un switch capa 3 funcione como gateway predeterminado para cada VLAN en
una red conmutada. Esta discusión se centra en la funcionalidad del enrutamiento,
independientemente del dispositivo físico utilizado.
Por lo general, los dispositivos finales o terminales se configuran con una única dirección
IPv4 para un gateway predeterminado. Esta dirección no se modifica cuando cambia la
topología de la red. Si no se puede llegar a esa dirección IPv4 de gateway
predeterminado, el dispositivo local no puede enviar paquetes fuera del segmento de red
local, lo que lo desconecta completamente de las demás redes. Aunque exista un router
redundante que sirva como puerta de enlace predeterminada para ese segmento, no hay
un método dinámico para que estos dispositivos puedan determinar la dirección de una
nueva puerta de enlace predeterminada.
La topología de red física muestra cuatro PC, tres routers y una nube de
red troncal de Internet o ISP. Los cuatro PCs y los tres routers están
conectados a una LAN. Los tres routers también tienen un enlace que sube
a la red troncal Iternet o IPS. Hay un router de reenvío con dirección IP
192.0.2.1/24. Hay un router virtual con dirección IP 192.0.2.100/24. Hay
un router en espera con dirección IP 192.0.2.2/24. Una flecha que
representa un paquete enviado desde PC2 va al router virtual en la
dirección IP 192.0.2.100, luego al router de reenvío con la dirección IP
192.0.2.1 y luego al Internet o ISP.
La dirección IPv4 del router virtual se configura como la puerta de enlace predeterminada
para las estaciones de trabajo de un segmento específico de IPv4. Cuando se envían
tramas desde los dispositivos host hacia el gateway predeterminado, los hosts utilizan
ARP para resolver la dirección MAC asociada a la dirección IPv4 del gateway
predeterminado. La resolución de ARP devuelve la dirección MAC del router virtual. El
router actualmente activo dentro del grupo de routers virtuales puede procesar
físicamente las tramas que se envían a la dirección MAC del router virtual. Los protocolos
se utilizan para identificar dos o más routers como los dispositivos responsables de
procesar tramas que se envían a la dirección MAC o IP de un único router virtual. Los
dispositivos host envían el tráfico a la dirección del router virtual. El router físico que
reenvía este tráfico es transparente para los dispositivos host.
1. El router de reserva deja de recibir los mensajes de saludo del router de reenvío.
2. El router de reserva asume la función del router de reenvío.
3. Debido a que el nuevo router de reenvío asume tanto la dirección IPv4 como la
dirección MAC del router virtual, los dispositivos host no perciben ninguna
interrupción en el servicio.
La topología de red física muestra cuatro PC, tres routers y una nube de red troncal de
Internet o ISP. Los cuatro PCs y los tres routers están conectados a una LAN. Los tres
routers también tienen un enlace que sube a la red troncal Iternet o IPS. Hay un router de
reenvío con dirección IP 192.0.2.1/24. Hay un router virtual con dirección IP 192.0.2.100/24.
Hay un router en espera con dirección IP 192.0.2.2/24. Hay una X a través del enlace LAN al
router con la dirección IP 192.0.2.1 que anteriormente era un router de reenvío. Una flecha
que representa un paquete enviado desde PC2 va al router virtual en la dirección IP
192.0.2.100, luego al nuevo router de reenvío con dirección IP 192.0.2.2 y luego a la red
troncal de Internet o ISP.
Opciones de FHRP
La FHRP utilizada en un entorno de producción depende en gran medida del equipo y las
necesidades de la red. La tabla muestra todas las opciones disponibles para FHRP.
Opciones de FHRP Descripción
Cisco proporciona HSRP y HSRP para IPv6 como una forma de evitar la
pérdida de acceso externo a la red si falla el router predeterminado.
9.2.2
Prioridad e Intento de
Prioridad del HSRP
El rol de los routers activos y de reserva se determina durante el proceso de elección del
HSRP. De manera predeterminada, el router con la dirección IPv4 numéricamente más alta
se elige como router activo. Sin embargo, siempre es mejor controlar cómo funcionará su
red en condiciones normales en lugar de dejarlo librado al azar.
Prioridad HSRP
La prioridad HSRP se puede utilizar para determinar el router activo. El router con la
prioridad HSRP más alta será el router activo. De manera predeterminada, la prioridad HSRP
es 100. Si las prioridades son iguales, el router con la dirección IPv4 numéricamente más
alta es elegido como router activo.
Para configurar un router para que sea el router activo, utilice el comando de interfaz
standby priority El rango de prioridad HSRP es de 0 a 255.
Preferencias HSRP
Para forzar un nuevo proceso de elección HSRP a tener lugar cuando un router de mayor
prioridad entra en línea, la preferencia debe habilitarse mediante el comando standby
preempt interface. El intento de prioridad es la capacidad de un router HSRP de activar el
proceso de la nueva elección. Con este intento de prioridad activado, un router disponible
en línea con una prioridad HSRP más alta asume el rol de router activo.
El intento de prioridad solo permite que un router se convierta en router activo si tiene una
prioridad más alta. Un router habilitado para intento de propiedad, con una prioridad
equivalente pero una dirección IPv4 más alta, no desplazará la prioridad de un router activo.
Consulte la topología de la figura.
La topología de red física muestra tres PCs conectadas a un switch. El switch a su vez está
conectado a dos routers, el router R1 con dirección IP 172.16.10.2/24 que es el router activo
currect con una prioridad de 150, y el router R2 con dirección IP 172.16.10.3/24 que es el
router en espera actual con una prioridad de 100. R1 y R2 se conectan a una nube troncal.
Hay un router virtual con una dirección IP virtual de 172.16.10.1/24 y una dirección MAC
virtual de 0000.0C07.AC01.
El R1 se configuró con la prioridad de HSRP de 150 mientras que el R2 tiene la prioridad de
HSRP predeterminada de 100. El intento de prioridad está habilitado en el R1. Con una
prioridad más alta, el R1 es el router activo y el R2 es el router de reserva. Debido a un corte
de energía que solo afecta al R1, el router activo ya no está disponible y el router de reserva
R2 asume el rol de router activo. Después de que se restaura la energía, el R1 vuelve a estar
en línea. Dado que R1 tiene una prioridad más alta y el intento de prioridad se encuentra
habilitado, forzará un nuevo proceso de elección. R1 reanudará su rol de router activo y el
R2 volverá al rol de router de reserva.
Nota: Nota: Si el intento de prioridad está desactivado, el router que arranque primero será
el router activo si no hay otros routers en línea durante el proceso de elección.
9.2.3
Un router puede ser el router HSRP activo responsable de la devolución del tráfico al
segmento, donde el router puede ser un router HSRP pasivo de reserva, listo para asumir rol
activo si falla el router activo. Cuando se configura una interfaz con HSRP o se habilita
primero con una configuración HSRP existente, el router envía y recibe paquetes de saludo
del HSRP para comenzar el proceso de determinar qué estado asumirá en el grupo HSRP.
Estado de
Descripción
HSRP
Este estado se ingresa a través de un cambio de configuración o
Inicial
cuando una interfaz está disponible en primer lugar.
Si falla un router o una interfaz del router (que funciona como gateway predeterminado), los
hosts configurados con ese gateway predeterminado quedan aislados de las redes externas.
Se necesita un mecanismo para proporcionar gateways predeterminados alternativos en las
redes conmutadas donde hay dos o más routers conectados a las mismas VLAN. Una forma
de evitar un único punto de falla en el gateway predeterminado es implementar un router
virtual. Como se muestra en la figura, para implementar este tipo de redundancia de router,
se configuran varios routers para que funcionen juntos y así dar la sensación de que hay un
único router a los hosts en la LAN. Cuando falla el router activo, el protocolo de redundancia
hace que el router de reserva asuma el nuevo rol de router activo. Estos son los pasos que
se llevan a cabo cuando falla el router activo:
1. El router de reserva deja de recibir los mensajes de saludo del router de reenvío.
2. El router de reserva asume la función del router de reenvío.
3. Debido a que el nuevo router de reenvío asume tanto la dirección IPv4 como la
dirección MAC del router virtual, los dispositivos host no perciben ninguna
interrupción en el servicio.
La FHRP utilizada en un entorno de producción depende en gran medida del equipo y las
necesidades de la red. Estas son las opciones disponibles para FHRP:
● HSRP y HSRP para IPv6
● VRRPV2 y VRRPV3
● GLBP and GLBP for IPv6
● IRDP
HSRP
Es el protocolo HSRP exclusivo de Cisco diseñado para permitir la conmutación por falla
transparente de los dispositivos IPv4 de primer salto. HSRP se utiliza en un grupo de routers
para seleccionar un dispositivo activo y un dispositivo de reserva. En un grupo de interfaces
de dispositivo, el dispositivo activo es aquel que se utiliza para enrutar paquetes, y el
dispositivo de reserva es el que toma el control cuando falla el dispositivo activo o cuando
se cumplen condiciones previamente establecidas. La función del router de suspensión del
HSRP es controlar el estado operativo del grupo de HSRP y asumir rápidamente la
responsabilidad de reenvío de paquetes si falla el router activo. El router con la prioridad
HSRP más alta será el router activo. El intento de prioridad es la capacidad de un router
HSRP de activar el proceso de la nueva elección. Con este intento de prioridad activado, un
router disponible en línea con una prioridad HSRP más alta asume el rol de router activo.
Los estados HSRP incluyen inicial, aprendizaje, escucha, habla y espera.
¿Usted entiende lo que hace a una LAN segura? ¿Sabe lo que los usuarios maliciosos
pueden hacer para romper la seguridad de la red? ¿Usted sabe lo que puede hacer para
detenerlos? Este módulo es su introducción al mundo de la seguridad en redes, no espere
más, ¡haga clic en Siguiente!
10.0.2
Objetivo del Módulo: Explique cómo las vulnerabilidades ponen en riesgo la seguridad de
LAN.
Título del tema Objetivo del tema
Amenazas a la seguridad de
Identifique vulnerabilidades de la Capa 2.
Capa 2
Normalmente, los medios de comunicación cubren los ataques de red externos a redes
empresariales. Sencillamente busque en el internet por "Los ataques más recientes de red"
y encontrará información actualizada de ataques actuales. Muy posiblemente, estos ataques
envuelven una o más de las siguientes:
Red Privada Virtual (VPN) proporciona una conexión segura para que usuarios remotos
se conecten a la red empresarial a través de una red pública. Los servicios VPN pueden
ser integrados en el firewall.
Firewall de Siguiente Generación (NGFW) - proporciona inspección de paquetes con
estado, visibilidad y control de aplicaciones, un Sistema de Prevención de Intrusos de
Próxima Generación (NGIPS), Protección Avanzada contra Malware (AMP) y filtrado de
URL.
Los dispositivos LAN como los switches, los Controladores de LAN Inalámbricos (WLCs), y
otros puntos de acceso (AP) interconectan puntos terminales. La mayoría de estos
dispositivos son susceptibles a los ataques LAN que se cubren en este módulo.
Los puntos terminales son hosts que generalmente consisten en computadoras portátiles,
computadoras de escritorio, servidores y teléfonos IP, así como dispositivos propiedad de
los empleados (BYOD). Los puntos terminales son particularmente susceptibles a ataques
relacionados con malware que se originan a través del correo electrónico o la navegación
web. Estos puntos finales suelen utilizar características de seguridad tradicionales basadas
en host, como antivirus/antimalware, firewalls basados en host y sistemas de prevención de
intrusiones (HIPS) basados en host. Sin embargo, actualmente los puntos finales están más
protegidos por una combinación de NAC, software AMP basado en host, un Dispositivo de
Seguridad de Correo Electrónico (ESA) y un Dispositivo de Seguridad Web (WSA). Los
productos de Protección Avanzado de Malware (AMP) incluyen soluciones de dispositivos
finales como Cisco AMP.
La figura es una topología simple que representa todos los dispositivos de seguridad de red
y soluciones de dispositivos finales discutidas en este módulo.
Dispositivo de Seguridad de Correo
Electrónico Cisco (ESA)
Según el Talos Intelligence Group de Cisco, en junio de 2019, el 85% de todos los correos
electrónicos enviados eran spam. Los ataques de suplantación de identidad son una forma
de correo electronico no deseado paticularmente virulento. Recuerde que un ataque de
phishing lleva al usuario a hacer clic en un enlace o abrir un archivo adjunto. Spear phishing
selecciona como objetivo a empleados o ejecutivos de alto perfil que pueden tener
credenciales de inicio de sesión elevadas. Esto es particularmente crucial en el ambiente
actual, donde, de acuerdo al instituto SANS, 95% de todos los ataques en redes
empresariales son del resultado de un spear phishing exitoso.
Cisco Web Security Appliance (WSA) es una tecnología de mitigación para amenazas
basadas en la web. Ayuda a las organizaciones a abordar los desafíos de asegurar y
controlar el tráfico web. Cisco WSA combina protección avanzada contra malware,
visibilidad y control de aplicaciones, controles de políticas de uso aceptable e informes.
Cisco WSA proporciona un control completo sobre cómo los usuarios acceden a Internet.
Ciertas funciones y aplicaciones, como chat, mensajería, video y audio, pueden permitirse,
restringirse con límites de tiempo y ancho de banda, o bloquearse, de acuerdo con los
requisitos de la organización. La WSA puede realizar listas negras de URL, filtrado de URL,
escaneo de malware, categorización de URL, filtrado de aplicaciones web y cifrado y
descifrado del tráfico web.
En el tema anterior usted aprendió que un NAC provee servicios AAA. En este tema usted
aprenderá mas sobre AAA y las formas de controlar el acceso.
Muchas formas de autenticación pueden ser llevadas a cabo en dispositivos de red, y cada
método ofrece diferentes niveles de seguridad. El método más simple de autenticación para
acceso remoto consiste en configurar un inicio de sesión, combinando nombre de usuario y
contraseña, a nivel de consola, lineas vty, y puertos auxiliares, como se muestra en el
siguiente ejemplo. Este método es el más simple de implementar, pero también el mas débil
y menos seguro. Este método no es fiable y la contraseña es enviada en texto plano.
Cualquier persona con la contraseña puede acceder al dispositivo
R1(config-line)# login
El siguiente ejemplo ilustra el SSH y métodos de acceso remoto a una base de datos local
Una mejor solución es hacer que todos los dispositivos se refieran a la misma base de datos
de nombres de usuario y contraseñas alojados en un servidor central.
10.2.2
Componentes AAA
"AAA" o "triple A", estos servicios proporcionan el marco principal para ajustar el control de
acceso en un dispositivo de red. AAA es un modo de controlar quién tiene permitido acceder
a una red (autenticar), controlar lo que las personas pueden hacer mientras se encuentran
allí (autorizar) y qué acciones realizan mientras acceden a la red (registrar).
Autenticación
Autorización
La autorización utiliza un conjunto de atributos que describe el acceso del usuario a la red.
Estos atributos son usados por el servidor AAA para determinar privilegios y restricciones
para ese usuario, como se muestra en la figura.
Registro
El registro de AAA recopila y reporta datos de uso. La organización puede utilizar estos
datos para fines como auditorías o facturación. Los datos recopilados pueden incluir la hora
de inicio y finalización de la conexión, los comandos ejecutados, la cantidad de paquetes y
el número de bytes.
Un uso muy implementado debe registro consiste en combinarlo con la autenticación AAA.
Los servidores AAA mantienen un registro detallado de lo que el usuario autenticado hace
exactamente en el dispositivo, como se muestra en la imagen Esto incluye todos los
comandos EXEC y de configuración que emite el usuario. El registro contiene varios campos
de datos, incluidos el nombre de usuario, la fecha y hora, y el comando real que introdujo el
usuario. Esta información resulta útil para solucionar problemas de dispositivos. Ademas
proporciona evidencia contra individuos que realizan actividades maliciosas.
Con la autenticación 802.1X basada en puertos, los dispositivos de la red cumplen roles
específicos, como se muestra en la figura:
Capa 2 Vulnerabilidades
Los dos temas anteriores discutieron seguridad en puntos terminales. En este tema, usted
va a seguir aprendiendo sobre formas de asegurar una LAN, enfocándose en las tramas de
la Capa de Enlace (Capa 2) y el switch.
Recuerde que el modelo de referencia OSI está dividido en siete capas, las cuales trabajan
de manera independiente una de otra. La figura muestra la función de cada capa y los
principales componentes que pueden ser explotados.
La seguridad es solamente tan sólida como el enlace más débil en el sistema, y la Capa 2 es
considerada el enlace más débil. Esto se debe a que las LAN estaban tradicionalmente bajo
el control administrativo de una sola organización. Nosotros confiábamos inherentemente
en todas las personas y dispositivos conectados a nuestra LAN. Hoy, con BYOD y ataques
más sofisticados, nuestras LAN se han vuelto más vulnerables a la penetración. Además de
proteger de la Capa 3 a la Capa 7, los profesionales de seguridad de red también deben
mitigar los ataques a la infraestructura LAN de la Capa 2.
Ataques de Capa 2
Categoría Ejemplos
Ataques a la tabla
Incluye ataques de saturación de direcciones MAC.
MAC
Ataques de
Suplantación de Incluye los ataques de suplantación de direcciones MAC e IP.
Direcciones
La tabla provee una visión general de soluciones Cisco para mitigar ataques en Capa 2.
En este tema el foco esta aun en los switches, específicamente en la tabla de direcciones
MAC y como estas tablas son vulnerables a ataques.
Recuerde que para tomar decisiones de reenvío, un Switch LAN de Capa 2 crea una tabla
basada en las direcciones MAC de origen que se encuentran en las tramas recibidas. Como
se muestra en la figura, esto es llamado un tabla de direcciones MAC. Tabla de direcciones
MAC se guarda en la memoria y son usadas para reenviar tramas de forma eficiente.
S1#
10.4.2
Cuando esto ocurre, el switch trata la trama como un unicast desconocido y comienza a
inundar todo el tráfico entrante por todos los puertos en la misma VLAN sin hacer referencia
a la tabla MAC. Esta condición ahora permite que un atacante capture todas las tramas
enviadas desde un host a otro en la LAN local o VLAN local.
Nota: El tráfico se satura solo dentro de la LAN o VLAN local. El atacante solo puede
capturar el tráfico dentro de la LAN o VLAN local a la que está conectado el atacante.
La figura muestra como el atacante puede fácilmente usar la herramienta de ataque de red
llamada macof para desbordar una tabla de direcciones MAC.
Lo que hace que herramientas como macof sean peligrosas es que un atacante puede crear
un ataque de saturación de tabla MAC muy rápidamente. Por ejemplo, un switch Catalyst
6500 puede almacenar 132,000 direcciones MAC en su tabla de direcciones MAC. Una
herramienta como macof puede saturar un switch con hasta 8,000 tramas falsas por
segundo; creando un ataque de saturación de la tabla de direcciones MAC en cuestión de
segundos. Este ejemplo muestra la salida del comando macof en un host Linux.
# macof -i eth1
36:a1:48:63:81:70 15:26:8d:4d:28:f8 0.0.0.0.26413 > 0.0.0.0.49492: S
1094191437:1094191437(0) win 512
16:e8:8:0:4d:9c da:4d:bc:7c:ef:be 0.0.0.0.61376 > 0.0.0.0.47523: S 446486755:446486755(0)
win 512
18:2a:de:56:38:71 33:af:9b:5:a6:97 0.0.0.0.20086 > 0.0.0.0.6728: S 105051945:105051945(0)
win 512
e7:5c:97:42:ec:1 83:73:1a:32:20:93 0.0.0.0.45282 > 0.0.0.0.24898: S
1838062028:1838062028(0) win 512
62:69:d3:1c:79:ef 80:13:35:4:cb:d0 0.0.0.0.11587 > 0.0.0.0.7723: S
1792413296:1792413296(0) win 512
c5:a:b7:3e:3c:7a 3a:ee:c0:23:4a:fe 0.0.0.0.19784 > 0.0.0.0.57433: S
1018924173:1018924173(0) win 512
88:43:ee:51:c7:68 b4:8d:ec:3e:14:bb 0.0.0.0.283 > 0.0.0.0.11466: S 727776406:727776406(0)
win 512
b8:7a:7a:2d:2c:ae c2:fa:2d:7d:e7:bf 0.0.0.0.32650 > 0.0.0.0.11324: S
605528173:605528173(0) win 512
Otra razón por la que estas herramientas de ataque son peligrosas, es porque no solo
afectan el switch local sino que también afectan switches conectados de Capa 2. Cuando la
tabla de direcciones MAC de un switch está llena, comienza a desbordar todos los puertos,
incluidos los conectados a otros switches de Capa 2.
Para mitigar los ataques de saturación de la tabla de direcciones MAC, los administradores
de red deben implementar la seguridad del puerto. Seguridad de puertos (Port security)
permitirá que el puerto aprenda sólo un número específico de direcciones MAC de origen.
Seguridad de puertos (Port security) será discutido más adelante en otro módulo.
Este tema investiga los diferentes tipos de ataques LAN y las técnicas de mitigación a estos
ataques. Como en temas anteriores, estos ataques tienden a ser específicamente a los
switches y Capa 2.
Haga clic en reproducir en la figura para ver un video sobre ataques de denegación de
servicio.
El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar
primero un router. En un ataque de VLAN Hopping básico, el atacante configura un host para
que actúe como un switch para aprovechar la función de entroncamiento automático
habilitada de forma predeterminada en la mayoría de los puertos del switch.
Un atacante, en situaciones específicas, podrían insertar una etiqueta 802.1Q oculta dentro
de la trama que ya tiene una etiqueta 802.1Q. Esta etiqueta permite que la trama se envíe a
una VLAN que la etiqueta 802.1Q externa no especificó.
El atacante envía una trama 802.1Q con doble etiqueta (double tag) al switch. El
encabezado externo tiene la etiqueta VLAN del atacante, que es la misma que la VLAN
nativa del puerto de enlace troncal. Para fines de este ejemplo, supongamos que es la
VLAN 10. La etiqueta interna es la VLAN víctima; en este caso, la VLAN 20.
El frame llega al primer switch, que mira la primera etiqueta 802.1Q de 4 bytes. El switch
ve que la trama esta destinada para la VLAN 10, la cual es una VLAN nativa. El switch
reenvía el paquete a todos los puertos de VLAN 10, después de quitar la etiqueta de VLAN
10. La trama no es re-etiquetada porque es parte de la VLAN nativa. En este punto, la
etiqueta de VLAN 20 todavía está intacta y no ha sido inspeccionada por el primer switch.
