Switching, Routing, y Wireless Essentials

Switching, Routing, y Wireless Essentials
¿Por qué debería tomar este módulo?
¡Bienvenido a la configuración básica del dispositivo!
¡Bienvenido al primer módulo en CCNA Switching, Enrutamiento y Wireless Essentials!. Sabe que
los switches y routers vienen con alguna configuración integrada, así que ¿por qué necesitarás
aprender a configurar más switches y routers?
Imagina que compraste un juego de tren modelo. Después de haberla configurado, te diste cuenta
de que la pista era sólo una forma ovalada simple y que los vagones de tren sólo funcionaban en el
sentido de las agujas del reloj. Es posible que desee que la pista sea una figura de ocho con un
paso elevado. Es posible que desee tener dos trenes que operen independientemente el uno del
otro y sean capaces de moverse en diferentes direcciones. ¿Cómo pudiste hacer que eso pasara?
Tendrías que volver a configurar la pista y los controles. Es lo mismo con los dispositivos de red.
Como administrador de red, necesita un control detallado de los dispositivos de su red. Esto
significa configurar con precisión switches y routeres para que su red haga lo que desea que haga.
Este módulo tiene muchas actividades de Comprobador de sintaxis y trazador de paquetes para
ayudarle a desarrollar estas habilidades. Comencemos ya mismo.
¿Qué aprenderé en este módulo?
Título del módulo: Configuración básica de dispositivos
Objetivos del módulo: Configuración de los dispositivos mediante los procedimientos

recomendados de seguridad.
Título del tema Objetivo del tema
Configuración de Parámetros
Configurar los parámetros iniciales en un switch Cisco.
Iniciales de un Switch
Configuración de Puertos de un Configurar los puertos de un switch para cumplir con los
Switch. requisitos de red.
Configurar el acceso de administración seguro en un

Acceso remoto seguro
switch.
Configuración básica de un Configurar los ajustes básicos en un router para enrutar

router entre dos redes conectadas directamente, utilizando CLI.
Verificar redes conectadas Verificar la conectividad entre dos redes que están
directamente conectadas directamente a un router.
Configuración de parámetros
iniciales de un switch
1.1.1
Secuencia de arranque de un switch
Antes de poder configurar un switch, debe encenderlo y permitirle pasar por la secuencia de
arranque de cinco pasos. En este tema se tratan los conceptos básicos de la configuración de un
switch e incluye un laboratorio al final.
Después de encender un switch Cisco, pasa por la siguiente secuencia de inicio de cinco pasos:
Paso 1: Primero, el switch carga un programa de autodiagnóstico al encender (POST) almacenado

en la memoria ROM. El POST verifica el subsistema de la CPU. Este comprueba la CPU, la
memoria DRAM y la parte del dispositivo flash que integra el sistema de archivos flash.
Paso 2: A continuación, el switch carga el software del cargador de arranque. El cargador de

arranque es un pequeño programa almacenado en la memoria ROM que se ejecuta
inmediatamente después de que el POST se completa correctamente.
Paso 3: El cargador de arranque lleva a cabo la inicialización de la CPU de bajo nivel. Inicializa los
registros de la CPU, que controlan dónde está asignada la memoria física, la cantidad de memoria
y su velocidad.
Paso 4: El cargador de arranque inicia el sistema de archivos flash en la placa del sistema.
Paso 5: Por último, el cargador de arranque localiza y carga una imagen de software del sistema
operativo de IOS en la memoria y delega el control del switch a IOS.
El comando boot system
Después de encender un switch Cisco, pasa por la siguiente secuencia de inicio de cinco pasos: Si
no se establece esta variable, el switch intenta cargar y ejecutar el primer archivo ejecutable que
puede encontrar. En los switches de la serie Catalyst 2960, el archivo de imagen generalmente se
encuentra en un directorio que tiene el mismo nombre que el archivo de imagen (excepto la
extensión de archivo .bin).
El sistema operativo IOS luego inicializa las interfaces utilizando los comandos Cisco IOS que se
encuentran en el archivo de configuración de inicio. Se llama al archivo startup-config config.text y
se encuentra en flash.
En el ejemplo, la variable de entorno BOOT se establece mediante el boot system comando del
modo de configuración global. Observe que el IOS se ubica en una carpeta distinta y que se
especifica la ruta de la carpeta. Use el comando show boot para ver en qué está configurado el
archivo de arranque IOS actual.
S1(config)# boot system flash:/c2960-lanbasek9-mz.150-2.SE/c2960-lanbasek9-mz.150-

2.SE.bin
La tabla define cada parte del comando boot system.
Comando Definición
boot system El comando principal
flash: The storage device
c2960-
lanbasek9- La ruta al sistema de archivos
mz.150-2.SE/
c2960-
lanbasek9-
El nombre del archivo IOS
mz.150-
2.SE.bin
Indicadores LED del switch
Los switches Cisco Catalyst tienen varios indicadores luminosos LED de estado. Puede usar los
LED del switch para controlar rápidamente la actividad y el rendimiento del switch. Los diferentes
modelos y conjuntos de características de los switches tienen diferentes LED, y la ubicación de
estos en el panel frontal del switch también puede variar.
En la ilustración, se muestran los LED y el botón Mode de un switch Cisco Catalyst 2960.
La figura muestra los indicadores LED, el botón de modo y los puertos en la parte delantera
izquierda de un interruptor. Los indicadores LED numerados 1 - 6 de arriba a abajo son: SYST,
RPS, STAT, DUPLX, SPEED y PoE. Debajo de los indicadores LED y etiquetados 7 en la figura
está el botón de modo. Por encima de los puertos de conmutación y etiquetados 8 en la figura
están los LEDs de puerto.
El botón Modo (7 en la figura) se usa para alternar entre el estado del puerto, el dúplex del puerto,
la velocidad del puerto y, si es compatible, el estado de la alimentación a través de Ethernet (PoE)
de los LED del puerto (8 en la figura).
LED del sistema
Muestra si el sistema está recibiendo energía y funciona correctamente. Si el LED está apagado,
significa que el sistema no está encendido. Si el LED es de color verde, el sistema funciona
normalmente. Si el LED es de color ámbar, el sistema recibe alimentación pero no funciona
correctamente.
LED del sistema de alimentación redundante (RPS)
Muestra el estado de RPS. Si el LED está apagado, el RPS está apagado o no está conectado
correctamente. Si el LED es de color verde, el RPS está conectado y listo para proporcionar
alimentación de respaldo. Si el LED parpadea y es de color verde, el RPS está conectado pero
no está disponible porque está proporcionando alimentación a otro dispositivo. Si el LED es de
color ámbar, el RPS está en modo de reserva o presenta una falla. Si el LED parpadea y es de
color ámbar, la fuente de alimentación interna del switch presenta una falla, y el RPS está
proporcionando alimentación.
LED de estado del puerto
Indica que el modo de estado del puerto está seleccionado cuando el LED está verde. Este es el
modo predeterminado. Al seleccionarlo, los indicadores LED del puerto muestran colores con
diferentes significados. Si el LED está apagado, no hay enlace, o el puerto estaba
administrativamente inactivo. Si el LED es de color verde, hay un enlace presente. Si el LED
parpadea y es de color verde, hay actividad, y el puerto está enviando o recibiendo datos. Si el
LED alterna entre verde y ámbar, hay una falla en el enlace. Si el LED es de color ámbar, el
puerto está bloqueado para asegurar que no haya un bucle en el dominio de reenvío y no
reenvía datos (normalmente, los puertos permanecen en este estado durante los primeros 30
segundos posteriores a su activación). Si el LED parpadea y es de color ámbar, el puerto está
bloqueado para evitar un posible bucle en el dominio de reenvío.
LED de modo dúplex del puerto
Indica que el modo dúplex del puerto está seleccionado cuando el LED está verde. Al
seleccionarlo, los LED del puerto que están apagados están en modo semidúplex. Si el LED del
puerto es de color verde, el puerto está en modo dúplex completo.
LED de velocidad del puerto
Indica que el modo de velocidad del puerto está seleccionado. Al seleccionarlo, los indicadores
LED del puerto muestran colores con diferentes significados. Si el LED está apagado, el puerto
está funcionando a 10 Mbps. Si el LED es verde, el puerto está funcionando a 100 Mbps. Si el
LED parpadea en verde, el puerto está funcionando a 1000 Mbps.
LED de modo de alimentación por Ethernet
Si se admite PoE, estará presente un LED de modo PoE. Si el LED está apagado, indica que no
se seleccionó el modo de alimentación por Ethernet, que a ninguno de los puertos se le negó el
suministro de alimentación y ninguno presenta fallas. Si el LED está parpadeando en ámbar, el
modo PoE no está seleccionado, pero al menos uno de los puertos ha sido denegado o tiene
una falla PoE. Si el LED es de color verde, indica que se seleccionó el modo de alimentación por
Ethernet, y los LED del puerto muestran colores con diferentes significados. Si el LED del puerto
está apagado, la alimentación por Ethernet está desactivada. Si el LED del puerto es de color
verde, la alimentación por Ethernet está activada. Si el LED del puerto alterna entre verde y
ámbar, se niega la alimentación por Ethernet, ya que, si se suministra energía al dispositivo
alimentado, se excede la capacidad de alimentación del switch. Si el LED parpadea en ámbar,
PoE está apagado debido a una falla. Si el LED es de color ámbar, se inhabilitó la alimentación
por Ethernet para el puerto.
Recuperarse de un bloqueo del sistema
El cargador de arranque proporciona acceso al switch si no se puede usar el sistema operativo

debido a la falta de archivos de sistema o al daño de estos. El cargador de arranque tiene una línea
de comandos que proporciona acceso a los archivos almacenados en la memoria flash.
Se puede acceder al cargador de arranque mediante una conexión de consola con los siguientes
pasos:
Paso 1. Conecte una computadora al puerto de consola del switch con un cable de consola.
Configure el software de emulación de terminal para conectarse al switch.
Paso 2. Desconecte el cable de alimentación del switch.
Paso 3. Vuelva a conectar el cable de alimentación al interruptor y, en 15 segundos, presione y

mantenga presionado el botón Mode mientras el LED del sistema todavía parpadea en verde.
Paso 4. Continúe presionando el botón Mode hasta que el LED del sistema se vuelva brevemente
ámbar y luego verde sólido; luego suelte el botón Mode.
Paso 5. The boot loader switch: El mensaje aparece en el software de emulación de terminal en la
PC.
Escriba help o ? en el símbolo del gestor de arranque para ver una lista de comandos disponibles.
De manera predeterminada, el switch intenta iniciarse automáticamente mediante el uso de

información en la variable de entorno BOOT. Para ver la ruta de acceso de la variable de entorno
BOOT del switch, escriba el comando set. A continuación, inicialice el sistema de archivos flash
utilizando el comando flash_init para ver los archivos actuales en flash, como se muestra en la
salida.
switch: set
BOOT=flash:/c2960-lanbasek9-mz.122-55.SE7/c2960-lanbasek9-mz.122-55.SE7.bin
(output omitted)
switch: flash_init
Initializing Flash...
flashfs[0]: 2 files, 1 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 32514048
flashfs[0]: Bytes used: 11838464
flashfs[0]: Bytes available: 20675584
flashfs[0]: flashfs fsck took 10 seconds.
...done Initializing Flash.

Después de que flash haya terminado de inicializar, puede ingresar el dir flash: comando para ver
los directorios y archivos en flash, como se muestra en la salida.
switch: dir flash:
Directory of flash:/
2 -rwx 11834846 c2960-lanbasek9-mz.150-2.SE8.bin
3 -rwx 2072 multiple-fs
Introduzca el BOOT=flash comando para cambiar la ruta de la variable de entorno BOOT que
utiliza el switch para cargar el nuevo IOS en flash. Para verificar la nueva ruta de la variable de
entorno BOOT, vuelva a set ejecutar el comando. Finalmente, para cargar el nuevo IOS escriba el
boot comando sin ningún argumento, como se muestra en la salida.
switch: BOOT=flash:c2960-lanbasek9-mz.150-2.SE8.bin
switch: set
BOOT=flash:c2960-lanbasek9-mz.150-2.SE8.bin
(output omitted)
switch: boot
Los comandos del gestor de arranque admiten la inicialización de flash, el formateo de flash, la
instalación de un nuevo IOS, el cambio de la variable de entorno BOOT y la recuperación de
contraseñas pérdidas u olvidadas.
Acceso a administración de switches
Para el acceso a la administración remota de un switch, este se debe configurar con una dirección
IP y una máscara de subred. Tenga en cuenta que para administrar el switch desde una red
remota, el switch debe configurarse con una puerta de enlace predeterminada. Este es un proceso
muy similar a la configuración de la información de dirección IP en los dispositivos host. En la
ilustración, se debe asignar una dirección IP a la interfaz virtual del switch (SVI) de S1. La SVI es
una interfaz virtual, no un puerto físico del switch. Se utiliza un cable de consola para acceder a una
PC de modo que el switch puede configurar específicamente.
Ejemplo de Configuración de Switch SVI
De manera predeterminada, el switch está configurado para controlar su administración a través de

la VLAN 1. Todos los puertos se asignan a la VLAN 1 de manera predeterminada. Por motivos de
seguridad, se considera una práctica recomendada utilizar una VLAN distinta de la VLAN 1 para la
VLAN de administración, como la VLAN 99 en el ejemplo.
Paso 1
Configuración de la interfaz de administración
Desde el modo de configuración de la interfaz VLAN, se aplica una dirección IPv4 y una
máscara de subred a la SVI de administración del switch.
Nota: El SVI para VLAN 99 no aparecerá como "activo / activo" hasta que se cree VLAN 99 y
haya un dispositivo conectado a un puerto de switch asociado con VLAN 99.
Nota:Es posible que el switch debata configurar para IPv6. Por ejemplo, antes de que pueda
configurar el direccionamiento IPv6 en un Cisco Catalyst 2960 que ejecute IOS versión 15.0,
deberá ingresar el comando de configuración global sdm prefer dual-ipv4-and-ipv6 default y,
a continuación, reload el switch.
Tarea Comandos IOS
Ingrese al modo de configuración

S1# configure terminal
global.
S1(config)# interface vlan 99
de interfaz para la SVI.
Configure la dirección IPv4 de la

S1(config-if)# ip address 172.17.99.11 255.255.255.0
interfaz de administración.
Configure la dirección IPv6 de la

S1(config-if)# ipv6 address 2001:db8:acad:99::1/64
interfaz de administración
Habilite la interfaz de
S1(config-if)# no shutdown
administración.
Vuelva al modo EXEC

S1(config-if)# end
privilegiado.
Guarde la configuración en
ejecución en la configuración de S1# copy running-config startup-config
inicio.
Paso 2
Configuración del gateway predeterminado
Si el switch se va a administrar de forma remota desde redes que no están conectadas

directamente, se debe configurar con un gateway predeterminado.
Nota: Dado que recibirá la información de la puerta de enlace predeterminada de un mensaje de

anuncio de router (RA), el switch no requiere una puerta de enlace predeterminada IPv6.
Tarea Comandos IOS

global.
Configure el gateway
S1(config)# ip default-gateway 172.17.99.1
predeterminado para el switch.
Vuelva al modo EXEC

S1(config-if)# end
privilegiado.
Guarde la configuración en
inicio.
Paso 3
Verificar la configuración
Los show ip interface brief comandos show ipv6 interface brief y son útiles para determinar
el estado de las interfaces físicas y virtuales. La información que se muestra confirma que la
interfaz VLAN 99 se ha configurado con una dirección IPv4 e IPv6.
Nota: Una dirección IP aplicada al SVI es solo para el acceso de administración remota al
switch; esto no permite que el switch enrute paquetes de Capa 3.
S1# show ip interface brief

Interface IP-Address OK? Method Status Protocol
Vlan99 172.17.99.11 SÍ manual hacia abajo
(resultado omitido)
S1# show ipv6 interface brief
Vlan99 [abajo/abajo]
FE80: :C27B:BCFF:FEC4:A9C1
2001:DB8:ACAD:99: :1
(resultado omitido)
Comunicación dúplex
Los puertos de un switch se pueden configurar de forma independiente para diferentes

necesidades. En este tema se describe cómo configurar los puertos del switch, cómo verificar las
configuraciones, errores comunes y cómo solucionar problemas de configuración del switch.
La comunicación en dúplex completo aumenta el ancho de banda eficaz al permitir que ambos
extremos de una conexión transmitan y reciban datos simultáneamente. Esto también se conoce
como comunicación bidireccional y requiere microsegmentación. Las LAN microsegmentadas se
crean cuando un puerto de switch tiene solo un dispositivo conectado y funciona en modo dúplex
completo. Cuando un puerto de switch opera en modo dúplex completo, no hay dominio de colisión
conectado al puerto.
A diferencia de la comunicación en dúplex completo, la comunicación en semidúplex es

unidireccional. La comunicación en semidúplex genera problemas de rendimiento debido a que los
datos fluyen en una sola dirección por vez, lo que a menudo provoca colisiones. Las conexiones
semidúplex suelen verse en los dispositivos de hardware más antiguos, como los hubs. La
comunicación en dúplex completo reemplazó a la semidúplex en la mayoría del hardware.
En la ilustración, se muestra la comunicación en dúplex completo y semidúplex.

Configuración de puertos de switch en la
capa física
Los puertos de switch se pueden configurar manualmente con parámetros específicos de dúplex y
de velocidad. Use el comando duplex del modo de configuración de interfaz duplex para
especificar manualmente el modo dúplex de un puerto de switch. Use el speed comando del modo
de configuración de la interfaz para especificar manualmente la velocidad. Por ejemplo, ambos
switches de la topología deben funcionar siempre en dúplex completo a 100 Mbps.
La tabla muestra los comandos para S1. Los mismos comandos se pueden aplicar a S2.
Tarea Comandos IOS

global.
Ingrese el modo de configuración

S1(config)# interface FastEthernet 0/1
de interfaz.
Configure el modo dúplex de la

S1(config-if)# duplex full
interfaz.
Configure la velocidad de la
S1(config-if)# speed 100
interfaz.
Vuelva al modo EXEC

S1(config-if)# end
privilegiado.
Guarda la configuración en
inicio.
La configuración predeterminada de dúplex y velocidad para los puertos de switch en los switches
Cisco Catalyst 2960 y 3560 es automática. Los puertos 10/100/1000 funcionan en modo
semidúplex o semidúplex cuando están configurados en 10 o 100 Mbps y operan solo en modo
dúplex completo cuando está configurado en 1000 Mbps (1 Gbps). La negociación automática es
útil cuando la configuración de velocidad y dúplex del dispositivo que se conecta al puerto es
desconocida o puede cambiar. Cuando se conecta a dispositivos conocidos como servidores,
estaciones de trabajo dedicadas o dispositivos de red, la mejor práctica es establecer manualmente
la configuración de velocidad y dúplex.
Cuando se solucionan problemas relacionados con el puerto del switch, es importante que se
verifique la configuración de dúplex y velocidad.
Nota: Si la configuración para el modo dúplex y la velocidad de puertos del switch presenta
incompatibilidades, se pueden producir problemas de conectividad. Una falla de autonegociación
provoca incompatibilidades en la configuración.
Todos los puertos de fibra óptica, como los puertos 1000BASE-SX, solo funcionan a una velocidad
predefinida y siempre son dúplex completo.
1.2.3
Auto-MDIX (MDIX automático)
Hasta hace poco, se requerían determinados tipos de cable (cruzado o directo) para conectar
dispositivos. Las conexiones switch a switch o switch a router requerían el uso de diferentes cables
Ethernet. Mediante el uso de la característica automática de conexión cruzada de interfaz
dependiente del medio (auto-MDIX) en una interfaz, se elimina este problema. Al habilitar la
característica auto-MDIX, la interfaz detecta automáticamente el tipo de conexión de cable
requerido (directo o cruzado) y configura la conexión conforme a esa información. Al conectarse a
los switches sin la función auto-MDIX, los cables directos deben utilizarse para conectar a
dispositivos como servidores, estaciones de trabajo o routers. Los cables cruzados se deben utilizar
para conectarse a otros switches o repetidores.
Con la característica auto-MDIX habilitada, se puede usar cualquier tipo de cable para conectarse a
otros dispositivos, y la interfaz se ajusta de manera automática para proporcionar comunicaciones
satisfactorias. En los switches Cisco más nuevos, el comando mdix auto del modo de
configuración de interfaz habilita la función. Al usar auto-MDIX en una interfaz, la velocidad de la
interfaz y el dúplex deben configurarse para que la función auto funcione correctamente.
El comando para habilitar Auto-MDIX se emite en el modo de configuración de interfaz en el switch

como se muestra:
S1(config-if)# mdix auto
Nota: La función auto-MDIX está habilitada de manera predeterminada en los switches Catalyst
2960 y Catalyst 3560, pero no está disponible en los switches Catalyst 2950 y Catalyst 3550
anteriores.
Para examinar la configuración de auto-MDIX para una interfaz específica, use el comando show
controllers ethernet-controller con la palabra clave phy. Para limitar la salida a líneas que hagan
referencia a auto-MDIX, use el filtro include Auto-MDIX Como se muestra el resultado indica On
(Habilitada) u Off (Deshabilitada) para la característica.
S1# show controllers ethernet-controller fa0/1 phy | include MDIX
Auto-MDIX : On [AdminState=1 Flags=0x00052248]
1.2.4
Switch Verification Commands
En la tabla se resumen algunos de los comandos de verificación de conmutación más útiles.
Tarea Comandos IOS
Muestra el estado y la
S1# show interfaces [interface-id]
configuración de la interfaz.
Muestra la configuración de inicio

S1# show startup-config
actual.
Muestra la configuración actual en

S1# show running-config
ejecución.
Muestra información sobre el

S1# show flash
sistema de archivos flash.
Muestra el estado del hardware y
S1# show version
el software del sistema.
Muestra la configuración actual en

S1# show history
ejecución.
S1# show ip interface [interface-id]

Muestra información de IP de una
O
interfaz.
S1# show ipv6 interface [interface-id]
S1# show mac-address-table

Muestra la tabla de direcciones
O
MAC.
S1# show mac address-table
1.2.5
Verificar la configuración de puertos del

switch.
El comando show running-config se puede usar para verificar que el switch se haya configurado
correctamente. De la salida abreviada de muestra en S1, se muestra alguna información importante
en la figura:
● La interfaz Fast Ethernet 0/18 se configura con la VLAN de administración 99

● La VLAN 99 está configurada con una dirección IPv4 de 172.17.99.11 255.255.255.0
● La puerta de enlace predeterminada está establecida en 172.17.99.1
S1# show running-config

Building configuration...
Current configuration : 1466 bytes
!
interface FastEthernet0/18
switchport access vlan 99
switchport mode access
!
(output omitted)
!
interface Vlan99
ip address 172.17.99.11 255.255.255.0
ipv6 address 2001:DB8:ACAD:99::1/64
!
ip default-gateway 172.17.99.1
El comando show interfaces es otro comando de uso común, que muestra información de estado
y estadísticas en las interfaces de red del switch. El comando show interfaces se usa con
frecuencia al configurar y monitorear dispositivos de red.
La primera línea de salida para el comando show interfaces fastEthernet 0/18 indica que la
interfaz FastEthernet 0/18 está activa / activa, lo que significa que está operativa. Más abajo en el
resultado, se muestra que el modo dúplex es full (completo) y la velocidad es de 100 Mb/s.
S1# show interfaces fastEthernet 0/18

FastEthernet0/18 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 0025.83e6.9092 (bia 0025.83e6.9092)
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, media type is 10/100BaseTX
1.2.6
Problemas de la capa de acceso a la red
El resultado del comando show interfaces es útil para detectar problemas comunes de medios.
Una de las partes más importantes de esta salida es la visualización de la línea y el estado del
protocolo de enlace de datos, como se muestra en el ejemplo.

Hardware is Fast Ethernet, address is 0025.83e6.9092 (bia 0025.83e6.9092)MTU 1500 bytes, BW

100000 Kbit/sec, DLY 100 usec,
El primer parámetro (FastEthernet0 / 18 está activo) se refiere a la capa de hardware e indica si la

interfaz está recibiendo una señal de detección de portadora. El segundo parámetro (line protocol is
up) se refiere a la capa de enlace de datos e indica si se reciben los keepalives del protocolo de
capa de enlace de datos.
Según el resultado del comando show interfaces, los posibles problemas se pueden solucionar de
la siguiente manera:
● Si la interfaz está activa y el protocolo de línea está inactivo, hay un problema. Puede haber
una incompatibilidad en el tipo de encapsulación, la interfaz en el otro extremo puede estar
inhabilitada por errores o puede haber un problema de hardware.
● Si el protocolo de línea y la interfaz están inactivos, no hay un cable conectado o existe
algún otro problema de interfaz. Por ejemplo, en una conexión directa, el otro extremo de la
conexión puede estar administrativamente inactivo.
● If the interface is administratively down, it has been manually disabled (the **** shutdown)
en la configuración activa.
El resultado del comando show interfaces muestra contadores y estadísticas para la interfaz
Fastethernet0/18, como se destaca en el ejemplo.

Hardware is Fast Ethernet, address is 0025.83e6.9092 (bia 0025.83e6.9092)
Keepalive set (10 sec)
Full-duplex, 100Mb/s, media type is 10/100BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:01, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
2295197 packets input, 305539992 bytes, 0 no buffer
Received 1925500 broadcasts (74 multicasts)
0 runts, 0 giants, 0 throttles
3 input errors, 3 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 74 multicast, 0 pause input
0 input packets with dribble condition detected
3594664 packets output, 436549843 bytes, 0 underruns
8 output errors, 1790 collisions, 10 interface resets
0 unknown protocol drops
0 babbles, 235 late collision, 0 deferred
Algunos errores de los medios no son lo suficientemente graves como para hacer que el circuito
falle, pero causan problemas de rendimiento de la red. La tabla explica algunos de estos errores
comunes que se pueden detectar con el comando show interfaces.
Tipo de error Descripción
Cantidad total de errores. Incluye runts, gigantes, sin buffer, CRC, ,

Errores de entrada
desbordamiento y recuentos ignorados.
Paquetes que se descartan porque son más pequeños que el mínimo

Fragmentos de
tamaño del paquete para el medio. Por ejemplo, cualquier paquete
colisión
Ethernet que sea menos de 64 bytes se considera un runt.
Paquetes que se descartan porque exceden el tamaño máximo de

Gigantes paquete para el medio. Por ejemplo, cualquier paquete de Ethernet que
sea mayor que 1.518 bytes se considera un gigante.
Los errores de CRC se generan cuando la suma de comprobación

CRC
calculada no es la misma que la suma de comprobación recibida.
Suma de todos los errores que impidieron la transmisión final de
Errores de salida
datagramas de la interfaz que se está examinando.
Colisiones Cantidad de mensajes retransmitidos debido a una colisión de Ethernet.
Una colisión que ocurre después de 512 bits de la trama han sido
Colisiones tardías
Transmitido
1.2.7
Errores de entrada y salida de interfaz
“Input errors” indica la suma de todos los errores en los datagramas que se recibieron en la interfaz
que se analiza. Estos incluyen los recuentos de fragmentos de colisión, de fragmentos gigantes, de
los que no están almacenados en buffer, de CRC, de tramas, de saturación y de ignorados. Los
errores de entrada informados del comando show interfaces incluyen lo siguiente:
● Runt Frames - las tramas Ethernet que son más cortas que la longitud mínima permitida de
64 bytes se llaman runts. La NIC en mal funcionamiento son la causa habitual de las tramas
excesivas de fragmentos de colisión, pero también pueden deberse a colisiones.
● Giants -Las tramas de Ethernet que son más grandes que el tamaño máximo permitido se
llaman gigantes.
● CRC errors -En las interfaces Ethernet y serie, los errores de CRC generalmente indican
un error de medios o cable. Las causas más comunes incluyen interferencia eléctrica,
conexiones flojas o dañadas o cableado incorrecto. Si aparecen muchos errores de CRC,
hay demasiado ruido en el enlace, y se debe examinar el cable. También se deben buscar y
eliminar las fuentes de ruido.
“Output errors” es la suma de todos los errores que impiden la transmisión final de los datagramas
por la interfaz que se analiza. Los errores de salida informados del comando show interfaces
incluyen lo siguiente:
● Colisión - Las colisiones en operaciones half-duplex son normales. Sin embargo, nunca
debe observar colisiones en una interfaz configurada para la comunicación en dúplex
completo.
● Colisiones tardías -Una colisión tardía se refiere a una colisión que ocurre después de que
se han transmitido 512 bits de la trama. La longitud excesiva de los cables es la causa más
frecuente de las colisiones tardías. Otra causa frecuente es la configuración incorrecta de
dúplex. Por ejemplo, el extremo de una conexión puede estar configurado para dúplex
completo y el otro para semidúplex. Las colisiones tardías se verían en la interfaz que está
configurada para semidúplex. En ese caso, debe configurar los mismos parámetros de
dúplex en ambos extremos. Una red diseñada y configurada correctamente nunca debería
tener colisiones tardías.
1.2.8
Resolución de problemas de la capa de
acceso a la red
La mayoría de los problemas que afectan a las redes conmutadas se produce durante la
implementación inicial. En teoría, una vez instaladas, las redes continúan funcionando sin
problemas. Sin embargo, los cables se dañan, la configuración cambia, y se conectan al switch
nuevos dispositivos que requieren cambios de configuración en este. Se requiere el mantenimiento
y la resolución de problemas de infraestructura de la red de forma permanente.
Una colisión tardía se refiere a una colisión que ocurre después de que se han transmitido 512 bits
de la trama.
Utilice el comando show interfaces para verificar el estado de la interfaz.
Si la interfaz está inactiva, realice lo siguiente:
● Verifique que se usen los cables adecuados. Además, revise los cables y los conectores
para detectar daños. Si se sospecha que hay un cable defectuoso o incorrecto,
reemplácelo.
● Si la interfaz continúa inactiva, el problema puede deberse a una incompatibilidad en la
configuración de velocidad. La velocidad de una interfaz generalmente se negocia
automáticamente; por lo tanto, incluso si se aplica manualmente a una interfaz, la
interfaz de conexión debe negociarse automáticamente en consecuencia. Si se produce
una incompatibilidad de velocidad debido a una configuración incorrecta o a un problema
de hardware o de software, esto podría provocar que la interfaz quede inactiva.
Establezca manualmente la misma velocidad en ambos extremos de la conexión si se
sospecha que hay un problema.
Si la interfaz está activa pero aún hay problemas de conectividad, realice lo siguiente:
● Using the comando show interfaces , verifique si hay indicios de ruido excesivo. Los
indicios pueden incluir un aumento en los contadores de fragmentos de colisión, de
fragmentos gigantes y de errores de CRC. Si hay un exceso de ruido, primero busque el
origen del ruido y, si es posible, elimínelo. Además, verifique qué tipo de cable se utiliza
y que el cable no supere la longitud máxima.
● Si no hay problemas de ruido, verifique si hay un exceso de colisiones. Si hay colisiones
o colisiones tardías, verifique la configuración de dúplex en ambos extremos de la
conexión. Al igual que la configuración de velocidad, la configuración dúplex
generalmente se negocia automáticamente. Si parece haber una diferencia entre dúplex,
configure manualmente el dúplex como full (completo) en ambos extremos de la
conexión.
Configure una interfaz de switch basada en los requisitos especificados
Ingrese al modo de configuración y configure FastEthernet0 / 1 dúplex, velocidad y MDIX en

automático y guarde la configuración en NVRAM.
S1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)#interface FastEthernet0/1
S1(config-if)#duplex auto
S1(config-if)#speed auto
S1(config-if)#mdix auto
Ingrese al modo de configuración y configure FastEthernet0 / 1 dúplex, velocidad y MDIX en

automático y guarde la configuración en NVRAM.
S1(config-if)#end
%SYS-5-CONFIG_I: Configured from console by console
S1#copy running-config startup-config
Ha configurado correctamente los valores de dúplex, velocidad y MDIX automático en una

interfaz de switch y ha guardado la configuración en NVRAM.
Operación Telnet
Es posible que no siempre tenga acceso directo al switch cuando necesite configurarlo. Necesita
poder acceder a él de forma remota y es imperativo que su acceso sea seguro. En este tema se
explica cómo configurar Secure Shell (SSH) para el acceso remoto. Una actividad Packet Tracer le
da la oportunidad de probar esto usted mismo.
Telnet utiliza el puerto TCP 23. Es un protocolo más antiguo que utiliza la transmisión de texto sin
formato segura tanto de la autenticación de inicio de sesión (nombre de usuario y contraseña)
como de los datos transmitidos entre los dispositivos de comunicación. Un actor de amenazas
puede monitorear paquetes usando Wireshark. Por ejemplo, en la figura, el actor de amenazas
capturó el nombre de usuario admin y la contraseña ccna de una sesión Telnet.
captura de pantalla de una captura WireShark de una sesión Telnet que muestra el nombre de
usuario y la contraseña enviados en texto sin formato
Funcionamiento de SSH
Secure Shell (SSH) es un protocolo seguro que utiliza el puerto TCP 22. Proporciona una conexión
de administración segura (encriptada) a un dispositivo remoto. El SSH debe reemplazar a Telnet
para las conexiones de administración. SSH proporciona seguridad para las conexiones remotas
mediante el cifrado seguro cuando se autentica un dispositivo (nombre de usuario y contraseña) y
también para los datos transmitidos entre los dispositivos que se comunican.
Por ejemplo, la figura muestra una captura Wireshark de una sesión SSH. Proporciona una
conexión de administración segura (encriptada) a un dispositivo remoto. Sin embargo, a diferencia
de Telnet, con SSH el nombre de usuario y la contraseña están cifrados.
Verifique que el switch admita SSH
Para habilitar SSH en un switch Catalyst 2960, el switch debe usar una versión del software IOS
que incluya características y capacidades criptográficas (cifradas). Utilice el comando show
version del switch para ver qué IOS está ejecutando el switch. Un nombre de archivo de IOS que
incluye la combinación «k9» admite características y capacidades criptográficas (cifradas). El
ejemplo muestra la salida del comando show version.
S1# show version
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE7, RELEASE

SOFTWARE (fc1)
Configuración de SSH
Paso 1
Verifique support SSH.
Use el comando show ip ssh para verificar que el switch sea compatible con SSH. Si el switch
no ejecuta un IOS que admita características criptográficas, este comando no se reconoce.
S1# show ip ssh
Paso 2
Configure el IP domain.
Configure el nombre de dominio IP de la red utilizando el comando ip domain-name domain-

name modo de configuración global. En la figura, el valor domain-name es cisco.com.
S1(config)# ip domain-name cisco.com
Paso 3
Genere un par de claves RSA.
No todas las versiones del IOS utilizan la versión 2 de SSH de manera predeterminada, y la
versión 1 de SSH tiene fallas de seguridad conocidas. Para configurar SSH versión 2, emita el
comando del modo de configuración global ip ssh version 2. La creación de un par de claves
RSA habilita SSH automáticamente. Use el comando del modo de configuración global crypto
key generate rsa, para habilitar el servidor SSH en el switch y generar un par de claves RSA. Al
crear claves RSA, se solicita al administrador que introduzca una longitud de módulo. La
configuración de ejemplo en la figura 1 utiliza un tamaño de módulo de 1024 bits. Una longitud
de módulo mayor es más segura, pero se tarda más en generarlo y utilizarlo.
Nota:Para eliminar el par de claves RSA, use el comando del modo de configuración global
crypto key zeroize rsa. Después de eliminarse el par de claves RSA, el servidor SSH se
deshabilita automáticamente.
S1(config)# crypto key generate rsa
How many bits in the modulus [512]: 1024
Paso 4
Configure autenticación de usuarios.
El servidor SSH puede autenticar a los usuarios localmente o con un servidor de autenticación.
Para usar el método de autenticación local, cree un par de nombre de usuario y contraseña con
el comando username username secret password modo de configuración global. En el ejemplo,
se asignó la contraseña ccna al usuario admin.
S1(config)# username admin secret ccna
Paso 5
Configure las lineas vty.
Habilite el protocolo SSH en las líneas vty utilizando el comando del modo de configuración de
línea transport input ssh. El switch Catalyst 2960 tiene líneas vty que van de 0 a 15. Esta
configuración evita las conexiones que no son SSH (como Telnet) y limita al switch a que acepte
solo las conexiones SSH. Use el comando line vty del modo de configuración global y luego el
comando login local del modo de configuración de línea para requerir autenticación local para
las conexiones SSH de la base de datos de nombre de usuario local.
S1(config)# line vty 0 15

S1(config-line)# transport input ssh
S1(config-line)# login local
S1(config-line)# salida
Paso 6
EHabilite SSH versión 2.
De manera predeterminada, SSH admite las versiones 1 y 2. Al admitir ambas versiones, esto
se muestra en la salida show ip ssh como compatible con la versión 2. Habilite la versión SSH
utilizando el comando de configuración global ip ssh version 2.
S1(config)# ip ssh version 2
Verifique que SSH esté operativo
En las computadoras se usa un cliente SSH, como PuTTY, para conectarse a un servidor SSH. Por
ejemplo, suponga que se configura lo siguiente:
● SSH está habilitado en el interruptor S1

● Interfaz VLAN 99 (SVI) con la dirección IPv4 172.17.99.11 en el switch S1.
● PC1 con la dirección IPv4 172.17.99.21.
La figura muestra la configuración de PuTTy para PC1 para iniciar una conexión SSH a la
dirección SVI VLAN IPv4 de S1.
Cuando está conectado, se solicita al usuario un nombre de usuario y una contraseña como se
muestra en el ejemplo. Usando la configuración del ejemplo anterior, se ingresan el nombre de
usuario: admin y la contraseña: ccna Después de ingresar la combinación correcta, el usuario
se conecta a través de SSH a la interfaz de línea de comando (CLI) en el switch Catalyst 2960.
Login as: admin

Using keyboard-interactive
Authentication.
Password:
S1> enable
Password:
S1#
Para mostrar los datos de la versión y de configuración de SSH en el dispositivo que configuró
como servidor SSH, use el comando show ip ssh. En el ejemplo, se habilitó la versión 2 de
SSH.
S1# show ip ssh

SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
To check the SSH connections to the device, use the show ssh command as shown.
S1# show ssh
%No SSHv1 server connections running.
Connection Version Mode Encryption Hmac State Username
0 2.0 IN aes256-cbc hmac-sha1 Session started admin
0 2.0 OUT aes256-cbc hmac-sha1 Session started admin
S1#
Configuración básica de un router

1.4.1
Configuración de parámetros básicos del

router
Hasta ahora, este módulo solo ha cubierto switches. Si desea que los dispositivos puedan enviar y
recibir datos fuera de su red, deberá configurar routeres. En este tema se enseña la configuración
básica del router y se proporcionan dos Comprobadores de sintaxis y una actividad de Rastreador
de paquetes para que pueda practicar estas habilidades.
Los routers y switches Cisco tienen muchas similitudes. Admiten sistemas operativos modales y
estructuras de comandos similares, así como muchos de los mismos comandos. Además, los
pasos de configuración inicial son similares para ambos dispositivos. Por ejemplo, las siguientes
tareas de configuración siempre deben realizarse. Asigne un nombre al dispositivo para distinguirlo
de otros routeres y configure contraseñas, como se muestra en el ejemplo.
Router# configure terminal

Router(config)# hostname R1
R1(config)# enable secret class
R1(config)# line console 0
R1(config-line)# password cisco
R1(config-line)# login
R1(config-line)# exit
R1(config)# line vty 0 4
R1(config)# service password-encryption
R1(config)#
Configure un banner para proporcionar notificaciones legales de acceso no autorizado, como se

muestra en el ejemplo.
R1(config)# banner motd #Authorized Access Only!#
R1(config)#
Guarde los cambios en un router, como se muestra en el ejemplo.
R1# copy running-config startup-config

Destination filename [startup-config]?
[OK]
1.4.2
Comprobador de sintaxis - Configurar los

ajustes básicos del router
En esta Actividad de sintaxis, configurará los valores básicos para R2.
Ingrese al modo de configuración global y asigne un nombre al router R2.
Router#configure terminal
Router(config)#hostname R2
Configurar classcomo la contraseña secreta.
R1(config)#enable secret class
Configure ciscocomo la contraseña de la línea de consola y solicite a los usuarios que inicien
sesión. Luego, salga del modo de configuración de línea.
R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#exit
Configure cisco como contraseña vty para las líneas 0 a 4 y requiera que los usuarios inicien sesión
.
R1(config)#line vty 0 4
R1(config-line)#password cisco
R1(config-line)#login
Salga del modo de configuración de línea y cifre todas las contraseñas de texto sin formato.
R1(config-line)#exit
R1(config)#service password-encryption
Ingrese el banner Authorized Access Only!y úselo# como carácter delimitador.
R1(config)#banner motd #Authorized Access Only!#
Salga del modo de configuración global y guarde la configuración.
R1(config)#exit
R1#copy running-config startup-config
[OK]
Configuró correctamente el R2 con los parámetros iniciales.
Topología de doble pila
Una característica que distingue a los switches de los routers es el tipo de interfaces que admite
cada uno. Por ejemplo, los switches de capa 2 admiten LAN; por lo tanto, tienen múltiples puertos
FastEthernet o Gigabit Ethernet. La topología de pila dual de la figura se utiliza para demostrar la
configuración de las interfaces IPv4 e IPv6 del router.
topología de red de doble pila que consta de múltiples hosts, switches y routeres con interfaces
configuradas con direcciones IPv4 e IPv6
Configurar interfaces de routers
Los routers admiten redes LAN y WAN, y pueden interconectar distintos tipos de redes; por lo tanto,
admiten muchos tipos de interfaces. Por ejemplo, los ISR G2 tienen una o dos interfaces Gigabit
Ethernet integradas y ranuras para tarjetas de interfaz WAN de alta velocidad (HWIC) para admitir
otros tipos de interfaces de red, incluidas las interfaces seriales, DSL y de cable.
Para que una interfaz esté disponible, debe cumplir los siguientes requisitos:
● Configurado con al menos una dirección IP: - Utilice los comandos de configuración de
ip address ip-address subnet-mask y ipv6 address ipv6-address/prefix interface.
● Activado: - Las interfaces LAN y WAN no están activadas de manera predeterminada
(shutdown). Para habilitar una interfaz, esta se debe activar mediante el comando no
shutdown. (Es como encender la interfaz.) La interfaz también debe estar conectada a otro
dispositivo (un hub, un switch u otro router) para que la capa física se active.
● Descripción - Opcionalmente, la interfaz también se puede configurar con una breve
descripción de hasta 240 caracteres. Es aconsejable configurar una descripción en cada
interfaz. En las redes de producción, los beneficios de las descripciones de la interfaz se
obtienen rápidamente, ya que son útiles para solucionar problemas e identificar una
conexión de terceros y la información de contacto.
El siguiente ejemplo muestra la configuración de las interfaces en R1.
R1(config)# interface gigabitethernet 0/0/0

R1(config-if)# ip address 192.168.10.1 255.255.255.0
R1(config-if)# ipv6 address 2001:db8:acad:1::1/64
R1(config-if)# description Link to LAN 1
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config-if)# exit
R1(config)# interface serial 0/0/0
R1(config-if)# description Link to R2
R1(config-if)# exit
R1(config)#
1.4.5
Comprobador de sintaxis - Configurar

interfaces de router
En esta actividad del Comprobador de sintaxis, configurará R2 con sus interfaces IPv4 e IPv6.
Configure GigabitEthernet 0/0/0.
● Use g0/0/0 para ingresar al modo de configuración de la interfaz.

● Configure the IPv4 address 10.1.1.1 and subnet mask 255.255.255.0.
● Configure the IPv6 address 2001:db8:acad:4: :1/64.
● Describe the link as Enlace a LAN 3.
● Active la interfaz.
Router(config)#interface g0/0/0
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#ipv6 address 2001:db8:acad:4::1/64
Router(config-if)#description Link to LAN 3
Router(config-if)#no shutdown
%LINK-3-UPDOWN: Interface GigabitEthernet0/0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0,
changed state to up
Configure GigabitEthernet 0/0/1.
● Use g0/0/1 para ingresar al modo de configuración de la interfaz.

● Describe the link as Enlace a LAN 4.
Router(config-if)#interface g0/0/1
Router(config-if)#description Link to LAN 4
%LINK-3-UPDOWN: Interface GigabitEthernet0/0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/1,
changed state to up
Configurar serie 0/0/0.
● Use s0/0/0 para ingresar al modo de configuración de la interfaz.

● Describe the link as Enlace a R1.
Router(config-if)#interface s0/0/0
Router(config-if)#description Link to R1
%LINK-3-UPDOWN: Interface Serial0/0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed
state to up
Ha configurado correctamente las interfaces del router R2.

RestablecerMostrarMostrar todo
1.4.6
Interfaces de bucle invertido IPv4
Otra configuración común de los routers Cisco IOS es la habilitación de una interfaz loopback.
La interfaz de bucle invertido es una interfaz lógica interna del router. No está asignado a un puerto
físico y nunca se puede conectar a ningún otro dispositivo. Se la considera una interfaz de software
que se coloca automáticamente en estado "up" (activo), siempre que el router esté en
funcionamiento.
La interfaz loopback es útil para probar y administrar un dispositivo Cisco IOS, ya que asegura que
por lo menos una interfaz esté siempre disponible. Por ejemplo, se puede usar con fines de prueba,
como la prueba de procesos de routing interno, mediante la emulación de redes detrás del router.
Las interfaces de bucle invertido también se utilizan comúnmente en entornos de laboratorio para
crear interfaces adicionales. Por ejemplo, puede crear varias interfaces de bucle invertido en un
router para simular más redes con fines de práctica de configuración y pruebas. En este plan de
estudios, a menudo usamos una interfaz de bucle invertido para simular un enlace a Internet.
El proceso de habilitación y asignación de una dirección de loopback es simple:
Router(config)# interface loopback number
Router(config-if)# ip address ip-address subnet-mask
Se pueden habilitar varias interfaces loopback en un router. La dirección IPv4 para cada interfaz de
bucle invertido debe ser única y no debe ser utilizada por ninguna otra interfaz, como se muestra
en la configuración de ejemplo de la interfaz de bucle invertido 0 en R1.
R1(config)# interface loopback 0

R1(config-if)# exit
R1(config)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up
Comandos de verificación de interfaz
No tiene sentido configurar el router a menos que verifique la configuración y la conectividad. En

este tema se describen los comandos que se van a utilizar para comprobar las redes conectadas
directamente. Incluye dos verificadores de sintaxis y un trazador de paquetes.
Hay varios comandos show que se pueden usar para verificar el funcionamiento y la configuración
de una interfaz. La topología de la figura se utiliza para demostrar la verificación de la configuración
de la interfaz del router.
Los siguientes comandos son especialmente útiles para identificar rápidamente el estado de una
interfaz:
● show ip interface brief y show ipv6 interface brief -Estos muestran un resumen de
todas las interfaces, incluida la dirección IPv4 o IPv6 de la interfaz y el estado operativo
actual.
● show running-config interface interface-id -Esto muestra los comandos aplicados a la
interfaz especificada.
● show ip route y show ipv6 route - Este muestra el contenido de la tabla IPv4 o IPv6
almacenada en la memoria RAM. En Cisco IOS 15, las interfaces activas deben
aparecer en la tabla de ruteo con dos entradas relacionadas identificadas con el código
'C' (Conectado) o 'L' (Local). En versiones anteriores de IOS, solo aparece una entrada
con el código 'C'.
Verificación del estado de una interfaz
La salida de los comandos show ip interface brief y show ipv6 interface brief y se puede usar
para revelar rápidamente el estado de todas las interfaces en el router. Puede verificar que las
interfaces están activas y operativas como se indica en el estado de «up» y el protocolo de «up»,
como se muestra en el ejemplo. Un resultado distinto indicaría un problema con la configuración o
el cableado.
R1# show ip interface brief

GigabitEthernet0/0/0 192.168.10.1 YES manual up up
Serial0/1/0 209.165.200.225 YES manual up up
Serial0/1/1 unassigned YES unset administratively down down
R1# show ipv6 interface brief
GigabitEthernet0/0/0 [up/up]
FE80::7279:B3FF:FE92:3130
2001:DB8:ACAD:1::1
FE80::7279:B3FF:FE92:3131
2001:DB8:ACAD:2::1
Serial0/1/0 [up/up]
FE80::7279:B3FF:FE92:3130
2001:DB8:ACAD:3::1
Serial0/1/1 [down/down] Unassigned
1.5.3
Verificar direcciones locales y

multidifusión de vínculos IPv6
El resultado del comando show ipv6 interface brief show ipv6 interface brief show ipv6 interface
brief muestra dos direcciones IPv6 configuradas por interfaz. Una de las direcciones es la
dirección de unidifusión global de IPv6 que se introdujo manualmente. La otra, que comienza con
FE80, es la dirección de unidifusión link-local para la interfaz. La dirección link-local se agrega
automáticamente a una interfaz cuando se asigna una dirección de unidifusión global. Las
interfaces de red IPv6 deben tener una dirección link-local, pero no necesariamente una dirección
de unidifusión global.
El comando show ipv6 interface gigabitethernet 0/0/0 muestra el estado de la interfaz y todas las
direcciones IPv6 que pertenecen a la interfaz. Junto con la dirección local del enlace y la dirección
de unidifusión global, la salida incluye las direcciones de multidifusión asignadas a la interfaz,
comenzando con el prefijo FF02, como se muestra en el ejemplo.
R1# show ipv6 interface gigabitethernet 0/0/0

GigabitEthernet0/0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::7279:B3FF:FE92:3130
No Virtual link-local address(es):
Global unicast address(es):
2001:DB8:ACAD:1::1, subnet is 2001:DB8:ACAD:1::/64
Joined group address(es):
FF02::1
FF02::1:FF00:1
FF02::1:FF92:3130
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 30000)
ND advertised reachable time is 0 (unspecified)
ND advertised retransmit interval is 0 (unspecified)
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
ND advertised default router preference is Medium
1.5.4
Verificar la configuración de la interfaz
Junto con la dirección local del enlace y la dirección de unidifusión global, show running-config
interface la salida incluye las direcciones de multidifusión asignadas a la interfaz, comenzando con
el prefijo FF02, como se muestra en el ejemplo.
R1 show running-config interface gigabitethernet 0/0/0

!
interface GigabitEthernet0/0/0
description Link to LAN 1
ip address 192.168.10.1 255.255.255.0
negotiation auto
end
R1#
Los dos comandos siguientes se usan para recopilar información más detallada sobre la interfaz:
● show interfaces - Muestra la información de la interfaz y el recuento de flujo de paquetes

para todas las interfaces en el dispositivo.
● show ip interface y show ipv6 interface -Muestra la información relacionada con IPv4 e
IPv6 para todas las interfaces en un router.
1.5.5
Verificar rutas
La salida de los show ip route comandos show ipv6 route y muestra las tres entradas de red
conectadas directamente y las tres entradas de interfaz de ruta de host local, como se muestra en
el ejemplo. La ruta de host local tiene una distancia administrativa de 0. También tiene una
máscara /32 para IPv4 y una máscara /128 para IPv6. La ruta del host local es para rutas en el
router que posee la dirección IP. Estas se usan para permitir que el router procese los paquetes
destinados a esa dirección IP.
R1# show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
Gateway of last resort is not set
192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.10.0/24 is directly connected, GigabitEthernet0/0/0
L 192.168.10.1/32 is directly connected, GigabitEthernet0/0/0
C 209.165.200.224/30 is directly connected, Serial0/1/0
L 209.165.200.225/32 is directly connected, Serial0/1/0
R1# show ipv6 route
IPv6 Routing Table - default - 7 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
C 2001:DB8:ACAD:1::/64 [0/0]
via GigabitEthernet0/0/0, directly connected
L 2001:DB8:ACAD:1::1/128 [0/0]
via GigabitEthernet0/0/0, receive
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]
via Serial0/1/0, directly connected
L 2001:DB8:ACAD:3::1/128 [0/0]
via Serial0/1/0, receive
L FF00::/8 [0/0]
via Null0, receive
R1#
Una ‘C’ junto a una ruta dentro de la tabla de enrutamiento indica que se trata de una red
conectada directamente. Cuando la interfaz del router está configurada con una dirección de
unidifusión global y está en el estado "arriba / arriba", el prefijo IPv6 y la longitud del prefijo se
agregan a la tabla de enrutamiento IPv6 como una ruta conectada.
La dirección de unidifusión global IPv6 aplicada a la interfaz también se instala en la tabla de

enrutamiento como una ruta local. La ruta local tiene un prefijo /128. La tabla de routing utiliza las
rutas locales para procesar eficazmente los paquetes cuyo destino es la dirección de la interfaz del
router.
El ping comando para IPv6 es idéntico al comando usado con IPv4, excepto que se usa una
dirección IPv6. Como se muestra en el ejemplo, el ping comando se usa para verificar la
conectividad de Capa 3 entre R1 y PC1.
R1# ping 2001:db8:acad:1::10

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:DB8:ACAD:1::10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
1.5.6
Filtrado de los resultados del comando

show
Los comandos que generan varias pantallas de resultados se pausan al cabo de 24 líneas de
manera predeterminada. Al final del resultado detenido, se muestra el texto --More--. Al presionar
Enter se muestra la siguiente línea y al presionar la barra espaciadora se muestra el siguiente
conjunto de líneas. Use el terminal length comando para especificar el número de líneas que se
mostrarán. Un valor 0 (cero) evita que el router haga una pausa entre las pantallas de resultados.
Otra característica muy útil que mejora la experiencia del usuario en la CLI es el show filtrado de
salida. Los comandos de filtrado se pueden utilizar para mostrar secciones específicas de los
resultados. Para habilitar el comando de filtrado, ingrese una barra vertical partida (|) después del
show comando y luego ingrese un parámetro de filtrado y una expresión de filtrado.
Hay cuatro parámetros de filtrado que se pueden configurar después de la tubería.
section
Muestra la sección completa que comienza con la expresión de filtrado, como se muestra en el
ejemplo.
R1# show running-config | section line vty

line vty 0 4
password 7 110A1016141D
login
transport input all
include
Incluye todas las líneas de salida que coinciden con la expresión de filtrado, como se muestra en
el ejemplo.

GigabitEthernet0 / 0/0 192.168.10.1 SÍ manual arriba
GigabiteThernet0/0/1 192.168.11.1 SÍ manual arriba
Serie0 / 1/0 209.165.200.225 SÍ manual arriba
Serial0/1/1 unassigned NO unset down down
R1#
R1# show ip interface brief | include up
exclude
Excluye todas las líneas de salida que coinciden con la expresión de filtrado, como se muestra
en el ejemplo.

R1#
R1# show ip interface brief | exclude unassigned
begin
Muestra todas las líneas de salida desde un punto determinado, comenzando con la línea que
coincide con la expresión de filtrado, como se muestra en el ejemplo.
R1# show ip route | begin Gateway

C 192.168.10.0/24 está directamente conectado, GigabitEthernet0/0/0
L 192.168.10.1/32está directamente conectado, GigabitEthernet0/0/0
C 192.168.10.0/24 está directamente conectado, GigabitEthernet0/0/0
L 192.168.10.1/32está directamente conectado, GigabitEthernet0/0/0
C 209.165.200.224/30está directamente conectado, Serial0/1/0
L 209.165.200.225/32 está conectado directamente, Serie0 / 1/0
Introduzca el comando para filtrar el resultado del comando show running-config para la sección
'line con'.
R1#show running-config | section line con

line con 0
password 7 05080F1C2243
transport input none
Introduzca el comando para filtrar las interfaces con estado “down” (inactivo) en la lista resumida.
R1#show ip interface brief | include down
Introduzca el comando para excluir las interfaces con estado “up” (activo) en la lista resumida.
R1#show ip interface brief | exclude up

Interface IP-Address OK? Method Status
Protocol
Serial0/1/1 unassigned NO unset down
down
Introduzca el comando para filtrar el resultado del comando show running-config para que
comience desde la palabra “line”.
R1#show running-config | begin line

line con 0
password 7 05080F1C2243
transport input none
stopbits 1
line vty 0 4
password 7 110A1016141D
login
transport input all
Ha ejecutado correctamente los comandos show filtrados.

RestablecerMostrarMostrar todo
1.5.8
Historial de comandos
La función de historial de comandos es útil porque almacena temporalmente la lista de comandos

ejecutados para recuperar.
Para recuperar comandos en el búfer de historial, presione Ctrl+P o la Up Arrow tecla. El resultado
de los comandos comienza con el comando más reciente. Repita la secuencia de teclas para
recuperar sucesivamente los comandos más antiguos. Para volver a los comandos más recientes
en el búfer de historial, presione Ctrl+N o la Down Arrow tecla. Repita la secuencia de teclas para
recuperar sucesivamente los comandos más recientes.
De manera predeterminada, el historial de comandos está habilitado, y el sistema captura las

últimas 10 líneas de comandos en el búfer de historial. Utilice el show history comando EXEC
privilegiado para mostrar el contenido del búfer.
También es práctico aumentar la cantidad de líneas de comandos que registra el búfer de historial
solamente durante la sesión de terminal actual. Use el terminal history size comando EXEC del
usuario para aumentar o disminuir el tamaño del búfer.
Un ejemplo de los comandos terminal history size y show history se muestra en la figura.
R1# terminal history size 200

R1# show history
show ip int brief
show interface g0/0/0
show ip route
show running-config
show history
terminal history size 200
Comprobador de## sintaxis - Características del historial de comandos
En esta actividad de comprobación de sintaxis, utilizará la función de historial de comandos.
Introduzca el comando para establecer la cantidad de líneas en historial de comandos en 200.
R1>terminal history size 200
Introduzca el comando para mostrar el historial de comandos.
R1>show history
show running-config | section line con
show ip interface brief | include down
show ip interface brief | exclude up
show running-config | begin line
terminal history size 200
show history
R1>
Ha configurado y mostrado correctamente el historial de comandos.
Configuración de parámetros iniciales de un switch
Después de encender un switch Cisco, pasa por una secuencia de arranque de cinco pasos. La
variable de entorno BOOT se establece utilizando el boot system comando del modo de
configuración global. El IOS se encuentra en una carpeta distinta y se especifica la ruta de la
carpeta. Utilice los LED del interruptor para supervisar la actividad y el rendimiento del interruptor:
SYST, RPS, STAT, DUPLX, SPEED y PoE. El cargador de arranque proporciona acceso al switch
si no se puede usar el sistema operativo debido a la falta de archivos de sistema o al daño de
estos. El cargador de arranque tiene una línea de comando que proporciona acceso a los archivos
almacenados en la memoria flash. Para el acceso a la administración remota de un switch, este se
debe configurar con una dirección IP y una máscara de subred. Para administrar el switch desde
una red remota, el switch debe configurarse con una puerta de enlace predeterminada. Para
configurar el switch SVI, primero debe configurar la interfaz de administración, luego configurar la
puerta de enlace predeterminada y, finalmente, verificar la configuración.
Configuración de puertos de un switch
La comunicación en dúplex completo aumenta el ancho de banda eficaz al permitir que ambos
extremos de una conexión transmitan y reciban datos simultáneamente. La comunicación
semidúplex es unidireccional. Los puertos de switch se pueden configurar manualmente con
parámetros específicos de dúplex y de velocidad. Utilice la negociación automática cuando la
configuración de velocidad y dúplex del dispositivo que se conecta al puerto sea desconocida o
pueda cambiar. Al habilitar la característica auto-MDIX, la interfaz detecta automáticamente el tipo
de conexión de cable requerido (directo o cruzado) y configura la conexión conforme a esa
información. Hay varios show comandos que se pueden utilizar al verificar las configuraciones del
switch. Utilice el show running-config comando y el show interfaces comando para verificar la
configuración de un puerto de switch. El resultado del show interfaces comando también es útil
para detectar problemas comunes de capa de acceso a la red, ya que muestra el estado del
protocolo de línea y vínculo de datos. Los errores de entrada reportados desde el show interfaces
comando incluyen: tramas runt, gigantes, errores CRC, junto con colisiones y colisiones tardías.
Utilícelo show interfaces para determinar si la red no tiene conexión o una conexión incorrecta
entre un switch y otro dispositivo.
Acceso remoto seguro
Telnet (que usa el puerto TCP 23) es un protocolo más antiguo que utiliza la transmisión de texto
sin formato segura tanto de la autenticación de inicio de sesión (nombre de usuario y contraseña)
como de los datos transmitidos entre los dispositivos de comunicación. SSH (utilizando el puerto
TCP 22) es un protocolo seguro que proporciona una conexión de administración cifrada a un
dispositivo remoto. SSH proporciona seguridad para las conexiones remotas mediante el cifrado
seguro cuando se autentica un dispositivo (nombre de usuario y contraseña) y también para los
datos transmitidos entre los dispositivos que se comunican. Utilice el show version comando del
switch para ver qué IOS está ejecutando el switch. Un nombre de archivo de IOS que incluye la
combinación «k9» admite características y capacidades criptográficas. Para configurar SSH, debe
verificar que el switch lo admita, configurar el dominio IP, generar pares de claves RSA, configurar
la autenticación de uso, configurar las líneas VTY y habilitar SSH versión 2. Para verificar que SSH
esté operativo, use el show ip ssh comando para mostrar la versión y los datos de configuración
de SSH en el dispositivo.
Configuración básica de un router
Siempre se deben realizar las siguientes tareas de configuración inicial: nombrar el dispositivo para
distinguirlo de otros routeres y configurar contraseñas, configurar un banner para proporcionar
notificación legal de acceso no autorizado y guardar los cambios en un router. Una característica
que distingue a los switches de los routers es el tipo de interfaces que admite cada uno. Por
ejemplo, los switches de capa 2 admiten redes LAN y, por lo tanto, tienen varios puertos
FastEthernet o Gigabit Ethernet. La topología de pila dual se utiliza para demostrar la configuración
de las interfaces IPv4 e IPv6 del router. Los routers admiten redes LAN y WAN, y pueden
interconectar distintos tipos de redes; por lo tanto, admiten muchos tipos de interfaces. Por ejemplo,
los ISR G2 tienen una o dos interfaces Gigabit Ethernet integradas y ranuras para tarjetas de
interfaz WAN de alta velocidad (HWIC) para admitir otros tipos de interfaces de red, incluidas las
interfaces seriales, DSL y de cable. La interfaz de bucle invertido IPv4 es una interfaz lógica interna
del router. No está asignado a un puerto físico y nunca se puede conectar a ningún otro dispositivo.
Verificar redes conectadas directamente
Utilice los siguientes comandos para identificar rápidamente el estado de una interfaz: show ip
interface brief y show ipv6 interface brief para ver un resumen de todas las interfaces
(direcciones IPv4 e IPv6 y estado operativo), show running-config interface interface-id para ver
los comandos aplicados a una interfaz especificada show ip route y show ipv6 route para ver el
de la tabla de enrutamiento IPv4 o IPv6 almacenada en la RAM. La salida de los show ip interface
brief comandos show ipv6 interface brief y se puede usar para revelar rápidamente el estado de
todas las interfaces en el enrutador. El show ipv6 interface gigabitethernet 0/0/0 comando
muestra el estado de la interfaz y todas las direcciones IPv6 que pertenecen a la interfaz. Junto con
la dirección local del enlace y la dirección de unidifusión global, la salida incluye las direcciones de
multidifusión asignadas a la interfaz. La salida del show running-config interface comando
muestra los comandos actuales aplicados a una interfaz específica. El show interfaces comando
muestra la información de la interfaz y el recuento de flujo de paquetes para todas las interfaces en
el dispositivo. Verifique la configuración de la interfaz mediante show ip interface los comandos
show ipv6 interface y, que muestran la información relacionada con IPv4 e IPv6 para todas las
interfaces de un router. Compruebe las rutas mediante los show ip route comandos show ipv6
route y. Filtrar la salida del comando show usando el carácter pipe (|). Usar expresiones de filtro:
sección, inclusión, exclusión y comienzo. De forma predeterminada, el historial de comandos está
habilitado y el sistema captura las últimas 10 líneas de comando en su búfer de historial. Utilice el
show history comando EXEC privilegiado para mostrar el contenido del búfer.
¡Bienvenido a conceptos de Switching!
Puede conectar y configurar switches, ¡eso es genial!. Pero incluso una red con la tecnología más
reciente desarrolla sus propios problemas eventualmente. Si tiene que solucionar problemas de la
red, necesita saber cómo funcionan los switches. Este módulo le proporciona los fundamentos de
los switches y su funcionamiento. Por suerte, el funcionamiento del switch es fácil de entender.
2.0.2
Título del módulo: Conceptos de switching

Objetivos del módulo: Explique cómo los switches de capa 2 reenvían datos.
Explique la forma en la que las tramas se reenvían en una

Reenvío de tramas
red conmutada.
Compare un dominio de colisión con un dominio de

Dominios de switching
difusión.
Switching en la red
El concepto de switching y reenvío de tramas es universal en la tecnología de redes y en las

telecomunicaciones. En las redes LAN, WAN y en la red pública de telefonía conmutada (PSTN),
se usan diversos tipos de switches.
La decisión sobre cómo un switch reenvía el tráfico se toma en relación con el flujo de ese tráfico.
Hay dos términos asociados a las tramas que entran y salen de una interfaz:
● Entrada - Este término se usa para describir el puerto por donde una trama ingresa al
dispositivo.
● Salida - Este término se usa para describir el puerto que las tramas utilizarán al salir del
dispositivo.
Un switch LAN mantiene una tabla a la que hace referencia al reenviar tráfico a través del switch.
La única inteligencia de un switch LAN es su capacidad de usar su tabla para reenviar tráfico. Un
switch LAN reenvía tráfico basado en el puerto de entrada y la dirección MAC de destino de una
trama Ethernet. Con un switch LAN, hay solamente una tabla de switching principal que describe
una asociación estricta entre las direcciones MAC y los puertos; por lo tanto, una trama Ethernet
con una dirección de destino determinada siempre sale por el mismo puerto de salida,
independientemente del puerto de entrada por el que ingresa.
Nota: Una trama Ethernet nunca se reenviará fuera del mismo puerto en el que se recibió.
Haga clic en el botón Reproducir para ver una animación del proceso de switching.
Tabla de direcciones MAC del switch
Un switch se compone de circuitos integrados y del software complementario que controla las rutas
de datos a través del switch. Los switches usan direcciones MAC de destino para dirigir las
comunicaciones de red a través del switch, fuera del puerto apropiado, hacia el destino.
Para definir qué puerto usar para transmitir una trama, el switch primero debe saber qué
dispositivos existen en cada puerto. A medida que el switch aprende la relación de los puertos con
los dispositivos, construye una tabla llamada tabla de direcciones MAC. Esta tabla se almacena en
la Memoria de Contenido Direccionable (Content-Addressable Memory, CAM), la cual es un tipo
especial de memoria utilizada en aplicaciones de búsqueda de alta velocidad. Por esta razón, la
tabla de direcciones MAC a veces también se denomina tabla CAM.
Los switches LAN determinan cómo manejar las tramas de datos entrantes manteniendo la tabla de
direcciones MAC. Un switch llena su tabla de direcciones MAC al registrar la dirección MAC de
origen de cada dispositivo conectado a cada uno de sus puertos. El switch hace referencia a la
información en la tabla de direcciones MAC para enviar tramas destinadas a un dispositivo
específico fuera del puerto que se ha asignado a ese dispositivo.
2.1.3
El método Aprender y Reenviar del Switch
El siguiente proceso de dos pasos se realiza para cada trama de Ethernet que ingresa a un switch.
Paso 1. Aprender - Examinando la dirección Origen MAC
Se revisa cada trama que ingresa a un switch para obtener información nueva. Esto se realiza
examinando la dirección MAC de origen de la trama y el número de puerto por el que ingresó al
switch.
● Si la dirección MAC de origen no existe en la tabla de direcciones MAC, la dirección MAC y

el número de puerto entrante son agregados a la tabla.
● Si la dirección MAC de origen existe, el switch actualiza el temporizador para esa entrada.
De manera predeterminada, la mayoría de los switches Ethernet guardan una entrada en la
tabla durante cinco minutos. Si la dirección MAC de origen existe en la tabla, pero en un
puerto diferente, el switch la trata como una entrada nueva. La entrada se reemplaza con la
misma dirección MAC, pero con el número de puerto más actual.
Paso 2. Reenviar - Examinadno la dirección destino MAC
Si la dirección MAC de destino es una dirección de unidifusión, el switch busca una coincidencia
entre la dirección MAC de destino de la trama y una entrada de la tabla de direcciones MAC:
● Si la dirección MAC de destino está en la tabla, reenviará la trama por el puerto

especificado.
● Si la dirección MAC de destino no está en la tabla, el switch reenviará la trama por todos los
puertos, excepto por el de entrada. Esto se conoce como unidifusión desconocida. Si la
dirección MAC de destino es de difusión o de multidifusión, la trama también se envía por
todos los puertos, excepto por el de entrada.
Métodos de reenvío del switch
Los switches toman decisiones de reenvío de capa 2 muy rápidamente. Esto se debe al software
en los circuitos integrados para aplicaciones específicas (ASIC, por sus siglas en ingles). Los ASIC
reducen el tiempo de manejo de paquetes dentro del dispositivo y permiten que el dispositivo
pueda manejar una mayor cantidad de puertos sin disminuir el rendimiento.
Los switches de capa 2 utilizan uno de estos dos métodos para cambiar tramas:
● Almacenamiento y reenvío de switching - Este método toma una decisión de reenvío en

una trama después de haber recibido la trama completa y revisada para la detección de
errores mediante un mecanismo matemático de verificación de errores conocido como
Verificación por Redundancia Cíclica (Cyclic Redundancy Check, CRC). El intercambio por
almacenamiento y envío es el método principal de switching LAN de Cisco.
● Método de corte - Este método inicia el proceso de reenvío una vez que se determinó la
dirección MAC de destino de una trama entrante y se estableció el puerto de salida.
2.1.6
Intercambio de almacenamiento y reenvío
El intercambio de almacenamiento y reenvío, a diferencia del intercambio de corte, tiene laS

siguientes características principales:
● Verificación de errores - Después de recibir la trama completa en el puerto de entrada, el

switch compara el valor de Secuencia de Verificación de Trama (Frame Check Sequence,
FCS) en el último campo del datagrama con sus propios cálculos de FCS. FCS es un
proceso de verificación de errores que contribuye a asegurar que la trama no contenga
errores físicos ni de enlace de datos. Si la trama no posee errores, el switch la reenvía. De
lo contrario, se descartan las tramas.
● Almacenamiento en búfer automático - El proceso de almacenamiento en buffer que
usan los switches de almacenamiento y envío proporciona la flexibilidad para admitir
cualquier combinación de velocidades de Ethernet. Por ejemplo, manejar una trama
entrante que viaja a un puerto Ethernet de 100 Mbps que debe enviarse a una interfaz de 1
Gbps, requeriría utilizar el método de almacenamiento y reenvío. Ante cualquier
incompatibilidad de las velocidades de los puertos de entrada y salida, el switch almacena
la trama completa en un buffer, calcula la verificación de FCS, la reenvía al buffer del puerto
de salida y después la envía.
La figura ilustra cómo almacenar y reenviar toma una decisión basada en la trama Ethernet.
Switching por método de corte
El método de switching de almacenamiento y reenvío elimina las tramas que no pasan la

comprobación FCS. Por lo tanto, no reenvía tramas no válidas.
Por el contrario, los switches que usan el método de corte pueden reenviar tramas no válidas, ya
que no realizan la verificación de FCS. Sin embargo, el switching de corte tiene la capacidad de
realizar un cambio de trama rápida. Esto significa que los switches que usan el método de corte
pueden tomar una decisión de reenvío tan pronto como encuentren la dirección MAC de destino de
la trama en la tabla de direcciones MAC, tal y como se muestra en la ilustración.
muestra un diagrama de una trama Ethernet, y resalta el hecho de que en el switching de corte
puede reenviar la trama una vez que lee la dirección MAC de destino
El switch no tiene que esperar a que el resto de la trama ingrese al puerto de entrada antes de
tomar la decisión de reenvío.
El switching libre de fragmentos es una forma modificada de corte, en la que el switch solo
comienza a reenviar la trama después de haber leído el campo Tipo. El switching libre de
fragmentos proporciona una mejor verificación de errores que el método de corte, con
prácticamente ningún aumento de latencia.
La velocidad de latencia más baja del switching por corte hace que resulte más adecuado para
las aplicaciones mas demandantes de Tecnología Informática de Alto Rendimiento (High-
Performance Computing, HPC) que requieren latencias de proceso a proceso de 10
microsegundos o menos.
El método switching de corte puede reenviar tramas con errores. Si hay un índice de error alto
(tramas no válidas) en la red, el switching por método de corte puede tener un impacto negativo
en el ancho de banda, de esta forma, se obstruye el ancho de banda con las tramas dañadas y
no válidas.
Dominios de colisiones
En el tema anterior, obtuvo una mejor comprensión de lo que es un switch y cómo funciona. En
este tema se explica cómo funcionan los switches entre sí y con otros dispositivos para eliminar
colisiones y reducir la congestión de la red. Los términos colisiones y congestión se utilizan aquí de
la misma manera que se utilizan en el tráfico callejero.
En segmentos Ethernet basados en hubs antiguos, los dispositivos de red compitieron por el medio
compartido. Los segmentos de red que comparten el mismo ancho de banda entre dispositivos se
conocen como dominios de colisión. Cuando dos o más dispositivos del mismo dominio de colisión
tratan de comunicarse al mismo tiempo, se produce una colisión.
Si un puerto Ethernet de switch funciona en semidúplex, cada segmento está en su propio dominio
de colisión. No hay dominios de colisión cuando los puertos del switch funcionan en dúplex
completo. Sin embargo, podría haber un dominio de colisión si un puerto de switch funciona en
semidúplex.
De manera predeterminada, los puertos de Ethernet del switch negociarán automáticamente el

dúplex completo cuando el dispositivo adyacente también pueda funcionar en dúplex completo. Si
el puerto del switch está conectado a un dispositivo que funciona en semidúplex, como por ejemplo
un hub antiguo, el puerto de switch funcionará en modo semidúplex. En el caso de semidúplex, el
puerto de switch formará parte de un dominio de colisión.
Como se muestra en la figura, se elige dúplex completo si ambos dispositivos cuentan con la
funcionalidad, junto con su ancho de banda común más elevado.
el diagrama muestra que un PC y un switch negociarán automáticamente la configuración y las

velocidades dúplex correspondientes. En este caso dúplex completo y 100Mb por segundo
Dominios de difusión
Una serie de switches interconectados forma un dominio de difusión simple. Solo los dispositivos
de capa de red, como los routers, pueden dividir un dominio de difusión de capa 2. Los routers se
utilizan para segmentar los dominios de difusión, pero también segmentan un dominio de colisión.
Cuando un dispositivo desea enviar una difusión de capa 2, la dirección MAC de destino de la
trama se establece solo en números uno binarios.
El dominio de difusión de capa 2 se denomina “dominio de difusión MAC”. El dominio de difusión