La trama llega al segundo switch, que no tiene conocimiento de que debía ser para la
VLAN 10. El switch emisor no etiqueta el tráfico de la VLAN nativa, como se especifica en
la especificación 802.1Q. El segundo switch observa solo la etiqueta interna 802.1Q, que
el atacante insertó, y ve que la trama está destinada a la VLAN 20 (la VLAN víctima). El
segundo switch envía el paquete al puerto víctima o lo satura, dependiendo de si existe
una entrada en la tabla de MAC para el host víctima.
Un ataque de VLAN Double-tagging es unicast, y funciona unidireccional, y funciona cuando
el atacante está conectado a un puerto que reside en la misma VLAN que la VLAN nativa del
puerto troncal. La idea es que el doble etiquetado permite al atacante enviar datos a hosts o
servidores en una VLAN que de otro modo se bloquearía por algún tipo de configuración de
control de acceso. Presumiblemente, también se permitirá el tráfico de retorno, lo que le
dará al atacante la capacidad de comunicarse con los dispositivos en la VLAN normalmente
bloqueada.
10.5.4
Mensajes DHCP
Ataques de DHCP
Los dos tipos de ataques DHCP son agotamiento y suplantación de identidad. Ambos
ataques pueden ser mitigados implementando DHCP snooping.
Gobbler tiene la capacidad de ver todo el alcance de las direcciones IP alquilables e intenta
alquilarlas todas. Específicamente, este crea un mensaje DHCP DISCOVER con una
dirección MAC falsa.
La topología de la red consiste en dos switches multi capa conectados a dos switches
LAN. Un servidor DHCP legitimo está conectado a uno de los switches multicapa. Un
cliente DHCP está conectado a uno de los switches LAN. Un servidor no autorizado DHCP
está conectado al otro switch LAN. Una oferta es enviada por ambos servidores DHCP al
cliente DHCP.
La oferta maliciosa fue recibida primero, y por lo tanto, el cliente hace envía un DHCP
REQUEST, tipo broadcast, aceptando los parámetros IP definidos por el atacante. El
servidor legítimo y el dudoso recibirán la solicitud.
Solamente el servidor no autorizado emite una respuesta individual al cliente para acusar
recibo de su solicitud. El servidor legítimo dejará de comunicarse con el cliente.
Video- Ataques ARP, Ataques STP, y
Reconocimiento CDP.
Haga clic en reproducir en la figura para ver un video sobre ataques de denegación de
servicio.
Ataques ARP
Recuerde que los hosts transmiten una solicitud de ARP a otros hosts del segmento para
determinar la dirección MAC de un host con una dirección IP específica. Esto es típicamente
hecho para descubrir la dirección MAC de una puerta de enlace predeterminada. Todos los
hosts de la subred reciben y procesan la solicitud de ARP. El host con la dirección IP que
coincide con la de la solicitud de ARP envía una respuesta de ARP.
Según ARP RFC, cualquier cliente puede enviar una respuesta de ARP no solicitada llamada
“ARP gratuito” Cuando un host envía un ARP gratuito, otros hosts en la subred almacenan
en sus tablas de ARP la dirección MAC y la dirección IP que contiene dicho ARP.
El problema es que un atacante puede enviar un mensaje ARP gratuito al switch y el switch
podría actualizar su tabla MAC de acuerdo a esto. Por lo tanto, cualquier host puede
reclamar ser el dueño de cualquier combinación de direccion IP Y MAC que ellos elijan. En
un ataque típico el atacante puede enviar respuestas ARP, no solicitadas, a otros hosts en la
subred con la dirección MAC del atacante y la dirección IP de la puerta de enlace
predeterminada.
Hay muchas herramientas disponibles en Internet para crear ataques de MITM de ARP, como
dsniff, Cain & Abel, ettercap y Yersinia. IPv6 utiliza el protocolo de descubrimiento de
vecinos ICMPv6 para la resolución de direcciones de Capa 2. IPv6 utiliza el protocolo de
descubrimiento de vecinos ICMPv6 para la resolución de direcciones de capa 2.
Cada dispositivo tiene una tabla MAC actualizada con la dirección IP y MAC correctas de
cada dispositivo en la red.
Ataque por Suplantación de ARP
1. En el primero ARP informa todos los dispositivos en la LAN que la direccion MAC
del atacante (CC:CC:CC) está mapeado a la direccion IP de la PC1, 10.0.0.11.
2. EL segundo le informa a todos los dispositivos en la LAN que la direccion MAC del
atacante (CC:CC:CC) está mapeado a la direccion IP de la PC1, 10.0.0.11.
Ataque de envenenamiento ARP con ataque MITM.
Los atacantes cambian la dirección MAC de su host para que coincida con la dirección MAC
conocida de un otro host objetivo. Luego, el host atacante envía una trama a través de la red
con la dirección MAC recién configurada. Cuando el switch recibe la trama, examina la
dirección MAC de origen. El switch sobrescribe la entrada actual en la tabla MAC y asigna la
dirección MAC al nuevo puerto, como se ve en la figura. Luego, sin darse cuenta, reenvía las
tramas host atacante.
Cuando el host de destino envía tráfico, el switch corregirá el error, re-alineando la dirección
MAC al puerto original. Para evitar que el switch corrija la asignación del puerto a su estado
correcto, el atacante puede crear un programa o script que constantemente enviará tramas
al switch, para que el switch mantenga la información incorrecta o falsificada. No hay un
mecanismo de seguridad en la Capa 2 que permita a un switch verificar la fuente de las
direcciones MAC, lo que lo hace tan vulnerable a la suplantación de identidad.
10.5.9
Ataque de STP
Los atacantes de red pueden manipular el Protocolo de Árbol de Expansión (STP) para
realizar un ataque falsificando el root bridge y cambiando la topología de una red. Los
atacantes hacen que su host parezca ser un root bridge; por lo tanto capturan todo el trafico
para el dominio del Switch inmediato.
La información de CDP se envía por los puertos con CDP habilitado en transmisiones
periódicas sin encriptar. La información de CDP incluye la dirección IP del dispositivo, la
versión de software de IOS, la plataforma, las funcionalidades y la VLAN nativa. El
dispositivo que recibe el mensaje de CDP actualiza la base de datos de CDP.
La información de CDP es muy útil para la solución de problemas de red. Por ejemplo, CDP
puede usarse para verificar la conectividad de Capa 1 y 2. Si un administrador no puede
hacer ping a una interfaz con conexión directa, pero aún recibe información de CDP, es
probable que el problema esté en la configuración de Capa 3.
Sin embargo, un atacante puede usar la información proporcionada por CDP para detectar
vulnerabilidades en la infraestructura de red.
En la figura, una captura de Wireshark de ejemplo, muestra el contenido de un paquete de
CDP. El atacante puede identificar la versión del software Cisco IOS del dispositivo. Esto
permite que el atacante determine si hay vulnerabilidades de seguridad específicas a esa
versión determinada de IOS.
Para mitigar la explotación de CDP, se debe limitar el uso de CDP en los dispositivos o
puertos. Por ejemplo, se debe deshabilitar CDP en los puertos de extremo que se
conectan a dispositivos no confiables.
Los punto terminales son particularmente susceptibles a ataques malware que se originan a
través de correo electrónico o el navegador web, como DDOS, filtración de datos y malware.
Estos puntos terminales suelen utilizar características de seguridad tradicionales basadas
en host, como antivirus/antimalware, firewalls basados en host y sistemas de prevención de
intrusiones (HIPSs) basados en host. Los puntos terminales están mejor protegidos por una
combinación de NAC, software AMP basado en host, un dispositivo de seguridad de correo
electrónico (ESA) y un dispositivo de seguridad web (WSA). La WSA puede realizar listas
negras de URL, filtrado de URL, escaneo de malware, categorización de URL, filtrado de
aplicaciones web y cifrado y descifrado del tráfico web.
AAA es un modo de controlar quién tiene permitido acceder a una red (autenticar), controlar
lo que las personas pueden hacer mientras se encuentran allí (autorizar) y qué acciones
realizan mientras acceden a la red (registrar). La autorización utiliza un conjunto de atributos
que describe el acceso del usuario a la red. Un uso muy implementado del Registro es en
combinación con la Autenticación AAA. Los servidores AAA mantienen un registro detallado
de lo que el usuario autenticado hace exactamente en el dispositivo. El estándar IEEE 802.1X
define un control de acceso y un protocolo de autenticación basado en puertos, que evita
que las estaciones de trabajo no autorizadas se conecten a una LAN a través de los puertos
de switch acceso público.
Los ataques por saturación de MAC, saturan la tabla de direcciones MAC del switch, con
información falsa, hasta que este llena. Cuando esto ocurre, el switch trata la trama como un
unicast desconocido, y comienza a reenviar todo el tráfico entrante por todos los puertos en
la misma VLAN, sin hacer referencia a la tabla MAC. El atacante puede ahora capturar todas
las tramas enviadas desde un host para otro host en una LAN o VLAN local. El atacante usa
macof para rapidamente generar, de manera aleatoria, muchas direcciones MAC y IP de
origen y destino. Para mitigar los ataques de saturación de la tabla de direcciones MAC, los
administradores de red deben implementar la seguridad del puerto.
El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar
primero un router. El atacante configura a un host para actuar como un Switch y tomar
ventaja de la característica de puerto troncal habitabilidad por defecto en la mayoría de
puertos del switch
Los ataques de VLAN hopping and VLAN double-tagging se pueden evitar mediante la
implementación de las siguientes pautas de seguridad troncal:
Ataque ARP: un atacante puede enviar un mensaje ARP gratuito al switch y el switch podría
actualizar su tabla MAC de acuerdo a esto. Ahora el atacante envía respuestas ARP no
solicitadas a otros hosts en la subred con la dirección MAC del actor amenazante y la
dirección IP del default gateway. La suplantación de identidad ARP y el envenenamiento
ARP son mitigados implementando DAI.
Ataque STP: el amenazante manipula STP para conducir un ataque suplantando root bridge
y cambiando la topologia de la red. Los atacantes hacen que su host aparezca como un root
bridge; por lo tanto capturan todo el trafico para el dominio del Switch inmediato. Este
ataque STP es mitigado implementando BPDU guard en todos los puertos de acceso.
La información de CDP se envía por los puertos con CDP habilitado en transmisiones
periódicas sin encriptar. La información de CDP incluye la dirección IP del dispositivo, la
versión de software de IOS, la plataforma, las funcionalidades y la VLAN nativa. El
dispositivo que recibe el mensaje CDP actualiza su base de datos CDP, la información
suministrada por el CDP puede también ser usada por un atacante para descubrir
vulnerabilidades en la infraestructura de la red. Para mitigar la explotación de CDP, se debe
limitar el uso de CDP en los dispositivos o puertos.
11.0.2
Module Objective: Configure la seguridad del switch para mitigar los ataques de LAN.
Un método simple que muchos administradores usan para contribuir a la seguridad de la red
ante accesos no autorizados es inhabilitar todos los puertos del switch que no se utilizan.
Por ejemplo, si un switch Catalyst 2960 tiene 24 puertos y hay tres conexiones Fast Ethernet
en uso, es aconsejable inhabilitar los 21 puertos que no se utilizan. Navegue a cada puerto
no utilizado y emita el comando shutdown de Cisco IOS. Si un puerto debe reactivarse más
tarde, se puede habilitar con el comando no shutdown.
Por ejemplo, para apagar los puertos for Fa0/8 hasta Fa0/24 en S1, usted debe ingresar el
siguiente comando.
S1(config-if-range)#
11.1.2
El método más simple y eficaz para evitar ataques por saturación de la tabla de direcciones
MAC es habilitar la sport security.
Note: La seguridad del puerto troncal está más allá del alcance de este curso.
S1#
Use el comando show port-security interface para mostrar la configuración de seguridad del
puerto actual para FastEthernet 0/1, como se muestra en el ejemplo. Note que port security
esta habilitado, el modo de violación esta apagado, y que el numero máximo de direcciones
MAC permitidas es 1. Si un dispositivo esta conectado al puerto, el switch automáticamente
agregara la direccion MAC de este dispositivo como una direccion MAC segura. En este
ejemplo, no existe ningún dispositivo conectado al puerto.
S1#
Note: Si un puerto activo está configurado con el comando switchport port-security y hay
más de un dispositivo conectado a ese puerto, el puerto pasará al estado de error
desactivado. Esta condición se discute mas adelante en este capitulo
Una vez que se activa port security, se pueden configurar otras funciones especificas de
port security, como se muestra en el ejemplo.
El switch se puede configurar para aprender direcciones MAC en un puerto seguro de tres
maneras:
1. Configurado Manualmente
2. Aprendido automáticamente
S1#
The output of the show port-security interface command verifies that port security is
enabled, there is a host connected to the port (i.e., Secure-up), a total of 2 MAC addresses
will be allowed, and S1 has learned one MAC address statically and one MAC address
dynamically (i.e., sticky).
The output of the show port-security address command lists the two learned MAC
addresses.
11.1.5
Parámetro Descripción
Note: Las direcciones MAC se están mostrando con 24 bits para efectos de hacerlo sencillo.
S1#
11.1.6
Protect Sí No No No
Restrict Sí Sí Sí No
Apagado Sí Sí Sí Sí
S1#
11.1.7
S1#
Note: The port protocol and link status are changed to down and the port LED is turned off.
In the example, the show interface command identifies the port status as err-disabled. La
salida del show port-security interface comando ahora muestra el estado del puerto como
secure-shutdown. El contador de violación incrementa en uno.
S1#
S1(config-if)#
11.1.8
Para mostrar la configuración de seguridad del puerto para el conmutador, show port-
security use el comando. El ejemplo indica que todas las 24 interfaces están configuradas
con el comando switchport port-security porque el máximo permitido es 1 y el modo de
violación está en shutdown. No hay dispositivos conectados Por lo tanto, el contandor
CurrentAddr (Count) es 0 para cada interfaz.
S1#
Use el show port-security interface comando para ver los detalles de una interfaz específica,
como se muestra anteriormente y en este ejemplo.
S1#
Para verificar que las direcciones MAC están "pegadas" a la configuración, use el show run
comando como se muestra en el ejemplo de FastEthernet 0/19.
S1#
Para mostrar todas las direcciones MAC seguras que se configuran manualmente o se
aprenden dinámicamente en todas las interfaces de conmutador, use el comando show port-
security address como se muestra en el ejemplo.
S1#
● Use the interface name fa0/5 para ingresar al modo de configuración de la interfaz.
● Abitar el puerto para el modo acceso.
● Habilitar la seguridad del puerto.
● Configurar el numero máximo de direcciones MAC a 3.
● Estaticamente configurar la dirección MAC aaaa.bbbb.1234.
● Configurar el puerto para que aprenda dinamicamente direcciones MAC adicionales y
que las agrege dinamicamente a la configuracion en ejecucion.
● Volver al modo EXEC privilegiado.
S1(config)#interface fa0/5
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
S1(config-if)#switchport port-security maximum 3
S1(config-if)#switchport port-security mac-address aaaa.bbbb.1234
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#end
Ingrese el comando para verificar seguridad portuaria para todas las interfaces.
S1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security
Action
(Count) (Count) (Count)
-----------------------------------------------------------------------
----
Fa0/5 3 2 0
Shutdown
-----------------------------------------------------------------------
----
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
Ingrese el comando para verificar seguridad portuaria en FastEthernet 0/5. Usefa0/5 para el
nombre de la interfaz.
Ingrese el comando que va a mostrar todas las direcciones para verificar que tanto las
direcciones MAC configuradas manualmente como las aprendidas de manera dinámica
están en la configuración que se está ejecutando.
(mins)
---- ----------- ---- -----
-------------
1 0090.2135.6b8c SecureSticky Fa0/5 -
1 aaaa.bbbb.1234 SecureConfigured Fa0/5 -
-----------------------------------------------------------------------
------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
Usted ha configurado y verificado exitosamente seguridad portuario para la interface.
Como una revisión rápida ,, un ataque de salto a una VLAN puede ser lanzado en una de 3
maneras:
● La suplantación de mensajes DTP del host atacante hace que el switch entre en
modo de enlace troncal. Desde aquí, el atacante puede enviar tráfico etiquetado con
la VLAN de destino, y el conmutador luego entrega los paquetes al destino.
● Introduciendo un switch dudoso y habilitando enlaces troncales. El atacante puede
acceder todas las VLANs del switch victima desde el switch dudoso.
● Otro tipo de ataque de salto a VLAN es el ataque doble etiqueta o doble encapsulado.
Este ataque toma ventaja de la forma en la que opera el hardware en la mayoría de
los switches.
11.2.2
Paso 1 : Deshabilite las negociaciones de DTP (enlace automático) en puertos que no sean
enlaces mediante el switchport mode access comando de configuración de la interfaz.
Paso 4 : Deshabilite las negociaciones de DTP (enlace automático) en los puertos de enlace
mediante el comando switchport nonegotiate.
Paso 5 : Establezca la VLAN nativa en otra VLAN que no sea la VLAN 1 mediante el comando
switchport trunk native vlan vlan \ _number.
● Los puertos FastEthernet 0/1 hasta fa0/16 son puertos de acceso activos
● Los puertos FastEthernet 0/17 hasta 0/20 no estan en uso
● FastEthernet ports 0/21 through 0/24 son puertos troncales.
S1#
● Los puertos Fastethernet 0/1 al 0/16 son puertos de acceso y por lo tanto troncal se
deshabilita poniéndolos explicitamente como puertos de acceso.
● Los puertos FastEthernet 0/17 al 0/20 son puertos que no están en uso y están
deshabilitados y asignados a una VLAN que no se usa.
● Los puertos FastEthernet 0/21 al 0/24 son enlaces troncales y se configuran
manualmente como troncales con DTP deshabilitado. La VLAN nativa también se
cambia de la VLAN predeterminada 1 a la VLAN 999 que no se usa.
11.2.3
● Los puertos FastEthernet 0/1 hasta 0/4 se usan para hacer troncales con otros
switches.
● Los puertos FastEthernet 0/5 hasta 0/10 no están en uso.
● Los puertos FastEthernet 0/11 hasta 0/24 son puertos activos en uso.
Utilícelo range fa0/1 - 4para ingresar al modo de configuración de interfaz para las troncales.
configure los puertos en desuso como puertos de acceso y asignelos a la VLAN 86, y
apague los puertos.
Use el rangofa0/11 - 24 para ingresar al modo de configuración de interfaz para los puertos
activos y luego configúrelos para evitar el enlace troncal.
Sin embargo mitigar ataques DHCP de suplantación de identidad requiere mas protección.
Gobbler podría configurarse para usar la dirección MAC de la interfaz real como la dirección
Ethernet de origen, pero especifique una dirección Ethernet diferente en la carga útil de
DHCP. Esto haría que la seguridad del puerto sea ineficaz porque la dirección MAC de origen
sería legítima.
11.3.2
Indagación de DHCP
Se crea una tabla DHCP que incluye la dirección MAC de origen de un dispositivo en un
puerto no confiable y la dirección IP asignada por el servidor DHCP a ese dispositivo. La
dirección MAC y la dirección IP están unidas. Por lo tanto, esta tabla se denomina tabla de
enlace DHCP snooping.
11.3.3
Paso 4. Habilite la inspección DHCP por VLAN, o por un rango de VLAN, utilizando el
comando ip dhcp snooping vlan de la configuración global.
11.3.4
El siguiente es un ejemplo de como configurar DHCP snooping en S1. Note como DHCP
snooping es activado primero. La interfaz ascendente al servidor DHCP es explícitamente
confiable. Luego, el rango de puertos FastEthernet desde F0/5 a F0/24 son no confiables
de manera predeterminada, de manera que se establece un limite de transferencia de seis
paquetes por segundo. Finalmente, la inspección DHCP está habilitada en VLANS 5, 10,
50, 51 y 52.
S1#
Use el comando show ip dhcp snooping EXEC privilegiado para verificar la inspección
DHCP show ip dhcp snooping binding y para ver los clientes que han recibido
información DHCP, como se muestra en el ejemplo.
Nota: La inspección dinámica de ARP (DAI) también requiere de la inspección DHCP, que
es el siguiente tema
Ingrese al modo de configuración de interfaz para f0/1 - 24, limite los mensajes DHCP a no
más de 10 por segundo y regrese al modo de configuración global.
Ingrese el comando para verificar los enlaces de DHCP actuales registrados por DHCP
snooping
En un ataque típico el actor amenazante puede enviar respuestas ARP no solicitadas a otros
hosts en la subred con la dirección MAC del actor amenazante y la dirección IP de la puerta
de enlace predeterminada. Para evitar la suplantación de ARP y el envenenamiento por ARP
resultante, un interruptor debe garantizar que solo se transmitan las Solicitudes y
Respuestas de ARP válidas.
La inspección dinámica (DAI) requiere de DHCP snooping y ayuda a prevenir ataques ARP
así:
● No retransmitiendo respuestas ARP invalidas o gratuitas a otros puertos en la misma
VLAN.
● Intercepta todas las solicitudes y respuestas ARP en puertos no confiables.
● Verificando cada paquete interceptado para un enlace IP-to-MAC válido.
● Descarte y registro de respuestas no válidas de ARP para evitar el envenenamiento
por ARP.
● Error-disabling deshabilita la interfaz si se excede el número de DAI configurado de
paquetes ARP.
11.4.2
Para mitigar las probabilidades de ARP spoofing Y ARP poisoning, siga estas pautas de
implementación DAI
En la topologia anterior S1 está conectado a dos usuarios en la VLAN 10. DAI será
configurado para mitigar ataques ARP spoofing and ARP poisonig.
Como se muestra en el ejemplo, la inspección DHCP está habilitada porque DAI requiere que
funcione la tabla de enlace de inspección DHCP. Siguiente,la detección de DHCP y la
inspección de ARP están habilitados para la computadora en la VLAN 10. El puerto de enlace
ascendente al router es confiable y, por lo tanto, está configurado como confiable para la
inspección DHP y ARP.
DAI se puede configurar para revisar si hay direcciones MAC e IP de destino o de origen:
● MAC de destino : comprueba la dirección MAC de destino en el encabezado de
Ethernet con la dirección MAC de destino en el cuerpo ARP.
● MAC de origen : comprueba la dirección MAC de origen en el encabezado de Ethernet
con la dirección MAC del remitente en el cuerpo ARP.
● Dirección IP : comprueba el cuerpo ARP en busca de direcciones IP no válidas e
inesperadas, incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las
direcciones de multidifusión IP.
S1(config)#
Usted esta actualmente en una sesion en S1 Habilite la detección global de DHCP para el
switch.
Ingrese al modo de configuración de la interfaz para g0/1 - 2, confíe en las interfaces para
la inspección DHCP y DAI, y luego regrese al modo de configuración global.
Recuerde que los atacantes de red pueden manipular el Protocolo de árbol de expansión
(STP) para realizar un ataque falsificando el puente raíz y cambiando la topología de una red.
Para mitigar los ataques de manipulación del Protocolo de árbol de expansión (STP), use
PortFast y la Unidad de datos de protocolo de puente (BPDU) Guard.
En la figura, los puertos de acceso para S1 deberían ser configurados con PortFast y BPDU
Guard.
Configure PortFast
PortFast omite los estados de escucha y aprendizaje de STP para minimizar el tiempo que
los puertos de acceso deben esperar a que STP converja. Si habilita PortFast en un puerto
que se conecta a otro switch, corre el riesgo de crear un bucle de árbol de expansión.
Para verificar si PortFast está habilitado globalmente, puede usar el comando show running-
config | begin span o el comando show spanning-tree summary. Para verificar si PortFast
tiene habilitada una interfaz, use el comando show running-config interface type / number,
como se muestra en el siguiente ejemplo. El comando show spanning-tree interface type /
number detail también se puede usar para la verificación.
S1(config-if)# exit
S1(config)# exit
interface FastEthernet0/1
spanning-tree portfast
interface FastEthernet0/2
!
interface FastEthernet0/3
interface FastEthernet0/4
interface FastEthernet0/5
(output omitted)
S1#
Aunque PortFast esta2 habilitado, la interfaz seguirá escuchando por BPDUs. Los BPDUs
inesperados pueden ser accidentales o parte de un intento no autorizado para agregar un
switch a una red.
Si se recibe una BPDU en un puerto de acceso habilitado para BPDU Guard, el puerto se
pone en estado de error deshabilitado. Esto significa que el puerto se cierra y debe volver a
habilitarse manualmente o recuperarse automáticamente mediante el comando global
errdisable recovery cause psecure_violation.
Para mostrar información sobre el estado del árbol de expansión, use el comando show
spanning-tree summary En este ejemplo, PortFast predeterminado y modo de protección de
BPDU están activados como estado predeterminado para los puertos configurados como de
modo de acceso.
Note: Siempre active BPDU Guard en todos los puertos habilitados para PortFast.
S1(config-if)# exit
UplinkFast is disabled
BackboneFast is disabled
(output omitted)
S1#
S1(config-if-range)#exit
S1(config)# exit
Verifique que PortFast y protección BPDU están habilitadas por defecto revisando un
resumen de la información de STP.
S1#show spanning-tree summary
UplinkFast is disabled
BackboneFast is disabled
(output omitted)
S1#
Se deben proteger todos los puertos (interfaces) del switch antes de implementar el
dispositivo para la producción. El método más simple y eficaz de evitar ataques por
saturación de la tabla de direcciones MAC es habilitar la seguridad de puertos. Los puertos
capa 2 del switch están definidos como dynamic auto (troncal encendido), de manera
predeterminada. El switch se puede configurar para obtener información sobre las
direcciones MAC en un puerto seguro de una de estas tres formas: configurado
manualmente, aprendido dinámicamente y aprendido dinámicamente - fijo. EL vencimiento
de la seguridad del puerto puede usarse para poner el tiempo de vencimiento de las
direcciones seguras estáticas y dinámicas en un puerto. Hay dos tipos de envejecimiento
por puerto:absoluto e inactivo. Si la dirección MAC de un dispositivo conectado a el puerto
difiere de la lista de direcciones seguras, entonces ocurre una violación de puerto. El puerto
entra en el estado de error-disabled de manera predeterminada. Cuando un puerto está
desactivado como consecuencia de un error, se apagará con eficacia y no habrá envío ni
recepción de tráfico en ese puerto. Para mostrar la configuración de seguridad del puerto
para el conmutador, use el comando show port-security.
Para Mitigar ataques de salto de VLAN
Paso 1. Deshabilitar las negociaciones de protocolo DTP en puertos sin enlace troncal
Paso 5. Cambie la configuración de la VLAN nativa a otra opción que no sea VLAN 1.
Paso 3. Limitar el numero de mensajes de descubrimiento DHCP que pueden rer recibidos
por segundo en puertos no confiables.
Para mitigar las probabilidades de ARP spoofing Y ARP poisoning, siga estas pautas de
implementación DAI
DAI se puede configurar para revisar si hay direcciones MAC e IP de destino o de origen:
Para mitigar los ataques de manipulación del Protocolo de árbol de expansión (STP), use
PortFast y la Unidad de datos de protocolo de puente (BPDU) Guard.
12.0.2
Objetivo del módulo: Explique cómo las WLAN habilitan la conectividad de red.
Introducción a la
Describa la tecnología y los estándares WLAN.
tecnología inalámbrica
Una LAN inalámbrica (WLAN) es un tipo de red inalámbrica que se usa comúnmente en
hogares, oficinas y entornos de campus. Las redes deben apoyar a la gente que está en
movimiento. La gente se conecta usando computadoras, computadoras portátiles, tabletas y
teléfonos inteligentes. Hay muchas diferentes infraestructuras de red que proveen acceso a
la red, como LANs cableadas, red de proveedor de servicios, y redes de teléfonos celulares.
Las WLAN hacen posible la movilidad dentro de los entornos domésticos y comerciales.
En las empresas que cuentan con una infraestructura inalámbrica, puede haber un ahorro de
costos cada vez que se cambia el equipo, o al reubicar a un empleado dentro de un edificio,
reorganizar el equipo o un laboratorio, o mudarse a ubicaciones temporales o sitios de
proyectos. Una infraestructura inalámbrica puede adaptarse a los rápidos cambios de
necesidades y tecnologías.
12.1.2
Tipos de redes inalámbricas
Las LAN inalámbricas (WLAN) se basan en los estándares IEEE y se pueden clasificar en
cuatro tipos principales: WPAN, WLAN, WMAN y WWAN.
Redes LAN Inalámbricas (WLAN) - Utiliza transmisores para cubrir una red de
tamaño mediano, generalmente de hasta 300 pies. Las redes WLANs son adecuadas
para uso en casas, oficinas, e inclusive campus. Las WLAN se basan en el estándar
802.11 y una frecuencia de radio de 2,4 GHz o 5 GHz
Tecnologías inalámbricas
Para enviar y recibir datos, la tecnología inalámbrica usa el espectro de radio sin licencia.
Cualquier persona que tenga un router inalámbrico y tecnología inalámbrica en el
dispositivo que utilice puede acceder al espectro sin licencia.
La red GSM de 4ta generación (4G) es la red móvil actual. 4G ofrece velocidades que son
10 veces las redes 3G anteriores. El nuevo 5G promete ofrecer velocidades 100 veces
más rápidas que 4G y conectar más dispositivos a la red que nunca.
Banda ancha satelital - Proporciona acceso de red a sitios remotos mediante el uso de
una antena parabólica direccional que está alineada con un satélite de órbita terrestre
geoestacionaria específica. Usualmente este es más caro y requiere una línea de visión
clara. Este es usado típicamente por dueños de casas y negocios donde el cable y DSL
no están disponibles.
El mundo de las comunicaciones inalámbricas es vasto. Sin embargo, para habilidades particulares
relacionadas con el trabajo, queremos centrarnos en aspectos específicos de Wi Fi. El mejor lugar
para comenzar es con los estándares IEEE 802.11 WLAN. Los estándares WLAN definen cómo se
usan las frecuencias de radio para los enlaces inalámbricos. La mayoría de los estándares
especifican que los dispositivos inalámbricos tienen una antena para transmitir y recibir señales
inalámbricas en la frecuencia de radio especificada (2.4 GHz o 5 GHz). Algunos de los estándares
más nuevos que transmiten y reciben a velocidades más altas requieren que los puntos de acceso
(AP) y los clientes inalámbricos tengan múltiples antenas utilizando la tecnología de entrada
múltiple y salida múltiple (MIMO). MIMO utiliza múltiples antenas como transmisor y receptor para
mejorar el rendimiento de la comunicación. Se pueden soportar hasta cuatro antenas.
A través de los años, se han desarrollado varias implementaciones de los estándares IEEE
802.11, como se muestra en la figura. La tabla destaca estos estándares.
E
s
t
á
n
d
a
r Radi
ofrec
Descripción
I uenci
E a
E
E
W
L
A
N
8
0
2 2,4
● velocidades de hasta 2 Mbps
. GHz
1
1
8
0
● velocidades de hasta 54 Mbps
2
5 ● Área de cobertura pequeña
.
GHz ● menos efectivo penetrando estructuras de construcción
1
● No interoperable con 802.11b o 802.11g
1
a
8
0
2 ● velocidades de hasta 54 Mbps
2,4
. ● compatible con versiones anteriores de 802.11b con capacidad
GHz
1 de ancho de banda reducida
1
g
8
● las velocidades de datos varían de 150 Mbps a 600 Mbps con
0
2.4 un rango de distancia de hasta 70 m (230 pies)
2
GHz ● Los AP y los clientes inalámbricos requieren múltiples antenas
.
5 usando MIMO Tecnología
1
GHz ● Es compatible con dispositivos 802.11a/b/g con datos limitados
1
velocidades
n
8
0
2 ● proporciona velocidades de datos que van desde 450 Mbps a
. 5 1.3 Gbps (1300 Mbps) usando tecnología MIMO
1 GHz ● Se pueden soportar hasta ocho antenas
1 ● Es compatible con dispositivos 802.11a/n con datos limitados
a
c
Radiofrecuencia
Todos los dispositivos inalámbricos funcionan en el rango del espectro electromagnético. Las redes
WLAN operan en la banda de frecuencia de 2,4 GHz y la banda de 5 GHz. Los dispositivos de LAN
inalámbricos tienen transmisores y receptores sintonizados a frecuencias específicas de ondas de
radio para comunicarse. Específicamente, las siguientes bandas de frecuencia se asignan a LAN
inalámbricas 802.11:
Organizaciones de estándares
inalámbricos
El IEEE especifica cómo se modula una frecuencia de radio para transportar información.
Mantiene los estándares para redes de área local y metropolitana (MAN) con la familia de
estándares IEEE 802 LAN / MAN. Los estándares dominantes en la familia IEEE 802 son
802.3 Ethernet y 802.11 WLAN.
La Wi-Fi Alliance es una asociación comercial global, sin fines de lucro, dedicada a
promover el crecimiento y la aceptación de las WLAN. Es una asociación de proveedores
cuyo objetivo es mejorar la interoperabilidad de los productos que se basan en el estándar
802.1
NIC inalámbrica
Nota: Muchos dispositivos inalámbricos con los que está familiarizado no tienen antenas visibles.
Están integrados dentro de teléfonos inteligentes, computadoras portátiles y routers domésticos
inalámbricos.
12.2.3
La mayoría de los routers inalámbricos también ofrecen funciones avanzadas, como acceso de alta
velocidad, soporte para transmisión de video, direccionamiento IPv6, calidad de servicio (QoS),
utilidades de configuración y puertos USB para conectar impresoras o unidades portátiles.
Además, los usuarios domésticos que desean ampliar sus servicios de red pueden implementar
extensores de alcance Wi-Fi. Un dispositivo puede conectarse de forma inalámbrica al extensor, lo
que aumenta sus comunicaciones para que se repitan al router inalámbrico.
12.2.4
Si bien los extensores de alcance son fáciles de configurar, la mejor solución sería instalar otro
punto de acceso inalámbrico para proporcionar acceso inalámbrico dedicado a los dispositivos del
usuario. Los clientes inalámbricos usan su NIC inalámbrica para descubrir puntos de acceso
cercanos compartiendo el SSID Los clientes luego intentan asociarse y autenticarse con un AP.
Después de ser autenticados los usuarios inalámbricos tienen acceso a los recursos de la red. En
la figura, se ve el software Cisco Meraki.
AP autónomo
Estos son dispositivos independientes configurados mediante una interfaz de línea de comandos
o una GUI, como se muestra en la figura Los AP autónomos son útiles en situaciones en las que
solo se requieren un par de APs en la organización. Un router doméstico es un ejemplo de AP
autónomo porque toda la configuración de AP reside en el dispositivo. Si aumentan las
demandas inalámbricas, se requerirían más APs. Cada AP funciona independientemente de
otros AP y cada AP requiere de una configuración y administración manual. Esto se volvería
abrumador si se necesitaran muchos APs.
Las LAN inalámbricas pueden acomodar varias topologías de red. El estándar 802.11 identifica dos
modos principales de topología inalámbrica: modo Ad hoc y modo Infraestructura. Tetherin también
es un modo en ocasiones usado para proveer un acceso inalámbrico rápido.
BSS y ESS
El modo de infraestructura define dos bloques de construcción de topología: un conjunto de
servicios básicos (BSS) y un conjunto de servicios extendidos (ESS).
Utiliza un AP único para interconectar todos los clientes inalámbricos asociados. Dos BSS se
muestran en la figura. Los círculos representan el área de cobertura del BSS, que se denomina
Área de Servicio Básico (BSA). Si un cliente inalámbrico se muda de su BSA, ya no puede
comunicarse directamente con otros clientes inalámbricos dentro de la BSA.
La dirección MAC de capa 2 del AP se utiliza para identificar de forma exclusiva cada BSS, que
se denomina Identificador de conjunto de servicios básicos (BSSID). Por lo tanto, el BSSID es el
nombre formal del BSS y siempre está asociado con un solo AP.
Cuando un solo BSS proporciona cobertura insuficiente, se pueden unir dos o más BSS a través
de un sistema de distribución común (DS) en un ESS. Un ESS es la unión de dos o más BSS
interconectados por un DS cableado. Cada ESS se identifica por un SSID y cada BSS se
identifica por su BSSID.
Los clientes inalámbricos en una BSA ahora pueden comunicarse con clientes inalámbricos en
otra BSA dentro del mismo ESS. Los clientes móviles inalámbricos pueden moverse de un BSA
a otro (dentro del mismo ESS) y conectarse sin problemas.
El área rectangular en la figura representa el área de cobertura dentro de la cual los miembros
de un ESS pueden comunicarse. Esta área es llamada área extendida de servicios.
Recuerde que todas las tramas de capa 2 consisten en un encabezado, carga útil y sección de
secuencia de verificación de trama (FCS). El formato de la trama 802.11 es similar al formato de la
trama de Ethernet, excepto que contiene más campos, como se muestra en la figura.
Todas las tramas 802.11 inalámbricas contienen los siguientes campos;
CSMA/CA
Las WLAN son configuraciones de medios compartidos semidúplex. Half-duplex significa que solo
un cliente puede transmitir o recibir en dado momento. Medios compartidos significa que todos los
clientes pueden transmitir y recibir en el mismo canal de radio. S Esto crea un problema porque un
cliente inalámbrico no puede escuchar mientras está enviando, lo que hace que sea imposible
detectar una colisión.
Para resolver este problema las WLAN utilizan el acceso múltiple con detección de operador con
evitación de colisiones (CSMA / CA) para determinar cómo y cuándo enviar datos. Un cliente
inalámbrico hace lo siguiente:
1. Escucha el canal para ver si está inactivo, es decir, no hay otro tráfico actualmente en el
canal. El canal es también llamado el portador.
2. Envía un mensaje Ready to Send (RTS) al AP para solicitar acceso dedicado a la red.
3. Recibe un mensaje Clear to Send (CTS) del AP que otorga acceso para enviar.
4. Si el cliente inalámbrico no recibe el mensaje CTS este espera una cantidad de tiempo
aleatoria antes de reiniciar el proceso.
5. Después de recibir el CTS, trasmite la información.
6. Todas las transmisiones son reconocidas. Si un cliente no recibe el reconocimiento, asume
que ocurrió una colisión y reinicia el proceso.
Para que los dispositivos inalámbricos se comuniquen a través de una red, primero se deben
asociar a un AP o un router inalámbrico. Una parte importante del proceso 802.11 es descubrir una
WLAN y conectarse a esta. Los dispositivos inalámbricos completan el siguiente proceso de tres
etapas, como muestra en la figura:
● Descubre un AP inalámbrico
● Autenticar con el AP.
● Asociarse con el AP.
Para lograr una asociación exitosa, un cliente inalámbrico y un AP deben acordar parámetros
específicos: Para permitir la negociación de estos procesos, se deben configurar los parámetros
en el AP y posteriormente en el cliente.
En modo activo: los clientes inalámbricos deben conocer el nombre del SSID. El cliente
inalámbrico inicia el proceso al transmitir por difusión una trama de solicitud de sondeo en varios
canales. La solicitud de sondeo incluye el nombre del SSID y los estándares admitidos. Los AP
configurados con el SSID enviarán una respuesta de prueba que incluye el SSID, los estándares
admitidos y la configuración de seguridad. Si un AP o un router inalámbrico se configuran para
que no transmitan por difusión las tramas de señal, es posible que se requiera el modo activo.
Para descubrir las redes WLAN cercanas, un cliente inalámbrico también podría enviar una
solicitud de sondeo sin un nombre de SSID. Los AP configurados para transmitir por difusión
tramas de señal responderían al cliente inalámbrico con una respuesta de sondeo y
proporcionarían el nombre del SSID. Los AP con la característica de transmisión del SSID por
difusión deshabilitada no responden.
Introducción a la CAPWAP
CAPWAP es un protocolo estándar IEEE que permite que un WLC administre múltiples AP y
WLANs. CAPWAP también es responsable de la encapsulación y el reenvío del tráfico del cliente
WLAN entre un AP y un WLC.
Basado en LWAPP pero agrega seguridad adicional con Datagram Transport Layer Security
(DLTS). CAPWAP establece túneles en los puertos del Protocolo de datagramas de usuario (UDP).
CAPWAP puede operar sobre IPv4 o IPv6, pero usa IPv4 de manera predeterminada.
IPv4 e IPv6 pueden usar los puertos UDP 5246 y 5247. Sin embargo, los túneles CAPWAP usan
diferentes protocolos IP en el encabezado de la trama. IPv4 usa el protocolo IP 17 e IPv6 usa el
protocolo IP 136.
● AP Funciones MAC
● Funciones WLC MAC
La tabla muestra algunas de las funciones MAC realizadas por cada uno.
Funciones WLC
AP Funciones MAC
MAC
Beacons y respuestas de
Autenticación
sonda
Traducción de
Cola de Frame y
Frames a otros
priorización de paquetes
protocolos
Terminación del
Cifrado y descifrado de
tráfico 802.11 en una
datos de capa MAC
interfaz cableada
12.4.4
Encriptación de DTLS
DTLS es un protocolo que proporciona seguridad entre el AP y el WLC. Les permite comunicarse
mediante encriptación y evita escuchas o alteraciones.
DTLS está habilitado de manera predeterminada para asegurar el canal de control CAPWAP pero
está deshabilitado de manera predeterminada para el canal de datos, como se muestra en la figura.
Todo el tráfico de control y gestión CAPWAP intercambiado entre un AP y WLC está encriptado y
protegido de forma predeterminada para proporcionar privacidad en el plano de control y evitar
ataques de Man-In-the-Middle (MITM).
El cifrado de datos CAPWAP es opcional y se habilita para cada AP. El cifrado de datos está
deshabilitado de manera predeterminada y requiere que se instale una licencia DTLS en el WLC
antes de que se pueda habilitar en el AP. Cuando está habilitado, todo el tráfico del cliente WLAN
se encripta en el AP antes de reenviarse al WLC y viceversa.
Encapsulación CAPWAP
Control CAPWAP
Datos CAPWAP
WLC
12.4.5
AP FlexConnect
La figura muestra un túnel CAPWAP formado entre un AP FlexConnect en una sucursal y un WLC
en una oficina corporativa. El equipo de la sucursal consiste en una computadora portátil con
conexión inalámbrica a un AP FlexConnect que está conectado a un switch que está conectado a
un router. Luego, el router se conecta a otro router en la oficina corporativa a la que está conectado
el WLC. El WLC proporciona acceso a la red corporativa e Internet.
Si la demanda de un canal específico es demasiado alta, es probable que ese canal se sature en
exceso. La saturación del medio inalámbrico degrada la calidad de la comunicación. Con los años,
se han creado una serie de técnicas para mejorar la comunicación inalámbrica y aliviar la
saturación. Estas técnicas mitigan la saturación de canales usándolos de manera más eficiente.
Selección de canales
Una práctica recomendada para las WLAN que requieren múltiples AP es utilizar canales no
superpuestos. Por ejemplo, los estándares 802.11b/g/n operan en el espectro de 2.4 GHz a
2.5GHz. La banda 2.4 GHz está subdividida en múltiples canales. Cada canal tiene un ancho de
banda de 22 MHz y está separado del siguiente canal por 5 MHz. El estándar 802.11b identifica 11
canales para América del Norte, como se muestra en la figura (13 en Europa y 14 en Japón).
Nota: Busque en Internet canales de 5 GHz para obtener más información sobre los otros 16
canales disponibles y para conocer más sobre las variaciones de los diferentes países.
Para los estándares de 5 GHz 802.11a/n/ac, hay 24 canales. La banda de 5Ghz está
dividida en tres secciones. Cada canal está separado del siguiente canal por 20 MHz La
figura muestra la primera sección de ocho canales para la banda de 5 GHz. Aunque hay
una ligera superposición, los canales no interfieren entre sí. La conexión inalámbrica de 5
GHz puede proporcionar una transmisión de datos más rápida para clientes inalámbricos
en redes inalámbricas muy pobladas debido a la gran cantidad de canales inalámbricos no
superpuestos.
Nota: Busque en Internet canales de 5 GHz para obtener más información sobre los otros
16 canales disponibles y para conocer más sobre las variaciones de los diferentes países.
La cantidad de usuarios admitidos por una WLAN depende del diseño geográfico de la instalación,
incluida la cantidad de cuerpos y dispositivos que pueden caber en un espacio, las velocidades de
datos que esperan los usuarios, el uso de canales no superpuestos por múltiples AP en un ESS, y
transmitir configuraciones de energía.
Al planificar la ubicación de los AP, el área de cobertura circular aproximada es importante (como
se muestra en la figura), pero hay algunas recomendaciones adicionales:
Al estimar el área de cobertura esperada de un AP, tenga en cuenta que este valor varía según el
estándar WLAN o la combinación de estándares implementados, la naturaleza de la instalación y la
potencia de transmisión para la que está configurado el AP. Siempre consulte las especificaciones
del AP cuando planifique áreas de cobertura.