MAC consta de todos los dispositivos en la LAN que reciben tramas de difusión de un host.
Haga clic en Reproducir en la ilustración para verlo en la primera mitad de la animación.
muestra una animación de diagrama de un mensaje de difusión que viaja a cada host conectado al
switch, y también de switch a switch, dentro del dominio de difusión o LAN
Cuando un switch recibe una trama de difusión, la reenvía por cada uno de sus puertos, excepto
por el puerto de entrada en el que se recibió la trama de difusión. Cada dispositivo conectado al
switch recibe una copia de la trama de difusión y la procesa.
En ocasiones, las difusiones son necesarias para localizar inicialmente otros dispositivos y
servicios de red, pero también reducen la eficacia de la red. El ancho de banda de red se usa
para propagar el tráfico de difusión. Si hay demasiadas difusiones y una carga de tráfico intensa
en una red, se puede producir una congestión, lo que reduce el rendimiento de la red.
Cuando hay dos switches conectados entre sí, se aumenta el dominio de difusión, como se ve
en la segunda mitad de la animación. En este caso, se reenvía una trama de difusión a todos los
puertos conectados en el switch S1. El switch S1 está conectado al switch S2. Luego, la trama
se propaga a todos los dispositivos conectados al switch S2.
Reenvío de trama
La decisión sobre cómo un switch reenvía el tráfico se toma en relación con el flujo de ese tráfico.
El término ingreso describe el puerto donde una trama ingresa a un dispositivo. El término salida
describe el puerto que las tramas utilizarán al salir del dispositivo. Una trama Ethernet nunca será
reenviada fuera del puerto donde ingresó. Para definir qué puerto usar para transmitir una trama, el
switch primero debe saber qué dispositivos existen en cada puerto. A medida que el switch aprende
la relación de los puertos con los dispositivos, construye una tabla llamada tabla de direcciones
MAC. Cada trama que ingresa a un switch se comprueba para obtener información nueva
examinando la dirección MAC de origen de la trama y el número de puerto donde la trama ingresó
al switch. Si la dirección MAC de destino es una dirección de unidifusión, el switch busca una
coincidencia entre la dirección MAC de destino de la trama y una entrada en la tabla de direcciones
MAC. Los métodos de reenvío de switches incluyen almacenamiento y reenvío y corte. Almacenaje
y reenvío utiliza la comprobación de errores y el almacenamiento en búfer automático. El corte no
comprueba errores. En su lugar, realiza un cambio rápido de trama. Esto significa que el switch
puede tomar una decisión de reenvío tan pronto como haya buscado la dirección MAC de destino
de la trama en su tabla de direcciones MAC.
Cambio de Dominio
Si un puerto Ethernet de switch funciona en semidúplex, cada segmento está en su propio dominio
de colisión. No hay dominios de colisión cuando los puertos del switch funcionan en dúplex
completo. De manera predeterminada, los puertos de Ethernet del switch negociarán
automáticamente el dúplex completo cuando el dispositivo adyacente también pueda funcionar en
dúplex completo. Una serie de switches interconectados forma un dominio de difusión simple. Solo
los dispositivos de capa de red, como los routers, pueden dividir un dominio de difusión de capa 2.
El dominio de difusión de capa 2 se denomina “dominio de difusión MAC”. El dominio de difusión
MAC consta de todos los dispositivos en la LAN que reciben tramas de difusión de un host. Cuando
un switch recibe una trama de difusión, la reenvía por cada uno de sus puertos, excepto el puerto
de entrada en el que se recibió la trama de difusión. Cada dispositivo conectado al switch recibe
una copia de la trama de difusión y la procesa. Los switches pueden: interconectar segmentos LAN,
usar una tabla de direcciones MAC para determinar los puertos de salida y pueden reducir o
eliminar por completo las colisiones. Para ayudar a aliviar la congestión, los switches utilizan
velocidades de puerto rápidas, cambio interno rápido, búferes de tramas grandes y densidades de
puertos altas
¡Bienvenido a las VLAN!
Imagina que estás a cargo de una conferencia muy grande. Hay personas de todas partes que
comparten un interés común y algunas que también tienen una experiencia especial. Imagínese si
cada experto que quisiera presentar su información a un público más pequeño tuviera que hacerlo
en la misma sala grande con todos los demás expertos y sus audiencias más pequeñas. Nadie
podría oír nada. Tendrías que encontrar salas separadas para todos los expertos y sus audiencias
más pequeñas. La LAN virtual (VLAN) hace algo similar en una red. Las VLAN se crean en la Capa
2 para reducir o eliminar el tráfico de difusión. Las VLAN son la forma en que divide la red en redes
más pequeñas, de modo que los dispositivos y las personas dentro de una sola VLAN se
comunican entre sí y no tienen que administrar el tráfico de otras redes. El administrador de red
puede organizar las VLAN por ubicación, quién las está utilizando, el tipo de dispositivo o cualquier
categoría que se necesite. Sabes que quieres aprender a hacer esto, ¡así que no esperes!
3.0.2
Título del módulo: VLANs
Objetivos del módulo: Implemente VLAN y enlaces troncales en una red conmutada.
Descripción general de las

Explique la finalidad de las VLAN en una red conmutada.
VLAN
Redes VLAN en un entorno Explique cómo un switch reenvía tramas según la

conmutado múltiple configuración de VLAN en un entorno conmutado múltiple.
Configure un puerto para switch que se asignará a una

Configuración de VLAN
VLAN según los requisitos.
Enlaces troncales de la VLAN Configure un puerto de enlace troncal en un switch LAN.
Protocolo de enlace troncal

Configure el protocolo de enlace troncal dinámico (DTP).
dinámico
Definiciones de VLAN
Por supuesto, organizar su red en redes más pequeñas no es tan simple como separar tornillos y
ponerlos en frascos. Pero hará que su red sea más fácil de administrar. Dentro de una red
conmutada, las VLAN proporcionan la segmentación y la flexibilidad organizativa. Un grupo de
dispositivos dentro de una VLAN se comunica como si cada dispositivo estuviera conectados al
mismo cable. Las VLAN se basan en conexiones lógicas, en lugar de conexiones físicas.
Como se muestra en la figura, las VLAN en una red conmutada permiten a los usuarios de varios
departamentos (por ejemplo, TI, recursos humanos y ventas) conectarse a la misma red,
independientemente del switch físico que se esté utilizando o de la ubicación en una LAN del
campus.
Las VLAN permiten que el administrador divida las redes en segmentos según factores como la
función, el equipo del proyecto o la aplicación, sin tener en cuenta la ubicación física del usuario
o del dispositivo. Cada VLAN se considera una red lógica diferente. Los dispositivos dentro de
una VLAN funcionan como si estuvieran en su propia red independiente, aunque compartan una
misma infraestructura con otras VLAN. Cualquier puerto de switch puede pertenecer a una
VLAN.
Los paquetes de unidifusión, difusión y multidifusión se reenvían solamente a terminales dentro

de la VLAN donde los paquetes son de origen. Los paquetes destinados a dispositivos que no
pertenecen a la VLAN se deben reenviar a través de un dispositivo que admita el routing.
Varias subredes IP pueden existir en una red conmutada, sin el uso de varias VLAN. Sin
embargo, los dispositivos estarán en el mismo dominio de difusión de capa 2. Esto significa que
todas las difusiones de capa 2, tales como una solicitud de ARP, serán recibidas por todos los
dispositivos de la red conmutada, incluso por aquellos que no se quiere que reciban la difusión.
Una VLAN crea un dominio de difusión lógico que puede abarcar varios segmentos LAN físicos.
Las VLAN mejoran el rendimiento de la red mediante la división de grandes dominios de difusión
en otros más pequeños. Si un dispositivo en una VLAN envía una trama de Ethernet de difusión,
todos los dispositivos en la VLAN reciben la trama, pero los dispositivos en otras VLAN no la
reciben.
Mediante las VLAN, los administradores de red pueden implementar políticas de acceso y
seguridad de acuerdo con a grupos específicos de usuarios. Cada puerto de switch se puede
asignar a una sola VLAN (a excepción de un puerto conectado a un teléfono IP o a otro switch).
Ventajas de un diseño de VLAN
Cada VLAN en una red conmutada corresponde a una red IP. Por lo tanto, el diseño de VLAN debe
tener en cuenta la implementación de un esquema de direccionamiento de red jerárquico. El
direccionamiento jerárquico de la red significa que los números de red IP se aplican a los
segmentos de red o a las VLAN de manera ordenada, lo que permite que la red se tome en cuenta
como conjunto. Los bloques de direcciones de red contiguas se reservan para los dispositivos en
un área específica de la red y se configuran en estos, como se muestra en la ilustración.
La figura muestra una topología de red con varios conmutadores, varias VLAN y direccionamiento
de red contiguo. En la parte superior de la topología hay un router R1 conectado a un switch de
abajo. El switch está conectado a otros dos switches. El conmutador de la izquierda tiene tres hosts
conectados a él, cada uno asignado a una VLAN diferente. PC1 conectado al puerto F0/11 tiene la
siguiente asignación: Facultad, VLAN 10, 172.17.10.21/24. PC2 conectado al puerto F0/18 tiene la
siguiente asignación: Estudiante, VLAN 20, 172.17.20.22/24. PC3 conectado al puerto F0/6 tiene la
siguiente asignación: Invitado, VLAN 30, 172.17.30.23/24. El conmutador de la derecha también
tiene tres hosts conectados a él, cada uno asignado a una VLAN diferente. PC4 conectado al
puerto F0/11 tiene la siguiente asignación: Facultad, VLAN 10, 172.17.10.24/24. PC5 conectado al
puerto F0/18 tiene la siguiente asignación: Estudiante, VLAN 20, 172.17.20.25/24. PC6 conectado
al puerto F0/6 tiene la siguiente asignación: Invitado, VLAN 30, 172.1.7.20.26/24.
En la tabla se enumeran las ventajas de diseñar una red con VLAN.
Ventaja Descripción
Dominios de difusión ● Dividir una red en VLAN reduce el número de dispositivos en

el broadcast domain.
● En la figura, hay seis computadoras en la red, pero solo tres
dominios de difusión (es decir, Facultad, Estudiante e
más pequeños Invitado).
● Sólo los usuarios de la misma VLAN pueden comunicarse

juntos.
● En la figura, el tráfico de red de profesores en la VLAN 10 es
Seguridad mejorada completamente separados y protegidos de los usuarios en
otras VLAN.
● Las VLAN simplifican la administración de la red porque los

usuarios con una red similar se pueden configurar en la
misma VLAN.
Mejora la eficiencia del ● Las VLAN se pueden nombrar para facilitar su identificación.
departamento de IT. ● En la figura, VLAN 10 fue nombrado «Facultad», VLAN 20
«Estudiante», y VLAN 30 «Invitado. »
Las VLAN reducen la necesidad de realizar costosas actualizaciones

Reducción de costos de red y utilizan el ancho de banda existente y enlaces ascendentes
de manera más eficiente, lo que resulta en costos Ahorro
Los dominios de difusión más pequeños reducen el tráfico innecesario

Mejor rendimiento
en la red y mejorar el rendimiento.
● Las VLAN agregan usuarios y dispositivos de red para admitir

empresas o necesidades geográficas.
● Tener funciones separadas hace que administrar un proyecto
Administración más o trabajar con un aplicación especializada más fácil; un
simple de proyectos y ejemplo de tal aplicación es una plataforma de desarrollo de
aplicaciones e-learning para profesores.
VLAN predeterminada
La VLAN predeterminada para los switches Cisco es la VLAN 1. Por lo tanto, todos los puertos
del switch están en VLAN 1 a menos que esté configurado explícitamente para estar en otra
VLAN. Todo el tráfico de control de capa 2 se asocia a la VLAN 1 de manera predeterminada.
Entre los datos importantes que hay que recordar acerca de la VLAN 1 se incluyen los
siguientes:
● Todos los puertos se asignan a la VLAN 1 de manera predeterminada.
● De manera predeterminada, la VLAN nativa es la VLAN 1.
● De manera predeterminada, la VLAN de administración es la VLAN 1.
● No es posible eliminar ni cambiar el nombre de VLAN 1.
Por ejemplo, en la show vlan brief ilustración, todos los puertos están asignados a la VLAN 1
predeterminada. No hay ninguna VLAN nativa asignada explícitamente ni otras VLAN activas;
por lo tanto, la VLAN nativa de la red que se diseñó es la VLAN de administración. Esto se
considera un riesgo de seguridad.
Switch# show vlan brief

VLAN Name Status Ports
————
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN de datos
Las VLAN de datos son VLAN configuradas para separar el tráfico generado por el usuario. Las
VLAN de datos se usan para dividir la red en grupos de usuarios o dispositivos. Una red
moderna tendría muchas VLAN de datos en función de los requisitos organizativos. Tenga en
cuenta que no se debe permitir el tráfico de administración de voz y red en las VLAN de datos.
VLAN nativa
El tráfico de usuario de una VLAN debe etiquetarse con su ID de VLAN cuando se envía a otro
switch. Los puertos troncal se utilizan entre conmutadores para admitir la transmisión de tráfico
etiquetado. Específicamente, un puerto troncal 802.1Q inserta una etiqueta de 4 bytes en el
encabezado de trama Ethernet para identificar la VLAN a la que pertenece la trama.
Es posible que un switch también tenga que enviar tráfico sin etiqueta a través de un enlace
troncal. El tráfico sin etiquetas es generado por un switch y también puede provenir de
dispositivos heredados. El puerto de enlace troncal 802.1Q coloca el tráfico sin etiquetar en la
VLAN nativa. La VLAN nativa en un switch Cisco es VLAN 1 (es decir, VLAN predeterminada).
Se recomienda configurar la VLAN nativa como VLAN sin utilizar, independiente de la VLAN 1 y
de otras VLAN. De hecho, es común utilizar una VLAN fija para que funcione como VLAN nativa
para todos los puertos de enlace troncal en el dominio conmutado.
VLAN de administración
Una VLAN de administración es una VLAN de datos configurada específicamente para el tráfico
de administración de red, incluyendo SSH, Telnet, HTTPS, HHTP y SNMP. De forma
predeterminada, la VLAN 1 se configura como la VLAN de administración en un conmutador de
capa 2.
VLAN de voz
Se necesita una VLAN separada para admitir la tecnología de voz sobre IP (VoIP). Para el
tráfico de VoIP, se necesita lo siguiente:
● Ancho de banda garantizado para asegurar la calidad de la voz

● Prioridad de la transmisión sobre los tipos de tráfico de la red
● Capacidad para ser enrutado en áreas congestionadas de la red
● Una demora inferior a 150 ms a través de la red
Para cumplir estos requerimientos, se debe diseñar la red completa para que admita VoIP.
En la figura, la VLAN 150 se diseña para enviar tráfico de voz. La computadora del estudiante
PC5 está conectada al teléfono IP de Cisco y el teléfono está conectado al switch S3. La PC5
está en la VLAN 20 que se utiliza para los datos de los estudiantes.
La figura muestra un host conectado a un teléfono IP que muestra la configuración de una VLAN
de voz y datos. En la parte superior del diagrama se encuentra el router R1 conectado a través
de la interfaz G0/0/1 al conmutador S1 en el puerto F0/5. S1 está configurado para admitir el
tráfico de voz de la siguiente manera: utiliza VLAN 150 para VLAN de voz y prioriza el tráfico de
voz. S1 está conectado a través del puerto F0/3 para conmutar S3 en el puerto F0/3. S3 se
conecta a través del puerto F0/18 a un teléfono IP que luego se conecta al host PC5. PC5 tiene
la siguiente tarea: Estudiante, VLAN 20, 172.17.20.25. El puerto F0/18 en S3 está configurado
para soportar el tráfico de voz: el puerto envía tramas CDP para proporcionar información
utilizada por el teléfono IP y el puerto reenvía tramas asociadas con VLAN 150.
Definición de troncos de VLAN
Las VLAN no serían muy útiles sin los enlaces troncales de VLAN. Los troncos de VLAN permiten
que todo el tráfico de VLAN se propague entre conmutadores. Esto permite que los dispositivos
conectados a diferentes switches pero en la misma VLAN se comuniquen sin pasar por un router.
Un enlace troncal es un enlace punto a punto entre dos dispositivos de red que lleva más de una
VLAN. Un enlace troncal de VLAN amplía las VLAN a través de toda la red. Cisco admite IEEE
802.1Q para coordinar enlaces troncales en las interfaces Fast Ethernet, Gigabit Ethernet y 10-
Gigabit Ethernet.
Un enlace troncal no pertenece a una VLAN específica. Es más bien un conducto para las VLAN
entre los switches y los routers. También se puede utilizar un enlace troncal entre un dispositivo de
red y un servidor u otro dispositivo que cuente con una NIC con capacidad 802.1Q. En los switches
Cisco Catalyst, se admiten todas las VLAN en un puerto de enlace troncal de manera
predeterminada.
En la ilustración, los enlaces entre los switches S1 y S2, y S1 y S3 se configuraron para transmitir
el tráfico proveniente de las VLAN 10, 20, 30 y 99 a través de la red. Esta red no podría funcionar
sin los enlaces troncales de VLAN.
La figura es una topología de red con varios conmutadores y varias VLAN que resaltan los vínculos
troncal de VLAN entre los conmutadores. En la parte superior de la topología está el interruptor S1.
S1 está conectado a través del puerto F0/1 al conmutador S2 en el puerto F0/1. Esta conexión se
resalta. S1 también está conectado a través del puerto F0/3 para conmutar S3 en el puerto F0/3.
Esta conexión también se resalta. Tanto S2 como S3 tienen tres hosts conectados a ellos, cada
uno asignado a una VLAN diferente. Están conectados a S2 PC1, PC2 y PC3. PC1 está conectado
al puerto F0/11 tiene la siguiente asignación: Facultad, VLAN 10, 172.17.10.21. PC2 está
conectado al puerto F0/18 tiene la siguiente asignación: Estudiante, VLAN 20, 172.17.20.22. PC3
está conectado al puerto F0/6 tiene la siguiente asignación: Invitado, VLAN 30, 172.17.30.23. Están
conectados a S3 PC4, PC5 y PC6. PC4 está conectado al puerto F0/11 tiene la siguiente
asignación: Facultad, VLAN 10, 172.17.10.24. PC5 está conectado al puerto F0/18 tiene la
siguiente asignación: Estudiante, VLAN 20, 172.17.20.25. PC6 está conectado al puerto F0/6 tiene
la siguiente asignación: Invitado, VLAN 30, 172.1.7.20.26.
Redes sin VLAN
En condiciones normales de funcionamiento, cuando un switch recibe una trama de difusión en uno
de sus puertos, reenvía la trama por todos los demás puertos, excepto el puerto por donde recibió
la difusión. En la animación de la figura se configuró toda la red en la misma subred
(172.17.40.0/24), y no se configuró ninguna VLAN. Como consecuencia, cuando la computadora
del cuerpo docente (PC1) envía una trama de difusión, el switch S2 envía dicha trama de difusión
por todos sus puertos. Finalmente, toda la red recibe la difusión porque la red es un dominio de
difusión.
Los puertos que componen la conexión entre los switches S2 y S1 (puertos F0/1), y entre el S1 y
el S3 (puertos F0/3) son enlaces troncales y se configuraron para admitir todas las VLAN en la
red.
Cuando el S1 recibe la trama de difusión en el puerto F0/1, reenvía la trama de difusión por el
único puerto configurado para admitir la VLAN 10, que es el puerto F0/3. Cuando el S3 recibe la
trama de difusión en el puerto F0/3, reenvía la trama de difusión por el único puerto configurado
para admitir la VLAN 10, que es el puerto F0/11. La trama de difusión llega a la única otra
computadora de la red configurada en la VLAN 10, que es la computadora PC4 del cuerpo
docente.
Cuando se implementan las VLAN en un switch, la transmisión del tráfico de unidifusión,

multidifusión y difusión desde un host en una VLAN en particular se limita a los dispositivos
presentes en esa VLAN.
Identificación de VLAN con etiqueta
El encabezado de trama Ethernet estándar no contiene información sobre la VLAN a la que

pertenece la trama. Por lo tanto, cuando las tramas de Ethernet se ubican en un enlace troncal, se
necesita agregar información sobre las VLAN a las que pertenecen. Este proceso, denominado
“etiquetado”, se logra mediante el uso del encabezado IEEE 802.1Q, especificado en el estándar
IEEE 802.1Q. El encabezado 802.1Q incluye una etiqueta de 4 bytes insertada en el encabezado
de la trama de Ethernet original que especifica la VLAN a la que pertenece la trama.
Cuando el switch recibe una trama en un puerto configurado en modo de acceso y asignado a una
VLAN, el switch coloca una etiqueta VLAN en el encabezado de la trama, vuelve a calcular la
Secuencia de Verificación de Tramas (FCS) y envía la trama etiquetada por un puerto de enlace
troncal.
Detalles del campo VLAN Tag
Como se muestra en la figura el campo de etiqueta de la VLAN consta de un campo de tipo, un

campo de prioridad, un campo de identificador de formato canónico y un campo de ID de la VLAN:
● Tipo - Un valor de 2 bytes denominado “ID de Protocolo de Etiqueta” (TPID). Para Ethernet,
este valor se establece en 0x8100 hexadecimal.
● Prioridad de usuario - Es un valor de 3 bits que admite la implementación de nivel o de
servicio.
● Identificador de Formato Canónico (CFI) - Es un identificador de 1 bit que habilita las
tramas Token Ring que se van a transportar a través de los enlaces Ethernet.
● VLAN ID (VID) - Es un número de identificación de VLAN de 12 bits que admite hasta 4096
ID de VLAN.
Una vez que el switch introduce los campos tipo y de información de control de etiquetas, vuelve a
calcular los valores de la FCS e inserta la nueva FCS en la trama.
La figura muestra una etiqueta de VLAN que se inserta en un encabezado de trama. En la parte
superior de la figura hay un marco que muestra los siguientes campos: Dst MAC, SRC MAC,
Tipo/Longitud, Datos y FCS. Debajo está el marco que se muestra de nuevo, esta vez con el
campo Etiqueta insertado entre los campos MAC de Src y Tipo/Longitud. Debajo están los
siguientes subcampos de la etiqueta y su longitud: Tipo (0x8100), longitud 2 Bytes; Pri, longitud 3
bits; CFI, longitud 1 bit; y VID, longitud 12 bits.
VLAN nativas y etiquetado de 802.1Q
El estándar IEEE 802.1Q especifica una VLAN nativa para los enlaces troncal, que por defecto es
VLAN 1. Cuando un marco sin etiqueta llega a un puerto troncal, se asigna a la VLAN nativa. Las
tramas de administración que se envían entre conmutadores es un ejemplo de tráfico que
normalmente no se etiqueta. Si el vínculo entre dos switches es un tronco, el switch envía el tráfico
sin etiqueta en la VLAN nativa.
Marcos etiquetados en la VLAN nativa
Algunos dispositivos que admiten los enlaces troncales agregan una etiqueta VLAN al tráfico de las
VLAN nativas. El tráfico de control que se envía por la VLAN nativa no se debe etiquetar. Si un
puerto de enlace troncal 802.1Q recibe una trama etiquetada con la misma ID de VLAN que la
VLAN nativa, descarta la trama. Por consiguiente, al configurar un puerto de un switch Cisco,
configure los dispositivos de modo que no envíen tramas etiquetadas por la VLAN nativa. Los
dispositivos de otros proveedores que admiten tramas etiquetadas en la VLAN nativa incluyen:
teléfonos IP, servidores, routers y switches que no pertenecen a Cisco.
Marcos sin etiquetas en la VLAN nativa
Cuando un puerto de enlace troncal de un switch Cisco recibe tramas sin etiquetar (poco usuales
en las redes bien diseñadas), envía esas tramas a la VLAN nativa. Si no hay dispositivos asociados
a la VLAN nativa (lo que es usual) y no existen otros puertos de enlace troncal (es usual), se
descarta la trama. La VLAN nativa predeterminada es la VLAN 1. Al configurar un puerto de enlace
troncal 802.1Q, se asigna el valor de la ID de VLAN nativa a la ID de VLAN de puerto (PVID)
predeterminada. Todo el tráfico sin etiquetar entrante o saliente del puerto 802.1Q se reenvía
según el valor de la PVID. Por ejemplo, si se configura la VLAN 99 como VLAN nativa, la PVID es
99, y todo el tráfico sin etiquetar se reenvía a la VLAN 99. Si no se volvió a configurar la VLAN
nativa, el valor de la PVID se establece en VLAN 1.
En la ilustración, la PC1 está conectada a un enlace troncal 802.1Q mediante un hub.
La PC1 envía el tráfico sin etiquetar, que los switches asocian a la VLAN nativa configurada en
los puertos de enlace troncal y que reenvían según corresponda. El tráfico etiquetado del enlace
troncal que recibe la PC1 se descarta. Esta situación refleja un diseño de red deficiente por
varios motivos: utiliza un hub, tiene un host conectado a un enlace troncal y esto implica que los
switches tengan puertos de acceso asignados a la VLAN nativa. También ilustra la motivación
de la especificación IEEE 802.1Q para que las VLAN nativas sean un medio de manejo de
entornos antiguos.
Etiquetado de VLAN de voz
Se necesita una red VLAN de voz separada para admitir VoIP. Esto permite aplicar políticas de
calidad de servicio (QoS) y seguridad al tráfico de voz.
Un teléfono IP de Cisco se conecta directamente a un puerto del switch. Un host IP puede

conectarse al teléfono IP para obtener conectividad de red también. Un puerto de acceso que
conecta un teléfono IP de Cisco puede configurarse para utilizar dos VLAN separadas: Una VLAN
es para el tráfico de voz y la otra es una VLAN de datos para admitir el tráfico de host. El enlace
entre el switch y el teléfono IP funciona como un enlace troncal para transportar tanto el tráfico de
la VLAN de voz como el tráfico de la VLAN de datos.
Específicamente, el teléfono IP Cisco contiene un switch 10/100 de tres puertos integrado. Los
puertos proporcionan conexiones dedicadas para estos dispositivos:
● El puerto 1 se conecta al switch o a otro dispositivo VoIP.

● El puerto 2 es una interfaz interna 10/100 que envía el tráfico del teléfono IP.
● El puerto 3 (puerto de acceso) se conecta a una PC u otro dispositivo.
El puerto de acceso del switch envía paquetes CDP que indican al teléfono IP conectado que envíe
tráfico de voz de una de las tres maneras. El método utilizado varía según el tipo de tráfico:
● El tráfico VLAN de voz debe etiquetarse con un valor de prioridad CoS de Capa 2
adecuado.
● En una VLAN de acceso con una etiqueta de valor de prioridad de CoS de capa 2
● En una VLAN de acceso sin etiqueta (sin valor de prioridad de CoS de capa 2)
En la figura, la computadora del estudiante PC5 está conectada a un teléfono IP de Cisco, y el

teléfono está conectado al switch S3. La VLAN 150 está diseñada para transportar tráfico de voz,
mientras que la PC5 está en la VLAN 20, que se usa para los datos de los estudiantes.
Ejemplo de verificación de VLAN de voz
Se muestra la salida de ejemplo para el show interface fa0/18 switchport comando. El análisis de
los comandos de voz de Cisco IOS excede el ámbito de este curso, pero las áreas resaltadas en el
resultado de ejemplo muestran que la interfaz F0/18 se configuró con una VLAN configurada para
datos (VLAN 20) y una VLAN configurada para voz (VLAN 150).
S1# show interfaces fa0/18 switchport
Name: Fa0/18
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 20 (student)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: 150 (voice)
Rangos de VLAN en los switches Catalyst
Crear VLAN, como la mayoría de los demás aspectos de la red, es cuestión de introducir los
comandos apropiados. En este tema se detalla cómo configurar y verificar diferentes tipos de
VLAN.
Los distintos switches Cisco Catalyst admiten diversas cantidades de VLAN. La cantidad de VLAN
que admiten es suficiente para satisfacer las necesidades de la mayoría de las organizaciones. Por
ejemplo, los switches de las series Catalyst 2960 y 3560 admiten más de 4000 VLAN. Las VLAN de
rango normal en estos switches se numeran del 1 al 1005, y las VLAN de rango extendido se
numeran del 1006 al 4094. En la ilustración, se muestran las VLAN disponibles en un switch
Catalyst 2960 que ejecuta IOS de Cisco, versión 15.x.
Switch# show vlan brief

---- ----------------- ------- --------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
Rango Normal VLANs
Las siguientes son las características de las VLAN de rango normal:
● Se utiliza en redes de pequeños y medianos negocios y empresas.

● Se identifica mediante una ID de VLAN entre 1 y 1005.
● Las ID de 1002 a 1005 se reservan para las VLAN de Token Ring e
interfaz de datos distribuidos por fibra óptica (FDDI).
● Las ID 1 y 1002 a 1005 se crean automáticamente y no se pueden
eliminar.
● Las configuraciones se almacenan en un archivo de base de datos de
VLAN llamado vlan.dat, que se guarda en la memoria flash.
● Cuando se configura, el protocolo de enlace troncal VLAN (VTP) ayuda
a sincronizar la base de datos VLAN entre conmutadores.
Rango Extendido VLANs
Las siguientes son las características de las VLAN de rango extendido:
Los proveedores de servicios los* utilizan para dar servicio a varios

clientes y por las empresas globales lo suficientemente grandes como para
necesitar identificadores de VLAN de rango extendido.
● Se identifican mediante una ID de VLAN entre 1006 y 4094.

● Las configuraciones se guardan en el archivo de configuración en
ejecución.
● Admiten menos características de VLAN que las VLAN de rango normal.
● Requiere la configuración del modo transparente VTP para admitir
VLAN de rango extendido.
Nota: Nota: la cantidad máxima de VLAN disponibles en los switches

Catalyst es 4096, ya que el campo ID de VLAN tiene 12 bits en el
encabezado IEEE 802.1Q.
3.3.2
Comandos de creación de VLAN
Al configurar redes VLAN de rango normal, los detalles de configuración

se almacenan en la memoria flash del switch en un archivo denominado
vlan.dat. La memoria flash es persistente y no requiere el copy running-
config startup-config comando. Sin embargo, debido a que en los switches
Cisco se suelen configurar otros detalles al mismo tiempo que se crean
las VLAN, es aconsejable guardar los cambios a la configuración en
ejecución en la configuración de inicio.
En la figura 1, se muestra la sintaxis del comando de IOS de Cisco que se

utiliza para agregar una VLAN a un switch y asignarle un nombre. Se
recomienda asignarle un nombre a cada VLAN en la configuración de un
switch.
Tarea Comando de IOS
Ingresa al modo de
Switch# configure terminal
configuración global.
Cree una VLAN con un

Switch(config)# vlan vlan-id
número de ID válido.
Especificar un nombre
único para identificar la Switch(config-vlan)# name vlan-name
VLAN.
Vuelva al modo EXEC

Switch(config-vlan)# end
privilegiado.
jemplo de creación de VLAN
En el ejemplo de topología, la computadora del estudiante (PC2) todavía no se asoció a ninguna

VLAN, pero tiene la dirección IP 172.17.20.22, que pertenece a la VLAN 20.
En la figura, se muestra cómo se configura la VLAN para estudiantes (VLAN 20) en el switch S1.

S1(config)# vlan 20
S1(config-vlan)# name student
S1(config-vlan)# end
Nota: Además de introducir una única ID de VLAN, se puede introducir una serie de ID de VLAN
separadas por comas o un rango de ID de VLAN separado por guiones usando el vlan comando
vlan-id . Por ejemplo, al introducir el comando de configuración vlan 100,102,105-107 global se
crearían las VLAN 100, 102, 105, 106 y 107.
3.3.4
Comandos de asignación de puertos
VLAN
Después de crear una VLAN, el siguiente paso es asignar puertos a la VLAN.
En la figura se muestra la sintaxis para definir un puerto como puerto de acceso y asignarlo a una
VLAN. EL switchport mode access comando es optativo, pero se aconseja como práctica
recomendada de seguridad. Con este comando, la interfaz cambia al modo de acceso permanente.

global.
Ingrese el modo de configuración

Switch(config)# interface interface-id
de interfaz.
Establezca el puerto en modo de

Switch(config-if)# switchport mode access
acceso.
Asigne el puerto a una VLAN. Switch(config-if)# switchport access vlan vlan-id
Vuelva al modo EXEC

Switch(config-if)# end
privilegiado.
Nota: Use el interface range comando para configurar simultáneamente varias interfaces
3.3.5
Ejemplo de asignación de puerto## VLAN
En la figura, el puerto F0/6 en el conmutador S1 se configura como un puerto de acceso y se

asigna a la VLAN 20. Cualquier dispositivo conectado a ese puerto está asociado con la VLAN 20.
Por lo tanto, en nuestro ejemplo, PC2 está en la VLAN 20.
El ejemplo muestra la configuración de S1 para asignar F0/6 a VLAN 20.

S1(config)# interface fa0/6
S1(config-if)# switchport mode access
S1(config-if)# switchport access vlan 20
S1(config-if)# end
Las VLAN se configuran en el puerto del switch y no en el terminal. La

PC2 se configura con una dirección IPv4 y una máscara de subred asociadas
a la VLAN, que se configura en el puerto de switch. En este ejemplo, es
la VLAN 20. Cuando se configura la VLAN 20 en otros switches, el
administrador de red debe configurar las otras computadoras de alumnos
para que estén en la misma subred que la PC2 (172.17.20.0/24).
3.3.6
VLAN de voz, datos
Un puerto de acceso puede pertenecer a sólo una VLAN a la vez. Sin

embargo, un puerto también se puede asociar a una VLAN de voz. Por
ejemplo, un puerto conectado a un teléfono IP y un dispositivo final se
asociaría con dos VLAN: una para voz y otra para datos.
Consulte la topología en la figura. En este ejemplo, la PC5 está

conectada con el teléfono IP de Cisco, que a su vez está conectado a la
interfaz FastEthernet 0/18 en S3. Para implementar esta configuración, se
crean una VLAN de datos y una VLAN de voz.
El PC5 del host se encuentra en la VLAN 20 del estudiante en la dirección

172.17.20.25. PC5 está conectado a un teléfono IP que está conectado al
switch S3 en el puerto F0/18. Un cuadro de texto con una flecha que
apunta a este puerto dice: El puerto de conmutación debe admitir el
tráfico de VLAN para el tráfico de voz al teléfono IP y el tráfico de
datos a PC5. S3 está conectado a través del puerto F0/3 al conmutador S1
en el puerto F0/3.
Ejemplo de VLAN de voz y datos
Utilice el comando switchport voice vlan vlan-id interface configuration para asignar una VLAN de
voz a un puerto.
Las redes LAN que admiten tráfico de voz por lo general también tienen la Calidad de Servicio
(QoS) habilitada. El tráfico de voz debe etiquetarse como confiable apenas ingrese en la red. Use el
mls qos trust [cos | device cisco-phone | dscp | ip-precedence] comando de configuración para
establecer el estado confiable de una interfaz, y para indicar qué campos del paquete se usan para
clasificar el tráfico.
La configuración en el ejemplo crea las dos VLAN (es decir, VLAN 20 y VLAN 150), y a
continuación, asigna la interfaz F0/18 de S3 como un puerto de switch en VLAN 20. También
asigna el tráfico de voz en VLAN 150 y permite la clasificación de QoS basada en la Clase de
Servicio (CoS) asignado por el teléfono IP.
S3(config)# vlan 20
S3(config-vlan)# name student
S3(config-vlan)# vlan 150
S3(config-vlan)# name VOICE
S3(config-vlan)# exit
S3(config-if)# mls qos trust cos
S3(config-if)# switchport voice vlan 150
S3(config-if)# end
S3#
Nota: La implementación de QoS no está contemplada en este curso.

El switchport access vlan comando fuerza la creación de una VLAN si es que aún no existe en el
switch. Por ejemplo, la VLAN 30 no está presente en la salida del comando show vlan brief del
switch. Si se introduce el comando switchport access vlan 30 en cualquier interfaz sin
configuración previa, el switch muestra lo siguiente:
% Access VLAN does not exist. Creating vlan 30
3.3.8
Verificar la información de la VLAN
Una vez que se configura una VLAN, se puede validar la configuración con los comandos show de
IOS de Cisco
El show vlan comando muestra la lista de todas las VLAN configuradas. El show vlan comando
también se puede utilizar con opciones. La sintaxis completa es show vlan [brief | id vlan-id |
name vlan-name | summary].
En la tabla se describen las opciones de show vlan comando.
Tarea Opción de comando
Muestra el nombre de VLAN, el estado y sus

brief
puertos una VLAN por linea.
Muestra información sobre el número de ID de

VLAN identificado. Para vlan-id, the range is 1 to id vlan-id
4094.
Muestra información sobre el número de ID de

VLAN identificado. El vlan-name es una cadena name vlan-name
ASCII de 1 a 32 caracteres.
Mostrar el resumen de información de la VLAN. summary
El show vlan summary comando muestra la lista de todas las VLAN configuradas.
S1# show vlan summary

Number of existing VLANs :7
Number of existing VTP VLANs :7
Number of existing extended VLANS :0
Otros comandos útiles son el comando show interfaces interface-id switchport y el comando
show interfaces vlan vlan-id. Por ejemplo, el show interfaces fa0/18 switchport comando se
puede utilizar para confirmar que el puerto FastEthernet 0/18 se ha asignado correctamente a las
VLAN de datos y voz.

Name: Fa0/18
Switchport: Enabled
Administrative Trunking Encapsulation: dot1q
Access Mode VLAN: 20 (student)
Voice VLAN: 150
Administrative private-vlan host-association: none
(Output omitted)
3.3.9
Cambio de pertenencia de puertos de una

VLAN
Existen varias maneras de cambiar la pertenencia de puertos de una VLAN.
Si el puerto de acceso del switch se ha asignado incorrectamente a una VLAN, simplemente vuelva
a ingresar el comando switchport access vlan vlan-id interface configuration con el ID de VLAN
correcto. Por ejemplo, suponga que Fa0/18 se configuró incorrectamente para estar en la VLAN 1
predeterminada en lugar de la VLAN 20. Para cambiar el puerto a VLAN 20, simplemente ingrese
switchport access vlan 20.
Para volver a cambiar la pertenencia de un puerto a la VLAN 1 predeterminada, utilice el comando

no switchport access vlan interface configuration mode como se muestra.
En la salida, por ejemplo, Fa0/18 está configurado para estar en la VLAN 1 predeterminada, tal
como lo confirma el show vlan brief comando.

S1(config-if)# no switchport access vlan
S1(config-if)# end
S1#
S1# show vlan brief
---- ------------------ --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
20 student active
Nota que la VLAN 20 sigue activa, aunque no tenga puertos asignados.
La show interfaces f0/18 switchport salida también se puede utilizar para verificar que la VLAN
de acceso para la interfaz F0/18 se ha restablecido a la VLAN 1 como se muestra en la salida.

Name: Fa0/18
Switchport: Enabled
Administrative Trunking Encapsulation: negotiate
Access Mode VLAN: 1 (default)
3.3.10
Eliminar las VLAN
El comando de modo de configuración global no vlan vlan-id se usa para remover una VLAN desde
el archivo del switch vlan.dat.
Precaución: Antes de borrar una VLAN, reasigne todos los puertos miembros a una VLAN distinta.
Los puertos que no se trasladen a una VLAN activa no se podrán comunicar con otros hosts una
vez que se elimine la VLAN y hasta que se asignen a una VLAN activa.
Se puede eliminar el archivo vlan.dat en su totalidad con el comando delete flash:vlan.dat delete
flash:vlan.datdel modo EXEC con privilegios. Se puede utilizar la versión abreviada del comando
(delete vlan.dat) delete vlan.dat si no se trasladó el archivo vlan.dat de su ubicación
predeterminada. Después de emitir este comando y de volver a cargar el switch, las VLAN
configuradas anteriormente ya no están presentes. Esto vuelve al switch a la condición
predeterminada de fábrica con respecto a la configuración de VLAN.
Nota: Para restaurar un conmutador Catalyst a su condición predeterminada de fábrica, desconecte

todos los cables excepto la consola y el cable de alimentación del conmutador. A continuación,
introduzca el comando de modo EXEC erase startup-config privilegiado seguido del delete
vlan.dat comando.
3.3.11
Comprobador de sintaxis - Configuración
de VLAN
En esta actividad del Comprobador de sintaxis, implementará y verificará una configuración de

VLAN para interfaces de switch según los requisitos especificados.
Complete estos pasos para crear una VLAN:
● Ingresa al modo de configuración global.

● Cree la VLAN 20.
● Name the VLAN **estudiante
● Volver al modo EXEC privilegiado.
S1(config)#vlan 20
S1(config-vlan)#name student
S1(config-vlan)#end
*Mar 31, 08:55:14.5555: %SYS-5-CONFIG_I: Configured from console by
console
Muestre la información resumida de la VLAN.
S1#show vlan brief

---- -------------------------------- ---------
-------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3,
Fa0/4
Fa0/5, Fa0/6, Fa0/7,
Fa0/8
Fa0/9, Fa0/10, Fa0/11,
Fa0/12
Fa0/13, Fa0/14, Fa0/15,
Fa0/16
Fa0/17, Fa0/18, Fa0/19,
Fa0/20
Fa0/21, Fa0/22, Fa0/23,
Fa0/24
Gi0/1, Gi0/2
20 student active
Complete estos pasos para crear una VLAN:

● Crear VLAN 150.
● Name the VLAN **Voz
● Vuelva al modo de configuración global.
S1(config)#vlan 150
S1(config-vlan)#name VOICE
S1(config-vlan)#exit
Complete los siguientes pasos para asignar las VLAN de voz y datos a un puerto:
● Enter interface configuration mode. Use fa0/18 como designación de interfaz.

● Configure los puertos como puertos de acceso.
● Asigne VLAN 20 de datos al puerto.
● Enable QoS settings with the mls qos trust cos command.
● Asignar la red VLAN de voz 150 al puerto de switch.
S1(config)#interface fa0/18
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 20
S1(config-if)#mls qos trust cos
S1(config-if)#switchport voice vlan 150
S1(config-if)#end
S1#show vlan brief

LAN Name Status Ports
---- -------------------------------- ---------
-------------------------------
Fa0/4
Fa0/5, Fa0/6, Fa0/7,
Fa0/8
Fa0/9, Fa0/10, Fa0/11,
Fa0/12
Fa0/13, Fa0/14, Fa0/15,
Fa0/16
Fa0/17, Fa0/19, Fa0/20,
Fa0/21
Fa0/22, Fa0/23, Fa0/24,
Gi0/1
Gi0/2
20 student active Fa0/18
150 VOICE active Fa0/18
Complete los siguientes pasos para eliminar y verificar una VLAN eliminada en un puerto:

● Elimine la asignación de la VLAN del puerto. la forma * Use the do del comando muestra
la información resumida de la VLAN.
S1(config-if)#no switchport access vlan
S1(config-if)#do show vlan brief
---- -------------------------------- ---------
-------------------------------
Fa0/4
Fa0/5, Fa0/6, Fa0/7,
Fa0/8
Fa0/9, Fa0/10, Fa0/11,
Fa0/12
Fa0/13, Fa0/14, Fa0/15,
Fa0/16
Fa0/17, Fa0/18, Fa0/19,
Fa0/20
Fa0/21, Fa0/22, Fa0/23,
Fa0/24
Gi0/1, Gi0/2
20 student active
Complete los siguientes pasos para asignar VLAN 20 a otra interfaz.

● Asigne VLAN 20 al puerto.
S1(config-if)#interface fa0/11
S1(config-if)#switchport access vlan 20
S1(config-if)#end
S1#show vlan brief

LAN Name Status Ports
---- -------------------------------- ---------
-------------------------------
Fa0/4
Fa0/5, Fa0/6, Fa0/7,
Fa0/8
Fa0/9, Fa0/10, Fa0/12,
Fa0/13
Fa0/14, Fa0/15, Fa0/16,
Fa0/17
Fa0/19, Fa0/20, Fa0/21,
Fa0/22
Fa0/23, Fa0/24, Gig0/1,
Gig0/2
20 student active Fa0/11
Muestre la información de VLAN específica para la VLAN Student (Estudiante).
S1#show vlan name student

---- -------------------------------- ---------
-------------------------------
20 student active Fa0/11, Fa0/18
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1
Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------
------
20 enet 100020 1500 - - - - - 0
0
Muestre la información resumida de las VLAN.
S1#show vlan summary

Number of existing VLANs : 7
Number of existing VTP VLANs : 7
Number of existing extended VLANS : 0
Muestre la información del puerto de switch. fa0/11 Utilícelo para la designación de interfaz.
S1#show interface fa0/11 switchport

Name: Fa0/11
Switchport: Enabled
Operational Mode: down
Access Mode VLAN: 20 (Students)
Voice VLAN: none
(output omitted)
Ha configurado y verificado correctamente la configuración de VLAN en las interfaces del switch.
omandos de configuración
troncal
Ahora que ha configurado y verificado VLAN, ha llegado el momento de

configurar y verificar los troncos de VLAN. Un enlace troncal de VLAN es
un enlace de capa 2 del modelo OSI entre dos switches que transporta el
tráfico para todas las VLAN (a menos que se restrinja la lista de VLAN
permitidas de manera manual o dinámica).
Para habilitar los vínculos troncal, configure los puertos de

interconexión con el conjunto de comandos de configuración de interfaz
que se muestran en la tabla.
Ingrese al modo de
Ingrese el modo de
configuración de Switch(config)# interface interface-id
interfaz.
Establezca el puerto en
modo de enlace troncal Switch(config-if)# switchport mode trunk
permanente.
Cambie la configuración
Switch(config-if)# switchport trunk native
de la VLAN nativa a otra
vlan vlan-id
opción que no sea VLAN 1.
Especifique la lista de
Switch(config-if)# switchport trunk allowed
VLAN que se permitirán en
vlan vlan-list
el enlace troncal.
Vuelva al modo EXEC

Switch(config-if)# end
privilegiado.
3.4.2
Ejemplo de configuración de
troncal
En la figura 2, las VLAN 10, 20 y 30 admiten las computadoras de Cuerpo

docente, Estudiante e Invitado (PC1, PC2 y PC3). El puerto F0/1 del
switch S1 se configuró como puerto de enlace troncal y reenvía el tráfico
para las VLAN 10, 20 y 30. La VLAN 99 se configuró como VLAN nativa.
Una topología de red muestra tres hosts en diferentes VLAN conectados al

mismo switch, S2. PC1 está en la Facultad VLAN 10 con dirección
172.17.10.21. PC2 está en el Student VLAN 20 con la dirección
172.17.20.22. PC3 está en la VLAN invitada 30 con la dirección
172.17.30.23. S2 está conectado a través del puerto F0/1 al conmutador S1
en F0/1. Esta conexión está rotulada como troncal.
El ejemplo muestra la configuración del puerto F0/1 en el conmutador S1 como puerto troncal. La
VLAN nativa se cambia a VLAN 99 y la lista de VLAN permitidas se restringe a 10, 20, 30 y 99.
S1(config)# interface fastEthernet 0/1

S1(config-if)# switchport mode trunk
S1(config-if)# switchport trunk native vlan 99
S1(config-if)# switchport trunk allowed vlan 10,20,30,99
S1(config-if)# end
Nota: Esta configuración supone el uso de los switches Cisco Catalyst 2960 que utilizan de manera
automática la encapsulación 802.1Q en los enlaces troncales. Es posible que otros switches
requieran la configuración manual de la encapsulación. Siempre configure ambos extremos de un
enlace troncal con la misma VLAN nativa. Si la configuración de enlace troncal 802.1Q no es la
misma en ambos extremos, el software IOS de Cisco registra errores.
3.4.3
Verifique la configuración de enlaces

troncales.
La salida del switch muestra la configuración del puerto del switch F0/1 en el switch S1. La
configuración se verifica con el show interfaces comando switchport interface-ID.

Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Trunking Native Mode VLAN: 99 (VLAN0099)
Voice VLAN: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: 10,20,30,99
Pruning VLANs Enabled: 2-1001
(output omitted)
En el área superior resaltada, se muestra que el modo administrativo del puerto F0/1 se estableció
en trunk. El puerto está en modo de enlace troncal. En la siguiente área resaltada, se verifica que
la VLAN nativa es la VLAN 99. Más abajo en el resultado, en el área inferior resaltada, se muestra
que las VLAN 10,20,30 y 99 están habilitadas en el enlace troncal.
3.4.4
Restablecimiento del enlace troncal al

estado predeterminado
Use el no switchport trunk allowed vlan y el no switchport trunk native vlan comando para
eliminar las VLAN permitidas y restablecer la VLAN nativa del enlace troncal. Cuando se restablece
al estado predeterminado, el enlace troncal permite todas las VLAN y utiliza la VLAN 1 como VLAN
nativa. El ejemplo muestra los comandos utilizados para restablecer todas las características de
enlace troncal de una interfaz troncal a la configuración predeterminada.

S1(config-if)# no switchport trunk allowed vlan
S1(config-if)# no switchport trunk native vlan
S1(config-if)# end
The show interfaces f0/1 switchport command reveals that the trunk has been reconfigured to a
default state.

Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Voice VLAN: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
(output omitted)
La figura muestra el resultado de los comandos utilizados para eliminar la característica de enlace
troncal del puerto F0/1 del switch S1. El show interfaces f0/1 switchport comando revela que la
interfaz F0/1 ahora está en modo de acceso estático.

S1(config-if)# end
Name: Fa0/1
Switchport: Enabled
(output omitted)
Introducción a DTP
Algunos switches Cisco tienen un protocolo propietario que les permite negociar automáticamente
la conexión troncal con un dispositivo vecino. Este protocolo se denomina Protocolo de Enlace
Troncal Dinámico (DTP). DTP puede acelerar el proceso de configuración de un administrador de
red. Las interfaces troncal Ethernet admiten diferentes modos de enlace troncal. Una interfaz se
puede establecer en trunking o no trunking, o para negociar trunking con la interfaz vecina. La
negociación de enlaces troncales entre dispositivos de red la maneja el Protocolo de Enlace
Troncal Dinámico (DTP), que solo funciona de punto a punto.
DTP es un protocolo exclusivo de Cisco que se habilita de manera automática en los switches de
las series Catalyst 2960 y Catalyst 3560. DTP maneja la negociación de enlaces troncales sólo si el
puerto del switch vecino está configurado en un modo de enlace troncal que admite DTP. Los
switches de otros proveedores no admiten el DTP.
Precaución: Algunos dispositivos de interredes pueden reenviar tramas DTP de manera incorrecta,
lo que puede causar errores de configuración. Para evitar esto, desactive el DTP en las interfaces
de un switch de Cisco conectado a dispositivos que no admiten DTP.
La configuración DTP predeterminada para los switches Catalyst 2960 y 3650 de Cisco es
automática dinámica.
Para habilitar los enlaces troncales desde un switch de Cisco hacia un dispositivo que no admite
DTP, utilice los comandos switchport mode trunk y switchport nonegotiate interface
configuration mode commands. Esto hace que la interfaz se convierta en un tronco, pero no
generará tramas DTP.
S1(config-if)# switchport nonegotiate
Para volver a habilitar el protocolo de enlace troncal dinámico, utilice el switchport mode dynamic
auto comando.
S1(config-if)# switchport mode dynamic auto
Si los puertos que conectan dos conmutadores están configurados para ignorar todos los anuncios
DTP con los switchport mode trunk comandos switchport nonegotiate y, los puertos se
quedarán en modo de puerto troncal. Si los puertos de conexión están configurados en automático
dinámico, no negociarán un tronco y permanecerán en el estado de modo de acceso, creando un
enlace troncal inactivo.
Cuando configure un puerto para que esté en modo de enlace troncal, utilice el switchport mode
trunk comando. No existe ambigüedad sobre el estado en que se encuentra el enlace troncal: este
se encuentra siempre activo.
3.5.2
Modos de interfaz negociados

El switchport mode comando tiene opciones adicionales para negociar el modo de interfaz. La
siguiente es la sintaxis del comando :
Switch(config)# switchport mode { access | dynamic { auto | desirable } | trunk }
Las opciones del comando se describen en la Tabla
Opción Descripción
● Pone la interfaz (puerto de acceso) en modo permanente de no trunking y

negocia para convertir el enlace en un enlace no troncal.
● La interfaz se convierte en una interfaz no troncal, independientemente de si la
access interfaz vecina es una interfaz troncal.
● Hace que la interfaz pueda convertir el enlace en un enlace troncal.

● La interfaz se convierte en una interfaz de enlace troncal, si la interfaz vecina
está configurado en modo troncal o deseable.
dynamic ● El modo de puerto de switch predeterminado para todas las interfaces Ethernet
auto es dynamic auto.
● Hace que el puerto intente convertir el enlace en un enlace troncal. 64 K.

● La interfaz se convierte en una interfaz de enlace troncal, si la interfaz vecina
dynamic está configurado en modo automático troncal, deseable o dinámico.
desirable
● El puerto queda configurado en modo troncal de forma permanente y negocia

para que el enlace se convierta en una conexión troncal.
● La interfaz se convierte en una interfaz de enlace troncal, incluso si la interfaz
trunk vecina no es una interfaz troncal.
Utilice el comando switchport nonegotiate interface configuration para detener la negociación

DTP. El switch no participa en la negociación DTP en esta interfaz. Este comando sólo se puede
utilizar cuando el modo interface switchport es access o trunk. Debe configurar manualmente el
puerto de vecindad como un puerto troncal para establecer un enlace troncal.
3.5.3
Resultados de una configuración DTP

La tabla ilustra los resultados de las opciones de configuración DTP en extremos opuestos de un
enlace troncal conectado a los puertos del switch Catalyst 2960. Una buena practica es configurar
los enlaces troncales estáticamente siempre que sea posible.
Dinámico Dinámico
Troncal Acceso
automático deseado
Dinámico
Acceso Troncal Troncal Acceso
automático
Dinámico
Troncal Troncal Troncal Acceso
deseado
Conectividad
Troncal Troncal Troncal Troncal
limitada
Conectividad
Acceso Acceso Acceso Acceso
limitada
3.5.4
Verificación del modo de DTP
El modo DTP predeterminado depende de la versión del software Cisco IOS y de la plataforma.
Para determinar el modo DTP actual, ejecute el show dtp interface comando como se muestra en
la salida.
S1# show dtp interface fa0/1

DTP information for FastEthernet0/1:
TOS/TAS/TNS: ACCESS/AUTO/ACCESS
TOT/TAT/TNT: NATIVE/NEGOTIATE/NATIVE
Neighbor address 1: C80084AEF101
Neighbor address 2: 000000000000
Hello timer expiration (sec/state): 11/RUNNING
Access timer expiration (sec/state): never/STOPPED
Negotiation timer expiration (sec/state): never/STOPPED
Multidrop timer expiration (sec/state): never/STOPPED
FSM state: S2:ACCESS
# times multi & trunk 0
Enabled: yes
In STP: no
Nota: Una mejor práctica general cuando se requiere un enlace troncal es establecer la interfaz en
trunk y nonegotiate cuando se necesita un enlace troncal. Se debe inhabilitar DTP en los enlaces
cuando no se deben usar enlaces troncales.
Descripción general de las VLANs
Las LANS virtuales (VLANs) es un grupo de dispositivos dentro de una VLAN que puede
comunicarse con cada dispositivo como si estuvieran conectados al mismo cable. Las VLAN se
basan en conexiones lógicas, en lugar de conexiones físicas. Los administradores utilizan VLAN
para segmentar redes en función de factores como la función, el equipo o la aplicación. Cada VLAN
se considera una red lógica diferente. Cualquier puerto de switch puede pertenecer a una VLAN.
Una VLAN crea un dominio de difusión lógico que puede abarcar varios segmentos LAN físicos.
Las VLAN mejoran el rendimiento de la red mediante la división de grandes dominios de difusión en
otros más pequeños. Cada VLAN de una red conmutada corresponde a una red IP; por lo tanto, el
diseño de VLAN debe utilizar un esquema jerárquico de direccionamiento de red. Los tipos de
VLAN incluyen la VLAN predeterminada, las VLAN de datos, la VLAN nativa, las VLAN de
administración. y las VLAN de voz.
VLANs en un ambiente Multi-Switched
Un enlace troncal no pertenece a una VLAN específica. Es un conducto para las VLAN entre los
switches y los routers. Un enlace troncal es un enlace punto a punto entre dos dispositivos de red
que lleva más de una VLAN. Un enlace troncal de VLAN amplía las VLAN a través de toda la red.
Cuando se implementan las VLAN en un switch, la transmisión del tráfico de unidifusión,
multidifusión y difusión desde un host en una VLAN en particular se limita a los dispositivos
presentes en esa VLAN. Los campos de etiqueta de VLAN incluyen el tipo, prioridad de usuario,
CFI y VID. Algunos dispositivos que admiten los enlaces troncales agregan una etiqueta VLAN al
tráfico de las VLAN nativas. Si un puerto de enlace troncal 802.1Q recibe una trama etiquetada con
la misma ID de VLAN que la VLAN nativa, descarta la trama. Se necesita una red VLAN de voz
separada para admitir VoIP. Las directivas de QoS y seguridad se pueden aplicar al tráfico de voz.
El tráfico VLAN de voz debe etiquetarse con un valor de prioridad CoS de Capa 2 adecuado.
Configuración de VLAN
Los diferentes switches Catalyst de Cisco soportan varias cantidades de VLAN, incluidas las VLAN
de rango normal y las VLAN de rango extendido. Al configurar redes VLAN de rango normal, los
detalles de configuración se almacenan en la memoria flash del switch en un archivo denominado
vlan.dat. Aunque no es necesario, se recomienda guardar los cambios de configuración en
ejecución en la configuración de inicio. Después de crear una VLAN, el siguiente paso es asignar
puertos a la VLAN. Hay muchos comandos para definir un puerto como puerto de acceso y
asignarlo a una VLAN. Las VLAN se configuran en el puerto del switch y no en el terminal. Un
puerto de acceso puede pertenecer a sólo una VLAN por vez. Sin embargo un puerto puede
tambien estar asociado a una VLAN de voz. Por ejemplo, un puerto conectado a un teléfono IP y un
dispositivo final se asociaría con dos VLAN: una para voz y otra para datos. Una vez que se
configura una VLAN, se puede validar la configuración con los comandos show show de IOS de
Cisco Si el puerto de acceso del switch se ha asignado incorrectamente a una VLAN, simplemente
vuelva a ingresar el comando switchport access vlan vlan-id interface configuration con el ID de
VLAN correcto. El comando de modo de configuración gloabl no vlan vlan-id se usa para remover
una VLAN desde el archivo del switch vl vlan.dat.
Enlace troncal de VLAN
Un enlace troncal de VLAN es un enlace de capa 2 entre dos switches que transporta el tráfico para
todas las VLAN. Hay varios comandos para configurar los puertos de interconexión. Para verificar
la configuración troncal de VLAN , utilice el switchport comando show interfaces interface-ID.
Use el no switchport trunk allowed vlan y el no switchport trunk native vlan comando para
eliminar las VLAN permitidas y restablecer la VLAN nativa del enlace troncal.
Protocolo de Enlace Troncal Dinámico
Una interfaz se puede establecer en trunking o no trunking, o para negociar trunking con la interfaz
vecina. La negociación de enlaces troncales entre dispositivos de red la maneja el Protocolo de
Enlace Troncal Dinámico (DTP), que solo funciona de punto a punto. DTP maneja la negociación
de enlaces troncales solo si el puerto del switch vecino está configurado en un modo de enlace
troncal que admite DTP. Para habilitar los enlaces troncales desde un switch de Cisco hacia un
dispositivo que no admite DTP, utilice los comandos de modo de configuración de interfaz
switchport mode trunk y switchport nonegotiate El switchport mode comando tiene opciones
adicionales para negociar el modo de interfaz, incluyendo acceso, automático dinámico, dinámico
deseable y troncal. Para verificar el modo DTP actual, ejecute el show dtp interface comando.
¿Qué es Inter-VLAN Routing
Las VLAN se utilizan para segmentar las redes de switch de Capa 2 por diversas razones.
Independientemente del motivo, los hosts de una VLAN no pueden comunicarse con los hosts de
otra VLAN a menos que haya un router o un switch de capa 3 para proporcionar servicios de
enrutamiento.
Inter-VLA routing es el proceso de reenviar el tráfico de red de una VLAN a otra VLAN.
Hay tres opciones inter-VLAN routing:
● Inter-VLAN Routing heredado - Esta es una solución antigua. No escala bien

● Router-on-a-stick - Esta es una solución aceptable para una red pequeña y mediana.
● Switch de capa 3 con interfaces virtuales (SVIs) : esta es la solución más escalable para
organizaciones medianas y grandes.
4.1.2
Inter-VLAN Routing heredado
La primera solución de inter-VLAN routing se basó en el uso de un router con múltiples interfaces
Ethernet. Cada interfaz del router estaba conectada a un puerto del switch en diferentes VLAN. Las
interfaces del router sirven como default gateways para los hosts locales en la subred de la VLAN.
Por ejemplo, consulte la topología donde R1 tiene dos interfaces conectadas al switch S1.
Nota en la tabla de direcciones MAC de ejemplo de S1 se rellena de la siguiente manera:
El puerto Fa0/1 está asignado a la VLAN 10 y está conectado a la interfaz R1 G0/0/0. El puerto
Fa0/11 está asignado a la VLAN 10 y está conectado a PC1. El puerto Fa0/12 está asignado a la
VLAN 20 y está conectado a la interfaz R1 G0/0/1. El puerto Fa0/11 está asignado a la VLAN 20 y
está conectado a PC2.
Tabla de direcciones MAC para S1

Puerto Dirección MAC VLAN
F0/1 R1 G0/0/0 MAC 10
F0/11 PC1 MAC 10
F0/12 R1 G0/0/1 MAC 20
F0/24 PC2 MAC 20
Cuando PC1 envía un paquete a PC2 en otra red, lo reenvía a su puerta de enlace predeterminada
192.168.10.1. R1 recibe el paquete en su interfaz G0/0/0 y examina la dirección de destino del
paquete. R1 luego enruta el paquete hacia fuera de su interfaz G0/0/1 al puerto F0/12 en la VLAN
20 en S1. Finalmente, S1 reenvía la trama a PC2.
Inter-VLAN routing heredado, usa las interfaces fisicas funciona, pero tiene limitaciones
significantes. No es razonablemente escalable porque los routers tienen un número limitado de
interfaces físicas. Requerir una interfaz física del router por VLAN agota rápidamente la capacidad
de la interfaz física del router
En nuestro ejemplo, R1 requería dos interfaces Ethernet separadas para enrutar entre la VLAN 10
y la VLAN 20. ¿Qué ocurre si hubiera seis (o más) VLAN para interconectar? Se necesitaría una
interfaz separada para cada VLAN. Obviamente, esta solución no es escalable.
Nota: Este método de inter-VLAN routing ya no se implementa en redes de switches y se incluye
únicamente con fines explicativos.
4.1.3
Router-on-a-Stick Inter-VLAN Routing
El método ‘router-on-a-stick’ inter-VLAN routing supera la limitación del método de enrutamiento

interVLAN heredado. Solo requiere una interfaz Ethernet física para enrutar el tráfico entre varias
VLAN de una red.
Una interfaz Ethernet del router Cisco IOS se configura como un troncal 802.1Q y se conecta a un
puerto troncal en un switch de capa 2. Específicamente, la interfaz del router se configura mediante
subinterfaces para identificar VLAN enrutables.
Las subinterfaces configuradas son interfaces virtuales basadas en software. Cada uno está
asociado a una única interfaz Ethernet física. Estas subinterfaces se configuran en el software del
router. Cada una se configura de forma independiente con sus propias direcciones IP y una
asignación de VLAN. Las subinterfaces se configuran para subredes diferentes que corresponden a
su asignación de VLAN. Esto facilita el enrutamiento lógico.
Cuando el tráfico etiquetado de VLAN entra en la interfaz del router, se reenvía a la subinterfaz de
VLAN. Después de tomar una decisión de enrutamiento basada en la dirección de red IP de
destino, el router determina la interfaz de salida del tráfico. Si la interfaz de salida está configurada
como una subinterfaz 802.1q, las tramas de datos se etiquetan VLAN con la nueva VLAN y se
envían de vuelta a la interfaz física.
Haga clic en Reproducir en la figura para ver una animación de la forma en que un router-on-a-stick
desempeña su función de routing.
Como se ve en la animación, PC1 en la VLAN 10 se comunica con PC3 en la

VLAN 30. El router R1 acepta el tráfico de unidifusión etiquetado en la
VLAN 10 y lo enruta a la VLAN 30 mediante sus subinterfaces configuradas.
El switch S2 elimina la etiqueta de la VLAN de la trama de unidifusión y
reenvía la trama a PC3 en el puerto F0/23.
Nota: El método router-on-a-stick de inter-VLAN routing no escala mas

allá de 50 VLANs.
4.1.4
Inter-VLAN Routing en un switch

de capa 3
El método moderno para realizar inter-VLAN routing es utilizar switches de capa 3 e interfaces
virtuales del switch (SVI). Una SVI es una interfaz virtual configurada en un switch multicapa, como
se muestra en la figura.
Nota: Un switch de capa 3 también se denomina switch multicapa ya que funciona en la capa 2 y la
capa 3. Sin embargo, en este curso usamos el término switch de capa 3.
La topología de red física muestra dos PC, dos switches de capa 2 y un switch de capa 3. El PC de
la izquierda está en VLAN 10 y está conectado a un switch de capa 2 que a su vez está conectado
al switch de capa 3. El PC de la derecha está en VLAN 20 y está conectado a un switch de capa 2
que a su vez está conectado al switch de capa 3. El switch de capa 3 tiene dos interfaces SVI. SVI1
está en VLAN 10 y tiene la dirección IP 10.1.10.1. SVI2 está en VLAN 20 y tiene la dirección IP
10.1.20.1.
Escenario Router-on-a-Stick
En el tema anterior, se enumeraron tres formas diferentes de crear inter-

VLAN routing y se detalló el inter-VLAN routing heredado. Este tema
detalla como configurar router-on-a-stick inter-VLAN routing. Puede ver
en la figura que el router no está en el centro de la topología, sino que
parece estar en un palo cerca del borde, de ahí el nombre.
En la figura, la interfaz R1 GigabitEthernet 0/0/1 está conectada al

puerto S1 FastEthernet 0/5. El puerto S1 FastEthernet 0/1 está conectado
al puerto S2 FastEthernet 0/1. Estos son enlaces troncales necesarios
para reenviar tráfico dentro de las VLAN y entre ellas.
La topología de red física muestra dos PC, dos switches y un router. PC1
tiene la dirección IP 192.168.10.10/24, un default gateway de
192.168.10.1 y está en VLAN 10. PC2 tiene la dirección IP
192.168.20.10/24, un default gateway 192.168.20.1 y está en VLAN 20. PC1
se conecta al switch S1 en el puerto F0/6. PC2 se conecta al switch S2 en
el puerto F0/18. El switch S1 y el switch S2 están interconectados entre
sí a través de un enlace troncal en el puerto F0/1. El switch S1 está
conectado al router R1 a través de un enlace troncal en el puerto del
switch F0/5 que se conecta a las interfaces G0/0/1 en R1. La dirección IP
de administración en S1 es 192.168.99.2/24. La dirección IP de
administración en S1 es 192.168.99.3/24
Para enrutar entre VLAN, la interfaz R1 GigabitEthernet 0/0/1 se divide

lógicamente en tres subinterfaces, como se muestra en la tabla. La tabla
también muestra las tres VLAN que se configurarán en los switches.
Subinterfaces R1 del### router
subinter
VLAN Dirección IP
faz
G0/0/1.1 192.168.10.1/2
10
0 4
G0/0/1.2 192.168.20.1/2
20
0 4
G0/0/1.9 192.168.99.1/2
99
9 4
Suponga que R1, S1 y S2 tienen configuraciones básicas iniciales.
Actualmente, PC1 y PC2 no pueden ping entre sí porque están en redes
separadas. Sólo S1 y S2 pueden ping uno al otro, pero son inalcanzables
por PC1 o PC2 porque también están en diferentes redes.
Para permitir que los dispositivos se hagan ping entre sí, los switches
deben configurarse con VLAN y trunking, y el router debe configurarse
para el inter-VLAN routing.
4.2.2
S1 VLAN and configuraciones de

enlaces troncales
Complete los siguientes pasos para configurar S1 con VLAN y trunking:
Paso 1. Crear y nombrar las VLANs.
Paso 2. Crear la interfaz de administración
Paso 3. Configurar puertos de acceso.
Paso 4. Configurar puertos de enlace troncal.
tiene la dirección IP 192.168.10.10/24. PC2 tiene la dirección IP
192.168.20.10/24. PC1 se conecta al switch S1 en el puerto F0/6. PC2 se
conecta al switch S2 en el puerto F0/18. El switch S1 y el switch S2
están interconectados entre sí en el puerto F0/1. El switch S1 está
conectado al router R1 en el puerto del switch F0/5 que se conecta a las
interfaces G0/0/1 en R1. La dirección IP de administración en S1 es
192.168.99.2/24. La dirección IP de administración en S1 es
192.168.99.3/24.
1. Crear y nombrar los VLANs.
En primer lugar, las VLAN se crean y nombran. Las VLAN sólo se crean después de salir del
modo de subconfiguración de VLAN.
S1(config)# vlan 10
S1(config-vlan)# name LAN10
S1(config)# vlan 20
S1(config)# vlan 99
S1(config-vlan)# name Management
S1(config)#
2. Crear la interfaz de administración.
A continuación, se crea la interfaz de administración en VLAN 99 junto con el default gateway de

R1.

S1(config-if)# ip add 192.168.99.2 255.255.255.0
S1(config-if)# no shut
S1(config-if)# exit
S1(config)#
3. Configurar puertos de acceso.
A continuación, el puerto Fa0/6 que se conecta a PC1 se configura como un puerto de acceso
en la VLAN 10. Supongamos que PC1 se ha configurado con la dirección IP correcta yel default
gateway.

S1(config-if)# exit
S1(config)#
4. Configurar puertos de enlace troncal.
Por último, los puertos Fa0/1 que se conectan a S2 y Fa05 que se conectan a R1 se configuran
como puertos troncal.

S1(config-if)# exit
S1(config-if)# end
*Mar 1 00:23:43.093: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1,
changed state to up

changed state to up
S2 VLAN y configuraciones de enlaces

troncales
S2(config)# vlan 10
S2(config)# vlan 20
S2(config)# vlan 99
S2(config-vlan)# name Management
S2(config)#
S2(config-if)# ip add 192.168.99.3 255.255.255.0
S2(config-if)# exit
S2(config-if)# exit
S2(config-if)# exit
S2(config-if)# end

changed state to up
4.2.4
Configuración de subinterfaces de R1
Para el método de router-on-a-stick, se requieren subinterfaces configuradas para cada VLAN que
se pueda enrutar.
Se crea una subinterfaz mediante el comando interface interface_id subinterface_id global

configuration mode. La sintaxis de la subinterfaz es la interfaz física seguida de un punto y un
número de subinterfaz. Aunque no es obligatorio, es costumbre hacer coincidir el número de
subinterfaz con el número de VLAN.
A continuación, cada subinterfaz se configura con los dos comandos siguientes:
● encapsulation dot1q vlan_id [native] - This command configures the subinterface to

respond to 802.1Q encapsulated traffic from the specified vlan-id. The native keyword sólo
se agrega para establecer la VLAN nativa en algo distinto de VLAN 1.
● ip address ip-address subnet-mask - Este comando configura la dirección IPv4 de la
subinterfaz. Esta dirección normalmente sirve como default gateway para la VLAN
identificada.
Repita el proceso para cada VLAN que se vaya a enrutar. Es necesario asignar una dirección IP a
cada subinterfaz del router en una subred única para que se produzca el routing.
Cuando se hayan creado todas las subinterfaces, habilite la interfaz física mediante el comando de
configuración de no shutdown interfaz. Si la interfaz física está deshabilitada, todas las
subinterfaces están deshabilitadas.
En la siguiente configuración, las subinterfaces R1 G0/0/1 se configuran para las VLAN 10, 20 y 99.
R1(config)# interface G0/0/1.10
R1(config-subif)# description Default Gateway for VLAN 10
R1(config-subif)# encapsulation dot1Q 10
R1(config-subif)# ip add 192.168.10.1 255.255.255.0
R1(config-subif)# exit
R1(config)#
R1(config)#
R1(config)#
R1(config)# interface G0/0/1
R1(config-if)# description Trunk link to S1
R1(config-if)# no shut
R1(config-if)# end
R1#
*Sep 15 19:08:47.015: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/1,
changed state to down
*Sep 15 19:08:50.071: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/1,
changed state to up
*Sep 15 19:08:51.071: %LINEPROTO-5-UPDOWN: Line protocol on Interface
GigabitEthernet0/0/1, changed state to up
R1#
4.2.5
Verificar la conectividad entre

PC1 y PC2
La configuración del router-on-a-stick se completa después de configurar

los enlaces troncales del switch y las subinterfaces del router. La
configuración se puede verificar desde los hosts, el router y el switch.
Desde un host, compruebe la conectividad con un host de otra VLAN

mediante el ping comando. Es una buena idea verificar primero la
configuración IP del host actual mediante el comando ipconfig Windows
host
C:\Users\PC1> ipconfig
Windows IP Configuration
Ethernet adapter Ethernet0:
Connection-specific DNS Suffix . :
Link-local IPv6 Address : fe80::5c43:ee7c:2959:da68%6
IPv4 Address : 192.168.10.10
Subnet Mask : 255.255.255.0
Default Gateway : 192.168.10.1
C:\Users\PC1>
El resultado confirma la dirección IPv4 y el default gateway de PC1. A

continuación, utilice ping para verificar la conectividad con PC2 y S1,
como se muestra en la figura. El ping resultado confirma correctamente
que el enrutamiento entre VLANs está funcionando.
C:\Users\PC1> ping 192.168.20.10

Pinging 192.168.20.10 with 32 bytes of data:
Reply from 192.168.20.10: bytes=32 time<1ms TTL=127
Ping statistics for 192.168.20.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss).
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\Users\PC1>
C:\Users\PC1> ping 192.168.99.2
Request timed out.
Request timed out.
Reply from 192.168.99.2: bytes=32 time=2ms TTL=254
Reply from 192.168.99.2: bytes=32 time=1ms TTL=254 |
C:\Users\PC1>
4.2.6
Verificación de Router-on-a-
Stick Inter-VLAN Routing
Además de utilizar ping entre dispositivos, se pueden utilizar los siguientes show comandos para
verificar y solucionar problemas de la configuración del router-on-a-stick.
● show ip route
● show ip interface brief
● show interfaces
● show interfaces trunk
Compruebe que las subinterfaces aparecen en la tabla de enrutamiento de R1 mediante el

show ip route comando. Observe que hay tres rutas conectadas (C) y sus respectivas
interfaces de salida para cada VLAN enrutable. El resultado confirma que las subredes, las
VLAN y las subinterfaces correctas están activas.

C 192.168.10.0/24 is directly connected, GigabitEthernet0/0/1.10
L 192.168.10.1/32 is directly connected, GigabitEthernet0/0/1.10
R1#
Otro comando útil del router es show ip interface brief, como se muestra en el resultado. El
resultado confirma que las subinterfaces tienen configurada la dirección IPv4 correcta y que
están operativas.
R1# show ip interface brief | include up
GigabitEthernet0/0/1 unassigned YES unset up up
Gi0/0/1.10 192.168.10.1 YES manual up up
R1#
Las subinterfaces se pueden verificar mediante el comando show interfaces subinterface-id,

como se muestra.
R1# show interfaces g0/0/1.10

GigabitEthernet0/0/1.10 is up, line protocol is up
Hardware is ISR4221-2x1GE, address is 10b3.d605.0301 (bia 10b3.d605.0301)
Description: Default Gateway for VLAN 10
Internet address is 192.168.10.1/24
Encapsulation 802.1Q Virtual LAN, Vlan ID 10.
Keepalive not supported
R1#
La configuración incorrecta también podría estar en el puerto troncal del switch. Por lo tanto,
también es útil verificar los enlaces troncales activos en un switch de Capa 2 mediante el show
interfaces trunk comando, como se muestra en el ejemplo. El resultado confirma que el enlace
a R1 es troncal para las VLAN requeridas.
Note: Aunque la VLAN 1 no se configuró explícitamente, se incluyó automáticamente porque el

tráfico de control en los enlaces troncal siempre se reenvía en la VLAN 1.
S1# show interfaces trunk

Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/1 1-4094
Fa0/5 1-4094
Port Vlans allowed and active in management domain
Fa0/1 1,10,20,99
Fa0/5 1,10,20,99
Port Vlans in spanning tree forwarding state and not pruned
Fa0/1 1,10,20,99
Fa0/5 1,10,20,99
Inter-VLAN Routing en Switch de capa 3

Las redes empresariales modernas rara vez usan router-on-a-stick porque no se escalan fácilmente
para cumplir los requisitos. En estas redes muy grandes, los administradores de red utilizan
switches de capa 3 para configurar el inter-VLAN routing.
El inter-VLAN routing. mediante el método router-on-a-stick es fácil de implementar para una

organización pequeña y mediana. Sin embargo, una gran empresa requiere un método más rápido
y mucho más escalable para proporcionar inter-VLAN routing.
Las LAN de campus empresariales utilizan switches de capa 3 para proporcionar inter-VLAN
routing. Los switches de capa 3 utilizan switching basado en hardware para lograr velocidades de
procesamiento de paquetes más altas que los routers. Los switches de capa 3 también se
implementan comúnmente en armarios de cableado de capa de distribución empresarial.
Las capacidades de un switch de capa 3 incluyen la capacidad de hacer lo siguiente:
● Ruta de una VLAN a otra mediante múltiples interfaces virtuales de switch (SVIs).
● Convierta un puerto de switch de capa 2 en una interfaz de capa 3 (es decir, un puerto
enrutado). Un puerto enrutado es similar a una interfaz física en un router Cisco IOS.
Para proporcionar enrutamiento entre VLAN, los switches de capa 3 utilizan SVIs. Los SVIs se
configuran utilizando el mismo comando interface vlan vlan-id utilizado para crear el SVI de
administración en un switch de capa 2. Se debe crear un SVI de Capa 3 para cada una de las
VLAN enrutables.
4.3.2
Escenario de switch de capa 3
En la figura, el switch de capa 3, D1, está conectado a dos hosts en diferentes VLAN. PC1 está en
VLAN 10 y PC2 está en VLAN 20, como se muestra. El switch de capa 3 proporcionará servicios
inter-VLAN routing a los dos hosts.
La topología de red física muestra dos PC, un switch y un router. PC1 a la izquierda tiene la
dirección IP 192.168.10.10, la dirección del default gateway 192.168.10.1/24, está en VLAN 10 y
está conectado el switch en el puerto G1/0/6. PC2 a la derecha tiene la dirección IP 192.168.20.10,
la dirección del default gateway 192.168.20.10/24, está en VLAN 20 y está conectado el switch en
el puerto G1/0/18.
La tabla muestra las direcciones IP de cada VLAN.
Direcciones IP de VLAN D1
VLAN
Dirección IP
Interface
10 192.168.10.1/24
20 192.168.20.1/24
4.3.3
Configuracion de switch de capa 3
Complete los siguientes pasos para configurar S1 con VLAN y trunking :
Paso 1. Crear las VLAN.
Paso 2. Crear las interfaces VLAN SVI.
Paso 3. Configurar puertos de acceso.

Paso 4. Habilitar IP routing.
1. Crear las VLANs.
Primero, cree las dos VLAN como se muestra en el ejemplo
D1(config)# vlan 10
D1(config-vlan)# name LAN10
D1(config-vlan)# vlan 20
D1(config-vlan)# name LAN20
D1(config-vlan)# exit
D1(config)#
2. Crear las interfaces VLAN SVI.
Configurar el SVI para VLANs 10 y 20 Las direcciones IP configuradas servirán como default
gateways para los hosts de las VLAN respectivas. Observe que los mensajes informativos que
muestran el protocolo de línea en ambos SVIs cambiaron a funcionales.
D1(config)# interface vlan 10
D1(config-if)# description Default Gateway SVI for 192.168.10.0/24
D1(config-if)# ip add 192.168.10.1 255.255.255.0
D1(config-if)# no shut
D1(config-if)# exit
D1(config)#
D1(config)# int vlan 20
D1(config-if)# description Default Gateway SVI for 192.168.20.0/24
D1(config-if)# ip add 192.168.20.1 255.255.255.0
D1(config-if)# exit
D1(config)#
*Sep 17 13:52:16.053: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed

state to up
*Sep 17 13:52:16.160: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed

state to up
3. Configurar puertos de acceso.
A continuación, configure los puertos de acceso que se conectan a los hosts y asígnelos a sus
respectivas VLAN.
D1(config)# interface GigabitEthernet1/0/6
D1(config-if)# description Access port to PC1
D1(config-if)# switchport mode access
D1(config-if)# switchport access vlan 10
D1(config-if)# exit
D1(config)#
D1(config-if)# description Access port to PC2
D1(config-if)# switchport mode access
D1(config-if)# switchport access vlan 20
D1(config-if)# exit
4. Habilitar IP routing.
Por último, habilite el enrutamiento IPv4 con el comando de configuración ip routing global para
permitir el intercambio de tráfico entre las VLAN 10 y 20. Este comando debe configurarse para
habilitar el inter-VAN routing en un switch de capa 3 para IPv4.
D1(config)# ip routing
D1(config)#
Verificación Inter-VLAN Routing del switch

de capa 3
El Inter-VLAN Routing mediante un switch de capa 3 es más sencillo de configurar que el método
router-on-a-stick. Una vez completada la configuración, la configuración se puede verificar
probando la conectividad entre los hosts.
Desde un host, compruebe la conectividad con un host de otra VLAN mediante el ping comando.
Es una buena idea verificar primero la configuración IP del host actual mediante el comando
ipconfig Windows host El resultado confirma la dirección IPv4 y el default gateway de PC1.
C:\Users\PC1> ipconfig
Link-local IPv6 Address : fe80::5c43:ee7c:2959:da68%6
IPv4 Address : 192.168.10.10
Subnet Mask : 255.255.255.0
Default Gateway : 192.168.10.1
C:\Users\PC1>
A continuación, verifique la conectividad con PC2 mediante el comando host de ping Windows,
como se muestra en el ejemplo. El ping resultado confirma correctamente que el enrutamiento
entre VLANs está funcionando.
C:\Users\PC1> ping 192.168.20.10
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
C:\Users\PC1>
4.3.5
Enrutamiento en un switch de capa 3
Si se quiere que otros dispositivos de Capa 3 puedan acceder a las VLAN, deben anunciarse
mediante enrutamiento estático o dinámico. Para habilitar el enrutamiento en un switch de capa 3,
se debe configurar un puerto enrutado.
Un puerto enrutado se crea en un switch de Capa 3 deshabilitando la función switchport de un
switch de Capa 2 que está conectado a otro dispositivo de Capa 3. Específicamente, al configurar
el comando de configuración de no switchport interfaz en un puerto de Capa 2, se convierte en
una interfaz de Capa 3. A continuación, la interfaz se puede configurar con una configuración IPv4
para conectarse a un router u otro switch de capa 3.
4.3.6
Escenario de enrutamiento en un switch

de capa 3
En la figura, el switch de capa 3 D1 previamente configurado ahora está conectado a R1. R1 y D1

están ambos en un dominio de protocolo de enrutamiento Open Shortest Path First (OSPF).
Supongamos que Inter-VLAN se ha implementado correctamente en D1. La interfaz G0/0/1 de R1
también ha sido configurada y habilitada. Además, R1 está utilizando OSPF para anunciar sus dos
redes, 10.10.10.0/24 y 10.20.20.0/24.
La configuración de enrutamientoNote: OSPF se cubre en otro curso. En este módulo, se le darán

comandos de configuración OSPF en todas las actividades y evaluaciones. No es necesario que
comprenda la configuración para habilitar el enrutamiento OSPF en el switch de capa 3.
Configuración de enrutamiento
en un switch de capa 3
Complete los siguientes pasos para configurar D1 para enrutar con R1:
Paso 1. Configure el puerto enrutado.
Paso 2. Activar el routing.
Paso 3. Configurar el enrutamiento
Paso 4. Verificar enrutamiento.
Paso 5. Verificar la conectividad
1. Configure el puerto enrutado.
Configure G1/0/1 para que sea un puerto enrutado, asígnele una dirección IPv4 y habilítelo.

D1(config-if)# description routed Port Link to R1
D1(config-if)# no switchport
D1(config-if)# ip address 10.10.10.2 255.255.255.0
D1(config-if)# exit
D1(config)#
2. Activar el routing.
Asegúrese de que el enrutamiento IPv4 esté habilitado con el comando de configuración ip

routing global.
D1(config)# ip routing
D1(config)#
3. Configurar el enrutamiento.
Configure el protocolo de enrutamiento OSPF para anunciar las redes VLAN 10 y VLAN 20,
junto con la red que está conectada a R1. Observe el mensaje informándole de que se ha
establecido una adyacencia con R1.
D1(config)# router ospf 10

D1(config-router)# network 192.168.10.0 0.0.0.255 area 0
D1(config-router)# ^Z
D1#
*Sep 17 13:52:51.163: %OSPF-5-ADJCHG: Process 10, Nbr 10.20.20.1 on GigabitEthernet1/0/1
from LOADING to FULL, Loading Done
D1#
4. Verificar enrutamiento.
Verifique la tabla de enrutamiento en D1. Observe que D1 ahora tiene una ruta a la red
10.20.20.0/24.
D1# show ip route | begin Gateway

O 10.20.20.0/24 [110/2] via 10.10.10.1, 00:00:06, GigabitEthernet1/0/1
C 192.168.10.0/24 is directly connected, Vlan10
L 192.168.10.1/32 is directly connected, Vlan10
C 192.168.20.0/24 is directly connected, Vlan20
L 192.168.20.1/32 is directly connected, Vlan20
D1#
5. Verificar la conectividad.
En este momento, PC1 y PC2 pueden hacer ping al servidor conectado a R1.
c:Userspc1> ping 10.20.20.254

Request timed out.
Estadísticas de ping para 10.20.20.254:
C:\Users\PC1>
! ==================================================
C:Userspc2> ping 10.20.20.254
Estadísticas de ping para 10.20.20.254:
C:\Users\PC2 >
Problemas comunes de Inter-VLAN
routing
Ya sabe que cuando configure y verifique, también debe ser capaz de solucionar problemas. En
este tema se describen algunos problemas comunes de red asociados con el Inter-VLAN routing
Hay varias razones por las que una configuración entre VLANs puede no funcionar. Todos están
relacionados con problemas de conectividad. En primer lugar, compruebe la capa física para
resolver cualquier problema en el que un cable pueda estar conectado al puerto incorrecto. Si las
conexiones son correctas, utilice la lista de la tabla para otras razones comunes por las que puede
fallar la conectividad entre VLAN.
Tipo de problema Cómo arreglar Cómo verificar
● Cree (o vuelva a crear) la VLAN si no

existe. show vlan [brief]
● Asegúrese de que el puerto host está show interfaces
VLAN faltantes asignado a la VLAN correcta. switchport
ping
● Asegúrese de que los enlaces troncales

estén configurados correctamente.
Problemas con el ● Asegúrese de que el puerto es un puerto show interfaces trunk
puerto troncal del troncal y está habilitado. show running-config
switch
● Asigne el puerto a la VLAN correcta.

● Asegúrese de que el puerto es un puerto show interfaces
Problemas en los de acceso y está habilitado. switchport
puertos de acceso de ● El host está configurado incorrectamente show running-config
switch en la subred incorrecta. interface
ipconfig
● La dirección IPv4 de la subinterfaz del

router está configurada incorrectamente.
Temas de ● La subinterfaz del router se asigna al ID deshow ip interface
configuración del VLAN. brief
router show interfaces
4.4.2
Escenario de resolución de problemas de
Inter-VLAN Routing
Los ejemplos de algunos de estos problemas de Inter-VLAN Routing ahora se tratarán con más
detalle.
Esta topología se utilizará para todos estos problemas.
La información de direccionamiento VLAN e IPv4 para R1 se muestra en la tabla.
Subinterfaces R1 del router

subinterfaz VLAN Dirección IP
G0/0/0.10 10 192.168.10.1/24
G0/0/0.20 20 192.168.20.1/24
G0/0/0.30 99 192.168.99.1/24
4.4.3
VLAN faltantes
Un problema de conectividad entre VLAN podría deberse a la falta de una VLAN. La VLAN podría
faltar si no se creó, se eliminó accidentalmente o no se permite en el enlace troncal.
Por ejemplo, PC1 está conectado actualmente a la VLAN 10, como se muestra en el ejemplo del
show vlan brief comando.
S1# show vlan brief

---- -------------------------------- --------- -------------------------------
Fa0/8, Fa0/9, Fa0/10, Fa0/11
Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24, Gi0/1, Gi0/2
10 LAN10 active Fa0/6
20 LAN20 active
99 Management active
S1#
Ahora suponga que la VLAN 10 se elimina accidentalmente, como se muestra en el siguiente

resultado.
S1(config)# no vlan 10
S1(config)# do show vlan brief
---- -------------------------------- --------- -------------------------------
Fa0/8, Fa0/9, Fa0/10, Fa0/11
Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24, Gi0/1, Gi0/2
20 LAN20 active
S1(config)#
Observe que ahora falta VLAN 10 en el resultado Observe también que el puerto Fa0/6 no se ha
reasignado a la VLAN predeterminada. Cuando elimina una VLAN, cualquier puerto asignado a esa
VLAN queda inactivo. Permanecen asociados con la VLAN (y, por lo tanto, inactivos) hasta que los
asigne a una nueva VLAN o vuelva a crear la VLAN que falta.
Utilice el show interface comando switchport interface-id para verificar la pertenencia a VLAN.
S1(config)# do show interface fa0/6 switchport

Name: Fa0/6
Switchport: Enabled
Access Mode VLAN: 10 (Inactive)
Voice VLAN: none
(Output omitted)
Si se vuelve a crear la VLAN que falta, se reasignarán automáticamente los hosts a ella, como se
muestra en el siguiente resultado.
S1(config)# vlan 10
S1(config-vlan)# do show vlan brief
---- -------------------------------- --------- -------------------------------
Fa0/8, Fa0/9, Fa0/10, Fa0/11
Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24, Gi0/1, Gi0/2
20 LAN20 active
S1(config-vlan)#
Observe que la VLAN no se ha creado como se esperaba. La razón se debe a que debe salir del
modo de subconfiguración de VLAN para crear la VLAN, como se muestra en el siguiente
resultado.
S1(config)# vlan 10
S1(config)# do show vlan brief
---- -------------------------------- --------- -------------------------------
Fa0/8, Fa0/9, Fa0/10, Fa0/11
Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24, Gi0/1, Gi0/2
10 VLAN0010 active Fa0/6
20 LAN20 active
S1(config)#
Ahora observe que la VLAN está incluida en la lista y que el host conectado a Fa0/6 está en la
VLAN 10.
4.4.4
Problemas con el puerto troncal del switch
Otro problema para el enrutamiento entre VLAN incluye puertos de switch mal configurados. En
una solución interVLAN heredada, esto podría deberse a que el puerto del router de conexión no
está asignado a la VLAN correcta.
Sin embargo, con una solución router-on-a-stick, la causa más común es un puerto troncal mal
configurado.
Por ejemplo, suponga que PC1 pudo conectarse a hosts de otras VLAN hasta hace poco. Un
vistazo rápido a los registros de mantenimiento reveló que recientemente se accedió al switch S1
Capa 2 para el mantenimiento rutinario. Por lo tanto, sospecha que el problema puede estar
relacionado con ese switch.
En S1, verifique que el puerto que se conecta a R1 (es decir, F0/5) esté configurado correctamente
como enlace troncal utilizando el show interfaces trunk comando, como se muestra.
S1# show interfaces trunk

Fa0/1 1-4094
Fa0/1 1,10,20,99
Fa0/1 1,10,20,99
S1#
El puerto Fa0/5 que conecta a R1 falta misteriosamente en el resultado. Verifique la configuración
de la interfaz mediante el show running-config interface fa0/5 comando, como se muestra.
S1# show running-config | include interface fa0/5

!
description Trunk link to R1
switchport mode trunk
shutdown
end
S1#
Como pueden ver, el puerto fue apagado accidentalmente. Para corregir el problema, vuelva a
habilitar el puerto y verifique el estado de enlace troncal, como se muestra en el ejemplo.

S1(config-if)#
*Mar 1 04:46:44.153: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to up
S1(config-if)#
changed state to up
S1(config-if)# do show interface trunk
Fa0/1 1-4094
Fa0/5 1-4094
Fa0/1 1,10,20,99
Fa0/5 1,10,20,99
Fa0/1 1,10,20,99
Fa0/1 1,10,20,99
S1(config-if)#
Para reducir el riesgo de una falla en el enlace entre switch es que interrumpa el inter-VLAN
routing, el diseño de red debe contar con enlaces redundantes y rutas alternativas.
4.4.5
Problemas en los puertos de acceso de

switch
Cuando sospeche que hay un problema con una configuración del switch, utilice los distintos
comandos de verificación para examinar la configuración e identificar el problema.
Supongamos que PC1 tiene la dirección IPv4 correcta y el default gateway, pero no es capaz de
ping su propio default gateway PC1 se supone que debe estar conectado a un puerto VLAN 10.
Verifique la configuración del puerto en S1 mediante el show interfaces

comando switchport interface-id.
S1# show interface fa0/6 switchport

Name: Fa0/6
Switchport: Enabled
Voice VLAN: none
El puerto Fa0/6 se ha configurado como un puerto de acceso como se indica

en «acceso estático». Sin embargo, parece que no se ha configurado para
estar en VLAN 10. Verifique la configuración de la interfaz.
S1# show running-config interface fa0/6

!
description PC-A access port
end
S1#
Asigne el puerto Fa0/6 a la VLAN 10 y verifique la asignación del puerto.

S1(config-if)#
S1(config-if)# do show interface fa0/6 switchport
Name: Fa0/6
Switchport: Enabled
Access Mode VLAN: 10 (VLAN0010)
Voice VLAN: none
(Output omitted)
PC1 ahora puede comunicarse con hosts de otras VLAN.
4.4.6
Temas de configuración del
router
Los problemas de configuración del router-on-a-stick suelen estar

relacionados con configuraciones incorrectas de la subinterfaz. Por
ejemplo, se configuró una dirección IP incorrecta o se asignó un ID de
VLAN incorrecto a la subinterfaz.
Por ejemplo, R1 debería proporcionar inter-VLAN routing para los usuarios

de VLAN 10, 20 y 99. Sin embargo, los usuarios de VLAN 10 no pueden
llegar a ninguna otra VLAN.
tiene la dirección IP 192.168.10.10/24, un default gateway de
192.168.10.1 y está en VLAN 10. PC2 tiene la dirección IP
192.168.20.10/24, un default gateway 192.168.20.1 y está en VLAN 20. PC1
se conecta al switch S1 en el puerto F0/6. PC2 se conecta al switch S2 en
el puerto F0/18. El switch S1 y el switch S2 están interconectados entre
sí a través de un enlace troncal en el puerto F0/1. El switch S1 está
conectado al router R1 a través de un enlace troncal en el puerto del
switch F0/5 que se conecta a las interfaces G0/0/1 en R1. La dirección IP
de administración en S1 es 192.168.99.2/24. La dirección IP de
administración en S1 es 192.168.99.3/24.
Verificó el enlace troncal del switch y todo parece estar en orden. Verificar el estatus de las
interfaces usando el show ip interface brief comando

GigabitEthernet0/0/0 unassigned YES unset administratively down down
R1#
A las subinterfaces se les han asignado las direcciones IPv4 correctas y están operativas.
Compruebe en qué VLAN se encuentra cada una de las subinterfaces. Para ello, el show
interfaces comando es útil, pero genera una gran cantidad de resultados adicionales no
requeridos. El resultado del comando se puede reducir utilizando filtros de comando IOS como
se muestra en el ejemplo.
R1# show interfaces | include Gig|802.1Q

GigabitEthernet0/0/0 is administratively down, line protocol is down
Encapsulation 802.1Q Virtual LAN, Vlan ID 1., loopback not set
R1#
El símbolo de tubería (|) junto con algunas palabras clave de selección es un método útil para
ayudar a filtrar el resultado del comando. En este ejemplo, la palabra clave se include utilizó
para identificar que sólo se mostrarán las líneas que contienen las letras «Gig» o «802.1Q».
Debido a la forma en que se enumera naturalmente la show interface salida, el uso de estos
filtros genera una lista condensada de interfaces y sus VLAN asignadas.
Observe que la interfaz G0/0/1.10 se ha asignado incorrectamente a la VLAN 100 en lugar de a

la VLAN 10. Esto se confirma mirando la configuración de la subinterfaz GigabitEthernet R1
0/0/1.10, como se muestra.
R1# show running-config interface g0/0/1.10

!
interface GigabitEthernet0/0/1.10
description Default Gateway for VLAN 10
encapsulation dot1Q 100
ip address 192.168.10.1 255.255.255.0
end
R1#
Para corregir este problema, configure la subinterfaz G0/0/1.10 para que esté en la VLAN
correcta mediante el comando encapsulation dot1q 10 en el modo de configuración de
subinterfaz.
R1# conf t
R1(config)# interface gigabitEthernet 0/0/1.10
R1(config-subif)# end
R1#
R1# show interfaces | include Gig|802.1Q
GigabitEthernet0/0/0 is administratively down, line protocol is down
Encapsulation 802.1Q Virtual LAN, Vlan ID 1., loopback not set
R1#
Una vez asignada la subinterfaz a la VLAN correcta, los dispositivos en esa VLAN pueden
acceder a ella, y el router puede realizar inter-VLAN routing.
Con la correcta verificación, los problemas de configuración del router se resuelven

rápidamente, lo que permite que el inter-VLAN routing funcione de forma adecuada.
Funcionamiento del routing entre redes VLAN
Los hosts de una VLAN no pueden comunicarse con los hosts de otra VLAN a menos que haya un
router o un switch de capa 3 para proporcionar servicios de enrutamiento. Inter-VLA routing es el
proceso de reenviar el tráfico de red de una VLAN a otra VLAN. Tres opciones incluyen heredado,
router-on-a-stick y switch de capa 3 con SVIs. Heredado utiliza un router con múltiples interfaces
Ethernet. Cada interfaz del router estaba conectada a un puerto del switch en diferentes VLAN .
Requerir una interfaz física del router por VLAN agota rápidamente la capacidad de la interfaz física
del router El método ‘router-on-a-stick’ inter-VLAN routing solo requiere una interfaz Ethernet física
para enrutar el tráfico entre varias VLAN de una red. Una interfaz Ethernet del router Cisco IOS se
configura como un troncal 802.1Q y se conecta a un puerto troncal en un switch de capa 2. La
interfaz del router se configura mediante subinterfaces para identificar VLAN enrutables. Las
subinterfaces son interfaces virtuales basadas en software, asociadas con una única interfaz física.
El método moderno es el enrutamiento entre VLAN en un switch de capa 3 mediante SVIs. El SVI
se crea para una VLAN que existe en el switch. El SVI realiza las mismas funciones para la VLAN
que una interfaz del router. Proporciona procesamiento de capa 3 para los paquetes que se envían
ao desde todos los puertos de conmutador asociados con esa VLAN.
Routing entre VLAN con router-on-a-stick
Para configurar un switch con VLAN y enlaces troncales, realice los siguientes pasos: cree y asigne
un nombre a las VLAN, cree la interfaz de administración, configure los puertos de acceso y
configure los puertos de enlace troncal. Para el método de router-on-a-stick, se requieren
subinterfaces configuradas para cada VLAN que se pueda enrutar. Se crea una subinterfaz
mediante el comando interface interface_id subinterface_id global configuration mode. Es
necesario asignar una dirección IP a cada subinterfaz del router en una subred única para que se
produzca el routing. Cuando se han creado todas las subinterfaces, la interfaz física debe
habilitarse mediante el comando de configuración de no shutdown interfaz. Desde un host,
compruebe la conectividad con un host de otra VLAN mediante el ping comando. ping Utilícelo
para verificar la conectividad con el host y el switch. Para verificar y solucionar problemas utilice los
comandos, ,show ip route, show ip interface brief, show interfaces y show interfaces trunk
Inter-VLAN Routing usando switches de capa 3
Las LAN de campus empresariales utilizan switches de capa 3 para proporcionar enrutamiento
entre VLAN. Los switches de capa 3 utilizan switching basado en hardware para lograr velocidades
de procesamiento de paquetes más altas que los routers. Las capacidades de un switch de Capa 3
incluyen el enrutamiento de una VLAN a otra utilizando múltiples interfaces virtuales conmutadas
(SVI) y la conversión de un puerto de switch de Capa 2 a una interfaz de Capa 3 (es decir, un
puerto enrutado). Para proporcionar enrutamiento entre VLAN, los switches de capa 3 utilizan SVIs.
Los SVIs se configuran utilizando el mismo comando interface vlan vlan-id utilizado para crear el
SVI de administración en un switch de capa 2. Se debe crear un SVI de Capa 3 para cada una de
las VLAN enrutables. Para configurar un switch con VLAN y trunking, siga los pasos siguientes:
cree las VLAN, cree las interfaces VLAN SVI, configure los puertos de acceso y habilite el
enrutamiento IP. Desde un host, compruebe la conectividad con un host de otra VLAN mediante el
ping comando. A continuación, compruebe la conectividad con el host mediante el comando host
de ping Windows. Las VLAN deben anunciarse mediante enrutamiento estático o dinámico. Para
habilitar el enrutamiento en un switch de capa 3, se debe configurar un puerto enrutado. Un puerto
enrutado se crea en un switch de Capa 3 deshabilitando la función switchport de un switch de Capa
2 que está conectado a otro dispositivo de Capa 3. La interfaz se puede configurar con una
configuración IPv4 para conectarse a un router u otro switch de capa 3. Para configurar un switch
de capa 3 para enrutar con un router, siga estos pasos: configure el puerto enrutado, habilite el
enrutamiento, configure el enrutamiento, verifique el enrutamiento y verifique la conectividad.
Resolución de problemas de Inter-VLAN routing
Hay varias razones por las que una configuración entre van puede no funcionar . Todos están
relacionados con problemas de conectividad, como las VLAN faltantes, los problemas del puerto
troncal del switch, los problemas del puerto de acceso del switch y los problemas de configuración
del router. Podría faltar una VLAN si no se creó, se eliminó accidentalmente o no se permite en el
enlace troncal. Otro problema para el enrutamiento entre VLAN incluye puertos de switch mal
configurados. En una solución interVLAN heredada, podría producirse un puerto de switch mal
configurado cuando el puerto del router de conexión no está asignado a la VLAN correcta. Con una
solución router-on-a-stick, la causa más común es un puerto troncal mal configurado. Cuando se
sospecha un problema con una configuración del puerto de acceso del switch, utilice los ping
comandos show interfaces interface-id switchport y _interface-para identificar el problema. Los
problemas de configuración del router con configuraciones de router-on-a-stick suelen estar
relacionados con configuraciones erróneas de subinterfaz. Verificar el estatus de las interfaces
usando el show ip interface brief comando
Por qué debería tomar este módulo?
Bienvenido a STP Concepts!

Una red de nivel 2 bien diseñada tendrá conmutadores y rutas redundantes para garantizar que si
un conmutador se apaga, otra ruta a otro conmutador esté disponible para reenviar datos. Los
usuarios de la red no experimentarían ninguna interrupción del servicio. La redundancia en un
diseño de red jerárquica soluciona el problema de un solo punto de falla, pero puede crear un tipo
diferente de problema llamado bucles de Capa 2.
¿Qué es un bucle? Imagina que estás en un concierto. El micrófono del cantante y el altavoz
amplificado pueden, por diversas razones, crear un bucle de retroalimentación. Lo que se oye es
una señal amplificada del micrófono que sale del altavoz que luego es recogido de nuevo por el
micrófono, amplificado más y pasado de nuevo a través del altavoz. El sonido rápidamente se
vuelve muy fuerte, desagradable y hace que sea imposible escuchar música real. Esto continúa
hasta que se corta la conexión entre el micrófono y el altavoz.
Un bucle de capa 2 crea un caos similar en una red. Puede suceder muy rápidamente y hacer
imposible el uso de la red. Hay algunas formas comunes de crear y propagar un bucle de Capa 2.
El protocolo de árbol de expansión (STP) está diseñado específicamente para eliminar los bucles
de capa 2 en la red. Este módulo analiza las causas de los bucles y los diversos tipos de protocolos
de árbol de expansión. Incluye un vídeo y una actividad Packet Tracer para ayudarle a entender los
conceptos STP.
5.0.2
Título del módulo: STP Conceptos
Objetivo del módulo: Explique cómo STP permite la redundancia en una red de capa 2.
Explique los problemas comunes en una red conmutada

Propósito del STP
redundante L2.
Funcionamientos del STP Explicar cómo opera STP en una red conmutada simple.
Evolución del STP Explique la forma en que funciona PVST+ rápido.
Redundancia en redes conmutadas de

capa 2
En este tema se tratan las causas de los bucles en una red de capa 2 y se explica brevemente
cómo funciona el protocolo de árbol de expansión. La redundancia es una parte importante del
diseño jerárquico para eliminar puntos únicos de falla y prevenir la interrupción de los servicios de
red para los usuarios. Las redes redundantes requieren la adición de rutas físicas, pero la
redundancia lógica también debe formar parte del diseño. Tener rutas físicas alternativas para que
los datos atraviesen la red permite que los usuarios accedan a los recursos de red, a pesar de las
interrupciones de la ruta. Sin embargo, las rutas redundantes en una red Ethernet conmutada
pueden causar bucles físicos y lógicos en la capa 2.
Las LAN Ethernet requieren una topología sin bucles con una única ruta entre dos dispositivos. Un
bucle en una LAN Ethernet puede provocar una propagación continua de tramas Ethernet hasta
que un enlace se interrumpe y interrumpa el bucle.
5.1.2
Protocolo de árbol de extensión
El protocolo de árbol de expansión (STP) es un protocolo de red de prevención de bucles que

permite redundancia mientras crea una topología de capa 2 sin bucles. IEEE 802.1D es el estándar
original IEEE MAC Bridging para STP.
Haga clic en Reproducir en la figura para ver una animación de STP en acción.
The figure is an animation showing 4 p c s and 3 switches. The three switches are connected to
each other in a triangle. three pcs are connected to s 2. p c 1 sends a broadcast frame. it is received
by s 2. s 2 forwards teh broadcast out all ports except the originating port and the blocked port to s
3. the two other p cs and s1 receive the frame. s 1 forwards the broadcast out all ports except the
originating port. the frame is received by p c 4 and s 3. s 3 forwards the frame back to s 2. s 2 drops
the frame because it received it on a blocked port.
STP Normal Operation
Recalcular STP
Haga clic en Reproducir en la siguiente figura para ver una animación del recálculo de STP cuando
ocurre una falla.
La figura es una animación con la misma topología que en la animación anterior. En la animación,
el enlace troncal entre S2 y S1 ha fallado. S2 desbloquea el puerto para Trunk 2. La PC1 envía una
trama de difusión al S2. S2 reenvía la transmisión a todos los puertos del conmutador, excepto el
puerto de origen y el enlace fallido para el Troncal 1. El S3 reenvía la difusión por todos los puertos
de switch disponibles, excepto el puerto de origen. El S1 reenvía la difusión solo por F0/3.
STP Compensates for Network Failure

Problemas con los vínculos de
switch redundantes
La redundancia de ruta proporciona múltiples servicios de red al eliminar

la posibilidad de un solo punto de falla. Cuando existen múltiples rutas
entre dos dispositivos en una red Ethernet, y no hay implementación de
árbol de expansión en los conmutadores, se produce un bucle de capa 2. Un
bucle de capa 2 puede provocar inestabilidad en la tabla de direcciones
MAC, saturación de enlaces y alta utilización de CPU en conmutadores y
dispositivos finales, lo que hace que la red se vuelva inutilizable.
A diferencia de los protocolos de Capa 3, IPv4 e IPv6, Layer 2 Ethernet

no incluye un mecanismo para reconocer y eliminar tramas de bucle sin
fin. Tanto IPv4 como IPv6 incluyen un mecanismo que limita la cantidad de
veces que un dispositivo de red de Capa 3 puede retransmitir un paquete.
Un router disminuirá el TTL (Tiempo de vida) en cada paquete IPv4 y el
campo Límite de saltos en cada paquete IPv6. Cuando estos campos se
reducen a 0, un router dejará caer el paquete. Los switches Ethernet y
Ethernet no tienen un mecanismo comparable para limitar el número de
veces que un switches retransmite una trama de Capa 2. STP fue
desarrollado específicamente como un mecanismo de prevención de bucles
para Ethernet de Capa 2.
5.1.5
Bucles de la capa 2
Sin STP habilitado, se pueden formar bucles de capa 2, lo que hace que
las tramas de difusión, multidifusión y unidifusión desconocidos se
reproduzcan sin fin. Esto puede derribar una red en un período de tiempo
muy corto, a veces en pocos segundos. Por ejemplo, las tramas de
difusión, como una solicitud ARP, se reenvían a todos los puertos del
conmutador, excepto el puerto de entrada original. Esto asegura que todos
los dispositivos en un dominio de difusión reciban la trama. Si hay más
de una ruta para reenviar la trama, se puede formar un bucle infinito.
Cuando se produce un bucle, la tabla de direcciones MAC en un conmutador
cambiará constantemente con las actualizaciones de las tramas de
difusión, lo que resulta en la inestabilidad de la base de datos MAC.
Esto puede causar una alta utilización de la CPU, lo que hace que el
switch no pueda reenviar tramas.
Las tramas de difusión no son el único tipo de tramas que son afectadas
por los bucles. Si se envían tramas de unidifusión desconocidas a una red
con bucles, se puede producir la llegada de tramas duplicadas al
dispositivo de destino. Una trama de unidifusión desconocida se produce
cuando el switch no tiene la dirección MAC de destino en la tabla de
direcciones MAC y debe reenviar la trama a todos los puertos, excepto el
puerto de ingreso.
Haga clic en Reproducir en la figura para ver la animación. Cuando la

animación se detiene, lea el texto que describe la acción. La animación
continuará después de una pausa breve.
The figure is an animation with the same topology as in the previous

animation.There are no blocked ports. p c 1 sends a broadcast frame. s 2
updates the mac address table. pc 1s mac address is mapped to f0-/11. s 2
forwards the broadcast out all ports, except the receiving port. s 3 and
s 1 update their mac address tables with p c 1 information. s 3 and s 1
forward the broadcast out all ports, except the receiving port. s 1 and s
3 receive a packet from p c 1 on a new port. they update their mac
address table accordingly. s 1 and s 3 forward the broadcast out all
ports, except the receiving port. s 2 updates its mac address table for p
c 1 with the last port on which it received the broadcast frame. s 2
forwards teh broadcast frame out all ports, except the last received
port. the cycle starts again.
Tormenta de difusión (Broadcast Storm)
Una tormenta de difusión es un número anormalmente alto de emisiones que abruman la red
durante un período específico de tiempo. Las tormentas de difusión pueden deshabilitar una red en
cuestión de segundos al abrumar los conmutadores y los dispositivos finales. Las tormentas de
difusión pueden deberse a un problema de hardware como una NIC defectuosa o a un bucle de
capa 2 en la red.
Las emisiones de capa 2 en una red, como las solicitudes ARP, son muy comunes. Es probable
que un bucle de capa 2 tenga consecuencias inmediatas y de desactivación en la red. Las
multidifusión de capa 2 normalmente se reenvían de la misma manera que una difusión por el
conmutador. Por lo tanto, aunque los paquetes IPv6 nunca se reenvían como una difusión de Capa
2, ICMPv6 Neighbor Discovery utiliza multidifusión de Capa 2.
Haga clic en Reproducir en la figura para ver una animación que muestra los efectos cada vez más
adversos de un bucle a medida que los fotogramas de difusión y de unidifusión desconocidos
continúan propagándose indefinidamente en una tormenta de difusión.
Un host atrapado en un bucle de capa 2 no está accesible para otros hosts en la red. Además,
debido a los constantes cambios en su tabla de direcciones MAC, el conmutador no sabe desde
qué puerto reenviar las tramas de unidifusión. En la animación anterior, los conmutadores
tendrán los puertos incorrectos listados para PC1. Cualquier trama de unidifusión con destino a
la PC1 se repite en bucle por la red, como lo hacen las tramas de difusión. Cuando se repiten en
bucle cada vez más tramas, se termina creando una tormenta de difusión.
Para evitar que ocurran estos problemas en una red redundante, se debe habilitar algún tipo de
árbol de expansión en los switches. De manera predeterminada, el árbol de expansión está
habilitado en los switches Cisco para prevenir que ocurran bucles en la capa 2.
El algoritmo de árbol de
expansión
STP se basa en un algoritmo inventado por Radia Perlman mientras trabajaba para Digital
Equipment Corporation, y publicado en el artículo de 1985 "Un algoritmo para la computación
distribuida de un árbol de expansión en una LAN extendida". Su algoritmo de árbol de expansión
(STA) crea una topología sin bucles al seleccionar un único puente raíz donde todos los demás
conmutadores determinan una única ruta de menor costo.
Sin el protocolo de prevención de bucles, se producirían bucles que harían inoperable una red de
conmutadores redundantes.
Este escenario STA utiliza una LAN Ethernet con conexiones redundantes entre varios
conmutadores.
Seleccionar el Root Bridge
El algoritmo de árbol de expansión comienza seleccionando un único puente raíz. La figura

muestra que el switch S1 se ha seleccionado como puente raíz. En esta topología, todos los
enlaces tienen el mismo costo (mismo ancho de banda). Cada switch determinará una única ruta
de menor costo desde sí mismo hasta el puente raíz.
Nota: STA y STP se refieren a conmutadores como puentes . Esto se debe a que en los
primeros días de Ethernet, los switches se denominaban puentes.
Bloquear rutas redundantes
STP asegura que solo haya una ruta lógica entre todos los destinos en la red al bloquear
intencionalmente las rutas redundantes que podrían causar un bucle, como se muestra en la
figura. Cuando se bloquea un puerto, se impide que los datos del usuario entren o salgan de ese
puerto. El bloqueo de las rutas redundantes es fundamental para evitar bucles en la red.
La topología de red física muestra ocho conmutadores interconectados. Switch S1 es el puente

raíz y se conecta a los conmutadores S2, S3 y S5. Switch S2 se conecta a los Switches S1 y S4.
Una flecha muestra que la mejor ruta desde S2 es hacia S1. Switch S3 se conecta a los
Switches S1 y S5. Una flecha muestra que la mejor ruta desde S3 es hacia S1. Switch S4 se
conecta a los Switches S2 and S5. Una flecha muestra que la mejor ruta desde S4 es hacia S2 y
el puerto del switch a S5 es un puerto bloqueado. El conmutador S5 se conecta a los
conmutadores S1, S3, S4 y S6 y el puerto del conmutador a S3 es un puerto bloqueado. Una
flecha muestra que la mejor ruta desde S5 es hacia S1. Switch S6 se conecta al Switch S5. Una
flecha muestra la mejor ruta desde S6 es hacia S5. El switch S7 se conecta al switch S8. Una
flecha muestra la mejor ruta desde S7 es hacia S8. El switch S8 se conecta a los switches S4,
S5 y S7. Una flecha muestra que la mejor ruta desde S8 es hacia S5 y el puerto del switch a S4
es un puerto bloqueado. El texto en la parte inferior del gráfico indica que los conmutadores S4,
S5 y S8 han bloqueado rutas redundantes al puente raíz.
Topología sin bucle
Un puerto bloqueado tiene el efecto de convertir ese enlace en un vínculo no reenvío entre los
dos switches, como se muestra en la figura. Observe que esto crea una topología en la que
cada conmutador tiene una única ruta al puente raíz, similar a las ramas de un árbol que se
conectan a la raíz del árbol.
Fallos de enlacecausan recálculo

Las rutas físicas aún existen para proporcionar la redundancia, pero las mismas se deshabilitan
para evitar que se generen bucles. Si alguna vez la ruta es necesaria para compensar la falla de
un cable de red o de un switch, STP vuelve a calcular las rutas y desbloquea los puertos
necesarios para permitir que la ruta redundante se active. Los recálculos STP también pueden
ocurrir cada vez que se agrega un nuevo conmutador o un nuevo vínculo entre switches a la red.
La figura muestra un error de enlace entre los conmutadores S2 y S4 que hace que STP se
vuelva a calcular. Observe que el vínculo anteriormente redundante entre S4 y S5 se está
reenviando para compensar este error. Todavía hay solo una ruta entre cada switch y el puente
raíz.
Pasos para una topología sin bucles
Ahora ya sabe cómo se crean los bucles y los conceptos básicos de usar el protocolo de árbol de
expansión para prevenirlos. Este tema le llevará paso a paso a través de la operación de STP.
Usando STA, STP crea una topología sin bucles en un proceso de cuatro pasos:
1. Elige el puente raíz.

2. Seleccione los root ports.
3. Elegir puertos designados.
4. Seleccione puertos alternativos (bloqueados).
Durante las funciones STA y STP, los conmutadores utilizan unidades de datos de protocolo de
puente (BPDU) para compartir información sobre sí mismos y sus conexiones. Las BPDU se
utilizan para elegir el root bridge, los root ports, los puertos designados y los puertos alternativos.
Cada BPDU contiene una ID de puente (BID) que identifica qué switch envió la BPDU. El BID
participa en la toma de muchas de las decisiones STA, incluidos los roles de puertos y root bridge.
El BID contiene un valor de prioridad, la dirección MAC del conmutador y un ID de sistema
extendido. El valor de BID más bajo lo determina la combinación de estos tres campos.
El gráfico muestra tres cuadros, cada uno de los cuales representa un componente del ID de
puente. De izquierda a derecha, el primer cuadro es Bridge Priority, que tiene 4 bits de longitud, el
segundo cuadro es Extended System ID, que tiene 12 bits de longitud, y el tercer cuadro es la
dirección MAC que tiene 48 bits de longitud. El texto a la derecha de los cuadros indica Bridge ID
con Extended System ID. El texto en la parte inferior del gráfico dice El BID incluye la prioridad del
puente, el ID del sistema extendido y la dirección MAC del conmutador.
Prioridad de puente
El valor de prioridad predeterminado para todos los switches Cisco es el valor decimal 32768. El
rango va de 0 a 61440 y aumenta de a 4096. Es preferible una prioridad de puente más baja. La
prioridad de puente 0 prevalece sobre el resto de las prioridades de puente.
Sistema extendido ID
El valor de ID del sistema extendido es un valor decimal agregado al valor de prioridad del puente
en el BID para identificar la VLAN para esta BPDU.
Las primeras implementaciones de IEEE 802.1D estaban diseñadas para redes que no utilizaban
VLAN. Existía un único árbol de expansión común para todos los switches. Por esta razón, en los
switches más antiguos, el ID del sistema extendido no se incluía en las BPDU. A medida que las
VLAN se volvieron más comunes en la segmentación de la infraestructura de red, se fue mejorando
el estándar 802.1D para incluir a las VLAN, lo que requirió que se incluyera la ID de VLAN en la
trama de BPDU. La información de VLAN se incluye en la trama BPDU mediante el uso de la ID de
sistema extendido.
El ID del sistema extendido permite que las implementaciones posteriores de STP, como Rapid
STP (RSTP) tengan diferentes root bridge para diferentes conjuntos de VLAN. Esto puede permitir
que enlaces redundantes y sin reenvío en una topología STP para un conjunto de VLAN sean
utilizados por un conjunto diferente de VLAN que utilice un root bridge diferente.
Dirección MAC
Cuando dos switches están configurados con la misma prioridad y tienen la misma ID de sistema
extendido, el switch que posee la dirección MAC con el menor valor, expresado en hexadecimal,
tendrá el menor BID.
5.2.2
1. Elige el root bridge
El STA designa un único switch como root bridge y lo utiliza como punto de referencia para todos
los cálculos de rutas. Los switches intercambian BPDU para crear la topología sin bucles
comenzando con la selección del root bridge.
Un proceso de elección determina el switch que se transforma en el puente raíz. Todos los
switches del dominio de difusión participan del proceso de elección. Una vez que el switch arranca,
comienza a enviar tramas BPDU cada dos segundos. Estas tramas BPDU contienen el BID del
switch de envío y el BID del root bridge, conocido como Root ID.
El switch que tiene el BID más bajo se convierte en el puente raíz. Al principio, todos los
conmutadores se declaran a sí mismos como el puente raíz con su propio BID establecido como ID
raíz. Eventualmente, los switches aprenden a través del intercambio de BPDU qué switch tiene el
BID más bajo y acordarán un puente raíz.
En la figura, S1 se elige de root bridge porque tiene el BID más bajo.

Impacto de las pujas por defecto
Dado que el BID predeterminado es 32768, es posible que dos o más switches tengan la misma
prioridad. En este escenario, donde las prioridades son las mismas, el conmutador con la dirección
MAC más baja se convertirá en el puente raíz. Para asegurar que el puente raíz elegido cumpla
con los requisitos de la red, se recomienda que el administrador configure el switch de puente raíz
deseado con una prioridad menor.
En la figura, todos los switches están configurados con la misma prioridad de 32769. Aquí la
dirección MAC se convierte en el factor decisivo en cuanto a qué interruptor se convierte en el
puente raíz. El conmutador con el valor de dirección MAC hexadecimal más bajo es el puente raíz
preferido. En este ejemplo, S2 tiene el valor más bajo para su dirección MAC y se elige como el
puente raíz para esa instancia de árbol de expansión.
Note: En el ejemplo, la prioridad de todos los switches es 32769. El valor se basa en la prioridad de
puente predeterminada 32768 y la ID del sistema extendida (asignación de VLAN 1) asociada con
cada conmutador (32768 + 1).
Determinar el costo de la ruta raíz
Una vez que se eligió el puente raíz para la instancia de árbol de expansión, el STA comienza el
proceso para determinar las mejores rutas hacia el puente raíz desde todos los destinos en el
dominio de difusión. La información de la ruta, conocida como el costo interno de la ruta raíz, está
determinada por la suma de todos los costos de los puertos individuales a lo largo de la ruta desde
el conmutador hasta el puente raíz.
Note: La BPDU incluye el costo de la ruta raíz. Este es el costo de la ruta que va desde el switch
que envía los datos hasta el puente raíz.
Cuando un switch recibe la BPDU, agrega el costo del puerto de ingreso del segmento para
determinar el costo interno de la ruta hacia la raíz.
Los costos de los puertos predeterminados se definen por la velocidad a la que funcionan los
mismos. La tabla muestra los costos de puerto predeterminados sugeridos por IEEE. Los switches
Cisco utilizan de forma predeterminada los valores definidos por el estándar IEEE 802.1D, también
conocido como costo de ruta corta, tanto para STP como para RSTP. Sin embargo, el estándar
IEEE sugiere usar los valores definidos en el IEEE-802.1w, también conocido como costo de ruta
larga, cuando se usan enlaces de 10 Gbps y más rápido.
Note: RSTP se discute con más detalle más adelante en este módulo.
Costo de RSTP:
Velocidad de STP Cost: IEEE
IEEE 802.1w-
enlace 802.1D-1998
2004
10Gbps 2 2000
1Gbps 4 20000
100Mbps 19 200000
10 Mbps 100 2000000
Pese a que los puertos de switch cuentan con un costo de puerto predeterminado asociado a los
mismos, tal costo puede configurarse. La capacidad de configurar costos de puerto individuales le
da al administrador la flexibilidad para controlar de forma manual las rutas de árbol de expansión
hacia el puente raíz.
5.2.5
2. Elegir los puertos raíz
Después de determinar el puente raíz, se utiliza el algoritmo STA para seleccionar el puerto raíz.
Cada switch que no sea root seleccionará un puerto raíz. El puerto raíz es el puerto más cercano al
root bridge en términos de costo general para el puente raíz. Este costo general se conoce como
costo de ruta raíz interna.
El costo interno de la ruta raíz es igual a la suma de todos los costos del puerto a lo largo de la ruta
al root bridge, como se muestra en la figura. Las rutas con el costo más bajo se convierten en las
preferidas, y el resto de las rutas redundantes se bloquean. En el ejemplo, el costo de ruta interno
desde S2 al root bridge S1 a través de la ruta 1 es de 19 (según el costo de puerto individual
especificado por el IEEE), mientras que el costo interno de la ruta hacia la raíz a través de la ruta 2
es de 38. Debido a que la ruta 1 tiene un costo de ruta general más bajo para el root bridge, es la
ruta preferida y F0 / 1 se convierte en el root port en S2.
La topología de red física muestra tres switches interconectados, S1, S2 y S3, y cuatro PC, PC1,
PC2, PC3, PC4. S1 es el root bridge. El Bridge ID de S1 es prioridad = 32769 y dirección MAC =
000A00333333. S1 se conecta a S3 a través del puerto del switch F0/2 y se conecta a S2 a través
del puerto del switch F0/1. El enlace entre S1 y S2 se etiqueta Trunk 1. El enlace entre S1 y S3 se
etiqueta Trunk 3. S1 se conecta a PC4 a través del puerto del switch F0/3. El Bridge ID de S2 es
prioridad = 32769 y dirección MAC = 000A00111111. S2 se conecta a S3 a través del puerto del
switch F0/2 y se conecta a S1 a través del puerto del switch F0/1. El puerto del switch F0/1 en S2
se indica como el puerto raíz. El enlace entre S2 y S3 se etiqueta Trunk 2. La ruta de S2 a S1 se
llama Ruta 1. La ruta de S2 a S3 se llama path2. S2 se conecta a PC1 a través del puerto del
switch F0/11, se conecta a PC2 a través del puerto del switch F0/18 y a PC3 a través del puerto del
switch F0/6. El Bridge ID de S3 es prioridad = 32769 y dirección MAC = 000A00222222. S3 se
conecta a S2 a través del puerto del switch F0/2 y se conecta a S1 a través del puerto del switch
F0/1. El puerto del switch F0/1 en S3 se indica como el puerto raíz. La ruta de S3 a S1 se etiqueta
ruta 2. La dirección IP de PC1 es 172.17.10.21. La dirección IP de PC2 es 172.17.10.22. La
dirección IP de PC3 es 172.17.10.23. La dirección IP de PC4 es 172.17.10.27. El texto en la parte
inferior del gráfico dice Ruta 1 Costo = 19x1=19. Coste de la ruta 2 = 19x2=38. La ruta 1 es la ruta
preferida.
3. Seleccionar puertos designados

La parte de prevención de bucles del árbol de expansión se hace evidente durante estos dos pasos
siguientes. Después de que cada switch selecciona un puerto raíz, los switches seleccionarán los
puertos designados.
Cada segmento entre dos switches tendrá un puerto designado. El puerto designado es un puerto
en el segmento (con dos switches) que tiene el costo de ruta raíz interna al puente raíz. En otras
palabras, el puerto designado tiene la mejor ruta para recibir el tráfico que conduce al puente raíz.
Lo que no es un puerto raíz o un puerto designado se convierte en un puerto alternativo o

bloqueado. El resultado final es una ruta única desde cada conmutador al puente raíz.
Puertos designados en el puente raíz
Todos los puertos en el root bridge son puertos designados. Esto se debe a que el root bridge
tiene el costo más bajo para sí mismo.
Puerto designado cuando hay un puerto raíz
Si un extremo de un segmento es un puerto raíz, el otro extremo es un puerto designado. Para

demostrar esto, la figura muestra que el conmutador S4 está conectado a S3. La interfaz Fa0/1
en S4 es su puerto raíz porque tiene la mejor y única ruta al root bridge. Por lo tanto, la interfaz
Fa0/3 en S3 en el otro extremo del segmento sería el puerto designado.
Note: Todos los puertos del switch con dispositivos finales (hosts) conectados son puertos
designados.
Puerto designado cuando no hay puerto raíz
Esto deja solo segmentos entre dos switches donde ninguno de los switches es el puente raíz.
En este caso, el puerto del switch con la ruta de menor costo al puente raíz es el puerto
designado para el segmento. Por ejemplo, en la figura, el último segmento es el que está entre
S2 y S3. Tanto S2 como S3 tienen el mismo costo de ruta para el puente raíz. El algoritmo del
árbol de expansión utilizará el ID del puente como un interruptor de corbata. Aunque no se
muestra en la figura, S2 tiene un BID menor. Por lo tanto, el puerto F0/2 de S2 se elegirá como
el puerto designado. Los puertos designados están en estado de reenvío.
4. Seleccionar puertos alternativos

(bloqueados)
Si un puerto no es un puerto raíz o un puerto designado, se convierte en un puerto alternativo (o de

copia de seguridad). Los puertos alternativos y los puertos de respaldo están en estado de
descarte o bloqueo para evitar bucles. En la figura, la STA ha configurado el puerto F0 / 2 en S3 en
el rol alternativo. El puerto F0/2 en S3 está en estado de bloqueo y no reenviará tramas Ethernet.
Todos los demás puertos entre conmutadores están en estado de reenvío. Esta es la parte de
prevención de bucles de STP.
1. Oferta de remitente más baja
La figura muestra una topología con cuatro conmutadores, incluido el conmutador S1 como
puente raíz. Al examinar los roles de puerto, vemos que el puerto F0/1 del switch S3 y el puerto
F0/3 del switch S4 se han seleccionado como puertos raíz porque tienen la ruta con el menor
costo (costo de la ruta hacia la raíz) al puente raíz para sus respectivos switches. S2 tiene dos
puertos, F0 / 1 y F0 / 2 con rutas de igual costo al puente raíz. En este caso los ID de puente de
los switches vecinos, S3 y S4, se utilizan para definir el empate. Esto se conoce como BID del
emisor. S3 tiene un BID de 32769.5555.5555.5555 y S4 tiene un BID de 32769.1111.1111.1111.
Como S4 tiene un BID más bajo, el puerto F0 / 1 de S2, que es el puerto conectado a S4, será el
puerto raíz.
La topología de red física muestra cuatro conmutadores interconectados, S1, S2, S3 y S4. S1 es
el puente raíz y se conecta a S4 a través del puerto del switch F0/1 y S3 a través del puerto
troncal F0/2. El enlace entre S1 y S4 se etiqueta Trunk 1. La interfaz F0/1 en S1 es un puerto
designado. El ID de puente de S1 es 24577.3333.3333.3333. S1 se conecta a S3 a través del
puerto del switch F0/2. El enlace entre S1 y S3 se etiqueta Trunk 3. La interfaz F0/2 en S1 es un
puerto designado. S4 está conectado a S1 a través del puerto del switch F0/3, que es un puerto
raíz. S4 está conectado a S2 a través del puerto del switch F0/1, que es un puerto designado. El
enlace entre S1 y S2 se etiqueta Trunk 1. El ID de puente de S4 es 32769.1111.1111.1111. S2
está conectado a S4 a través del puerto del switch F0/1, que es un puerto raíz y está conectado
a S3 a través del puerto del switch F0/2, que es un puerto alternativo. El enlace entre S2 y S3 se
llama Trunk 2. Hay una X roja junto a la interfaz F0/2 de S2 que indica que está bloqueando el
tráfico. El ID de puente de S2 es 32769.AAAA.AAAA.AAA. S3 está conectado a S2 sobre el
puerto del switch F0/2 que es un puerto designado y a S1 sobre el puerto del switch F0/1 que es
un puerto raíz. El ID de puente de S3 es 32769.5555.5555.5555.
2. Prioridad de puerto del remitente más baja
Para demostrar estos dos criterios siguientes, la topología se cambia a uno donde dos switches
están conectados con dos paths de igual costo entre ellos. S1 es el puente raíz, por lo que
ambos puertos son puertos designados.
S4 tiene dos puertos con rutas de igual costo al puente raíz. Dado que ambos puertos están
conectados al mismo conmutador, el BID (S1) del remitente es igual. Entonces el primer paso es
un empate.
A continuación en la lista está la prioridad del puerto del remitente (S1). La prioridad de puerto
predeterminada es 128, por lo que ambos puertos de S1 tienen la misma prioridad de puerto.
Esto también es una corbata. Sin embargo, si cualquiera de los puertos de S1 se configuraba
con una prioridad de puerto más baja, S4 pondría su puerto adyacente en estado de reenvío. El
otro puerto en S4 sería un estado de bloqueo.
3. ID de puerto del remitente más bajo
El último desempate es el ID de puerto del remitente más bajo. El conmutador S4 ha recibido

BPDU desde el puerto F0/1 y el puerto F0/2 en S1. Recuerde que la decisión se basa en el ID
del puerto del remitente, no en el ID del puerto del receptor. Dado que el Id. de puerto de F0/1
en S1 es menor que el puerto F0/2, el puerto F0/6 en el conmutador S4 será el puerto raíz. Este
es el puerto de S4 que está conectado al puerto F0/1 de S1.
El puerto F0/5 en S4 se convertirá en un puerto alternativo y se colocará en el estado de

bloqueo, que es la parte de prevención de bucles de STP.
Temporizadores STP y Estados de puerto
La convergencia STP requiere tres temporizadores, como sigue:
● Temporizador de saludo - El tiempo de saludo es el intervalo entre BPDU. El valor

predeterminado es 2 segundos, pero se puede modificar entre 1 y 10 segundos.
● Temporizador de retardo de reenvío - El retraso directo es el tiempo que se pasa en el
estado de escucha y aprendizaje. El valor predeterminado es 15 segundos, pero se puede
modificar a entre 4 y 30 segundos.
● Temporizador de antigüedad máxima - La antigüedad máxima es la duración máxima de
tiempo que un switch espera antes de intentar cambiar la topología STP. El valor
predeterminado es 20 segundos, pero se puede modificar entre 6 y 40 segundos.
Nota: Los tiempos predeterminados se pueden cambiar en el puente raíz, que dicta el valor de
estos temporizadores para el dominio STP.
STP facilita la ruta lógica sin bucles en todo el dominio de difusión. El árbol de expansión se
determina a través de la información obtenida en el intercambio de tramas de BPDU entre los
switches interconectados. Si un puerto de switch pasa directamente del estado de bloqueo al de
reenvío sin información acerca de la topología completa durante la transición, el puerto puede crear
un bucle de datos temporal. Por esta razón, STP tiene cinco estados de puertos, cuatro de los
cuales son estados de puertos operativos, como se muestra en la figura. El estado deshabilitado se
considera no operativo.
El gráfico muestra un diagrama de flujo que representa los cuatro estados operativos STP. En la
parte superior del diagrama de flujo se encuentra el estado de bloqueo. En el estado de bloqueo No
se recibe BPDU y la edad máxima = 20 segundos. Una flecha apunta desde el estado Bloqueo al
estado Listening. El estado de escucha tiene un retraso de avance de 15 segundos. Hay una flecha
que apunta desde el estado Listening al estado Learning. El estado de aprendizaje tiene un delday
hacia adelante = 15 segundos. Hay una flecha que apunta desde el estado de aprendizaje al
estado de reenvío. Hay un diagrama de flujo títulos cuadro Enlace viene con una flecha que apunta
a un segundo cuadro titulado Bloqueo. El texto del cuadro Bloqueo indica En estado de bloqueo
hasta que SPT determine si el puerto es raíz o puerto designado. Este cuadro tiene una flecha que
apunta al estado Listening.
Los detalles de cada estado de puerto se muestran en la tabla.
Estado
del Descripción
puerto
el puerto es un puerto alternativo y no participa en el reenvío de tramas. reenvío. El

puerto recibe tramas BPDU para determinar la ubicación y ID deraíz del puente
raíz . Las tramas BPDU también determinan qué roles de puerto cada puerto del
Bloqueo
switch debe asumir en la topología STP activa final. Con un Temporizador de edad
máxima de 20 segundos, un puerto del switch que no ha recibido un BPDU
esperado de un switch vecino entrará en el estado de bloqueo.
Después del estado de bloqueo, un puerto se moverá al estado de escucha. La

recibe BPDU para determinar la ruta a la raíz. Puerto del switch también transmite
Escucha
sus propias tramas BPDU e informa a los conmutadores adyacentes que el puerto
del conmutador se está preparando para participar en la topología activa.
Un puerto de switch pasa al estado de aprendizaje después de la escucha STP.

Durante el estado de aprendizaje, el puerto del switch recibe y procesa BPDU y se
Aprendiz
prepara para participar en el reenvío de tramas. También comienza a rellenar la
aje
tabla de direcciones MAC. Sin embargo, en el estado de aprendizaje, el usuario
frames are not forwarded to the destination.
En el estado de reenvío, un puerto de switch se considera parte de la dividida. El

Reenvío
puerto del switch reenvía el tráfico de usuario y envía y recibe Marcos BPDU.
Un puerto de switch en el estado deshabilitado no participa en la expansión árbol y

Deshabili
no reenvía marcos. El estado deshabilitado se establece cuando el El puerto se ha
tado
desactivado administrativamente.
5.2.10
Detalles Operativos de cada Estado
Portuario
En la tabla se resumen los detalles operativos de cada estado de puerto.
Estado del Tabla de Reenvío de framesde

BPDU
puerto direcciones MAC datos
Bloqueo Recibir solo No hay actualización No
Escucha Recibir y enviar No hay actualización No
Actualización de la
Aprendizaje Recibir y enviar No
tabla
Actualización de la
Reenvío Recibir y enviar Sí
tabla
No se ha enviado ni
Deshabilitado No hay actualización No
recibido
5.2.11
Per-VLAN Spanning Tree
Hasta ahora, hemos hablado de STP en un entorno donde sólo hay una VLAN. Sin embargo, STP
se puede configurar para que funcione en un entorno con varias VLAN.
In Per-VLAN Spanning Tree (PVST) versions of STP, there is a root bridge elected for each
spanning tree instance. Esto hace posible tener diferentes puentes raíz para diferentes conjuntos
de VLAN. STP opera una instancia independiente de STP para cada VLAN individual. Si todos los
puertos de todos los switches pertenecen a la VLAN 1, solo se da una instancia de árbol de
expansión.
Diferentes versiones de STP
En este tema se detallan las diferentes versiones de STP y otras opciones para evitar bucles en la
red.
Hasta ahora, hemos utilizado el término Protocolo Spanning Tree y el acrónimo STP, que puede
ser engañoso. La mayoría de los profesionales suele utilizar estas denominaciones para referirse a
las diversas implementaciones del árbol de expansión, como el protocolo de árbol de expansión
rápido (RSTP) y el protocolo de árbol de expansión múltiple (MSTP). Para comunicar los conceptos
del árbol de expansión correctamente, es importante hacer referencia a la implementación o al
estándar del árbol de expansión en contexto.
El último estándar para árbol de expansión está contenido en IEEE-802-1D-2004, el estándar IEEE
para redes de área local y metropolitana:puentes de control de acceso a medios (MAC). Esta
versión del estándar indica que los conmutadores y puentes que cumplen con el estándar utilizarán
Rapid Spanning Tree Protocol (RSTP) en lugar del protocolo STP anterior especificado en el
estándar 802.1d original. En este currículo, cuando se analiza el protocolo de árbol de expansión
original, se utiliza la frase “árbol de expansión 802.1D original” para evitar confusiones. Debido a
que los dos protocolos comparten gran parte de la misma terminología y métodos para la ruta sin
bucles, el enfoque principal estará en el estándar actual y las implementaciones propietarias de
Cisco de STP y RSTP.
Desde el lanzamiento del estándar IEEE 802.1D original, surgió una gran variedad de protocolos de
árbol de expansión.
Varie
dad Descripción
STP
Esta es la versión original de IEEE 802.1D (802.1D-1998 y versiones anteriores) que

proporciona una topología sin bucles en una red con enlaces redundantes. También
STP
llamado Common Spanning Tree (CST), asume una instancia de árbol de expansión
para toda la red puenteada, independientemente de la cantidad de VLAN.
El árbol de expansión por VLAN (PVST +) es una mejora de Cisco de STP que
PVST provides a separate 802.1D spanning tree instance for each VLAN Configure la red
+ PVST+ soporta PortFast, UplinkFast, BackboneFast, BPDU guard, BPDU filter, root
guard, y loop guard.
802.1
D- Esta es una versión actualizada del estándar STP, que incorpora IEEE 802.1w.
2004
Protocolo de Árbol de Expansión Rápido (RSTP), o IEEE 802.1w, es una

RSTP evolución de STP que proporciona una convergencia más veloz de STP. Proporciona
una convergencia más rápida de STP.
PVST Esta es una mejora de Cisco de RSTP que utiliza PVST + y proporciona un instancia
+ separada de 802.1w por VLAN. Cada instancia independiente admite PortFast, BPDU
rápido guard, BPDU filter, root guard, y loop guard.
El Protocolo de árbol de expansión múltiple (MSTP) es un estándar IEEE inspirado en

MSTP el STP de instancia múltiple (MISTP) anterior propietario de Cisco de Cisco. MSTP
asigna varias VLAN en la misma instancia de árbol de expansión. VRF.
Múltiple Spanning Tree (MST) es la implementación de MSTP de Cisco, que

proporciona hasta 16 instancias de RSTP y combina muchas VLAN con el misma
Instan
topología física y lógica en una instancia RSTP común. Cada instancia aparte admite
cia
PortFast, protección de BPDU, filtro de BPDU, protección de raíz y protección de
bucle. loop guard.
Es posible que un profesional de red, cuyas tareas incluyen la administración de los switches, deba
decidir cuál es el tipo de protocolo de árbol de expansión que se debe implementar.
Los switches de Cisco con IOS 15.0 o posterior ejecutan PVST+ de manera predeterminada. Esta
versión incluye muchas de las especificaciones IEEE 802.1D-2004, como puertos alternativos en
lugar de los puertos no designados anteriores. Los conmutadores deben configurarse
explícitamente para el modo de árbol de expansión rápida para ejecutar el protocolo de árbol de
expansión rápida.
5.3.2
Conceptos de RSTP
RSTP (IEEE 802.1w) reemplaza al 802.1D original mientras conserva la compatibilidad con
versiones anteriores. La terminología de STP 802.1w sigue siendo fundamentalmente la misma que
la de STP IEEE 802.1D original. La mayoría de los parámetros se han dejado sin cambios. Los
usuarios que estén familiarizados con el estándar STP original pueden configurar fácilmente RSTP.
El mismo algoritmo de árbol de expansión se utiliza tanto para STP como para RSTP para
determinar los roles de puerto y la topología.
RSTP aumenta la velocidad del recálculo del árbol de expansión cuando cambia la topología de la
red de Capa 2. RSTP puede lograr una convergencia mucho más rápida en una red configurada en
forma adecuada, a veces sólo en unos pocos cientos de milisegundos. Si un puerto está
configurado como puerto alternativo o de respaldo, puede cambiar automáticamente al estado de
reenvío sin esperar a que converja la red.
Note: PVST+ rápido es la implementación que hace Cisco de RSTP por VLAN. Con Rapid PVST +
se ejecuta una instancia independiente de RSTP para cada VLAN.
5.3.3
Estados de puerto RSTP y roles de puerto
Los estados de puerto y las funciones de puerto entre STP y RSTP son similares.
Estados de puertos STP y RSTP
Solo hay tres estados de puerto en RSTP que corresponden a los tres estados operativos
posibles en STP. Los estados de desactivación, bloqueo y escucha 802.1D se fusionan en un
único estado de descarte 802.1w.
Estados de puertos STP y RSTP
Como se muestra en la figura, los puertos raíz y los puertos designados son los mismos para
STP y RSTP. Sin embargo, hay dos roles de puerto RSTP que corresponden al estado de
bloqueo de STP. En STP, un puerto bloqueado se define como no ser el puerto designado o
raíz. RSTP tiene dos funciones de puerto para este propósito.
Puertos RSTP alternativos y de copia de seguridad
Como se muestra en la figura, el puerto alternativo tiene una ruta alternativa al puente raíz. El
puerto de copia de seguridad es una copia de seguridad en un medio compartido, como un
concentrador. Un puerto de copia de seguridad es menos común porque ahora los
concentradores se consideran dispositivos heredados.
PortFast y protección BPDU
Cuando un dispositivo está conectado a un puerto del conmutador o cuando un conmutador se

enciende, el puerto del conmutador pasa por los estados de escucha y aprendizaje, esperando
cada vez que expire el temporizador de retardo de reenvío. Este retraso es de 15 segundos para
cada estado, escuchando y aprendiendo, para un total de 30 segundos. Este retraso puede
presentar un problema para los clientes DHCP que intentan detectar un servidor DHCP. Los
mensajes DHCP del host conectado no se reenviarán durante los 30 segundos de temporizadores
de retardo de reenvío y el proceso DHCP puede agotarse. El resultado es que un cliente IPv4 no
recibirá una dirección IPv4 válida.
Note: Aunque esto puede ocurrir con clientes que envían mensajes de solicitud de enrutador
ICMPv6, el enrutador continuará enviando mensajes de anuncio de enrutador ICMPv6 para que el
dispositivo sepa cómo obtener su información de dirección.
Cuando un puerto de conmutador se configura con PortFast, ese puerto pasa del bloqueo al estado
de reenvío inmediatamente, omitiendo los estados de escucha y aprendizaje STP y evitando un
retraso de 30 segundos. Use PortFast en los puertos de acceso para permitir que los dispositivos
conectados a estos puertos, como los clientes DHCP, accedan a la red de inmediato, en lugar de
esperar a que STP converja en cada VLAN. Debido a que el propósito de PortFast es minimizar el
tiempo que los puertos de acceso deben esperar a que el árbol de expansión converja, solo debe
usarse en los puertos de acceso. Si habilita PortFast en un puerto que se conecta a otro switch,
corre el riesgo de crear un bucle de árbol de expansión. PortFast solo se puede usar en puertos
conmutadores que se conectan a dispositivos finales.
La topología de red física muestra tres conmutadores interconectados, S1, S2 y S3 y tres PC, PC1,
PC2 y PC3. S1 se conecta a S3 a través del puerto del switch F0/2 y se conecta a S2 a través del
puerto del switch F0/1 que tiene la letra D junto a él. El enlace entre S1 y S2 se etiqueta Trunk 1. El
enlace entre S1 y S3 se etiqueta Trunk 3. S1 se conecta a PC4 a través del puerto del switch F0/2
que tiene la letra D junto a él. S2 se conecta a S3 a través del puerto del switch F0/2, que tiene la
letra D junto a él y se conecta a S1 a través del puerto del switch F0/1 que tiene la letra R junto a él.
El enlace entre S2 y S3 se etiqueta Trunk 2. S2 se conecta a PC1 a través del puerto del switch
F0/11, se conecta a PC2 a través del puerto del switch F0/18 y a PC3 a través del puerto del switch
F0/6. S3 se conecta a S2 sobre el puerto del switch F0/2 que como la letra A junto a él y se conecta
a S1 sobre el puerto del switch F0/1 que tiene la letra R junto a él. Se coloca un símbolo X rojo en
el enlace troncal entre S3 y S2. La dirección IP de PC1 es 172.17.10.21. La dirección IP de PC2 es
172.17.10.22. La dirección IP de PC3 es 172.17.10.23. Un cuadro de texto lee PortFast y BPDU
Guard y tiene flechas que apuntan a los tres puertos del conmutador en S2, F0/11, F0/18 y F0/6.
En una configuración de PortFast válida, nunca se deben recibir BPDU, ya que esto indicaría
que hay otro puente o switch conectado al puerto, lo que podría causar un bucle de árbol de
expansión. Esto potencialmente causa un bucle de árbol de expansión. Para evitar que se
produzca este tipo de escenario, los switches Cisco admiten una función llamada guardia BPDU.
Cuando está habilitado, inmediatamente pone el puerto del conmutador en un estado
errdisabled (error-disabled) al recibir cualquier BPDU. Esto protege contra posibles bucles al
apagar eficazmente el puerto. La característica de protección BPDU proporciona una respuesta
segura a la configuración no válida, ya que se debe volver a activar la interfaz de forma manual.
Alternativas a STP
STP era y sigue siendo un protocolo de prevención de bucles Ethernet. A lo largo de los años, las
organizaciones requerían una mayor resiliencia y disponibilidad en la LAN. Las LAN Ethernet
pasaron de unos pocos conmutadores interconectados conectados conectados a un único
enrutador, a un sofisticado diseño de red jerárquica que incluye conmutadores de acceso,
distribución y capa central, como se muestra en la figura.
Dos topologías de red físicas que muestran un diseño de red jerárquico y un diseño de núcleo
contraído
Dependiendo de la implementación, la capa 2 puede incluir no solo la capa de acceso, sino

también la distribución o incluso las capas principales. Estos diseños pueden incluir cientos de
switches, con cientos o incluso miles de VLAN. STP se ha adaptado a la redundancia y
complejidad añadida con mejoras, como parte de RSTP y MSTP.
Un aspecto importante del diseño de red es la convergencia rápida y predecible cuando se

produce un error o un cambio en la topología. El árbol de expansión no ofrece las mismas
eficiencias y predecibilidades proporcionadas por los protocolos de enrutamiento en la Capa 3.
La figura muestra un diseño de red jerárquica tradicional con los conmutadores multicapa de
distribución y núcleo que realizan enrutamiento.
El enrutamiento de capa 3 permite rutas y bucles redundantes en la topología, sin bloquear
puertos. Por esta razón, algunos entornos están en transición a la capa 3 en todas partes,
excepto donde los dispositivos se conectan al conmutador de capa de acceso. En otras
palabras, las conexiones entre los conmutadores de capa de acceso y los conmutadores de
distribución serían Capa 3 en lugar de Capa 2, como se muestra en la siguiente figura.
Aunque es muy probable que STP siga utilizándose como mecanismo de prevención de bucles
en la empresa, en los conmutadores de capa de acceso también se están utilizando otras
tecnologías, incluidas las siguientes:
Agregación de enlaces de
● Múltiples sistemas (MLAG)

● Puente de ruta más corta (SPB)
● Interconexión transparente de muchos enlaces. (TRILL)
Note: Estas tecnologías están fuera del alcance de este curso.