Una WLAN está abierta a cualquier persona dentro del alcance de un AP y las credenciales
apropiadas para asociarla. Con una NIC inalámbrica y conocimiento de técnicas de craqueo, un
atacante puede no tener que ingresar físicamente al lugar de trabajo para obtener acceso a una
WLAN.
Los ataques pueden ser generados por personas externas, empleados descontentos e incluso
involuntariamente por los empleados. Las redes inalámbricas son específicamente susceptibles a
varias amenazas, incluidas las siguientes:
● Intercepción de datos - Los datos inalámbricos deben estar encriptados para evitar que
los espías los lean.
● Intrusos inalámbricos - Los usuarios no autorizados que intentan acceder a los recursos
de la red pueden ser disuadidos mediante técnicas de autenticación efectivas.
● Ataques de denegación de servicio (DoS) - El acceso a los servicios WLAN puede verse
comprometido de forma accidental o maliciosa. Existen varias soluciones dependiendo de
la fuente del ataque DoS.
● APs Falsos - Los AP no autorizados instalados por un usuario bien intencionado o con
fines maliciosos se pueden detectar utilizando un software de administración.
12.6.3
Ataques de DoS
Los ataques DoS inalámbricos pueden ser el resultado de:
Las señales que se irradian desde un teléfono inalámbrico y un microondas interfieren con las
señales en una red inalámbrica
S3WR
12.6.4
Una vez conectado, el AP falso puede ser usado por el atacante para capturar direcciones MAC,
capturar paquetes de datos, obtener acceso a recursos de red o lanzar un ataque intermediario.
Un punto de acceso a la red personal también podría usarse como un AP no autorizado, por
ejemplo, un usuario con acceso seguro a la red permite que su host Windows autorizado se
convierta en un AP Wi-Fi. Al hacerlo, elude las medidas de seguridad y otros dispositivos no
autorizados ahora pueden acceder a los recursos de la red como un dispositivo compartido.
Para evitar la instalación de puntos de acceso no autorizados, las organizaciones deben configurar
WLC con políticas de puntos de acceso no autorizados y utilizar software de monitoreo para
monitorear activamente el espectro de radio en busca de puntos de acceso no autorizados.
12.6.5
Ataque man-in-the-middle
En un ataque intermediario (MITM por su sigla en inglés), el pirata informático se coloca entre dos
entidades legítimas para leer o modificar los datos que pasan entre las dos partes. Hay muchas
maneras de crear un ataque MITM.
Un ataque de "AP gemelo malvado" es un ataque MITM inalámbrico popular en el que un atacante
introduce un AP falso y lo configura con el mismo SSID que un AP legítimo Las ubicaciones que
ofrecen Wi-Fi gratis, como aeropuertos, cafeterías y restaurantes, son lugares particularmente
populares para este tipo de ataque debido a la autenticación abierta.
un actor de amenazas en Bobs Latte ha usado su computadora portátil para configurar un gemelo
malvado usando un SSID de Bob latte, autenticación abierta y canal 6
Latte de Bob
Usuario
Protocolo
Clientes inalámbrico que se tratan de conectar a una red WLAN podrían ver dos APs con el mismo
SSID ofreciendo acceso inalámbrico. Los que están cerca del AP falso encuentran la señal más
fuerte y probablemente se asocian con ella. El tráfico de usuarios ahora se envía al AP falso, que a
su vez captura los datos y los reenvía al AP legítimo, como se muestra en la figura. El tráfico de
retorno del AP legítimo se envía al AP falso, se captura y luego se reenvía al usuario desprevenido.
El atacante puede robar la contraseña del usuario, su información personal, obtener acceso a su
dispositivo y comprometer el sistema
un usuario de Bobs Latte está enviando tráfico inalámbrico a una computadora portátil configurada
por un actor de amenazas como un gemelo malvado que reenvía el tráfico a un enrutador dentro de
la nube de Internet
Latte de Bob
Usuario
Internet
Para abordar las amenazas de mantener alejados a los intrusos inalámbricos y proteger los datos,
se utilizaron dos características de seguridad tempranas que aún están disponibles en la mayoría
de los enrutadores y puntos de acceso:SSID cloaking y MAC address filtering.
Encubrimiento SSID
Los AP y algunos enrutadores inalámbricos permiten deshabilitar la trama de baliza SSID, como se
muestra en la figura Los clientes inalámbricos deben configurarse manualmente con el SSID para
conectarse a la red.
Aunque estas dos características disuadirían a la mayoría de los usuarios, la realidad es que ni el
ocultamiento de SSID ni el filtrado de direcciones MAC disuadirían a un intruso astuto. Los SSID se
descubren fácilmente incluso si los AP no los transmiten y las direcciones MAC pueden ser
falsificadas. La mejor manera de proteger una red inalámbrica es utilizar sistemas de autenticación
y cifrado.
Autenticación
Abierta
Clave compartida
WEP
WPA
WPA2
WPA3
● No se requiere contraseña.
●
Cualquier cliente que lo desee se puede asociar.
●
Normalmente se usa para proporcionar acceso gratuito a Internet en áreas
públicas como cafeterías, aeropuertos y hoteles.
●
El cliente tiene toda la responsabilidad de la seguridad.
12.7.4
Métodos de autenticación de clave
compartida
Método de
Descripción
autenticación
12.7.5
Autenticando a un usuario doméstico
Los routers domésticos suelen tener dos opciones de autenticación: WPA y WPA2 WPA2 es el mas
fuerte de los dos La figura muestra la opción para seleccionar uno de los dos métodos de
autenticación WPA2:
12.7.6
Métodos de encriptación
El cifrado suele utilizarse para proteger datos. Si un intruso ha capturado datos cifrados, no podrá
descifrarlos en un período de tiempo razonable.
En la figura el administrador está configurando el router inalámbrico para usar WPA2 con cifrado
AES en la banda 2.4 GHz.
12.7.7
Autenticación en la empresa
En redes que tienen requerimientos de seguridad estrictos, una autenticación adicional o inicio de
sesión es requerida para garantizar al cliente acceso inalámbrico. La elección del modo de
seguridad empresarial requiere un servidor RADIUS de autenticación, autorización y contabilidad
(AAA).
● Dirección IP del servidor RADIUS - Esta es la dirección accesible del servidor RADIUS.
● Números de puerto UDP - Los puertos UDP 1812 para la autenticación RADIUS y 1813
para la contabilidad RADIUS, pero también pueden funcionar utilizando los puertos UDP
1645 y 1646.
● Llave compartida - se utiliza para autenticar el AP con el servidor RADIUS.
En la figura el administrador está configurando el router inalámbrico para usar autenticación WPA2
Enterprise con encriptación AES. La dirección IPv4 del servidor RADIUS también se configura con
una contraseña segura que se utilizará entre el router inalámbrico y el servidor RADIUS.
La llave compartida no es un parámetro que debe ser configurado en un cliente inalámbrico. Solo
se requiere en el AP para autenticarse con el servidor RADIUS. Nota: La autenticación y
autorización del usuario se maneja mediante el estándar 802.1X, que proporciona una
autenticación centralizada basada en el servidor de los usuarios finales.
El proceso de inicio de sesión 802.1X utiliza EAP para comunicarse con el servidor AP y RADIUS.
EAP es un marco para autenticar el acceso a la red. Puede proporcionar un mecanismo de
autenticación seguro y negociar una clave privada segura que luego puede usarse para una sesión
de encriptación inalámbrica usando encriptación TKIP o AES.
12.7.8
WPA3
En el momento de este escrito los dispositivos que soportan autenticación WPA3 autenticación no
están fácilmente disponibles. Sin embargo, WPA2 ya no se considera segura WPA3, si está
disponible, es el método de autenticación 802.11 recomendado. WPA3 incluye cuatro
características;
● WPA3-personal
● WPA3-empresa
● Redes abiertas
● Internet de las cosas (IoT)
WPA3-personal
WPA3-empresa
WPA3 - Empresa: Utiliza la autenticación 802.1X / EAP. Sin embargo, requiere el uso de una suite
criptográfica de 192 bits y elimina la combinación de protocolos de seguridad para los estándares
802.11 anteriores. WPA3-Enterprise se adhiere a la Suite de Algoritmo de Seguridad Nacional
Comercial (CNSA) que se usa comúnmente en redes Wi-Fi de alta seguridad.
Redes abiertas
Las redes abiertas en WPA2 envían tráfico de usuarios en texto claro no autenticado. En WPA3, las
redes Wi-Fi abiertas o públicas aún no utilizan ninguna autenticación. Sin embargo, utiliza el cifrado
inalámbrico oportunista (OWE) para cifrar todo el tráfico inalámbrico.
IOT Integración
Aunque WPA2 incluyó la Configuración protegida de Wi-Fi (WPS) para incorporar rápidamente
dispositivos sin configurarlos primero, WPS es vulnerable a una variedad de ataques y no se
recomienda. Además, los dispositivos IoT generalmente no tienen cabeza, lo que significa que no
tienen una interfaz gráfica de usuario incorporada para la configuración, y necesitan una forma fácil
de conectarse a la red inalámbrica. El Protocolo de aprovisionamiento de dispositivos (DPP) se
diseñó para abordar esta necesidad. Cada dispositivo sin cabeza tiene una clave pública
codificada. La clave suele estar estampada en el exterior del dispositivo o en su embalaje como un
código de Respuesta rápida (QR). El administrador de red puede escanear el código QR y
rápidamente a bordo del dispositivo. Aunque no es estrictamente parte del estándar WPA3, DPP
reemplazará a WPS con el tiempo.
Una LAN inalámbrica (WLAN) es un tipo de red inalámbrica que se usa comúnmente en hogares,
oficinas y entornos de campus. Las LAN inalámbricas (WLAN) se basan en los estándares IEEE y
se pueden clasificar en cuatro tipos principales: WPAN, WLAN, WMAN y WWAN. Para enviar y
recibir datos, la tecnología inalámbrica usa el espectro de radio sin licencia. Ejemplos de esta
tecnología son Bluetooth, WiMAX, banda ancha celular y banda ancha satelital. Los estándares
802.11 WLAN definen cómo se usan las frecuencias de radio para los enlaces inalámbricos. Las
redes WLAN operan en la banda de frecuencia de 2,4 GHz y la banda de 5 GHz. Los estándares
aseguran la interoperabilidad entre dispositivos fabricados por diferentes fabricantes. A nivel
internacional, las tres organizaciones que influyen en los estándares WLAN son ITU-R, el IEEE, y la
Wi-Fi Alliance.
Para comunicarse de forma inalámbrica, la mayoria de los dispositivos incluyen NIC inalámbricas
integradas que incorporan un transmisor / receptor de radio. El router inalámbrico sirve como un
punto de acceso, un switch, y un router. Los clientes inalámbricos usan su NIC inalámbrica para
descubrir puntos de acceso cercanos compartiendo el SSID Los clientes luego intentan asociarse y
autenticarse con un AP. Después de ser autenticados los usuarios inalámbricos tienen acceso a los
recursos de la red. Los AP se pueden clasificar como AP autónomos o AP basados en
controladores. Hay tres tipos de antenas para AP de clase empresarial: omnidireccionales,
direccionales y MIMO.
El estándar 802.11 identifica dos modos principales de topología inalámbrica: modo Ad hoc y modo
Infraestructura. El anclaje a red es usado para proveer un acceso inalámbrico rápido. El modo de
infraestructura define dos bloques de construcción de topología: un conjunto de servicios básicos
(BSS) y un conjunto de servicios extendidos (ESS). Todas las tramas 802.11 contienen los
siguientes campos: control de frame, duración, dirección 1, dirección 2, dirección 3, control de
secuencia y dirección 4. WLANs usan CSMA/CA como el método para determinar cómo y cuando
enviar datos en la red. Una parte importante del proceso 802.11 es descubrir una WLAN y
conectarse a esta. Los dispositivos inalámbricos descubren un AP inalámbrico, se autentican con él
y luego se asocian con él. Los clientes inalámbricos se conectan al AP mediante un proceso de
exploración (sondeo) pasivo o activo.
CAPWAP es un protocolo estándar IEEE que permite que un WLC administre múltiples AP y
WLAN. El concepto CAPWAP dividir MAC realiza todas las funciones que normalmente realizan los
AP individuales y las distribuye entre dos componentes funcionales: DTLS es un protocolo que
proporciona seguridad entre el AP y el WLC. FlexConnect es una solución inalámbrica para las
implementaciones en sucursales y oficinas remotas. Usted puede configurar y controlar puntos de
acceso en una sucursal desde la oficina corporativa a través de un enlace WAN, sin implementar
un controlador en cada oficina. Hay dos modos de opción para FlexConnect AP: Conectado e
independiente.
Las redes inalámbricas son susceptibles a amenazas, que incluyen: interceptación de datos,
intrusos inalámbricos, ataques DoS y puntos de acceso no autorizados. Los ataques DoS
inalámbricos pueden ser el resultado de: dispositivos mal configurados, un usuario malintencionado
que interfiere intencionalmente con la comunicación inalámbrica e interferencia accidental. Un AP
falso es un AP o un router inalámbrico que se ha conectado a una red corporativa sin autorización
explícita y en contra de la política corporativa. Una vez conectado, el atacante puede ser utilizado
por un atacante para capturar direcciones MAC, capturar paquetes de datos, obtener acceso a
recursos de red o lanzar un ataque de hombre en el medio. Ataque man-in-the-middle: el agente de
amenaza se coloca entre dos entidades legítimas para leer, modificar o redirigir los datos que se
transmiten entre las dos partes. Un ataque de "AP gemelo malvado" es un ataque MITM
inalámbrico popular en el que un atacante introduce un AP falso y lo configura con el mismo SSID
que un AP legítimo Para evitar la instalación de puntos de acceso no autorizados, las
organizaciones deben configurar WLC con políticas de puntos de acceso no autorizados.
Para mantener alejados a los intrusos inalámbricos y proteger los datos, dos características de
seguridad tempranas todavía están disponibles en la mayoría de los enrutadores y puntos de
acceso: ocultamiento de SSID y filtrado de direcciones MAC. Hay cuatro técnicas de autenticación
de clave compartida disponibles: WEP, WPA, WPA2 y WPA3 (los dispositivos con WPA3 aún no
están disponibles fácilmente). Los routers domésticos suelen tener dos opciones de autenticación:
WPA y WPA2 WPA2 es el más fuerte de los dos El cifrado suele utilizarse para proteger datos. Los
estándares WPA y WPA2 usan los siguientes métodos de cifrado: TKIP y AES. En redes que tienen
requerimientos de seguridad estrictos, una autenticación adicional o inicio de sesión es requerida
para garantizar al cliente acceso inalámbrico. La elección del modo de seguridad empresarial
requiere un servidor RADIUS de autenticación, autorización y contabilidad (AAA).
Algunos de nosotros recordamos conectarnos al Internet usando conexiones dial up. Para la
conexión dial up se usaba la linea telefónica fija. No era posible hacer o recibir llamadas con el
teléfono fijo mientras se navegaba en Internet. La conexión al Internet con dial up era muy lenta.
Básicamente, para la mayoría de las personas, su computadora estaba en un lugar fijo en la casa o
escuela.
Y después pudimos conectarnos al Internet sin usar las lineas telefónicas fijas. Sin embargo
nuestras computadoras estaban aún conectadas con cables a dispositivos que se conectaban al
Internet. Hoy en día podemos conectarnos al Internet usando dispositivos inalámbricos que nos
permitan llevar nuestros teléfonos, laptops y tablets prácticamente a cualquier lugar. Es grandioso
tener esa libertad de moverse, pero requiere de dispositivos intermediarios y finales especiales y un
buen entendimiento de los protocolos inalámbricos. ¿Desea obtener más información? Entonces,
¡este es el modulo para ti!
13.0.2
Objetivo del Módulo: Implemente una WLAN con un router inalámbrico y WLC.
Configuración de WLAN
Configure una WLAN para admitir un sitio remoto.
del sitio remoto
Los trabajadores remotos, las oficinas pequeñas y las redes caseras, comúnmente usan routers de
casa y oficina pequeña. A estos routers en ocasiones se les llama routers integrados porque
típicamente incluyen un switch para dispositivos conectados por cable, un puerto para conectarse
al Internet (a veces llamado "WAN"), y componentes inalámbricos para clientes de acceso
inalámbrico, como se muestra en la figura del Cisco Meraki MX64W. En lo que resta de este
módulo, a los routers de casas y oficinas pequeñas los llamaremos routers inalámbricos.
La figura muestra la parte de atrás de un router de casa o pequeña oficina. El router tiene dos
antenas, una de cada lado. En el lado izquierdo, hay un botón de reset. Al lado del botón de reset
hay cuatro puertos para conectar dispositivos LAN. Hay un puerto para la conexión WAN y
finalmente el botón de encendido y el puerto para el cable de energía.
La próxima imagen muestra la conexión física de una laptop cableada, hacia un router inalámbrico,
que a su vez se conecta a un modem DSL o cable modem para obtener conectividad a Internet.
La imagen muestra la conexión física de una laptop cableada, hacia un router inalámbrico, que a su
vez se conecta a un modem DSL o cable modem para obtener conectividad a Internet. Muestra una
persona sentada frente a una computadora de escritorio. Conectada en la parte de atrás del
escritorio de la computadora, hay un enlace que va al router inalámbrico y del router inalámbrico
hay un enlace hacia el modem de banda ancha. El modem de banda ancha tiene una conexión
serial al Internet que se muestra como una nube.
Router inalámbrico
Modem de banda ancha
Internet
Estos routers inalámbricos comúnmente proveen seguridad WLAN, servicios de DHCP, Traducción
de Direcciones de Red (NAT), Quality of Service (QoS), y una variedad de otras funciones. El
conjunto de características varia de acuerdo al modelo del router.
Nota: La configuración del módem por cable o DSL generalmente se realiza a través del
representante del proveedor de servicios, ya sea en el sitio o de manera remota, a través de un
tutorial con usted en el teléfono. Si usted compra el módem, el mismo vendrá con la documentación
sobre cómo conectarlo a su proveedor de servicios, lo que muy probablemente incluirá el contacto
con su proveedor de servicios para obtener más información.
13.1.3
La mayoría de los routers inalámbricos están listos para utilizarse desde el primer momento. Están
pre-configurados para conectarse a la red y proporcionar servicios. Por ejemplo, el router
inalámbrico utiliza el DHCP para proporcionar automáticamente información de asignación de
direcciones a los dispositivos conectados. Sin embargo, las direcciones IP predeterminadas del
router inalámbrico, los nombres de usuario y las contraseñas se pueden encontrar fácilmente en
Internet. Simplemente ingrese la frase “dirección IP predeterminada del router inalámbrico” o
“contraseñas predeterminada del router inalámbrico ” para ver un listado de muchos sitios web que
proporcionan esta información. Por ejemplo, el usuario y la contraseña para el router inalámbrico en
la figura es "admin" En consecuencia, su prioridad principal debe ser cambiar estos valores
predeterminados por razones de seguridad.
Para obtener acceso a la GUI de configuración del router inalámbrico, abra un navegador web. En
el campo Dirección, ingrese la dirección IP privada predeterminada de su router inalámbrico. La
dirección IP predeterminada se puede encontrar en la documentación que viene con el router
inalámbrico o se puede buscar en Internet. La figura muestra la dirección IPv4 192.168.0.1, que es
un valor predeterminado común para muchos fabricantes. Una ventana de seguridad solicita
autorización para acceder a la GUI del router. La palabra admin se utiliza comúnmente como
nombre de usuario y contraseña predeterminados. Nuevamente, consulte la documentación del
router inalámbrico o busque en Internet.
13.1.4
Después de iniciar sesión, se abre una GUI. La GUI tendrá las pestañas o menús para ayudarlo
a navegar en las distintas tareas de configuración del router. A menudo es necesario guardar las
opciones de configuración modificadas en una ventana antes de pasar a otra ventana. En este
punto, se recomienda realizar cambios en la configuración predeterminada.
Una vez que usted guarde la contraseña, el router inalámbrico solicitará autorización
nuevamente. Ingrese el nombre de usuario y la contraseña nueva, como se muestra en el
ejemplo.
Cambie la dirección IPv4 predeterminada del router. Una práctica recomendada es utilizar
direcciones IPv4 privadas dentro de su red. En el ejemplo, se utiliza la dirección IPv4 10.10.10.1,
pero podría ser cualquier dirección IPv4 privada que elija.
Al hacer clic en guardar, perderá temporalmente el acceso al router inalámbrico. Abra una
ventana de comandos y renueve su dirección IP con el comando ipconfig/renew, como se
muestra en el ejemplo.
Ingrese la nueva dirección IP del router para recuperar el acceso a la GUI de configuración del
router, como se muestra en el ejemplo. Ahora está listo para continuar con la configuración de
acceso inalámbrico en el router.
1. Ver los valores predeterminados de WLAN
Algunos routers inalámbricos le permiten escoger qué estándar 802.11 desea implementar. Este
ejemplo muestra que se ha seleccionado "Legacy". Esto significa que todos los dispositivos
inalámbricos que se conectan al router inalámbrico deben tener una variedad de NIC
inalámbricas instaladas. Los routers inalámbricos actuales configurados para el modo mixto
admiten, en su mayoría, las NIC 802.11a, 802.11n y 802.11ac.
Asignar un SSID a las redes inalámbricas WLANs. OfficeNet se usa en el ejemplo para todas las
tres redes WLANS (la tercera WLAN no se muestra). El router inalámbrico anuncia su presencia
mediante el envío de broadcasts que anuncian su SSID. Esto le permite a los hosts inalámbricos
detectar automáticamente el nombre de la red inalámbrica. Si la difusión del SSID está
desactivada, debe introducir manualmente el SSID en cada dispositivo inalámbrico que se
conecte a la WLAN.
Los dispositivos configurados con el mismo canal dentro de la banda de 2,4 GHz pueden
superponerse y causar distorsión, lo que disminuye el rendimiento inalámbrico y potencialmente
podría interrumpir las conexiones de red. La solución para evitar la interferencia es configurar
canales que no se superpongan en los routers inalámbricos y los puntos de acceso cercanos
entre sí. Específicamente, los canales 1, 6 y 11 son canales que no se superponen. En el
ejemplo, el router inalámbrico está configurado para utilizar el canal 6.