Propósito de STP
Las rutas redundantes en una red Ethernet conmutada pueden causar bucles de Capa 2 físicos y
lógicos. Un bucle de capa 2 puede provocar inestabilidad en la tabla de direcciones MAC,
saturación de enlaces y alta utilización de CPU en conmutadores y dispositivos finales. Esto hace
que la red se vuelva inutilizable. A diferencia de los protocolos de Capa 3, IPv4 e IPv6, Layer 2
Ethernet no incluye un mecanismo para reconocer y eliminar tramas de bucle sin fin. Las LAN
Ethernet requieren una topología sin bucles con una única ruta entre dos dispositivos. STP es un
protocolo de red de prevención de bucles que permite redundancia mientras crea una topología de
capa 2 sin bucles. Sin STP, se pueden formar bucles de capa 2, lo que hace que las tramas de
difusión, multidifusión y unicast desconocidos se reproduzcan sin fin, lo que reduce una red. Una
tormenta de difusión es un número anormalmente alto de emisiones que abruman la red durante un
período específico de tiempo. Las tormentas de difusión pueden deshabilitar una red en cuestión
de segundos al abrumar los conmutadores y los dispositivos finales. STP se basa en un algoritmo
inventado por Radia Perlman. Su algoritmo de árbol de expansión (STA) crea una topología sin
bucles al seleccionar un único puente raíz donde todos los demás conmutadores determinan una
única ruta de menor costo.
Operaciones STP
Usando STA, STP crea una topología sin bucles en un proceso de cuatro pasos: elija el puente
raíz, elija los puertos raíz, elija los puertos designados y elija los puertos alternativos (bloqueados).
Durante las funciones STA y STP, los conmutadores utilizan BPDU para compartir información
sobre sí mismos y sus conexiones. Las BPDU se utilizan para elegir el puente raíz, los puertos raíz,
los puertos designados y los puertos alternativos. Cada BPDU contiene un BID que identifica al
switch que envió la BPDU. El BID participa en la toma de muchas de las decisiones STA, incluidos
los roles de puente raíz y puerto. El BID contiene un valor de prioridad, la dirección MAC del
conmutador y un ID de sistema extendido. El valor de BID más bajo lo determina la combinación de
estos tres campos. El switch que tiene el BID más bajo se convierte en el puente raíz. Dado que el
BID predeterminado es 32.768, es posible que dos o más conmutadores tengan la misma prioridad.
En este escenario, donde las prioridades son las mismas, el conmutador con la dirección MAC más
baja se convertirá en el puente raíz. Cuando se ha elegido el puente raíz para una instancia de
árbol de expansión dado, el STA determina las mejores rutas al puente raíz desde todos los
destinos en el dominio de difusión. La información de la ruta, conocida como el costo interno de la
ruta raíz, está determinada por la suma de todos los costos de los puertos individuales a lo largo de
la ruta desde el conmutador hasta el puente raíz. Después de determinar el puente raíz, el
algoritmo STA selecciona el puerto raíz. El puerto raíz es el puerto más cercano al puente raíz en
términos de costo total, que se denomina costo de ruta raíz interna. Después de que cada switch
selecciona un puerto raíz, los switches seleccionarán los puertos designados. El puerto designado
es un puerto en el segmento (con dos switches) que tiene el costo de ruta raíz interna al puente
raíz. Si un puerto no es un puerto raíz o un puerto designado, se convierte en un puerto alternativo
(o de copia de seguridad). Los puertos alternativos y los puertos de respaldo están en estado de
descarte o bloqueo para evitar bucles. Cuando un switch tiene varias rutas de igual costo al puente
raíz, el switch determinará un puerto utilizando los siguientes criterios: BID del remitente más bajo,
prioridad del puerto del remitente más bajo y, finalmente, el ID del puerto del remitente más bajo.
La convergencia STP requiere tres temporizadores: el temporizador de saludo, el temporizador de
retardo de avance y el temporizador de edad máxima. Los estados de puerto están bloqueando,
escuchando, aprendiendo, reenviando y deshabilitados. En las versiones PVST de STP, hay un
puente raíz elegido para cada instancia de árbol de expansión. Esto hace posible tener diferentes
puentes raíz para diferentes conjuntos de VLAN.
Evolución de STP
El término Protocolo Spanning Tree y el acrónimo STP pueden ser engañosos. STP se utiliza a
menudo para hacer referencia a las diversas implementaciones del árbol de expansión, como
RSTP y MSTP. RSTP es una evolución de STP que proporciona una convergencia más rápida que
STP. Los estados del puerto RSTP están aprendiendo, reenviando y descartando. PVST + es una
mejora de Cisco de STP que proporciona una instancia de árbol de expansión separada para cada
VLAN configurada en la red. PVST + admite PortFast, UplinkFast, BackboneFast, protección
BPDU, filtro BPDU, protección raíz y protección de bucle. Los switches de Cisco con IOS 15.0 o
posterior ejecutan PVST+ de manera predeterminada. Rapid PVST+ es una mejora de Cisco de
RSTP que utiliza PVST+ y proporciona una instancia independiente de 802.1w por VLAN. Cuando
un puerto de conmutador se configura con PortFast, ese puerto pasa del bloqueo al estado de
reenvío inmediatamente, omitiendo los estados de escucha y aprendizaje STP y evitando un
retraso de 30 segundos. Use PortFast en los puertos de acceso para permitir que los dispositivos
conectados a estos puertos, como los clientes DHCP, accedan a la red de inmediato, en lugar de
esperar a que STP converja en cada VLAN. Los switches Cisco admiten una función llamada
BPDU guard que coloca inmediatamente el puerto del switch en un estado de error deshabilitado al
recibir cualquier BPDU para protegerlo contra posibles bucles. A lo largo de los años, las LAN
Ethernet pasaron de unos pocos conmutadores interconectados conectados conectados a un único
router, a un sofisticado diseño de red jerárquica. Dependiendo de la implementación, la capa 2
puede incluir no solo la capa de acceso, sino también la distribución o incluso las capas principales.
Estos diseños pueden incluir cientos de switches, con cientos o incluso miles de VLAN. STP se ha
adaptado a la redundancia y complejidad añadida con mejoras como parte de RSTP y MSTP. El
enrutamiento de capa 3 permite rutas y bucles redundantes en la topología, sin bloquear puertos.
Por esta razón, algunos entornos están en transición a la capa 3 en todas partes, excepto donde
los dispositivos se conectan al conmutador de capa de acceso.
¡Bienvenido a EtherChannel!
El diseño de la red incluye switches y enlaces redundantes. Usted tiene alguna versión de STP
configurada para evitar bucles de Capa 2. Pero ahora usted, como la mayoría de los
administradores de red, se da cuenta de que podría usar más ancho de banda y redundancia en su
red. ¡Nada de qué preocuparse, EtherChannel está aquí para ayudarle! EtherChannel agrega
enlaces entre dispositivos en paquetes. Estos paquetes incluyen enlaces redundantes. STP puede
bloquear uno de esos enlaces, pero no los bloqueará todos. ¡Con EtherChannel su red puede tener
redundancia, prevención de bucles y mayor ancho de banda!
Hay dos protocolos, PAgP y LACP. Este módulo explica ambos y también muestra cómo
configurarlos, verificarlos y solucionarlos. Un Verificador de sintaxis y dos actividades Packet Tracer
le ayudan a comprender mejor estos protocolos. ¿Qué está esperando?
6.0.2
Título del módulo: EtherChannel
Objetivos del módulo: Resuelva problemas de EtherChannel en enlaces conmutados.
Funcionamiento de
Describa la tecnología EtherChannel.
EtherChannel
Configuración de EtherChannel Configure EtherChannel.
Verificación y solución de
Solucione problemas de EtherChannel.
problemas de EtherChannel
Añadidura de enlaces
Hay escenarios en los que se necesita más ancho de banda o redundancia entre dispositivos que
lo que puede proporcionar un único enlace. Se pueden conectar varios enlaces entre dispositivos
para aumentar el ancho de banda. Sin embargo, el Spanning Tree Protocol (STP), que está
habilitado en dispositivos de capa 2 como switches de Cisco de forma predeterminada, bloqueará
enlaces redundantes para evitar bucles de switching, como se muestra en la figura.
Se necesita una tecnología de agregación de enlaces que permita enlaces redundantes entre
dispositivos que no serán bloqueados por STP. Esa tecnología se conoce como EtherChannel.
EtherChannel es una tecnología de agregación de enlaces que agrupa varios enlaces Ethernet
físicos en un único enlace lógico. Se utiliza para proporcionar tolerancia a fallos, uso compartido de
carga, mayor ancho de banda y redundancia entre switches, routers y servidores.
La tecnología de EtherChannel hace posible combinar la cantidad de enlaces físicos entre los
switches para aumentar la velocidad general de la comunicación switch a switch.
EtherChannel
En los inicios, Cisco desarrolló la tecnología EtherChannel como una técnica switch a switch LAN
para agrupar varios puertos Fast Ethernet o gigabit Ethernet en un único canal lógico. Cuando se
configura un EtherChannel, la interfaz virtual resultante se denomina “canal de puertos”. Las
interfaces físicas se agrupan en una interfaz de canal de puertos, como se muestra en la figura.
dos switches multicapa conectados cada uno a un switch LAN a través de dos conexiones de red
físicas; ambas conexiones se han combinado en un EtherChannel
Ventajas de EtherChannel
La tecnología EtherChannel tiene muchas ventajas, que incluye:
● La mayoría de las tareas de configuración se pueden realizar en la interfaz EtherChannel

en lugar de en cada puerto individual, lo que asegura la coherencia de configuración en
todos los enlaces.
● EtherChannel depende de los puertos de switch existentes. No es necesario actualizar el
enlace a una conexión más rápida y más costosa para tener más ancho de banda.
● El equilibrio de carga ocurre entre los enlaces que forman parte del mismo EtherChannel.
Según la plataforma de hardware, se pueden implementar uno o más métodos de equilibrio
de carga. Estos métodos incluyen equilibrio de carga de la MAC de origen a la MAC de
destino o equilibrio de carga de la IP de origen a la IP de destino, a través de enlaces
físicos.
● EtherChannel crea una agregación que se ve como un único enlace lógico. Cuando existen
varios grupos EtherChannel entre dos switches, STP puede bloquear uno de los grupos
para evitar los bucles de switching. Cuando STP bloquea uno de los enlaces redundantes,
bloquea el EtherChannel completo. Esto bloquea todos los puertos que pertenecen a ese
enlace EtherChannel. Donde solo existe un único enlace EtherChannel, todos los enlaces
físicos en el EtherChannel están activos, ya que STP solo ve un único enlace (lógico).
● EtherChannel proporciona redundancia, ya que el enlace general se ve como una única
conexión lógica. Además, la pérdida de un enlace físico dentro del canal no crea ningún
cambio en la topología. Por lo tanto, no es necesario volver a calcular el árbol de
expansión. Suponiendo que haya por lo menos un enlace físico presente, el EtherChannel
permanece en funcionamiento, incluso si su rendimiento general disminuye debido a la
pérdida de un enlace dentro del EtherChannel.
6.1.4
Restricciones de implementación
EtherChannel tiene ciertas restricciones de implementación, entre las que se incluyen las
siguientes:
● No pueden mezclarse los tipos de interfaz. Por ejemplo, Fast Ethernet y Gigabit Ethernet no
se pueden mezclar dentro de un único EtherChannel.
● En la actualidad, cada EtherChannel puede constar de hasta ocho puertos Ethernet
configurados de manera compatible. El EtherChannel proporciona un ancho de banda full-
duplex de hasta 800 Mbps (Fast EtherChannel) u 8 Gbps (Gigabit EtherChannel) entre un
switch y otro switch o host.
● El switch Cisco Catalyst 2960 Layer 2 soporta actualmente hasta seis EtherChannels. Sin
embargo, a medida que se desarrollan nuevos IOS y cambian las plataformas, algunas
tarjetas y plataformas pueden admitir una mayor cantidad de puertos dentro de un enlace
EtherChannel, así como una mayor cantidad de Gigabit EtherChannels.
● La configuración de los puertos individuales que forman parte del grupo EtherChannel debe
ser coherente en ambos dispositivos. Si los puertos físicos de un lado se configuran como
enlaces troncales, los puertos físicos del otro lado también se deben configurar como
enlaces troncales dentro de la misma VLAN nativa. Además, todos los puertos en cada
enlace EtherChannel se deben configurar como puertos de capa 2.
● Cada EtherChannel tiene una interfaz de canal de puertos lógica, como se muestra en la
figura. La configuración aplicada a la interfaz de canal de puertos afecta a todas las
interfaces físicas que se asignan a esa interfaz.
Protocolos de negociación automática
Los EtherChannels se pueden formar por medio de una negociación con uno de dos protocolos:
Port Aggregation Protocol (PAgP) o Link Aggregation Control Protocol (LACP). Estos protocolos
permiten que los puertos con características similares formen un canal mediante una negociación
dinámica con los switches adyacentes.
Nota: También es posible configurar un EtherChannel estático o incondicional sin PAgP o LACP.
6.1.6
Funcionamiento PAgP
PAgP (pronunciado “Pag - P”) es un protocolo patentado por Cisco que ayuda en la creación
automática de enlaces EtherChannel. Cuando se configura un enlace EtherChannel mediante
PAgP, se envían paquetes PAgP entre los puertos aptos para EtherChannel para negociar la
formación de un canal. Cuando PAgP identifica enlaces Ethernet compatibles, agrupa los enlaces
en un EtherChannel. El EtherChannel después se agrega al árbol de expansión como un único
puerto.
Cuando se habilita, PAgP también administra el EtherChannel. Los paquetes PAgP se envían cada
30 segundos. PAgP revisa la coherencia de la configuración y administra los enlaces que se
agregan, así como las fallas entre dos switches. Cuando se crea un EtherChannel, asegura que
todos los puertos tengan el mismo tipo de configuración.
Nota: En EtherChannel, es obligatorio que todos los puertos tengan la misma velocidad, la misma
configuración de dúplex y la misma información de VLAN. Cualquier modificación de los puertos
después de la creación del canal también modifica a los demás puertos del canal.
PAgP ayuda a crear el enlace EtherChannel al detectar la configuración de cada lado y asegurarse
de que los enlaces sean compatibles, de modo que se pueda habilitar el enlace EtherChannel
cuando sea necesario. Los modos de PAgP de la siguiente manera:
● On - Este modo obliga a la interfaz a proporcionar un canal sin PAgP. Las interfaces
configuradas en el modo encendido no intercambian paquetes PAgP.
● PAgP deseable - Este modo PAgP coloca una interfaz en un estado de negociación activa
en el que la interfaz inicia negociaciones con otras interfaces al enviar paquetes PAgP.
● PAgP automático - Este modo PAgP coloca una interfaz en un estado de negociación
pasiva en el que la interfaz responde a los paquetes PAgP que recibe, pero no inicia la
negociación PAgP.
Los modos deben ser compatibles en cada lado. Si se configura un lado en modo automático, se
coloca en estado pasivo, a la espera de que el otro lado inicie la negociación del EtherChannel. Si
el otro lado se establece en modo automático, la negociación nunca se inicia y no se forma el canal
EtherChannel. Si se deshabilitan todos los modos usando no el comando, o si se configura el modo
no, el EtherChannel se deshabilitará.
El modo encendido coloca manualmente la interfaz en un EtherChannel, sin ninguna negociación.

Funciona solo si el otro lado también se establece en modo encendido. Si el otro lado se establece
para negociar los parámetros a través de PAgP, no se forma ningún EtherChannel, ya que el lado
que se establece en modo encendido no negocia.
El hecho de que no haya negociación entre los dos switches significa que no hay un control para
asegurarse de que todos los enlaces en el EtherChannel terminen del otro lado o de que haya
compatibilidad con PAgP en el otro switch.
Ejemplo de configuración del modo PAgP
Considere los dos switches en la figura. Si S1 y S2 establecen un EtherChannel usando PAgP

depende de la configuración de modo en cada lado del canal.
La tabla muestra las diversas combinaciones de modos PAgP en S1 y S2 y el resultado del

establecimiento de canales.
Modos PAgP
S1 S2 Establecimiento del canal
Activo Activo Sí
Activado Desdeseable/Automático No
Deseado Deseado Sí
Deseado Automático Sí
Automático Deseado Sí
Automático Automático No
6.1.8
Operación LACP
LACP forma parte de una especificación IEEE (802.3ad) que permite agrupar varios puertos físicos
para formar un único canal lógico. LACP permite que un switch negocie un grupo automático
mediante el envío de paquetes LACP al otro switch. Realiza una función similar a PAgP con
EtherChannel de Cisco. Debido a que LACP es un estándar IEEE, se puede usar para facilitar los
EtherChannels en entornos de varios proveedores. En los dispositivos de Cisco, se admiten ambos
protocolos.
Nota: LACP en los inicios, se definió como IEEE 802.3ad. Sin embargo, LACP ahora se define en
el estándar más moderno IEEE 802.1AX para la redes de área local y metropolitana.
LACP proporciona los mismos beneficios de negociación que PAgP. LACP ayuda a crear el enlace
EtherChannel al detectar la configuración de cada lado y al asegurarse de que sean compatibles,
de modo que se pueda habilitar el enlace EtherChannel cuando sea necesario. Los modos para
LACP son los siguientes:
● On - Este modo obliga a la interfaz a proporcionar un canal sin LACP. Las interfaces
configuradas en el modo encendido no intercambian paquetes LACP.
● LACP activo - Este modo de LACP coloca un puerto en estado de negociación activa. En
este estado, el puerto inicia negociaciones con otros puertos mediante el envío de paquetes
LACP.
● LACP pasivo - Este modo de LACP coloca un puerto en estado de negociación pasiva. En
este estado, el puerto responde a los paquetes LACP que recibe, pero no inicia la
negociación de paquetes LACP.
Al igual que con PAgP, los modos deben ser compatibles en ambos lados para que se forme el
enlace EtherChannel. Se repite el modo encendido, ya que crea la configuración de EtherChannel
incondicionalmente, sin la negociación dinámica de PAgP o LACP.
El protocolo LACP permite ocho enlaces activos y, también, ocho enlaces de reserva. Un enlace de
reserva se vuelve activo si falla uno de los enlaces activos actuales.
6.1.9
Ejemplo de configuración del modo LACP
Considere los dos switches en la figura. Si S1 y S2 establecen un EtherChannel usando LACP

depende de la configuración de modo en cada lado del canal.
La tabla muestra las diversas combinaciones de modos LACP en S1 y S2 y el resultado
resultante del establecimiento de canales.
Modos LACP
S1 S2 Establecimiento del canal
Activo Activo Sí
Activado Activo/pasivo No
Activo Activo Sí
Activo Pasivo Sí
Pasivo Activo Sí
Pasivo Pasivo No
Instrucciones de configuración
Ahora que ya sabe qué es EtherChannel, en este tema se explica cómo configurarlo. Las siguientes
pautas y restricciones son útiles para configurar EtherChannel:
● Soporte de EtherChannel - Todas las interfaces Ethernet deben admitir EtherChannel, sin
necesidad de que las interfaces sean físicamente contiguas
● Velocidad y dúplex - Configure todas las interfaces en un EtherChannel para que
funcionen a la misma velocidad y en el mismo modo dúplex.
● Coincidencia VLAN - Todas las interfaces en el grupo EtherChannel se deben asignar a la
misma VLAN o se deben configurar como enlace troncal (mostrado en la figura).
● Rango de VLAN - An EtherChannel supports the same allowed range of VLANs on all the
interfaces in a trunking EtherChannel. If the allowed range of VLANs is not the same, the
interfaces do not form an EtherChannel, even when they are set to modo or auto desirable.
La figura muestra una configuración que permitiría que se forme un EtherChannel entre el S1 y el
S2.
En la siguiente figura, los puertos de S1 están configurados en modo semidúplex. Por lo tanto,
no se formará un EtherChannel entre el S1 y el S2.
Si se deben modificar estos parámetros, configúrelos en el modo de configuración de interfaz de

canal de puertos. Cualquier configuración que se aplique a la interfaz de canal de puertos también
afectará a las interfaces individuales. Sin embargo, las configuraciones que se aplican a las
interfaces individuales no afectan a la interfaz de canal de puertos. Por ello, realizar cambios de
configuración a una interfaz que forma parte de un enlace EtherChannel puede causar problemas
de compatibilidad de interfaces.
El canal de puertos se puede configurar en modo de acceso, modo de enlace troncal (más
frecuente) o en un puerto enrutado.
6.2.2
Ejemplo de Configuración de LACP

EtherChannel está deshabilitado de forma predeterminada y debe configurarse. La topología de la
figura se utilizará para demostrar un ejemplo de configuración de EtherChannel utilizando LACP.
La configuración de EtherChannel con LACP requiere tres pasos:
Paso 1. Especifique las interfaces que conforman el grupo EtherChannel mediante el interface
range el comando de modo de configuración interface global. La palabra clave range le permite
seleccionar varias interfaces y configurarlas a la vez.
Paso 2. Cree la interfaz port channel con el channel-group comando mode active identifier en
el modo de configuración de interface range. El identificador especifica el número del grupo del
canal. Las mode active palabras clave identifican a esta configuración como EtherChannel
LACP.
Paso 3. Para cambiar la configuración de capa 2 en la interfaz de canal de puertos, ingrese al

modo de configuración de interfaz de canal de puertos mediante el interface port-channel
comando, seguido del identificador de la interfaz. En el ejemplo, S1 está configurado con un
EtherChannel LACP. El canal de puertos está configurado como interfaz de enlace troncal con
VLAN permitidas específicas.
S1(config)# interface range FastEthernet 0/1 - 2

S1(config-if-range)# channel-group 1 mode active
Creating a port-channel interface Port-channel 1
S1(config-if-range)# exit
S1(config)# interface port-channel 1
S1(config)# switchport mode trunk
S1(config)# switchport trunk allowed vlan 1,2,20
Verificador de sintaxis -
Configuración EtherChannel
Configurar EtherChannel para S2 en función de los requisitos

especificados
dos switches, S1 y S2, están conectados entre sí a través de dos

conexiones de red físicas que han formado un EtherChannel; el puerto F0/1
en S1 está conectado al puerto F0/1 en S2; el puerto F0/2 en S1 está
conectado al puerto F0/2 en S2
Ingrese al modo interface range para FastEthernet0/1 y FastEthernet0/2. Úselo fa 0/1 - 2

como designación de interfaz.
S1(config)#interface range fa 0/1 - 2
Usar ayuda sensible al contexto (?) para mostrar las opciones del channel-group
comando.
S1(config-if-range)#channel-group ?
<1-6> Channel group number
Seleccione channel-group 1 y muestre la siguiente opción.
S1(config-if-range)#channel-group 1 ?
mode Etherchannel Mode of the interface
Introduzca la mode palabra clave y muestre las siguientes opciones.
S1(config-if-range)#channel-group 1 mode ?
active Enable LACP unconditionally
auto Enable PAgP only if a PAgP device is detected
desirable Enable PAgP unconditionally
on Enable Etherchannel only
passive Enable LACP only if a LACP device is detected
Configure el grupo de canales para que use LACP incondicionalmente.
S1(config-if-range)#channel-group 1 mode active

*Mar 21 00:02:28.184: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/1, changed state
to down
to down
to up
to up
to down
to down
to up
*Mar 21 00:04:34.114: %LINK-3-UPDOWN: Interface Port-channel1, changed
state to up
to up
Port-channel1, changed state to
up
Configure los parámetros de switchport para el canal de puertos que se creó.
● Enter interface configuration mode for canal de puertos 1

● Configurar el canal de puerto 1 como troncal
● Allow VLANS 1,2,20 para cruzar el enlace troncal. Introduzca las VLAN como se
muestra sin espacios.
S1(config-if-range)#interface port-channel 1
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk allowed vlan 1,2,20
Configuró correctamente EtherChannel.
Verificar EtherChannel
Como siempre, al configurar dispositivos en su red, debe verificar su

configuración. Si hay problemas, también deberá poder solucionarlos y
solucionarlos. En este tema se proporcionan los comandos que se deben
verificar, así como algunos problemas comunes de red EtherChannel y sus
soluciones.
Los ejemplos de comandos de verificación utilizarán la topología mostrada

en la figura.
dos switches, S1 y S2, están conectados entre sí a través de dos
conexiones de red físicas que han formado un EtherChannel; el puerto F0/1
en S1 está conectado al puerto F0/1 en S2; el puerto F0/2 en S1 está
conectado al puerto F0/2 en S2
El show interfaces port-channel commando muestra el estado general de la interfaz de

canal de puertos. En la figura, la interfaz de canal de puertos 1 está activa.
S1# show interfaces port-channel 1

Port-channel1 is up, line protocol is up (connected)
Hardware is EtherChannel, address is c07b.bcc4.a981 (bia c07b.bcc4.a981)
(resultado omitido)
Cuando se configuren varias interfaces de canal de puertos en el mismo dispositivo,

puede usar el comando show etherchannel summary para mostrar una única línea de
información por canal de puertos. En el resultado, el switch tiene un EtherChannel
configurado; el grupo 1 utiliza el LACP.
El grupo de interfaces consta de las interfaces FastEthernet0/1 y FastEthernet0/2. El

grupo es un EtherChannel de capa 2 y está en uso, según lo indican las letras SU junto al
número de canal de puertos.
S1# show etherchannel summary

Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use N - not in use, no aggregation
f - failed to allocate aggregator
M - not in use, minimum links not met
m - not in use, port not aggregated due to minimum links not met
u - unsuitable for bundling
w - waiting to be aggregated
d - default port
A - formed by Auto LAG
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) LACP Fa0/1(P) Fa0/2(P)
Use el comando show etherchannel port-channel para mostrar información sobre la

interfaz del canal de puertos específica, como se muestra en el resultado. En el ejemplo,
la interfaz de canal de puertos 1 consta de dos interfaces físicas, FastEthernet0/1 y
FastEthernet0/2. Esta usa LACP en modo activo. Está correctamente conectada a otro
switch con una configuración compatible, razón por la cual se dice que el canal de
puertos está en uso.
S1# show etherchannel port-channel

Channel-group listing:
—
Group: 1
----------
Canales de puerto en el grupo:
---------------------------
Canal de puerto: Po1 (agregador principal)
------------
Age of the Port-channel = 0d:01h:02m:10s
Logical slot/port = 2/1 Number of ports = 2
HotStandBy port = null
Port state = Port-channel Ag-Inuse
Protocol = LACP
Port security = Disabled
Load share deferral = Disabled
Ports in the Port-channel:
Index Load Port EC state No of bits
------+------+------+------------------+-----------
0 00 Fa0/1 Active 0
0 00 Fa0/2 Active 0
Time since last port bundled: 0d:00h:09m:30s Fa0/2
En cualquier miembro de una interfaz física de un grupo EtherChannel, el show interfaces

etherchannel comando puede proporcionar información sobre la función de la interfaz en
el EtherChannel, como se muestra en el resultado. La interfaz FastEthernet0/1 forma parte
del grupo EtherChannel 1. El protocolo para este EtherChannel es LACP.
S1# show interfaces f0/1 etherchannel

Port state = Up Mstr Assoc In-Bndl
Channel group = 1 Mode = Active Gcchange = -
Port-channel = Po1 GC = - Pseudo port-channel = Po1
Port index = 0 Load = 0x00 Protocol = LACP
Flags: S - Device is sending Slow LACPDUs F - Device is sending fast LACPDUs.
A - Device is in active mode. P - Device is in passive mode.
Local information:
LACP port Admin Oper Port
Port Flags State Priority Key Number State
Fa0/1 SA bndl 32768 0x1 0x1 0x102 0x3D
Partner's information:
CP port Admin Oper Port Port
Port Flags Priority Dev ID Age key Key Number State
Fa0/1 SA 32768 c025.5cd7.ef00 12s 0x0 0x1 0x102 0x3Dof the port in the current state:
0d:00h:11m:51sllowed vlan 1,2,20
Common Issues with EtherChannel

Configurations
Todas las interfaces dentro de un EtherChannel deben tener la misma configuración de

velocidad y modo dúplex, de VLAN nativas y permitidas en los enlaces troncales, y de VLAN
de acceso en los puertos de acceso. Garantizar estas configuraciones reducirá
significativamente los problemas de red relacionados con EtherChannel. Entre los
problemas comunes de EtherChannel se incluyen los siguientes:
● Los puertos asignados en el EtherChannel no son parte de la misma VLAN ni son

configurados como enlace troncal. Los puertos con VLAN nativas diferentes no
pueden formar un EtherChannel. La* conexión troncal se configuró en algunos de los
puertos que componen el EtherChannel, pero no en todos ellos. No se recomienda
que configure el modo de enlace troncal en los puertos individuales que conforman
el EtherChannel. Al configurar un enlace troncal en un EtherChannel, compruebe el
modo de enlace troncal en EtherChannel.
● If the allowed range of VLANs is not the same, the ports do not form an EtherChannel
even when PAgP is set to the modo or auto deseable.
● Las opciones de negociación dinámica para PAgP y LACP no se encuentran
configuradas de manera compatible en ambos extremos del EtherChannel.
Nota: Es fácil confundir PAgP o LACP con DTP, ya que ambos son protocolos que se usan
para automatizar el comportamiento en los enlaces troncales. PAgP y LACP se usan para la
agregación de enlaces (EtherChannel). DTP se usa para automatizar la creación de enlaces
troncales. Cuando se configura un enlace troncal de EtherChannel, normalmente se
configura primero EtherChannel (PAgP o LACP) y después DTP.
6.3.3
Ejemplo de solucionar problemas de

EtherChannel.
En la figura, las interfaces F0/1 y F0/2 en los switches S1 y S2 se conectan con un

EtherChannel. Sin embargo, el EtherChannel no está operativo.
Paso 1. Ver la información de resumen de EtherChannel
La salida del show etherchannel summary comando indica que el EtherChannel está
caído.

d - default port
------+-------------+-----------+-----------------------------------------------
1 PO1 (SD) - Fa0/1 (D) Fa0/2 (D)
Paso 2. Verifique la configuración de canalización de puerto
En la show run | begin interface port-channel salida, una salida más detallada indica que
existen modos PAgP incompatibles configurados en los switches S1 y S2.
S1# show run | begin interface port-channel

interface Port-channel1
switchport trunk allowed vlan 1,2,20
!
channel-group 1 mode on
!
channel-group 1 mode on
! ======================================
S2# show run | begin interface port-channel
interface Port-channel1
!
channel-group 1 mode desirable
!
channel-group 1 mode desirable
Paso 3. Corregir las configuraciones incorrectas
Para corregir el problema, el modo PAgP en el EtherChannel se cambia a deseable.
Nota: EtherChannel y STP deben interoperar. Por este motivo, el orden en el que se
introducen los comandos relacionados con EtherChannel es importante, y por ello se
puede ver que se quitó el canal de puertos de interfaz1 y después se volvió a agregar con
el channel-group comando, en vez de cambiarse directamente. Si se intenta cambiar la
configuración directamente, los errores STP hacen que los puertos asociados entren en
estado de bloqueo o errdisabled.
S1(config)# no interface port-channel 1

S1(config)# interface range fa0/1 - 2
S1(config-if-range)# channel-group 1 mode desirable
Creating a port-channel interface Port-channel 1
S1(config-if-range)# no shutdown
S1(config-if-range)# channel-group 1 mode desirable
S1(config-if-range)# no shutdown
S1(config-if-range)# interface port-channel 1
S1(config-if)# finalizar
S1#
Paso 4. Verificar que EtherChannel este en funcionamiento
El EtherChannel ahora está activo según lo verificado por la salida del show etherchannel
summary comando.

d - default port
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) PAgP Fa0/1(P) Fa0/2(P)
Operación con EtherChannel
Para aumentar el ancho de banda o la redundancia, se pueden conectar varios enlaces entre
dispositivos. Sin embargo, el STP bloquea los enlaces redundantes para evitar los bucles de
switching. EtherChannel es una tecnología de agregación de enlaces que permite enlaces
redundantes entre dispositivos que no serán bloqueados por STP. EtherChannel agrupa
varios enlaces Ethernet físicos en un único enlace lógico. Proporciona tolerancia a fallos,
uso compartido de carga, mayor ancho de banda y redundancia entre conmutadores,
enrutadores y servidores. Cuando se configura un EtherChannel, la interfaz virtual resultante
se denomina “canal de puertos”. EtherChannel tiene varias ventajas, así como algunas
restricciones a la implementación. Los EtherChannels se pueden formar por medio de una
negociación con uno de dos protocolos: PAgP o LACP. Estos protocolos permiten que los
puertos con características similares formen un canal mediante una negociación dinámica
con los switches adyacentes. Cuando se configura un enlace EtherChannel mediante un
propietario Cisco PAgP, se envían paquetes PAgP entre los puertos aptos para
EtherChannel para negociar la formación de un canal. Los modos PAgP se encienden, PAgP
deseable y PAgP automático. LACP realiza una función similar a PAgP con EtherChannel de
Cisco. Debido a que LACP es un estándar IEEE, se puede usar para facilitar los
EtherChannels en entornos de varios proveedores. Los modos LACP se encienden, LACP
activo y LACP pasivo.
Configurar EtherChannel
Las siguientes pautas y restricciones son útiles para configurar EtherChannel:

● Compatibilidad con EtherChannel - Todas las interfaces Ethernet en todos los
módulos deben admitir EtherChannel, sin necesidad de que las interfaces sean
físicamente contiguas o estén en el mismo módulo.
● Velocidad y dúplex - Configure todas las interfaces en un EtherChannel para que
funcionen a la misma velocidad y en el mismo modo dúplex.
● VLAN match - Todas las interfaces en el grupo EtherChannel se deben asignar a la
misma VLAN o se deben configurar como enlace troncal.
● Rango de VLAN - Un EtherChannel admite el mismo rango permitido de VLAN en
todas las interfaces de un EtherChannel de enlace troncal.
La configuración de EtherChannel con LACP requiere tres pasos:
Paso 1. Especifique las interfaces que conforman el grupo EtherChannel mediante el

comando de modo de configuración global interface range.
Paso 2. Cree la interfaz de canal de puerto con el comando channel-group identifier mode
active en el modo de configuración de rango de interfaz.
Paso 3. Para cambiar la configuración de capa 2 en la interfaz de canal de puertos, ingrese al

modo de configuración de interfaz de canal de puertos mediante el comando interface port-
channel, seguido del identificador de la interfaz.
Verificar y resolver problemas de EtherChannel.
Existe una variedad de comandos para verificar una configuración EtherChannel que
incluye, show interfaces port-channel, show etherchannel summary, show etherchannel
port-channel y show interfaces etherchannel. Entre los problemas comunes de EtherChannel
se incluyen los siguientes:
● Los puertos asignados en el EtherChannel no son parte de la misma VLAN ni son

configurados como enlace troncal. Los puertos con VLAN nativas diferentes no
pueden formar un EtherChannel.
● La conexión troncal se configuró en algunos de los puertos que componen el
EtherChannel, pero no en todos ellos. Si el rango permitido de VLAN no es el mismo,
los puertos no forman un EtherChannel, incluso cuando PAgP se establece en modo
automático o deseado. Las opciones de negociación dinámica para PAgP y LACP no
se encuentran configuradas de manera compatible en ambos extremos del
EtherChannel.
¡Bienvenido a DHCPv4!
El protocolo de configuración dinámica de host (DHCP) se utiliza para asignar direcciones
IPv4 dinámicamente a hosts de red. DHCPv4 es para una red IPv4. (No se preocupe,
aprenderá acerca de DHCPv6 en otro módulo.) Esto significa que usted, el administrador de
la red, no tiene que pasar el día configurando direcciones IP para cada dispositivo de la red.
En una pequeña casa u oficina, eso no sería muy difícil, pero cualquier red grande podría
tener cientos, o incluso miles de dispositivos.
En este módulo, aprenderá a configurar un router Cisco IOS para que sea un servidor
DHCPv4. A continuación, aprenderá cómo configurar un router Cisco IOS como cliente. Este
módulo incluye algunos comprobadores de sintaxis y una actividad Packet Tracer para
ayudarle a probar sus nuevos conocimientos. Las habilidades de configuración DHCPv4
reducirán significativamente su carga de trabajo, ¿y quién no quiere eso?
Título del módulo: DHCPv4
Objetivos del módulo: Implemente DHCPv4 para operar en varias LAN.
Explicar la forma en la que funciona DHCPv4 en la red

Conceptos DHCPv4
de una pequeña o mediana empresa .
Configurar un servidor DHCPv4

Configure un router como servidor DHCPv4.
del IOS de Cisco
Configurar un cliente DHCPv4 Configure un router como cliente DHCPv4.
Servidor y cliente DHCPv4
Dynamic Host Configuration Protocol v4 (DHCPv4) asigna direcciones IPv4 y otra

información de configuración de red dinámicamente. Dado que los clientes de escritorio
suelen componer gran parte de los nodos de red, DHCPv4 es una herramienta
extremadamente útil para los administradores de red y que ahorra mucho tiempo.
Un servidor de DHCPv4 dedicado es escalable y relativamente fácil de administrar. Sin

embargo, en una sucursal pequeña o ubicación SOHO, se puede configurar un router Cisco
para proporcionar servicios DHCPv4 sin necesidad de un servidor dedicado. El software
Cisco IOS admite un servidor DHCPv4 con funciones completas opcional.
El servidor DHCPv4 asigna dinámicamente, o arrienda, una dirección IPv4 de un conjunto de

direcciones durante un período limitado elegido por el servidor o hasta que el cliente ya no
necesite la dirección.
Los clientes arriendan la información del servidor durante un período definido
administrativamente. Los administradores configuran los servidores de DHCPv4 para
establecer los arrendamientos, a fin de que caduquen a distintos intervalos. El
arrendamiento típicamente dura de 24 horas a una semana o más. Cuando caduca el
arrendamiento, el cliente debe solicitar otra dirección, aunque generalmente se le vuelve a
asignar la misma.
Funcionamiento de DHCPv4
DHCPv4 funciona en un modo cliente/servidor. Cuando un cliente se comunica con un

servidor de DHCPv4, el servidor asigna o arrienda una dirección IPv4 a ese cliente. El cliente
se conecta a la red con esa dirección IPv4 arrendada hasta que caduque el arrendamiento. El
cliente debe ponerse en contacto con el servidor de DHCP periódicamente para extender el
arrendamiento. Este mecanismo de arrendamiento asegura que los clientes que se trasladan
o se desconectan no mantengan las direcciones que ya no necesitan. Cuando caduca un
arrendamiento, el servidor de DHCP devuelve la dirección al conjunto, donde se puede
volver a asignar según sea necesario.
7.1.3
Pasos para obtener un arrendamiento
Cuando el cliente arranca (o quiere unirse a una red), comienza un proceso de cuatro pasos
para obtener un arrendamiento:
1. Detección de DHCP (DHCPDISCOVER)

2. Oferta de DHCP (DHCPOFFER)
3. Solicitud de DHCP (DHCPREQUEST)
4. Acuse de recibo de DHCP (DHCPACK)
Paso 1. Detección DHCP (DHCPDISCOVER)

El cliente inicia el proceso con un mensaje de difusión DHCPDISCOVER con su propia
dirección MAC para detectar los servidores de DHCPv4 disponibles. Dado que el cliente
no tiene información de IPv4 válida durante el arranque, utiliza direcciones de difusión de
capa 2 y de capa 3 para comunicarse con el servidor. El próposito del mensaje
DHCPDISCOVER es encontrar los servidores de DHCPv4 en la red.
Paso 2. Ofrecimiento de DHCP (DHCPOFFER)
Cuando el servidor de DHCPv4 recibe un mensaje DHCPDISCOVER, reserva

una dirección IPv4 disponible para arrendar al cliente. El servidor
también crea una entrada ARP que consta de la dirección MAC del cliente
que realiza la solicitud y la dirección IPv4 arrendada del cliente. El
servidor de DHCPv4 envía el mensaje DHCPOFFER asignado al cliente que
realiza la solicitud.
paso 2 del proceso DHCPv4 es un mensaje de unidifusión DHCPOFFER

enviado desde el servidor DHCPv4 al cliente DHCPv4 que dice, en
esencia, soy un servidor DHCPv4, aquí hay una oferta de direcciones
Paso 3. Solicitud de DHCP (DHCPREQUEST)

Cuando el cliente recibe el mensaje DHCPOFFER proveniente del servidor, envía un
mensaje DHCPREQUEST. Este mensaje se utiliza tanto para el origen como para la
renovación del arrendamiento. Cuando se utiliza para el origen del arrendamiento, el
mensaje DHCPREQUEST sirve como notificación de aceptación vinculante al servidor
seleccionado para los parámetros que ofreció y como un rechazo implícito a cualquier
otro servidor que pudiera haber proporcionado una oferta vinculante al cliente.
Muchas redes empresariales utilizan varios servidores de DHCPv4. El mensaje

DHCPREQUEST se envía en forma de difusión para informarle a este servidor de DHCPv4
y a cualquier otro servidor de DHCPv4 acerca de la oferta aceptada.
Paso 4. Confirmación de DHCP (DHCPACK)
Al recibir el mensaje DHCPREQUEST, el servidor verifica la información del

arrendamiento con un ping ICMP a esa dirección para asegurarse de que no esté en uso,
crea una nueva entrada ARP para el arrendamiento del cliente y responde con un mensaje
DHCPACK. El mensaje DHCPACK es un duplicado del mensaje DHCPOFFER, a excepción
de un cambio en el campo de tipo de mensaje. Cuando el cliente recibe el mensaje
DHCPACK, registra la información de configuración y realiza una búsqueda de ARP para
la dirección asignada. Si no hay respuesta al ARP, el cliente sabe que la dirección IPv4 es
válida y comienza a utilizarla como propia.
Pasos para renovar un contrato de

arrendamiento
Antes de la expiración de la concesión, el cliente inicia un proceso de dos pasos para
renovar la concesión con el servidor DHCPv4, como se muestra en la figura:
1. Detección DHCP (DHCPREQUEST)
Antes de que caduque el arrendamiento, el cliente envía un mensaje DHCPREQUEST

directamente al servidor de DHCPv4 que ofreció la dirección IPv4 en primera instancia. Si no
se recibe un mensaje DHCPACK dentro de una cantidad de tiempo especificada, el cliente
transmite otro mensaje DHCPREQUEST de modo que uno de los otros servidores de
DHCPv4 pueda extender el arrendamiento.
2. Ofrecimiento de DHCP (DHCPACK)
Al recibir el mensaje DHCPREQUEST, el servidor verifica la información del arrendamiento al

devolver un DHCPACK.
Nota: Estos mensajes (principalmente DHCPOFFER y DHCPACK) se pueden enviar como

unidifusión o difusión según la IETF RFC 2131.
Configure un servidor
DHCPv4 del IOS de Cisco
7.2.1
Servidor Cisco IOS DHCPv4
Ahora usted tiene una comprensión básica de cómo funciona DHCPv4 y cómo
puede hacer su trabajo un poco más fácil. Si no tiene un servidor DHCPv4
independiente, este tema le mostrará cómo configurar un router Cisco IOS
para que actúe como uno. Un router Cisco que ejecuta el software IOS de
Cisco puede configurarse para que funcione como servidor de DHCPv4. El
servidor de DHCPv4 que utiliza IOS de Cisco asigna y administra
direcciones IPv4 de conjuntos de direcciones especificados dentro del
router para los clientes DHCPv4.
La topología de red muestra un router, que funciona como un servidor

DHCPv4, conectando dos LAN juntas. A la izquierda está la red
192.168.10.0/24 que consiste en el host PC1 conectado al switch S1
conectado al router R1 en G0/0/0 con una dirección de .1. A la derecha
está la red 192.168.11.0/24 que consiste en el host PC2 y un servidor DNS
en la dirección 192.168.11.6/24 conectado al switch S2 que está conectado
a R1 en G0/0/1 con una dirección de .1.
Pasos para configurar un
servidor DHCPv4 del IOS de
Cisco
Utilice los siguientes pasos para configurar un servidor DHCPv4 del IOS
de Cisco:
Paso 1. Excluir direcciones IPv4
Paso 2. Defina un nombre de grupo DHCPv4.
Paso 3. Configure el grupo DHCPv4.
Paso 1. Excluir direcciones IPv4
El router que funciona como servidor de DHCPv4 asigna todas las

direcciones IPv4 en un conjunto de direcciones DHCPv4, a menos que esté
configurado para excluir direcciones específicas. Generalmente, algunas
direcciones IPv4 de un conjunto se asignan a dispositivos de red que
requieren asignaciones de direcciones estáticas. Por lo tanto, estas
direcciones IPv4 no deben asignarse a otros dispositivos. La sintaxis del
comando para excluir direcciones IPv4 es la siguiente:
Router(config)# ip dhcp excluded-address low-address [high-address]
Se puede excluir una única dirección o un rango de direcciones

especificando la dirección más baja y la dirección más alta del rango.
Las direcciones excluidas deben incluir las direcciones asignadas a los
routers, a los servidores, a las impresoras y a los demás dispositivos
que se configuraron o se configurarán manualmente. También puede
introducir el comando varias veces.
Paso 2. Defina un nombre de grupo DHCPv4
La configuración de un servidor de DHCPv4 implica definir un conjunto de

direcciones que se deben asignar.
Como se muestra en el ejemplo, el ip dhcp pool comando _pool-name_crea un

conjunto con el nombre especificado y coloca al router en el modo de
configuración de DHCPv4, que se identifica con el indicador Router(dhcp-
config)#.
La sintaxis del comando para definir el grupo es la siguiente:
Router(config)# ip dhcp pool pool-name
Router(dhcp-config)#
Paso 3. Configure el grupo DHCPv4
La tabla indica las tareas para finalizar la configuración del pool de

DHCPv4.
El conjunto de direcciones y el router de gateway predeterminado deben

estar configurados. Use la network instrucción para definir el rango de
direcciones disponibles. Use el default-router comando para definir el
router de gateway predeterminado. Normalmente, el gateway es la interfaz
LAN del router más cercano a los dispositivos clientes. Se requiere un
gateway, pero se pueden indicar hasta ocho direcciones si hay varios
gateways.
Otros comandos del pool de DHCPv4 son optativos. Por ejemplo, la

dirección IPv4 del servidor DNS que está disponible para un cliente
DHCPv4 se configura mediante el comando dns-server. El comando domain-
name se utiliza para definir el nombre de dominio. La duración del
arrendamiento de DHCPv4 puede modificarse mediante el comando lease. El
valor de arrendamiento predeterminado es un día. El comando netbios-name-
server se utiliza para definir el servidor WINS con NetBIOS.
Definir el conjunto de network network-number [mask | / prefix-

direcciones. length]
Definir el router o
default-router address [ address2….address8]
gateway predeterminado.
Definir un servidor DNS. dns-server address [ address2…address8]

Definir el nombre de
domain-name domain
dominio.
Definir la duración de la
lease {days [hours [ minutes]] | infinite}
concesión DHCP.
Definir el servidor WINS netbios-name-server address [ address2…

con NetBIOS. address8]
Nota: Microsoft recomienda no implementar WINS, en su lugar configurar

DNS para la resolución de nombres de Windows y retirar WINS.
7.2.3
Ejemplo de configuración
La topología para el ejemplo de configuración se muestra en la figura.
La topología de red muestra un router, que funciona como un servidor

DHCPv4, conectando dos LAN juntas. A la izquierda está la red
192.168.10.0/24 que consiste en el host PC1 conectado al switch S1
conectado al router R1 en G0/0/0 con una dirección de .1. A la derecha
está la red 192.168.11.0/24 que consiste en el host PC2 y un servidor DNS
en la dirección 192.168.11.5/24 conectado al switch S2 que está conectado
a R1 en G0/0/1 con una dirección de .1.
El ejemplo muestra la configuración para convertir a R1 en un servidor DHCPv4 para la

LAN 192.168.10.0/24.
R1(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.9

R1(config)# ip dhcp excluded-address 192.168.10.254
R1(config)# ip dhcp pool LAN-POOL-1
R1(dhcp-config)# network 192.168.10.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.10.1
R1(dhcp-config)# dns-server 192.168.11.5
R1(dhcp-config)# domain-name example.com
R1(dhcp-config)# end
R1#
Comandos de verificación DHCPv4
Utilice los comandos de la tabla para verificar que el servidor DHCPv4 del IOS de Cisco esté
funcionando.
Coman
Descripción
do
show
running-
config | Muestra los comandos DHCPv4 configurados en el router.
section
dhcp
show ip
Muestra una lista de todos los enlaces de direcciones IPv4 a direcciones MAC
dhcp
proporcionados por el servicio DHCPv4.
binding
show ip
dhcp Muestra información de conteo con respecto a la cantidad de mensajes
server DHCPv4 que han sido enviados y recibidos.
statistics
7.2.5
Verifique que DHCPv4 esté operando
La topología que se muestra en la figura es usada en el resultado de ejemplo. En este

ejemplo, se configuró el R1 para que proporcione servicios DHCPv4. Dado que la PC1 no se
encendió, no tiene una dirección IP.
Verificar la configuración DHCPv4
Como se muestra en el ejemplo, el resultado del comando show running-config | section

dhcp muestran los comandos de DHCPv4 configurados en el R1. El | section parámetro
muestra solo los comandos asociados a la configuración DHCPv4.
R1# show running-config | section dhcp

ip dhcp excluded-address 192.168.10.1 192.168.10.9
ip dhcp excluded-address 192.168.10.254
ip dhcp pool LAN-POOL-1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 192.168.11.5
domain-name ejemplo.com
Verificar las asignaciones de DHCP
Como se muestra en el ejemplo, se puede verificar el funcionamiento de DHCPv4

mediante el comando show ip dhcp binding. Este comando muestra una lista de todas las
vinculaciones de la dirección IPv4 con la dirección MAC que fueron proporcionadas por el
servicio DHCPv4.
R1# show ip dhcp binding

Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type State Interface
Hardware address/
Nombre de usuario
192.168.10.10 0100.5056.b3ed.d8 15 sep 2019 8:42 AM Active GigabiteThernet0/0/0
Verificar estadísticas DHCPv4

La salida de la show ip dhcp server statistics se utiliza para verificar que los mensajes
están siendo recibidos o enviados por el router. Este comando muestra información de
conteo con respecto a la cantidad de mensajes DHCPv4 que se enviaron y recibieron.
R1# show ip dhcp server statistics

Memory usage 19465
Address pools 1
Database agents 0
Automatic bindings 2
Manual bindings 0
Expired bindings 0
Malformed messages 0
Secure arp entries 0
Renew messages 0
Workspace timeouts 0
Static routes 0
Relay bindings 0
Relay bindings active 0
Relay bindings terminated 0
Relay bindings selecting 0
Message Received
BOOTREQUEST 0
DHCPDISCOVER 4
DHCPREQUEST 2
DHCPDECLINE 0
DHCPRELEASE 0
DHCPINFORM 0
Verificar el direccionamiento IPv4 recibido del cliente DHCPv4
El comando ipconfig /all cuando se emite en la PC1, muestra los parámetros TCP/IP,
como se muestra en el ejemplo. Dado que la PC1 se conectó al segmento de red
192.168.10.0/24, recibió automáticamente un sufijo DNS, una dirección IPv4, una máscara
de subred, un gateway predeterminado y una dirección del servidor DNS de ese pool. No
se requiere ninguna configuración de interfaz del router específica de DHCP. Si una
computadora está conectada a un segmento de red que tiene un pool de DHCPv4
disponible, la computadora puede obtener una dirección IPv4 del pool adecuado de
manera automática.
C:\Users\Student> ipconfig /all

Configuración IP de Windows
Host Name . . . . . . . . . . . .: ciscolab
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
Connection-specific DNS Suffix . : example.com
Description . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physical Address. . . . . . . . . : 00-05-9A-3C-7A-00
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Dirección IPv4. . . . . . . . . . . : 192.168.10.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained . . . . . . . . . : Saturday, September 14, 2019 8:42:22AM
Lease Expires . . . . . . . . . : Saturday, September 14, 2019 8:42:22AM
Gateway predeterminado. . . . . . . . . : 192.168.10.1
DHCP Server . . . . . . . .. . . : 192.168.10.1
Servidores DNS. . . . . . . .. . . : 192.168.11.5
Verificador de sintaxis - Configuración de

DHCPv4
En esta actividad del Verificador de sintaxis, usted configurará R1 para que sea el servidor
DHCPv4 para la red 192.168.11.0/24.
Excluya las siguientes direcciones del intervalo de direcciones 192.168.11.0/24:
● Excluya la dirección.1 a la .9.

● Excluya la dirección .254.
R1(config)#ip dhcp excluded-address 192.168.11.1 192.168.11.9

R1(config)#ip dhcp excluded-address 192.168.11.254
Configure el grupo DHCPv4 con los siguientes requisitos:
● Define the pool name of LAN-POOL-2.

● Configure la dirección de red.
● Configure la dirección de gateway predeterminado.
● Configure la dirección del servidor DNS.
● Configure example.com como nombre de dominio.
R1(config)#ip dhcp pool LAN-POOL-2

R1(dhcp-config)#network 192.168.11.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.11.1
R1(dhcp-config)#dns-server 192.168.11.6
R1(dhcp-config)#domain-name example.com
R1(dhcp-config)#end
Ha configurado correctamente el servidor DHCPv4 y el agente de retransmisión
Desactive el servidor DHCPv4 del IOS de

Cisco
El servicio DHCPv4 está habilitado de manera predeterminada. Para desabilitar el servicio,

use el comando no service dhcp del modo de configuración global. Use el comando del
modo service dhcp de configuración global para volver a habilitar el proceso del servidor
DHCPv4, como se muestra en el ejemplo. Si los parámetros no se configuran, habilitar el
servicio no tiene ningún efecto.
Nota: Si se borra los enlaces DHCP o se detiene y reinicia el servicio DHCP, se pueden
asignar temporalmente direcciones IP duplicadas en la red.
R1(config)# no service dhcp
R1(config)# service dhcp
R1(config)#
7.2.8
Retransmisión DHCPv4
En una red jerárquica compleja, los servidores empresariales suelen estar ubicados en una
central. Estos servidores pueden proporcionar servicios DHCP, DNS, TFTP y FTP para la red.
Generalmente, los clientes de red no se encuentran en la misma subred que esos
servidores. Para ubicar los servidores y recibir servicios, los clientes con frecuencia utilizan
mensajes de difusión.
En la figura, la PC1 intenta adquirir una dirección IPv4 de un servidor de DHCPv4 mediante
un mensaje de difusión. En esta situación, el router R1 no está configurado como servidor
de DHCPv4 y no reenvía el mensaje de difusión. Dado que el servidor de DHCPv4 está
ubicado en una red diferente, la PC1 no puede recibir una dirección IP mediante DHCP. R1
debe configurarse para retransmitir mensajes DHCPv4 al servidor DHCPv4.
ipconfig /release
PC1 es una computadora con Windows. El administrador de red libera toda la información
de direccionamiento IPv4 actual mediante el comando ipconfig /release. Observe que se
libera la dirección IPv4 y ninguna dirección aparece.
C:\Users\Student> ipconfig /release
Sufijo de conexión específica DNS. :
Default Gateway . . . . . . . . . :
ipconfig /renew
A continuación, el administrador de red intenta renovar la información de

direccionamiento IPv4 con el comando ipconfig /renew. Este comando hace que la PC1
transmita por difusión un mensaje DHCPDISCOVER. En el resultado se muestra que la
PC1 no puede ubicar el servidor de DHCPv4. Dado que los routers no reenvían mensajes
de difusión, la solicitud no es correcta.
El administrador de red podría agregar servidores DHCPv4 en R1 para todas las

subredes. Sin embargo, esto crearía costos adicionales y gastos administrativos.
C:\Users\Student> ipconfig /renew
Error al renovar la interfaz Ethernet0: no se puede conectar al servidor DHCP. Expiró la

solicitud.
ip helper-address
Una mejor solución es configurar R1 con el comando ip helper-address address interface

configuration. Esto hará que R1 retransmita transmisiones DHCPv4 al servidor DHCPv4.
Como se muestra en el ejemplo, la interfaz en R1 que recibe la difusión desde PC1 está
configurada para retransmitir la dirección DHCPv4 al servidor DHCPv4 en 192.168.11.6.
R1(config)# interface g0/0/0
R1(config-if)# ip helper-address 192.168.11.6
R1(config-if)# finalizar
R1#
show ip interface
Cuando se configura el R1 como agente de retransmisión DHCPv4, acepta solicitudes de

difusión para el servicio DHCPv4 y, a continuación, reenvía dichas solicitudes en forma
de unidifusión a la dirección IPv4 192.168.11.6. El administrador de red puede utilizar el
comando show ip interface para verificar la configuración.
R1# show ip interface g0/0/0
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is 192.168.11.6
(resultado omitido)
ipconfig /all
Como se muestra en la salida, PC1 ahora puede adquirir una dirección IPv4 del servidor
DHCPv4 como se ha verificado con el ipconfig /all comando .
C:\Users\Student> ipconfig /all

IPv4 Address. . . . . . . . . . . : 192.168.10.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.10.1
Otras transmisiones de servicio

retransmitidas
DHCPv4 no es el único servicio que puede configurarse para que retransmita el router. De
manera predeterminada, el ip helper-address comando reenvia los siguientes ocho
servidcios UDP:
● Port 37: Tiempo

● Port 49: TACACS
● Port 53: Envenenamiento
● Port 67: DHCP/BOOTP server
● Port 68: DHCP/BOOTP client
● Port 69: TFTP
● Port 137: Servicio de nombre NetBIOS
● Port 138: Servicio de datagrama NetBIOS
Cisco Router como cliente DHCPv4
Hay escenarios en los que puede tener acceso a un servidor DHCP a través de su ISP. En
estos casos, puede configurar un router Cisco IOS como cliente DHCPv4. En esta guía se
explicará ese proceso.
En ocasiones, los routers Cisco en oficinas pequeñas y oficinas domésticas (SOHO) y en los
sitios de sucursales deben configurarse como clientes DHCPv4 de manera similar a los
equipos cliente. El método específico utilizado depende del ISP. Sin embargo, en su
configuración más simple, se utiliza la interfaz Ethernet para conectarse a un cable módem o
a un módem DSL.
Para configurar una interfaz Ethernet como cliente DHCP, utilice el ip address dhcp
comando del modo de configuración de interfaz.
En la figura, suponga que un ISP ha sido configurado para proporcionar a clientes

seleccionados direcciones IP del rango de red 209.165.201.0/27 después de que la interfaz
G0/0/1 es configurada con el comando ip address dhcp.
un router configurado como cliente DHCPv4 se conecta a través de G0/0/1 a un módem por
cable o DSL que luego se conecta a la nube que luego se conecta a un router ISP que
funciona como servidor DHCPv4
Ejemplo de configuración
Para configurar una interfaz Ethernet como cliente DHCP, utilice el ip address dhcp
comando del modo de configuración de interfaz, como se muestra en el ejemplo. Esta
configuración supone que el ISP se ha configurado para proporcionar a los clientes
seleccionados información de direcciones IPv4.
SOHO(config)# interface G0/0/1
SOHO(config-if)# ip address dhcp
SOHO(config-if)# no shutdown
Sep 12 10:01:25.773: %DHCP-6-ADDRESS_ASSIGN: Interface GigabitEthernet0/0/1 assigned

DHCP address 209.165.201.12, mask 255.255.255.224, hostname SOHO
El comando show ip interface g0/0/1 confirma que la interfaz está activa y que la dirección
fue asignada por un servidor DHCPv4.
SOHO# show ip interface g0/0/1

Address determined by DHCP
(output omitted)
7.3.3
Enrutador doméstico como cliente

DHCPv4
Los routers de los hogares se configuran para recibir información de asignación de

dirección IPv4 automáticamente desde el ISP. Esto es para que los clientes puedan
configurar fácilmente el enrutador y conectarse a Internet.
Por ejemplo, en la ilustración se muestra la página de configuración de WAN predeterminada

para un router inalámbrico de Packet Tracer. Observe que el tipo de conexión a Internet está
establecido como Automatic Configuration - DHCP. Se utiliza esta selección cuando el router
se conecta a un cable módem o DSL y actúa como cliente DHCPv4 y solicita una dirección
IPv4 del ISP.
Verificador de sintaxis: configuración de

un router como cliente DHCPv4
En esta actividad del Comprobador de sintaxis, configurará un router Cisco como cliente
DHCP.
Ingrese el modo de configuración de interfaz. Use g0/0/1 para el nombre de la interfaz.
SOHO(config)#interface g0/0/1
Configure la interfaz para obtener información de direccionamiento IPv4 del ISP.
SOHO(config-if)#ip address dhcp
Active la interfaz.
SOHO(config-if)#no shutdown
Sep 12 10:01:25.773: %DHCP-6-ADDRESS_ASSIGN: Interface

GigabitEthernet0/0/1 assigned DHCP address 209.165.201.12, mask
255.255.255.224, hostname SOHO
Volver al modo EXEC privilegiado.
SOHO(config-if)#end
Utilice el comando show ip interface g0/0/1 para verificar la información IPv4.
SOHO#show ip interface g0/0/1
Address determined by DHCP
(output omitted)
Configuró correctamente el router como cliente de DHCP.
Conceptos DHCPv4
El servidor DHCPv4 asigna dinámicamente, o arrienda, una dirección IPv4, a un cliente, de

un conjunto de direcciones durante un período limitado elegido por el servidor o hasta que
el cliente ya no necesite la dirección. El proceso de concesión DHCPv4 comienza con el
cliente que envía el mensaje solicitando los servicios de un servidor DHCP. Si hay un
servidor DHCPv4 que recibe el mensaje, responderá con una dirección IPv4 y otra
información de configuración de red posible. El cliente debe ponerse en contacto con el
servidor de DHCP periódicamente para extender el arrendamiento. Este mecanismo de
arrendamiento asegura que los clientes que se trasladan o se desconectan no mantengan
las direcciones que ya no necesitan. Cuando el cliente arranca (o quiere unirse a una red),
comienza un proceso de cuatro pasos para obtener un arrendamiento: DHCPDISCOVER,
luego DHCPOFFER, luego DHCPREQUEST y finalmente DHCPACK. Antes de la expiración
de la concesión, el cliente inicia un proceso de dos pasos para renovar la concesión con el
servidor DHCPv4: DHCPREQUEST y luego DHCPACK.
Configurar un Servidor CISCO IOS DHCPv4
Un router Cisco que ejecuta el software IOS de Cisco puede configurarse para que funcione
como servidor de DHCPv4. Siga los pasos siguientes para configurar un servidor DHCPv4
del IOS de Cisco: excluir direcciones IPv4, definir un nombre de grupo DHCPv4 y configurar
el grupo DHCPv4. Verifique la configuración usando los comandos show running-config |
section dhcp, show ip dhcp bindingy show ip dhcp server statistics. El servicio DHCPv4 está
habilitado de manera predeterminada. Para desabilitar el servicio, use el comando no service
dhcp del modo de configuración global. En una red jerárquica compleja, los servidores
empresariales suelen estar ubicados en una central. Estos servidores pueden proporcionar
servicios DHCP, DNS, TFTP y FTP para la red. Generalmente, los clientes de red no se
encuentran en la misma subred que esos servidores. Para ubicar los servidores y recibir
servicios, los clientes con frecuencia utilizan mensajes de difusión. La PC1 intenta adquirir
una dirección IPv4 de un servidor de DHCPv4 mediante un mensaje de difusión. Si el router
R1 no está configurado como servidor de DHCPv4, no reenviará el mensaje de difusión. Si el
servidor DHCPv4 está ubicado en una red distinta, el PC no podrá recibir la dirección IP
mediante DHCP. El router debe estar configurado para retransmitir mensajes DHCPv4 al
servidor DHCPv4. El administrador de red libera toda la información de direccionamiento
IPv4 actual mediante el comando ipconfig /release. A continuación, el administrador de red
intenta renovar la información de direccionamiento IPv4 con el comando ipconfig /renew.
Una mejor solución es configurar R1 con el comando ip helper-address address interface
configuration. El administrador de red puede utilizar el comando show ip interface para
verificar la configuración. El PC ahora puede adquirir una dirección IPv4 del servidor
DHCPv4 como se ha verificado con el comando ipconfig /all. De manera predeterminada, el
ip helper-address comando reenvia los siguientes ocho servidcios UDP:
● Port 37: Tiempo

● Port 49: TACACS
● Port 53: Envenenamiento
● Port 67: DHCP/BOOTP server
● Port 68: DHCP/BOOTP client
● Port 69: TFTP
● Port 137: Servicio de nombre NetBIOS
● Port 138: Servicio de datagrama NetBIOS
Configurar un Cliente DHCPv4

La interfaz Ethernet se usa para conectarse a un cable o modem DSL. Para configurar una
interfaz Ethernet como cliente DHCP, utilice el ip address dhcp interface comando del modo
de configuración. Los routers de los hogares se configuran para recibir información de
asignación de dirección IPv4 automáticamente desde el ISP. El tipo de conexión de internet
está establecido en Automatic Configuration - DHCP. Se utiliza esta selección cuando el
router se conecta a un cable módem o DSL y actúa como cliente DHCPv4 y solicita una
dirección IPv4 del ISP.
Bienvenido a SLAAC y DHCPv6!
SLAAC y DHCPv6 son protocolos de direccionamiento dinámico para una red IPv6. Por lo
tanto, un poco de configuración hará que su día como administrador de red sea mucho más
fácil. En este módulo, aprenderá a usar SLAAC para permitir a los hosts crear su propia
dirección de unidifusión global IPv6, así como configurar un router Cisco IOS para que sea
un servidor DHCPv6, un cliente DHCPv6 o un agente de retransmisión DHCPv6. Este módulo
incluye un laboratorio donde configurará DHCPv6 en equipos reales!
8.0.2
Título del tema: SLAAC y DHCPv6
Objetivo del tema: Configure la asignación dinámica de direcciones en redes IPv6.
Asignación de direcciones de Explique cómo un host IPv6 puede adquirir su

unidifusión global IPv6 configuración IPv6.
SLAAC Explicar el funcionamiento de SLAAC.
DHCPv6 Explique el funcionamiento de DHCPv6.
Configurar un servidor DHCPv6 Configurar servidor DHCPv6 stateful y stateless.
Configuración de host con IPv6

En primer lugar, lo más importante. Para utilizar la configuración automática de direcciones
stateless (SLAAC) o DHCPv6, debe revisar las direcciones globales de unidifusión (GUA) y
las direcciones link-local (LLAs). Este tema abarca ambas cosas.
En un router, una dirección global de unidifusión (GUA) IPv6 se configura manualmente

mediante el comando de configuración ipv6 address ipv6-address/prefix-length interface.
Un host de Windows también se puede configurar manualmente con una configuración de

dirección IPv6 GUA, como se muestra en la figura.
muestra la ventana de propiedades del Protocolo de Internet versión 6 y la dirección IPv6

estática y la configuración del servidor DNS
Introducir manualmente una GUA IPv6 puede llevar mucho tiempo y ser algo propenso a
errores. Por lo tanto, la mayoría de los hosts de Windows están habilitados para adquirir
dinámicamente una configuración GUA IPv6, como se muestra en la figura.
muestra la ventana de propiedades del Protocolo de Internet versión 6 y la configuración

automática de la dirección IPv6 DHCP y del servidor DNS
IPv6 Host Link-Local Address
Cuando se selecciona el direccionamiento IPv6 automático, el host intentará obtener y

configurar automáticamente la información de direcciones IPv6 en la interfaz. El host
utilizará uno de los tres métodos definidos por el Internet Control Message Protocol version
6 (ICMPv6) mensaje Router Advertisement (RA) recibidos en la interfaz. Un router IPv6 que
está en el mismo vínculo que el host envía mensajes de RA que sugieren a los hosts cómo
obtener su información de direccionamiento IPv6. El host crea automáticamente la dirección
local del vínculo IPv6 cuando se inicia y la interfaz Ethernet está activa. El ipconfig resultado
de ejemplo muestra una dirección link-local (LLA) generada automáticamente en una
interfaz.
En la figura, observe que la interfaz no creó una GUA IPv6. La razón se debe a que, en este
ejemplo, el segmento de red no tiene un router que proporcione instrucciones de
configuración de red para el host.
Nota: A veces, los sistemas operativoshost mostrarán una dirección link-local anexada con
un "%" y un número. Esto se conoce como Id. de zona o Id. de ámbito. Es utilizado por el
sistema operativo para asociar el LLA con una interfaz específica.
Nota: DHCPv6 se define en RFC 3315.
C:\PC1> ipconfig
IPv6 Address. . . . . . . . . . . :
Link-local IPv6 Address . . . . . : fe80::fb:1d54:839f:f595%21
IPv4 Address. . . . . . . . . . . : 169.254.202.140
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . :
C:\PC1>
IPv6 GUA Assignment
IPv6 fue diseñado para simplificar la forma en que un host puede adquirir su configuración
IPv6. De forma predeterminada, un router habilitado para IPv6 anuncia su información IPv6.
Esto permite a un host crear o adquirir dinámicamente su configuración IPv6.
IPv6 GUA se puede asignar dinámicamente utilizando servicios stateless y stateful, como se
muestra en la figura.
Todos los métodos stateless y stateful de este módulo utilizan mensajes de RA ICMPv6 para
sugerir al host cómo crear o adquirir su configuración IPv6. Aunque los sistemas operativos
del host siguen la sugerencia del RA, la decisión real depende en última instancia del host.
un diagrama de árbol invertido comienza con Asignación GUA dinámica, se divide en dos:
stateless y stateful Stateless se divide en SLAAC y SLAAC con servidor DHCPv6 y conduce
a un servidor DHCPv6 stateful.
Tres flags de mensaje RA
La decisión de cómo un cliente obtendrá un GUA IPv6 depende de la configuración dentro

del mensaje RA.
Un mensaje de RA ICMPv6 incluye tres flags para identificar las opciones dinámicas
disponibles para un host, como se indica a continuación:
● Un flag - Este es el indicador de configuración automática de direcciones. Usa

Stateless Address Autoconfiguration (SLAAC) para crear un GUA de IPv6.
● O flag - Este es otro indicador de configuración (Other) Otra información está
disponible desde un servidor DHCPv6 stateless.
● M flag - Este es es indicador Managed Address. Utilice un servidor DHCPv6 stateful
para obtener una GUA IPv6.
Mediante diferentes combinaciones de los flags A, O y M, los mensajes RA informan al host

sobre las opciones dinámicas disponibles.
La figura ilustra estos tres métodos.

Descripción general de SLAAC
No todas las redes tienen acceso a un servidor DHCPv6. Pero todos los dispositivos de una
red IPv6 necesitan un GUA. El método SLAAC permite a los hosts crear su propia dirección
única global IPv6 sin los servicios de un servidor DHCPv6.
SLAAC es un servicio stateless. Esto significa que no hay ningún servidor que mantenga
información de direcciones de red para saber qué direcciones IPv6 se están utilizando y
cuáles están disponibles.
SLAAC utiliza mensajes ICMPv6 RA para proporcionar direccionamiento y otra información

de configuración que normalmente proporcionaría un servidor DHCP Un host configura su
dirección IPv6 en función de la información que se envía en la RA. Los mensajes RA son
enviados por un router IPv6 cada 200 segundos.
Un host también puede enviar un mensaje Router Solicitation (RS) solicitando que un router
habilitado para IPv6 envíe al host un RA.
SLAAC se puede implementar como SLAAC solamente, o SLAAC con DHCPv6.
Activación de SLAAC
Consulte la topología siguiente para ver cómo está habilitado SLAAC para proporcionar
asignación GUA dinámica stateless.
El resultado del show ipv6 interface comando muestra la configuración actual en la

interfaz G0/0/1.
Como se destaca, a R1 se le han asignado las siguientes direcciones IPv6:
● Link-local IPv6 address - fe80::1

● GUA and subnet - 2001:db8:acad:1: :1 y 2001:db8:acad:1: :/64
● IPv6 all-nodes group - ff02::1
R1# show ipv6 interface G0/0/1
IPv6 is enabled, link-local address is FE80::1
Description: Link to LAN
2001:DB8:ACAD:1::1, subnet is 2001:DB8:ACAD:1::/64
Unido a la direccion grupal(es):
FF02::1
FF02::1:FF00:1
(output omitted)
R1#
Aunque la interfaz del router tiene una configuración IPv6, todavía no está habilitada para
enviar RA que contengan información de configuración de direcciones a hosts que
utilicen SLAAC.
Para habilitar el envío de mensajes RA, un router debe unirse al grupo de todos los
routers IPv6 mediante el comando ipv6 unicast-routing global config, como se muestra en
el ejemplo.
R1(config)# ipv6 unicast-routing
R1(config)# exit
R1#
El grupo de todos los routers IPv6 responde a la dirección de multidifusión IPv6 ff02 :: 2.
Puede utilizar el show ipv6 interface comando para verificar si un router está habilitado
como se muestra, en el ejemplo.
Un router Cisco habilitado para IPv6 envía mensajes RA a la dirección de multidifusión de

todos los nodos IPv6 ff02: :1 cada 200 segundos.
R1# show ipv6 interface G0/0/1 | section Joined
Unido a la direccion grupal(es):
FF02::1
FF02::2
FF02::1:FF00:1
R1#
Método Sólo SLAAC
El método sólo SLAAC está habilitado de forma predeterminada cuando se configura el ipv6
unicast-routing comando. Todas las interfaces Ethernet habilitadas con un GUA IPv6
configurado comenzarán a enviar mensajes RA con el flag A establecido en 1 y los flags O y
M establecidos en 0, como se muestra en la figura.
El A = 1 flag sugiere al cliente que cree su propio IPv6 GUA usando el prefijo anunciado en la
RA. El cliente puede crear su propio ID de interfaz utilizando el método Extended Unique
Identifier (EUI-64) o hacer que se genere aleatoriamente.
Los flags O =0 y M=0 le indican al cliente que use la información del mensaje RA
exclusivamente. Esto incluye información del prefijo, de la longitud de prefijo, del servidor
DNS, de la MTU y del default gateway. No se encuentra disponible ninguna otra información
de un servidor de DHCPv6.
muestra que con sólo SLAAC el router tiene el flag A establecido en 1 en el RA
En el ejemplo, PC1 esta habilitada para obtener su información de direccion de IPv6 de

forma automática. Debido a la configuración de los flags A, O y M, PC1 sólo realiza
SLAAC, utilizando la información contenida en el mensaje RA enviado por R1.
La dirección del default gateway es la dirección IPv6 de origen del mensaje RA, que es la
LLA para R1. El default gateway solo se puede obtener de forma automática mediante un
mensaje RA. Un servidor DHCPv6 no proporciona esta información.
C:\PC1> ipconfig
IPv6 Address. . . . . . . . . . . : 2001:db8:acad:1:1de9:c69:73ee:ca8c
IPv4 Address. . . . . . . . . . . : 169.254.202.140
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . : fe80::1%6
C:\PC1>
ICMPv6 RS Messages
Un router envía mensajes de RA cada 200 segundos. Sin embargo, también enviará un
mensaje RA si recibe un mensaje RS de un host.
Cuando un cliente está configurado para obtener su información de direccionamiento

automáticamente, envía un mensaje RS a la dirección de multidifusión IPv6 de ff02: :2.
La figura ilustra cómo un host inicia el método SLAAC.
Proceso de host para generar ID de

interfaz
Mediante SLAAC, un host suele adquirir su información de subred IPv6 de 64 bits del RA del
router. Sin embargo, debe generar el resto del identificador de interfaz (ID) de 64 bits
utilizando uno de estos dos métodos:
● De generación aleatoria - La identificación de la interfaz de 64 bits es generada

aleatoriamente por el sistema operativo del cliente. Este es el método utilizado ahora
por los hosts de Windows 10.
● EUI-64 - El host crea un ID de interfaz utilizando su dirección MAC de 48 bits e inserta
el valor hexadecimal de fffe en el medio de la dirección. Algunos sistemas operativos
utilizan por defecto el ID de interfaz generado aleatoriamente en lugar del método
EUI-64, debido a problemas de privacidad. Esto se debe a que EUI-64 utiliza la
dirección MAC Ethernet del host para crear el ID de interfaz.
Nota: Windows, Linux y Mac OS permiten al usuario modificar la generación del ID de

interfaz para que se genere aleatoriamente o utilice EUI-64.
Por ejemplo, en el siguiente ipconfig resultado, el host PC1 de Windows 10 utilizó la

información de subred IPv6 contenida en el R1 RA y generó aleatoriamente un ID de interfaz
de 64 bits como se destaca en el ejemplo.
C:\PC1> ipconfig
IPv6 Address. . . . . . . . . . . : 2001:db8:acad:1:1de9:c69:73ee:ca8c
IPv4 Address. . . . . . . . . . . : 169.254.202.140
Subnet Mask . . . . . . . . . . . : 255.255.0.0
C:\PC1>
Detección de direcciones duplicadas
El proceso permite al host crear una dirección IPv6. Sin embargo, no hay garantía de que la
dirección sea única en la red.
Ya que SLAAC es stateless; por lo tanto, un host tiene la opción de verificar que una
dirección IPv6 recién creada sea única antes de que pueda usarse Un host utiliza el proceso
de detección de direcciones duplicadas (DAD) para asegurarse de que IPv6 GUA es único.
DAD se implementa usando ICMPv6. Para realizar DAD, el host envía un mensaje ICMPv6 NS
con una dirección de multidifusión especialmente construida, llamada dirección de
multidifusión de nodo solicitado. Esta dirección duplica los últimos 24 bits de dirección IPv6
del host.
Si ningún otro dispositivo responde con un mensaje NA, prácticamente se garantiza que la
dirección es única y puede ser utilizada por la PC1. Si un mensaje NA es recibido por el host,
la dirección no es única, y el sistema operativo debe determinar una nueva ID de interfaz
para utilizar.
Internet Engineering Task Force (IETF) recomienda que DAD se utilice en todas las
direcciones de unidifusión IPv6 independientemente de si se crea con SLAAC sólo, se
obtiene con DHCPv6 stateful, o se configura manualmente. DAD no es obligatorio porque un
ID de interfaz de 64 bits proporciona 18 quintillion de posibilidades y la posibilidad de que
haya una duplicación es remota. Sin embargo, la mayoría de los sistemas operativos
realizan DAD en todas las direcciones de unidifusión IPv6, independientemente de cómo se
configure la dirección.
Pasos de operación DHCPv6
En este tema se explica DHCPv6 stateless y stateful DHCPv6 stateless utiliza partes de
SLAAC para asegurarse de que toda la información necesaria se suministra al host. DHCPv6
stateful no requiere SLAAC.
Si bien DHCPv6 es similar a DHCPv4 en cuanto a lo que proporciona, los dos protocolos son
independientes respecto sí.
El host comienza las comunicaciones cliente / servidor DHCPv6 después de que se indica
DHCPv6 stateles o DHCPv6 stateful en el RA.
Los mensajes DHCPv6 de servidor a cliente utilizan el puerto de destino UDP 546, mientras
que los mensajes DHCPv6 de cliente a servidor utilizan el puerto de destino UDP 547.
Los pasos para las operaciones DHCPv6 son los siguientes:
● Paso 1. El host envía un mensaje RS.

● Paso 2. El router responde con un mensaje RA.
● Paso 3. El host envía un mensaje DHCPv6 SOLIT.
● Paso 4. El servidor DHCPv6 responde con un mensaje ADVERTISE.
● Paso 5. El host responde al servidor DHCPv6.
● Paso 6. El servidor DHCPv6 envía un mensaje REPLY
Operación DHCPv6 stateless
La opción de DHCPv6 stateless informa al cliente que utilice la información del mensaje RA
para el direccionamiento, pero que hay más parámetros de configuración disponibles de un
servidor de DHCPv6.
Este proceso se conoce como DHCPv6 stateless, debido a que el servidor no mantiene
información de estado del cliente (es decir, una lista de direcciones IPv6 asignadas y
disponibles). El servidor de DHCPv6 stateless solo proporciona parámetros de
configuración para los clientes, no direcciones IPv6.
La figura ilustra la operación DHCPv6 stateless.

Habilitar DHCPv6 stateless en
una interfaz
DHCPv6 Stateless está habilitado en una interfaz de router mediante el

comandoipv6 nd other-config-flag interface configuration. Esto establece
el flag O en 1.
El resultado resaltado confirma que la RA le indicará a los hosts

receptores que usen la configuración automática stateless (A flag = 1) y
se comunique con un servidor DHCPv6 para obtener otra información de
configuración (O flag = 1).
Note: You can use the no ipv6 nd other-config flag para restablecer la
interfaz a la opción predeterminada de SLAAC sólo (O flag = 0).
R1(config-if)# ipv6 nd other-config-flag

R1(config-if)# end
R1#
R1# show ipv6 interface g0/0/1 | begin ND
Hosts use stateless autoconfig for addresses.
Hosts use DHCP to obtain other configuration.
R1#
8.3.4
Operaciones de DHCPv6 stateful
Esta opción es la más similar a DHCPv4. En este caso, el mensaje RA

indica al cliente que obtenga toda la información de direccionamiento de
un servidor DHCPv6 stateful, excepto la dirección del default gateway que
es la dirección link-local IPv6 de origen de la RA.
Esto se conoce como DHCPv6 stateful, debido a que el servidor de DHCPv6

mantiene información de estado de IPv6. Esto es similar a la asignación
de direcciones para IPv4 por parte de un servidor de DHCPv4.
La figura ilustra la operación DHCPv6 stateful.
muestra un diagrama con un servidor DHCPv6 stateful, conectado a un

switch, conectado a un PC cliente y un router cliente DHCPv6
Habilitar DHCPv6 stateful en una interfaz
DHCPv6 Stateful es habilitado en una interfaz de router mediante el comando ipv6 nd

managed-config-flag interface configuration Esto establece el flag M en 1.
El resultado resaltado en el ejemplo confirma que RA indicará al host que obtenga toda la
información de configuración IPv6 de un servidor DHCPv6 (flag M = 1).
R1(config)# int g0/0/1

R1(config-if)# ipv6 nd managed-config-flag
R1(config-if)# ipv6 nd prefix default no-autoconfig
R1(config-if)# end
R1#
R1# show ipv6 interface g0/0/1 | begin ND
Hosts use DHCP to obtain routable addresses.
R1#
Roles de router DHCPv6
Los routers IOS de Cisco son dispositivos potentes. En redes más pequeñas, no es
necesario tener dispositivos separados para tener un servidor DHCPv6, un cliente o un
agente de retransmisión. Se puede configurar un router Cisco para proporcionar servicios
DHCPv6.
Específicamente, se puede configurar para que sea uno de los siguientes:
● Servidor DHCPv6 - El router proporciona servicios DHCPv6 stateless o stateful.

● Cliente DHCPv6 - la interfaz del router adquiere una configuración IP IPv6 de un
servidor DHCPv6.
● Agente de retransmisión DHCPv6 - Router proporciona servicios de reenvío DHCPv6
cuando el cliente y el servidor se encuentran en diferentes redes.
8.4.2
Configurar un servidor DHCPv6 stateless.
La opción de servidor DHCPv6 stateless requiere que el router anuncie la información de

direccionamiento de red IPv6 en los mensajes RA. Sin embargo, el cliente debe ponerse en
contacto con un servidor DHCPv6 para obtener más información.
Consulte la topología de ejemplo para aprender a configurar el método de servidor DHCPv6

stateless.
En este ejemplo, R1 proporcionará servicios SLAAC para la configuración IPv6 del host y
los servicios DHCPv6.
Hay cinco pasos para configurar y verificar un router como servidor DHCPv6 stateless:
● Paso 1. Habilite el enrutamiento IPv6.

● Paso 2. Defina un nombre de grupo DHCPv6.
● Paso 3. Configure el grupo DHCPv6.
● Paso 4. Enlace el grupo DHCPv6 a una interfaz.
● Paso 5. Compruebe que los hosts han recibido información de direccionamiento
IPv6.
Paso 1. Habilite el enrutamiento IPv6.
El ipv6 unicast-routing comando es requerido para habilitar el enrutamiento IPv6 Este

comando no es necesario para que el router sea un servidor de DHCPv6 stateless, pero
se requiere para que el router origine los mensajes RA ICMPv6.
R1(config)#
Cree el grupo DHCPv6 mediante el comando ipv6 dhcp pool POOL-NAME global config.
Esto entra en el modo de subconfiguración del grupo DHCPv6 identificado por
elRouter(config-dhcpv6)# mensaje .
Note: El nombre del grupo no tiene que estar en mayúsculas. Sin embargo, el uso de un
nombre en mayúsculas facilita la visualización en una configuración.
R1(config)# ipv6 dhcp pool IPV6-STATELESS

R1(config-dhcpv6)#
R1 se configurará para proporcionar información DHCP adicional, incluida la dirección del

servidor DNS y el nombre de dominio, como se muestra en el resultado del comando.
R1(config-dhcpv6)# dns-server 2001:db8:acad:1::254

R1(config-dhcpv6)# domain-name example.com
R1(config-dhcpv6)# exit
R1(config)#
Paso 4. Enlace el grupo DHCPv6 a una interfaz.
El grupo DHCPv6 debe vincularse a la interfaz mediante el comando ipv6 dhcp server
POOL-NAME interface config como se muestra en el ejemplo.
El router responde a las solicitudes de DHCPv6 stateless en esta interfaz con la

información incluida en el pool. El flag O debe cambiarse manualmente de 0 a 1 utilizando
el comando de interfazipv6 nd other-config-flag. Los mensajes RA enviados en esta
interfaz indican que hay información adicional disponible de un servidor de DHCPv6
stateless. El flag A es 1 de forma predeterminada, indicando a los clientes que usen
SLAAC para crear su propio GUA.
R1(config)# interface GigabitEthernet0/0/1

R1(config-if)# description Link to LAN
R1(config-if)# ipv6 address fe80::1 link-local
R1(config-if)# ipv6 nd other-config-flag
R1(config-if)# ipv6 dhcp server IPV6-STATELESS
R1(config-if)# end
R1#
Paso 5. Compruebe que los hosts han recibido información de direccionamiento IPv6.
Para comprobar DHCP stateless en un host de Windows, utilice el ipconfig /all comando.
El resultado de ejemplo muestra la configuración en PC1.
Observe en el resultado que PC1 creó su GUA IPv6 utilizando el prefijo

2001:db8:acad:1: :/64. Observe también que el default gateway es la dirección link-local
IPv6 de R1. Esto confirma que PC1 derivó su configuración IPv6 de la RA de R1.
El resultado resaltado confirma que PC1 ha aprendido el nombre de dominio y la

dirección del servidor DNS del servidor DHCPv6 stateless.
C:\PC1> ipconfig /all

Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
DHCP Enabled. . . . . . . . . . . : Yes
IPv6 Address. . . . . . . . . . . : 2001:db8:acad:1:1dd:a2ea:66e7 Preferred)
Link-local IPv6 Address. . . . . : fe80::fb:1d54:839f:f595%21(Preferred)
IPv4 Address. . . . . . . . . . . : 169.254.102.23 (Preferred)
Máscara de subred . . . . . . . . . . : 255.255.0.0
Default Gateway. . . . . . . . . : fe80::1%6
DHCPv6 IAID . . . . . . . . . . . : 318768538
DHCPv6 IAID . . . . . . . . : 00-01-00-01-21-F3-76-75-54-E1-AD-DE-DA-9A
Servidor DNS . . . . . . . . . . : 2001:db8:acad:1: :1
NetBIOS sobre Tcpip. . . . . . . . : Enabled
C:\PC1>
Configurar un cliente DHCPv6

stateless.
Un router también puede ser un cliente DHCPv6 y obtener una configuración

IPv6 de un servidor DHCPv6, como un router que funcione como servidor
DHCPv6. En la figura, R1 es un servidor DHCPv6 stateless.
Hay cinco pasos para configurar y verificar un router como servidor DHCPv6 stateless:
● Paso 1. Habilite el enrutamiento IPv6.
● Paso 2. Configure el router cliente para crear una LLA.
● Paso 3. Configure el router cliente para usar SLAAC.
● Paso 4. Verifique que el router cliente tenga asignado un GUA.
● Paso 5. Verifique que el enrutador cliente haya recibido otra información DHCPv6
necesaria.
El router cliente DHCPv6 debe estar ipv6 unicast-routing habilitado.
R3(config)#
Paso 2. Configure el router cliente para crear una LLA.
El router cliente necesita tener una dirección link-local. Una dirección link-local IPv6 se
crea en una interfaz de router cuando se configura una dirección de unidifusión global.
También se puede crear sin un GUA mediante el comando de configuración de ipv6
enable interfaz. Cisco IOS utiliza EUI-64 para crear un ID de interfaz aleatorio.
En el resultado, el ipv6 enable comando se configura en la interfaz Gigabit Ethernet 0/0/1

del router cliente R3.

R3(config-if)# ipv6 enable
R3(config-if)#
Paso 3. Configure el router cliente para usar SLAAC.
El router cliente debe configurarse para usar SLAAC para crear una configuración IPv6. El
ipv6 address autoconfig comando habilita la configuración automática del
direccionamiento IPv6 mediante SLAAC.
R3(config-if)# ipv6 address autoconfig

R3(config-if)# end
R3#
Paso 4. Verifique que el router cliente tenga asignado un GUA.
Utilice el show ipv6 interface brief comando para verificar la configuración del host como
se muestra. El resultado confirma que a la interfaz G0/0/1 en R3 se le asignó una GUA
válida.
Nota: la interfaz puede tardar unos segundos en completar el proceso .

unassigned
FE80::2FC:BAFF:FE94:29B1
2001:DB8:ACAD:1:2FC:BAFF:FE94:29B1
Serial0/1/0 [up/up]
unassigned
Serial0/1/1 [up/up]
unassigned
R3#
Paso 5. Verifique que el router cliente haya recibido otra información DHCPv6 necesaria.
El show ipv6 dhcp interface g0/0/1 comando confirma que R3 también aprendió el DNS y
los nombres de dominio.
R3# show ipv6 dhcp interface g0/0/1

GigabitEthernet0/0/1 is in client mode
Prefix State is IDLE (0)
Information refresh timer expires in 23:56:06
Address State is IDLE
List of known servers:
Reachable via address: FE80::1
DUID: 000300017079B3923640
Preference: 0
Configuration parameters:
DNS server: 2001:DB8:ACAD:1::254
Domain name: example.com
Information refresh time: 0
Prefix Rapid-Commit: disabled
Address Rapid-Commit: disabled
R3#
Configurar un servidor DHCPv6 stateful.
La opción de servidor DHCP stateful requiere que el router habilitado para IPv6 indique al
host que se ponga en contacto con un servidor DHCPv6 para obtener toda la información de
direccionamiento de red IPv6 necesaria.
En la figura, R1 proporcionará servicios DHCPv6 stateful a todos los hosts de la red local.
Configurar un servidor de DHCPv6 stateful es similar a configurar un servidor stateless. La
diferencia más importante es que un servidor stateful también incluye información de
direccionamiento IPv6 de manera similar a un servidor DHCPv4.
El ipv6 unicast-routing comando es requerido para habilitar el enrutamiento IPv6
R1(config)#
Cree el grupo DHCPv6 mediante el comando ipv6 dhcp pool POOL-NAME global config.
R1(config)# ipv6 dhcp pool IPV6-STATEFUL
R1(config-dhcpv6)#
R1 se configurará para proporcionar direccionamiento IPv6, dirección del servidor DNS y

nombre de dominio, como se muestra en el resultado del comando. Con DHCPv6 stateful,
todos los parámetros de direccionamiento y otros parámetros de configuración deben ser
asignados por el servidor de DHCPv6. El address prefix comando se utiliza para indicar el
conjunto de direcciones que debe asignar el servidor. Otra información proporcionada
por el servidor de DHCPv6 stateful suele incluir la dirección del servidor DNS y el nombre
de dominio.
Note: Este ejemplo está configurando el servidor DNS en el servidor DNS público de
Google.
R1(config-dhcpv6)# address prefix 2001:db8:acad:1::/64

R1(config-dhcpv6)# dns-server 2001:4860:4860: :8888
R1(config-dhcpv6)# domain-name example.com
R1(config-dhcpv6)#
Paso 4. Enlace el grupo DHCPv6 a una interfaz.
El ejemplo muestra la configuración completa de la interfaz GigabitEthernet 0/0/1 en R1.
El grupo DHCPv6 debe vincularse a la interfaz mediante el comando ipv6 dhcp server
POOL-NAME interface config.
● The M flag is manually changed from 0 to 1 using the interface command ipv6 nd
managed-config-flag.
● The A flag is manually changed from 1 to 0 using the interface command ipv6 nd
prefix default no-autoconfig. El flag A se puede dejar en 1, pero algunos sistemas
operativos cliente como Windows crearán una GUA usando SLAAC y obtendrán
una GUA del servidor DHCPv6 stateful. Establecer el flag A en 0 indica al cliente
que no utilice SLAAC para crear un GUA.
● The El comando IPv6 dhcp server vincula el conjunto de DHCPv6 con la interfaz.
R1 responderá ahora con la información contenida en el grupo cuando reciba
solicitudes DHCPv6 stateful en esta interfaz.
Note: You can use the no ipv6 nd managed-config-flag to set the M flag back to its default
of 0. The no ipv6 nd prefix default no-autoconfig comando establece el flag A su valor
predeterminado de 1.
R1(config)# interface GigabitEthernet0/0/1

R1(config-if)# description Link to LAN
R1(config-if)# ipv6 address fe80::1 link-local
R1(config-if)# ipv6 nd managed-config-flag
R1(config-if)# ipv6 nd prefix default no-autoconfig
R1(config-if)# ipv6 dhcp server IPV6-STATEFUL
R1(config-if)# end
R1#
Paso 5. Compruebe que los hosts han recibido información de direccionamiento IPv6.
Para comprobar en un host de Windows, utilice el ipconfig /all comando para comprobar
el método de configuración DHCP stateful. El ejemplo muestra la configuración en PC1. El
resultado resaltado muestra que PC1 ha recibido su GUA IPv6 de un servidor DHCPv6
stateful.

Description . . . . . . . . . . . : IntelI 82574L Gigabit Network Connection
DHCP Enabled. . . . . . . . . . . : Yes
IPv6 Address. . . . . . . . . . . : 2001:db8:acad:1a43c:fd 28:9 d 79:9 e42 (Preferred)
Lease Obtained. . . . . . . . . . : Saturday, September 27, 2019, 10:45:30 AM
Lease Expires. . . . . . . . . . : Monday, September 29, 2019 10:05:04 AM
Link-local IPv6 Address. . . . .: fe80: :192f:6fbc:9db:b 749% 6 (Preferred)
Autoconfiguration IPv4 Address. . : 169.254.102.73 (Preferred)
Default Gateway. . . . . . . . . : fe80::1%6
DHCPv6 IAID . . . . . . . . . . . : 318768538
Servidor DNS . . . . . . . . . . : 2001:4860:4860::8888
C:\PC1>
Configurar un cliente DHCPv6

stateful.
Un router también puede ser un cliente DHCPv6. El router cliente debe

tener ipv6 unicast-routing habilitado y una dirección link-local IPv6
para enviar y recibir mensajes IPv6.
Consulte la topología de ejemplo para aprender a configurar el cliente

DHCPv6 stateful.
El router cliente DHCPv6 debe estar ipv6 unicast-routing habilitado.

R3(config)#
Paso 2. Configure el router cliente para crear una LLA.
En el ejemplo, el ipv6 enable comando se configura en la interfaz R3 Gigabit Ethernet

0/0/1. Esto permite al router crear una LLA IPv6 sin necesidad de un GUA.

R3(config-if)# ipv6 enable
R3(config-if)#
Paso 3. Configure el router cliente para que use DHCPv6.
El ipv6 address dhcp comando configura R3 para solicitar su información de

direccionamiento IPv6 de un servidor DHCPv6.
R3(config-if)# ipv6 address dhcp

R3(config-if)# end
R3#
Paso 4. Verifique que el router cliente tenga asignado un GUA.
Utilice el show ipv6 interface brief comando para verificar la configuración del host como
se muestra.

unassigned
FE80::2FC:BAFF:FE94:29B1
2001:DB8:ACAD:1:B4CB:25FA:3C9:747C
Serial0/1/0 [up/up]
unassigned
Serial0/1/1 [up/up]
unassigned
R3#
Paso 5. Verifique que el router cliente haya recibido otra información DHCPv6 necesaria.
El show ipv6 dhcp interface g0/0/1 comando confirma que R3 aprendió el DNS y los
nombres de dominio.
R3# show ipv6 dhcp interface g0/0/1

GigabitEthernet0/0/1 is in client mode
Prefix State is IDLE
Address State is OPEN
Renew for address will be sent in 11:56:33
List of known servers:
Reachable via address: FE80::1
DUID: 000300017079B3923640
Preference: 0
Configuration parameters:
IA NA: IA ID 0x00060001, T1 43200, T2 69120
Address: 2001:DB8:ACAD:1:B4CB:25FA:3C9:747C/128
preferred lifetime 86400, valid lifetime 172800
expires at Sep 29 2019 11:52 AM (172593 seconds)
DNS server: 2001:4860:4860::8888
Domain name: example.com
Information refresh time: 0
Prefix Rapid-Commit: disabled
Address Rapid-Commit: disabled
R3#
El show ipv6 dhcp pool comando verifica el nombre del pool de DHCPv6 y sus
parámetros. El comando también identifica el número de clientes activos. En este
ejemplo, el grupo IPV6-STATEFUL tiene actualmente 2 clientes, lo que refleja PC1 y R3
que reciben su dirección de unidifusión global IPv6 de este servidor.
Cuando un router proporciona servicios DHCPv6 stateful, también mantiene una base de
datos de direcciones IPv6 asignadas.
R1# show ipv6 dhcp pool

DHCPv6 pool: IPV6-STATEFUL
Address allocation prefix: 2001:DB8:ACAD:1::/64 valid 172800 preferred 86400 (2 in use,
0 conflicts)
DNS Serer: 2001:4860:4860: :8888 Domain name: example.com Acitve clients: 2
R1#
Utilice el resultado del show ipv6 dhcp binding comando para mostrar la dirección link-
local IPv6 del cliente y la dirección de unidifusión global asignada por el servidor.
El resultado muestra el enlace con estado actual en R1. El primer cliente en el resultado
es PC1 y el segundo cliente es R3.
Esta información la mantiene un servidor de DHCPv6 stateful. Un servidor DHCPv6

stateless no mantendría esta información.
R1# show ipv6 dhcp binding Client: FE80: :192F:6FBC:9DB:B749

DUID: 0001000125148183005056B327D6
Username : unassigned
VRF : default
IA NA: IA ID 0x03000C29, T1 43200, T2 69120
Address: 2001:DB8:ACAD:1:A43C:FD 28:9 D 79:9 E42
Client: FE80: :2FC:BAFF:FE 94:29 B1
DUID: 0003000100FCBA9429B0
VRF : default
IA NA: IA ID 0x00060001, T1 43200, T2 69120
Address: 2001:DB8:ACAD:1:B4CB:25FA:3C 9:747 C
R1#
Configuración del agente de

retransmisión DHCPv6
Si el servidor de DHCPv6 está ubicado en una red distinta de la del cliente, el router IPv6
puede configurarse como agente de retransmisión DHCPv6. La configuración de un agente
de retransmisión DHCPv6 es similar a la configuración de un router IPv4 como retransmisor
DHCPv4.
En la figura, R3 se configura como un servidor DHCPv6 stateful. PC1 está en la red

2001:db8:acad:2: :/64 y requiere los servicios de un servidor DHCPv6 stateful para adquirir
su configuración IPv6. R1 debe configurarse como el Agente de retransmisión DHCPv6.
La sintaxis del comando para configurar un router como agente de retransmisión DHCPv6
es la siguiente:
Router(config-if)# ipv6 dhcp relay destination ipv6-address [interface-type interface-

number]
Este comando se configura en la interfaz que frente a los clientes DHCPv6 y especifica la
dirección del servidor DHCPv6 y la interfaz de salida para llegar al servidor, como se
muestra en el ejemplo. La interfaz de salida sólo es necesaria cuando la dirección de salto
siguiente es una LLA.

R1(config-if)# ipv6 dhcp relay destination 2001:db8:acad:1::2 G0/0/0
R1(config-if)# exit
R1(config)#
8.4.8
Verificar el agente de
retransmisión de DHCPv6
Compruebe que el agente de retransmisión DHCPv6 esté operativo con los show ipv6 dhcp
interface comandos show ipv6 dhcp binding Compruebe que los hosts de Windows
recibieron información de direccionamiento IPv6 con el ipconfig /all comando.
El agente de retransmisión DHCPv6 se puede verificar mediante el show ipv6 dhcp

interface comando. Esto verificará que la interfaz G0/0/1 esté en modo de retransmisor.
R1# show ipv6 dhcp interface GigabiteThernet0/0/1 is in relay mode

Destinos de retransmisión:
2001:DB8:ACAD:1: :2
2001:DB8:ACAD:1: :2 a través de GigabiteThernet0/0/0
R1#
En R3, utilice el show ipv6 dhcp binding command para comprobar si se ha asignado una
configuración IPv6 a alguno de los hosts.
Observe que a una dirección link-local de cliente se le ha asignado un GUA IPv6.

Podemos suponer que esto es PC1.
R3# show ipv6 dhcp binding

Client: FE80: :5C43:EE7C:2959:DA68
DUID: 0001000124F5CEA2005056B36D
VRF : default
IA NA: IA ID 0x03000C29, T1 43200, T2 69120
Address: 2001:DB8:ACAD: 2:9 C3C:64DE:AADA:7857
expires at Sep 29 2019 08:26 PM (172710 seconds)
Por último, utilice ipconfig /all en PC1 para confirmar que se le ha asignado una
configuración IPv6. Como puede ver, PC1 ha recibido su configuración IPv6 del servidor
DHCPv6.

Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
DHCP Enabled. . . . . . . . . . . : Yes
IPv6 Address. . . . . . . . . . . : 2001:db8:acad: 2:9 c3c:64de:aada:7857 (Preferred)
Link-local IPv6 Address . . . . .: fe80: :5c43:ee7c:2959:da68%6(Preferido)
Lease Obtained . . . . . . . . . : Saturday, September 27, 2019, 11:45:30 AM
Lease Expires . . . . . . . . . . : Monday, September 29, 2019 11:05:04 AM
IPv4 Address. . . . . . . . . . . : 169.254.102.73 (Preferred)
DHCPv6 IAID . . . . . . . . . . . : 318768538
DNS Servers . . . . . . . . . . . : 2001:4860:4860::8888
C:\PC1>
Asignación IPv6 GUA
En un router, las direcciones globales de unidifusión (GUA) IPv6 se configuran manualmente

mediante el comando de configuración ipv6 address ipv6-address/prefix-length interface.
Cuando se selecciona el direccionamiento IPv6 automático, el host intentará obtener y
configurar automáticamente la dirección IPv6 información en la interfaz. La dirección local
del vínculo IPv6 es creada automáticamente por el host cuando se inicia y la interfaz
Ethernet es activo. De forma predeterminada, un router habilitado para IPv6 anuncia su
información IPv6, lo que permite a un host crear o adquirir dinámicamente su configuración
IPv6. IPv6 GUA se puede asignar dinámicamente utilizando servicios stateless y stateful. La
decisión de cómo un cliente obtendrá un GUA IPv6 depende de la configuración dentro del
mensaje RA. Un mensaje de RA ICMPv6 incluye tres flags para identificar las opciones
dinámicas disponibles para un host, como se indica a continuación:
● Un flag - este es el indicador de configuración automática de direcciones. Utilice

SLAAC para crear una GUA IPv6.
● O flag - Este es otro indicador de configuración (Other) Otra información está
disponible desde un servidor DHCPv6 stateless.
● M flag - Este es es indicador Managed Address. Utilice un servidor DHCPv6 stateful
para obtener una GUA IPv6.
SLAAC
El método SLAAC permite a los hosts crear su propia dirección única global IPv6 sin los
servicios de un servidor DHCPv6. SLAAC, que es stateless, utiliza mensajes ICMPv6 RA para
proporcionar direccionamiento y otra información de configuración que normalmente
proporcionaría un servidor DHCP SLAAC se puede implementar como SLAAC solamente, o
SLAAC con DHCPv6. Para habilitar el envío de mensajes RA, un router debe unirse al grupo
de todos los routers IPv6 mediante el comando ipv6 unicast-routing global config. Utilice el
show ipv6 interface comando para verificar si un router está habilitado. El método SLAAC
sólo, está habilitado de forma predeterminada cuando se configura el comando ipv6 unicast-
routing. Todas las interfaces Ethernet habilitadas con un GUA IPv6 configurado comenzarán
a enviar mensajes RA con el flag A establecido en 1 y los flags O y M establecidos en 0. El
flag A = 1 sugiere al cliente crear su propio IPv6 GUA usando el prefijo anunciado en RA.
Los flags O =0 y M=0 le indican al cliente que use la información del mensaje RA
exclusivamente. Un router envía mensajes de RA cada 200 segundos. Sin embargo, también
enviará un mensaje RA si recibe un mensaje RS de un host. Mediante SLAAC, un host suele
adquirir su información de subred IPv6 de 64 bits del RA del router . Sin embargo, debe
generar el identificador de interfaz (ID) de 64 bits restante utilizando uno de estos dos
métodos: generado aleatoriamente, o EUI-64. Un host utiliza el proceso DAD para asegurarse
de que IPv6 GUA es único. DAD se implementa usando ICMPv6. Para realizar DAD, el host
envía un mensaje ICMPv6 NS con una dirección de multidifusión especialmente construida,
llamada dirección de multidifusión de nodo solicitado. Esta dirección duplica los últimos 24
bits de dirección IPv6 del host .
DHCPv6
El host comienza las comunicaciones cliente / servidor DHCPv6 después de que se indica
DHCPv6 stateles o DHCPv6 stateful en el RA. Los mensajes DHCPv6 de servidor a cliente
utilizan el puerto de destino UDP 546, mientras que los mensajes DHCPv6 de cliente a
servidor utilizan el puerto de destino UDP 547. La opción de DHCPv6 stateless informa al
cliente que utilice la información del mensaje RA para el direccionamiento, pero que hay
más parámetros de configuración disponibles de un servidor de DHCPv6. Esto se denomina
DHCPv6 stateless porque el servidor no mantiene ninguna información de estado del cliente.
DHCPv6 Stateless está habilitado en una interfaz de router mediante el comandoipv6 nd
other-config-flag interface configuration. Esto establece el flag O en 1. En este caso, el
mensaje RA indica al cliente que obtenga toda la información de direccionamiento de un
servidor DHCPv6 stateful, excepto la dirección del default gateway que es la dirección link-
local IPv6 de origen de la RA. Esto se conoce como DHCPv6 stateful, debido a que el
servidor de DHCPv6 mantiene información de estado de IPv6. DHCPv6 Stateful es habilitado
en una interfaz de router mediante el comando ipv6 nd managed-config-flag interface
configuration Esto establece el flag M en 1.
Configurar Servidor DHCPv6
Un router Cisco IOS se puede configurar para proporcionar servicios de servidor DHCPv6
como uno de los tres tipos siguientes: servidor DHCPv6, cliente DHCPv6 o agente de
retransmisión DHCPv6. La opción de servidor DHCPv6 stateless requiere que el router
anuncie la información de direccionamiento de red IPv6 en los mensajes RA. Un router
también puede ser un cliente DHCPv6 y obtener una configuración IPv6 de un servidor
DHCPv6. La opción de servidor DHCP stateful requiere que el router habilitado para IPv6
indique al host que se ponga en contacto con un servidor DHCPv6 para obtener toda la
información de direccionamiento de red IPv6 necesaria. El router cliente debe tener have
ipv6 unicast-routing habilitado y una dirección link-local IPv6 para enviar y recibir mensajes
IPv6. Utilice los show ipv6 dhcp pool comandos show ipv6 dhcp binding y para verificar el
funcionamiento DHCPv6 en un router. Si el servidor de DHCPv6 está ubicado en una red
distinta de la del cliente, el router IPv6 puede configurarse como agente de retransmisión
DHCPv6 utilizando el comando ipv6 dhcp relay destination ipv6-address [interface-type
interface-number] Este comando se configura en la interfaz que enfrenta a los clientes
DHCPv6 y especifica la dirección del servidor DHCPv6 y la interfaz de salida para llegar al
servidor. La interfaz de salida sólo es necesaria cuando la dirección de salto siguiente es
una LLA. Compruebe que el agente de retransmisión DHCPv6 esté operativo con los show
ipv6 dhcp interface comandos show ipv6 dhcp binding
¡Bienvenido a FHRP Concepts!
Su red está en funcionamiento. Ha conquistado la redundancia de Capa 2 sin bucles de Capa

2. Todos sus dispositivos obtienen sus direcciones dinámicamente. ¡Usted es bueno en la
administración de la red! pero, espera. Uno de sus routers, el router de puerta de enlace
predeterminado, de hecho, se ha caído. Ninguno de sus hosts puede enviar mensajes fuera
de la red inmediata. Va a tomar un tiempo para que este router de puerta de enlace
predeterminado vuelva a funcionar. Tienes a muchas personas enojadas preguntando ¿qué
tan pronto la red estará "respaldada" (back up)?
Puede evitar este problema fácilmente. Los protocolos de redundancia de primer salto
(FHRP) son la solución que necesita. Este módulo analiza lo que hace la FHRP y todos los
tipos de FHRP disponibles para usted. Uno de estos tipos es un FHRP propietario de Cisco
llamado Hot Standby Router Protocol (HSRP). Aprenderá cómo funciona HSRP y completará
una actividad en Packet Tracer donde configurará y verificará HSRP. ¡No esperes, empieza!
9.0.2
Título del módulo: Conceptos de FHRP
Objetivos del módulo: Explique cómo los FHRP proporcionan servicios de gateway
predeterminados en una red redundante.
Título del tema Objetivo del Tema
Protocolos de Redundancia de Describa el propósito y el funcionamiento de los

Primer Salto protocolos de redundancia de primer salto.
HSRP Explique cómo funciona el HSRP.
Limitaciones del Gateway Predeterminado
Si falla un router o una interfaz del router (que funciona como gateway predeterminado), los
hosts configurados con ese gateway predeterminado quedan aislados de las redes externas.
Se necesita un mecanismo para proporcionar gateways predeterminados alternativos en las
redes conmutadas donde hay dos o más routers conectados a las mismas VLAN. Este
mecanismo es proporcionado por los protocolos de redundancia de primer salto (FHRP).
En una red conmutada, cada cliente recibe solo un gateway predeterminado. No hay forma
de usar un gateway secundario, incluso si existe una segunda ruta que transporte paquetes
fuera del segmento local.
En la figura, el R1 es el responsable de enrutar los paquetes de la PC1. Si el R1 deja de estar

disponible, los protocolos de routing pueden converger de forma dinámica. Ahora, el R2
enruta paquetes de redes externas que habrían pasado por el R1. Sin embargo, el tráfico de
la red interna asociado al R1, incluido el tráfico de las estaciones de trabajo, de los
servidores y de las impresoras que se configuraron con el R1 como gateway
predeterminado, aún se envía al R1 y se descarta.
Nota: Nota: Para los efectos del análisis de la redundancia de los routers, no hay diferencia
funcional entre un switch capa 3 y un router en la capa de distribución. En la práctica, es
común que un switch capa 3 funcione como gateway predeterminado para cada VLAN en
una red conmutada. Esta discusión se centra en la funcionalidad del enrutamiento,
independientemente del dispositivo físico utilizado.
Por lo general, los dispositivos finales o terminales se configuran con una única dirección
IPv4 para un gateway predeterminado. Esta dirección no se modifica cuando cambia la
topología de la red. Si no se puede llegar a esa dirección IPv4 de gateway
predeterminado, el dispositivo local no puede enviar paquetes fuera del segmento de red
local, lo que lo desconecta completamente de las demás redes. Aunque exista un router
redundante que sirva como puerta de enlace predeterminada para ese segmento, no hay
un método dinámico para que estos dispositivos puedan determinar la dirección de una
nueva puerta de enlace predeterminada.
Nota: Los dispositivos IPv6 reciben dinámicamente su dirección de puerta de enlace

predeterminada del anuncio de router ICMPv6. Sin embargo, los dispositivos IPv6 se
benefician con una conmutación por error más rápida a la nueva puerta de enlace
predeterminada cuando se utiliza FHRP.
Redundancia del Router
Una forma de evitar un único punto de falla en el gateway predeterminado

es implementar un router virtual. Como se muestra en la figura, para
implementar este tipo de redundancia de router, se configuran varios
routers para que funcionen juntos y así dar la sensación de que hay un
único router a los hosts en la LAN. Al compartir una dirección IP y una
dirección MAC, dos o más routers pueden funcionar como un único router
virtual.
La topología de red física muestra cuatro PC, tres routers y una nube de
red troncal de Internet o ISP. Los cuatro PCs y los tres routers están
conectados a una LAN. Los tres routers también tienen un enlace que sube
a la red troncal Iternet o IPS. Hay un router de reenvío con dirección IP
192.0.2.1/24. Hay un router virtual con dirección IP 192.0.2.100/24. Hay
un router en espera con dirección IP 192.0.2.2/24. Una flecha que
representa un paquete enviado desde PC2 va al router virtual en la
dirección IP 192.0.2.100, luego al router de reenvío con la dirección IP
192.0.2.1 y luego al Internet o ISP.
La dirección IPv4 del router virtual se configura como la puerta de enlace predeterminada
para las estaciones de trabajo de un segmento específico de IPv4. Cuando se envían
tramas desde los dispositivos host hacia el gateway predeterminado, los hosts utilizan
ARP para resolver la dirección MAC asociada a la dirección IPv4 del gateway
predeterminado. La resolución de ARP devuelve la dirección MAC del router virtual. El
router actualmente activo dentro del grupo de routers virtuales puede procesar
físicamente las tramas que se envían a la dirección MAC del router virtual. Los protocolos
se utilizan para identificar dos o más routers como los dispositivos responsables de
procesar tramas que se envían a la dirección MAC o IP de un único router virtual. Los
dispositivos host envían el tráfico a la dirección del router virtual. El router físico que
reenvía este tráfico es transparente para los dispositivos host.
Un protocolo de redundancia proporciona el mecanismo para determinar qué router debe

cumplir la función activa en el reenvío de tráfico. Además, determina cuándo un router de
reserva debe asumir la función de reenvío. La transición entre los routers de reenvío es
transparente para los dispositivos finales.
La capacidad que tiene una red para recuperarse dinámicamente de la falla de un

dispositivo que funciona como gateway predeterminado se conoce como “redundancia
de primer salto”.
Pasos para la Conmutación por

Falla del Router
Cuando falla el router activo, el protocolo de redundancia hace que el router de reserva
asuma el nuevo rol de router activo, como se muestra en la figura. Estos son los pasos que
se llevan a cabo cuando falla el router activo:
1. El router de reserva deja de recibir los mensajes de saludo del router de reenvío.
2. El router de reserva asume la función del router de reenvío.
3. Debido a que el nuevo router de reenvío asume tanto la dirección IPv4 como la
dirección MAC del router virtual, los dispositivos host no perciben ninguna
interrupción en el servicio.
La topología de red física muestra cuatro PC, tres routers y una nube de red troncal de
Internet o ISP. Los cuatro PCs y los tres routers están conectados a una LAN. Los tres
routers también tienen un enlace que sube a la red troncal Iternet o IPS. Hay un router de
reenvío con dirección IP 192.0.2.1/24. Hay un router virtual con dirección IP 192.0.2.100/24.
Hay un router en espera con dirección IP 192.0.2.2/24. Hay una X a través del enlace LAN al
router con la dirección IP 192.0.2.1 que anteriormente era un router de reenvío. Una flecha
que representa un paquete enviado desde PC2 va al router virtual en la dirección IP
192.0.2.100, luego al nuevo router de reenvío con dirección IP 192.0.2.2 y luego a la red
troncal de Internet o ISP.
Opciones de FHRP
La FHRP utilizada en un entorno de producción depende en gran medida del equipo y las
necesidades de la red. La tabla muestra todas las opciones disponibles para FHRP.
Opciones de FHRP Descripción
HRSP es una FHRP propietaria de Cisco que está

diseñada para permitir conmutación por error
(failover) transparente de un dispositivo IPv4 de
primer salto. HSRP proporciona alta disponibilidad de
red al proporcionar redundancia de enrutamiento de
primer salto para IPv4 hosts en redes configuradas
con una dirección de puerta de enlace predeterminada
IPv4. HSRP se utiliza en un grupo de routers para
Protocolo de Router de Reserva
seleccionar un dispositivo activo y un dispositivo de
Directa (HSRP, Hot Standby
espera. En un grupo de interfaces de dispositivo, el
Router Protocol)
dispositivo activo es el dispositivo que se utiliza para
enrutar los paquetes; el dispositivo de espera es el
dispositivo que se hace cargo cuando el dispositivo
activo falla o cuando se preconfigura se cumplen las
condiciones. La función del router de espera HSRP es
supervisar el estado operativo del grupo HSRP y
asumir rápidamente responsabilidad de reenvío de
paquetes si falla el router activo.
Esta es una FHRP propietaria de Cisco que

proporciona la misma funcionalidad de HSRP, pero en
un entorno IPv6. Un grupo IPv6 HSRP tiene un MAC
virtual derivada del número de grupo HSRP y un
vínculo IPv6 virtual local derivada de la dirección MAC
HSRP para IPv6
virtual HSRP. Router Periódico se envían anuncios
(RA) para el enlace IPv6 virtual HSRP local cuando el
grupo HSRP está activo. Cuando el grupo se vuelve
inactivo, estos RAs se detienen después de enviar una
RA final.
Este es un protocolo electoral no propietario que

asigna dinámicamente responsabilidad de uno o más
routeres virtuales a los routeres VRRP en una LAN
IPv4. Esto permite que varios routers en un enlace
multiacceso utilicen la misma dirección IPv4 virtual.
Virtual Router Redundancy
Un router VRRP está configurado para ejecutar el
Protocol version 2 (VRRPv2)
protocolo VRRP junto con uno o más routeres
conectados a una LAN. En una configuración VRRP,
se elige un router como el virtual router master, con
los otros routers actuando como copias de seguridad,
en caso de que el virtual router master falle.
Proporciona la capacidad de admitir direcciones IPv4

VRRPv3 e IPv6. VRRPv3 Funciona en entornos de varios
proveedores y es más escalable que VRRPv2.
Protocolo de Equilibrio de Este es un FHRP propiedad de Cisco que protege el

Carga del Gateway (Load tráfico de datos de un router o circuito fallido, como
Balancing Protocol, GLBP) HSRP y VRRP, mientras que también permite la carga
equilibrada (también llamado uso compartido de
carga) entre un grupo de routers.
Esta es una FHRP propietaria de Cisco que

proporciona la misma funcionalidad de GLBP, pero en
un entorno IPv6. GLBP para IPv6 proporciona
automáticamente un respaldo de router para los hosts
GLBP para IPv6 IPv6 configurados con un único gateway
predeterminado en una LAN. Múltiples routers de
primer salto en la LAN se combinan para ofrecer un
único router IPv6 virtual de primer salto mientras
comparte el reenvío de paquetes IPv6 carga.
Especificado en RFC 1256, IRDP es una solución

Protocolo de detección del
FHRP heredada. IRDP permite IPv4 hosts ubiquen
router ICMP (IRDP, ICMP Router
routers que proporcionan conectividad IPv4 a otras
Discovery Protocol)
redes IP (no locales).
HSRP: Descripción general
Cisco proporciona HSRP y HSRP para IPv6 como una forma de evitar la
pérdida de acceso externo a la red si falla el router predeterminado.
Es el protocolo FHRP exclusivo de Cisco diseñado para permitir la

conmutación por falla transparente de los dispositivos IPv4 de primer
salto.
HSRP proporciona una alta disponibilidad de red, ya que proporciona

redundancia de routing de primer salto para los hosts IPv4 en las redes
configuradas con una dirección IPv4 de gateway predeterminado. HSRP se
utiliza en un grupo de routers para seleccionar un dispositivo activo y
un dispositivo de reserva. En un grupo de interfaces de dispositivo, el
dispositivo activo es aquel que se utiliza para enrutar paquetes, y el
dispositivo de reserva es el que toma el control cuando falla el
dispositivo activo o cuando se cumplen condiciones previamente
establecidas. La función del router de suspensión del HSRP es controlar
el estado operativo del grupo de HSRP y asumir rápidamente la
responsabilidad de reenvío de paquetes si falla el router activo.
9.2.2
Prioridad e Intento de
Prioridad del HSRP
El rol de los routers activos y de reserva se determina durante el proceso de elección del
HSRP. De manera predeterminada, el router con la dirección IPv4 numéricamente más alta
se elige como router activo. Sin embargo, siempre es mejor controlar cómo funcionará su
red en condiciones normales en lugar de dejarlo librado al azar.
Prioridad HSRP
La prioridad HSRP se puede utilizar para determinar el router activo. El router con la
prioridad HSRP más alta será el router activo. De manera predeterminada, la prioridad HSRP
es 100. Si las prioridades son iguales, el router con la dirección IPv4 numéricamente más
alta es elegido como router activo.
Para configurar un router para que sea el router activo, utilice el comando de interfaz
standby priority El rango de prioridad HSRP es de 0 a 255.
Preferencias HSRP
De forma predeterminada, después de que un router se convierte en el router activo, seguirá

siendo el router activo incluso si otro router está disponible en línea con una prioridad HSRP
más alta.
Para forzar un nuevo proceso de elección HSRP a tener lugar cuando un router de mayor
prioridad entra en línea, la preferencia debe habilitarse mediante el comando standby
preempt interface. El intento de prioridad es la capacidad de un router HSRP de activar el
proceso de la nueva elección. Con este intento de prioridad activado, un router disponible
en línea con una prioridad HSRP más alta asume el rol de router activo.
El intento de prioridad solo permite que un router se convierta en router activo si tiene una
prioridad más alta. Un router habilitado para intento de propiedad, con una prioridad
equivalente pero una dirección IPv4 más alta, no desplazará la prioridad de un router activo.
Consulte la topología de la figura.
La topología de red física muestra tres PCs conectadas a un switch. El switch a su vez está
conectado a dos routers, el router R1 con dirección IP 172.16.10.2/24 que es el router activo
currect con una prioridad de 150, y el router R2 con dirección IP 172.16.10.3/24 que es el
router en espera actual con una prioridad de 100. R1 y R2 se conectan a una nube troncal.
Hay un router virtual con una dirección IP virtual de 172.16.10.1/24 y una dirección MAC
virtual de 0000.0C07.AC01.
El R1 se configuró con la prioridad de HSRP de 150 mientras que el R2 tiene la prioridad de
HSRP predeterminada de 100. El intento de prioridad está habilitado en el R1. Con una
prioridad más alta, el R1 es el router activo y el R2 es el router de reserva. Debido a un corte
de energía que solo afecta al R1, el router activo ya no está disponible y el router de reserva
R2 asume el rol de router activo. Después de que se restaura la energía, el R1 vuelve a estar
en línea. Dado que R1 tiene una prioridad más alta y el intento de prioridad se encuentra
habilitado, forzará un nuevo proceso de elección. R1 reanudará su rol de router activo y el
R2 volverá al rol de router de reserva.
Nota: Nota: Si el intento de prioridad está desactivado, el router que arranque primero será
el router activo si no hay otros routers en línea durante el proceso de elección.
9.2.3
Estados y Temporizadores de HSRP
Un router puede ser el router HSRP activo responsable de la devolución del tráfico al
segmento, donde el router puede ser un router HSRP pasivo de reserva, listo para asumir rol
activo si falla el router activo. Cuando se configura una interfaz con HSRP o se habilita
primero con una configuración HSRP existente, el router envía y recibe paquetes de saludo
del HSRP para comenzar el proceso de determinar qué estado asumirá en el grupo HSRP.
La Tabla 1 resume los estados de HSRP.
Estado de
Descripción
HSRP
Este estado se ingresa a través de un cambio de configuración o
Inicial
cuando una interfaz está disponible en primer lugar.
El router no ha determinado la dirección IP virtual ha visto un mensaje

Aprendizaje de saludo desde el router activo. En este estado, el router espera para
escuchar al router activo.
El router conoce la dirección IP virtual, pero no es el router activo ni el

Escucha
router en espera. Escucha los mensajes de saludo de esos routers.
El router envía mensajes de saludo periódicos y participa activamente

Hablar
en la elección del router activo y/o en espera.
El router es candidato a convertirse en el próximo router activo y envía

En espera
mensajes de saludo periódicos.
El router HSRP activo y el de reserva envían paquetes de saludo a la dirección de

multidifusión del grupo HSRP cada 3 segundos, de forma predeterminada. El router de
reserva se convertirá en activo si no recibe un mensaje de saludo del router activo después
de 10 segundos. Puede bajar estas configuraciones del temporizador para agilizar las fallas
o el intento de prioridad. Sin embargo, para evitar el aumento del uso de la CPU y cambios
de estado de reserva innecesarios, no configure el temporizador de saludo a menos de 1
segundo o el temporizador de espera a menos de 4 segundos.
Protocolos de redundancia de primer salto
Si falla un router o una interfaz del router (que funciona como gateway predeterminado), los
hosts configurados con ese gateway predeterminado quedan aislados de las redes externas.
Se necesita un mecanismo para proporcionar gateways predeterminados alternativos en las
redes conmutadas donde hay dos o más routers conectados a las mismas VLAN. Una forma
de evitar un único punto de falla en el gateway predeterminado es implementar un router
virtual. Como se muestra en la figura, para implementar este tipo de redundancia de router,
se configuran varios routers para que funcionen juntos y así dar la sensación de que hay un
único router a los hosts en la LAN. Cuando falla el router activo, el protocolo de redundancia
hace que el router de reserva asuma el nuevo rol de router activo. Estos son los pasos que
se llevan a cabo cuando falla el router activo:
1. El router de reserva deja de recibir los mensajes de saludo del router de reenvío.
2. El router de reserva asume la función del router de reenvío.
3. Debido a que el nuevo router de reenvío asume tanto la dirección IPv4 como la
dirección MAC del router virtual, los dispositivos host no perciben ninguna
interrupción en el servicio.
La FHRP utilizada en un entorno de producción depende en gran medida del equipo y las
necesidades de la red. Estas son las opciones disponibles para FHRP:
● HSRP y HSRP para IPv6
● VRRPV2 y VRRPV3
● GLBP and GLBP for IPv6
● IRDP
HSRP
Es el protocolo HSRP exclusivo de Cisco diseñado para permitir la conmutación por falla
transparente de los dispositivos IPv4 de primer salto. HSRP se utiliza en un grupo de routers
para seleccionar un dispositivo activo y un dispositivo de reserva. En un grupo de interfaces
de dispositivo, el dispositivo activo es aquel que se utiliza para enrutar paquetes, y el
dispositivo de reserva es el que toma el control cuando falla el dispositivo activo o cuando
se cumplen condiciones previamente establecidas. La función del router de suspensión del
HSRP es controlar el estado operativo del grupo de HSRP y asumir rápidamente la
responsabilidad de reenvío de paquetes si falla el router activo. El router con la prioridad
HSRP más alta será el router activo. El intento de prioridad es la capacidad de un router
HSRP de activar el proceso de la nueva elección. Con este intento de prioridad activado, un
router disponible en línea con una prioridad HSRP más alta asume el rol de router activo.
Los estados HSRP incluyen inicial, aprendizaje, escucha, habla y espera.
Bienvenido a los conceptos de seguridad de LAN
Si su ruta de carrera está en TI, usted no sólo va a estar construyendo y realizando

mantenimiento de redes. Usted va a ser responsable por la seguridad de su red. Para los
arquitectos y administradores de red de hoy en día, la seguridad no es un pensamiento para
después. ¡Es una prioridad para ellos! De hecho, mucha gente en TI ahora trabaja
exclusivamente en el área de seguridad de la red.
¿Usted entiende lo que hace a una LAN segura? ¿Sabe lo que los usuarios maliciosos
pueden hacer para romper la seguridad de la red? ¿Usted sabe lo que puede hacer para
detenerlos? Este módulo es su introducción al mundo de la seguridad en redes, no espere
más, ¡haga clic en Siguiente!
10.0.2
Titulo del Módulo: Conceptos de Seguridad de LAN
Objetivo del Módulo: Explique cómo las vulnerabilidades ponen en riesgo la seguridad de
LAN.
Explique cómo usar la seguridad de punto terminal

Seguridad de punto terminal
para mitigar los ataques.
Explique cómo se utilizan AAA y 802.1x para

Control de acceso autenticar los terminales y los punto terminal LAN y
dispositivos.
Amenazas a la seguridad de
Identifique vulnerabilidades de la Capa 2.
Capa 2
Ataque de tablas de direcciones Explique cómo un ataque de tablas de direcciones

MAC MAC compromete la seguridad de LAN.
Explique cómo los ataques a la LAN comprometen la

Ataques a la LAN
seguridad de LAN.
Ataques de Red Actuales
Normalmente, los medios de comunicación cubren los ataques de red externos a redes
empresariales. Sencillamente busque en el internet por "Los ataques más recientes de red"
y encontrará información actualizada de ataques actuales. Muy posiblemente, estos ataques
envuelven una o más de las siguientes:
● Negación de Servicio Distribuido(DDoS) – Esto es un ataque coordinado desde

muchos dispositivos, llamados zombies, con la intención de degradar o detener
acceso publico al sitio web y los recursos de una organización.
● Filtración de Datos – Este es un ataque en el que los servidores de datos o los hosts
de una organización han sido comprometidos con el fin de robar información
confidencial.
● Malware – Este es un ataque en el que los hosts de una organización son infectados
con software malicioso que causa una serie de problemas. Por ejemplo, ransomware
como WannaCry, mostrado en la figura, encripta los datos en un host y bloquea el
acceso hasta que se le pague un rescate.
Red Privada Virtual (VPN) proporciona una conexión segura para que usuarios remotos
se conecten a la red empresarial a través de una red pública. Los servicios VPN pueden
ser integrados en el firewall.
Firewall de Siguiente Generación (NGFW) - proporciona inspección de paquetes con
estado, visibilidad y control de aplicaciones, un Sistema de Prevención de Intrusos de
Próxima Generación (NGIPS), Protección Avanzada contra Malware (AMP) y filtrado de
URL.
Un dispositivo NAC incluye autenticación, autorización y registro (AAA) En empresas más

grandes, estos servicios podrían incorporarse en un dispositivo que pueda administrar
políticas de acceso en una amplia variedad de usuarios y tipos de dispositivos. El Cisco
Identity Services Engine (ISE) en un ejemplo de dispositivo NAC.
Protección de terminales
Los dispositivos LAN como los switches, los Controladores de LAN Inalámbricos (WLCs), y
otros puntos de acceso (AP) interconectan puntos terminales. La mayoría de estos
dispositivos son susceptibles a los ataques LAN que se cubren en este módulo.
Sin embargo, muchos ataques se originan dentro de la red. Si un atacante se infiltra en un

host interno, este puede ser el punto de partida para que obtenga acceso a dispositivos
esenciales del sistema, como servidores e información confidencial.
Los puntos terminales son hosts que generalmente consisten en computadoras portátiles,
computadoras de escritorio, servidores y teléfonos IP, así como dispositivos propiedad de
los empleados (BYOD). Los puntos terminales son particularmente susceptibles a ataques
relacionados con malware que se originan a través del correo electrónico o la navegación
web. Estos puntos finales suelen utilizar características de seguridad tradicionales basadas
en host, como antivirus/antimalware, firewalls basados en host y sistemas de prevención de
intrusiones (HIPS) basados en host. Sin embargo, actualmente los puntos finales están más
protegidos por una combinación de NAC, software AMP basado en host, un Dispositivo de
Seguridad de Correo Electrónico (ESA) y un Dispositivo de Seguridad Web (WSA). Los
productos de Protección Avanzado de Malware (AMP) incluyen soluciones de dispositivos
finales como Cisco AMP.
La figura es una topología simple que representa todos los dispositivos de seguridad de red
y soluciones de dispositivos finales discutidas en este módulo.
Dispositivo de Seguridad de Correo
Electrónico Cisco (ESA)
Los dispositivos de seguridad de contenido incluyen un control detallado sobre el correo

electrónico y la navegación web para los usuarios de una organización.
Según el Talos Intelligence Group de Cisco, en junio de 2019, el 85% de todos los correos
electrónicos enviados eran spam. Los ataques de suplantación de identidad son una forma
de correo electronico no deseado paticularmente virulento. Recuerde que un ataque de
phishing lleva al usuario a hacer clic en un enlace o abrir un archivo adjunto. Spear phishing
selecciona como objetivo a empleados o ejecutivos de alto perfil que pueden tener
credenciales de inicio de sesión elevadas. Esto es particularmente crucial en el ambiente
actual, donde, de acuerdo al instituto SANS, 95% de todos los ataques en redes
empresariales son del resultado de un spear phishing exitoso.
El dispositivo Cisco ESA está diseñado para monitorear el Protocolo Simple de

Transferencia de Correo (SMTP). Cisco ESA se actualiza en tiempo real de Cisco Talos,
quien detecta y correlaciona las amenazas con un sistema de monitoreo que utiliza una base
de datos mundial. Cisco ESA extrae estos datos de inteligencia de amenazas cada tres o
cinco minutos. Estas son algunas funciones de Cisco ESA:
● Bloquear las amenazas

● Remediar contra el malware invisible que evade la detección inicial
● Descartar correos con enlaces malos (como se muestra en la figura).
● Bloquear el acceso a sitios recién infectados
● Encriptar el contenido de los correos salientes para prevenir perdida de datos.
En la figura Cisco ESA descarta el correo con enlaces malos.
Un atacante envía un correo electrónico de suplantación de identidad (phishing) desde la

nube, destinado a un ejecutivo de la compañía; el firewall lo re-envía al ESA, que lo descarta
Dispositivo de Seguridad de la Red de

Cisco (WSA)
Cisco Web Security Appliance (WSA) es una tecnología de mitigación para amenazas
basadas en la web. Ayuda a las organizaciones a abordar los desafíos de asegurar y
controlar el tráfico web. Cisco WSA combina protección avanzada contra malware,
visibilidad y control de aplicaciones, controles de políticas de uso aceptable e informes.
Cisco WSA proporciona un control completo sobre cómo los usuarios acceden a Internet.
Ciertas funciones y aplicaciones, como chat, mensajería, video y audio, pueden permitirse,
restringirse con límites de tiempo y ancho de banda, o bloquearse, de acuerdo con los
requisitos de la organización. La WSA puede realizar listas negras de URL, filtrado de URL,
escaneo de malware, categorización de URL, filtrado de aplicaciones web y cifrado y
descifrado del tráfico web.
En la figura, un usuario corporativo intenta conectarse a un sitio marcado en la lista negra.

Autenticación con una contraseña local
En el tema anterior usted aprendió que un NAC provee servicios AAA. En este tema usted
aprenderá mas sobre AAA y las formas de controlar el acceso.
Muchas formas de autenticación pueden ser llevadas a cabo en dispositivos de red, y cada
método ofrece diferentes niveles de seguridad. El método más simple de autenticación para
acceso remoto consiste en configurar un inicio de sesión, combinando nombre de usuario y
contraseña, a nivel de consola, lineas vty, y puertos auxiliares, como se muestra en el
siguiente ejemplo. Este método es el más simple de implementar, pero también el mas débil
y menos seguro. Este método no es fiable y la contraseña es enviada en texto plano.
Cualquier persona con la contraseña puede acceder al dispositivo

R1(config-line)# password ci5c0
SSH es un tipo de acceso remoto más seguro.
● Requiere un nombre de usuario y una contraseña, que se encriptan durante la

transmisión.
● El nombre de usuario y la contraseña pueden ser autenticados por el método de base
de datos local.
● Proporciona más responsabilidad porque el nombre de usuario queda registrado
cuando un usuario inicia sesión.
El siguiente ejemplo ilustra el SSH y métodos de acceso remoto a una base de datos local
R1(config)# ip domain-name example.com

R1(config)# crypto key generate rsa general-keys modulus 2048
R1(config)# username Admin secret Str0ng3rPa55w0rd
R1(config)# ssh version 2
R1(config-line)# transport input ssh
R1(config-line)# login local
El método de base de datos local tiene algunas limitaciones
● Las cuenta de usuario deben ser configuradas localmente en cada dispositivo. En

una gran empresa con múltiples routers y switches que controlar, puede tomar
mucho tiempo implementar y cambiar bases de datos locales en cada dispositivo.
● Además, la configuración de la base de datos local no proporciona ningún método de
autenticación de respaldo. Por ejemplo, ¿qué sucede si el administrador olvida el
nombre de usuario y la contraseña para ese dispositivo? Sin un método de respaldo
disponible para la autenticación, la restauración se convierte en la única opción.
Una mejor solución es hacer que todos los dispositivos se refieran a la misma base de datos
de nombres de usuario y contraseñas alojados en un servidor central.
10.2.2
Componentes AAA
AAA significa Autenticación, Autorización y Registro El concepto de AAA es similar al uso

de una tarjeta de crédito, como se muestra en la imagen La tarjeta de crédito identifica quién
la usa y cuánto puede gastar puede el usuario de esta, y mantiene un registro de cuántos
elementos o servicios adquirió el usuario.
"AAA" o "triple A", estos servicios proporcionan el marco principal para ajustar el control de
acceso en un dispositivo de red. AAA es un modo de controlar quién tiene permitido acceder
a una red (autenticar), controlar lo que las personas pueden hacer mientras se encuentran
allí (autorizar) y qué acciones realizan mientras acceden a la red (registrar).
Autenticación
Dos métodos de implementación de autenticación AAA son Local y basado en servidor.
Autenticación AAA local
Los AAA locales guardan los nombres de usuario y contraseñas localmente en un

dispositivo de red como el router de Cisco. Los usuarios se autentican contra la base de
datos local, como se muestra en la figura. AAA local es ideal para las redes
Autenticación AAA basada en el servidor

Con el método basado en servidor, el router accede a un servidor central de AAA, como
se muestra en la imagen El servidor AAA contiene los nombres de usuario y contraseñas
de todos los usuarios. El router AAA usa el protocolo de Sistema de Control de Acceso
del Controlador de Acceso Terminal Mejorado (TACACS+) o el protocolo de Servicio de
Autenticación Remota de Usuario de Discado (RADIUS) para comunicarse con el servidor
de AAA. Cuando hay múltiples enrutadores y switches, el método basado en el servidor
es más apropiado.
un cliente remoto se conecta a un router AAA, se le consulta su nombre de usuario y

contraseña, el router autentica las credenciales utilizando un servidor AAA, y se le da al
usuario acceso a la red.
Autorización
La autorización es automática y no requiere que los usuarios tomen medidas adicionales

después de la autenticación. La autorización controla lo que el usuario puede hacer o no en
la red después de una autenticación satisfactoria:
La autorización utiliza un conjunto de atributos que describe el acceso del usuario a la red.
Estos atributos son usados por el servidor AAA para determinar privilegios y restricciones
para ese usuario, como se muestra en la figura.
Registro
El registro de AAA recopila y reporta datos de uso. La organización puede utilizar estos
datos para fines como auditorías o facturación. Los datos recopilados pueden incluir la hora
de inicio y finalización de la conexión, los comandos ejecutados, la cantidad de paquetes y
el número de bytes.
Un uso muy implementado debe registro consiste en combinarlo con la autenticación AAA.
Los servidores AAA mantienen un registro detallado de lo que el usuario autenticado hace
exactamente en el dispositivo, como se muestra en la imagen Esto incluye todos los
comandos EXEC y de configuración que emite el usuario. El registro contiene varios campos
de datos, incluidos el nombre de usuario, la fecha y hora, y el comando real que introdujo el
usuario. Esta información resulta útil para solucionar problemas de dispositivos. Ademas
proporciona evidencia contra individuos que realizan actividades maliciosas.
El estándar IEEE 802.1X define un control de acceso y un protocolo de autenticación

basados en puertos. Este protocol evita que las estaciones de trabajo no autorizadas se
conecten a una LAN a través de puertos de switch de acceso público. El servidor de
autenticación autentica cada estación de trabajo, que está conectada a un puerto del
switch, antes de habilitar cualquier servicio ofrecido por el switch o la LAN.
Con la autenticación 802.1X basada en puertos, los dispositivos de la red cumplen roles
específicos, como se muestra en la figura:
● Cliente (suplicante) - Este es un dispositivo ejecutando software de cliente 802.1X,

el cual esta disponible para dispositivos conectados por cable o inalámbricos.
● Switch (Autenticador) – El switch funciona como actúa intermediario (proxy) entre
el cliente y el servidor de autenticación. Solicita la identificación de la información
del cliente, verifica dicha información al servidor de autenticación y transmite una
respuesta al cliente. Otro dispositivo que puede actuar como autenticador es un
punto de acceso inalámbrico.
● Servidor de autenticación - El servidor valida la identidad del cliente y notifica al
switch o al punto de acceso inalámbrico si el cliente esta o no autorizado para
acceder a la LAN y a los servicios del Switch.
Capa 2 Vulnerabilidades
Los dos temas anteriores discutieron seguridad en puntos terminales. En este tema, usted
va a seguir aprendiendo sobre formas de asegurar una LAN, enfocándose en las tramas de
la Capa de Enlace (Capa 2) y el switch.
Recuerde que el modelo de referencia OSI está dividido en siete capas, las cuales trabajan
de manera independiente una de otra. La figura muestra la función de cada capa y los
principales componentes que pueden ser explotados.
Los administradores de red regularmente implementan soluciones de seguridad para

proteger los componentes en la Capa 3 y hasta la Capa 7. Ellos usan VPNs, firewalls, y
dispositivos IPS para proteger estos elementos. Si la Capa 2 se ve comprometida, todas las
capas superiores también se ven afectadas. Por ejemplo, si un atacante con acceso a la red
interna captura los marcos de la Capa 2, entonces toda la seguridad implementada en las
capas anteriores sería inútil. El atacante podría causar mucho daño en la infraestructura de
red LAN de Capa 2.
Categorías de Ataques a Switches
La seguridad es solamente tan sólida como el enlace más débil en el sistema, y la Capa 2 es
considerada el enlace más débil. Esto se debe a que las LAN estaban tradicionalmente bajo
el control administrativo de una sola organización. Nosotros confiábamos inherentemente
en todas las personas y dispositivos conectados a nuestra LAN. Hoy, con BYOD y ataques
más sofisticados, nuestras LAN se han vuelto más vulnerables a la penetración. Además de
proteger de la Capa 3 a la Capa 7, los profesionales de seguridad de red también deben
mitigar los ataques a la infraestructura LAN de la Capa 2.
El primer paso para mitigar los ataques a la infraestructura de Capa 2 es comprender el

funcionamiento de la Capa 2 y las amenazas de la infraestructura de Capa 2.
Los ataques contra la infraestructura LAN de capa 2 se describen en la tabla y se analizan

con más detalle más adelante en este módulo.
Ataques de Capa 2
Categoría Ejemplos
Ataques a la tabla
Incluye ataques de saturación de direcciones MAC.
MAC
Incluye ataques VLAN Hopping y VLAN Double-Tagging Esto

Ataques de VLAN
tambien incluye ataques entre dispositivos en una misma VLAN.
Ataques de DHCP Incluye ataques de agotamiento y suplantación DHCP.
Incluye la suplantación de ARP y los ataques de envenenamiento

Ataques ARP
de ARP.
Ataques de
Suplantación de Incluye los ataques de suplantación de direcciones MAC e IP.
Direcciones
Incluye ataques de manipulación al Protocolo de Árbol de

Ataque de STP
Extensión
10.3.3
Técnicas de Mitigación en el Switch
La tabla provee una visión general de soluciones Cisco para mitigar ataques en Capa 2.
Mitigación de ataques en Capa 2.