La WPA2 Personal utiliza una contraseña para autenticar a los clientes inalámbricos. La WPA2
personal es más fácil de usar en entornos de oficinas pequeñas o domésticas, ya que no
requiere un servidor de autenticación. Las organizaciones más grandes implementan la WPA2
Enterprise y requieren que los clientes inalámbricos se autentiquen con un nombre de usuario y
una contraseña.
Configuración de una red de Malla
Inalámbrica
En una red de una oficina pequeña o doméstica, un router inalámbrico puede bastar para
proporcionar acceso inalámbrico a todos los clientes. Sin embargo, si desea extender el rango más
allá de aproximadamente 45 metros en el interior y 90 metros en el exterior, puede agregar puntos
de acceso inalámbricos. Como se muestra en la figura, En el red de Malla Inalámbrica, dos puntos
de acceso se configuran con las mismas configuraciones de WLAN de nuestro ejemplo anterior.
Observe que los canales escogidos son 1 y 11, de modo tal que los puntos de acceso no interfieren
con el canal 6 configurado previamente en el router inalámbrico.
La imagen muestra dos puntos de acceso inalámbricos en una red de oficina pequeña o casa. Los
puntos de acceso inalámbrico se conectan de manera inalámbrica a un router. El router inalámbrico
está conectado a un módem de banda ancha. El módem de banda ancha esta conectado a una
nube mostrando el Internet. Hay flechas apuntando desde el punto de acceso inalámbrico que
muestra los ajustes de configuración. Un punto de acceso inalámbrico esta en el canal 1 en 2.4GHz
y el otro en el canal 11 en 2.4GHz.
Protocolo
Extender una WLAN en una oficina pequeña o en el hogar se vuelve cada vez más fácil. Los
fabricantes han creado una red de Malla Inalámbrica (WMN) a través de aplicaciones de teléfono
inteligente. Usted compra el sistema, dispersa los puntos de acceso, los conecta, descarga la
aplicación y configura su WMN en pocos pasos. Para encontrar las reseñas de las ofertas actuales,
busque en Internet "el mejor sistema de red de Malla Inalámbrica"
13.1.7
En un router inalámbrico, si busca una página como la página de estado que se muestra en la
figura, encontrará la información de la asignación de direcciones IPv4 que el router utiliza para
enviar datos a Internet. Observe que la dirección IPv4 es 209.165.201.11 es una red diferente a la
dirección 10.10.10.1 asignada a la interfaz LAN del router. A todos los dispositivos en la LAN del
router se les asignarán direcciones con el prefijo 10.10.10.
Algunos ISP utilizan la asignación de direcciones privadas para conectarse a los dispositivos del
cliente. Sin embargo, al final, su tráfico abandonará la red del proveedor y se enrutará en Internet.
Para ver las direcciones IP de sus dispositivos, busque "Cuál es mi dirección IP" en Internet. Haga
esto para otros dispositivos en la misma red y verá que todos comparten la misma dirección IPv4
pública. NAT hace esto posible realizando un rastreo de los números de puerto de origen para cada
sesión establecida por dispositivo. Si su ISP tiene la IPv6 habilitada, verá una dirección IPv6 única
para cada dispositivo.
13.1.8
Calidad de servicio
Muchos routers inalámbricos tienen una opción para configurar la Calidad de Servicio (QoS). Al
configurar QoS, puede garantizar que ciertos tipos de tráfico, como voz y video, tengan prioridad
sobre el tráfico que no es sensible a retrasos, como el correo electrónico y la navegación web. En
algunos routers inalámbricos, también se puede priorizar el tráfico en puertos específicos.
La figura es un boceto simplificado de una interfaz de QoS basada en una GUI de Netgear. Por lo
general, encontrará la configuración de QoS en los menús avanzados. Si tiene un router
inalámbrico disponible, investigue las configuraciones de QoS. A veces, es posible que se
enumeren bajo "Control de Ancho de Banda" o algo similar. Consulte la documentación del router
inalámbrico o busque "configuraciones de QoS" en Internet para la marca y el modelo de su router.
Reenvío de Puerto
Los routers inalámbricos comúnmente se pueden utilizar para bloquear puertos TCP y UDP, a fin
de impedir el acceso no autorizado entrante y saliente de una LAN. No obstante, existen
situaciones en las que deben abrirse puertos específicos para que determinados programas y
aplicaciones puedan comunicarse con dispositivos de otras redes. El Reenvío de Puerto es un
método basado en reglas que permite dirigir el tráfico entre dispositivos de redes separadas.
Una vez que el tráfico llega al router, este determina si debe reenviarse el tráfico a determinado
dispositivo según el número de puerto que se encuentra en el tráfico. Por ejemplo, se puede
configurar un router para que reenvíe el puerto 80, que esta asociado con HTTP. Cuando el router
recibe un paquete con el puerto de destino 80, reenvía el tráfico al servidor interno de la red que
sirve a las páginas web. En la figura, el reenvío de puerto está habilitado para el puerto 80 y se
asigna al servidor web en la dirección IPv4 10.10.10.50.
La activación de puertos permite que el router reenvíe datos temporalmente mediante puertos
entrantes a un dispositivo determinado. Se puede utilizar la activación de puertos para reenviar
datos a una PC, solo si se utiliza un rango de puertos designados para realizar una solicitud
saliente. Por ejemplo, un videojuego puede utilizar los puertos 27000 a 27100 para establecer una
conexión con otros jugadores. Estos son los puertos de activación. Un cliente de chat puede utilizar
el puerto 56 para conectar a los mismos jugadores, a fin de que interactúen entre sí. En este caso,
si existe tráfico de juegos en un puerto saliente dentro del rango de puertos activados, el tráfico de
chat entrante que corresponde al puerto 56 se reenvía a la PC que se utiliza para jugar el
videojuego y para chatear con amigos. Una vez que finaliza el juego y dejan de utilizarse los
puertos activados, el puerto 56 ya no puede enviar tráfico de ningún tipo a esta PC.
Topología WLC
Para topologia y el esquema de direccionamiento usados en los videos y este tema se muestran en
la figura y en la tabla. El punto de acceso (AP) es basado en un controlador, que es diferente a un
AP autónomo. Recuerde que los puntos de acceso basados en controlador no necesitan una
configuración inicial y normalmente se les denomina Puntos de Acceso Lightweight (LAPs). Los
puntos de acceso LAP usan el Protocolo Lightweight Access Point Protocol (LWAPP) para
comunicarse con el controlador WLAN (WLC). Los puntos de acceso basados en controlador son
útiles en situaciones en las que se necesitan varios puntos de acceso en la red. Conforme se
agregan puntos de acceso, cada punto de acceso es configurado y administrado de manera
automática por el WLC.
La imagen muestra la topologia de un Cisco Wireless LAN Controller (WLC). PC-A es un servidor
RADIUS/SNMP conectado a R1 en la interfaz F0/0 de R1. La PC-B esta conectada a S1 en el
puerto F0/6 de S1. R1 y S1 están conectados juntos en la interfaces F0/1 de R1 y en la F0/5 de
S1 . S1 esta conectado a un WLC en el puerto F0/18. En el puerto F0/1 de S1 esta conectado el
punto de acceso AP1. Hay una computadora portátil conectada en forma inalámbrica a AP1
Topología
Tabla de Direcciones
Máscara de
Dispositivo Interfaz Dirección IP
subred
S1 VLAN 1 DHCP
192.168.200.25
WLC Administración 255.255.255.0
4
Computadora
portátil NIC DHCP
inalámbrica
13.2.3
Iniciar sesión en el WLC
Configurar un controlador de red inalámbrica (WLC) no es muy diferente que configurar un router
inalámbrico La diferencia mas grande es que el WLC controla los puntos de acceso y provee más
servicios y capacidades de administración; varias que van más allá del alcance de este curso.
Nota: Las figuras de este tema que muestran la interfaz gráfica (GUI) y los menús, son del
Controlador Inalámbrico Cisco 3504. Sin embargo, otros modelos de WLC tienen menús y
características similares.
La figura muestra un usuario iniciando sesión en el WLC con los credenciales que fueron
configurados en la configuración inicial.
La página de Network Summary es un panel que provee una visión rápida del número de redes
inalámbricas configuradas, los puntos de acceso asociados y los clientes activos. También se
puede ver la cantidad de puntos de acceso dudosos y los clientes, como se muestra en la figura.
13.2.4
Haga clic en Access Pints desde el menú de la izquierda para ver un resumen de toda la
información de sistema y desempeño del punto de acceso, como se muestra en la siguiente figura.
El AP está usando la dirección IP 192.168.200.3. Debido a que el protocolo Cisco Discovery
Protocol (CDP) esta activo en esta red, el WLC sabe que el AP está conectado al puerto
FastEthernet 0/1 del switch.
El AP en la topología es un Cisco Aironet 1815i, lo cual significa que se puede usar la línea de
comandos y una cantidad limitada comandos de IOS. En el ejemplo, el administrador de la red hizo
ping a la puerta de enlace, hizo ping al WLC, y verificó la interfaz conectada con cable.
!!!!!
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
1055820.953/1057820.738/1059819.928 ms
collisions:0 txqueuelen:80
AP1#
13.2.5
Configuración Avanzada
La mayoría de los WLC tienen configuraciones básicas y menús que los usuarios pueden accesar
rápidamente para implementar una variedad de configuraciones comunes. Sin embargo, como
administrador de la red, usted comúnmente accederá a la configuración avanzada. En el Wireless
Controller Cisco 3504, haga clic en Advanced en la esquina superior derecha para accesar la
página Summary, como se muestra en la figura. Desde aquí, usted puede acceder a toda la
configuración del WLC.
13.2.6
Los controladores de red LAN inalámbricos tienen puertos e interfaces. Los puertos son los
conectores para las conexiones físicas a la red cableada. Se ven como puertos de switch Las
interfaces son virtuales. Se crean a nivel de software y son muy similares a las VLAN interfaces. De
hecho, cada interfaz que lleva trafico desde una WLAN se configura en el WLC como una VLAN
diferente. El Cisco WLC 3504 soporta hasta 150 puntos de acceso y 4096 VLANs; sin embargo,
sólo tiene cinco puertos físicos, como se muestra en la figura. Esto significa que cada puerto físico
puede soportar varios puntos de acceso y WLANs. Los puertos en el WLC son básicamente
puertos troncales que pueden llevar trafico de múltiples VLANs hacia un switch para distribuirlo a
múltiples puntos de acceso. Cada punto de acceso puede soportar varias WLANs.
La figura muestra el frente de un controladora inalámbrico Cisco 3504. Tiene 2 puertos para
administración fuera de banda, un puerto de consola, un puerto de consola mini-usb, un puerto
USB 3.0, un puerto 5G, y cuatro puertos Gigabit.
La configuración WLAN en el WLC incluye los siguientes pasos:
1. Crear la WLAN.
2. Aplicar y activar la WLAN
3. Seleccionar una interfaz.
4. Asegurar la WLAN
5. Verificar que la WLAN este funcionando
6. Monitorear la WLAN
7. Ver la información del cliente inalámbrico
1. Crear la WLAN
En la figura, el administrador esta creando una nueva WLAN que usara el nombre
Wireless_LAN y como identificador de conjunto de servicios (SSID). El ID es una valor arbitrario
que se usa para identificar la WLAN en el WLC en pantalla.
Después de hacer clic en Apply, el administrador de la red debe habilitar la WLAN antes de que
sea accesado por los usuarios, como se muestra en la figura. La casilla de verificación Enabled
permite al administrador configurar una variedad de funciones para la WLAN, así como WLANs
adicionales, antes de habilitarlas para que sean accesibles para los clientes. Desde aquí, el
administrador de la red puede configurar una variedad de funciones para la WLAN incluyendo
seguridad, QoS, políticas y otras configuraciones avanzadas.
Cuando crea la red WLAN, debe seleccionar la interfaz que llevara el trafico del WLAN La
próxima figura muestra la selección de una interfaz que ya ha sido creada en el WLC.
Aprenderemos como crear interfaces mas adelante en este modulo.
4. Asegurar la WLAN
Haga clic en la pestaña de Security para accesar todas las opciones disponibles para asegurar
la red LAN. El administrador de la red desea asegurar la Capa 2 con WPA2-PSK. WPA2 y
802.1X están definidos de manera predeterminada. En el menú de Security de Capa 2, debe
verificar que WPA+WPA2 esta seleccionado(no se muestra). Haga clic en PSK y ponga el pre-
shared key, como se muestra en la figura. Luego, haga clic en Apply. Esto habilitará la WLAN
con autenticación WPA2-PSK. A partir de ahora, los clientes inalámbricos que conozcan el pre-
shared key pueden asociarse y autenticarse con el punto de acceso.
Haga clic en WLANs en el menú de la izquierda, para ver la nueva WLAN configurada. En la
figura, puede verificar que el ID del WLAN esta configurado con el nombre y SSID
Wireless_LAN, que esta activo, y que esta usando seguridad WPA2 PSK.
6. Monitorear la WLAN
Haga clic en la pestaña Monitor en la parte superior para acceder de nuevo a la pagina
avanzada Summary. Aquí puede ver que Wireless_LAN ahora tiene un cliente usando sus
servicios, como se muestra en la figura.
Haga clic en Clients en el menú de la derecha para ver mas información sobre los clientes
conectados al WLAN, como se muestra en la figura. Un cliente esta conectado a Wireless_LAN
a través de un punto de acceso y se le asigno la dirección IP 192.168.5.2. Los servicios de
DHCP en esta topologia son dados por el router.
SNMP y RADIUS
Además, para la autenticación con el WLAN, el administrador de la red desea usar el servidor
RADIUS para los servicios de autenticación, autorización y registro (AAA). En vez de ingresar una
llave pre-compartida para autenticarse, como se hace con WPA2-PSK, los usuarios ingresan sus
propio usuario y contraseña. Los credenciales serán verificados en el servidor RADIUS. De esta
manera, el acceso de cada usuario puede ser rastreado y auditado de manera individual, de ser
necesario las cuentas de usuario pueden ser agregadas o modificadas desde una locación central.
El servidor RADIUS es requerido cuando las redes WLAN están usando autenticación WPA2
Enterprise.
Nota: La configuración del servidor SNMP y del servidor RADIUS esta fuera del alcance de este
modulo.
Esta figura muestra una topología de red. PC-A es un servidor RADIUS/SNMP conectado a R1 en
la interfaz F0/0 de R1. La PC-B esta conectada a S1 en el puerto F0/6 de S1. R1 y S1 están
conectados juntos en la interfaz F0/1 de R1 y en la F0/5 de S1 S1 esta conectado a un WLC en el
puerto F0/18. El puerto F0/1 de S1 esta conectado al punto de acceso AP1. Hay una computadora
portátil conectada en forma inalámbrica a AP1
Topología
Configurar Información del Servidor
SNMP
Agregue el nombre del SNMP Community y la dirección IP (IPv4 o IPv6) del servidor SNMP. Haga
clic en Apply. Ahora el WLC enviará los mensajes de registro de SNMP al servidor SNMP.
13.3.4
Para configurar el WLC con la información del servidor RADIUS, haga clic en SECURITY tab >
RADIUS > Authentication. No existen servidores RADIUS configurados Haga clic en Nuevo...
para agregar la PC-A como el servidor RADIUS.
Agregue la direccion IPv4 para PC-A y el secreto compartido. Esta es la contraseña que se usa
entre el WLC y el servidor RADIUS. No es para los usuarios Haga clic en Apply, como se muestra
en la figura.
Cada WLAN configurada en el WLC necesita su propia interfaz virtual. El WLC tiene cinco puertos
físicos para el trafico de datos. Cada puerto físico puede ser configurado para soportar múltiples
WLANs, cada una en su propia interfaz virtual. Los puertos físicos se pueden enlazar entre ellos
para crear enlaces con mayor capacidad de ancho de banda
El administrador de la red ha decidido que la nueva WLAN use la interfaz VLAN 5 y la red
192.168.5.0/24. R1 ya tiene un sub-interfaz configurada y activa para VLAN 5, tal como se muestra
en la topología y en la salida del comando show ip interface brief.
Topología
(output omitted)
R1#
Para agregar una nueva interfaz, haga clic en CONTROLLER > Interfaces > New..., como se
muestra en la figura.
1. Haga clic CONTROLLER
2. Haga clic en Interfaces
3. Haga clic en New...
En empresas grandes, los WLCs se configuran para que reenvíen los mensajes de DHCP
a un servidor dedicado. Desplazasece hacia abajo en la pagina para configurar el servidor
DHCP primario con la dirección IPv4 192.168.5.1, como se muestra en la figura. Esta es la
dirección del router de puerta de enlace predeterminado. El router esta configurado con
un pool de DHCP para la red WLAN. Conforme los dispositivos host se unen a la WLAN
asociada con la interfaz VLAN 5, van recibiendo las direcciones IP de este pool.
5. Aplicar y Confirmar
Desplazasece hacia arriba y haga clic en Apply, como se muestra en la figura. Haga clic
en OK para el mensaje de advertencia.
6. Verificar interfaces
El administrador de red será llevado de vuelta la página de DHCP Scopes y podrá verificar
que el alcance está listo para ser asignado a una nueva WLAN.
Configure una red inalámbrica WLAN
WPA2 Enterprise
De manera predeterminada, todas las WLANs creadas recientemente en el WLC van a usar
WPA2 con el Sistema Avanzado de Encripción (AES). 802.1X es el protocolo de manejo de
llaves predeterminado que se usa para comunicarse con el servidor RADIUS. El
administrador ya había configurado la dirección IPv4 del servidor RADIUS ejecutándose en
PC-A, de tal manera que la única configuración pendiente es crear una nueva WLAN para
que use la interfaz vlan5.
Haga clic en la pestaña WLANs y luego en Ir para crear una nueva WLAN, como se
muestra en la figura.
2. Configurar el nombre y el SSID de la WLAN
Rellene con el nombre del perfil y el SSID Con el fin de ser consistente con la VLAN que
fue previamente configurada, escoja un ID de 5. Sin embargo, puede usar cualquier valor
disponible. Haga clic en Apply, para crear una nueva WLAN, como se muestra en la
figura.
La WLAN ha sido creada pero aun necesita activarse y asociarse con la interfaz VLAN
correcta. Cambiar el estado de Enabled y escoger vlan5 en la lista desplegable de
Interface/Interface Grupo(G). Haga clic en Aplicar y haga clic en OK para aceptar el
mensaje emergente, como se muestra en la figura.
La figura muestra como se activa la WLAN para VLAN 5 en el GUI del WLC. Se selecciona
la pestaña WLANs en el menú principal. Seleccione WLANs > Edit El estado:Habilitado se
detallada con un rectángulo y el número 1. Interface/Interface Group tiene la vlan5
seleccionada y mostrada con un rectángulo y el número 2. Apply se detalla con un
rectángulo y el número 3. Un mensaje con una advertencia se mostrara si se intentan
cambiar los parámetros de WLAN mientras esta habilita, lo que causara que
temporalmente la WLAN se deshabilite y el radio se restablezca, lo que causara una
perdida de conectividad para los clientes. Presione "OK" para continuar. El número 4 esta
junto al botón OK
Ahora necesitamos seleccionar el servidor RADIUS que va a usarse para autenticar los
usuarios de esta WLAN. Haga clic en la ficha AAA Servers. En la lista desplegable
seleccionar el servidor RADIUS que fue configurado previamente en el WLC. Aplique los
cambios.
6. Verifique que la nueva WLAN este disponible
Para verificar que la nueva WLAN esta listada y activa, haga clic en Back o en el sub-
menú WLANs a la izquierda. Tanto la WLAN Wireless_LAN como la WLAN CompanyName
están listadas. En la figura, note que ambos están activos. Wireless_LAN esta usando
WPA2 con autenticación PSK. CompanyName esta usando seguridad WPA2 con
autenticación 802.1X.
En el tema anterior aprendiste sobre la configuración de WLAN. Vamos a ver cómo resolver
problemas de WLAN.
Los problemas de red pueden ser simples o complejos, y pueden ser el resultado de una
combinación de problemas de hardware, software y conectividad. Los técnicos informáticos
deben ser capaces de analizar el problema y determinar la causa del error para poder reparar
el problema de red. Este proceso se denomina “solución de problemas”.
Para resolver problemas de red de cualquier tipo, se debe seguir un proceso sistemático.
Una metodología de solución de problemas común y eficaz se basa en el método científico,
y se puede dividir en los seis pasos importantes que se muestran en la ilustración.
Pas
Título Descripción
o
Establece
r una Después de hablar con el usuario e identificar el
teoría de problema, puede probar y establecer una teoría de
2
causas causas probables. Este paso generalmente muestra más
probable causas probables del problema.
s
Verifique
la
funcionali
dad total
del Una vez que haya corregido el problema, verifique la
5 sistema e funcionalidad total y, si corresponde, implementación de
implemen medidas preventivas
te
medidas
preventiv
as
Registrar
hallazgos
El último paso del proceso de solución de problemas
,
consiste en registrar los hallazgos, acciones y
6 acciones
resultados. Esto es muy importante para una futura.
y
referencia.
resultado
s
13.4.2
Cliente Inalámbrico no está conectando
Cuando se está resolviendo problemas de una red WLAN, se recomienda usar un proceso de
eliminación.
● ¿Qué tan lejos esta la PC del punto de acceso? ¿Está la PC fuera del área planeada
de cobertura (BSA)?
● Revise la configuración del canal en el cliente inalámbrico. El software del cliente
debería detectar el canal siempre que el SSID sea el correcto.
● Revise si existen otros dispositivos en el área que puedan estar interfiriendo con la
banda de 2.4 GHz. Algunos dispositivos como por ejemplo, teléfonos inalámbricos,
monitores de bebes, hornos microondas, sistemas de seguridad inalámbricos, y
potencialmente puntos de acceso no autorizados. Los datos enviados por estos
dispositivos pueden causar interferencia con la WLAN y problemas intermitentes de
conexión entre un cliente inalámbrico y un AP.
Finalmente, inspeccione los enlaces entre los dispositivos cableados y revise que no existan
conectores malos o cables que falten o estén dañados. Si la parte física en su bien, verifique
la LAN cableada, haciendo ping a los dispositivos, incluyendo el AP. Si la conectividad sigue
fallando a este punto, puede que algo este malo en el AP o su configuración.
13.4.3
Para optimizar e incrementar el ancho de banda de los routers y APs de banda doble 802.11
pruebe:
● La banda de 2.4 GHz puede ser muy útil para manejo de trafico en internet básico que
no es sensible al tiempo.