Solución Descripción
Previene muchos tipos de ataques incluyendo ataques MAC

Seguridad de Puertos
address flooding Ataque por agotamiento del DHCP
Previene ataques de suplantación de identidad y de

DHCP Snooping
agotamiento de DHCP
Inspección ARP Previene la suplantación de ARP y los ataques de

dinámica (DAI) envenenamiento de ARP.
Protección de IP de Impide los ataques de suplantación de direcciones MAC e IP.

origen (IPSG)
Estas soluciones de Capa 2 no serán efectivas si los protocolos de administración no son

seguros. Por ejemplo, los protocolos administrativos Syslog, Protocolo Simple de
Administración de Red (SNMP), Protocolo Trivial de Transferencia de Archivos (TFTP),
Telnet, Protocolo de Transferencia de Archivos (FTP) y la mayoría de otros protocolos
comunes son inseguros, por lo tanto, se recomiendan las siguientes estrategias:
● Utilice siempre variantes seguras de protocolos de administración como SSH,

Protocolo de Copia Segura (SCP), FTP Seguro (SFTP) y Seguridad de capa de
sockets seguros / capa de transporte (SSL / TLS).
● Considere usar una red de administración fuera de banda para administrar
dispositivos.
● Usar una VLAN de administración dedicada que solo aloje el tráfico de
administración.
● Use ACL para filtrar el acceso no deseado.
Revisar la Operación del Switch
En este tema el foco esta aun en los switches, específicamente en la tabla de direcciones
MAC y como estas tablas son vulnerables a ataques.
Recuerde que para tomar decisiones de reenvío, un Switch LAN de Capa 2 crea una tabla
basada en las direcciones MAC de origen que se encuentran en las tramas recibidas. Como
se muestra en la figura, esto es llamado un tabla de direcciones MAC. Tabla de direcciones
MAC se guarda en la memoria y son usadas para reenviar tramas de forma eficiente.
S1# show mac address-table dynamic

Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0001.9717.22e0 DYNAMIC Fa0/4
1 000a.f38e.74b3 DYNAMIC Fa0/1
1 0090.0c23.ceca DYNAMIC Fa0/3
1 00d0.ba07.8499 DYNAMIC Fa0/2
S1#
10.4.2
Saturación de Tablas de Direcciones

MAC
Todas las tablas MAC tiene un tamaño fijo, por lo que un switch puede quedarse sin espacio
para guardar direcciones MAC. Los ataques de saturación de direcciones MAC aprovechan
esta limitación al bombardear el switch con direcciones MAC de origen falsas hasta que la
tabla de direcciones MAC del switch esté llena.
Cuando esto ocurre, el switch trata la trama como un unicast desconocido y comienza a
inundar todo el tráfico entrante por todos los puertos en la misma VLAN sin hacer referencia
a la tabla MAC. Esta condición ahora permite que un atacante capture todas las tramas
enviadas desde un host a otro en la LAN local o VLAN local.
Nota: El tráfico se satura solo dentro de la LAN o VLAN local. El atacante solo puede
capturar el tráfico dentro de la LAN o VLAN local a la que está conectado el atacante.
La figura muestra como el atacante puede fácilmente usar la herramienta de ataque de red
llamada macof para desbordar una tabla de direcciones MAC.
Mitigación de Ataques a la Tabla de

Direcciones MAC.
Lo que hace que herramientas como macof sean peligrosas es que un atacante puede crear
un ataque de saturación de tabla MAC muy rápidamente. Por ejemplo, un switch Catalyst
6500 puede almacenar 132,000 direcciones MAC en su tabla de direcciones MAC. Una
herramienta como macof puede saturar un switch con hasta 8,000 tramas falsas por
segundo; creando un ataque de saturación de la tabla de direcciones MAC en cuestión de
segundos. Este ejemplo muestra la salida del comando macof en un host Linux.
# macof -i eth1
36:a1:48:63:81:70 15:26:8d:4d:28:f8 0.0.0.0.26413 > 0.0.0.0.49492: S
1094191437:1094191437(0) win 512
16:e8:8:0:4d:9c da:4d:bc:7c:ef:be 0.0.0.0.61376 > 0.0.0.0.47523: S 446486755:446486755(0)
win 512
18:2a:de:56:38:71 33:af:9b:5:a6:97 0.0.0.0.20086 > 0.0.0.0.6728: S 105051945:105051945(0)
win 512
e7:5c:97:42:ec:1 83:73:1a:32:20:93 0.0.0.0.45282 > 0.0.0.0.24898: S
1838062028:1838062028(0) win 512
62:69:d3:1c:79:ef 80:13:35:4:cb:d0 0.0.0.0.11587 > 0.0.0.0.7723: S
1792413296:1792413296(0) win 512
c5:a:b7:3e:3c:7a 3a:ee:c0:23:4a:fe 0.0.0.0.19784 > 0.0.0.0.57433: S
1018924173:1018924173(0) win 512
88:43:ee:51:c7:68 b4:8d:ec:3e:14:bb 0.0.0.0.283 > 0.0.0.0.11466: S 727776406:727776406(0)
win 512
b8:7a:7a:2d:2c:ae c2:fa:2d:7d:e7:bf 0.0.0.0.32650 > 0.0.0.0.11324: S
605528173:605528173(0) win 512
e0:d8:1e:74:1:e 57:98:b6:5a:fa:de 0.0.0.0.36346 > 0.0.0.0.55700: S 2128143986:2128143986(0)

win 512
Otra razón por la que estas herramientas de ataque son peligrosas, es porque no solo
afectan el switch local sino que también afectan switches conectados de Capa 2. Cuando la
tabla de direcciones MAC de un switch está llena, comienza a desbordar todos los puertos,
incluidos los conectados a otros switches de Capa 2.
Para mitigar los ataques de saturación de la tabla de direcciones MAC, los administradores
de red deben implementar la seguridad del puerto. Seguridad de puertos (Port security)
permitirá que el puerto aprenda sólo un número específico de direcciones MAC de origen.
Seguridad de puertos (Port security) será discutido más adelante en otro módulo.
Video - VLAN y Ataques DHCP
Este tema investiga los diferentes tipos de ataques LAN y las técnicas de mitigación a estos
ataques. Como en temas anteriores, estos ataques tienden a ser específicamente a los
switches y Capa 2.
Haga clic en reproducir en la figura para ver un video sobre ataques de denegación de
servicio.
Ataque de VLAN Hopping
El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar
primero un router. En un ataque de VLAN Hopping básico, el atacante configura un host para
que actúe como un switch para aprovechar la función de entroncamiento automático
habilitada de forma predeterminada en la mayoría de los puertos del switch.
El atacante configura el host para falsificar la señalización 802.1Q y la señalización del

Protocolo de enlace dinámico (DTP), propiedad de Cisco, hacia el enlace troncal con el
switch de conexión. Si es exitoso, el switch establece un enlace troncal con el host, como se
muestra en la figura. Ahora el atacante puede acceder todas las VLANS en el switch. El
atacante puede enviar y recibir tráfico en cualquier VLAN, saltando efectivamente entre las
VLAN.
Ataque de VLAN Double-Tagging
Un atacante, en situaciones específicas, podrían insertar una etiqueta 802.1Q oculta dentro
de la trama que ya tiene una etiqueta 802.1Q. Esta etiqueta permite que la trama se envíe a
una VLAN que la etiqueta 802.1Q externa no especificó.
El atacante envía una trama 802.1Q con doble etiqueta (double tag) al switch. El
encabezado externo tiene la etiqueta VLAN del atacante, que es la misma que la VLAN
nativa del puerto de enlace troncal. Para fines de este ejemplo, supongamos que es la
VLAN 10. La etiqueta interna es la VLAN víctima; en este caso, la VLAN 20.
El frame llega al primer switch, que mira la primera etiqueta 802.1Q de 4 bytes. El switch
ve que la trama esta destinada para la VLAN 10, la cual es una VLAN nativa. El switch
reenvía el paquete a todos los puertos de VLAN 10, después de quitar la etiqueta de VLAN
10. La trama no es re-etiquetada porque es parte de la VLAN nativa. En este punto, la
etiqueta de VLAN 20 todavía está intacta y no ha sido inspeccionada por el primer switch.
La trama llega al segundo switch, que no tiene conocimiento de que debía ser para la
VLAN 10. El switch emisor no etiqueta el tráfico de la VLAN nativa, como se especifica en
la especificación 802.1Q. El segundo switch observa solo la etiqueta interna 802.1Q, que
el atacante insertó, y ve que la trama está destinada a la VLAN 20 (la VLAN víctima). El
segundo switch envía el paquete al puerto víctima o lo satura, dependiendo de si existe
una entrada en la tabla de MAC para el host víctima.
Un ataque de VLAN Double-tagging es unicast, y funciona unidireccional, y funciona cuando
el atacante está conectado a un puerto que reside en la misma VLAN que la VLAN nativa del
puerto troncal. La idea es que el doble etiquetado permite al atacante enviar datos a hosts o
servidores en una VLAN que de otro modo se bloquearía por algún tipo de configuración de
control de acceso. Presumiblemente, también se permitirá el tráfico de retorno, lo que le
dará al atacante la capacidad de comunicarse con los dispositivos en la VLAN normalmente
bloqueada.
Mitigación de Ataques a VLAN
Los ataques de VLAN hopping y VLAN Double-Tagging se pueden evitar mediante la

implementación de las siguientes pautas de seguridad troncal, como se discutió
previamente en este modulo:
● Deshabilitar troncal en todos los puertos de acceso.

● Deshabilitar entroncamiento automático en enlaces troncales para poder habilitarlos
de manera manual.
● Asegúrese de que la VLAN nativa sólo se usa para los enlaces troncales.
10.5.4
Mensajes DHCP
Los servidores DHCP, de manera dinámica, proporcionan información de configuración de

IP a los clientes, como la dirección IP, la máscara de subred, el gateway predeterminado, los
servidores DNS y más. Una revisión de la secuencia típica de un intercambio de mensajes
DHCP entre el cliente y el servidor es mostrada en la figura.
Ataques de DHCP
Los dos tipos de ataques DHCP son agotamiento y suplantación de identidad. Ambos
ataques pueden ser mitigados implementando DHCP snooping.
Ataque por Agotamiento DHCP
El objetivo de un ataque de agotamiento DHCP es crear un DoS para la conexión de clientes.

Los ataques de agotamiento de DHCP requieren una herramienta de ataque, como Gobbler.
Gobbler tiene la capacidad de ver todo el alcance de las direcciones IP alquilables e intenta
alquilarlas todas. Específicamente, este crea un mensaje DHCP DISCOVER con una
dirección MAC falsa.
Ataque de Suplantación DHCP
Un ataque de suplantación DHCP se produce cuando un servidor DHCP, no autorizado, se

conecta a la red y brinda parámetros de configuración IP falsos a los clientes legítimos. Un
servidor no autorizado puede proporcionar una variedad de información engañosa:
● Puerta de enlace predeterminada incorrecta - el atacante proporciona una puerta de

enlace no válida o la dirección IP de su host para crear un ataque de MITM. Esto
puede pasar totalmente inadvertido, ya que el intruso intercepta el flujo de datos por
la red.
● Servidor DNS incorrecto el atacante proporciona una dirección del servidor DNS
incorrecta que dirige al usuario a un sitio web malicioso.
● Dirección IP incorrecta - El servidor no autorizado proporciona una dirección IP no
válida que crea efectivamente un ataque DoS en el cliente DHCP
El atacante se conecta a un servidor DHCP dudoso.
Supongamos que un atacante conecta con éxito un servidor DHCP no autorizado a un

puerto de switch en la misma subred que los clientes. El objetivo del servidor no
autorizado es proporcionar a los clientes información de configuración de IP falsa.
El cliente transmite mensajes DHCP DISCOVER, tipo broadcast
Un cliente legítimo se conecta a la red y requiere parámetros de configuración de IP. Por

lo tanto, el cliente emite un DHCP DISCOVER, tipo broadcast, en búsqueda de una
respuesta de un servidor DHCP. Ambos servidores recibirán el mensaje y responden.
Respuesta DHCP legítima y no autorizada
El servidor DHCP legitimo responde con parámetros de configuración de IP validos. Sin

embargo, el servidor no autorizado también responde con una oferta DHCP, la cual
contiene parámetros de configuración IP definidos por el atacante. El cliente responderá a
la primera oferta recibida.
La topología de la red consiste en dos switches multi capa conectados a dos switches
LAN. Un servidor DHCP legitimo está conectado a uno de los switches multicapa. Un
cliente DHCP está conectado a uno de los switches LAN. Un servidor no autorizado DHCP
está conectado al otro switch LAN. Una oferta es enviada por ambos servidores DHCP al
cliente DHCP.
El cliente acepta la oferta del servidor DHCP no autorizado
La oferta maliciosa fue recibida primero, y por lo tanto, el cliente hace envía un DHCP
REQUEST, tipo broadcast, aceptando los parámetros IP definidos por el atacante. El
servidor legítimo y el dudoso recibirán la solicitud.
El servidor malicioso confirma que recibió la solicitud
Solamente el servidor no autorizado emite una respuesta individual al cliente para acusar
recibo de su solicitud. El servidor legítimo dejará de comunicarse con el cliente.
Video- Ataques ARP, Ataques STP, y
Reconocimiento CDP.
Haga clic en reproducir en la figura para ver un video sobre ataques de denegación de
servicio.
Ataques ARP
Recuerde que los hosts transmiten una solicitud de ARP a otros hosts del segmento para
determinar la dirección MAC de un host con una dirección IP específica. Esto es típicamente
hecho para descubrir la dirección MAC de una puerta de enlace predeterminada. Todos los
hosts de la subred reciben y procesan la solicitud de ARP. El host con la dirección IP que
coincide con la de la solicitud de ARP envía una respuesta de ARP.
Según ARP RFC, cualquier cliente puede enviar una respuesta de ARP no solicitada llamada
“ARP gratuito” Cuando un host envía un ARP gratuito, otros hosts en la subred almacenan
en sus tablas de ARP la dirección MAC y la dirección IP que contiene dicho ARP.
El problema es que un atacante puede enviar un mensaje ARP gratuito al switch y el switch
podría actualizar su tabla MAC de acuerdo a esto. Por lo tanto, cualquier host puede
reclamar ser el dueño de cualquier combinación de direccion IP Y MAC que ellos elijan. En
un ataque típico el atacante puede enviar respuestas ARP, no solicitadas, a otros hosts en la
subred con la dirección MAC del atacante y la dirección IP de la puerta de enlace
predeterminada.
Hay muchas herramientas disponibles en Internet para crear ataques de MITM de ARP, como
dsniff, Cain & Abel, ettercap y Yersinia. IPv6 utiliza el protocolo de descubrimiento de
vecinos ICMPv6 para la resolución de direcciones de Capa 2. IPv6 utiliza el protocolo de
descubrimiento de vecinos ICMPv6 para la resolución de direcciones de capa 2.
La suplantación de identidad ARP y el envenenamiento ARP son mitigados implementando

DAI.
Estado normal con una tabla MAC convergida.
Cada dispositivo tiene una tabla MAC actualizada con la dirección IP y MAC correctas de
cada dispositivo en la red.
Ataque por Suplantación de ARP
El atacante envía dos respuestas gratuitas falsas en un intento de reemplazar R1 como la

puerta de enlace predeterminada.
1. En el primero ARP informa todos los dispositivos en la LAN que la direccion MAC
del atacante (CC:CC:CC) está mapeado a la direccion IP de la PC1, 10.0.0.11.
2. EL segundo le informa a todos los dispositivos en la LAN que la direccion MAC del
atacante (CC:CC:CC) está mapeado a la direccion IP de la PC1, 10.0.0.11.
Ataque de envenenamiento ARP con ataque MITM.
R1 y PC1 remueven la entrada correcta de la dirección MAC de cada uno y la reemplaza

con la dirección MAC de PC2. El atacante ha logrado envenenar la caché ARP de todos
los dispositivos en la subred. El envenenamiento ARP lleva a varios ataques MITM,
posando una seria amenaza de seguridad en la red.
Ataque de Suplantación de Dirección

Las direcciones IP y las direcciones MAC pueden ser suplantadas por una cantidad de
razones. El ataque de suplantación de identidad se da cuando un atacante secuestra una
dirección IP valida de otro dispositivo en la subred o usa una dirección IP al azar. La
suplantación de direcciones IP es difícil de mitigar, especialmente cuando se usa dentro de
una subred a la que pertenece la IP.
Los atacantes cambian la dirección MAC de su host para que coincida con la dirección MAC
conocida de un otro host objetivo. Luego, el host atacante envía una trama a través de la red
con la dirección MAC recién configurada. Cuando el switch recibe la trama, examina la
dirección MAC de origen. El switch sobrescribe la entrada actual en la tabla MAC y asigna la
dirección MAC al nuevo puerto, como se ve en la figura. Luego, sin darse cuenta, reenvía las
tramas host atacante.
Cuando el host de destino envía tráfico, el switch corregirá el error, re-alineando la dirección
MAC al puerto original. Para evitar que el switch corrija la asignación del puerto a su estado
correcto, el atacante puede crear un programa o script que constantemente enviará tramas
al switch, para que el switch mantenga la información incorrecta o falsificada. No hay un
mecanismo de seguridad en la Capa 2 que permita a un switch verificar la fuente de las
direcciones MAC, lo que lo hace tan vulnerable a la suplantación de identidad.
La suplantación de identidad de direcciones IP y direcciones MAC puede ser mitigada

implementado IPSG.
10.5.9
Ataque de STP
Los atacantes de red pueden manipular el Protocolo de Árbol de Expansión (STP) para
realizar un ataque falsificando el root bridge y cambiando la topología de una red. Los
atacantes hacen que su host parezca ser un root bridge; por lo tanto capturan todo el trafico
para el dominio del Switch inmediato.
Para realizar un ataque de manipulación de STP, el host atacante transmite Unidades de

Datos de Protocolo de Puente STP (BPDU), que contienen cambios de configuración y
topología que forzarán los re-cálculos de Árbol de Expansión, como se muestra en la figura.
Las BPDU enviadas por el host atacante anuncian una prioridad de puente (bridge) inferior,
en un intento de ser elegidas como root bridge.
El diagrama muestra un atacante y dos switches conectados juntos en un triángulo con el

atacante abajo. Ambos puertos entre el atacante y el Switch de arriba a la izquierda están en
estado de Reenvió (Forwarding). Ambos puertos conectados entre los switches están
transmitiendo. En la conexión entre el atacante y el switch de arriba la derecha, el puerto en
la atacante bloqueando y en el switch esta enviando. El switch en la parte superior izquierda
es actualmente el puente raíz (root bridge) con una prioridad de 8192. El atacante puede
enviar BPDUs de STP a ambos switches con prioridad 0.
Si tiene éxito, el host atacante se convierte en el puente raíz, como se muestra en la

figura, y ahora puede capturar una variedad de frames, que de otro modo no serían
accesibles.
El diagrama muestra un atacante y dos switches conectados juntos en un triangulo con el

atacante abajo. El atacante se ha convertido en el puente raíz. Ambos puertos entre el
atacante y el Switch de arriba a la izquierda están en estado de Reenvió (Forwarding).
Ambos puertos entre el atacante y el Switch de arriba a la derecha están reenviando. En la
conexion entre los switches de arriba, el puerto de switch de la izquierda esta
transmitiendo y el puerto de switch de la derecha esta bloqueando.
Reconocimiento CDP
Cisco Discovery Protocol (CDP) es un protocolo de detección de enlaces de Capa 2

patentado. Está habilitado en todos los dispositivos de Cisco de manera predeterminada.
CDP puede detectar automáticamente otros dispositivos con CDP habilitado y ayudar a
configurar automáticamente la conexión. Los administradores de red también usan CDP
para configurar dispositivos de red y solucionar problemas.
La información de CDP se envía por los puertos con CDP habilitado en transmisiones
periódicas sin encriptar. La información de CDP incluye la dirección IP del dispositivo, la
versión de software de IOS, la plataforma, las funcionalidades y la VLAN nativa. El
dispositivo que recibe el mensaje de CDP actualiza la base de datos de CDP.
La información de CDP es muy útil para la solución de problemas de red. Por ejemplo, CDP
puede usarse para verificar la conectividad de Capa 1 y 2. Si un administrador no puede
hacer ping a una interfaz con conexión directa, pero aún recibe información de CDP, es
probable que el problema esté en la configuración de Capa 3.
Sin embargo, un atacante puede usar la información proporcionada por CDP para detectar
vulnerabilidades en la infraestructura de red.
En la figura, una captura de Wireshark de ejemplo, muestra el contenido de un paquete de
CDP. El atacante puede identificar la versión del software Cisco IOS del dispositivo. Esto
permite que el atacante determine si hay vulnerabilidades de seguridad específicas a esa
versión determinada de IOS.
Las transmisiones de CDP se envían sin encriptación ni autenticación. Por lo tanto, un

atacante puede interferir con la infraestructura de la red enviando tramas de CDP
fabricadas con información falsa a dispositivos de Cisco con conexión directa.
Para mitigar la explotación de CDP, se debe limitar el uso de CDP en los dispositivos o
puertos. Por ejemplo, se debe deshabilitar CDP en los puertos de extremo que se
conectan a dispositivos no confiables.
Para deshabilitar CDP globalmente en un dispositivo, use el comando del modo de

configuración global no cdp run Para habilitar CDP globalmente, use el comando de
configuración global cdp run
Para deshabilitar CDP en un puerto, use el comando de configuración de interfaz no cdp

enable Para habilitar CDP en un puerto, use el comando de configuración de interfaz cdp
enable
Nota: El Protocolo de detección de capa de enlace (LLDP) también es vulnerable a los

ataques de reconocimiento. Configure no lldp run para deshabilitar LLDP globalmente.
Para deshabilitar LLDP en la interfaz, configure no lldp transmit y no lldp receive.
¿Qué aprendí en este módulo?
Los punto terminales son particularmente susceptibles a ataques malware que se originan a
través de correo electrónico o el navegador web, como DDOS, filtración de datos y malware.
Estos puntos terminales suelen utilizar características de seguridad tradicionales basadas
en host, como antivirus/antimalware, firewalls basados en host y sistemas de prevención de
intrusiones (HIPSs) basados en host. Los puntos terminales están mejor protegidos por una
combinación de NAC, software AMP basado en host, un dispositivo de seguridad de correo
electrónico (ESA) y un dispositivo de seguridad web (WSA). La WSA puede realizar listas
negras de URL, filtrado de URL, escaneo de malware, categorización de URL, filtrado de
aplicaciones web y cifrado y descifrado del tráfico web.
AAA es un modo de controlar quién tiene permitido acceder a una red (autenticar), controlar
lo que las personas pueden hacer mientras se encuentran allí (autorizar) y qué acciones
realizan mientras acceden a la red (registrar). La autorización utiliza un conjunto de atributos
que describe el acceso del usuario a la red. Un uso muy implementado del Registro es en
combinación con la Autenticación AAA. Los servidores AAA mantienen un registro detallado
de lo que el usuario autenticado hace exactamente en el dispositivo. El estándar IEEE 802.1X
define un control de acceso y un protocolo de autenticación basado en puertos, que evita
que las estaciones de trabajo no autorizadas se conecten a una LAN a través de los puertos
de switch acceso público.
Si la Capa 2 se ve comprometida, todas las capas superiores también se ven afectadas. El

primer paso para mitigar los ataques a la infraestructura de Capa 2 es comprender el
funcionamiento de la Capa 2 y las amenazas de la infraestructura de Capa 2: Port Security,
DHCP snooping, DAI, y IPSG. Estos no van a funcionar a menos que los protocolos de
administración sean seguros.
Los ataques por saturación de MAC, saturan la tabla de direcciones MAC del switch, con
información falsa, hasta que este llena. Cuando esto ocurre, el switch trata la trama como un
unicast desconocido, y comienza a reenviar todo el tráfico entrante por todos los puertos en
la misma VLAN, sin hacer referencia a la tabla MAC. El atacante puede ahora capturar todas
las tramas enviadas desde un host para otro host en una LAN o VLAN local. El atacante usa
macof para rapidamente generar, de manera aleatoria, muchas direcciones MAC y IP de
origen y destino. Para mitigar los ataques de saturación de la tabla de direcciones MAC, los
administradores de red deben implementar la seguridad del puerto.
El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar
primero un router. El atacante configura a un host para actuar como un Switch y tomar
ventaja de la característica de puerto troncal habitabilidad por defecto en la mayoría de
puertos del switch
Un ataque VLAN Double-Tagging es unidireccional y funciona únicamente cuando el

atacante está conectado a un puerto que reside en la misma VLAN que la VLAN nativa del
puerto troncal. El Double-Tagging permite al actor de la amenaza enviar datos a los hosts o
servidores en una VLAN que de otro modo se bloquearía por algún tipo de configuración de
control de acceso El trafico de retorno también sera permitido, dejando que el atacante se
comunique con otros dispositivos en la VLAN normalmente bloqueada.
Los ataques de VLAN hopping and VLAN double-tagging se pueden evitar mediante la
implementación de las siguientes pautas de seguridad troncal:
● Deshabilitar troncal en todos los puertos de acceso.

● Deshabilitar troncal automático en enlaces troncales para poder habilitarlos de
manera manual.
● Asegurarse de que la VLAN nativa solo se usa para los enlaces troncales.
Los servidores DHCP, de manera dinámica, proporcionan la información de configuración de

IP a los clientes, como la dirección IP, la máscara de subred, el default gateway, los
servidores DNS y más. Los dos tipos de ataques DHCP son agotamiento y suplantación de
identidad. Ambos ataques pueden ser mitigados implementando DHCP snooping.
Ataque ARP: un atacante puede enviar un mensaje ARP gratuito al switch y el switch podría
actualizar su tabla MAC de acuerdo a esto. Ahora el atacante envía respuestas ARP no
solicitadas a otros hosts en la subred con la dirección MAC del actor amenazante y la
dirección IP del default gateway. La suplantación de identidad ARP y el envenenamiento
ARP son mitigados implementando DAI.
Ataque de suplantación de direcciones: la suplantación de identidad de una direccion IP es

cuando un atacante secuestra una direccion IP valida de otro dispositivo en la subred o usa
una dirección IP al azar. Los atacantes cambian la dirección MAC de su host para que
coincida con otra dirección MAC conocida de un host de destino. La suplantación de
identidad de direcciones IP y direcciones MAC puede ser mnitigada implementado IPSG.
Ataque STP: el amenazante manipula STP para conducir un ataque suplantando root bridge
y cambiando la topologia de la red. Los atacantes hacen que su host aparezca como un root
bridge; por lo tanto capturan todo el trafico para el dominio del Switch inmediato. Este
ataque STP es mitigado implementando BPDU guard en todos los puertos de acceso.
La información de CDP se envía por los puertos con CDP habilitado en transmisiones
periódicas sin encriptar. La información de CDP incluye la dirección IP del dispositivo, la
versión de software de IOS, la plataforma, las funcionalidades y la VLAN nativa. El
dispositivo que recibe el mensaje CDP actualiza su base de datos CDP, la información
suministrada por el CDP puede también ser usada por un atacante para descubrir
vulnerabilidades en la infraestructura de la red. Para mitigar la explotación de CDP, se debe
limitar el uso de CDP en los dispositivos o puertos.
¡Bienvenido a Configuración de Seguridad de Switch!

Una parte importante de su responsabilidad como profesional en redes es mantener la red
segura. Casi siempre pensamos solo en ataques de seguridad viniendo de afuera de la red,
pero las amenazas podrían estar también dentro de la red. Estas amenazas pueden ir desde
un empleado inocente agregando un switch Ethernet a la red corporativa para tener mas
puertos, hasta un ataque malicioso causado por un empleado descontento. Es su trabajo
mantener la red segura y asegurarse que las operaciones de negocio continúen sin ser
comprometidas
¿Cómo mantenemos la red segura y estable? ¿Cómo la protegemos de ataques maliciosos

desde adentro de la red? ¿Cómo nos aseguramos que los empleados no estén agregando
switches, servidores y otros dispositivos a la red que podrían comprometer las operaciones
de la red?
¡Este modulo es la introducción para mantener su red segura desde adentro!
11.0.2
Module Title: Configuración de Seguridad de Switch
Module Objective: Configure la seguridad del switch para mitigar los ataques de LAN.
Implementación de Seguridad Implemente la seguridad de puertos para mitigar los

de Puertos ataques de tablas de direcciones MAC.
Explique cómo configurar DTP y la VLAN nativa para

Mitigación de ataques de VLAN
mitigar los ataques de VLAN.
Explique cómo configurar el snooping de DHCP para

Mitigación de ataques de DHCP
mitigar los ataques de DHCP.
Explique cómo configurar ARP para mitigar los

Mitigación de ataques de ARP
ataques de ARP.
Explique como configurar Portfast y BPDU Guard para

Mitigación de ataques de STP
mitigar los ataques de STP.
Asegurar los puertos sin utilizar
Los dispositivos de Capa 2 se consideran el eslabón mas débil en la infraestructura de

seguridad de una compañía. Los ataques de Capa 2 son de los mas sencillos de desplegar
para los hackers, pero estas amenazas también pueden ser mitigadas con algunas
soluciones comunes de capa 2.
Se deben proteger todos los puertos del switch (interfaces) antes de implementar el switch
para su uso en producción. Como un puerto es protegido depende de su función.
Un método simple que muchos administradores usan para contribuir a la seguridad de la red
ante accesos no autorizados es inhabilitar todos los puertos del switch que no se utilizan.
Por ejemplo, si un switch Catalyst 2960 tiene 24 puertos y hay tres conexiones Fast Ethernet
en uso, es aconsejable inhabilitar los 21 puertos que no se utilizan. Navegue a cada puerto
no utilizado y emita el comando shutdown de Cisco IOS. Si un puerto debe reactivarse más
tarde, se puede habilitar con el comando no shutdown.
Para configurar un rango de puertos, use el comando interface range.
Switch(config)# interface range type module/first-number – last-number
Por ejemplo, para apagar los puertos for Fa0/8 hasta Fa0/24 en S1, usted debe ingresar el
siguiente comando.

S1(config-if-range)# shutdown
%LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
(output omitted)
%LINK-5-CHANGED: Interface FastEthernet0/24, changed state to administratively down
S1(config-if-range)#
11.1.2
Mitigación de ataques por saturación de

tabla de direcciones MAC
El método más simple y eficaz para evitar ataques por saturación de la tabla de direcciones
MAC es habilitar la sport security.
La seguridad de puertos limita la cantidad de direcciones MAC válidas permitidas en el

puerto. Permite a un administrador configurar manualmente las direcciones MAC para un
puerto o permitir que el switch aprenda dinámicamente un número limitado de direcciones
MAC. Cuando un puerto configurado con port security recibe un frame, la dirección MAC de
origen del frame se compara con la lista de direcciones MAC de origen seguro que se
configuraron manualmente o se aprendieron dinámicamente en el puerto.
Al limitar a uno la cantidad de direcciones MAC permitidas en un puerto, la seguridad de

puertos se puede usar para controlar la expansión no autorizada de la red, como se muestra
en la figura.
Habilitar la seguridad del puerto.
Observe en el ejemplo, el comando switchport port-security fue rechazado. Esto se debe a

que port security solo se puede configurar en puertos de acceso o trunks configurados
manualmente Los puertos capa 2 del switch están definidos como dynamic auto (troncal
encendido), de manera predeterminada. Por lo tanto, en el ejemplo, el puerto se configura
con el comando switchport mode access de configuración de la interfaz.
Note: La seguridad del puerto troncal está más allá del alcance de este curso.
S1(config)# interface f0/1

S1(config-if)# switchport port-security
Command rejected: FastEthernet0/1 is a dynamic port.
S1(config-if)# end
S1#
Use el comando show port-security interface para mostrar la configuración de seguridad del
puerto actual para FastEthernet 0/1, como se muestra en el ejemplo. Note que port security
esta habilitado, el modo de violación esta apagado, y que el numero máximo de direcciones
MAC permitidas es 1. Si un dispositivo esta conectado al puerto, el switch automáticamente
agregara la direccion MAC de este dispositivo como una direccion MAC segura. En este
ejemplo, no existe ningún dispositivo conectado al puerto.
S1# show port-security interface f0/1

Port Security : Enabled
Port Status : Secure-down
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses :1
Total MAC Addresses :0
Configured MAC Addresses : 0
Sticky MAC Addresses :0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
S1#
Note: Si un puerto activo está configurado con el comando switchport port-security y hay
más de un dispositivo conectado a ese puerto, el puerto pasará al estado de error
desactivado. Esta condición se discute mas adelante en este capitulo
Una vez que se activa port security, se pueden configurar otras funciones especificas de
port security, como se muestra en el ejemplo.
S1(config-if)# switchport port-security ?

aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode <cr>
Limitar y Aprender MAC Addresses
Para poner el numero máximo de direcciones MAC permitidas en un puerto, utilice el

siguiente comando
Switch(config-if)# switchport port-security maximum value
El valor predeterminado de port security es 1. EL numero maximo de direcciones MAC

seguras que se puede configurar depende del switch y el IOS. En este ejemplo, el maximo es
8192.

S1(config-if)# switchport port-security maximum ?
<1-8192> Maximum addresses
S1(config-if)# switchport port-security maximum
El switch se puede configurar para aprender direcciones MAC en un puerto seguro de tres
maneras:
1. Configurado Manualmente
El administrador configura manualmente una(s) direccion MAC estatica usando el siguiente

comando para cada direccion MAC en el puerto:
Switch(config-if)# switchport port-security mac-address mac-address
2. Aprendido automáticamente
Cuando se ingresa el comando switchport port-security, la fuente MAC actual para el

dispositivo conectado al puerto se asegura automáticamente pero no se agrega a la
configuración de inicio. Si el switch es reiniciado, el puerto tendrá que re-aprender la
direccion MAC del dispositivo.
3. Aprendido automáticamente – Sticky
El administrador puede configurar al switch para que aprenda la direccion MAC

automáticamente a la "pegue" a la configuración en ejecución usando el siguiente comando:
Switch(config-if)# switchport port-security mac-address sticky
Al guardar la configuración en ejecución la direccion MAC aprendida automaticamente se

quedara en NVRAM.
EL siguiente ejemplo muestra una configuración completa de port security en la interfaz

FastEthernet 0/1. El administrador especifica una cantidad máxima de 4 direcciones MAC,
configura una direccion MAC segura, y luego configura el puerto para que aprenda mas
direcciones MAC de manera automática hasta un máximo de 4 direcciones MAC. Use los
comandos show port-security interface y show port-security address para verificar la
configuración.

FastEthernet0/1, changed state to up
S1#conf t
S1(config)#
S1(config-if)# switchport port-security maximum 2
S1(config-if)# switchport port-security mac-address aaaa.bbbb.1234
S1(config-if)# switchport port-security mac-address sticky
S1(config-if)# end
S1# show port-security interface fa0/1
Port Status : Secure-up
Aging Time : 0 mins
Last Source Address:Vlan : a41f.7272.676a:1
S1# show port-security address
Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 a41f.7272.676a SecureSticky Fa0/1 -
1 aaaa.bbbb.1234 SecureConfigured Fa0/1 -
-----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 1
Max Addresses limit in System (excluding one mac per port) : 8192
S1#
The output of the show port-security interface command verifies that port security is
enabled, there is a host connected to the port (i.e., Secure-up), a total of 2 MAC addresses
will be allowed, and S1 has learned one MAC address statically and one MAC address
dynamically (i.e., sticky).
The output of the show port-security address command lists the two learned MAC
addresses.
11.1.5
Vencimiento de la seguridad del puerto.
EL vencimiento de la seguridad del puerto puede usarse para poner el tiempo de

vencimiento de las direcciones seguras estáticas y dinámicas en un puerto. Hay dos tipos
de envejecimiento por puerto:
● Absoluto - Las direcciones seguras en el puerto se eliminan después del tiempo de

caducidad especificado.
● Inactivo - Las direcciones seguras en el puerto se eliminan solo si están inactivas
durante el tiempo de caducidad especificado.
Utilice el vencimiento para remover las direcciones MAC seguras en un puerto seguro sin
necesidad de eliminar manualmente las direcciones MAC existentes. Los tiempos limite de
vencimiento pueden ser incrementados para asegurarse que las direcciones MAC pasadas
se queden, aun cuando se agregan nuevas direcciones MAC. El vencimiento de direcciones
seguras configuradas estáticamente puede ser habilitado o des-habilitado por puerto.
Use el comando switchport port-security aging para habilitar o deshabilitar el envejecimiento

estático para el puerto seguro, o para establecer el tiempo o el tipo de envejecimiento.
Switch(config-if)# switchport port-security aging { static | time time | type {absolute |

inactivity}}
Los parámetros para el comando se describen en la tabla.
Parámetro Descripción
Habilite el vencimiento para las direcciones seguras estaticamente

static
configuradas en este puerto.
Especifique el tiempo de vencimiento de este puerto. El rango es

time time de 0 a 1440 minutos. Sin embargo, si el tiempo es 0, el vencimiento
esta des-habilitado en este puerto.
Ponga el tiempo absoluto de vencimiento. Todas las direcciones

seguras en este puerto se vencen exactamente después del tiempo
type absolute
(in minutes) especificado y son removidas de la lista de
direcciones seguras.
Defina el tipo de inactividad de vencimiento. Las direcciones

type inactivity seguras en este puerto se vencen solo si no hay trafico desde la
direccion segura de origen por un periodo de tiempo especificado.
Note: Las direcciones MAC se están mostrando con 24 bits para efectos de hacerlo sencillo.
El ejemplo muestra a un administrador configurando el tipo de envejecimiento a 10 minutos

de inactividad y utilizando el comando show port-security interface para verificar la
configuración.

S1(config-if)# switchport port-security aging time 10
S1(config-if)# switchport port-security aging type inactivity
S1(config-if)# end
Aging Time : 10 mins
Aging Type : Inactivity
S1#
11.1.6
Seguridad de puertos: modos de violación

de seguridad
Si la dirección MAC de un dispositivo conectado al puerto difiere de la lista de direcciones

seguras, entonces ocurre una violación de puerto. El puerto entra en el estado de error-
disabled de manera predeterminada.
Para poner el modo de violación de seguridad de puerto, use el siguiente comando:
Switch(config-if)# switchport port-security violation { protect | restrict | shutdown}
La tabla siguiente muestra como reacciona el switch basado en la configuración de modo de

violación.
Modos de violación de seguridad

del router Descripción
El puerto transiciona al estado de error-disabled inmediatamente,

apaga el LED del puerto, y envía un mensaje syslog. Aumenta el
shutdown
contador de violaciones Contador. Cuando un puerto seguro esta
(predeterminados)
en estado error-disabled un administrador debe re-habilitarlo
ingresando los comandos shutdown y no shutdown .
El puerto bota los paquetes con direcciones MAC de origen

desconocidas hasta que usted remueva un numero suficiente de
restrict direcciones MAC seguras para llegar debajo del maximo valor o
incremente el máximo valor Este modo causa que el contador de
violación de seguridad incremente y genere un mensaje syslog.
Este modo es el menos seguro de los modos de violaciones de

seguridad. No se realiza el tráfico de puertos los paquetes con
direcciones MAC de origen desconocidas hasta que usted
protect
remueva un numero suficiente de direcciones MAC seguras para
llegar debajo del valor máximo o o incremente el máximo valor No
se envía ningún mensaje syslog.
Comparación de modos de violación de
seguridad
Discards Envía Incrementa el
Violation Desactiva
Offending mensaje de contador de
Mode el puerto
Traffic syslog violaciones
Protect Sí No No No
Restrict Sí Sí Sí No
Apagado Sí Sí Sí Sí
El siguiente ejemplo muestra un administrador cambiando la violación de seguridad a

''restringir''. La salida delshow port-security interface comando confirma que se ha realizado
el cambio.

S1(config-if)# switchport port-security violation restrict
S1(config-if)# end
S1#
S1# show port-security interface f0/1
Violation Mode : Restrict
S1#
11.1.7
Puertos en Estado error-disabled
Cuando un puerto esta apagado y puesto en modo error-desabilitado, no se envía ni se

recibe tráfico a través de ese puerto. En la consola, se muestra una serie de mensajes
relacionados con la seguridad del puerto.
S1(config)# int fa0/1

S1(config-if)# switchport port-security violation shutdown
S1(config-if)# end
S1#
FastEthernet0/1, changed state to down
*Mar 1 00:24:16.606: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to
down
S1#
*Mar 1 00:24:32.829: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1,
putting Fa0/1 in err-disable state
*Mar 1 00:24:32.838: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation
occurred, caused by MAC address a41f.7273.018c on port FastEthernet0/1.
*Mar 1 00:24:34.843: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to
down
S1#
Note: The port protocol and link status are changed to down and the port LED is turned off.
In the example, the show interface command identifies the port status as err-disabled. La
salida del show port-security interface comando ahora muestra el estado del puerto como
secure-shutdown. El contador de violación incrementa en uno.
S1# show interface fa0/1 | include down

FastEthernet0/18 is down, line protocol is down (err-disabled)
(output omitted)
Port Status : Secure-shutdown
Last Source Address:Vlan : a41f.7273.018c:1
S1#
El administrador debe determinar que causo la violación de seguridad, si un dispositivo no

autorizado está conectado a un puerto seguro,la amenazas de seguridad es eliminada antes
de restablecer el puerto.
Para volver a habilitar el puerto, primero use el shutdown comando, luego use el no
shutdown comando para que el puerto sea operativo, como se muestra en el ejemplo.

S1(config-if)# shutdown
S1(config-if)#
*Mar 1 00:39:54.981: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to
administratively down
S1(config-if)# no shutdown
S1(config-if)#
S1(config-if)#
11.1.8
Verificar la seguridad del puerto
Después de configurar la seguridad de puertos en un switch, revise cada interfaz para

verificar que la seguridad de puertos y las direcciones MAC estáticas se configuraron
correctamente.
Seguridad de puertos para todas las interfaces.
Para mostrar la configuración de seguridad del puerto para el conmutador, show port-
security use el comando. El ejemplo indica que todas las 24 interfaces están configuradas
con el comando switchport port-security porque el máximo permitido es 1 y el modo de
violación está en shutdown. No hay dispositivos conectados Por lo tanto, el contandor
CurrentAddr (Count) es 0 para cada interfaz.
S1# show port-security

Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/1 2 2 0 Shutdown
---------------------------------------------------------------------------
S1#
Seguridad de puertos para una Interfaz Específica
Use el show port-security interface comando para ver los detalles de una interfaz específica,
como se muestra anteriormente y en este ejemplo.
S1# show port-security interface fastethernet 0/1

Last Source Address:Vlan : a41f.7273.018c:1
S1#
Verificar las direcciones MAC aprendidas
Para verificar que las direcciones MAC están "pegadas" a la configuración, use el show run
comando como se muestra en el ejemplo de FastEthernet 0/19.
S1# show run interface fa0/1


!
switchport port-security maximum 2
switchport port-security mac-address sticky
switchport port-security mac-address sticky a41f.7272.676a
switchport port-security mac-address aaaa.bbbb.1234
switchport port-security aging time 10
switchport port-security aging type inactivity
switchport port-security
end
S1#
Verificar las Direcciones MAC Seguras
Para mostrar todas las direcciones MAC seguras que se configuran manualmente o se
aprenden dinámicamente en todas las interfaces de conmutador, use el comando show port-
security address como se muestra en el ejemplo.
S1# show port-security address

-----------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 a41f.7272.676a SecureSticky Fa0/1 -
-----------------------------------------------------------------------------
S1#
Verificador de Sintaxis - Implementar

Seguridad de Puerto
Implementar seguridad de puertos para la interface del Switch basado en requerimientos

específicos.
Usted esta actualmente en una sesión en S1 Configure FastEthernet 0/5 seguridad de

puertos usando los siguientes requerimientos
● Use the interface name fa0/5 para ingresar al modo de configuración de la interfaz.
● Abitar el puerto para el modo acceso.
● Habilitar la seguridad del puerto.
● Configurar el numero máximo de direcciones MAC a 3.
● Estaticamente configurar la dirección MAC aaaa.bbbb.1234.
● Configurar el puerto para que aprenda dinamicamente direcciones MAC adicionales y
que las agrege dinamicamente a la configuracion en ejecucion.
S1(config-if)#switchport port-security
S1(config-if)#switchport port-security maximum 3
S1(config-if)#switchport port-security mac-address aaaa.bbbb.1234
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#end
Ingrese el comando para verificar seguridad portuaria para todas las interfaces.
S1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security
Action
(Count) (Count) (Count)
-----------------------------------------------------------------------
----
Fa0/5 3 2 0
Shutdown
-----------------------------------------------------------------------
----
Ingrese el comando para verificar seguridad portuaria en FastEthernet 0/5. Usefa0/5 para el
nombre de la interfaz.
S1#show port-security interface fa0/5

Aging Time : 0 mins
Maximum MAC Addresses : 3
Total MAC Addresses : 2
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0090.2135.6B8C:1
Ingrese el comando que va a mostrar todas las direcciones para verificar que tanto las
direcciones MAC configuradas manualmente como las aprendidas de manera dinámica
están en la configuración que se está ejecutando.
S1#show port-security address

-----------------------------------------------------------------------
------
Vlan Mac Address Type Ports
Remaining Age
(mins)
---- ----------- ---- -----
-------------
1 0090.2135.6b8c SecureSticky Fa0/5 -
-----------------------------------------------------------------------
------
Usted ha configurado y verificado exitosamente seguridad portuario para la interface.
Revisión de ataques a VLAN
Como una revisión rápida ,, un ataque de salto a una VLAN puede ser lanzado en una de 3
maneras:
● La suplantación de mensajes DTP del host atacante hace que el switch entre en
modo de enlace troncal. Desde aquí, el atacante puede enviar tráfico etiquetado con
la VLAN de destino, y el conmutador luego entrega los paquetes al destino.
● Introduciendo un switch dudoso y habilitando enlaces troncales. El atacante puede
acceder todas las VLANs del switch victima desde el switch dudoso.
● Otro tipo de ataque de salto a VLAN es el ataque doble etiqueta o doble encapsulado.
Este ataque toma ventaja de la forma en la que opera el hardware en la mayoría de
los switches.
11.2.2
Pasos para mitigar ataques de salto
Use los siguiente Pasos para mitigar ataques de salto
Paso 1 : Deshabilite las negociaciones de DTP (enlace automático) en puertos que no sean
enlaces mediante el switchport mode access comando de configuración de la interfaz.
Paso 2 : Deshabilite los puertos no utilizados y colóquelos en una VLAN no utilizada.
Paso 3 : Active manualmente el enlace troncal en un puerto de enlace troncal utilizando el

switchport mode trunk comando.
Paso 4 : Deshabilite las negociaciones de DTP (enlace automático) en los puertos de enlace
mediante el comando switchport nonegotiate.
Paso 5 : Establezca la VLAN nativa en otra VLAN que no sea la VLAN 1 mediante el comando
switchport trunk native vlan vlan \ _number.
por ejemplo, asumamos lo siguiente
● Los puertos FastEthernet 0/1 hasta fa0/16 son puertos de acceso activos
● Los puertos FastEthernet 0/17 hasta 0/20 no estan en uso
● FastEthernet ports 0/21 through 0/24 son puertos troncales.
Salto de VLAN puede ser mitigado implementando la siguiente configuración.

S1(config-if-range)# switchport mode access
S1(config)#
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 1000
S1(config-if-range)# shutdown
S1(config)#
S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport nonegotiate
S1(config-if-range)# switchport trunk native vlan 999
S1(config-if-range)# end
S1#
● Los puertos Fastethernet 0/1 al 0/16 son puertos de acceso y por lo tanto troncal se
deshabilita poniéndolos explicitamente como puertos de acceso.
● Los puertos FastEthernet 0/17 al 0/20 son puertos que no están en uso y están
deshabilitados y asignados a una VLAN que no se usa.
● Los puertos FastEthernet 0/21 al 0/24 son enlaces troncales y se configuran
manualmente como troncales con DTP deshabilitado. La VLAN nativa también se
cambia de la VLAN predeterminada 1 a la VLAN 999 que no se usa.
11.2.3
Mitigar ataques de brinco de VLAN
Mitigar ataques de salto de VLAN en el switcg basado en los requerimientos especificos.
Usted esta actualmente en una sesion en S1 El estado de los puertos es el siguiente:
● Los puertos FastEthernet 0/1 hasta 0/4 se usan para hacer troncales con otros
switches.
● Los puertos FastEthernet 0/5 hasta 0/10 no están en uso.
● Los puertos FastEthernet 0/11 hasta 0/24 son puertos activos en uso.
Utilícelo range fa0/1 - 4para ingresar al modo de configuración de interfaz para las troncales.
S1(config)#interface range fa0/1 - 4

Configure las interfaces para que no negocie troncales (trunks) asignados al VLAN 99 por
defecto.
S1(config-if-range)#switchport mode trunk

S1(config-if-range)#switchport nonegotiate
S1(config-if-range)#switchport trunk native vlan 99
Utilícelorange fa0/5 - 10 para ingresar al modo de configuración de interfaz para las

troncales.
configure los puertos en desuso como puertos de acceso y asignelos a la VLAN 86, y
apague los puertos.
S1(config-if-range)#switchport mode access

S1(config-if-range)#switchport access vlan 86
% Access VLAN does not exist. Creating vlan 86
S1(config-if-range)#shutdown
*Mar 1 00:28:48.883: %LINK-5-CHANGED: Interface FastEthernet0/5,
changed state to administratively down
Use el rangofa0/11 - 24 para ingresar al modo de configuración de interfaz para los puertos
activos y luego configúrelos para evitar el enlace troncal.

S1(config-if-range)# end
S1#
Usted exitosamente ha mitigado ataques de salto a VLANs en este Switch.
Revisión de ataques DHCP
El objetivo de un ataque de inanición de DHCP es crear una denegación de servicio(DoS)

para la conexión de los clientes. Los ataques de agotamiento de DHCP requieren una
herramienta de ataque, como Gobbler. Recuerde que los ataques de inanición de DHCP
pueden ser efectivamente mitigados usando seguridad de puertos porque Gobbler usa una
dirección MAC de origen única para cada solicitud DHCP enviada.
Sin embargo mitigar ataques DHCP de suplantación de identidad requiere mas protección.
Gobbler podría configurarse para usar la dirección MAC de la interfaz real como la dirección
Ethernet de origen, pero especifique una dirección Ethernet diferente en la carga útil de
DHCP. Esto haría que la seguridad del puerto sea ineficaz porque la dirección MAC de origen
sería legítima.
Los ataques de suplantación de DHCP se pueden mitigar mediante el uso de detección

DHCP en puertos confiables.
11.3.2
Indagación de DHCP
La inspección de DHCP no depende de las direcciones MAC de origen. En cambio, la

inspección de DHCP determina si los mensajes de DHCP vienen de una fuente configurada
administrativamente como confiable o no confiable. Luego filtra los mensajes de DHCP y
limita la velocidad del trafico DHCP viniendo desde fuentes no confiables.
Dispositivos que estén bajo su control administrativo como Switches, enrutadores y

servidores, son fuentes confiables. Cualquier dispositivo más allá del cortafuegos fuera de
su red son fuentes no confiables. Además, todos los puertos de acceso son tratados
generalmente como fuentes no fiables. La figura muestra un ejemplo de puertos fiables y no
fiables.
Note que el servidor DHCP dudoso podría estar en un puerto no confiable después de
habilitar DHCP snooping. Todas las interfaces son tratadas por defecto como no confiables.
Típicamente las interfaces confiables son enlaces troncales y puertos conectados
directamente a un servidor DHCP legitimo. Estas interfasces deben ser configuradas
explicitamente como confiables.
Se crea una tabla DHCP que incluye la dirección MAC de origen de un dispositivo en un
puerto no confiable y la dirección IP asignada por el servidor DHCP a ese dispositivo. La
dirección MAC y la dirección IP están unidas. Por lo tanto, esta tabla se denomina tabla de
enlace DHCP snooping.
11.3.3
Pasos para implementar DHCP Snooping
Utilice las siguientes pasos para habilitar DHCP snooping
Paso 1. Habilite la inspección DHCP mediante el comando ip dhcp snooping de

Paso 2. En puertos de confianza, use el comando de configuración de la interfaz ip dhcp

snooping trust.
Paso 3: Limite la cantidad de mensajes de descubrimiento de DHCP que puede recibir por
segundo en puertos no confiables mediante el ip dhcp snooping limit rate comando de
configuración de la interfaz.
Paso 4. Habilite la inspección DHCP por VLAN, o por un rango de VLAN, utilizando el
comando ip dhcp snooping vlan de la configuración global.
11.3.4
Un ejemplo de configuración de detección

de DHCP.
La topologia de referencia para este ejemplo de DHCP snooping es mostrado en la figura.

Note que F0/5 es un puerto no confiable porque este conecta con una computadora. F0/1 es
un puerto confiable porque conecta con el servidor DHCP
El siguiente es un ejemplo de como configurar DHCP snooping en S1. Note como DHCP
snooping es activado primero. La interfaz ascendente al servidor DHCP es explícitamente
confiable. Luego, el rango de puertos FastEthernet desde F0/5 a F0/24 son no confiables
de manera predeterminada, de manera que se establece un limite de transferencia de seis
paquetes por segundo. Finalmente, la inspección DHCP está habilitada en VLANS 5, 10,
50, 51 y 52.
S1(config)# ip dhcp snooping

S1(config-if)# ip dhcp snooping trust
S1(config-if)# exit
S1(config)# interface range f0/5 - 24
S1(config-if-range)# ip dhcp snooping limit rate 6
S1(config)# ip dhcp snooping vlan 5,10,50-52
S1(config)# end
S1#
Use el comando show ip dhcp snooping EXEC privilegiado para verificar la inspección
DHCP show ip dhcp snooping binding y para ver los clientes que han recibido
información DHCP, como se muestra en el ejemplo.
Nota: La inspección dinámica de ARP (DAI) también requiere de la inspección DHCP, que
es el siguiente tema
S1# show ip dhcp snooping

Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
5,10,50-52
DHCP snooping is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
circuit-id default format: vlan-mod-port
remote-id: 0cd9.96d2.3f80 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------
FastEthernet0/1 yes yes unlimited
Custom circuit-ids:
FastEthernet0/5 no no 6
Custom circuit-ids:
Custom circuit-ids:
S1# show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:03:47:B5:9F:AD 192.168.10.11 193185 dhcp-snooping 5 FastEthernet0/5
Comprobador de sintaxis: mitigar los

ataques DHCP
Implemente DHCP snooping para un switch basado en la siguiente topologia y

requerimientos específicos.
Usted esta actualmente en una sesion en S1 Habilite la detección global de DHCP para el
switch.
S1(config)#ip dhcp snooping
Ingrese al modo de configuración de interfaz para g0/1 - 2, confíe en las interfaces y

regrese al modo de configuración global.
S1(config)#interface range g0/1 - 2

S1(config-if-range)#ip dhcp snooping trust
S1(config-if-range)#exit
Ingrese al modo de configuración de interfaz para f0/1 - 24, limite los mensajes DHCP a no
más de 10 por segundo y regrese al modo de configuración global.
S1(config)#interface range f0/1 - 24

S1(config-if-range)#ip dhcp snooping limit rate 10
Habilitar la detección de DHCP para VLAN 10,20,30-49.
S1(config)#ip dhcp snooping vlan 10,20,30-49

S1(config)# exit
Ingrese el comando para verificar DHCP snooping.
S1#show ip dhcp snooping

Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10,20,30-49
DHCP snooping is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
circuit-id default format: vlan-mod-port
remote-id: 0cd9.96d2.3f80 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------
GigabitEthernet0/1 yes yes unlimited
Custom circuit-ids:
GigabitEthernet0/2 yes yes unlimited
Custom circuit-ids:
Custom circuit-ids:
Ingrese el comando para verificar los enlaces de DHCP actuales registrados por DHCP
snooping
S1#show ip dhcp snooping binding

MacAddress IpAddress Lease(sec) Type VLAN
Interface
------------------ --------------- ---------- ------------- ----
--------------------
00:03:47:B5:9F:AD 10.0.0.10 193185 dhcp-snooping 5
FastEthernet0/1
S1#
Usted ha configurado y verificado exitosamente DHCP snooping para el switch
Inspección dinámica de ARP
En un ataque típico el actor amenazante puede enviar respuestas ARP no solicitadas a otros
hosts en la subred con la dirección MAC del actor amenazante y la dirección IP de la puerta
de enlace predeterminada. Para evitar la suplantación de ARP y el envenenamiento por ARP
resultante, un interruptor debe garantizar que solo se transmitan las Solicitudes y
Respuestas de ARP válidas.
La inspección dinámica (DAI) requiere de DHCP snooping y ayuda a prevenir ataques ARP
así:
● No retransmitiendo respuestas ARP invalidas o gratuitas a otros puertos en la misma
VLAN.
● Intercepta todas las solicitudes y respuestas ARP en puertos no confiables.
● Verificando cada paquete interceptado para un enlace IP-to-MAC válido.
● Descarte y registro de respuestas no válidas de ARP para evitar el envenenamiento
por ARP.
● Error-disabling deshabilita la interfaz si se excede el número de DAI configurado de
paquetes ARP.
11.4.2
Pautas de implementación DAI
Para mitigar las probabilidades de ARP spoofing Y ARP poisoning, siga estas pautas de
implementación DAI
● Habilite la detección de DHCP.

● Habilite la detección de DHCP en las VLAN seleccionadas.
● Habilite el DAI en las VLANs seleccionadas.
● Configure las interfaces de confianza para la detección de DHCP y la inspección de
ARP ("no confiable" es la configuración predeterminada).
Generalmente, es aconsejable configurar todos los puertos de switch de acceso como no

confiables y configurar todos los puertos de enlace ascendente que están conectados a
otros switches como confiables.
La topologia de muestra en la figura identifica puertos confiables y no confiables.

Ejemplo de configuración DAI
En la topologia anterior S1 está conectado a dos usuarios en la VLAN 10. DAI será
configurado para mitigar ataques ARP spoofing and ARP poisonig.
Como se muestra en el ejemplo, la inspección DHCP está habilitada porque DAI requiere que
funcione la tabla de enlace de inspección DHCP. Siguiente,la detección de DHCP y la
inspección de ARP están habilitados para la computadora en la VLAN 10. El puerto de enlace
ascendente al router es confiable y, por lo tanto, está configurado como confiable para la
inspección DHP y ARP.
S1(config)# ip dhcp snooping

S1(config)# ip dhcp snooping vlan 10
S1(config)# ip arp inspection vlan 10
S1(config-if)# ip dhcp snooping trust
S1(config-if)# ip arp inspection trust
DAI se puede configurar para revisar si hay direcciones MAC e IP de destino o de origen:
● MAC de destino : comprueba la dirección MAC de destino en el encabezado de
Ethernet con la dirección MAC de destino en el cuerpo ARP.
● MAC de origen : comprueba la dirección MAC de origen en el encabezado de Ethernet
con la dirección MAC del remitente en el cuerpo ARP.
● Dirección IP : comprueba el cuerpo ARP en busca de direcciones IP no válidas e
inesperadas, incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las
direcciones de multidifusión IP.
El ip arp inspection validate {[src-mac] [dst-mac] [ip]}comando de configuración global se

utiliza para configurar DAI para descartar paquetes ARP cuando las direcciones IP no son
válidas. Se puede usar cuando las direcciones MAC en el cuerpo de los paquetes ARP no
coinciden con las direcciones que se especifican en el encabezado Ethernet. Note como en
el siguiente ejemplo solo un comando puede ser configurado. Por lo tanto, al ingresar varios
comandos ip arp inspection validate se sobrescribe el comando anterior. Para incluir mas de
un método de validación, ingreselos en la misma línea de comando como se muestra y
verifica en la siguiente salida.
S1(config)# ip arp inspection validate ?

dst-mac Validate destination MAC address
ip Validate IP addresses
src-mac Validate source MAC address
S1(config)# ip arp inspection validate src-mac
S1(config)# ip arp inspection validate dst-mac
S1(config)# ip arp inspection validate ip
S1(config)# do show run | include validate
ip arp inspection validate ip
S1(config)# ip arp inspection validate src-mac dst-mac ip
S1(config)# do show run | include validate
ip arp inspection validate src-mac dst-mac ip
S1(config)#
Usted esta actualmente en una sesion en S1 Habilite la detección global de DHCP para el
switch.
S1(config)#ip dhcp snooping
Ingrese al modo de configuración de la interfaz para g0/1 - 2, confíe en las interfaces para
la inspección DHCP y DAI, y luego regrese al modo de configuración global.
S1(config)#interface range g0/1 - 2

S1(config-if-range)#ip dhcp snooping trust
S1(config-if-range)#ip arp inspection trust
Habilite la inspección DHCP y la DAI para las VLAN 10,20,30-49.
S1(config)#ip dhcp snooping vlan 10,20,30-49

S1(config)#ip arp inspection vlan 10,20,30-49
S1(config)#
Ha configurado correctamente DAI para el switch.
PortFast y protección BPDU
Recuerde que los atacantes de red pueden manipular el Protocolo de árbol de expansión
(STP) para realizar un ataque falsificando el puente raíz y cambiando la topología de una red.
Para mitigar los ataques de manipulación del Protocolo de árbol de expansión (STP), use
PortFast y la Unidad de datos de protocolo de puente (BPDU) Guard.
● PortFast - PortFast trae inmediatamente una interfaz configurada como puerto de

acceso o troncal al estado de reenvío desde un estado de bloqueo, sin pasar por los
estados de escucha y aprendizaje. Aplicar a todos los puertos de acceso de usuario
final. PortFast solo debe configurarse en interfaces conectadas a dispositivos finales.
● Protección BPDU - el error de protección BPDU deshabilita inmediatamente un puerto
que recibe una BPDU. Al igual que PortFast, la protección BPDU solo debe
configurarse en interfaces conectadas a dispositivos finales.
En la figura, los puertos de acceso para S1 deberían ser configurados con PortFast y BPDU
Guard.
Configure PortFast
PortFast omite los estados de escucha y aprendizaje de STP para minimizar el tiempo que
los puertos de acceso deben esperar a que STP converja. Si habilita PortFast en un puerto
que se conecta a otro switch, corre el riesgo de crear un bucle de árbol de expansión.
PortFast se puede habilitar en una interfaz mediante el comando spanning-tree portfast de

configuración de la interfaz. Alternativamente, Portfast se puede configurar globalmente en
todos los puertos de acceso mediante el comando spanning-tree portfast default de
Para verificar si PortFast está habilitado globalmente, puede usar el comando show running-
config | begin span o el comando show spanning-tree summary. Para verificar si PortFast
tiene habilitada una interfaz, use el comando show running-config interface type / number,
como se muestra en el siguiente ejemplo. El comando show spanning-tree interface type /
number detail también se puede usar para la verificación.
Note que cuando PortFast esta habilitado, se muestran mensaje de advertencia.

S1(config-if)# spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single
host. Connecting hubs, concentrators, switches, bridges, etc... to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION
%Portfast has been configured on FastEthernet0/1 but will only
have effect when the interface is in a non-trunking mode.
S1(config-if)# exit
S1(config)# spanning-tree portfast default
%Warning: this command enables portfast by default on all interfaces. You
should now disable portfast explicitly on switched ports leading to hubs,
switches and bridges as they may create temporary bridging loops.
S1(config)# exit
S1# show running-config | begin span
spanning-tree mode pvst
spanning-tree portfast default
spanning-tree extend system-id
spanning-tree portfast
!
(output omitted)
S1#
Configurar la protección BPDU
Aunque PortFast esta2 habilitado, la interfaz seguirá escuchando por BPDUs. Los BPDUs
inesperados pueden ser accidentales o parte de un intento no autorizado para agregar un
switch a una red.
Si se recibe una BPDU en un puerto de acceso habilitado para BPDU Guard, el puerto se
pone en estado de error deshabilitado. Esto significa que el puerto se cierra y debe volver a
habilitarse manualmente o recuperarse automáticamente mediante el comando global
errdisable recovery cause psecure_violation.
BPDU Guard se puede habilitar en un puerto mediante el comando de configuración de la

interfaz spanning-tree bpduguard enable. Alternativamente, use el comando de
configuración global spanning-tree portfast bpduguard default para habilitar globalmente la
protección BPDU en todos los puertos habilitados para PortFast.
Para mostrar información sobre el estado del árbol de expansión, use el comando show
spanning-tree summary En este ejemplo, PortFast predeterminado y modo de protección de
BPDU están activados como estado predeterminado para los puertos configurados como de
modo de acceso.
Note: Siempre active BPDU Guard en todos los puertos habilitados para PortFast.
S1(config-if)# spanning-tree bpduguard enable
S1(config-if)# exit
S1(config)# spanning-tree portfast bpduguard default

S1(config)# end
S1# show spanning-tree summary
Switch is in pvst mode
Root bridge for: none
Extended system ID is enabled
Portfast Default is enabled
PortFast BPDU Guard Default is enabled
Portfast BPDU Filter Default is disabled
Loopguard Default is disabled
EtherChannel misconfig guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Configured Pathcost method used is short
(output omitted)
S1#
Comprobador de sintaxis: mitigar los

ataques STP
Implemente Portfast y seguridad BPDU para un switch basado en la siguiente topologia y

requerimientos específicos.
Usted esta actualmente en una sesion en S1 Complete los siguientes pasos para
implementar PortFast y BPDU Guard en todos los puertos de acceso.
● Enter interface configuration mode for fa0/1 - 24.

● Configurar los puertos en modo de acceso.
● Vuelva al modo de configuración global.
● Habilite PortFast por defecto para todos los puertos de acceso.
● Habilite seguridad BPDU por defecto para todos los puertos de acceso.
S1(config)#spanning-tree portfast default
S1(config)#spanning-tree portfast bpduguard default
S1(config)# exit
Verifique que PortFast y protección BPDU están habilitadas por defecto revisando un
resumen de la información de STP.
S1#show spanning-tree summary
Switch is in pvst mode
Root bridge for: none
Extended system ID is enabled
Portfast Default is enabled
PortFast BPDU Guard Default is enabled
Portfast BPDU Filter Default is disabled
Loopguard Default is disabled
EtherChannel misconfig guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Configured Pathcost method used is short
(output omitted)
S1#
Usted ha configurado y verificado exitosamente Portfast y seguridad BPDU para el switch
Se deben proteger todos los puertos (interfaces) del switch antes de implementar el
dispositivo para la producción. El método más simple y eficaz de evitar ataques por
saturación de la tabla de direcciones MAC es habilitar la seguridad de puertos. Los puertos
capa 2 del switch están definidos como dynamic auto (troncal encendido), de manera
predeterminada. El switch se puede configurar para obtener información sobre las
direcciones MAC en un puerto seguro de una de estas tres formas: configurado
manualmente, aprendido dinámicamente y aprendido dinámicamente - fijo. EL vencimiento
de la seguridad del puerto puede usarse para poner el tiempo de vencimiento de las
direcciones seguras estáticas y dinámicas en un puerto. Hay dos tipos de envejecimiento
por puerto:absoluto e inactivo. Si la dirección MAC de un dispositivo conectado a el puerto
difiere de la lista de direcciones seguras, entonces ocurre una violación de puerto. El puerto
entra en el estado de error-disabled de manera predeterminada. Cuando un puerto está
desactivado como consecuencia de un error, se apagará con eficacia y no habrá envío ni
recepción de tráfico en ese puerto. Para mostrar la configuración de seguridad del puerto
para el conmutador, use el comando show port-security.
Para Mitigar ataques de salto de VLAN
Paso 1. Deshabilitar las negociaciones de protocolo DTP en puertos sin enlace troncal
Paso 2. Permite desactivar los puertos no utilizados.
Paso 3. Habilitar manualmente el enlace troncal en los puertos troncales.
Paso 4. Deshabilitar las negociaciones de protocolo DTP en puertos troncales.
Paso 5. Cambie la configuración de la VLAN nativa a otra opción que no sea VLAN 1.
El objetivo de un ataque de inanición de DHCP es crear una denegación de servicio(DoS)

para la conexión de los clientes. Los ataques de suplantación de DHCP se pueden mitigar
mediante el uso de detección DHCP en puertos confiables. La inspección DHCP determina si
los mensajes DHCP provienen de una fuente confiable o no confiable configurada
administrativamente. Luego filtra los mensajes de DHCP y limita la velocidad del tráfico
DHCP viniendo desde fuentes no confiables. Utilice las siguientes pasos para habilitar DHCP
snooping
Paso 1. Habilite la Indagación DHCP.
Paso 2. En puertos de confianza, use el comando de configuración de la interfaz ip dhcp

snooping trust.
Paso 3. Limitar el numero de mensajes de descubrimiento DHCP que pueden rer recibidos
por segundo en puertos no confiables.
Paso 4. Habilite el DHCP snooping por el VLAN, o por un rango de VLANs.
La inspección dinámica(DAI) requiere de DHCP snooping y ayuda a prevenir ataques ARP

así:
● No retransmitiendo respuestas ARP invalidas o gratuitas a otros puertos en la misma

VLAN.
● Intercepta todas las solicitudes y respuestas ARP en puertos no confiables.
● Verificando cada paquete interceptado para un enlace IP-to-MAC válido.
● Descarte y registre respuestas de ARP inválidas para evitar el envenenamiento por
ARP.
● Error-disabling deshabilita la interfaz si se excede el número DAI configurado de
paquetes ARP.
Para mitigar las probabilidades de ARP spoofing Y ARP poisoning, siga estas pautas de
implementación DAI
● Habilite la detección de DHCP.