● El ancho de banda se puede compartir con otros WLANs cercanos.
● La banda 5 GHz esta mucho menos concurrida que la banda de 2.4 Ghz, lo que la
hace ideal para transmitir multimedia.
● La banda de 5 GHz tiene mas canales, por lo tanto, el canal que se usa esta
posiblemente libre de interferencia.
Los routers y APs de doble banda usan el mismo nombre de red tanto en la banda de 2.4
Ghz como en la de 5 Ghz de manera predeterminada. La manera más sencilla de segmentar
el trafico es renombrar una de las redes inalámbricas. Con un nombre separado y que sea
descriptivo, es mas fácil conectarse a la red correcta.
Para mejorar el rango de una red inalámbrica, asegúrese de que la ubicación del router
inalámbrico o AP se encuentre libre de obstrucciones como muebles, accesorios y
electrodomésticos altos. Estos bloquean la señal, lo cual acorta el rango de la WLAN. Si esto
no resuelve el problema, puede que necesite usar un Extensor de Rango de Wi-Fi o
implementar la tecnología inalámbrica Powerline.
13.4.4
Actualizar el Firmware
Los trabajadores remotos, las oficinas, sucursales pequeñas y las redes caseras a menúdo
usan un router inalámbrico, el cual típicamente incluye un switch para clientes cableados,
un puerto para la conexión a Internet (a veces llamado "WAN") y componentes inalámbricos
para el acceso de clientes inalámbricos. La mayoría de los routers inalámbricos están
preconfigurados para conectarse a la red y proporcionar servicios. El router inalámbrico
utiliza el DHCP para proporcionar automáticamente información de asignación de
direcciones a los dispositivos conectados. Su primera prioridad debe ser cambiar el nombre
de usuario y contraseña de su router inalámbrico. Use la interfaz de su router inalámbrico
para completar la configuración básica de su red inalámbrica. Si desea extender el rango
más allá de aproximadamente 45 metros en el interior y 90 metros en el exterior, puede
agregar puntos de acceso inalámbricos. El router utilizará un proceso llamado como
Traducción de Direcciones de Red (NAT) para convertir las direcciones IPv4 privadas en
direcciones IPv4 enrutables en Internet. Al configurar QoS, puede garantizar que ciertos
tipos de tráfico, como voz y video, tengan prioridad sobre el tráfico sin plazos, como el
correo electrónico y la navegación web.
Los puntos de acceso LAP usan el Protocolo Lightweight Access Point Protocol (LWAPP)
para comunicarse con el controlador WLAN (WLC). Configurar un controlados de LAN
inalámbrico (WLC) es similar a configurar un router inalámbrico, excepto que un WLC
controla los puntos de acceso y provee mas capacidades de administración y servicios. Use
la interfaz del WLC para ver un panorama completo del sistema de información y desempeño
de los puntos de acceso, para accesar la configuración avanzada y para configurar una
WLAN.
SNMP se utiliza para monitorear la red El WLC esta configurado para enviar todos los
registros de SNMP al servidor, utilizando traps. Para la autenticación de usuarios en en
WLAN, se utiliza un servidor RADIUS para autenticación, autorización y registro(AAA).
Acceso de un usuario puede ser monitoreado y auditado Use la interfaz del WLC para
configurar el servidor SNMP y la información del servidor RADIUS, las interfaces VLAN, el
alcance DHCP y una WLAN WPA2 Enterprise.
No importa cuán eficaz sea la configuración de la red, algo siempre dejará de funcionar
correctamente o incluso dejará de funcionar completamente. Esta es una simple verdad
sobre la creación de redes. Por lo tanto, a pesar de que ya sabe bastante sobre el
enrutamiento, todavía necesita saber cómo funcionan sus routers. Este conocimiento es
fundamental si desea poder solucionar problemas de su red. Este módulo entra en detalle
sobre el funcionamiento de un router. ¡Súbete!
14.0.2
Objetivos del módulo: Explique cómo los routers utilizan la información en los paquetes
para tomar decisiones de reenvío.
Antes de que un router reenvíe un paquete a cualquier lugar, tiene que determinar la mejor
ruta para que el paquete tome. En este tema se explica cómo los enrutadores realizan esta
determinación.
Los switches Ethernet se utilizan para conectar dispositivos finales y otros dispositivos
intermediarios, como otros conmutadores Ethernet, a la misma red. Un router conecta varias
redes, lo que significa que posee varias interfaces, cada una de las cuales pertenece una red
IP diferente.
Cuando un router recibe un paquete IP en una interfaz, determina qué interfaz debe usar
para reenviar el paquete hacia el destino. Esto se conoce como enrutamiento. La interfaz
que usa el router para reenviar el paquete puede ser el destino final o una red conectada a
otro router que se usa para llegar a la red de destino. Generalmente, cada red a la que se
conecta un router requiere una interfaz separada, pero puede que este no siempre el caso.
Las funciones principales de un router son determinar la mejor ruta para reenviar paquetes
basándose en la información de su tabla de enrutamiento, y reenviar paquetes hacia su
destino.
14.1.2
El router usa su tabla de routing para encontrar la mejor ruta para reenviar un paquete. Haga
clic en Reproducir en la animación de la ilustración, para seguir un paquete desde la
computadora de origen hasta la computadora de destino. Observe cómo tanto R1 como R2
utilizan sus respectivas tablas de enrutamiento IP para determinar primero la mejor ruta y, a
continuación, reenviar el paquete.
La animación representa dos redes LAN con hosts conectados por dos routers R1 y R2. Se
anima un paquete que atraviesa la conexión de una LAN a la otra LAN. Las pantallas del
router aparecen FOR R! y R2 que muestran las direcciones IP v.4 coincidentes en el router
pasando de una red a otra.
¿Qué significa que el router deba encontrar la mejor coincidencia en la tabla de routing? La
mejor ruta de la tabla de enrutamiento también se conoce como la coincidencia más larga.
La coincidencia más larga es un proceso que el router utiliza para encontrar una
coincidencia entre la dirección IP de destino del paquete y una entrada de enrutamiento en
la tabla de enrutamiento.
La mejor coincidencia es la ruta de la tabla de routing que contiene la mayor cantidad de bits
del extremo izquierdo coincidentes con la dirección IPv4 de destino del paquete. La ruta con
la mayor cantidad de bits del extremo izquierdo equivalentes, o la coincidencia más larga, es
siempre la ruta preferida.
Nota: El término longitud del prefijo se utilizará para hacer referencia a la parte de red de
direcciones IPv4 e IPv6.
14.1.4
En la tabla, un paquete IPv4 tiene la dirección IPv4 de destino 172.16.0.10. El router tiene tres
rutas posibles que coinciden con este paquete: 172.16.0.0/12, 172.16.0.0/18 y 172.16.0.0/26.
De las tres rutas, 172.16.0.0/26 tiene la coincidencia más larga y se elige para reenviar el
paquete. Recuerde que para que cualquiera de estas rutas se considere una coincidencia
debe tener al menos la cantidad de bits coincidentes que se indica en la máscara de subred
de la ruta.
10101100.00010000.00000000.000010
172.16.0.10
10
Entrad
Longitud del Dirección de host en formato
as de
prefijo/prefijo binario
ruta
1 172.16.0.0/12 10101100.00010000.000000001010
10101100.00010000.00000000.00001
2 172.16.0.0/18
010
10101100.00010000.00000000.00001
3 172.16.0.0/26
010
14.1.5
En la tabla, un paquete IPv6 tiene la dirección IPv6 de destino 2001:db8:c000: :99. En este
ejemplo se muestran tres entradas de ruta, pero sólo dos de ellas son una coincidencia
válida, siendo una de ellas la coincidencia más larga. Las dos primeras entradas de ruta
tienen longitudes de prefijo que tienen el número requerido de bits coincidentes como indica
la longitud del prefijo. La primera entrada de ruta con una longitud de prefijo de /40 coincide
con los 40 bits del extremo izquierdo de la dirección IPv6. La segunda entrada de ruta tiene
una longitud de prefijo de /48 y con los 48 bits que coinciden con la dirección IPv6 de
destino, y es la coincidencia más larga. La tercera entrada de ruta no coincide porque su
prefijo /64 requiere 64 bits coincidentes. Para que el prefijo 2001:db8:c 000:5555: :/64 sea
una coincidencia, los primeros 64 bits deben ser la dirección IPv6 de destino del paquete.
Solo coinciden los primeros 48 bits, por lo que esta entrada de ruta no se considera una
coincidencia.
Para el paquete IPv6 de destino con la dirección 2001:db8:c000: :99, considere las tres
entradas de ruta siguientes:
Entrad
Longitud del
as de ¿Coincide?
prefijo/prefijo
ruta
2001:db8:c000:5555::
3 No coincide con 64 bits
/64
14.1.6
Una tabla de enrutamiento consta de prefijos y sus longitudes de prefijo. Pero, ¿cómo
aprende el router sobre estas redes? ¿Cómo rellena R1 en la figura su tabla de
enrutamiento?
La figura muestra tres tipos de redes Directed Connected Network, Remote Network y
Default Route. El Router1 (R1) es la red conectada directamente con dos conmutadores S1 y
S2 conectados a dos PC1 y PC2. El switch está conectado al router R1. R1 y Router2 (R2) se
conectan directamente a través de una conexión punto a punto. R2 está conectado dos
conmutadores S# y S4 con cada conmutador que tiene un PC PC3 y P4 conectado a ellos. R2
forma la red remota. R2 tiene una conexión remota adicional al ISP mediante una conexión
punto a punto que es la conexión a Internet. El esquema numérico para cada dispositivo es
direcciones IPv4 e IPv6 de doble pila.
Las redes conectadas directamente son redes que están configuradas en las interfaces
activas de un router. Una red conectada directamente se agrega a la tabla de
enrutamiento cuando una interfaz se configura con una dirección IP y una máscara de
subred (longitud de prefijo) y está activa (arriba y arriba).
Redes remotas
Las redes remotas son redes que no están conectadas directamente al router. Un router
descubre redes remotas de dos maneras:
Ruta predeterminada
Una ruta predeterminada específica un router de salto siguiente que se utilizará cuando la
tabla de enrutamiento no contiene una ruta específica que coincida con la dirección IP de
destino. La ruta predeterminada puede configurarse manualmente como ruta estática o
puede introducirla el protocolo de routing.
Una ruta predeterminada sobre IPv4 tiene una entrada de ruta de 0.0.0.0/0 y una ruta
predeterminada sobre IPv6 tiene una entrada de ruta de: :/0. La longitud del prefijo /0
indica que cero bits o ningún bit deben coincidir con la dirección IP de destino para que
se utilice esta entrada de ruta. Si no hay rutas con una coincidencia más larga, más de 0
bits, entonces la ruta predeterminada se utiliza para reenviar el paquete. A veces, la ruta
predeterminada se conoce como una puerta de enlace de último recurso.
14.2.1
La figura muestra cómo un router determina primero la mejor ruta y, a continuación, reenvía
el paquete.
La figura muestra cómo un router determina primero la mejor ruta y, a continuación, reenvía
el paquete. Hay 5 pasos representados con estos pasos:
Si la entrada de ruta indica que la interfaz de salida es una red conectada directamente,
esto significa que la dirección IP de destino del paquete pertenece a un dispositivo de la
red conectada directamente. Por lo tanto, el paquete se puede reenviar directamente al
dispositivo de destino. El dispositivo de destino suele ser un dispositivo final en una LAN
Ethernet, lo que significa que el paquete debe estar encapsulado en una trama Ethernet.
● Paquete IPv4 - El router comprueba su tabla ARP para la dirección IPv4 de destino
y una dirección MAC Ethernet asociada. Si no hay coincidencia, el router envía
una solicitud ARP. El dispositivo de destino devolverá una respuesta ARP con su
dirección MAC. El router ahora puede reenviar el paquete IPv4 en una trama
Ethernet con la dirección MAC de destino adecuada.
● PaqueteIPv6 - El router comprueba su caché vecino para la dirección IPv6 de
destino y una dirección MAC Ethernet asociada. Si no hay coincidencia, el router
envía un mensaje ICMPv6 Solicitud de vecino (ICMPv6 Neighbor Solicitation) (NS).
El dispositivo de destino devolverá un mensaje ICMPv6 Neighbor Advertisement
(NA) con su dirección MAC. El router ahora puede reenviar el paquete IPv6 en una
trama Ethernet con la dirección MAC de destino adecuada.
Reenvío de paquetes
En la primera animación, PC1 envía un paquete a PC2. Ya que la PC2 está en una red
diferente, la PC1 reenviará los paquetes a su puerta de enlace predeterminada (gateway).
PC1 buscará en su caché ARP la dirección MAC de gateway predeterminada y agregará la
información de trama indicada.
Nota: Si una entrada de ARP no existe en la tabla de ARP para la puerta de enlace
predeterminada (gateway) de 192.168.1.1, la PC1 enviará una solicitud de ARP El
router R1 envía a cambio una respuesta ARP con su dirección MAC.
El R2 reenvía el paquete al R3
R2 ahora reenvía el paquete a R3. Debido a que la interfaz de salida no es una red
Ethernet, el R2 no tiene que resolver la dirección IPv4 del siguiente salto con una
dirección MAC de destino. Cuando la interfaz es una conexión serial punto a punto (P2P),
el router encapsula el paquete IPv4 en el formato de trama de enlace de datos
correspondiente que utiliza la interfaz de salida (HDLC, PPP, etc.). Debido a que no hay
direcciones MAC en las interfaces seriales, el R2 establece la dirección de destino de
enlace de datos en el equivalente a una difusión.
R3 ahora reenvía el paquete a PC2. Dado que la interfaz de salida es una red Ethernet
conectada directamente, el R3 debe resolver la dirección IPv4 de destino del paquete con
una dirección MAC de destino: Si la entrada no aparece en la caché ARP, el R3 envía una
solicitud de ARP por la interfaz FastEthernet 0/0. La PC2 envía a cambio una respuesta
ARP con su dirección MAC.
● Switching de procesos
● Switching rápido
● Cisco Express Forwarding (CEF)
Un mecanismo de reenvío de paquetes más antiguo que todavía está disponible para
routers Cisco. Cuando un paquete llega a una interfaz, se reenvía al plano de control,
donde la CPU hace coincidir la dirección de destino con una entrada de la tabla de routing
y, a continuación, determina la interfaz de salida y reenvía el paquete. Es importante
comprender que el router hace esto con cada paquete, incluso si el destino es el mismo
para un flujo de paquetes. Este mecanismo de switching de procesos es muy lento y rara
vez se implementa en las redes modernas. Compare esto con el switching rápido.
La conmutación rápida es otro mecanismo de reenvío de paquetes más antiguo que fue el
sucesor de la conmutación de procesos. Fast switching usa una memoria caché de
switching rápido para almacenar la información de siguiente salto. Cuando un paquete
llega a una interfaz, se reenvía al plano de control, donde la CPU busca una coincidencia
en la caché de switching rápido. Si no encuentra ninguna, se aplica el switching de
procesos al paquete, y este se reenvía a la interfaz de salida. La información de flujo del
paquete también se almacena en la caché de switching rápido. Si otro paquete con el
mismo destino llega a una interfaz, se vuelve a utilizar la información de siguiente salto
de la caché sin intervención de la CPU.
Con el switching rápido, observe que el switching de procesos se aplica solo al primer
paquete de un flujo, el cual se agrega a la caché de switching rápido. Los cuatro paquetes
siguientes se procesan rápidamente según la información de la caché de switching
rápido.
CEF
CEF crea la FIB y las tablas de adyacencia una vez que se converge la red. Los cinco
paquetes se procesan rápidamente en el plano de datos.
Topología
Un router utiliza una tabla de enrutamiento para determinar a dónde enviar los paquetes.
Pero antes de sumergirse en los detalles de la tabla de enrutamiento IP, este tema revisa las
tareas básicas de configuración y verificación del enrutador. También completarás una
actividad de Rastreador de paquetes para actualizar tus habilidades.
Comandos de Configuración
Router> enable
Router# configure terminal
Router(config)# hostname R1
R1(config-line)# login
R1(config-line)# exit
R1(config-line)# login
R1(config-line)# exit
R1(config)# service password-encryption
***********************************************
***********************************************
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config-if)# no shutdown
R1(config-if)# exit
Building configuration...
[OK]
R1#
14.3.3
Comandos de verificación
En cada caso, ip reemplace ipv6 por la versión IPv6 del comando. La figura muestra de
nuevo la topología para facilitar la referencia.
R1# show ip interface brief
R1#
R1# show ipv6 interface brief
GigabitEthernet0/0/0 [up/up]
FE80: :1:A
2001:DB8:ACAD:1::1
GigabitEthernet0/0/1 [up/up]
FE80: :1:B
2001:DB8:ACAD:2::1
no asignado
Serial0/1/1 [up/up]
FE80: :1:C
2001:DB8:ACAD:3: :1
GigabiteThernet0 [abajo/abajo]
no asignado
R1#
Building configuration...
interfaz GigabiteThernet0/0/0
automatización de negociación
finalizar
R1#
R1#
FF02::1
FF02::2
FF02::5
FF02::6
FF02::1:FF00:1
FF02: :1:FF01:A
(Output omitted)
R1#
(Output omitted)
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
L FF00::/8 [0/0]
R1#
!!!!!
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/2
ms
R1#
Otra característica muy útil que mejora la experiencia del usuario en la interfaz de línea de
comandos (CLI)es el filtrado de los resultados del comando show show. Los comandos de
filtrado se pueden utilizar para mostrar secciones específicas de los resultados. Para
habilitar el comando de filtrado, ingrese una barra vertical partida (|) después del comando
show y luego ingrese un parámetro de filtrado y una expresión de filtrado.
Los parámetros de filtrado que se pueden configurar después de la barra vertical incluyen lo
siguiente:
Nota: Los filtros de salida se pueden usar en combinación con cualquier comando show.
line vty 0 4
password 7 121A0C0411044C
login
R1#
GigabitEthernet0/0/0 [up/up]
GigabitEthernet0/0/1 [up/up]
Serial0/1/1 [up/up]
R1#
R1#
R1#
Origen de la ruta
¿Cómo sabe un router dónde puede enviar paquetes? Crea una tabla de enrutamiento
basada en la red en la que se encuentra.
Una tabla de enrutamiento contiene una lista de rutas a redes conocidas (prefijos y
longitudes de prefijo). La fuente de esta información se deriva de lo siguiente:
a - application route
R1#
a - application route
R2#
Principios de la tabla de
enrutamiento
Principios de la tabla de
Ejemplo
enrutamiento
14.4.3
La figura muestra cómo leer una entrada de enrutamiento IPv4 y cómo leer
una entrada de enrutamiento IPv6. La entrada de la tabla de enrutamiento
para IPv4 comienza con el origen de enrutamiento 0, a continuación, la
red de destino (longitud de prefijo y prefijo) 10.0.4.0/24 junto a la
distancia administrativa de 110 y la métrica de 50 junto al salto
siguiente mediante 10.0.3.2 y la marca de tiempo de ruta de 00:13; 29
termina con una interfaz de salida de serie 0/1/1. Juntar la entrada es:
0 10.0.0.0/24 110/50 via 10.0.3.2 00:13:29 Serie 0/1/1. La entrada ipv6
comienza igual con el origen de enrutamiento 0, luego la red de destino
de 2001:DB8:ACAD:4: :/64 la distancia administrativa de 110 y la métrica
de 50 al lado del salto siguiente a través de FE80: :2:C no hay marca de
tiempo de ruta y termina con la interfaz de salida de serie 0/1/1
En la figura, los números identifican la siguiente información:
Nota: La longitud del prefijo de la red de destino especifica el número mínimo de bits de
extrema izquierda que deben coincidir entre la dirección IP del paquete y la red de destino
(prefijo) para que se utilice esta ruta.
Para que un router pueda aprender acerca de las redes remotas, debe tener al menos una
interfaz activa configurada con una dirección IP y una máscara de subred (longitud de
prefijo). Esto se conoce como una red conectada directamente o una ruta conectada
directamente. Los routers agregan una ruta conectada directamente cuando una interfaz se
configura con una dirección IP y se activa.
Una red conectada directamente se indica mediante un código de estado de C en la tabla de
enrutamiento. La ruta contiene un prefijo de red y una longitud de prefijo.
La tabla de enrutamiento también contiene una ruta local para cada una de sus redes
conectadas directamente, indicada por el código de estado de L. Esta es la dirección IP que
se asigna a la interfaz en esa red conectada directamente. Para las rutas locales IPv4, la
longitud del prefijo es /32 y para las rutas locales IPv6 la longitud del prefijo es /128. Esto
significa que la dirección IP de destino del paquete debe coincidir con todos los bits de la
ruta local para que esta ruta sea una coincidencia. El propósito de la ruta local es permitir
que el router determine de forma eficaz si recibe un paquete para la interfaz o para reenviar.
Las redes conectadas directamente y las rutas locales se muestran en el siguiente resultado.
(Output omitted)
R1#
(Output omitted)
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
R1#
Rutas estáticas
Las rutas estáticas se configuran de forma manual. Estas definen una ruta explícita entre
dos dispositivos de red. A diferencia de los protocolos de routing dinámico, las rutas
estáticas no se actualizan automáticamente y se deben reconfigurar de forma manual si se
modifica la topología de la red. Los beneficios de utilizar rutas estáticas incluyen la mejora
de la seguridad y la eficacia de los recursos. Las rutas estáticas consumen menos ancho de
banda que los protocolos de routing dinámico, y no se usa ningún ciclo de CPU para
calcular y comunicar las rutas. La principal desventaja de usar rutas estáticas es que no se
vuelven a configurar de manera automática si se modifica la topología de la red.
La salida muestra las entradas de enrutamiento estático IPv4 e IPv6 en R1 que pueden
alcanzar las redes 10.0.4.0/24 y 2001:db8:acad:4: :/64 en R2. Observe que ambas entradas de
enrutamiento utilizan el código de estado de S indicar que la ruta fue aprendida por una ruta
estática. Ambas entradas también incluyen la dirección IP del router siguiente salto, a través
de ip-address. El static parámetro al final del comando muestra sólo rutas estáticas.
(output omitted)
10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
(output omitted)
S 2001:DB8:ACAD:4::/64 [1/0]
via 2001:DB8:ACAD:3::2
14.4.7
Los routers usan protocolos de enrutamiento dinámico para compartir información sobre el
estado y la posibilidad de conexión de redes remotas. Los protocolos de routing dinámico
realizan diversas actividades, como la detección de redes y el mantenimiento de las tablas
de routing.
Las ventajas importantes de los protocolos de enrutamiento dinámico son la capacidad de
seleccionar una mejor ruta y la capacidad de descubrir automáticamente una nueva mejor
ruta cuando se produce un cambio en la topología.
La figura muestra los routers R1 y R2 que utilizan un protocolo de enrutamiento común para
compartir información de red.
Nota: Los protocolos de enrutamiento IPv6 utilizan la dirección de vínculo local del router de
siguiente salto.
Nota: La configuración de enrutamiento OSPF para IPv4 e IPv6 está fuera del alcance de este
curso.
(Output omitted)
O 2001:DB8:ACAD:4::/64 [110/50]
via FE80::2:C, Serial0/1/1
O 2001:DB8:ACAD:5::/64 [110/50]
Ruta predeterminada
eR2 ha compartido su ruta predeterminada con R1 usando OSPF. R1 ahora tendrá una ruta
predeterminada en su tabla de enrutamiento que aprendió dinámicamente de OSPF. R1
también reenviará a R2 cualquier paquete con una dirección IP de destino que no coincida
específicamente con una de las redes de su tabla de enrutamiento.
Los ejemplos siguientes muestran las entradas de la tabla de enrutamiento IPv4 e IPv6 para
las rutas estáticas predeterminadas configuradas en R2.
R2#
(Output omitted)
S ::/0 [1/0]
via 2001:DB8:FEED:224::2
R2#
14.4.10
Nota: La tabla de enrutamiento IPv4 del ejemplo no procede de ningún router de la topología
utilizada en este módulo.
Aunque los detalles de la estructura están fuera del alcance de este módulo, es útil
reconocer la estructura de la tabla. Una entrada sangría se conoce como ruta secundaria.
Una entrada de ruta se sangra si es la subred de una dirección con clase (red de clase A, B o
C). Las redes conectadas directamente siempre tendrán sangría (rutas secundarias) porque
la dirección local de la interfaz siempre se introduce en la tabla de enrutamiento como /32.
La ruta secundaria incluirá el origen de la ruta y toda la información de reenvío, como la
dirección de salto siguiente. La dirección de red con clase de esta subred se mostrará
encima de la entrada de ruta, con menos sangría y sin código fuente. Esto se conoce como
“ruta principal”.
Nota: Esto es solo una breve introducción a la estructura de una tabla de enrutamiento IPv4
y no cubre detalles ni detalles específicos de esta arquitectura.
R1#
14.4.11
El concepto de direccionamiento con clase nunca formaba parte de IPv6, por lo que la
estructura de una tabla de enrutamiento con IPv6 es muy simple. Cada entrada de ruta IPv6
está formateada y alineada de la misma manera.
C 2001:DB8:ACAD:1::/64 [0/0]
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]
L 2001:DB8:ACAD:3::1/128 [0/0]
O 2001:DB8:ACAD:4::/64 [110/50]
O 2001:DB8:ACAD:5::/64 [110/50]
R1#
14.4.12
Distancia administrativa
Una entrada de ruta para una dirección de red específica (longitud de prefijo y prefijo) sólo
puede aparecer una vez en la tabla de enrutamiento. Sin embargo, es posible que la tabla de
enrutamiento aprenda acerca de la misma dirección de red desde más de un origen de
enrutamiento.
El IOS de Cisco utiliza lo que se conoce como “distancia administrativa” (AD) para
determinar la ruta que se debe instalar en la tabla de routing de IP. La AD representa la
"confiabilidad" de la ruta. Cuanto menor es la AD, mayor es la confiabilidad de la ruta. Dado
que EIGRP tiene un AD de 90 y OSPF tiene un AD de 110, la entrada de ruta EIGRP se
instalaría en la tabla de enrutamiento.
Un ejemplo más común es un router que aprende la misma dirección de red de una ruta
estática y un protocolo de enrutamiento dinámico, como OSPF. Por ejemplo, la AD de una
ruta estática es 1, mientras que la AD de una ruta descubierta por OSPF es 110. El router
elige la ruta con la AD más baja entre dos rutas diferentes al mismo destino. Cuando un
router puede elegir entre una ruta estática y una ruta de OSPF, la ruta estática tiene
prioridad.
Nota: Las redes conectadas directamente tienen el AD más bajo de 0. Sólo una red
conectada directamente puede tener un AD de 0.
Distancia
Origen de la ruta
administrativa
Conectado directamente 0
Ruta estática 1
BGP externo 20
EIGRP interno 90
OSPF 110
IS-IS 115
RIP 120
En el tema anterior se discutieron las formas en que un router crea su tabla de enrutamiento.
Por lo tanto, ahora sabe que el enrutamiento, como el direccionamiento IP, puede ser
estático o dinámico. ¿Debería usar enrutamiento estático o dinámico? ¡La respuesta es
ambas cosas! El routing estático y el routing dinámico no son mutuamente excluyentes. En
cambio, la mayoría de las redes utilizan una combinación de protocolos de routing dinámico
y rutas estáticas.
Rutas Estáticas
Aumentos en el
Complejidad de la configuraciónIndependiente del tamaño de la red
tamaño de la red
Se requiere
Se adapta automáticamente a los
Cambios de topología intervención del
cambios de topología
administrador
La seguridad es
Seguridad La seguridad debe estar configurada
inherente
Definido
La ruta depende de la topología y el
Predictibilidad de Ruta explícitamente por el
protocolo de enrutamiento utilizados
administrador
14.5.2
Los protocolos de enrutamiento dinámico se utilizan en el ámbito de las redes desde finales
de la década de los ochenta. Uno de los primeros protocolos de enrutamiento fue RIP. RIPv1
se lanzó en 1988, pero ya en 1969 se utilizaban algunos de los algoritmos básicos en dicho
protocolo en la Advanced Research Projects Agency Network (ARPANET).
A medida que las redes evolucionaron y se volvieron más complejas, surgieron nuevos
protocolos de enrutamiento. El protocolo RIP se actualizó a RIPv2 para hacer lugar al
crecimiento en el entorno de red. Sin embargo, RIPv2 aún no se escala a las
implementaciones de red de mayor tamaño de la actualidad. Con el objetivo de satisfacer las
necesidades de las redes más grandes, se desarrollaron dos protocolos de enrutamiento: el
protocolo OSPF (abrir primero la ruta más corta) y sistema intermedio a sistema intermedio
(IS-IS). Cisco desarrolló el protocolo de enrutamiento de gateway interior (IGRP) e IGRP
mejorado (EIGRP), que también tiene buena escalabilidad en implementaciones de redes
más grandes.
Asimismo, surgió la necesidad de conectar distintos dominios de enrutamiento de diferentes
organizacions y proporcionar enrutamiento entre ellas. En la actualidad, se utiliza el
protocolo de gateway fronterizo (BGP) entre proveedores de servicios de Internet (ISP). El
protocolo BGP también se utiliza entre los ISP y sus clientes privados más grandes para
intercambiar información de enrutamiento.
Protocolos de gateway
Protocolos de gateway interior
exterior
EIGRP para
IPv6 RIPng OSPFv3 IS-IS para IPv6 BGP-MP
IPv6
14.5.3
Los componentes principales de los protocolos de routing dinámico incluyen los siguientes:
Los protocolos de routing determinan la mejor ruta hacia cada red y, a continuación, esa
ruta se ofrece a la tabla de routing. La ruta se instalará en la tabla de routing si no hay otro
origen de routing con una distancia administrativa menor. Uno de los beneficios principales
de los protocolos de routing dinámico es que los routers intercambian información de
routing cuando se produce un cambio en la topología. Este intercambio permite a los routers
obtener automáticamente información sobre nuevas redes y también encontrar rutas
alternativas cuando se produce una falla de enlace en la red actual.
El mejor camino
Antes de ofrecer una ruta a una red remota a la tabla de enrutamiento, el protocolo de
enrutamiento dinámico debe determinar la mejor ruta a esa red. La determinación de la
mejor ruta implica la evaluación de varias rutas hacia la misma red de destino y la selección
de la ruta óptima o la más corta para llegar a esa red. Cuando existen varias rutas hacia la
misma red, cada ruta utiliza una interfaz de salida diferente en el router para llegar a esa red.
Los protocolos de enrutamiento dinámico generalmente usan sus propias reglas y métricas
para construir y actualizar las tablas de enrutamiento. El algoritmo de enrutamiento genera
un valor, o una métrica, para cada ruta a través de la red. Las métricas se pueden calcular
sobre la base de una sola característica o de varias características de una ruta. Algunos
protocolos de enrutamiento pueden basar la elección de la ruta en varias métricas,
combinándolas en un único valor métrico.
Balance de carga
¿Qué sucede si una tabla de routing tiene dos o más rutas con métricas idénticas hacia la
misma red de destino?
Cuando un router tiene dos o más rutas hacia un destino con métrica del mismo costo, el
router reenvía los paquetes usando ambas rutas por igual. Esto se denomina “balanceo de
carga de mismo costo”. La tabla de routing contiene la única red de destino pero tiene varias
interfaces de salida, una para cada ruta de mismo costo. El router reenvía los paquetes
utilizando las distintas interfaces de salida que se indican en la tabla de routing.
Las funciones principales de un router son determinar la mejor ruta para reenviar paquetes
basándose en la información de su tabla de enrutamiento, y reenviar paquetes hacia su
destino. La mejor ruta de la tabla de enrutamiento también se conoce como la coincidencia
más larga. La mejor coincidencia es la ruta de la tabla de routing que contiene la mayor
cantidad de bits del extremo izquierdo coincidentes con la dirección IPv4 de destino del
paquete. Las redes conectadas directamente son redes que están configuradas en las
interfaces activas de un router. Una red conectada directamente se agrega a la tabla de
enrutamiento cuando una interfaz se configura con una dirección IP y una máscara de
subred (longitud de prefijo) y está activa (arriba y arriba). Los routers aprenden acerca de las
redes remotas de dos maneras: las rutas estáticas se agregan a la tabla de enrutamiento
cuando una ruta se configura manualmente y con protocolos de enrutamiento dinámicos.
Mediante protocolos de enrutamiento dinámico como EIGRP y OSPF, las rutas se agregan a
la tabla de enrutamiento cuando los protocolos de enrutamiento aprenden dinámicamente
acerca de la red remota.
Reenvío de paquetes
Después de que un router determina la ruta correcta, puede reenviar el paquete en una red
conectada directamente, puede reenviar el paquete a un enrutador de siguiente salto o
puede soltar el paquete. Una responsabilidad principal de la función de switching es la de
encapsular los paquetes en el tipo de marco de enlace de datos correcto para el enlace de
datos de salida. Los routers admiten tres mecanismos de reenvío de paquetes: conmutación
de procesos, conmutación rápida y CEF. Los siguientes pasos describen el proceso de
reenvío de paquetes:
Tabla de enrutamiento IP
Una tabla de enrutamiento contiene una lista de rutas redes conocidas (prefijos y longitudes
de prefijo). El origen de esta información se deriva de redes conectadas directamente, rutas
estáticas y protocolos de enrutamiento dinámico. Los códigos de tabla de enrutamiento
comunes incluyen:
Cada router toma su decisión por sí solo, basándose en la información que tiene en su
propia tabla de enrutamiento. La información de una tabla de enrutamiento de un router no
coincide necesariamente con la tabla de enrutamiento de otro router. La información de
enrutamiento sobre una ruta no proporciona información de enrutamiento de retorno. Las
entradas de la tabla de enrutamiento incluyen el origen de ruta, la red de destino, AD, la
métrica, el salto siguiente, la marca de tiempo de ruta y la interfaz de salida. Para obtener
información acerca de las redes remotas, un router debe tener al menos una interfaz activa
configurada con una dirección IP y una máscara de subred (longitud de prefijo), denominada
red conectada directamente. Las rutas estáticas se configuran manualmente y definen una
ruta explícita entre dos dispositivos de red. Los protocolos de enrutamiento dinámico
pueden detectar una red, mantener tablas de enrutamiento, seleccionar una mejor ruta y
descubrir automáticamente una nueva mejor ruta si cambia la topología. Una ruta
predeterminada específica un router de salto siguiente que se utilizará cuando la tabla de
enrutamiento no contiene una ruta específica que coincida con la dirección IP de destino.
Una ruta predeterminada puede ser una ruta estática o aprenderse automáticamente de un
protocolo de enrutamiento dinámico. Una ruta predeterminada tiene una entrada de ruta IPv4
de 0.0.0.0/0 o una entrada de ruta IPv6 de: :/0. Las tablas de enrutamiento IPv4 todavía tienen
una estructura basada en direcciones de clase representadas por niveles de sangría. Las
tablas de enrutamiento IPv6 no utilizan la estructura de la tabla de enrutamiento IPv4. El IOS
de Cisco utiliza lo que se conoce como “distancia administrativa” (AD) para determinar la
ruta que se debe instalar en la tabla de routing de IP. La AD representa la "confiabilidad" de
la ruta. Cuanto menor es la AD, mayor es la confiabilidad de la ruta.
Los protocolos de enrutamiento actuales incluyen IGP y EGP. Los IGP intercambian
información de enrutamiento dentro de un dominio de enrutamiento administrado por una
sola organización. El único EGP es BGP. BGP intercambia información de enrutamiento
entre diferentes organizaciones. Los ISP utilizan BGP para enrutar paquetes a través de
Internet. Los protocolos de enrutamiento vectorial de distancia, estado de vínculo y vector
de ruta se refieren al tipo de algoritmo de enrutamiento utilizado para determinar la mejor
ruta. Los principales componentes de los protocolos de enrutamiento dinámico son
estructuras de datos, mensajes de protocolo de enrutamiento y algoritmos. El mejor camino
es elegido por un protocolo de enrutamiento en función del valor o la métrica que usa para
determinar la distancia para llegar a esa red. Una métrica es un valor cuantitativo que se
utiliza para medir la distancia que existe hasta una red determinada. El mejor camino a una
red es la ruta con la métrica más baja. Cuando un router tiene dos o más rutas hacia un
destino con métrica del mismo costo, el router reenvía los paquetes usando ambas rutas por
igual. Esto se denomina “balanceo de carga de mismo costo”.
Hay diferentes tipos de rutas estáticas, y cada una es perfecta para resolver (o evitar) un tipo
específico de problema de red. Muchas redes utilizan enrutamiento dinámico y estático, por
lo que los administradores de red necesitan saber cómo configurar, verificar y solucionar
problemas de rutas estáticas. Está realizando este curso porque desea convertirse en
administrador de red o desea mejorar sus habilidades de administrador de red existentes.
¡Se alegrará de haber tomado este módulo, porque usará estas habilidades con frecuencia!
¡Y debido a que este módulo trata de configurar rutas estáticas, hay varias actividades de
Verificación de sintaxis, seguido por un Packet Tracer y un Lab donde puede perfeccionar
sus habilidades!
15.0.2
Configuración de rutas de host Configure rutas de hosts estáticas IPv4 e IPv6 que dirijan
estáticas el tráfico hacia un host específico.
Las rutas estáticas se implementan comúnmente en una red. Esto es cierto incluso cuando
hay un protocolo de enrutamiento dinámico configurado. Por ejemplo, una organización
podría configurar una ruta estática predeterminada para el proveedor de servicios y anunciar
esta ruta a otros routers corporativos mediante el protocolo de enrutamiento dinámico.
Las rutas estáticas se pueden configurar para IPv4 e IPv6. Ambos protocolos admiten los
siguientes tipos de rutas estáticas:
Las rutas estáticas se configuran con el comando ip route y el de ipv6 route configuración
global.
15.1.2
El siguiente salto se puede identificar mediante una dirección IP, una interfaz de salida, o
ambas cuando se está configurando una ruta estática. El modo en que se especifica el
destino genera uno de los siguientes tres tipos de ruta:
● Ruta del siguiente salto - Solo se especifica la dirección IP del siguiente salto
● Ruta estática conectada directamente - Solo se especifica la interfaz de salida del
router
● Ruta estática totalmente especificada - Se especifican la dirección IP del siguiente
salto y la interfaz de salida
15.1.3
Parámetro Descripción
15.1.4
La tabla muestra los distintos parámetros de ipv6 route comando y sus descripciones.
Parámetro Descripción
Nota: El ipv6 unicast-routing comando de configuración global debe configurarse para que
habilite al router para que reenvíe paquetes IPv6.
Topología Dual-Stack
R2#
R3#
Sin embargo, un ping del R1 a la LAN del R3 debe fallar porque R1 no tiene una entrada
en su tabla de routing para la red LAN del R3.
.....
L 2001:DB8:ACAD:2::1/128 [0/0]
L FF00::/8 [0/0]
R1#
C 2001:DB8:ACAD:1::/64 [0/0]
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::2/128 [0/0]
L FF00::/8 [0/0]
R2#
L FF00::/8 [0/0]
R3#
Ninguno de los routers tiene conocimiento de las redes que están fuera de las interfaces
conectadas directamente.
!!!!!
Sin embargo, a ping a la LAN R3 no tiene éxito. Esto se debe a que el R1 no tiene una
entrada en su tabla de routing para esa red.
Los comandos para configurar rutas estáticas estándar varían ligeramente entre IPv4 e IPv6.
En este tema se muestra cómo configurar rutas estáticas estándar de siguiente salto,
conectadas directamente y completas especificadas para IPv4 e IPv6.
En una ruta estática de siguiente salto, solo se especifica la dirección IP del siguiente salto.
La interfaz de salida se deriva del próximo salto. Por ejemplo, se configuran tres rutas
estáticas de siguiente salto en el R1 con la dirección IP del siguiente salto, el R2.
Los comandos para configurar R1 con las rutas estáticas IPv4 a las tres redes remotas son
los siguientes:
La tabla de enrutamiento para R1 ahora tiene rutas a las tres redes IPv4 remotas.
R1#
15.2.2
Los comandos para configurar R1 con las rutas estáticas IPv6 a las tres redes remotas son
los siguientes:
La tabla de enrutamiento para R1 ahora tiene rutas a las tres redes IPv6 remotas.
R1# show ipv6 route
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
a - Application
S 2001:DB8:ACAD:1::/64 [1/0]
via 2001:DB8:ACAD:2::2
C 2001:DB8:ACAD:2::/64 [0/0]
via Serial0/1/0, directly connected
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]
L 2001:DB8:ACAD:3::1/128 [0/0]
S 2001:DB8:CAFE:1::/64 [1/0]
via 2001:DB8:ACAD:2::2
S 2001:DB8:CAFE:2::/64 [1/0]
via 2001:DB8:ACAD:2::2
L FF00::/8 [0/0]
15.2.3
Ruta Estática IPv4 Conectada
Directamente
Al configurar una ruta estática, otra opción es utilizar la interfaz de salida para especificar la
dirección del siguiente salto. La figura muestra de nuevo la topología.
La tabla de routing para el R1 muestra que cuando un paquete está destinado a la red
192.168.2.0/24, el R1 busca una coincidencia en la tabla de routing y encuentra que puede
reenviar el paquete desde su interfaz serial 0/0/0.
Nota: Generalmente se recomienda utilizar una dirección de salto siguiente. Las rutas
estáticas conectadas directamente solo deben usarse con interfaces seriales punto a punto,
como en este ejemplo.
15.2.4
La tabla de routing IPv6 para el R1 en el ejemplo muestra que cuando un paquete está
destinado a la red 2001:db8:cafe:2::/64, el R1 busca una coincidencia en la tabla de routing y
encuentra que puede reenviar el paquete desde su interfaz serial 0/0/0.
Nota: Generalmente se recomienda utilizar una dirección de salto siguiente. Solo se deben
utilizar rutas estáticas conectadas directamente con interfaces seriales de punto a punto,
como se muestra en este ejemplo.
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
ON2 - OSPF NSSA ext 2, la - LISP alt, lr - LISP site-registrations
a - Application
S 2001:DB8:ACAD:1::/64 [1/0]
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]
L 2001:DB8:ACAD:3::1/128 [0/0]
S 2001:DB8:CAFE:1::/64 [1/0]
via Serial0/1/0, directly connected
S 2001:DB8:CAFE:2::/64 [1/0]
L FF00::/8 [0/0]
R1#
15.2.5
Una ruta estática completamente especificada tiene determinadas tanto la interfaz de salida
como la dirección IP del siguiente salto. Esta forma de ruta estática se utiliza cuando la
interfaz de salida es una interfaz de acceso múltiple y se debe identificar explícitamente el
siguiente salto. El siguiente salto debe estar conectado directamente a la interfaz de salida
especificada. El uso de una interfaz de salida es opcional, sin embargo, es necesario utilizar
una dirección de salto siguiente.
Cuando la interfaz de salida sea una red Ethernet, se recomienda utilizar una ruta estática
que incluya una dirección del siguiente salto. También puede usar una ruta estática
completamente especificada que incluye la interfaz de salida y la dirección de siguiente
salto.
15.2.6
La razón por la cual se debe utilizar una ruta estática completamente especificada es que las
direcciones IPv6 link-local no están incluidas en la tabla de routing IPv6. Las direcciones
link-local solo son exclusivas en una red o un enlace dados. La dirección link-local del
siguiente salto puede ser una dirección válida en varias redes conectadas al router. Por lo
tanto, es necesario que la interfaz de salida se incluya.
El siguiente ejemplo muestra la entrada de la tabla de routing IPv6 para esta ruta. Observe
que la dirección link-local del siguiente salto y la interfaz de salida están incluidas.
S 2001:DB8:ACAD:1::/64 [1/0]
15.2.7
Esta salida muestra sólo las rutas estáticas IPv4 en la tabla de enrutamiento. También
tenga en cuenta dónde el filtro comienza la salida, excluyendo todos los códigos.
R1#
* 172.16.2.2
R1#
Este comando filtra la configuración en ejecución sólo para rutas estáticas IPv4.
Este resultado muestra sólo las rutas estáticas IPv6 en la tabla de enrutamiento. También
tenga en cuenta dónde el filtro comienza la salida, excluyendo todos los códigos.
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
a - Application
S 2001:DB8:ACAD:1::/64 [1/0]
via 2001:DB8:ACAD:2::2
S 2001:DB8:CAFE:1: :/64 [1/0]
via 2001:DB8:ACAD:2::2
via 2001:DB8:ACAD:2::2
R1#
Rutas de enrutamiento:
2001:DB8:ACAD:2::2
R1#
Este comando filtra la configuración en ejecución sólo para rutas estáticas IPv6.