● Habilite la detección de DHCP en las VLAN seleccionadas.
● Habilite el DAI en los VLANs seleccionados.
● Configure las interfaces de confianza para la detección de DHCP y la inspección de
ARP ("no confiable" es la configuración predeterminada).
Generalmente, es aconsejable configurar todos los puertos de switch de acceso como no

confiables y configurar todos los puertos de enlace ascendente que están conectados a
otros switches como confiables.
DAI se puede configurar para revisar si hay direcciones MAC e IP de destino o de origen:
● MAC de destino - comprueba la dirección MAC de destino en el encabezado de

Ethernet con la dirección MAC de destino en el cuerpo ARP.
● MAC de origen - comprueba la dirección MAC de origen en el encabezado de Ethernet
con la dirección MAC del remitente en el cuerpo ARP.
● Dirección IP - comprueba el cuerpo ARP en busca de direcciones IP no válidas e
inesperadas, incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las
direcciones de multidifusión IP.
Para mitigar los ataques de manipulación del Protocolo de árbol de expansión (STP), use
PortFast y la Unidad de datos de protocolo de puente (BPDU) Guard.
● PortFast - PortFast trae inmediatamente una interfaz configurada como puerto de

acceso o troncal al estado de reenvío desde un estado de bloqueo, sin pasar por los
estados de escucha y aprendizaje. Aplicar a todos los puertos de acceso de usuario
final. PortFast solo debe configurarse en interfaces conectadas a dispositivos finales.
PortFast omite los estados de escucha y aprendizaje de STP para minimizar el tiempo
que los puertos de acceso deben esperar a que STP converja. Si habilita PortFast en
un puerto que se conecta a otro switch, corre el riesgo de crear un bucle de árbol de
expansión.
● BPDU Guard - BPDU guard immediately error disables a port that receives a BPDU.
Like PortFast, BPDU guard should only be configured on interfaces attached to end
devices. BPDU Guard can be enabled on a port by using the spanning-tree
bpduguard enable interface configuration command. Alternatively, Use the spanning-
tree portfast bpduguard default global configuration command to globally enable
BPDU guard on all PortFast-enabled ports.
¡Bienvenido a los Conceptos de WLAN!
¿Utiliza usted conexiones inalámbricas en su casa, trabajo o escuela? ¿Alguna vez se ha

preguntado como funciona?
Existen tantas maneras de conectarse de forma inalámbrica. Como todo lo demás que tiene
que ver con las redes, este tipo de conexiones funcionan mejorar en situaciones
particulares. Requieren de dispositivos específicos y también son propensos a ciertos tipos
de ataques. Y por supuesto, existen soluciones para mitigar este tipo de ataques. ¿Desea
más información? El modulo de Conceptos de WLAN le brinda a usted el conocimiento
fundamental que usted necesita para entender qué son las LAN Inalámbricas, lo que pueden
hacer y como protegerlas.
Si tiene curiosidad, no espere, ¡empiece hoy mismo!
12.0.2
Titulo del Módulo: Conceptos WLAN
Objetivo del módulo: Explique cómo las WLAN habilitan la conectividad de red.
Introducción a la
Describa la tecnología y los estándares WLAN.
tecnología inalámbrica
Componentes de las Describa los componentes de una

WLAN infraestructura WLAN.
Explique cómo la tecnología inalámbrica permite

Funcionamiento de WLAN
el funcionamiento de WLAN.
Funcionamiento de Explique cómo un WLC utiliza CAPWAP para

CAPWAP administrar múltiples AP.
Administración de Describa la administración de canales en una

canales WLAN.
Amenazas a la WLAN Describa las amenazas a las WLAN.
Describa los mecanismos de seguridad de

WLAN seguras
WLAN.
Beneficios de redes inalámbricas
Una LAN inalámbrica (WLAN) es un tipo de red inalámbrica que se usa comúnmente en
hogares, oficinas y entornos de campus. Las redes deben apoyar a la gente que está en
movimiento. La gente se conecta usando computadoras, computadoras portátiles, tabletas y
teléfonos inteligentes. Hay muchas diferentes infraestructuras de red que proveen acceso a
la red, como LANs cableadas, red de proveedor de servicios, y redes de teléfonos celulares.
Las WLAN hacen posible la movilidad dentro de los entornos domésticos y comerciales.
En las empresas que cuentan con una infraestructura inalámbrica, puede haber un ahorro de
costos cada vez que se cambia el equipo, o al reubicar a un empleado dentro de un edificio,
reorganizar el equipo o un laboratorio, o mudarse a ubicaciones temporales o sitios de
proyectos. Una infraestructura inalámbrica puede adaptarse a los rápidos cambios de
necesidades y tecnologías.
12.1.2
Tipos de redes inalámbricas
Las LAN inalámbricas (WLAN) se basan en los estándares IEEE y se pueden clasificar en
cuatro tipos principales: WPAN, WLAN, WMAN y WWAN.
Redes inalámbricas de área personal (WPAN) - Utiliza transmisores de baja potencia

para una red de corto alcance, generalmente de 20 a 30 pies (6 a 9 metros). Los
dispositivos basados en Bluetooth y ZigBee se usan comúnmente en WPANs. Los
WPAN se basan en el estándar 802.15 y una frecuencia de radio de 2.4 GHz.
Redes LAN Inalámbricas (WLAN) - Utiliza transmisores para cubrir una red de
tamaño mediano, generalmente de hasta 300 pies. Las redes WLANs son adecuadas
para uso en casas, oficinas, e inclusive campus. Las WLAN se basan en el estándar
802.11 y una frecuencia de radio de 2,4 GHz o 5 GHz
Redes MAN inalámbricos(WMAN) - Utiliza transmisores para proporcionar servicio

inalámbrico en un área geográfica más grande. Las redes WMANs son adecuadas
para proveer acceso inalámbrico a ciudades metropolitanas o distritos específicos.
Las WMANs utilizan frecuencias específicas con licencia.
Redes inalámbricas de área amplia (WWAN) - Utiliza transmisores para proporcionar

cobertura en un área geográfica extensa. Las redes WWANs son adecuadas para
comunicaciones nacionales y globales. Las WMANs utilizan frecuencias específicas
con licencia.
Tecnologías inalámbricas
Para enviar y recibir datos, la tecnología inalámbrica usa el espectro de radio sin licencia.
Cualquier persona que tenga un router inalámbrico y tecnología inalámbrica en el
dispositivo que utilice puede acceder al espectro sin licencia.
Bluetooth - es un estándar IEEE 802.15 WPAN que utiliza un proceso de emparejamiento

de dispositivos para comunicarse a distancias de hasta 300 pies (100m) Se puede
encontrar en dispositivos domésticos inteligentes, conexiones de audio, automóviles y
otros dispositivos que requieren una conexión de corta distancia. Hay dos tipos de radios
Bluetooth;
● Bluetooth de baja energía (BLE) - admite topología de malla para dispositivos de
red a gran escala.
● Velocidad básica Bluetooth / Velocidad mejorada (BR / EDR): - admite topologías
punto a punto y está optimizada para la transmisión de audio.
WiMAX (Interoperabilidad mundial para acceso por microondas) - WiMAX es una

alternativas a Internet de banda ancha por cable. Sin embargo es típicamente usado
en áreas que no están conectadas a un cable DSL o a un proveedor de cable. Es un
estándar IEEE 802.16 WWAN que proporciona acceso inalámbrico de banda ancha
de alta velocidad de hasta 30 millas (50 km). WiMAX funciona de manera similar a
Wi-Fi, pero con velocidades más altas, a través de distancias mayores y para una
mayor cantidad de usuarios. Usa una red de torres WiMAX que son similares a las
torres de telefonía celular. Los transmisores WiMAX y los transmisores celulares
pueden compartir espacio en la misma torre, como se muestra en la figura.
Banda Ancha Celular (Cellular Broadband) - 4G / 5G Celular son redes móviles

inalámbricas utilizadas principalmente por teléfonos celulares, pero pueden usarse en
automóviles, tabletas y computadoras portátiles. Las redes celulares son redes de acceso
múltiple que llevan comunicaciones de datos y de voz. Un sitio celular es creado por una
torre celular transmitiendo señales en una área determinada. Los sitios celulares
interconectados forman la red celular. Los dos tipos de redes celulares son Global
System for Mobile (GSM) y Code Division Multiple Access (CDMA). GSM es reconocido
internacionalmente, mientras que CDMA se usa principalmente en los Estados Unidos.
La red GSM de 4ta generación (4G) es la red móvil actual. 4G ofrece velocidades que son
10 veces las redes 3G anteriores. El nuevo 5G promete ofrecer velocidades 100 veces
más rápidas que 4G y conectar más dispositivos a la red que nunca.
Banda ancha satelital - Proporciona acceso de red a sitios remotos mediante el uso de
una antena parabólica direccional que está alineada con un satélite de órbita terrestre
geoestacionaria específica. Usualmente este es más caro y requiere una línea de visión
clara. Este es usado típicamente por dueños de casas y negocios donde el cable y DSL
no están disponibles.
Estándares de Wi-Fi 802.11
El mundo de las comunicaciones inalámbricas es vasto. Sin embargo, para habilidades particulares
relacionadas con el trabajo, queremos centrarnos en aspectos específicos de Wi Fi. El mejor lugar
para comenzar es con los estándares IEEE 802.11 WLAN. Los estándares WLAN definen cómo se
usan las frecuencias de radio para los enlaces inalámbricos. La mayoría de los estándares
especifican que los dispositivos inalámbricos tienen una antena para transmitir y recibir señales
inalámbricas en la frecuencia de radio especificada (2.4 GHz o 5 GHz). Algunos de los estándares
más nuevos que transmiten y reciben a velocidades más altas requieren que los puntos de acceso
(AP) y los clientes inalámbricos tengan múltiples antenas utilizando la tecnología de entrada
múltiple y salida múltiple (MIMO). MIMO utiliza múltiples antenas como transmisor y receptor para
mejorar el rendimiento de la comunicación. Se pueden soportar hasta cuatro antenas.
A través de los años, se han desarrollado varias implementaciones de los estándares IEEE
802.11, como se muestra en la figura. La tabla destaca estos estándares.
E
s
t
á
n
d
a
r Radi
ofrec
Descripción
I uenci
E a
E
E
W
L
A
N
8
0
2 2,4
● velocidades de hasta 2 Mbps
. GHz
1
1
8
0
● velocidades de hasta 54 Mbps
2
5 ● Área de cobertura pequeña
.
GHz ● menos efectivo penetrando estructuras de construcción
1
● No interoperable con 802.11b o 802.11g
1
a
8 2,4 ● velocidades de hasta 11 Mbps

0
2
. ● Mayor alcance que 802.11a
GHz
1 ● mejor penetración en las estructuras de los edificios.
1
b
8
0
2 ● velocidades de hasta 54 Mbps
2,4
. ● compatible con versiones anteriores de 802.11b con capacidad
GHz
1 de ancho de banda reducida
1
g
8
● las velocidades de datos varían de 150 Mbps a 600 Mbps con
0
2.4 un rango de distancia de hasta 70 m (230 pies)
2
GHz ● Los AP y los clientes inalámbricos requieren múltiples antenas
.
5 usando MIMO Tecnología
1
GHz ● Es compatible con dispositivos 802.11a/b/g con datos limitados
1
velocidades
n
8
0
2 ● proporciona velocidades de datos que van desde 450 Mbps a
. 5 1.3 Gbps (1300 Mbps) usando tecnología MIMO
1 GHz ● Se pueden soportar hasta ocho antenas
1 ● Es compatible con dispositivos 802.11a/n con datos limitados
a
c
8 ● lanzado en 2019 - último estándar

0 2.4 ● también conocido como High-Efficiency Wireless (HEW)
2 GHz ● Mayores velocidades de transmisión de datos
. 5 ● Mayor capacidad
1 GHz ● maneja muchos dispositivos conectados
1 ● eficacia energética mejorada
a ● Capacidad de 1 GHz y 7 GHz cuando esas frecuencias estén
x disponibles
● Busque en Internet Wi-Fi Generación 6 para obtener más
información.
Radiofrecuencia
Todos los dispositivos inalámbricos funcionan en el rango del espectro electromagnético. Las redes
WLAN operan en la banda de frecuencia de 2,4 GHz y la banda de 5 GHz. Los dispositivos de LAN
inalámbricos tienen transmisores y receptores sintonizados a frecuencias específicas de ondas de
radio para comunicarse. Específicamente, las siguientes bandas de frecuencia se asignan a LAN
inalámbricas 802.11:
● 2.4 GHz (UHF) - 802.11b/g/n/ax

● 5 GHz (SHF) – 802.11a/n/ac/ax
Organizaciones de estándares
inalámbricos
Los estándares aseguran la interoperabilidad entre dispositivos fabricados por diferentes

fabricantes. A nivel internacional, las tres organizaciones que influyen en los estándares WLAN son
ITU-R, el IEEE, y la Wi-Fi Alliance.
La Unión Internacional de Telecomunicaciones (UIT) regula la asignación del espectro de

radiofrecuencia y las órbitas de los satélites a través del UIT-R. UIT-R significa el Sector
de Radiocomunicaciones de la UIT.
El IEEE especifica cómo se modula una frecuencia de radio para transportar información.
Mantiene los estándares para redes de área local y metropolitana (MAN) con la familia de
estándares IEEE 802 LAN / MAN. Los estándares dominantes en la familia IEEE 802 son
802.3 Ethernet y 802.11 WLAN.
La Wi-Fi Alliance es una asociación comercial global, sin fines de lucro, dedicada a
promover el crecimiento y la aceptación de las WLAN. Es una asociación de proveedores
cuyo objetivo es mejorar la interoperabilidad de los productos que se basan en el estándar
802.1
NIC inalámbrica
Las implementaciones inalámbricas requieren un mínimo de dos dispositivos que tengan un

transmisor de radio y un receptor de radio sintonizados a las mismas frecuencias de radio:
● Dispositivos finales con NIC inalámbricas

● Un dispositivo de red, como un router inalámbrico o un AP inalámbrico
Para comunicarse de forma inalámbrica, las computadoras portátiles, tabletas, teléfonos

inteligentes e incluso los últimos automóviles incluyen NIC inalámbricas integradas que incorporan
un transmisor / receptor de radio. Si un dispositivo no tiene una NIC inalámbrica integrada, se
puede utilizar un adaptador inalámbrico USB, como se muestra en la figura.
Nota: Muchos dispositivos inalámbricos con los que está familiarizado no tienen antenas visibles.
Están integrados dentro de teléfonos inteligentes, computadoras portátiles y routers domésticos
inalámbricos.
Adaptador Inalámbrico USB
12.2.3
Router de hogar inalámbrico

El tipo de dispositivo de infraestructura con el que se asocia y autentica un dispositivo final varía
según el tamaño y los requisitos de la WLAN.
Un usuario doméstico generalmente interconecta dispositivos inalámbricos utilizando un pequeño

router inalámbrico. El enrutador inalámbrico sirve como:
● Punto de acceso - Esto proporciona acceso inalámbrico 802.11a/b/g/n/ac

● Switch -Esto proporciona un switch Ethernet 10/100/1000 dúplex completo de cuatro
puertos para interconectar dispositivos cableados.
● Router - Esto proporciona una puerta de enlace predeterminada para conectarse a otras
infraestructuras de red, como Internet.
Un router inalámbrico se implementa comúnmente como una pequeña empresa o dispositivo de

acceso inalámbrico residencial. El router inalámbrico anuncia sus servicios inalámbricos mediante
el envío de beacons que contienen su identificador de conjunto de servicios compartidos (SSID).
Los dispositivos descubren de forma inalámbrica el SSID e intentan asociarse y autenticarse con él
para acceder a la red local y el Internet.
La mayoría de los routers inalámbricos también ofrecen funciones avanzadas, como acceso de alta
velocidad, soporte para transmisión de video, direccionamiento IPv6, calidad de servicio (QoS),
utilidades de configuración y puertos USB para conectar impresoras o unidades portátiles.
Además, los usuarios domésticos que desean ampliar sus servicios de red pueden implementar
extensores de alcance Wi-Fi. Un dispositivo puede conectarse de forma inalámbrica al extensor, lo
que aumenta sus comunicaciones para que se repitan al router inalámbrico.
12.2.4
##Puntos de acceso inalámbrico
Si bien los extensores de alcance son fáciles de configurar, la mejor solución sería instalar otro
punto de acceso inalámbrico para proporcionar acceso inalámbrico dedicado a los dispositivos del
usuario. Los clientes inalámbricos usan su NIC inalámbrica para descubrir puntos de acceso
cercanos compartiendo el SSID Los clientes luego intentan asociarse y autenticarse con un AP.
Después de ser autenticados los usuarios inalámbricos tienen acceso a los recursos de la red. En
la figura, se ve el software Cisco Meraki.
AP autónomo
Estos son dispositivos independientes configurados mediante una interfaz de línea de comandos
o una GUI, como se muestra en la figura Los AP autónomos son útiles en situaciones en las que
solo se requieren un par de APs en la organización. Un router doméstico es un ejemplo de AP
autónomo porque toda la configuración de AP reside en el dispositivo. Si aumentan las
demandas inalámbricas, se requerirían más APs. Cada AP funciona independientemente de
otros AP y cada AP requiere de una configuración y administración manual. Esto se volvería
abrumador si se necesitaran muchos APs.
APs basados en controladores

Estos dispositivos no necesitan una configuración inicial y normalmente se les denomina puntos
de acceso lightweight (LAPs). Los puntos de acceso LAP usan el Protocolo Lightweight Access
Point Protocol (LWAPP) para comunicarse con el controlador WLAN (WLC), como se muestra
en la siguiente figura. Los puntos de acceso basados en controlador son útiles en situaciones en
las que se necesitan varios puntos de acceso en la red. Conforme se agregan puntos de acceso,
cada punto de acceso es configurado y administrado de manera automática por el WLC.
Observe en la figura que el WLC tiene cuatro puertos conectados a la infraestructura de

switching. Estos cuatro puertos están configurados como un grupo de agregación de enlaces
(LAG) para agruparlos. Al igual que funciona EtherChannel, LAG proporciona redundancia y
equilibrio de carga. Todos los puertos del switch que están conectados al WLC deben estar
conectados y configurados con EtherChannel activado. Sin embargo, LAG no funciona
exactamente como EtherChannel. El WLC no es compatible con el Protocolo de agregación de
puertos (PaGP) o el Protocolo de control de agregación de enlaces (LACP).
Modos de topología inalámbrica
Las LAN inalámbricas pueden acomodar varias topologías de red. El estándar 802.11 identifica dos
modos principales de topología inalámbrica: modo Ad hoc y modo Infraestructura. Tetherin también
es un modo en ocasiones usado para proveer un acceso inalámbrico rápido.
Modo ad hoc- Es cuando dos dispositivos se conectan de forma inalámbrica de igual a

igual (P2P) sin utilizar AP o routers inalámbricos. Los ejemplos incluyen clientes
inalámbricos que se conectan directamente entre sí mediante Bluetooth o Wi-Fi Direct. El
estándar IEEE 802.11 se refiere a una red ad hoc como un conjunto de servicios básicos
independientes (IBSS).
Modo Infraestructura- Esto ocurre cuando los clientes inalámbricos se interconectan a

través de un router inalámbrico o AP, como en las WLAN. Los AP se conectan a la
infraestructura de red utilizando el sistema de distribución por cable, como Ethernet.
Anclaje a red - La variación de la topología ad hoc es cuando un teléfono inteligente o

tableta con acceso a datos móviles está habilitado para crear un punto de acceso
personal. En ocasiones se refiere a esta característica como “anclaje a red (tethering.)”.
Un punto de acceso suele ser una solución rápida temporal que permite que un teléfono
inteligente brinde los servicios inalámbricos de un router Wi-Fi. Otros dispositivos pueden
asociarse y autenticarse con el teléfono inteligente para usar la conexión a Internet.
BSS y ESS
El modo de infraestructura define dos bloques de construcción de topología: un conjunto de
servicios básicos (BSS) y un conjunto de servicios extendidos (ESS).
Conjunto de Servicios Básicos (BSS)
Utiliza un AP único para interconectar todos los clientes inalámbricos asociados. Dos BSS se
muestran en la figura. Los círculos representan el área de cobertura del BSS, que se denomina
Área de Servicio Básico (BSA). Si un cliente inalámbrico se muda de su BSA, ya no puede
comunicarse directamente con otros clientes inalámbricos dentro de la BSA.
La dirección MAC de capa 2 del AP se utiliza para identificar de forma exclusiva cada BSS, que
se denomina Identificador de conjunto de servicios básicos (BSSID). Por lo tanto, el BSSID es el
nombre formal del BSS y siempre está asociado con un solo AP.
Conjunto de servicios extendidos
Cuando un solo BSS proporciona cobertura insuficiente, se pueden unir dos o más BSS a través
de un sistema de distribución común (DS) en un ESS. Un ESS es la unión de dos o más BSS
interconectados por un DS cableado. Cada ESS se identifica por un SSID y cada BSS se
identifica por su BSSID.
Los clientes inalámbricos en una BSA ahora pueden comunicarse con clientes inalámbricos en
otra BSA dentro del mismo ESS. Los clientes móviles inalámbricos pueden moverse de un BSA
a otro (dentro del mismo ESS) y conectarse sin problemas.
El área rectangular en la figura representa el área de cobertura dentro de la cual los miembros
de un ESS pueden comunicarse. Esta área es llamada área extendida de servicios.
Estructura del Frame
Recuerde que todas las tramas de capa 2 consisten en un encabezado, carga útil y sección de
secuencia de verificación de trama (FCS). El formato de la trama 802.11 es similar al formato de la
trama de Ethernet, excepto que contiene más campos, como se muestra en la figura.
Todas las tramas 802.11 inalámbricas contienen los siguientes campos;
● Control de la trama - identifica el tipo de trama inalámbrica y contiene subcampos para

la versión del protocolo, el tipo de trama, el tipo de dirección, la administración de
energía y la configuración de seguridad.
● Duración - En general, se usa para indicar el tiempo restante necesario para recibir la
siguiente transmisión de tramas.
● Dirección 1 - normalmente, contiene la dirección MAC del dispositivo o AP receptor
inalámbrico.
● Dirección 2 - normalmente, contiene la dirección MAC del dispositivo o AP receptor
inalámbrico.
● Dirección 3 - en ocasiones, contiene la dirección MAC del destino, como la interfaz del
router (gateway predeterminado) a la que se conecta el AP.
● Control de Secuencia - Contiene información para controlar la secuencia y las tramas
fragmentadas
● Direccion 4 - suele estar vacío, ya que se usa solo en el modo ad hoc.
● carga útil - contiene los datos para la transmisión.
● FCS - Esto se utiliza para el control de errores de la capa 2.
CSMA/CA
Las WLAN son configuraciones de medios compartidos semidúplex. Half-duplex significa que solo
un cliente puede transmitir o recibir en dado momento. Medios compartidos significa que todos los
clientes pueden transmitir y recibir en el mismo canal de radio. S Esto crea un problema porque un
cliente inalámbrico no puede escuchar mientras está enviando, lo que hace que sea imposible
detectar una colisión.
Para resolver este problema las WLAN utilizan el acceso múltiple con detección de operador con
evitación de colisiones (CSMA / CA) para determinar cómo y cuándo enviar datos. Un cliente
inalámbrico hace lo siguiente:
1. Escucha el canal para ver si está inactivo, es decir, no hay otro tráfico actualmente en el
canal. El canal es también llamado el portador.
2. Envía un mensaje Ready to Send (RTS) al AP para solicitar acceso dedicado a la red.
3. Recibe un mensaje Clear to Send (CTS) del AP que otorga acceso para enviar.
4. Si el cliente inalámbrico no recibe el mensaje CTS este espera una cantidad de tiempo
aleatoria antes de reiniciar el proceso.
5. Después de recibir el CTS, trasmite la información.
6. Todas las transmisiones son reconocidas. Si un cliente no recibe el reconocimiento, asume
que ocurrió una colisión y reinicia el proceso.
Asociación de AP de cliente inalámbrico
Para que los dispositivos inalámbricos se comuniquen a través de una red, primero se deben
asociar a un AP o un router inalámbrico. Una parte importante del proceso 802.11 es descubrir una
WLAN y conectarse a esta. Los dispositivos inalámbricos completan el siguiente proceso de tres
etapas, como muestra en la figura:
● Descubre un AP inalámbrico
● Autenticar con el AP.
● Asociarse con el AP.
Para lograr una asociación exitosa, un cliente inalámbrico y un AP deben acordar parámetros
específicos: Para permitir la negociación de estos procesos, se deben configurar los parámetros
en el AP y posteriormente en el cliente.
● SSID - El nombre del SSID aparece en la lista de redes inalámbricas disponibles en un

cliente. En organizaciones más grandes que usan múltiples VLAN para segmentar el
tráfico, cada SSID se asigna a una VLAN Según la configuración de la red, varios AP en
una red pueden compartir un SSID.
● Contraseña - el cliente inalámbrico la necesita para autenticarse con el AP.
● Modo de red - Esto se refiere a los estándares WLAN 802.11a/b/g/n/ac/ad. Los AP y
routers inalámbricos pueden funcionar en modo combinado, lo que significa que pueden
utilizar varios estándares al mismo tiempo.
● Modo de seguridad - se refiere a la configuración de los parámetros de seguridad,
como WEP, WPA o WPA2. Habilite siempre el nivel más alto de seguridad que se
admita.
● Configuración de canales - Se refiere a las bandas de frecuencia que se usan para
transmitir datos inalámbricos. Los routers inalámbricos y los AP pueden escanear los
canales de radiofrecuencia y seleccionar automáticamente una configuración de canal
adecuada. Los routers y los AP inalámbricos pueden elegir la configuración de canales,
o esta se puede definir manualmente si existe interferencia con otro AP o dispositivo
inalámbrico.
Modo de entrega pasiva y activa
Los dispositivos inalámbricos deben detectar un AP o un router inalámbrico y se deben conectar a

este. Los clientes inalámbricos se conectan al AP mediante un proceso de análisis (sondeo). Este
proceso puede ser pasivo o activo.
En modo pasivo el AP anuncia abiertamente su servicio enviando periódicamente tramas

de señal de difusión que contienen el SSID, los estándares admitidos y la configuración de
seguridad. El propósito principal de la señal es permitir que los clientes inalámbricos
descubran qué redes y qué AP existen en un área determinada, de modo que puedan
elegir qué red y qué AP usar. Esto permite a los clientes inalámbricos elegir qué red y AP
utilizar.
En modo activo: los clientes inalámbricos deben conocer el nombre del SSID. El cliente
inalámbrico inicia el proceso al transmitir por difusión una trama de solicitud de sondeo en varios
canales. La solicitud de sondeo incluye el nombre del SSID y los estándares admitidos. Los AP
configurados con el SSID enviarán una respuesta de prueba que incluye el SSID, los estándares
admitidos y la configuración de seguridad. Si un AP o un router inalámbrico se configuran para
que no transmitan por difusión las tramas de señal, es posible que se requiera el modo activo.
Para descubrir las redes WLAN cercanas, un cliente inalámbrico también podría enviar una
solicitud de sondeo sin un nombre de SSID. Los AP configurados para transmitir por difusión
tramas de señal responderían al cliente inalámbrico con una respuesta de sondeo y
proporcionarían el nombre del SSID. Los AP con la característica de transmisión del SSID por
difusión deshabilitada no responden.
Introducción a la CAPWAP
CAPWAP es un protocolo estándar IEEE que permite que un WLC administre múltiples AP y
WLANs. CAPWAP también es responsable de la encapsulación y el reenvío del tráfico del cliente
WLAN entre un AP y un WLC.
Basado en LWAPP pero agrega seguridad adicional con Datagram Transport Layer Security
(DLTS). CAPWAP establece túneles en los puertos del Protocolo de datagramas de usuario (UDP).
CAPWAP puede operar sobre IPv4 o IPv6, pero usa IPv4 de manera predeterminada.
IPv4 e IPv6 pueden usar los puertos UDP 5246 y 5247. Sin embargo, los túneles CAPWAP usan
diferentes protocolos IP en el encabezado de la trama. IPv4 usa el protocolo IP 17 e IPv6 usa el
protocolo IP 136.
Arquitectura MAC dividida
Un componente clave de CAPWAP es el concepto de un control de acceso a medios divididos

(MAC). El concepto CAPWAP split MAC realiza todas las funciones que normalmente realizan los
AP individuales y las distribuye entre dos componentes funcionales:
● AP Funciones MAC
● Funciones WLC MAC
La tabla muestra algunas de las funciones MAC realizadas por cada uno.
Funciones WLC
AP Funciones MAC
MAC
Beacons y respuestas de
Autenticación
sonda
Reconocimientos de Asociación y re-

paquetes y asociación de clientes
retransmisiones itinerantes.
Traducción de
Cola de Frame y
Frames a otros
priorización de paquetes
protocolos
Terminación del
Cifrado y descifrado de
tráfico 802.11 en una
datos de capa MAC
interfaz cableada
12.4.4
Encriptación de DTLS
DTLS es un protocolo que proporciona seguridad entre el AP y el WLC. Les permite comunicarse
mediante encriptación y evita escuchas o alteraciones.
DTLS está habilitado de manera predeterminada para asegurar el canal de control CAPWAP pero
está deshabilitado de manera predeterminada para el canal de datos, como se muestra en la figura.
Todo el tráfico de control y gestión CAPWAP intercambiado entre un AP y WLC está encriptado y
protegido de forma predeterminada para proporcionar privacidad en el plano de control y evitar
ataques de Man-In-the-Middle (MITM).
El cifrado de datos CAPWAP es opcional y se habilita para cada AP. El cifrado de datos está
deshabilitado de manera predeterminada y requiere que se instale una licencia DTLS en el WLC
antes de que se pueda habilitar en el AP. Cuando está habilitado, todo el tráfico del cliente WLAN
se encripta en el AP antes de reenviarse al WLC y viceversa.
La figura muestra un WLC conectado a un AP mediante encapsulación CAPWAP. La

encapsulación del canal de control está habilitada de manera predeterminada, mientras que el
cifrado de datos es opcional y está habilitado en cada AP.
Encapsulación CAPWAP
Control CAPWAP
Encripcion DTLS (habilitado de manera predeterminada)
Datos CAPWAP
Encripcion DTLS (habilitado de manera predeterminada)
Punto de acceso (AP)
WLC
12.4.5
AP FlexConnect
FlexConnect es una solución inalámbrica para las implementaciones en sucursales y oficinas

remotas. Le permite configurar y controlar puntos de acceso en una sucursal desde la oficina
corporativa a través de un enlace WAN, sin implementar un controlador en cada oficina.
Hay dos modos de opción para FlexConnect AP:

● Modo conectado - El WLC es accesible. En este modo, el AP FlexConnect tiene
conectividad CAPWAP con su WLC y puede enviar tráfico a través del túnel CAPWAP,
como se muestra en la figura. El WLC realiza todas las funciones CAPWAP.
● Modo independiente - El WLC es inalcanzable. El AP FlexConnect ha perdido la
conectividad CAPWAP con el WLC. El AP FlexConnect puede asumir algunas de las
funciones de WLC, como cambiar el tráfico de datos del cliente localmente y realizar la
autenticación del cliente localmente.
La figura muestra un túnel CAPWAP formado entre un AP FlexConnect en una sucursal y un WLC
en una oficina corporativa. El equipo de la sucursal consiste en una computadora portátil con
conexión inalámbrica a un AP FlexConnect que está conectado a un switch que está conectado a
un router. Luego, el router se conecta a otro router en la oficina corporativa a la que está conectado
el WLC. El WLC proporciona acceso a la red corporativa e Internet.
Canal de frecuencia de saturación
Los dispositivos de LAN inalámbricos tienen transmisores y receptores sintonizados a frecuencias

específicas de ondas de radio para comunicarse. Una práctica común es que las frecuencias se
asignen como rangos. Los rangos se dividen en rangos más pequeños llamados canales.
Si la demanda de un canal específico es demasiado alta, es probable que ese canal se sature en
exceso. La saturación del medio inalámbrico degrada la calidad de la comunicación. Con los años,
se han creado una serie de técnicas para mejorar la comunicación inalámbrica y aliviar la
saturación. Estas técnicas mitigan la saturación de canales usándolos de manera más eficiente.
Espectro de extensión de la secuencia directa (DSSS) - Una técnica de modulación

diseñada para extender una señal sobre una banda de frecuencia más grande. Las
técnicas de amplio espectro se desarrollaron durante el tiempo de guerra para que sea
más difícil para los enemigos interceptar o bloquear una señal de comunicación. Lo hace
al extender la señal sobre una frecuencia más amplia que efectivamente oculta el pico
discernible de la señal, como se muestra en la figura. Un receptor configurado
correctamente puede revertir la modulación DSSS y reconstruir la señal original. DSSS es
Usado por dispositivos 802.11b para evitar interferencias de otros dispositivos que usan la
misma frecuencia de 2.4 GHz.
Espectro ensanchado por salto de frecuencia (FHSS)- Esto se basa en métodos de

amplio espectro para comunicarse. Transmite señales de radio cambiando rápidamente
una señal portadora entre muchos canales de frecuencia. El emisor y el receptor deben
estar sincronizados para "saber" a qué canal saltar. Este proceso de salto de canal
permite un uso más eficiente de los canales, disminuyendo la congestión del canal. FHSS
fue Usado por el estándar 802.11 original. Los walkie-talkies y los teléfonos inalámbricos
de 900 MHz también usan FHSS, y Bluetooth usa una variación de FHSS.
Multiplexación por división de frecuencias ortogonales (OFDM) - A subconjunto de

multiplexación por división de frecuencia en el que un solo canal utiliza múltiples
subcanales en frecuencias adyacentes. Los subcanales en un sistema OFDM son
precisamente ortogonales entre sí, lo que permite que los subcanales se superpongan sin
interferir. OFDM es utilizado por varios sistemas de comunicación, incluidos
802.11a/g/n/ac. El nuevo 802.11ax utiliza una variación de OFDM llamada acceso múltiple
por división de frecuencia ortogonal (OFDMA).
Selección de canales
Una práctica recomendada para las WLAN que requieren múltiples AP es utilizar canales no
superpuestos. Por ejemplo, los estándares 802.11b/g/n operan en el espectro de 2.4 GHz a
2.5GHz. La banda 2.4 GHz está subdividida en múltiples canales. Cada canal tiene un ancho de
banda de 22 MHz y está separado del siguiente canal por 5 MHz. El estándar 802.11b identifica 11
canales para América del Norte, como se muestra en la figura (13 en Europa y 14 en Japón).
Nota: Busque en Internet canales de 5 GHz para obtener más información sobre los otros 16
canales disponibles y para conocer más sobre las variaciones de los diferentes países.
Para los estándares de 5 GHz 802.11a/n/ac, hay 24 canales. La banda de 5Ghz está
dividida en tres secciones. Cada canal está separado del siguiente canal por 20 MHz La
figura muestra la primera sección de ocho canales para la banda de 5 GHz. Aunque hay
una ligera superposición, los canales no interfieren entre sí. La conexión inalámbrica de 5
GHz puede proporcionar una transmisión de datos más rápida para clientes inalámbricos
en redes inalámbricas muy pobladas debido a la gran cantidad de canales inalámbricos no
superpuestos.
Nota: Busque en Internet canales de 5 GHz para obtener más información sobre los otros
16 canales disponibles y para conocer más sobre las variaciones de los diferentes países.
Primeros ocho canales no interferentes de 5

GHz
Canales no interferentes de 5 GHz para

802.11a/n/ac
Planifique la implementación de WLAN
La cantidad de usuarios admitidos por una WLAN depende del diseño geográfico de la instalación,
incluida la cantidad de cuerpos y dispositivos que pueden caber en un espacio, las velocidades de
datos que esperan los usuarios, el uso de canales no superpuestos por múltiples AP en un ESS, y
transmitir configuraciones de energía.
Al planificar la ubicación de los AP, el área de cobertura circular aproximada es importante (como
se muestra en la figura), pero hay algunas recomendaciones adicionales:
● Si los AP van a utilizar el cableado existente o si hay ubicaciones donde no se pueden

colocar AP, tenga en cuenta estas ubicaciones en el mapa.
● Tenga en cuenta todas las fuentes potenciales de interferencia que pueden incluir hornos
de microondas, cámaras de video inalámbricas, luces fluorescentes, detectores de
movimiento o cualquier otro dispositivo que use el rango de 2.4 GHz.
● Coloque los AP por encima de las obstrucciones.
● Coloque APs verticalmente cerca del techo en el centro de cada área de cobertura, si es
posible.
● Coloque los AP en ubicaciones donde se espera que estén los usuarios. Por ejemplo, una
sala de conferencias es una mejor locación para un AP que un pasilllo.
● Si se configuró una red IEEE 802.11 para el modo mixto, los clientes inalámbricos pueden
experimentar velocidades más lentas de lo normal para admitir los estándares inalámbricos
más antiguos.
Al estimar el área de cobertura esperada de un AP, tenga en cuenta que este valor varía según el
estándar WLAN o la combinación de estándares implementados, la naturaleza de la instalación y la
potencia de transmisión para la que está configurado el AP. Siempre consulte las especificaciones
del AP cuando planifique áreas de cobertura.
Resumen de seguridad inalámbrica
Una WLAN está abierta a cualquier persona dentro del alcance de un AP y las credenciales
apropiadas para asociarla. Con una NIC inalámbrica y conocimiento de técnicas de craqueo, un
atacante puede no tener que ingresar físicamente al lugar de trabajo para obtener acceso a una
WLAN.
Los ataques pueden ser generados por personas externas, empleados descontentos e incluso
involuntariamente por los empleados. Las redes inalámbricas son específicamente susceptibles a
varias amenazas, incluidas las siguientes:
● Intercepción de datos - Los datos inalámbricos deben estar encriptados para evitar que
los espías los lean.
● Intrusos inalámbricos - Los usuarios no autorizados que intentan acceder a los recursos
de la red pueden ser disuadidos mediante técnicas de autenticación efectivas.
● Ataques de denegación de servicio (DoS) - El acceso a los servicios WLAN puede verse
comprometido de forma accidental o maliciosa. Existen varias soluciones dependiendo de
la fuente del ataque DoS.
● APs Falsos - Los AP no autorizados instalados por un usuario bien intencionado o con
fines maliciosos se pueden detectar utilizando un software de administración.
12.6.3
Ataques de DoS
Los ataques DoS inalámbricos pueden ser el resultado de:
● Dispositivos configurados inapropiadamente - Los errores de configuración pueden

deshabilitar la WLAN. Por ejemplo, un administrador podría alterar accidentalmente una
configuración y deshabilitar la red, o un intruso con privilegios de administrador podría
deshabilitar intencionalmente una WLAN.
● Un usuario malintencionado que interfiere intencionalmente con la comunicación
inalámbrica. - Su objetivo es deshabilitar la red inalámbrica por completo o hasta el punto
en que ningún dispositivo legítimo pueda acceder al medio.
● Interferencia Accidental - La redes WLANs son propensas a interferencia de otros
dispositivos inalámbricos como hornos microondas, teléfonos inalámbricos, monitores de
bebé y más como se muestra en la figura. La banda 2.4 GHz es más propensa a
interferencia que la banda 5 GHz.
Las señales que se irradian desde un teléfono inalámbrico y un microondas interfieren con las
señales en una red inalámbrica
S3WR
12.6.4
Puntos de acceso no autorizados
Un AP falso es un AP o un router inalámbrico que se ha conectado a una red corporativa sin

autorización explícita y en contra de la política corporativa. Cualquier persona con acceso a las
instalaciones puede instalar (de forma maliciosa o no maliciosa) un enrutador inalámbrico de bajo
costo que potencialmente puede permitir el acceso a un recurso de red seguro.
Una vez conectado, el AP falso puede ser usado por el atacante para capturar direcciones MAC,
capturar paquetes de datos, obtener acceso a recursos de red o lanzar un ataque intermediario.
Un punto de acceso a la red personal también podría usarse como un AP no autorizado, por
ejemplo, un usuario con acceso seguro a la red permite que su host Windows autorizado se
convierta en un AP Wi-Fi. Al hacerlo, elude las medidas de seguridad y otros dispositivos no
autorizados ahora pueden acceder a los recursos de la red como un dispositivo compartido.
Para evitar la instalación de puntos de acceso no autorizados, las organizaciones deben configurar
WLC con políticas de puntos de acceso no autorizados y utilizar software de monitoreo para
monitorear activamente el espectro de radio en busca de puntos de acceso no autorizados.
12.6.5
Ataque man-in-the-middle
En un ataque intermediario (MITM por su sigla en inglés), el pirata informático se coloca entre dos
entidades legítimas para leer o modificar los datos que pasan entre las dos partes. Hay muchas
maneras de crear un ataque MITM.
Un ataque de "AP gemelo malvado" es un ataque MITM inalámbrico popular en el que un atacante
introduce un AP falso y lo configura con el mismo SSID que un AP legítimo Las ubicaciones que
ofrecen Wi-Fi gratis, como aeropuertos, cafeterías y restaurantes, son lugares particularmente
populares para este tipo de ataque debido a la autenticación abierta.
un actor de amenazas en Bobs Latte ha usado su computadora portátil para configurar un gemelo
malvado usando un SSID de Bob latte, autenticación abierta y canal 6
Latte de Bob
SSID: Autenticación Bob Latte: Canal abierto: 6
Usuario
Protocolo
Clientes inalámbrico que se tratan de conectar a una red WLAN podrían ver dos APs con el mismo
SSID ofreciendo acceso inalámbrico. Los que están cerca del AP falso encuentran la señal más
fuerte y probablemente se asocian con ella. El tráfico de usuarios ahora se envía al AP falso, que a
su vez captura los datos y los reenvía al AP legítimo, como se muestra en la figura. El tráfico de
retorno del AP legítimo se envía al AP falso, se captura y luego se reenvía al usuario desprevenido.
El atacante puede robar la contraseña del usuario, su información personal, obtener acceso a su
dispositivo y comprometer el sistema
un usuario de Bobs Latte está enviando tráfico inalámbrico a una computadora portátil configurada
por un actor de amenazas como un gemelo malvado que reenvía el tráfico a un enrutador dentro de
la nube de Internet
Latte de Bob
Usuario
Internet
La derrota de un ataque como un ataque MITM depende de la sofisticación de la infraestructura

WLAN y la vigilancia en el monitoreo de la actividad en la red. El proceso comienza con la
identificación de dispositivos legítimos en la WLAN. Para hacer esto los usuarios deben estar
autenticados. Una vez que todos los dispositivos legítimos son conocidos, la red puede ser
monitoreada de dispositivos o tráfico anormal.
Encubrimiento SSID y filtrado de

direcciones MAC
Las señales inalámbricas pueden viajar a través de materiales sólidos como techos, pisos, paredes,
fuera de casa o del espacio de la oficina. Sin medidas de seguridad estrictas, la instalación de una
WLAN puede ser equivalente a colocar puertos Ethernet en todas partes, incluso en el exterior.
Para abordar las amenazas de mantener alejados a los intrusos inalámbricos y proteger los datos,
se utilizaron dos características de seguridad tempranas que aún están disponibles en la mayoría
de los enrutadores y puntos de acceso:SSID cloaking y MAC address filtering.
Encubrimiento SSID
Los AP y algunos enrutadores inalámbricos permiten deshabilitar la trama de baliza SSID, como se
muestra en la figura Los clientes inalámbricos deben configurarse manualmente con el SSID para
conectarse a la red.
Filtrado de direcciones MAC
Un administrador puede permitir o denegar manualmente el acceso inalámbrico de los clientes en

función de su dirección física de hardware MAC. En la figura, el router está configurado para
permitir dos direcciones MAC. Los dispositivos con diferentes direcciones MAC no podrán unirse a
la WLAN de 2.4GHz.
12.7.3
802.11 Métodos de autenticación

originales
Aunque estas dos características disuadirían a la mayoría de los usuarios, la realidad es que ni el
ocultamiento de SSID ni el filtrado de direcciones MAC disuadirían a un intruso astuto. Los SSID se
descubren fácilmente incluso si los AP no los transmiten y las direcciones MAC pueden ser
falsificadas. La mejor manera de proteger una red inalámbrica es utilizar sistemas de autenticación
y cifrado.
Se introdujeron dos tipos de autenticación con el estándar 802.11 original
● Sistema de autenticación abierto - Cualquier cliente inalámbrico debería poder

conectarse fácilmente y solo debería usarse en situaciones en las que la seguridad no sea
una preocupación, como las que proporcionan acceso gratuito a Internet, como cafeterías,
hoteles y áreas remotas. El cliente inalámbrico es responsable de proporcionar seguridad,
como el uso de una red privada virtual (VPN) para conectarse de forma segura. Los VPNs
proveen servicios de autenticación y cifrado. VPNs están más allá del alcance de este
tema.
● Autenticación de llave compartida - Proporciona mecanismos, como WEP, WPA, WPA2
y WPA3 para autenticar y cifrar datos entre un cliente inalámbrico y AP. Sin embargo, la
contraseña debe ser pre-compartida entre las dos partes para conectar.
El siguiente cuadro resumen estos métodos de autenticación.
Autenticación
Abierta
Clave compartida
WEP
WPA
WPA2
WPA3
● No se requiere contraseña.
●
Cualquier cliente que lo desee se puede asociar.
●
Normalmente se usa para proporcionar acceso gratuito a Internet en áreas
públicas como cafeterías, aeropuertos y hoteles.
●
El cliente tiene toda la responsabilidad de la seguridad.
12.7.4
Métodos de autenticación de clave
compartida
Actualmente hay cuatro técnicas de autenticación de clave compartida disponibles, como se

muestra en la tabla. Hasta que la disponibilidad de dispositivos WPA3 se vuelva omnipresente, las
redes inalámbricas deben usar el estándar WPA2.
Método de
Descripción
autenticación
La especificación original 802.11 designada para proteger los

Privacidad
datos usando el Rivest Cipher 4 (RC4) Método de cifrado con
equivalente al
una llave estática. Sin embargo, La llave nunca cambia cuando
cableado
se intercambian paquetes. Esto lo hace fácil de hackear. WEP
(WEP)
ya no se recomienda y nunca debe usarse.
Un estándar de alianza Wi-Fi que usa WEP, pero asegura los

Acceso Wi-Fi datos con un cifrado más sólido que el Protocolo de integridad
protegido de clave temporal (TKIP). generación de hash. El TKIP cambia
(WPA) la clave para cada paquete, lo que hace que sea mucho más
difícil de hackear
WPA2 es un estándar de la industria para proteger las redes

inalámbricas. Suele Utilizar el Estándar de cifrado avanzado
WPA2
(AES) para el cifrado. AES es actualmente se considera el
protocolo de cifrado más sólido.
La próxima generación de seguridad Wi-Fi. Todos los

dispositivos habilitados para WPA3 usan los últimos métodos
de seguridad, no permiten protocolos heredados obsoletos y
WPA3
requieren el uso de Tramas de administración protegidas
(PMF). Sin embargo, los dispositivos con WPA3 no están
disponibles fácilmente.
12.7.5
Autenticando a un usuario doméstico
Los routers domésticos suelen tener dos opciones de autenticación: WPA y WPA2 WPA2 es el mas
fuerte de los dos La figura muestra la opción para seleccionar uno de los dos métodos de
autenticación WPA2:
● Personales - (PSK). Destinados a redes domésticas o de pequeñas oficinas, los usuarios

se autentican utilizando una clave pre-compartida(PSK). Los clientes inalámbricos se
autentican con el enrutador inalámbrico utilizando una contraseña previamente compartida.
no requiere un servidor de autenticación especial.
● empresa - destinado para redes empresariales pero requiere un servidor de autenticación
de Servicio de usuario de acceso telefónico de autenticación remota (RADIUS). Aunque
requiere una configuración más complicada, proporciona seguridad adicional. El servidor
RADIUS debe autenticar el dispositivo y luego los usuarios deben autenticarse utilizando el
estándar 802.1X, que utiliza el Protocolo de autenticación extensible (EAP) para la
autenticación.
En la figura el administrador está configurando el router inalámbrico con autenticación personal

WPA2 en la banda 2.4 GHz.
12.7.6
Métodos de encriptación
El cifrado suele utilizarse para proteger datos. Si un intruso ha capturado datos cifrados, no podrá
descifrarlos en un período de tiempo razonable.
Los estándares WPA y WPA2 usan los siguientes métodos de cifrado:
● Protocolo de integridad de clave temporal (TKIP) - TKIP es el método de encriptación

utilizado por WPA. Proporciona soporte para equipos WLAN heredados al abordar las fallas
originales asociadas con el método de encriptación WEP 802.11. Utiliza WEP, pero encripta
la carga útil de la Capa 2 usando TKIP y realiza una Verificación de integridad de mensajes
(MIC) en el paquete encriptado para garantizar que el mensaje no haya sido alterado.
● Estándar de cifrado avanzado (AES) - AES es el método de encriptación utilizado por
WPA2. este es el método preferido de cifrado porque es un método mucho más fuerte.
Utiliza el modo de contador de cifrado con el protocolo de código de autenticación de
mensajes de bloqueo de cadena (CCMP) que permite a los hosts de destino reconocer si
se han alterado los bits encriptados y no encriptados.
En la figura el administrador está configurando el router inalámbrico para usar WPA2 con cifrado
AES en la banda 2.4 GHz.
12.7.7
Autenticación en la empresa
En redes que tienen requerimientos de seguridad estrictos, una autenticación adicional o inicio de
sesión es requerida para garantizar al cliente acceso inalámbrico. La elección del modo de
seguridad empresarial requiere un servidor RADIUS de autenticación, autorización y contabilidad
(AAA).
● Dirección IP del servidor RADIUS - Esta es la dirección accesible del servidor RADIUS.
● Números de puerto UDP - Los puertos UDP 1812 para la autenticación RADIUS y 1813
para la contabilidad RADIUS, pero también pueden funcionar utilizando los puertos UDP
1645 y 1646.
● Llave compartida - se utiliza para autenticar el AP con el servidor RADIUS.
En la figura el administrador está configurando el router inalámbrico para usar autenticación WPA2
Enterprise con encriptación AES. La dirección IPv4 del servidor RADIUS también se configura con
una contraseña segura que se utilizará entre el router inalámbrico y el servidor RADIUS.
La llave compartida no es un parámetro que debe ser configurado en un cliente inalámbrico. Solo
se requiere en el AP para autenticarse con el servidor RADIUS. Nota: La autenticación y
autorización del usuario se maneja mediante el estándar 802.1X, que proporciona una
autenticación centralizada basada en el servidor de los usuarios finales.
El proceso de inicio de sesión 802.1X utiliza EAP para comunicarse con el servidor AP y RADIUS.
EAP es un marco para autenticar el acceso a la red. Puede proporcionar un mecanismo de
autenticación seguro y negociar una clave privada segura que luego puede usarse para una sesión
de encriptación inalámbrica usando encriptación TKIP o AES.
12.7.8
WPA3
En el momento de este escrito los dispositivos que soportan autenticación WPA3 autenticación no
están fácilmente disponibles. Sin embargo, WPA2 ya no se considera segura WPA3, si está
disponible, es el método de autenticación 802.11 recomendado. WPA3 incluye cuatro
características;
● WPA3-personal
● WPA3-empresa
● Redes abiertas
● Internet de las cosas (IoT)
WPA3-personal
En WPA2-Personal, los actores de amenazas pueden escuchar el "handshake" entre un cliente

inalámbrico y el AP y utilizar un ataque de fuerza bruta para intentar adivinar el PSK. WPA3-
Personal frustra este ataque utilizando la Autenticación Simultánea (SAE), una característica
especificada en el IEEE 802.11-2016. El PSK nunca es expuesto, haciéndolo imposible de adivinar
para el atacante.
WPA3-empresa
WPA3 - Empresa: Utiliza la autenticación 802.1X / EAP. Sin embargo, requiere el uso de una suite
criptográfica de 192 bits y elimina la combinación de protocolos de seguridad para los estándares
802.11 anteriores. WPA3-Enterprise se adhiere a la Suite de Algoritmo de Seguridad Nacional
Comercial (CNSA) que se usa comúnmente en redes Wi-Fi de alta seguridad.
Redes abiertas
Las redes abiertas en WPA2 envían tráfico de usuarios en texto claro no autenticado. En WPA3, las
redes Wi-Fi abiertas o públicas aún no utilizan ninguna autenticación. Sin embargo, utiliza el cifrado
inalámbrico oportunista (OWE) para cifrar todo el tráfico inalámbrico.
IOT Integración
Aunque WPA2 incluyó la Configuración protegida de Wi-Fi (WPS) para incorporar rápidamente
dispositivos sin configurarlos primero, WPS es vulnerable a una variedad de ataques y no se
recomienda. Además, los dispositivos IoT generalmente no tienen cabeza, lo que significa que no
tienen una interfaz gráfica de usuario incorporada para la configuración, y necesitan una forma fácil
de conectarse a la red inalámbrica. El Protocolo de aprovisionamiento de dispositivos (DPP) se
diseñó para abordar esta necesidad. Cada dispositivo sin cabeza tiene una clave pública
codificada. La clave suele estar estampada en el exterior del dispositivo o en su embalaje como un
código de Respuesta rápida (QR). El administrador de red puede escanear el código QR y
rápidamente a bordo del dispositivo. Aunque no es estrictamente parte del estándar WPA3, DPP
reemplazará a WPS con el tiempo.
Una LAN inalámbrica (WLAN) es un tipo de red inalámbrica que se usa comúnmente en hogares,
oficinas y entornos de campus. Las LAN inalámbricas (WLAN) se basan en los estándares IEEE y
se pueden clasificar en cuatro tipos principales: WPAN, WLAN, WMAN y WWAN. Para enviar y
recibir datos, la tecnología inalámbrica usa el espectro de radio sin licencia. Ejemplos de esta
tecnología son Bluetooth, WiMAX, banda ancha celular y banda ancha satelital. Los estándares
802.11 WLAN definen cómo se usan las frecuencias de radio para los enlaces inalámbricos. Las
redes WLAN operan en la banda de frecuencia de 2,4 GHz y la banda de 5 GHz. Los estándares
aseguran la interoperabilidad entre dispositivos fabricados por diferentes fabricantes. A nivel
internacional, las tres organizaciones que influyen en los estándares WLAN son ITU-R, el IEEE, y la
Wi-Fi Alliance.
Para comunicarse de forma inalámbrica, la mayoria de los dispositivos incluyen NIC inalámbricas
integradas que incorporan un transmisor / receptor de radio. El router inalámbrico sirve como un
punto de acceso, un switch, y un router. Los clientes inalámbricos usan su NIC inalámbrica para
descubrir puntos de acceso cercanos compartiendo el SSID Los clientes luego intentan asociarse y
autenticarse con un AP. Después de ser autenticados los usuarios inalámbricos tienen acceso a los
recursos de la red. Los AP se pueden clasificar como AP autónomos o AP basados en
controladores. Hay tres tipos de antenas para AP de clase empresarial: omnidireccionales,
direccionales y MIMO.
El estándar 802.11 identifica dos modos principales de topología inalámbrica: modo Ad hoc y modo
Infraestructura. El anclaje a red es usado para proveer un acceso inalámbrico rápido. El modo de
infraestructura define dos bloques de construcción de topología: un conjunto de servicios básicos
(BSS) y un conjunto de servicios extendidos (ESS). Todas las tramas 802.11 contienen los
siguientes campos: control de frame, duración, dirección 1, dirección 2, dirección 3, control de
secuencia y dirección 4. WLANs usan CSMA/CA como el método para determinar cómo y cuando
enviar datos en la red. Una parte importante del proceso 802.11 es descubrir una WLAN y
conectarse a esta. Los dispositivos inalámbricos descubren un AP inalámbrico, se autentican con él
y luego se asocian con él. Los clientes inalámbricos se conectan al AP mediante un proceso de
exploración (sondeo) pasivo o activo.
CAPWAP es un protocolo estándar IEEE que permite que un WLC administre múltiples AP y
WLAN. El concepto CAPWAP dividir MAC realiza todas las funciones que normalmente realizan los
AP individuales y las distribuye entre dos componentes funcionales: DTLS es un protocolo que
proporciona seguridad entre el AP y el WLC. FlexConnect es una solución inalámbrica para las
implementaciones en sucursales y oficinas remotas. Usted puede configurar y controlar puntos de
acceso en una sucursal desde la oficina corporativa a través de un enlace WAN, sin implementar
un controlador en cada oficina. Hay dos modos de opción para FlexConnect AP: Conectado e
independiente.
Los dispositivos de LAN inalámbricos tienen transmisores y receptores sintonizados a frecuencias

específicas de ondas de radio para comunicarse. Las frecuencias se asignan como rangos. Los
rangos se dividen en rangos más pequeños llamados canales: DSSS, FHSS y OFDM. Los
estándares 802.11b/g/n operan en el espectro de 2.4 GHz a 2.5GHz. La banda 2.4 GHz está
subdividida en múltiples canales. Cada canal tiene un ancho de banda de 22 MHz y está separado
del siguiente canal por 5 MHz. Al planificar la ubicación de los puntos de acceso, el área de
cobertura circular aproximada es importante.
Las redes inalámbricas son susceptibles a amenazas, que incluyen: interceptación de datos,
intrusos inalámbricos, ataques DoS y puntos de acceso no autorizados. Los ataques DoS
inalámbricos pueden ser el resultado de: dispositivos mal configurados, un usuario malintencionado
que interfiere intencionalmente con la comunicación inalámbrica e interferencia accidental. Un AP
falso es un AP o un router inalámbrico que se ha conectado a una red corporativa sin autorización
explícita y en contra de la política corporativa. Una vez conectado, el atacante puede ser utilizado
por un atacante para capturar direcciones MAC, capturar paquetes de datos, obtener acceso a
recursos de red o lanzar un ataque de hombre en el medio. Ataque man-in-the-middle: el agente de
amenaza se coloca entre dos entidades legítimas para leer, modificar o redirigir los datos que se
transmiten entre las dos partes. Un ataque de "AP gemelo malvado" es un ataque MITM
inalámbrico popular en el que un atacante introduce un AP falso y lo configura con el mismo SSID
que un AP legítimo Para evitar la instalación de puntos de acceso no autorizados, las
organizaciones deben configurar WLC con políticas de puntos de acceso no autorizados.
Para mantener alejados a los intrusos inalámbricos y proteger los datos, dos características de
seguridad tempranas todavía están disponibles en la mayoría de los enrutadores y puntos de
acceso: ocultamiento de SSID y filtrado de direcciones MAC. Hay cuatro técnicas de autenticación
de clave compartida disponibles: WEP, WPA, WPA2 y WPA3 (los dispositivos con WPA3 aún no
están disponibles fácilmente). Los routers domésticos suelen tener dos opciones de autenticación:
WPA y WPA2 WPA2 es el más fuerte de los dos El cifrado suele utilizarse para proteger datos. Los
estándares WPA y WPA2 usan los siguientes métodos de cifrado: TKIP y AES. En redes que tienen
requerimientos de seguridad estrictos, una autenticación adicional o inicio de sesión es requerida
para garantizar al cliente acceso inalámbrico. La elección del modo de seguridad empresarial
requiere un servidor RADIUS de autenticación, autorización y contabilidad (AAA).
Bienvenido a la Configuración de WLAN
Algunos de nosotros recordamos conectarnos al Internet usando conexiones dial up. Para la
conexión dial up se usaba la linea telefónica fija. No era posible hacer o recibir llamadas con el
teléfono fijo mientras se navegaba en Internet. La conexión al Internet con dial up era muy lenta.
Básicamente, para la mayoría de las personas, su computadora estaba en un lugar fijo en la casa o
escuela.
Y después pudimos conectarnos al Internet sin usar las lineas telefónicas fijas. Sin embargo
nuestras computadoras estaban aún conectadas con cables a dispositivos que se conectaban al
Internet. Hoy en día podemos conectarnos al Internet usando dispositivos inalámbricos que nos
permitan llevar nuestros teléfonos, laptops y tablets prácticamente a cualquier lugar. Es grandioso
tener esa libertad de moverse, pero requiere de dispositivos intermediarios y finales especiales y un
buen entendimiento de los protocolos inalámbricos. ¿Desea obtener más información? Entonces,
¡este es el modulo para ti!
13.0.2
Título del Módulo: Configuraciones de redes inalámbricas WLAN
Objetivo del Módulo: Implemente una WLAN con un router inalámbrico y WLC.
Configuración de WLAN
Configure una WLAN para admitir un sitio remoto.
del sitio remoto
Configure un WLC de red inalámbrica WLAN para

Configure un WLC en el
que use la interfaz de administración y la
WLC
autenticación WPA2 PSK.
Configure una red Configure un WLC de red inalámbrica WLAN para

inalámbrica WLAN WPA2 que use una interfaz VLAN, un servidor DHCP, y
Enterprise en el WLC autenticación WPA2. Autenticación Enterprise
Solución de problemas de Solucione problemas comunes de configuración

WLAN inalámbrica.
Router inalámbrico
Los trabajadores remotos, las oficinas pequeñas y las redes caseras, comúnmente usan routers de
casa y oficina pequeña. A estos routers en ocasiones se les llama routers integrados porque
típicamente incluyen un switch para dispositivos conectados por cable, un puerto para conectarse
al Internet (a veces llamado "WAN"), y componentes inalámbricos para clientes de acceso
inalámbrico, como se muestra en la figura del Cisco Meraki MX64W. En lo que resta de este
módulo, a los routers de casas y oficinas pequeñas los llamaremos routers inalámbricos.
La figura muestra la parte de atrás de un router de casa o pequeña oficina. El router tiene dos
antenas, una de cada lado. En el lado izquierdo, hay un botón de reset. Al lado del botón de reset
hay cuatro puertos para conectar dispositivos LAN. Hay un puerto para la conexión WAN y
finalmente el botón de encendido y el puerto para el cable de energía.
Cisco Meraki MX64W
La próxima imagen muestra la conexión física de una laptop cableada, hacia un router inalámbrico,
que a su vez se conecta a un modem DSL o cable modem para obtener conectividad a Internet.
La imagen muestra la conexión física de una laptop cableada, hacia un router inalámbrico, que a su
vez se conecta a un modem DSL o cable modem para obtener conectividad a Internet. Muestra una
persona sentada frente a una computadora de escritorio. Conectada en la parte de atrás del
escritorio de la computadora, hay un enlace que va al router inalámbrico y del router inalámbrico
hay un enlace hacia el modem de banda ancha. El modem de banda ancha tiene una conexión
serial al Internet que se muestra como una nube.
Router inalámbrico
Modem de banda ancha
Internet
Estos routers inalámbricos comúnmente proveen seguridad WLAN, servicios de DHCP, Traducción
de Direcciones de Red (NAT), Quality of Service (QoS), y una variedad de otras funciones. El
conjunto de características varia de acuerdo al modelo del router.
Nota: La configuración del módem por cable o DSL generalmente se realiza a través del
representante del proveedor de servicios, ya sea en el sitio o de manera remota, a través de un
tutorial con usted en el teléfono. Si usted compra el módem, el mismo vendrá con la documentación
sobre cómo conectarlo a su proveedor de servicios, lo que muy probablemente incluirá el contacto
con su proveedor de servicios para obtener más información.
13.1.3
Conéctese al router inalámbrico.
La mayoría de los routers inalámbricos están listos para utilizarse desde el primer momento. Están
pre-configurados para conectarse a la red y proporcionar servicios. Por ejemplo, el router
inalámbrico utiliza el DHCP para proporcionar automáticamente información de asignación de
direcciones a los dispositivos conectados. Sin embargo, las direcciones IP predeterminadas del
router inalámbrico, los nombres de usuario y las contraseñas se pueden encontrar fácilmente en
Internet. Simplemente ingrese la frase “dirección IP predeterminada del router inalámbrico” o
“contraseñas predeterminada del router inalámbrico ” para ver un listado de muchos sitios web que
proporcionan esta información. Por ejemplo, el usuario y la contraseña para el router inalámbrico en
la figura es "admin" En consecuencia, su prioridad principal debe ser cambiar estos valores
predeterminados por razones de seguridad.
Para obtener acceso a la GUI de configuración del router inalámbrico, abra un navegador web. En
el campo Dirección, ingrese la dirección IP privada predeterminada de su router inalámbrico. La
dirección IP predeterminada se puede encontrar en la documentación que viene con el router
inalámbrico o se puede buscar en Internet. La figura muestra la dirección IPv4 192.168.0.1, que es
un valor predeterminado común para muchos fabricantes. Una ventana de seguridad solicita
autorización para acceder a la GUI del router. La palabra admin se utiliza comúnmente como
nombre de usuario y contraseña predeterminados. Nuevamente, consulte la documentación del
router inalámbrico o busque en Internet.
13.1.4
Configuración básica de red
La configuración básica de la red incluye los siguientes pasos:
1. Iniciar sesión en el router desde un navegador web.

2. Cambie la contraseña de administrador predeterminada.
3. Iniciar sesión con la nueva contraseña administrativa.
4. Cambiar las direcciones IPv4 predeterminadas del DHCP.
5. Renovar la dirección IP.
6. Iniciar sesión en el router con la nueva dirección IP.
1. Iniciar sesión en el router desde un navegador web
Después de iniciar sesión, se abre una GUI. La GUI tendrá las pestañas o menús para ayudarlo
a navegar en las distintas tareas de configuración del router. A menudo es necesario guardar las
opciones de configuración modificadas en una ventana antes de pasar a otra ventana. En este
punto, se recomienda realizar cambios en la configuración predeterminada.
Haga clic en el siguiente paso.
2. Cambiar la contraseña de administrador predeterminada.
Para cambiar la contraseña de inicio de sesión predeterminada, busque la sección de

Administración de la GUI del router. En este ejemplo, se escogió la pestaña Administración. Aquí
es donde se puede cambiar la contraseña del router. En algunos dispositivos, como el que se
encuentra en el ejemplo, solo puede cambiar la contraseña. El nombre de usuario sigue siendo
admin o cualquier nombre de usuario predeterminado para el router que está configurando.

3. Iniciar sesión con la nueva contraseña administrativa
Una vez que usted guarde la contraseña, el router inalámbrico solicitará autorización
nuevamente. Ingrese el nombre de usuario y la contraseña nueva, como se muestra en el
ejemplo.

4. Cambiar las direcciones IPv4 predeterminadas del DHCP
Cambie la dirección IPv4 predeterminada del router. Una práctica recomendada es utilizar
direcciones IPv4 privadas dentro de su red. En el ejemplo, se utiliza la dirección IPv4 10.10.10.1,
pero podría ser cualquier dirección IPv4 privada que elija.

5. Renovar la dirección IP
Al hacer clic en guardar, perderá temporalmente el acceso al router inalámbrico. Abra una
ventana de comandos y renueve su dirección IP con el comando ipconfig/renew, como se
muestra en el ejemplo.

6. Iniciar sesión en el router con la nueva dirección IP
Ingrese la nueva dirección IP del router para recuperar el acceso a la GUI de configuración del
router, como se muestra en el ejemplo. Ahora está listo para continuar con la configuración de
acceso inalámbrico en el router.
1. Ver los valores predeterminados de WLAN
De inmediato, un router inalámbrico proporciona acceso inalámbrico a los dispositivos mediante

un nombre y contraseña de red inalámbrica predeterminados. El nombre de la red inalámbrica
se denomina Identificador de Conjunto de Servicios (SSID). Ubique las configuraciones
inalámbricas básicas del router para cambiar estos valores predeterminados, como se muestra
en el ejemplo.

2. Cambiar el modo de red
Algunos routers inalámbricos le permiten escoger qué estándar 802.11 desea implementar. Este
ejemplo muestra que se ha seleccionado "Legacy". Esto significa que todos los dispositivos
inalámbricos que se conectan al router inalámbrico deben tener una variedad de NIC
inalámbricas instaladas. Los routers inalámbricos actuales configurados para el modo mixto
admiten, en su mayoría, las NIC 802.11a, 802.11n y 802.11ac.

3. Configurar el SSID
Asignar un SSID a las redes inalámbricas WLANs. OfficeNet se usa en el ejemplo para todas las
tres redes WLANS (la tercera WLAN no se muestra). El router inalámbrico anuncia su presencia
mediante el envío de broadcasts que anuncian su SSID. Esto le permite a los hosts inalámbricos
detectar automáticamente el nombre de la red inalámbrica. Si la difusión del SSID está
desactivada, debe introducir manualmente el SSID en cada dispositivo inalámbrico que se
conecte a la WLAN.

4 Configurar el canal
Los dispositivos configurados con el mismo canal dentro de la banda de 2,4 GHz pueden
superponerse y causar distorsión, lo que disminuye el rendimiento inalámbrico y potencialmente
podría interrumpir las conexiones de red. La solución para evitar la interferencia es configurar
canales que no se superpongan en los routers inalámbricos y los puntos de acceso cercanos
entre sí. Específicamente, los canales 1, 6 y 11 son canales que no se superponen. En el
ejemplo, el router inalámbrico está configurado para utilizar el canal 6.

5. Configurar el modo de seguridad
De inmediato, es posible que un router inalámbrico no tenga configurada ninguna seguridad de

WLAN. En el ejemplo, se escoge la versión personal de Wi-Fi Protected Access versión 2
(WPA2 Personal) para las tres WLANs. La WPA2 con cifrado de Advanced Encryption Standard
(AES) es actualmente el modo de seguridad más sólido.