R1#
Configure una ruta estática IPv4 del siguiente salto en R2 a la red 192.168.20/24 usando la
dirección del siguiente salto 192.168.1.1.
Configure una ruta estática IPv6 de siguiente salto en R2 a la red 2001:db8:cafe:2: :/64
utilizando la dirección de siguiente salto 2001:db8:cafe:1: :1.
Salga de configuration mode y ejecute el comando para mostrar solamente las rutas
estáticas IPv4 en la tabla de routing de R2.
R2(config)#exit
a - application route
Emita el comando adecuado para que solo se muestren las rutas estáticas IPv6 en la tabla
de routing de R2.
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
S 2001:DB8:ACAD:3::/64 [1/0]
S 2001:DB8:CAFE:2::/64 [1/0]
via 2001:DB8:CAFE:1::1
==============================================================
Salga de configuration mode y ejecute el comando para mostrar solamente las rutas
estáticas IPv4 en la tabla de routing de R3.
R3(config)#exit
a - application route
Emita el comando adecuado para que solo se muestren las rutas estáticas IPv6 en la tabla
de routing de R3.
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
S 2001:DB8:ACAD:1::/64 [1/0]
S 2001:DB8:ACAD:2::/64 [1/0]
via Serial0/1/1, directly connected
S 2001:DB8:ACAD:3::/64 [1/0]
En este tema le enseña cómo configurar una ruta predeterminada para IPv4 e IPv6. También
explica las situaciones en las que una ruta predeterminada es una buena opción. Una ruta
predeterminada es una ruta estática que coincide con todos los paquetes. En lugar de
almacenar rutas para todas las redes en Internet, los routers pueden almacenar una única
ruta predeterminada que represente cualquier red que no esté en la tabla de routing.
Los routers suelen utilizar rutas predeterminadas configuradas de forma local, o bien,
descubiertas por otro router, mediante un protocolo de routing dinámico. Una ruta
predeterminada no requiere de ningún bit para que coincida entre la ruta predeterminada y la
dirección IP destino. Una ruta predeterminada se utiliza cuando ninguna otra ruta de la tabla
de routing coincide con la dirección IP de destino del paquete. Es decir, si no existe una
coincidencia más específica, entonces se utiliza la ruta predeterminada como el gateway de
último recurso.
La sintaxis del comando para una ruta estática predeterminada IPv4 es similar a cualquier
otra ruta estática, con la excepción de que la dirección de red es 0.0.0.0 y la máscara de
subred es 0.0.0.0. 0.0.0.0 0.0.0.0 en la ruta coincidirá con cualquier dirección de red.
Nota: Una ruta estática predeterminada IPv4 suele llamarse “ruta de cuádruple cero”.
La sintaxis del comando básico de una ruta estática predeterminada IPv4 es la siguiente:
La sintaxis del comando para una ruta estática predeterminada IPv4 es similar a la sintaxis
del comando de cualquier otra ruta estática, excepto que ipv6-prefix/prefix-length es ::/0, que
coincide con todas las rutas.
La sintaxis del comando básico de una ruta estática predeterminada IPv6 es la siguiente:
15.3.2
Configuración de una ruta estática
predeterminada
En la figura, R1 puede configurarse con tres rutas estáticas para alcanzar todas las redes
remotas en la topología de ejemplo. Sin embargo, el R1 es un router de rutas internas, ya
que está conectado únicamente al R2. Por lo tanto, sería más eficaz configurar una sola ruta
estática predeterminada.
El ejemplo muestra una ruta estática predeterminada IPv4 configurada en R1. Con la
configuración del ejemplo, cualquier paquete que no coincida con entradas más específicas
de la ruta se reenvía a 172.16.2.2.
Una ruta estática predeterminada IPv6 se configura de manera similar. Con esta
configuración, cualquier paquete que no coincida con entradas más específicas de la ruta
IPv6 se reenvía a R2 al 2001:db8:acad:2::2
15.3.3
Verificar una ruta estática predeterminada
La salida del comando show ip route static de R1 muestra el contenido de las rutas estáticas
en la tabla de routing. Vea el asterisco (*) Al lado de la ruta con el código "S". Como se
muestra en la tabla de códigos en la salida del comando show ip route , el asterisco indica
que la ruta estática es una ruta predeterminada candidata, razón por la cual se selecciona
como gateway de último recurso.
R1#
Este ejemplo muestra el show ipv6 route static resultado del comando para mostrar el
contenido de la tabla de routing.
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
ON2 - OSPF NSSA ext 2, la - LISP alt, lr - LISP site-registrations
a - Application
S ::/0 [1/0]
via 2001:DB8:ACAD:2::2
R1#
Observe que la configuración de ruta estática predeterminada utiliza la máscara /0 para las
rutas predeterminadas IPv4 y el prefijo: :/0 para las rutas predeterminadas IPv6. Recuerde
que la longitud de la máscara subnet IPv4 y el prefijo de IPv6 en una tabla de routing
determina cuántos bits deben coincidir entre la dirección IP de destino del paquete y la ruta
en la tabla de routing. Un prefijo /0 mask or ::/0 indica que no se requiere que ninguno de los
bits coincida. Mientras no exista una coincidencia más específica, la ruta estática
predeterminada coincide con todos los paquetes.
15.3.4
Configure una ruta estática predeterminada IPv6 en R3 para llegar a todas las redes
remotas. Utilice la dirección IPv6 del siguiente salto como argumento.
Salga de configuration mode y ejecute el comando para mostrar solamente las rutas
estáticas en la tabla de routing de IPv4.
R3(config)#exit
a - application route
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
Al igual que con los otros temas de este módulo, aprenderá a configurar rutas estáticas
flotantes IPv4 e IPv6 y cuándo utilizarlas.
Otro tipo de ruta estática es una ruta estática flotante. Las rutas estáticas flotantes son rutas
estáticas que se utilizan para proporcionar una ruta de respaldo a una ruta estática o
dinámica principal, en el caso de una falla del enlace. La ruta estática flotante se utiliza
únicamente cuando la ruta principal no está disponible.
Para lograrlo, la ruta estática flotante se configura con una distancia administrativa mayor
que la ruta principal. La distancia administrativa representa la confiabilidad de una ruta. Si
existen varias rutas al destino, el router elegirá la que tenga una menor distancia
administrativa.
Por ejemplo, suponga que un administrador desea crear una ruta estática flotante como
respaldo de una ruta descubierta por EIGRP. La ruta estática flotante se debe configurar con
una distancia administrativa mayor que el EIGRP. El EIGRP tiene una distancia
administrativa de 90. Si la ruta estática flotante se configura con una distancia administrativa
de 95, se prefiere la ruta dinámica descubierta por el EIGRP a la ruta estática flotante. Si se
pierde la ruta descubierta por el EIGRP, en su lugar se utiliza la ruta estática flotante.
● EIGRP = 90
● OSPF = 110
● IS-IS = 115
La distancia administrativa de una ruta estática se puede aumentar para hacer que la ruta
sea menos deseable que la ruta de otra ruta estática o una ruta descubierta mediante un
protocolo de routing dinámico. De esta manera, la ruta estática “flota” y no se utiliza cuando
está activa la ruta con la mejor distancia administrativa. Sin embargo, si se pierde la ruta de
preferencia, la ruta estática flotante puede tomar el control, y se puede enviar el tráfico a
través de esta ruta alternativa.
15.4.2
Consulte la topología en la figura y los comandos ip route y ipv6 route emitidos en R1. En
esta situación, la ruta predeterminada preferida desde R1 es a R2. La conexión al R3 se debe
utilizar solo para respaldo.
El R1 se configura con las rutas estáticas predeterminadas IPv4 e IPv6 apuntando al R2.
Debido a que no está configurada ninguna distancia administrativa, se utiliza el valor
predeterminado (1) para esta ruta estática. El R1 también se configura con las rutas
estáticas flotantes predeterminadas IPv6 que apuntan al R3 con una distancia
administrativa de 5. Este valor es mayor que el valor predeterminado de 1 y, por lo tanto,
esta ruta flota y no está presente en la tabla de routing, a menos que falle la ruta
preferida.
show ip route y show ipv6 route verifican que la ruta predeterminada al R2 esté instalada
en la tabla de routing. Observe que la ruta estática flotante de IPv4 a R3 no está presente
en la tabla de routing.
S ::/0 [1/0]
via 2001:DB8:ACAD:2::2
R1#
Utilice el comando show run para comprobar que las rutas estáticas flotantes están en la
configuración. Por ejemplo, el siguiente comando verifica que ambas rutas estáticas
predeterminadas IPv6 estén en la configuración en ejecución.
R1#
Para simular esta falla, se desactivan ambas interfaces seriales del R2, como se muestra en
la configuración.
R2(config-if)# shut
R2(config-if)# shut
Observe que R1 genera mensajes automáticamente indicando que la interfaz serial a R2 está
caída.
R1#
R1#
R1#
Una mirada a las tablas de enrutamiento IP de R1 verifica que las rutas estáticas flotantes
predeterminadas están ahora instaladas como rutas predeterminadas y apuntan a R3 como
enrutador de salto siguiente.
S ::/0 [5/0]
via 2001:DB8:FEED:10::2
R1#
15.4.4
R3(config)#exit
R3#show ip route
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
S ::/0 [1/0]
via 2001:DB8:CAFE:1::2
C 2001:DB8:CAFE:1::/64 [0/0]
L 2001:DB8:CAFE:1::1/128 [0/0]
L 2001:DB8:CAFE:2::1/128 [0/0]
C 2001:DB8:FEED:10::/64 [0/0]
L 2001:DB8:FEED:10::2/128 [0/0]
L FF00::/8 [0/0]
En este tema se muestra cómo configurar una ruta de host estática IPv4 e IPv6 y cuándo
utilizarlas.
Una ruta de host es una dirección IPv4 con una máscara de 32 bits o una dirección IPv6 con
una máscara de 128 bits. A continuación se muestra tres maneras de agregar una ruta de
host a una tabla de routing:
15.5.2
El IOS de Cisco instala automáticamente una ruta de host, también conocida como ruta de
host local, cuando se configura una dirección de interfaz en el router. Una ruta host permite
un proceso más eficiente para los paquetes que se dirigen al router mismo, en lugar del
envío de paquetes. Esto es una suma a la ruta conectada, designada con una C en la tabla
de routing para la dirección de red de la interfaz.
Cuando una interfaz activa en un router se configura con una dirección IP, se agrega
automáticamente una ruta de host local a la tabla de routing. Las rutas locales se marcan
con L en el resultado de la tabla de routing.
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
L FF00::/8 [0/0]
15.5.3
Una ruta de host puede ser una ruta estática configurada manualmente para dirigir el tráfico
a un dispositivo de destino específico, como un servidor de autenticación. La ruta estática
utiliza una dirección IP de destino y una máscara 255.255.255.255 (/32) para las rutas de host
IPv4 y una longitud de prefijo /128 para las rutas de host IPv6.
Configuración de rutas de host estáticas
Branch(config)# exit
Branch#
15.5.5
Una revisión de las tablas de rutas IPv4 e IPv6 verifica que las rutas estén activas.
(Output omitted)
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
S 2001:DB8:ACAD:2::238/128 [1/0]
via 2001:DB8:ACAD:1::2
Branch#
15.5.6
Configurar rutas de host estáticas IPV6
con Link-Local de siguiente salto
Para rutas estáticas IPv6, la dirección del siguiente salto puede ser la dirección link-local del
router adyacente. Sin embargo, debe especificar un tipo de interfaz y un número de interfaz
cuando usa una dirección link-local como siguiente salto, como se muestra en el ejemplo.
En primer lugar, se elimina la ruta de host estática IPv6 original y, a continuación, se
configura una ruta completamente especificada con la dirección IPv6 del servidor y la
dirección local del vínculo IPv6 del router ISP.
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
S 2001:DB8:ACAD:2::238/128 [1/0]
Branch#
15.5.7
Verificador de sintaxis- Configurar rutas
estáticas
Branch#show ip route
a - application route
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
L FF00::/8 [0/0]
Salga del modo de configuración y muestre las tablas de routing de IPv4 e IPv6.
Branch(config)#exit
Branch#show ip route
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
S 2001:DB8:ACAD:2::238/128 [1/0]
L FF00::/8 [0/0]
Rutas Estáticas
Las rutas estáticas se pueden configurar para IPv4 e IPv6. Ambos protocolos admiten los
siguientes tipos de rutas estáticas: ruta estática estándar, ruta estática predeterminada, ruta
estática flotante y ruta estática de resumen. Las rutas estáticas se configuran con el
comando ip route e ipv6 route de configuración global. El siguiente salto se puede identificar
mediante una dirección IP, una interfaz de salida, o ambas cuando se está configurando una
ruta estática. La forma en que se especifica el destino crea uno de los tres tipos siguientes
de ruta estática: next hop, directamente conectado y completamente especificado. Las rutas
estáticas IPv4 se configuran mediante el siguiente comando de configuración global: ip
route network-address subnet-mask {ip-address | exit-intf [ip=address]} [distance]. Las rutas
estáticas IPv6 se configuran mediante el siguiente comando de configuración global: ipv6
route ipv6-prefix/prefix-length {ipv6-address | exit-intf [ipv6-address]} [distance]. El comando
para iniciar una tabla de routing IPv4 es show ip route | begin Gateway. El comando para
iniciar una tabla de routing IPv6 es show ipv6 route | begin C.
En una ruta estática de siguiente salto, solo se especifica la dirección IP del siguiente salto.
La interfaz de salida se deriva del próximo salto. Al configurar una ruta estática, otra opción
es utilizar la interfaz de salida para especificar la dirección del siguiente salto. Solo se deben
utilizar rutas estáticas conectadas directamente con interfaces seriales de punto a punto.
Una ruta estática completamente especificada tiene determinadas tanto la interfaz de salida
como la dirección IP del siguiente salto. Esta forma de ruta estática se utiliza cuando la
interfaz de salida es una interfaz de acceso múltiple y se debe identificar explícitamente el
siguiente salto. El siguiente salto debe estar conectado directamente a la interfaz de salida
especificada. En una ruta estática IPv6 completamente especificada, tanto la interfaz de
salida como la dirección IPv6 del siguiente salto. Junto con show ip route**show ipv6 route,
ping y traceroute, otros comandos útiles para verificar rutas estáticas incluyen: show ip
route static, show ip route network y show running-config | section ip route**. Reemplace ip
por ipv6 para las versiones IPv6 del comando.
Una ruta predeterminada es una ruta estática que coincide con todos los paquetes. Una ruta
predeterminada no requiere que ningún bit solo coincida entre la ruta predeterminada y la
dirección IP destino. Las rutas estáticas predeterminadas se utilizan comúnmente al
conectar un router perimetral a una red de proveedor de servicios y un router stub. La
sintaxis del comando para una ruta estática predeterminada IPv4 es similar a cualquier otra
ruta estática IPv4, con la excepción de que la dirección de red es 0.0.0.0 y la máscara de
subred es 0.0.0.0. 0.0.0.0 0.0.0.0 en la ruta coincidirá con cualquier dirección de red. La
sintaxis del comando para una ruta estática predeterminada IPv6 es similar a la sintaxis del
comando de cualquier otra ruta estática IPv6, excepto que ipv6-prefix/prefix-length es ::/0,
que coin cide con todas las rutas. Para verificar una ruta estática predeterminada IPv4,
utilice el comando show ip route static. Para IPV6, use el comando show ipv6 route static.
Las rutas estáticas flotantes son rutas estáticas que se utilizan para proporcionar una ruta
de respaldo a una ruta estática o dinámica principal, en el caso de una falla del enlace. La
ruta estática flotante se configura con una distancia administrativa mayor a la de una ruta
principal. De manera predeterminada, las rutas estáticas tienen una distancia administrativa
de 1, lo que las hace preferibles a las rutas descubiertas mediante protocolos de routing
dinámico. Las distancias administrativas de algunos protocolos de router dinámico de
puerta de enlace interior comunes son EIGRP = 90, OSPF = 110 e IS-IS = 115. Las rutas
estáticas flotantes IP se configuran mediante el distance argumento para especificar una
distancia administrativa. Si no se configura ninguna distancia administrativa, se utiliza el
valor predeterminado (1). show ip route y show ipv6 route verifica que las rutas
predeterminadas a un router estén instaladas en la tabla de routing.
Una ruta de host es una dirección IPv4 con una máscara de 32 bits o una dirección IPv6 con
una máscara de 128 bits. Hay tres maneras de agregar una ruta de host a la tabla de
enrutamiento: se instala automáticamente cuando se configura una dirección IP en el
enrutador, se configura como una ruta de host estática o se obtiene automáticamente a
través de otros métodos no cubiertos en este módulo. El IOS de Cisco instala
automáticamente una ruta de host, también conocida como ruta de host local, cuando se
configura una dirección de interfaz en el router. Una ruta de host puede ser una ruta estática
configurada manualmente para dirigir el tráfico a un dispositivo de destino específico. Para
las rutas estáticas IPv6, la dirección de salto siguiente puede ser la dirección link-local del
router adyacente; sin embargo, debe especificar un tipo de interfaz y un número de interfaz
cuando utilice una dirección link-local como salto siguiente. Para ello, se elimina la ruta de
host estática IPv6 original y, a continuación, se configura una ruta completamente
especificada con la dirección IPv6 del servidor y la dirección link-local IPv6 del router ISP.
¡Bien hecho! Ha llegado al módulo final del curso Switching, Routing e Wireless Essentials
v7.0 (SRWE). Este curso le proporcionó los conocimientos y habilidades en profundidad que
necesita para configurar conmutadores y enrutadores (incluidos los dispositivos
inalámbricos) en su red en crecimiento. ¡Realmente eres bueno en la administración de
redes!
Pero, ¿qué hace que un buen administrador de red sea un gran administrador? La capacidad
de solucionar problemas de manera efectiva. La mejor manera de adquirir habilidades de
solución de problemas de red es simple: esté siempre solucionando problemas. En este
módulo, solucionará los problemas de rutas estáticas y predeterminadas. Hay un
comprobador de sintaxis, un rastreador de paquetes y un laboratorio práctico donde puede
perfeccionar sus habilidades de solución de problemas. ¡Vamos a hacerlo!
16.0.2
Procesamiento de paquetes con Explicar cómo un router procesa los paquetes cuando
rutas estáticas una ruta estática es configurada.
Resuelva problemas de
Resolver problemas comunes de configuración de rutas
configuración de rutas estáticas y
estáticas y predeterminadas.
predeterminadas IPv4
No importa lo bien que configure la red, tendrá que estar preparado para solucionar algún
problema. Las redes están condicionadas a situaciones que pueden provocar un cambio en
su estado con bastante frecuencia. Por ejemplo, una interfaz puede fallar o un proveedor de
servicios interrumpe una conexión. Los vínculos pueden sobresaturarse o un administrador
puede introducir una configuración incorrecta.
16.2.2
Entre los comandos comunes para la resolución de problemas de IOS, se encuentran los
siguientes:
● ping
● traceroute
● show ip route
● show ip interface brief
● show cdp neighbors detail
La figura muestra la topología de referencia OSPF utilizada para demostrar estos comandos
ping
R1#
traceroute
Este ejemplo muestra el resultado de un trazado de ruta desde R1 a la LAN R3. Tenga en
cuenta que cada ruta de salto devuelve una respuesta ICMP.
R1#
R1#
Se muestra un estado rápido de todas las interfaces del router mediante el comando
show ip interface brief de este ejemplo.
R1#
El comando show cdp neighbors proporciona una lista de dispositivos Cisco conectados
directamente. Este comando valida la conectividad de la capa 2 (y, por lo tanto, la de la
capa 1). Por ejemplo, si en el resultado del comando se indica un dispositivo vecino, pero
no se puede hacer ping a este, entonces se debe investigar el direccionamiento de la
capa 3.
R1#
Resolución de un problema de
conectividad
Encontrar una ruta faltante (o mal configurada) es un proceso relativamente sencillo si se
utilizan las herramientas adecuadas de manera metódica.
Por ejemplo, el usuario en PC1 informa que no puede acceder a los recursos en la LAN R3.
Esto se puede confirmar haciendo ping a la interfaz LAN de R3 utilizando la interfaz LAN de
R1 como fuente. Una vez más, usaremos la topología de la figura para demostrar cómo
solucionar este problema de conectividad.
El administrador de red puede probar la conectividad entre las dos LAN desde R1 en
lugar de PC1. Esto se puede hacer mediante la fuente del ping desde la interfaz G0/0/0 en
R1 a la interfaz G0/0/0 en R3, como se muestra en el ejemplo. Los resultados muestran
que no hay conectividad entre estas LAN.
!!!!!
La tasa de éxito es del 100 por ciento (5/5), ida y vuelta min / avg / max = 3/3/4 ms
!!!!!
La tasa de éxito es del 100 por ciento (5/5), ida y vuelta min / avg / max = 3/3/4 ms
R2#
R2#
R2(config)#
La tabla de enrutamiento en R2 se comprueba una vez más para confirmar que la entrada
de ruta a la LAN en R1, 172.16.3.0, es correcta y apunta hacia R1.
R2 (config) # exit
R2#
*Sep 20 02:% SYS-5-CONFIG \ _I: configurado de consola en consola
R2#
Hacer ping a la LAN remota de nuevo
!!!!!
La tasa de éxito es del 100 por ciento (5/5), ida y vuelta min / avg / max = 4/04/08 ms
R1#ping 192.168.2.1
U.U.U
Pruebe la puerta de enlace del siguiente salto enviando un ping desde R1 a la interfaz
S0 /1/0 de R2.
R1#ping 172.16.2.2
!!!!!
R1#show ip route
a - application route
R2#show ip route
a - application route
Ingrese al modo de configuración y configure una ruta estática en R2 para llegar a la LAN
R3.
R2#configure terminal
R2(config)#exit
R2#show ip route
a - application route
R1#ping 192.168.2.1
!!!!!
Las redes están condicionadas a situaciones que pueden provocar un cambio en su estado
con bastante frecuencia. Una interfaz puede fallar o un proveedor de servicios interrumpir
una conexión. Los vínculos pueden sobresaturarse o un administrador puede introducir una
configuración incorrecta. Entre los comandos comunes para la resolución de problemas de
IOS, se encuentran los siguientes:
● ping
● traceroute
● show ip route
● show ip interface brief
● show cdp neighbors detail