6. Configurar la contraseña
La WPA2 Personal utiliza una contraseña para autenticar a los clientes inalámbricos. La WPA2
personal es más fácil de usar en entornos de oficinas pequeñas o domésticas, ya que no
requiere un servidor de autenticación. Las organizaciones más grandes implementan la WPA2
Enterprise y requieren que los clientes inalámbricos se autentiquen con un nombre de usuario y
una contraseña.
Configuración de una red de Malla
Inalámbrica
En una red de una oficina pequeña o doméstica, un router inalámbrico puede bastar para
proporcionar acceso inalámbrico a todos los clientes. Sin embargo, si desea extender el rango más
allá de aproximadamente 45 metros en el interior y 90 metros en el exterior, puede agregar puntos
de acceso inalámbricos. Como se muestra en la figura, En el red de Malla Inalámbrica, dos puntos
de acceso se configuran con las mismas configuraciones de WLAN de nuestro ejemplo anterior.
Observe que los canales escogidos son 1 y 11, de modo tal que los puntos de acceso no interfieren
con el canal 6 configurado previamente en el router inalámbrico.
La imagen muestra dos puntos de acceso inalámbricos en una red de oficina pequeña o casa. Los
puntos de acceso inalámbrico se conectan de manera inalámbrica a un router. El router inalámbrico
está conectado a un módem de banda ancha. El módem de banda ancha esta conectado a una
nube mostrando el Internet. Hay flechas apuntando desde el punto de acceso inalámbrico que
muestra los ajustes de configuración. Un punto de acceso inalámbrico esta en el canal 1 en 2.4GHz
y el otro en el canal 11 en 2.4GHz.
Protocolo
Extender una WLAN en una oficina pequeña o en el hogar se vuelve cada vez más fácil. Los
fabricantes han creado una red de Malla Inalámbrica (WMN) a través de aplicaciones de teléfono
inteligente. Usted compra el sistema, dispersa los puntos de acceso, los conecta, descarga la
aplicación y configura su WMN en pocos pasos. Para encontrar las reseñas de las ofertas actuales,
busque en Internet "el mejor sistema de red de Malla Inalámbrica"
13.1.7
NAT para IPv4
En un router inalámbrico, si busca una página como la página de estado que se muestra en la
figura, encontrará la información de la asignación de direcciones IPv4 que el router utiliza para
enviar datos a Internet. Observe que la dirección IPv4 es 209.165.201.11 es una red diferente a la
dirección 10.10.10.1 asignada a la interfaz LAN del router. A todos los dispositivos en la LAN del
router se les asignarán direcciones con el prefijo 10.10.10.
La dirección IPv4 209.165.201.11 es públicamente enrutable en Internet. Cualquier dirección con el

10 en el primer octeto es una dirección IPv4 privada y no se puede enrutar en Internet. Por lo tanto,
el router utilizará un proceso llamado Traducción de Direcciones de Red (NAT) para convertir las
direcciones IPv4 privadas en direcciones IPv4 enrutables en Internet. Con NAT, una dirección IPv4
privada de origen (local) se traduce a una dirección pública (global). En el caso de los paquetes
entrantes, el proceso es inverso. Por medio de NAT, el router puede traducir muchas direcciones
IPv4 internas en direcciones públicas.
Algunos ISP utilizan la asignación de direcciones privadas para conectarse a los dispositivos del
cliente. Sin embargo, al final, su tráfico abandonará la red del proveedor y se enrutará en Internet.
Para ver las direcciones IP de sus dispositivos, busque "Cuál es mi dirección IP" en Internet. Haga
esto para otros dispositivos en la misma red y verá que todos comparten la misma dirección IPv4
pública. NAT hace esto posible realizando un rastreo de los números de puerto de origen para cada
sesión establecida por dispositivo. Si su ISP tiene la IPv6 habilitada, verá una dirección IPv6 única
para cada dispositivo.
13.1.8
Calidad de servicio
Muchos routers inalámbricos tienen una opción para configurar la Calidad de Servicio (QoS). Al
configurar QoS, puede garantizar que ciertos tipos de tráfico, como voz y video, tengan prioridad
sobre el tráfico que no es sensible a retrasos, como el correo electrónico y la navegación web. En
algunos routers inalámbricos, también se puede priorizar el tráfico en puertos específicos.
La figura es un boceto simplificado de una interfaz de QoS basada en una GUI de Netgear. Por lo
general, encontrará la configuración de QoS en los menús avanzados. Si tiene un router
inalámbrico disponible, investigue las configuraciones de QoS. A veces, es posible que se
enumeren bajo "Control de Ancho de Banda" o algo similar. Consulte la documentación del router
inalámbrico o busque "configuraciones de QoS" en Internet para la marca y el modelo de su router.
Reenvío de Puerto
Los routers inalámbricos comúnmente se pueden utilizar para bloquear puertos TCP y UDP, a fin
de impedir el acceso no autorizado entrante y saliente de una LAN. No obstante, existen
situaciones en las que deben abrirse puertos específicos para que determinados programas y
aplicaciones puedan comunicarse con dispositivos de otras redes. El Reenvío de Puerto es un
método basado en reglas que permite dirigir el tráfico entre dispositivos de redes separadas.
Una vez que el tráfico llega al router, este determina si debe reenviarse el tráfico a determinado
dispositivo según el número de puerto que se encuentra en el tráfico. Por ejemplo, se puede
configurar un router para que reenvíe el puerto 80, que esta asociado con HTTP. Cuando el router
recibe un paquete con el puerto de destino 80, reenvía el tráfico al servidor interno de la red que
sirve a las páginas web. En la figura, el reenvío de puerto está habilitado para el puerto 80 y se
asigna al servidor web en la dirección IPv4 10.10.10.50.
La activación de puertos permite que el router reenvíe datos temporalmente mediante puertos
entrantes a un dispositivo determinado. Se puede utilizar la activación de puertos para reenviar
datos a una PC, solo si se utiliza un rango de puertos designados para realizar una solicitud
saliente. Por ejemplo, un videojuego puede utilizar los puertos 27000 a 27100 para establecer una
conexión con otros jugadores. Estos son los puertos de activación. Un cliente de chat puede utilizar
el puerto 56 para conectar a los mismos jugadores, a fin de que interactúen entre sí. En este caso,
si existe tráfico de juegos en un puerto saliente dentro del rango de puertos activados, el tráfico de
chat entrante que corresponde al puerto 56 se reenvía a la PC que se utiliza para jugar el
videojuego y para chatear con amigos. Una vez que finaliza el juego y dejan de utilizarse los
puertos activados, el puerto 56 ya no puede enviar tráfico de ningún tipo a esta PC.
Topología WLC
Para topologia y el esquema de direccionamiento usados en los videos y este tema se muestran en
la figura y en la tabla. El punto de acceso (AP) es basado en un controlador, que es diferente a un
AP autónomo. Recuerde que los puntos de acceso basados en controlador no necesitan una
configuración inicial y normalmente se les denomina Puntos de Acceso Lightweight (LAPs). Los
puntos de acceso LAP usan el Protocolo Lightweight Access Point Protocol (LWAPP) para
comunicarse con el controlador WLAN (WLC). Los puntos de acceso basados en controlador son
útiles en situaciones en las que se necesitan varios puntos de acceso en la red. Conforme se
agregan puntos de acceso, cada punto de acceso es configurado y administrado de manera
automática por el WLC.
La imagen muestra la topologia de un Cisco Wireless LAN Controller (WLC). PC-A es un servidor
RADIUS/SNMP conectado a R1 en la interfaz F0/0 de R1. La PC-B esta conectada a S1 en el
puerto F0/6 de S1. R1 y S1 están conectados juntos en la interfaces F0/1 de R1 y en la F0/5 de
S1 . S1 esta conectado a un WLC en el puerto F0/18. En el puerto F0/1 de S1 esta conectado el
punto de acceso AP1. Hay una computadora portátil conectada en forma inalámbrica a AP1
Topología
Tabla de Direcciones
Máscara de
Dispositivo Interfaz Dirección IP
subred
R1 F0/0 172.16.1.1 255.255.255.0
R1 F0/1.1 192.168.200.1 255.255.255.0
S1 VLAN 1 DHCP
192.168.200.25
WLC Administración 255.255.255.0
4
AP1 Wired 0 192.168.200.3 255.255.255.0
PC-A NIC 172.16.1.254 255.255.255.0
PC-B NIC DHCP
Computadora
portátil NIC DHCP
inalámbrica
13.2.3
Iniciar sesión en el WLC
Configurar un controlador de red inalámbrica (WLC) no es muy diferente que configurar un router
inalámbrico La diferencia mas grande es que el WLC controla los puntos de acceso y provee más
servicios y capacidades de administración; varias que van más allá del alcance de este curso.
Nota: Las figuras de este tema que muestran la interfaz gráfica (GUI) y los menús, son del
Controlador Inalámbrico Cisco 3504. Sin embargo, otros modelos de WLC tienen menús y
características similares.
La figura muestra un usuario iniciando sesión en el WLC con los credenciales que fueron
configurados en la configuración inicial.
La página de Network Summary es un panel que provee una visión rápida del número de redes
inalámbricas configuradas, los puntos de acceso asociados y los clientes activos. También se
puede ver la cantidad de puntos de acceso dudosos y los clientes, como se muestra en la figura.
13.2.4
Ver la información del punto de acceso
Haga clic en Access Pints desde el menú de la izquierda para ver un resumen de toda la
información de sistema y desempeño del punto de acceso, como se muestra en la siguiente figura.
El AP está usando la dirección IP 192.168.200.3. Debido a que el protocolo Cisco Discovery
Protocol (CDP) esta activo en esta red, el WLC sabe que el AP está conectado al puerto
FastEthernet 0/1 del switch.
El AP en la topología es un Cisco Aironet 1815i, lo cual significa que se puede usar la línea de
comandos y una cantidad limitada comandos de IOS. En el ejemplo, el administrador de la red hizo
ping a la puerta de enlace, hizo ping al WLC, y verificó la interfaz conectada con cable.
AP1# ping 192.168.200.1
Sending 5, 100-byte ICMP Echos to 192.168.200.1, timeout is 2 seconds
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =

1069812.242/1071814.785/1073817.215 ms
AP1# ping 192.168.200.254
Sending 5, 100-byte ICMP Echos to 192.168.200.254, timeout is 2 seconds
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
1055820.953/1057820.738/1059819.928 ms
AP1# show interface wired 0
wired0 Link encap:Ethernet HWaddr 2C:4F:52:60:37:E8
inet addr:192.168.200.3 Bcast:192.168.200.255 Mask:255.255.255.255
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:2478 errors:0 dropped:3 overruns:0 frame:0
TX packets:1494 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:80
RX bytes:207632 (202.7 KiB) TX bytes:300872 (293.8 KiB)
AP1#
13.2.5
Configuración Avanzada
La mayoría de los WLC tienen configuraciones básicas y menús que los usuarios pueden accesar
rápidamente para implementar una variedad de configuraciones comunes. Sin embargo, como
administrador de la red, usted comúnmente accederá a la configuración avanzada. En el Wireless
Controller Cisco 3504, haga clic en Advanced en la esquina superior derecha para accesar la
página Summary, como se muestra en la figura. Desde aquí, usted puede acceder a toda la
configuración del WLC.
13.2.6
Configurar una WLAN
Los controladores de red LAN inalámbricos tienen puertos e interfaces. Los puertos son los
conectores para las conexiones físicas a la red cableada. Se ven como puertos de switch Las
interfaces son virtuales. Se crean a nivel de software y son muy similares a las VLAN interfaces. De
hecho, cada interfaz que lleva trafico desde una WLAN se configura en el WLC como una VLAN
diferente. El Cisco WLC 3504 soporta hasta 150 puntos de acceso y 4096 VLANs; sin embargo,
sólo tiene cinco puertos físicos, como se muestra en la figura. Esto significa que cada puerto físico
puede soportar varios puntos de acceso y WLANs. Los puertos en el WLC son básicamente
puertos troncales que pueden llevar trafico de múltiples VLANs hacia un switch para distribuirlo a
múltiples puntos de acceso. Cada punto de acceso puede soportar varias WLANs.
La figura muestra el frente de un controladora inalámbrico Cisco 3504. Tiene 2 puertos para
administración fuera de banda, un puerto de consola, un puerto de consola mini-usb, un puerto
USB 3.0, un puerto 5G, y cuatro puertos Gigabit.
La configuración WLAN en el WLC incluye los siguientes pasos:
1. Crear la WLAN.
2. Aplicar y activar la WLAN
3. Seleccionar una interfaz.
4. Asegurar la WLAN
5. Verificar que la WLAN este funcionando
6. Monitorear la WLAN
7. Ver la información del cliente inalámbrico
1. Crear la WLAN
En la figura, el administrador esta creando una nueva WLAN que usara el nombre
Wireless_LAN y como identificador de conjunto de servicios (SSID). El ID es una valor arbitrario
que se usa para identificar la WLAN en el WLC en pantalla.
2. Aplicar y active la WLAN
Después de hacer clic en Apply, el administrador de la red debe habilitar la WLAN antes de que
sea accesado por los usuarios, como se muestra en la figura. La casilla de verificación Enabled
permite al administrador configurar una variedad de funciones para la WLAN, así como WLANs
adicionales, antes de habilitarlas para que sean accesibles para los clientes. Desde aquí, el
administrador de la red puede configurar una variedad de funciones para la WLAN incluyendo
seguridad, QoS, políticas y otras configuraciones avanzadas.
3. Seleccionar una interfaz
Cuando crea la red WLAN, debe seleccionar la interfaz que llevara el trafico del WLAN La
próxima figura muestra la selección de una interfaz que ya ha sido creada en el WLC.
Aprenderemos como crear interfaces mas adelante en este modulo.
4. Asegurar la WLAN
Haga clic en la pestaña de Security para accesar todas las opciones disponibles para asegurar
la red LAN. El administrador de la red desea asegurar la Capa 2 con WPA2-PSK. WPA2 y
802.1X están definidos de manera predeterminada. En el menú de Security de Capa 2, debe
verificar que WPA+WPA2 esta seleccionado(no se muestra). Haga clic en PSK y ponga el pre-
shared key, como se muestra en la figura. Luego, haga clic en Apply. Esto habilitará la WLAN
con autenticación WPA2-PSK. A partir de ahora, los clientes inalámbricos que conozcan el pre-
shared key pueden asociarse y autenticarse con el punto de acceso.
5 Verificar que la WLAN este funcionando
Haga clic en WLANs en el menú de la izquierda, para ver la nueva WLAN configurada. En la
figura, puede verificar que el ID del WLAN esta configurado con el nombre y SSID
Wireless_LAN, que esta activo, y que esta usando seguridad WPA2 PSK.
6. Monitorear la WLAN
Haga clic en la pestaña Monitor en la parte superior para acceder de nuevo a la pagina
avanzada Summary. Aquí puede ver que Wireless_LAN ahora tiene un cliente usando sus
servicios, como se muestra en la figura.
7. Ver detalles del cliente inalámbrico
Haga clic en Clients en el menú de la derecha para ver mas información sobre los clientes
conectados al WLAN, como se muestra en la figura. Un cliente esta conectado a Wireless_LAN
a través de un punto de acceso y se le asigno la dirección IP 192.168.5.2. Los servicios de
DHCP en esta topologia son dados por el router.
SNMP y RADIUS
EN la figura, PC-A esta ejecutando software de servidor de Protocolo Simple de Administración de

Red (SNMP) y de Servicio de Autenticación Remota de Usuario de Discado (RADIUS). SNMP se
utiliza para monitorear la red El administrador de la red desea que el WLC reenvíe mensajes de
registro de SNMP, llamados traps, al servidor SNMP.
Además, para la autenticación con el WLAN, el administrador de la red desea usar el servidor
RADIUS para los servicios de autenticación, autorización y registro (AAA). En vez de ingresar una
llave pre-compartida para autenticarse, como se hace con WPA2-PSK, los usuarios ingresan sus
propio usuario y contraseña. Los credenciales serán verificados en el servidor RADIUS. De esta
manera, el acceso de cada usuario puede ser rastreado y auditado de manera individual, de ser
necesario las cuentas de usuario pueden ser agregadas o modificadas desde una locación central.
El servidor RADIUS es requerido cuando las redes WLAN están usando autenticación WPA2
Enterprise.
Nota: La configuración del servidor SNMP y del servidor RADIUS esta fuera del alcance de este
modulo.
Esta figura muestra una topología de red. PC-A es un servidor RADIUS/SNMP conectado a R1 en
la interfaz F0/0 de R1. La PC-B esta conectada a S1 en el puerto F0/6 de S1. R1 y S1 están
conectados juntos en la interfaz F0/1 de R1 y en la F0/5 de S1 S1 esta conectado a un WLC en el
puerto F0/18. El puerto F0/1 de S1 esta conectado al punto de acceso AP1. Hay una computadora
portátil conectada en forma inalámbrica a AP1
Topología
Configurar Información del Servidor
SNMP
Haga clic en la pestaña MANAGEMENT para accesar una variedad de funciones de

administración. SNMP esta listado en la parte superior del menú de la izquierda. Haga clic en
SNMP para expandir los sub-menús, y luego haga clic en Trap Receivers. Haga clic en New...
para configurar un nuevo recibidor de SNMP trap, como se muestra en la figura.
1. Haga clic en Management

2. Haga clic en SNMP
3. Haga clic en Trap Receivers
4. Haga clic enNew...
Agregue el nombre del SNMP Community y la dirección IP (IPv4 o IPv6) del servidor SNMP. Haga
clic en Apply. Ahora el WLC enviará los mensajes de registro de SNMP al servidor SNMP.
13.3.4
Configure los servidores RADIUS.
En nuestra configuración de ejemplo, el administrador de la red desea configurar una WLAN

usando WPA2 Enterprise, en vez de WPA2 Personal o WPA2 PSK. La autenticación sera
manejada por el servidor RADIUS que se esta ejecutando en PC-A.
Para configurar el WLC con la información del servidor RADIUS, haga clic en SECURITY tab >
RADIUS > Authentication. No existen servidores RADIUS configurados Haga clic en Nuevo...
para agregar la PC-A como el servidor RADIUS.
1. Haga clic enSECURITY

2. Haga clic enRADIUS
3. Haga clic en Authentication
4. Haga clic enNew...
Agregue la direccion IPv4 para PC-A y el secreto compartido. Esta es la contraseña que se usa
entre el WLC y el servidor RADIUS. No es para los usuarios Haga clic en Apply, como se muestra
en la figura.
Después de hacer clic en Apply, la lista de RADIUS Authentication Servers configurados se

refresca con el nuevos servidor listado, como se muestra en la figura.
Topologia de direcciones en VLAN 5
Cada WLAN configurada en el WLC necesita su propia interfaz virtual. El WLC tiene cinco puertos
físicos para el trafico de datos. Cada puerto físico puede ser configurado para soportar múltiples
WLANs, cada una en su propia interfaz virtual. Los puertos físicos se pueden enlazar entre ellos
para crear enlaces con mayor capacidad de ancho de banda
El administrador de la red ha decidido que la nueva WLAN use la interfaz VLAN 5 y la red
192.168.5.0/24. R1 ya tiene un sub-interfaz configurada y activa para VLAN 5, tal como se muestra
en la topología y en la salida del comando show ip interface brief.
Topología
Interface IP-Address OK? Method Status

Protocol
FastEthernet0/0 172.16.1.1 YES manual up
up
FastEthernet0/1 unassigned YES unset up

up
FastEthernet0/1.1 192.168.200.1 YES manual up

up
FastEthernet0/1.5 192.168.5.254 YES manual up

up
(output omitted)
R1#
Configurar una nueva interfaz
1. Crear una nueva interfaz

2. Configurar el nombre y el ID de la VLAN
3. Configurar la direccion del puerto y la interfaz
4. Configurar la dirección del servidor DHCP
5. Aplicar y Confirmar
6. Verificar interfaces
1. Crear una nueva interfaz
Para agregar una nueva interfaz, haga clic en CONTROLLER > Interfaces > New..., como se
1. Haga clic CONTROLLER
2. Haga clic en Interfaces
3. Haga clic en New...
2. Configure el nombre y el ID de la VLAN
En la figura se muestra que el administrador de la red configura el nombre de la interfaz

como vlan5 y el ID de la VLAN como 5. Haciendo clic en Apply se crea la nueva interfaz.
3. Configurar la direccion del puerto y la interfaz
En la pagina Edit de la interfaz, configure el número de puerto físico. G1 en la topología es

el Puerto número 1 en el WLC. Luego, configure el direccionamiento de la interfaz de la
VLAN 5. En la figura, la VLAN 5 tiene asignada la dirección IPv4 192.168.5.254/24. R1 es la
puerta de enlace con la dirección IPv4 192.168.5.1.
4. Configurar la direccion del servidor DHCP
En empresas grandes, los WLCs se configuran para que reenvíen los mensajes de DHCP
a un servidor dedicado. Desplazasece hacia abajo en la pagina para configurar el servidor
DHCP primario con la dirección IPv4 192.168.5.1, como se muestra en la figura. Esta es la
dirección del router de puerta de enlace predeterminado. El router esta configurado con
un pool de DHCP para la red WLAN. Conforme los dispositivos host se unen a la WLAN
asociada con la interfaz VLAN 5, van recibiendo las direcciones IP de este pool.
5. Aplicar y Confirmar
Desplazasece hacia arriba y haga clic en Apply, como se muestra en la figura. Haga clic
en OK para el mensaje de advertencia.
6. Verificar interfaces
Haga Click Interfaces. La nueva interfaz vlan5ahora se muestra en la lista de interfaces

con su dirección IPv4, como se muestra en la figura.
Configurar el Alcance DHCP
La configuración del ámbito de DHCP incluye los siguientes pasos:
1. Configurar el ámbito DHCP

2. Nombrar un ámbito DHCP
3. Verificar el nuevo ámbito DHCP
4. Configurar y activar un nuevo ámbito DHCP
5. Verificar el nuevo ámbito DHCP
1. Cree un nuevo alcance DHCP.

Un alcance DHCP es muy similar a un pool de DHCP en un router. Puede incluir una
variedad de información como grupos de direcciones para asignar a los clientes de
DHCP, información del servidor DNS, tiempos de asignación y mas. Para configurar un
nuevo alcance DHCP, haga clic en Internal DHCP Server > DHCP Scope > New..., como se
2. Nombrar un alcance DHCP.
En la próxima pantalla, nombre el alcance. EL alcance aplica para la red de administración

inalámbrica, entonces el administrador de la red usara Wireless_Management para el
nombre del alcance y después debe hacer clic en Apply.
3. Verificar el nuevo alcance DHCP

Volverá a la página DHCP Scopes y ahí verifique que el alcance está listo para ser
configurado. Haga clic en el nombre del nuevo alcance para configurar el alcance de
DHCP.
4. Configurar y activar un nuevo alcance DHCP
En la pantalla de edición del ámbito Wireless_Management, configure un grupo de

direcciones para la red 192.168.200.0/24 empezando en .240 y terminando en .249. La
dirección de red y la mascara de subred han sido configuradas. Se configura la dirección
IPv4 del router de enlace, la cual es la sub interfaz para R1 en 192.168.200.1. Para efectos
de este ejemplo, se deja todo el resto de ámbito sin cambios. El administrador de la red
debe seleccionar Enabled del menú desplegable de Estado y hacer clic en Apply.
5. Verificar el nuevo alcance DHCP
El administrador de red será llevado de vuelta la página de DHCP Scopes y podrá verificar
que el alcance está listo para ser asignado a una nueva WLAN.
Configure una red inalámbrica WLAN
WPA2 Enterprise
De manera predeterminada, todas las WLANs creadas recientemente en el WLC van a usar
WPA2 con el Sistema Avanzado de Encripción (AES). 802.1X es el protocolo de manejo de
llaves predeterminado que se usa para comunicarse con el servidor RADIUS. El
administrador ya había configurado la dirección IPv4 del servidor RADIUS ejecutándose en
PC-A, de tal manera que la única configuración pendiente es crear una nueva WLAN para
que use la interfaz vlan5.
1. Crear una nueva WLAN

2. Configurar el nombre y el SSID de la WLAN
3. Habilitar la WLAN para VLAN 5
4. Verificar los valores predeterminados de AES y 802.1X.
5. Configurar la seguridad de WLAN para que use el servidor RADIUS
6. Verificar que la nueva WLAN este disponible
1. Crear una nueva WLAN
Haga clic en la pestaña WLANs y luego en Ir para crear una nueva WLAN, como se
2. Configurar el nombre y el SSID de la WLAN
Rellene con el nombre del perfil y el SSID Con el fin de ser consistente con la VLAN que
fue previamente configurada, escoja un ID de 5. Sin embargo, puede usar cualquier valor
disponible. Haga clic en Apply, para crear una nueva WLAN, como se muestra en la
figura.
3. Habilitar la WLAN para VLAN 5
La WLAN ha sido creada pero aun necesita activarse y asociarse con la interfaz VLAN
correcta. Cambiar el estado de Enabled y escoger vlan5 en la lista desplegable de
Interface/Interface Grupo(G). Haga clic en Aplicar y haga clic en OK para aceptar el
mensaje emergente, como se muestra en la figura.
La figura muestra como se activa la WLAN para VLAN 5 en el GUI del WLC. Se selecciona
la pestaña WLANs en el menú principal. Seleccione WLANs > Edit El estado:Habilitado se
detallada con un rectángulo y el número 1. Interface/Interface Group tiene la vlan5
seleccionada y mostrada con un rectángulo y el número 2. Apply se detalla con un
rectángulo y el número 3. Un mensaje con una advertencia se mostrara si se intentan
cambiar los parámetros de WLAN mientras esta habilita, lo que causara que
temporalmente la WLAN se deshabilite y el radio se restablezca, lo que causara una
perdida de conectividad para los clientes. Presione "OK" para continuar. El número 4 esta
junto al botón OK
4. Verifique los valores predeterminados de AES y 802.1X.
Haga clic en la pestaña Security para ver la configuración predeterminada de seguridad

para la WLAN nueva. La WLAN usará seguridad WPA2 con encripción AES. El tráfico de
autenticación es manejado por 802.1X entre el WLC y el servidor RADIUS.
5. Configurar el servidor RADIUS.
Ahora necesitamos seleccionar el servidor RADIUS que va a usarse para autenticar los
usuarios de esta WLAN. Haga clic en la ficha AAA Servers. En la lista desplegable
seleccionar el servidor RADIUS que fue configurado previamente en el WLC. Aplique los
cambios.
6. Verifique que la nueva WLAN este disponible
Para verificar que la nueva WLAN esta listada y activa, haga clic en Back o en el sub-
menú WLANs a la izquierda. Tanto la WLAN Wireless_LAN como la WLAN CompanyName
están listadas. En la figura, note que ambos están activos. Wireless_LAN esta usando
WPA2 con autenticación PSK. CompanyName esta usando seguridad WPA2 con
autenticación 802.1X.
Enfoques para la Solución de Problemas
En el tema anterior aprendiste sobre la configuración de WLAN. Vamos a ver cómo resolver
problemas de WLAN.
Los problemas de red pueden ser simples o complejos, y pueden ser el resultado de una
combinación de problemas de hardware, software y conectividad. Los técnicos informáticos
deben ser capaces de analizar el problema y determinar la causa del error para poder reparar
el problema de red. Este proceso se denomina “solución de problemas”.
Para resolver problemas de red de cualquier tipo, se debe seguir un proceso sistemático.
Una metodología de solución de problemas común y eficaz se basa en el método científico,
y se puede dividir en los seis pasos importantes que se muestran en la ilustración.
Pas
Título Descripción
o
El primer paso del proceso de solución de problemas

Identifica
consiste en identificar el problema. Aunque se pueden
1 ción del
usar herramientas en este paso, una conversación con el
problema
usuario suele ser muy útil.
Establece
r una Después de hablar con el usuario e identificar el
teoría de problema, puede probar y establecer una teoría de
2
causas causas probables. Este paso generalmente muestra más
probable causas probables del problema.
s
Poner a Según las causas probables, pruebe sus teorías para

prueba la determinar cuál es la causa del problema. Un técnico
teoría regularmente hará un procedimiento rápido para probar
3 para y ver si resuelve el problema Si este procedimiento no
determin corrija el problema, puede que necesite hacer una
ar la búsqueda del problema para establecer la raíz del
causa problema.
4 Establece Una vez que haya determinado la causa raíz del

r un plan problema, establezca un plan de acción para solucionar
de acción el problema e implementar la solución.
para
soluciona
r el
problema
e
implemen
tar la
solución
Solución
Verifique
la
funcionali
dad total
del Una vez que haya corregido el problema, verifique la
5 sistema e funcionalidad total y, si corresponde, implementación de
implemen medidas preventivas
te
medidas
preventiv
as
Registrar
hallazgos
El último paso del proceso de solución de problemas
,
consiste en registrar los hallazgos, acciones y
6 acciones
resultados. Esto es muy importante para una futura.
y
referencia.
resultado
s
Para evaluar el problema, determine cuántos dispositivos de la red lo tienen. Si existe un

problema con un dispositivo de la red, inicie el proceso de solución de problemas en ese
dispositivo. Si existe un problema con todos los dispositivos de la red, inicie el proceso de
solución de problemas en el dispositivo donde se conectan todos los otros dispositivos.
Debe desarrollar un método lógico y coherente para diagnosticar problemas de red mediante
la eliminación de un problema por vez.
13.4.2
Cliente Inalámbrico no está conectando
Cuando se está resolviendo problemas de una red WLAN, se recomienda usar un proceso de
eliminación.
En la figura, un cliente inalámbrico no se esta conectando a la WLAN.
Si no existe conectividad, revise lo siguiente:
● Revise la configuración de red en la PC usando el comando ipconfig. Verifique que la

PC ha recibido una dirección IP por medio de DHCP o ha sido configurada con una IP
estática.
● Confirme que el dispositivo conecta a la red cableada: Conecte el dispositivo a la red
LAN cableada y haga ping a un dirección IP conocida.
● De ser necesario, cargue de nuevo los controladores en el cliente como corresponde.
Puede que necesite probar con una NIC inalámbrica diferente.
● Si la NIC inalámbrica del cliente funciona, revise la configuración del modo de
seguridad y encripción en el cliente. Si la configuración de seguridad no es la misma,
el cliente no podrá ganar acceso a la WLAN.
Si la PC esta funcionando pera la conexión inalámbrica tiene un desempeño pobre, revise lo
siguiente:
● ¿Qué tan lejos esta la PC del punto de acceso? ¿Está la PC fuera del área planeada
de cobertura (BSA)?
● Revise la configuración del canal en el cliente inalámbrico. El software del cliente
debería detectar el canal siempre que el SSID sea el correcto.
● Revise si existen otros dispositivos en el área que puedan estar interfiriendo con la
banda de 2.4 GHz. Algunos dispositivos como por ejemplo, teléfonos inalámbricos,
monitores de bebes, hornos microondas, sistemas de seguridad inalámbricos, y
potencialmente puntos de acceso no autorizados. Los datos enviados por estos
dispositivos pueden causar interferencia con la WLAN y problemas intermitentes de
conexión entre un cliente inalámbrico y un AP.
Lo siguiente, asegúrese de que todos los dispositivos estén presentes. Considere la

posibilidad de un problema de seguridad física. ¿Hay suficiente energía para todos los
dispositivos y están todos encendidos?
Finalmente, inspeccione los enlaces entre los dispositivos cableados y revise que no existan
conectores malos o cables que falten o estén dañados. Si la parte física en su bien, verifique
la LAN cableada, haciendo ping a los dispositivos, incluyendo el AP. Si la conectividad sigue
fallando a este punto, puede que algo este malo en el AP o su configuración.
Cuando el usuario de la PC es descartado como posible fuente del problema, y el estado

físico de los dispositivos ha sido confirmado, empiece a investigar el desempeño del AP.
Revise el estado de energía en el punto de acceso.
13.4.3
Resolución de Problemas cuando la red

esta lenta.
Para optimizar e incrementar el ancho de banda de los routers y APs de banda doble 802.11
pruebe:
● Actualizar sus clientes inalámbricos - Los dispositivos antiguos 802.11b, 802.11g, e

incluso los 802.11n pueden hacer que toda la red WLAN funcione mas lento. Para un
mejor desempeño, todos los dispositivos deben soportar el mejor estándar aceptado.
Aunque 802.11ax fue lanzado en el 2019, 802.11ac es posiblemente el estándar mas
alto que las empresas pueden utilizar.
● Divida el tráfico - La manera mas sencilla de mejorar el desempeño de la red
inalámbrica es dividir el trafico entre la banda 802.11n de 2.4 GHz y la banda de 5
GHz. Por lo tanto, 802.11n (o alguno mejor) puede usar ambas bandas como dos
redes separadas para ayudar a manejar mejor el trafico. Por ejemplo, use la red de 2.4
GHz para tareas básicas en internet, como la navegación web, email. y descargas, y
use la de 5 GHz para transmitir multimedia, como se ve en la figura.
Hay muchas razones para utilizar este método de dividir el trafico:
● La banda de 2.4 GHz puede ser muy útil para manejo de trafico en internet básico que
no es sensible al tiempo.
● El ancho de banda se puede compartir con otros WLANs cercanos.
● La banda 5 GHz esta mucho menos concurrida que la banda de 2.4 Ghz, lo que la
hace ideal para transmitir multimedia.
● La banda de 5 GHz tiene mas canales, por lo tanto, el canal que se usa esta
posiblemente libre de interferencia.
Los routers y APs de doble banda usan el mismo nombre de red tanto en la banda de 2.4
Ghz como en la de 5 Ghz de manera predeterminada. La manera más sencilla de segmentar
el trafico es renombrar una de las redes inalámbricas. Con un nombre separado y que sea
descriptivo, es mas fácil conectarse a la red correcta.
Para mejorar el rango de una red inalámbrica, asegúrese de que la ubicación del router
inalámbrico o AP se encuentre libre de obstrucciones como muebles, accesorios y
electrodomésticos altos. Estos bloquean la señal, lo cual acorta el rango de la WLAN. Si esto
no resuelve el problema, puede que necesite usar un Extensor de Rango de Wi-Fi o
implementar la tecnología inalámbrica Powerline.
13.4.4
Actualizar el Firmware
La mayoría de los routers y AP inalámbricos ofrecen firmware actualizable. Las versiones de

firmware pueden contener correcciones de problemas comunes informados por los clientes
así como las vulnerabilidades de seguridad. Revise periódicamente el sitio web del
fabricante para ver el firmware actualizado. En la figura, se puede ver que el administrador
de la red esta verificando que el firmware este actualizado en un AP Cisco Meraki.
En un WLC, es muy posible que se pueda actualizar el firmware de todos los APs que son
controlados por el WLC. En la próxima figura, el administrador de la red esta descargando la
imagen del firmware que se usara para actualiza todos los APs.
En un controlador inalámbrico Cisco 3504, haga clic en WIRELESS tab > Access Point desde
el menú de la izquierda >sub-menú Global Configuration. Luego diríjase hasta el fondo de la
pagina hacia la sección de Pre-descarga.
Los usuarios se desconectarán de la WLAN y a Internet hasta que la actualización finalice. El

router inalámbrico posiblemente deba reiniciar varias veces antes de que se hayan
restaurado las operaciones normales de la red.
¿Qué aprendí en este módulo?
Los trabajadores remotos, las oficinas, sucursales pequeñas y las redes caseras a menúdo
usan un router inalámbrico, el cual típicamente incluye un switch para clientes cableados,
un puerto para la conexión a Internet (a veces llamado "WAN") y componentes inalámbricos
para el acceso de clientes inalámbricos. La mayoría de los routers inalámbricos están
preconfigurados para conectarse a la red y proporcionar servicios. El router inalámbrico
utiliza el DHCP para proporcionar automáticamente información de asignación de
direcciones a los dispositivos conectados. Su primera prioridad debe ser cambiar el nombre
de usuario y contraseña de su router inalámbrico. Use la interfaz de su router inalámbrico
para completar la configuración básica de su red inalámbrica. Si desea extender el rango
más allá de aproximadamente 45 metros en el interior y 90 metros en el exterior, puede
agregar puntos de acceso inalámbricos. El router utilizará un proceso llamado como
Traducción de Direcciones de Red (NAT) para convertir las direcciones IPv4 privadas en
direcciones IPv4 enrutables en Internet. Al configurar QoS, puede garantizar que ciertos
tipos de tráfico, como voz y video, tengan prioridad sobre el tráfico sin plazos, como el
correo electrónico y la navegación web.
Los puntos de acceso LAP usan el Protocolo Lightweight Access Point Protocol (LWAPP)
para comunicarse con el controlador WLAN (WLC). Configurar un controlados de LAN
inalámbrico (WLC) es similar a configurar un router inalámbrico, excepto que un WLC
controla los puntos de acceso y provee mas capacidades de administración y servicios. Use
la interfaz del WLC para ver un panorama completo del sistema de información y desempeño
de los puntos de acceso, para accesar la configuración avanzada y para configurar una
WLAN.
SNMP se utiliza para monitorear la red El WLC esta configurado para enviar todos los
registros de SNMP al servidor, utilizando traps. Para la autenticación de usuarios en en
WLAN, se utiliza un servidor RADIUS para autenticación, autorización y registro(AAA).
Acceso de un usuario puede ser monitoreado y auditado Use la interfaz del WLC para
configurar el servidor SNMP y la información del servidor RADIUS, las interfaces VLAN, el
alcance DHCP y una WLAN WPA2 Enterprise.
El proceso de solución de problemas consta de seis pasos. Cuando se está resolviendo

problemas de una red WLAN, se recomienda usar un proceso de eliminación. Algunos
problemas comunes son: falta de conectividad y pobre desempeño de la conexión
inalámbrica cuando la PC esta operando. Para optimizar e incrementar el ancho de banda de
los routers y APs de banda doble 802.11 pruebe: actualizar sus clientes inalámbricos o
dividir el trafico. La mayoría de los routers y puntos de acceso inalámbricos ofrecen
firmware actualizable. Las versiones de firmware pueden contener correcciones de
problemas comunes informados por los clientes así como las vulnerabilidades de seguridad.
Revise periódicamente el sitio web del fabricante para ver el firmware actualizado.
¡Bienvenido a Conceptos de enrutamiento!
No importa cuán eficaz sea la configuración de la red, algo siempre dejará de funcionar
correctamente o incluso dejará de funcionar completamente. Esta es una simple verdad
sobre la creación de redes. Por lo tanto, a pesar de que ya sabe bastante sobre el
enrutamiento, todavía necesita saber cómo funcionan sus routers. Este conocimiento es
fundamental si desea poder solucionar problemas de su red. Este módulo entra en detalle
sobre el funcionamiento de un router. ¡Súbete!
14.0.2
Título del módulo: Conceptos de enrutamiento
Objetivos del módulo: Explique cómo los routers utilizan la información en los paquetes
para tomar decisiones de reenvío.

Explicar cómo los routers determinan la mejor
Determinación de ruta
ruta.
Explicar cómo los routers reenvían los

Reenvío de paquetes
paquetes al destino.
Configuración básica de Configurar los parámetros básicos en un

un router router.
Tabla de routing IP Describir la estructura de una tabla de routing.
Enrutamiento estático y Comparar los conceptos de routing estático y

dinámico dinámico.
Dos funciones del router
Antes de que un router reenvíe un paquete a cualquier lugar, tiene que determinar la mejor
ruta para que el paquete tome. En este tema se explica cómo los enrutadores realizan esta
determinación.
Los switches Ethernet se utilizan para conectar dispositivos finales y otros dispositivos
intermediarios, como otros conmutadores Ethernet, a la misma red. Un router conecta varias
redes, lo que significa que posee varias interfaces, cada una de las cuales pertenece una red
IP diferente.
Cuando un router recibe un paquete IP en una interfaz, determina qué interfaz debe usar
para reenviar el paquete hacia el destino. Esto se conoce como enrutamiento. La interfaz
que usa el router para reenviar el paquete puede ser el destino final o una red conectada a
otro router que se usa para llegar a la red de destino. Generalmente, cada red a la que se
conecta un router requiere una interfaz separada, pero puede que este no siempre el caso.
Las funciones principales de un router son determinar la mejor ruta para reenviar paquetes
basándose en la información de su tabla de enrutamiento, y reenviar paquetes hacia su
destino.
14.1.2
Ejemplo de Funciones del router
El router usa su tabla de routing para encontrar la mejor ruta para reenviar un paquete. Haga
clic en Reproducir en la animación de la ilustración, para seguir un paquete desde la
computadora de origen hasta la computadora de destino. Observe cómo tanto R1 como R2
utilizan sus respectivas tablas de enrutamiento IP para determinar primero la mejor ruta y, a
continuación, reenviar el paquete.
La animación representa dos redes LAN con hosts conectados por dos routers R1 y R2. Se
anima un paquete que atraviesa la conexión de una LAN a la otra LAN. Las pantallas del
router aparecen FOR R! y R2 que muestran las direcciones IP v.4 coincidentes en el router
pasando de una red a otra.
Mejor ruta es igual a la coincidencia más

larga
¿Qué significa que el router deba encontrar la mejor coincidencia en la tabla de routing? La
mejor ruta de la tabla de enrutamiento también se conoce como la coincidencia más larga.
La coincidencia más larga es un proceso que el router utiliza para encontrar una
coincidencia entre la dirección IP de destino del paquete y una entrada de enrutamiento en
la tabla de enrutamiento.
La tabla de enrutamiento contiene entradas de ruta que consisten en un prefijo (dirección de

red) y una longitud de prefijo. Para que haya una coincidencia entre la dirección IPv4 de
destino de un paquete y una ruta en la tabla de routing, una cantidad mínima de los bits del
extremo izquierdo deben coincidir entre la dirección IPv4 del paquete y la ruta en la tabla de
routing. La máscara de subred de la ruta en la tabla de routing se utiliza para determinar la
cantidad mínima de bits del extremo izquierdo que deben coincidir. Recuerde que un
paquete IP sólo contiene la dirección IP de destino y no la longitud del prefijo.
La mejor coincidencia es la ruta de la tabla de routing que contiene la mayor cantidad de bits
del extremo izquierdo coincidentes con la dirección IPv4 de destino del paquete. La ruta con
la mayor cantidad de bits del extremo izquierdo equivalentes, o la coincidencia más larga, es
siempre la ruta preferida.
Nota: El término longitud del prefijo se utilizará para hacer referencia a la parte de red de
direcciones IPv4 e IPv6.
14.1.4
Ejemplo de coincidencia más larga de

direcciones IPv4
En la tabla, un paquete IPv4 tiene la dirección IPv4 de destino 172.16.0.10. El router tiene tres
rutas posibles que coinciden con este paquete: 172.16.0.0/12, 172.16.0.0/18 y 172.16.0.0/26.
De las tres rutas, 172.16.0.0/26 tiene la coincidencia más larga y se elige para reenviar el
paquete. Recuerde que para que cualquiera de estas rutas se considere una coincidencia
debe tener al menos la cantidad de bits coincidentes que se indica en la máscara de subred
de la ruta.
Dirección IPv4 de destino Dirección de host en formato binario
10101100.00010000.00000000.000010
172.16.0.10
10
Entrad
Longitud del Dirección de host en formato
as de
prefijo/prefijo binario
ruta
1 172.16.0.0/12 10101100.00010000.000000001010
10101100.00010000.00000000.00001
2 172.16.0.0/18
010
10101100.00010000.00000000.00001
3 172.16.0.0/26
010
14.1.5
Ejemplo de coincidencia más larga de

direcciones IPv6
En la tabla, un paquete IPv6 tiene la dirección IPv6 de destino 2001:db8:c000: :99. En este
ejemplo se muestran tres entradas de ruta, pero sólo dos de ellas son una coincidencia
válida, siendo una de ellas la coincidencia más larga. Las dos primeras entradas de ruta
tienen longitudes de prefijo que tienen el número requerido de bits coincidentes como indica
la longitud del prefijo. La primera entrada de ruta con una longitud de prefijo de /40 coincide
con los 40 bits del extremo izquierdo de la dirección IPv6. La segunda entrada de ruta tiene
una longitud de prefijo de /48 y con los 48 bits que coinciden con la dirección IPv6 de
destino, y es la coincidencia más larga. La tercera entrada de ruta no coincide porque su
prefijo /64 requiere 64 bits coincidentes. Para que el prefijo 2001:db8:c 000:5555: :/64 sea
una coincidencia, los primeros 64 bits deben ser la dirección IPv6 de destino del paquete.
Solo coinciden los primeros 48 bits, por lo que esta entrada de ruta no se considera una
coincidencia.
Para el paquete IPv6 de destino con la dirección 2001:db8:c000: :99, considere las tres
entradas de ruta siguientes:
Entrad
Longitud del
as de ¿Coincide?
prefijo/prefijo
ruta
1 2001:db8:c000::/40 Partido de 40 bits

Partido de 48 bits (partido
2 2001:db8:c000::/48
más largo)
2001:db8:c000:5555::
3 No coincide con 64 bits
/64
14.1.6
Creación de la tabla de enrutamiento
Una tabla de enrutamiento consta de prefijos y sus longitudes de prefijo. Pero, ¿cómo
aprende el router sobre estas redes? ¿Cómo rellena R1 en la figura su tabla de
enrutamiento?
La figura muestra tres tipos de redes Directed Connected Network, Remote Network y
Default Route. El Router1 (R1) es la red conectada directamente con dos conmutadores S1 y
S2 conectados a dos PC1 y PC2. El switch está conectado al router R1. R1 y Router2 (R2) se
conectan directamente a través de una conexión punto a punto. R2 está conectado dos
conmutadores S# y S4 con cada conmutador que tiene un PC PC3 y P4 conectado a ellos. R2
forma la red remota. R2 tiene una conexión remota adicional al ISP mediante una conexión
punto a punto que es la conexión a Internet. El esquema numérico para cada dispositivo es
direcciones IPv4 e IPv6 de doble pila.
Redes desde la perspectiva de R1

Redes conectadas directamente
Las redes conectadas directamente son redes que están configuradas en las interfaces
activas de un router. Una red conectada directamente se agrega a la tabla de
enrutamiento cuando una interfaz se configura con una dirección IP y una máscara de
subred (longitud de prefijo) y está activa (arriba y arriba).
Redes remotas
Las redes remotas son redes que no están conectadas directamente al router. Un router
descubre redes remotas de dos maneras:
Rutas estáticas : se agrega a la tabla de enrutamiento cuando se configura manualmente

una ruta. Protocolos de enrutamiento dinámico : se han añadido a la tabla de
enrutamiento cuando los protocolos de enrutamiento aprenden dinámicamente acerca de
la red remota. Estos protocolos incluyen el protocolo de información de routing versión 2
(RIPv2), abrir primero la ruta más corta (OSPF) y el protocolo de routing de gateway
interior mejorado (EIGRP).
Ruta predeterminada
Una ruta predeterminada específica un router de salto siguiente que se utilizará cuando la
tabla de enrutamiento no contiene una ruta específica que coincida con la dirección IP de
destino. La ruta predeterminada puede configurarse manualmente como ruta estática o
puede introducirla el protocolo de routing.
Una ruta predeterminada sobre IPv4 tiene una entrada de ruta de 0.0.0.0/0 y una ruta
predeterminada sobre IPv6 tiene una entrada de ruta de: :/0. La longitud del prefijo /0
indica que cero bits o ningún bit deben coincidir con la dirección IP de destino para que
se utilice esta entrada de ruta. Si no hay rutas con una coincidencia más larga, más de 0
bits, entonces la ruta predeterminada se utiliza para reenviar el paquete. A veces, la ruta
predeterminada se conoce como una puerta de enlace de último recurso.
14.2.1
Proceso de decisión de reenvío de

paquetes
Ahora que el router ha determinado la mejor ruta para un paquete en función de la

coincidencia más larga, debe determinar cómo encapsular el paquete y reenviarlo hacia
fuera la interfaz de salida correcta.
La figura muestra cómo un router determina primero la mejor ruta y, a continuación, reenvía
el paquete.
La figura muestra cómo un router determina primero la mejor ruta y, a continuación, reenvía
el paquete. Hay 5 pasos representados con estos pasos:
1. La trama de enlace de datos con un paquete IP encapsulado llega a la interfaz

de entrada.
2. El router examina la dirección IP de destino en el encabezado del paquete y

consulta su tabla de enrutamiento IP.
3. El router encuentra el prefijo coincidente más largo en la tabla de enrutamiento.
4. El router encapsula el paquete en una nueva trama de enlace de datos y lo

reenvía por la interfaz de salida. El destino podría ser un dispositivo conectado a
la red o un router de siguiente salto.
5. Sin embargo, si no hay ninguna entrada de ruta coincidente, el paquete se

elimina.
Reenvía el paquete a un dispositivo en una red conectada directamente
Si la entrada de ruta indica que la interfaz de salida es una red conectada directamente,
esto significa que la dirección IP de destino del paquete pertenece a un dispositivo de la
red conectada directamente. Por lo tanto, el paquete se puede reenviar directamente al
dispositivo de destino. El dispositivo de destino suele ser un dispositivo final en una LAN
Ethernet, lo que significa que el paquete debe estar encapsulado en una trama Ethernet.
Para encapsular el paquete en la trama Ethernet, el router necesita determinar la dirección

MAC de destino asociada a la dirección IP de destino del paquete. El proceso varía según
si el paquete es un paquete IPv4 o IPv6:
● Paquete IPv4 - El router comprueba su tabla ARP para la dirección IPv4 de destino
y una dirección MAC Ethernet asociada. Si no hay coincidencia, el router envía
una solicitud ARP. El dispositivo de destino devolverá una respuesta ARP con su
dirección MAC. El router ahora puede reenviar el paquete IPv4 en una trama
Ethernet con la dirección MAC de destino adecuada.
● PaqueteIPv6 - El router comprueba su caché vecino para la dirección IPv6 de
destino y una dirección MAC Ethernet asociada. Si no hay coincidencia, el router
envía un mensaje ICMPv6 Solicitud de vecino (ICMPv6 Neighbor Solicitation) (NS).
El dispositivo de destino devolverá un mensaje ICMPv6 Neighbor Advertisement
(NA) con su dirección MAC. El router ahora puede reenviar el paquete IPv6 en una
trama Ethernet con la dirección MAC de destino adecuada.
Reenvía el paquete a un router de salto siguiente

Si la entrada de ruta indica que la dirección IP de destino está en una red remota, esto
significa que la dirección IP de destino del paquete pertenece a un dispositivo de red que
no está conectado directamente. Por lo tanto, el paquete debe ser reenviado a otro
enrutador, específicamente a un router de siguiente salto. La dirección de salto siguiente
se indica en la entrada de ruta.
Si el router de reenvío y el router de siguiente salto se encuentran en una red Ethernet, se

producirá un proceso similar (ARP e ICMPv6 Neighbor Discovery) para determinar la
dirección MAC de destino del paquete como se describió anteriormente. La diferencia es
que el router buscará la dirección IP del router de salto siguiente en su tabla ARP o caché
de vecino, en lugar de la dirección IP de destino del paquete.
Nota: Este proceso variará para otros tipos de redes de capa 2.
Descarta el paquete - No coincide en la tabla de enrutamiento
Si no hay ninguna coincidencia entre la dirección IP de destino y un prefijo en la tabla de

enrutamiento, y si no hay una ruta predeterminada, se descartará el paquete.
Una responsabilidad principal de la función de switching es la de encapsular los paquetes

en el tipo de marco de enlace de datos correcto para el enlace de datos de salida. Por
ejemplo, el formato de marco de vínculo de datos para un vínculo serie podría ser el
protocolo punto a punto (PPP), el protocolo de control de enlace de datos de alto nivel
(HDLC) o algún otro protocolo de capa 2.
PC1 envía paquete a PC2
En la primera animación, PC1 envía un paquete a PC2. Ya que la PC2 está en una red
diferente, la PC1 reenviará los paquetes a su puerta de enlace predeterminada (gateway).
PC1 buscará en su caché ARP la dirección MAC de gateway predeterminada y agregará la
información de trama indicada.
Nota: Si una entrada de ARP no existe en la tabla de ARP para la puerta de enlace
predeterminada (gateway) de 192.168.1.1, la PC1 enviará una solicitud de ARP El
router R1 envía a cambio una respuesta ARP con su dirección MAC.
El R1 reenvía el paquete a la PC2

R1 ahora reenvía el paquete a PC2. Debido a que la interfaz de salida se encuentra en una
red Ethernet, el R1 debe resolver la dirección IPv4 de siguiente salto con una dirección
MAC de destino mediante ARP: Si no existe ninguna entrada ARP para la interfaz del
proximo salto 192.168.2.2 en la tabla ARP, R1 envía una solicitud de ARP. R2 devolvería
una respuesta ARP.
El R2 reenvía el paquete al R3
R2 ahora reenvía el paquete a R3. Debido a que la interfaz de salida no es una red
Ethernet, el R2 no tiene que resolver la dirección IPv4 del siguiente salto con una
dirección MAC de destino. Cuando la interfaz es una conexión serial punto a punto (P2P),
el router encapsula el paquete IPv4 en el formato de trama de enlace de datos
correspondiente que utiliza la interfaz de salida (HDLC, PPP, etc.). Debido a que no hay
direcciones MAC en las interfaces seriales, el R2 establece la dirección de destino de
enlace de datos en el equivalente a una difusión.
El R3 reenvía el paquete a la PC2
R3 ahora reenvía el paquete a PC2. Dado que la interfaz de salida es una red Ethernet
conectada directamente, el R3 debe resolver la dirección IPv4 de destino del paquete con
una dirección MAC de destino: Si la entrada no aparece en la caché ARP, el R3 envía una
solicitud de ARP por la interfaz FastEthernet 0/0. La PC2 envía a cambio una respuesta
ARP con su dirección MAC.
Mecanismos de reenvío de paquetes
Como se menciono anteriormente, la responsabilidad principal de la función de reenvío de

paquetes es la de encapsular los paquetes en el tipo de marco de enlace de datos correcto
para la interfaz de salida. Cuanto más eficientemente un router pueda realizar esta tarea,
más rápido podrá reenviar paquetes por el router. Los routers admiten tres mecanismos de
reenvío de paquetes:
● Switching de procesos
● Switching rápido
● Cisco Express Forwarding (CEF)
Conmutación de procesos (Process Switching)
Un mecanismo de reenvío de paquetes más antiguo que todavía está disponible para
routers Cisco. Cuando un paquete llega a una interfaz, se reenvía al plano de control,
donde la CPU hace coincidir la dirección de destino con una entrada de la tabla de routing
y, a continuación, determina la interfaz de salida y reenvía el paquete. Es importante
comprender que el router hace esto con cada paquete, incluso si el destino es el mismo
para un flujo de paquetes. Este mecanismo de switching de procesos es muy lento y rara
vez se implementa en las redes modernas. Compare esto con el switching rápido.
Conmutación rápida(Fast Switching)
La conmutación rápida es otro mecanismo de reenvío de paquetes más antiguo que fue el
sucesor de la conmutación de procesos. Fast switching usa una memoria caché de
switching rápido para almacenar la información de siguiente salto. Cuando un paquete
llega a una interfaz, se reenvía al plano de control, donde la CPU busca una coincidencia
en la caché de switching rápido. Si no encuentra ninguna, se aplica el switching de
procesos al paquete, y este se reenvía a la interfaz de salida. La información de flujo del
paquete también se almacena en la caché de switching rápido. Si otro paquete con el
mismo destino llega a una interfaz, se vuelve a utilizar la información de siguiente salto
de la caché sin intervención de la CPU.
Con el switching rápido, observe que el switching de procesos se aplica solo al primer
paquete de un flujo, el cual se agrega a la caché de switching rápido. Los cuatro paquetes
siguientes se procesan rápidamente según la información de la caché de switching
rápido.
CEF
CEF es el mecanismo de reenvío de paquetes más reciente y predeterminado del IOS de

Cisco. Al igual que el switching rápido, CEF arma una base de información de reenvío
(FIB) y una tabla de adyacencia. Sin embargo, las entradas de la tabla no se activan por
los paquetes como en el switching rápido, sino que se activan por los cambios, como
cuando se modifica un elemento en la topología de la red. Por lo tanto, cuando se
converge una red, la FIB y las tablas de adyacencia contienen toda la información que el
router debe tener en cuenta al reenviar un paquete. Cisco Express Forwarding es el
mecanismo de reenvío más rápido y la opción más utilizada en los routers Cisco y en los
Multilayer Switches.
CEF crea la FIB y las tablas de adyacencia una vez que se converge la red. Los cinco
paquetes se procesan rápidamente en el plano de datos.
Topología
Un router utiliza una tabla de enrutamiento para determinar a dónde enviar los paquetes.
Pero antes de sumergirse en los detalles de la tabla de enrutamiento IP, este tema revisa las
tareas básicas de configuración y verificación del enrutador. También completarás una
actividad de Rastreador de paquetes para actualizar tus habilidades.
La topología de la figura se utilizará para los ejemplos de configuración y verificación.

También se usará en el siguiente tema para discutir la tabla de enrutamiento IP.
Comandos de Configuración
Los siguientes ejemplos muestran la configuración completa de R1.
Router> enable
Router# configure terminal
Router(config)# hostname R1
R1(config)# enable secret class
R1(config)# line console 0
R1(config-line)# logging synchronous
R1(config-line)# transport input ssh telnet
R1(config)# service password-encryption
R1(config)# banner motd #
Enter TEXT message. End with a new line and the #
***********************************************
WARNING: Unauthorized access is prohibited!
***********************************************
R1(config-if)# ipv6 address fe80::1:a link-local
R1(config-if)# exit
R1(config-if)# ipv6 address fe80::1:b link-local
R1(config-if)# exit
R1(config)# interface serial 0/1/1
R1(config-if)# description Link to R2
R1(config-if)# ipv6 address fe80::1:c link-local
R1(config-if)# exit
R1# copy running-config startup-config
[OK]
R1#
14.3.3
Comandos de verificación
Algunos comandos de verificación comunes incluyen los siguientes:

● show running-config interface interface-type number
● show interfaces
● show ip interface
● show ip route
● ping
En cada caso, ip reemplace ipv6 por la versión IPv6 del comando. La figura muestra de
nuevo la topología para facilitar la referencia.
GigabiteThernet0/0/0 10.0.1.1 Sí manual arriba
GigabiteThernet0/0/1 10.0.2.1 Sí manual arriba
Serial0/1/1 10.0.3.1 SÍ manual arriba
GigabitEthernet0 unassigned YES unset down down
R1#
FE80: :1:A
2001:DB8:ACAD:1::1
FE80: :1:B
2001:DB8:ACAD:2::1
Serial0/1/0 [administratively down/down]
no asignado
Serial0/1/1 [up/up]
FE80: :1:C
2001:DB8:ACAD:3: :1
GigabiteThernet0 [abajo/abajo]
no asignado
R1#
R1# show running-config interface gigabitethernet 0/0/0
interfaz GigabiteThernet0/0/0
description Link to LAN 1
ip address 10.0.1.1 255.255.255.0
automatización de negociación
dirección ipv6 FE80: :1:Un enlace local
finalizar
R1#
R1# show interfaces gigabitEthernet 0/0/0

El hardware es ISR4321-2x1GE, la dirección es a0e0.af0d.e140

(bia a0e0.af0d.e140)
Keepalive not supported
Full Duplex, 100Mbps, link type is auto, media type is RJ45
output flow-control is off, input flow-control is off
Last input 00:00:00, output 00:00:06, output hang never
Input queue: 0/375/0/0 (size/max/drops/flushes); Total output

drops: 0
Queueing strategy: fifo

Output queue: 0/40 (size/max)
5 minute input rate 2000 bits/sec, 1 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
57793 packets input, 10528767 bytes, 0 no buffer
Received 19711 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 36766 multicast, 0 pause input
10350 packets output, 1280030 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 pause output
0 output buffer failures, 0 output buffers swapped out

R1#
R1# show ip interface gigabitethernet 0/0/0
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.5 224.0.0.6
Outgoing Common access list is not set
Outgoing access list is not set
Inbound Common access list is not set
Inbound access list is not set

El ARP del proxy está habilitado
El Proxy local ARP esta desabilitado
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP Flow switching is disabled
IP CEF switching is enabled
IP CEF switching turbo vector
Vector turbo IP nulo
Topologías de enrutamiento de unidifusión asociadas:
Topología «base», estado de operación es UP

IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast, CEF
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Las respuestas de nombre de proxy de sondeo están

deshabilitadas
Policy routing is disabled
Network address translation is disabled
BGP Policy Mapping is disabled
Características de entrada: MCI Check
IPv4 WCCP Redirect outbound is disabled

IPv4 WCCP Redirect inbound is disabled
IPv4 WCCP Redirect exclude is disabled
R1#
R1# show ipv6 interface gigabitethernet 0/0/0
IPv6 is enabled, link-local address is FE80::1:A
2001:DB8:ACAD:1: :1, la subred es 2001:DB8:ACAD:1: :/64
Joined group address(es):
FF02::1
FF02::2
FF02::5
FF02::6
FF02::1:FF00:1
FF02: :1:FF01:A
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
Hosts use stateless autoconfig for addresses.

R1#
R1# show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile,

B - BGP
(Output omitted)
C 10.0.1.0/24 está conectado directamente, GigabiteThernet0/0/0
L 10.0.1.1/32 está conectado directamente, GigabiteThernet0/0/0
C 10.0.3.0/24 está conectado directamente, Serial0/1/1
L 10.0.3.1/32 está conectado directamente, Serial0/1/1
R1#
R1# show ipv6 route

Codes: C - Connected, L - Local, S - Static, U - Per-user Static

route
(Output omitted)
C 2001:DB8:ACAD:1::/64 [0/0]
a través de GigabiteThernet0/0/0, conectado directamente
L 2001:DB8:ACAD:1::1/128 [0/0]
a través de GigabiteThernet0/0/0, recibir
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
a través de GigabiteThernet0/0/1, reciba
C 2001:DB8:ACAD:3: :/64 [0/0]
L 2001:DB8:ACAD:3: :1/128 [0/0]

L FF00::/8 [0/0]
via Null0, receive
R1#
R1# ping 10.0.3.2
Escriba la secuencia de escape para interrumpir la acción.
Sending 5, 100-byte ICMP Echos to 10.0.3.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/2

ms
R1# ping 2001:db8:acad:3::2
Sending 5, 100-byte ICMP Echos to 2001:DB8:ACAD:3::2, timeout is

2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/2
ms
R1#
Salida del comando de filtro
Otra característica muy útil que mejora la experiencia del usuario en la interfaz de línea de
comandos (CLI)es el filtrado de los resultados del comando show show. Los comandos de
filtrado se pueden utilizar para mostrar secciones específicas de los resultados. Para
habilitar el comando de filtrado, ingrese una barra vertical partida (|) después del comando
show y luego ingrese un parámetro de filtrado y una expresión de filtrado.
Los parámetros de filtrado que se pueden configurar después de la barra vertical incluyen lo
siguiente:
● section - muestra la sección completa que comienza con la expresión de filtrado.

● include - incluye todas las líneas de resultados que coinciden con la expresión de
filtrado.
● exclude - excluye todas las líneas de resultados que coinciden con la expresión de
filtrado.
● begin -muestra todas las líneas de resultados desde determinado punto, comenzando
por la línea que coincide con la expresión de filtra
Nota: Los filtros de salida se pueden usar en combinación con cualquier comando show.
La figura muestra de nuevo la topología para su conveniencia

Estos ejemplos demuestran algunos de los usos más comunes de los parámetros de
filtrado.
R1# show running-config | section line vty
line vty 0 4
password 7 121A0C0411044C
login
transport input telnet ssh
R1#
R1# show ipv6 interface brief | include up
Serial0/1/1 [up/up]
R1#
R1# show ip interface brief | exclude unassigned

Serial0/1/1 209.165.200.225 YES manual up up
R1#
R1#
Origen de la ruta
¿Cómo sabe un router dónde puede enviar paquetes? Crea una tabla de enrutamiento
basada en la red en la que se encuentra.
Una tabla de enrutamiento contiene una lista de rutas a redes conocidas (prefijos y
longitudes de prefijo). La fuente de esta información se deriva de lo siguiente:
● Redes conectadas directamente

● Rutas estáticas
● Protocolos de enrutamiento dinámico
En la figura, R1 y R2 están utilizando el protocolo de enrutamiento dinámico OSPF para

compartir información de enrutamiento. Además, R2 se configura con una ruta estática
predeterminada al ISP.
R1# show ip route
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS

level-2
ia - IS-IS inter area, * - candidate default, U - per-user static

route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from

PfR
Gateway of last resort is 10.0.3.2 to network 0.0.0.0
O*E2 0.0.0.0/0 [110/1] via 10.0.3.2, 00:51:34, Serial0/1/1

O 10.0.4.0/24 [110/50] a 10.0.3.2, 00:24:22, Serial0/1/1
O 10.0.5.0/24 [110/50] a 10.0.3.2, 00:24:15, Serial0/1/1
R1#
R2# show ip route

level-2

route

PfR
S* 0.0.0.0/0 [1/0] a través de 209.165.200.226
O 10.0.1.0/24 [110/65] a 10.0.3.1, 00:31:38, Serial0/1/0
O 10.0.2.0/24 [110/65] a 10.0.3.1, 00:31:38, Serial0/1/0

C 209.165.200.224/30está directamente conectado, Serial0/1/1
L 209.165.200.225/32 está conectado directamente, Serie0 / 1/1
R2#
Principios de la tabla de
enrutamiento
Existen tres principios de tabla de enrutamiento como se describe en la

tabla. Estos son problemas que se abordan mediante la configuración
adecuada de protocolos de enrutamiento dinámico o rutas estáticas en
todos los enrutadores entre los dispositivos de origen y destino.
Principios de la tabla de
Ejemplo
enrutamiento
● R1 sólo puede reenviar paquetes

utilizando su propia tabla de
Cada router toma su enrutamiento.
decisión por sí solo, ● R1 no sabe qué rutas están en las
basándose en la información tablas de enrutamiento de otros (por
que tiene en su propia ejemplo, R2).
tabla de enrutamiento.
La información de una tablaSolo porque R1 tiene ruta en su tabla de

de enrutamiento de un enrutamiento a una red en el internet a
enrutador no necesariamente
coincide con la tabla de través de R2, eso no significa que R2 sepa
enrutamiento de otro sobre eso mismo red.
enrutador.
R1 recibe un paquete con la dirección IP de

destino de PC1 y la la dirección IP de origen
La información de
de PC3. Solo porque R1 sabe reenviar el
enrutamiento sobre una ruta
paquete fuera de su interfaz G0/0/0, no
no proporciona enrutamiento
significa necesariamente que sepa cómo
de retorno al secundario.
reenviar paquetes procedentes de PC1 a la red
remota de PC3.
14.4.3
Entradas de la tabla de routing
Como administrador de redes, es imprescindible saber cómo interpretar el

contenido de las tablas de routing IPv4 e IPv6. En la ilustración, se
muestra una entrada de la tabla de routing IPv4 en el R1 para la ruta a
la red remota 10.0.4.0/24 y 2001:db8:acad:4::/64. Ambas rutas ruta se
descubrieron de forma dinámica de otro router a través del protocolo de
routing OSPF.
La figura muestra cómo leer una entrada de enrutamiento IPv4 y cómo leer
una entrada de enrutamiento IPv6. La entrada de la tabla de enrutamiento
para IPv4 comienza con el origen de enrutamiento 0, a continuación, la
red de destino (longitud de prefijo y prefijo) 10.0.4.0/24 junto a la
distancia administrativa de 110 y la métrica de 50 junto al salto
siguiente mediante 10.0.3.2 y la marca de tiempo de ruta de 00:13; 29
termina con una interfaz de salida de serie 0/1/1. Juntar la entrada es:
0 10.0.0.0/24 110/50 via 10.0.3.2 00:13:29 Serie 0/1/1. La entrada ipv6
comienza igual con el origen de enrutamiento 0, luego la red de destino
de 2001:DB8:ACAD:4: :/64 la distancia administrativa de 110 y la métrica
de 50 al lado del salto siguiente a través de FE80: :2:C no hay marca de
tiempo de ruta y termina con la interfaz de salida de serie 0/1/1
En la figura, los números identifican la siguiente información:
1. Origen de la ruta identifica el modo en que se aprendió la ruta

2. Destino red (Prefijo de red y longitud) identifica la dirección de la red remota.
3. Distancia administrativa identifica la confiabilidad del origen de la ruta. Los
valores más bajos indican el origen de ruta preferido.
4. Métrica identifica el valor asignado para llegar a la red remota. Los valores más
bajos indican las rutas preferidas.
5. Siguiente salto identifica la dirección IP del router siguiente para reenviar el
paquete.
6. Marca de hora de la ruta identifica el tiempo que pasó desde que se descubrió la
ruta.
7. Interfaz de salida identifica la interfaz de salida a utilizar para los paquetes
salientes para llegar a su destino final.
Nota: La longitud del prefijo de la red de destino especifica el número mínimo de bits de
extrema izquierda que deben coincidir entre la dirección IP del paquete y la red de destino
(prefijo) para que se utilice esta ruta.
Redes conectadas directamente
Para que un router pueda aprender acerca de las redes remotas, debe tener al menos una
interfaz activa configurada con una dirección IP y una máscara de subred (longitud de
prefijo). Esto se conoce como una red conectada directamente o una ruta conectada
directamente. Los routers agregan una ruta conectada directamente cuando una interfaz se
configura con una dirección IP y se activa.
Una red conectada directamente se indica mediante un código de estado de C en la tabla de
enrutamiento. La ruta contiene un prefijo de red y una longitud de prefijo.
La tabla de enrutamiento también contiene una ruta local para cada una de sus redes
conectadas directamente, indicada por el código de estado de L. Esta es la dirección IP que
se asigna a la interfaz en esa red conectada directamente. Para las rutas locales IPv4, la
longitud del prefijo es /32 y para las rutas locales IPv6 la longitud del prefijo es /128. Esto
significa que la dirección IP de destino del paquete debe coincidir con todos los bits de la
ruta local para que esta ruta sea una coincidencia. El propósito de la ruta local es permitir
que el router determine de forma eficaz si recibe un paquete para la interfaz o para reenviar.
Las redes conectadas directamente y las rutas locales se muestran en el siguiente resultado.
R1# show ip route
(Output omitted)
R1#
R1# show ipv6 route
(Output omitted)
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
R1#
Rutas estáticas
Después de configurar las interfaces conectadas directamente y de agregarlas a la tabla de

routing, se puede implementar el routing estático o dinámico.
Las rutas estáticas se configuran de forma manual. Estas definen una ruta explícita entre
dos dispositivos de red. A diferencia de los protocolos de routing dinámico, las rutas
estáticas no se actualizan automáticamente y se deben reconfigurar de forma manual si se
modifica la topología de la red. Los beneficios de utilizar rutas estáticas incluyen la mejora
de la seguridad y la eficacia de los recursos. Las rutas estáticas consumen menos ancho de
banda que los protocolos de routing dinámico, y no se usa ningún ciclo de CPU para
calcular y comunicar las rutas. La principal desventaja de usar rutas estáticas es que no se
vuelven a configurar de manera automática si se modifica la topología de la red.
El routing estático tiene tres usos principales:
● Facilita el mantenimiento de la tabla de routing en redes más pequeñas en las cuales

no está previsto que crezcan significativamente.
● Utiliza una única ruta predeterminada para representar una ruta hacia cualquier red
que no tenga una coincidencia más específica con otra ruta en la tabla de routing.
Las rutas predeterminadas se utilizan para enviar tráfico a cualquier destino que esté
más allá del próximo router ascendente.
● Enruta trafico de y hacia redes internas. Una red de rutas internas es aquella a la cual
se accede a través un de una única ruta y cuyo router tiene solo un vecino.
La figura muestra un ejemplo de red superpuesta. En dicha ilustración, observe que

cualquier red conectada al R1 solo tiene una manera de alcanzar otros destinos, ya sean
redes conectadas al R2 o destinos más allá del R2. Esto significa que las redes 10.0.1.0/24 y
10.0.2.0/24 son redes stub y R1 es un router stub.
En este ejemplo, se puede configurar una ruta estática en R2 para llegar a las redes R1.
Además, como el R1 tiene solo una forma de enviar tráfico no local, se puede configurar una
ruta estática predeterminada en el R1 para señalar al R2 como el siguiente salto para todas
las otras redes.
Rutas estáticas en la tabla de

enrutamiento IP
Para demostrar el enrutamiento estático, la topología de la figura se simplifica para mostrar

sólo una LAN conectada a cada enrutador. La figura muestra las rutas estáticas IPv4 e IPv6
configuradas en R1 para alcanzar las redes 10.0.4.0/24 y 2001:db8:acad:4: :/64 en R2. Los
comandos de configuración son sólo para demostración y se describen en otro módulo.
La salida muestra las entradas de enrutamiento estático IPv4 e IPv6 en R1 que pueden
alcanzar las redes 10.0.4.0/24 y 2001:db8:acad:4: :/64 en R2. Observe que ambas entradas de
enrutamiento utilizan el código de estado de S indicar que la ruta fue aprendida por una ruta
estática. Ambas entradas también incluyen la dirección IP del router siguiente salto, a través
de ip-address. El static parámetro al final del comando muestra sólo rutas estáticas.
R1# show ip route static
(output omitted)
S 10.0.4.0/24 [1/0] via 10.0.3.2
R1# show ipv6 route static
(output omitted)
S 2001:DB8:ACAD:4::/64 [1/0]
via 2001:DB8:ACAD:3::2
14.4.7
Protocolos de routing dinámico
Los routers usan protocolos de enrutamiento dinámico para compartir información sobre el
estado y la posibilidad de conexión de redes remotas. Los protocolos de routing dinámico
realizan diversas actividades, como la detección de redes y el mantenimiento de las tablas
de routing.
Las ventajas importantes de los protocolos de enrutamiento dinámico son la capacidad de
seleccionar una mejor ruta y la capacidad de descubrir automáticamente una nueva mejor
ruta cuando se produce un cambio en la topología.
El descubrimiento de redes es la capacidad de un protocolo de enrutamiento de compartir

información sobre las redes que conoce con otros routers que también están usando el
mismo protocolo de enrutamiento. En lugar de depender de las rutas estáticas configuradas
manualmente hacia redes remotas en cada router, los protocolos de routing dinámico
permiten que los routers descubran estas redes de forma automática a través de otros
routers. Estas redes y la mejor ruta hacia cada una se agregan a la tabla de routing del
router y se identifican como redes descubiertas por un protocolo de routing dinámico
específico.
La figura muestra los routers R1 y R2 que utilizan un protocolo de enrutamiento común para
compartir información de red.
Rutas dinámicas en la tabla de

enrutamiento IP
En un ejemplo anterior se usaban rutas estáticas a las redes 10.0.4.0/24 y

2001:db8:acad:4: :/64. Estas rutas estáticas ya no están configuradas y ahora OSPF se
utiliza para aprender dinámicamente todas las redes conectadas a R1 y R2. Los siguientes
ejemplos muestran las entradas de enrutamiento OSPF IPv4 e IPv6 en R1 que pueden llegar
a estas redes en R2. Observe que ambas entradas de enrutamiento utilizan el código de
estado de O para indicar que la ruta fue aprendida por el protocolo de enrutamiento OSPF.
Ambas entradas también incluyen la dirección IP del router de salto siguiente, a través de ip-
address.
Nota: Los protocolos de enrutamiento IPv6 utilizan la dirección de vínculo local del router de
siguiente salto.
Nota: La configuración de enrutamiento OSPF para IPv4 e IPv6 está fuera del alcance de este
curso.
R1# show ip route
(output omitted for brevity)
O 10.0.4.0/24 [110/50] via 10.0.3.2, 00:24:22, Serial0/1/1
O 10.0.5.0/24 [110/50] via 10.0.3.2, 00:24:15, Serial0/1/1
R1# show ipv6 route
(Output omitted)
NDr - Redirect, RL - RPL, O - OSPF Intra, OI - OSPF Inter
O 2001:DB8:ACAD:4::/64 [110/50]
via FE80::2:C, Serial0/1/1
O 2001:DB8:ACAD:5::/64 [110/50]
Ruta predeterminada
Las rutas predeterminadas son similares a un gateway predeterminado en un

host. La ruta predeterminada especifica un enrutador de salto siguiente
que se utilizará cuando la tabla de enrutamiento no contiene una ruta
específica que coincida con la dirección IP de destino.
Una ruta predeterminada puede ser una ruta estática o aprenderse

automáticamente de un protocolo de enrutamiento dinámico. Una ruta
predeterminada tiene una entrada de ruta IPv4 de 0.0.0.0/0 o una entrada
de ruta IPv6 de: :/0. Esto significa que cero o ningún bit deben
coincidir entre la dirección IP de destino y la ruta predeterminada.
La mayoría de los routers empresariales tienen una ruta predeterminada en

su tabla de enrutamiento. Esto es para reducir el número de rutas en una
tabla de enrutamiento.
Un router, como un router doméstico o de oficina pequeña que solo tiene

una LAN, puede llegar a todas sus redes remotas a través de una ruta
predeterminada. Esto es útil cuando el router solo tiene redes conectadas
directamente y un punto de salida a un enrutador proveedor de servicios.
En la figura, los routers R1 y R2 utilizan OSPF para compartir

información de enrutamiento sobre sus propias redes (10.0.x.x/24 y
2001:db8:acad:x: :/64 redes). R2 tiene una ruta estática predeterminada
al router ISP. R2 reenviará al router ISP cualquier paquete con una
dirección IP de destino que no coincida específicamente con una de las
redes de su tabla de enrutamiento. Esto incluiría todos los paquetes
destinados a Internet.
La figura representa un diagrama de 3 routers R1, R2 y R3 conectados a 4

switches S1, S2, S3 y S4. R1 se conecta a los switches S1 y S2 mediante
dos conexiones gigabit G/0/0 y G0/0/1. PC1 está conectado al switch 1
(S1) en la red 10.0.1.0/24 y 2001:db8:acad:1: :/64 con una dirección IP
de pila dual de .10 y: :10. PC2 está conectado al switch2 (S2) en la red
10.0.2.0/24 y 2001:db8:acad:2: :/64 con una dirección IP de pila dual
de .10 y: :10. R1 tiene una red punto a punto para R2 y las redes ISP. La
conexión serie a R2 es S0/1/01 y S0/1/0. La conexión ISP es S0/1/1. La
red R1 a R2 es la red 10.0.3.0/22 y 2001:db8:acad:3: :/64. La red R2 es
209.165.200.224/30 y 2001:db8:feed:224: :/64 para el ISP. R2 tiene dos
conexiones gigabit a los switches 3 (S3) y al swich (S4) G0/0/0 y
G/0/0/1. S3 es la red 10.0.4.0/24 y 2001:db8:acad:4: :/64 conectada a la
interfaz R2 G0/0/0. S4 es la red 10.0.5.0/24 y 2001:db8:acad:5: :/64
conectada a la interfaz R2 G0/0/1. PC3 se conecta a S3 con una dirección
de.10 y: :10. PC4 se conecta a S4 con una dirección de.10 y: :10. Las
direcciones de puerta de enlace R1 y R2 terminan con .1 y: :1. La
interfaz serie entre R1 y R2 tiene direcciones de R1 .1 ans: :1 y R2 .2
y: :2. La conexión R2 a ISP es .225 y .1 a ISP .226 y: :2. El diagrama
muestra que R2 tiene una ruta estática predeterminada al router ISP. R2 a
R1 anuncia la ruta predeterminada mediante el protocolo de enrutamiento
dinámico OSPF. Hay una flecha que muestra la ruta al ISP.
eR2 ha compartido su ruta predeterminada con R1 usando OSPF. R1 ahora tendrá una ruta
predeterminada en su tabla de enrutamiento que aprendió dinámicamente de OSPF. R1
también reenviará a R2 cualquier paquete con una dirección IP de destino que no coincida
específicamente con una de las redes de su tabla de enrutamiento.
Los ejemplos siguientes muestran las entradas de la tabla de enrutamiento IPv4 e IPv6 para
las rutas estáticas predeterminadas configuradas en R2.
R2# show ip route

(Output omitted)
S* 0.0.0.0/0 [1/0] via 209.165.200.226
R2#
R2# show ipv6 route
(Output omitted)
S ::/0 [1/0]
via 2001:DB8:FEED:224::2
R2#
14.4.10
Estructura de una tabla de enrutamiento

IPv4
IPv4 se estandarizó a principios de la década de 1980 utilizando la arquitectura de

direccionamiento de clase ahora obsoleta. La tabla de enrutamiento IPv4 se organiza
utilizando esta misma estructura de clase. En la show ip route salida, observe que algunas
entradas de ruta se dejan justificadas mientras que otras están sangradas. Esto se basa en
la forma en que el proceso de enrutamiento busca en la tabla de enrutamiento IPv4 la
coincidencia más larga. Todo esto fue debido a un discurso de clase. Aunque el proceso de
búsqueda ya no utiliza clases, la estructura de la tabla de enrutamiento IPv4 sigue
conservándose en este formato.
Router# show ip route

(Output omitted)
C 192.168.1.0/24 is directly connected, GigabitEthernet0/0
L 192.168.1.1/32 is directly connected, GigabitEthernet0/0
O 192.168.2.0/24 [110/65] via 192.168.12.2, 00:32:33, Serial0/0/0
O 192.168.3.0/24 [110/65] via 192.168.13.2, 00:31:48, Serial0/0/1
192.168.23.0/30 is subnetted, 1 subnets
O 192.168.23.0/30 [110/128] via 192.168.12.2, 00:31:38, Serial0/0/0

Router#
Nota: La tabla de enrutamiento IPv4 del ejemplo no procede de ningún router de la topología
utilizada en este módulo.
Aunque los detalles de la estructura están fuera del alcance de este módulo, es útil
reconocer la estructura de la tabla. Una entrada sangría se conoce como ruta secundaria.
Una entrada de ruta se sangra si es la subred de una dirección con clase (red de clase A, B o
C). Las redes conectadas directamente siempre tendrán sangría (rutas secundarias) porque
la dirección local de la interfaz siempre se introduce en la tabla de enrutamiento como /32.
La ruta secundaria incluirá el origen de la ruta y toda la información de reenvío, como la
dirección de salto siguiente. La dirección de red con clase de esta subred se mostrará
encima de la entrada de ruta, con menos sangría y sin código fuente. Esto se conoce como
“ruta principal”.
Nota: Esto es solo una breve introducción a la estructura de una tabla de enrutamiento IPv4
y no cubre detalles ni detalles específicos de esta arquitectura.
El siguiente ejemplo muestra la tabla de enrutamiento IPv4 de R1 en la topología. Observe

que todas las redes de la topología son subredes, que son rutas secundarias, de la red de
clase A y de la ruta principal10.0.0.0/8.
R1# show ip route
O*E2 0.0.0.0/0 [110/1] via 10.0.3.2, 00:51:34, Serial0/1/1

O 10.0.4.0/24 [110/50] via 10.0.3.2, 00:24:22, Serial0/1/1
O 10.0.5.0/24 [110/50] via 10.0.3.2, 00:24:15, Serial0/1/1
R1#
14.4.11
Estructura de una tabla de enrutamiento

IPv6
El concepto de direccionamiento con clase nunca formaba parte de IPv6, por lo que la
estructura de una tabla de enrutamiento con IPv6 es muy simple. Cada entrada de ruta IPv6
está formateada y alineada de la misma manera.
R1# show ipv6 route
OE2 ::/0 [110/1], tag 2
C 2001:DB8:ACAD:1::/64 [0/0]

L 2001:DB8:ACAD:1::1/128 [0/0]
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]
L 2001:DB8:ACAD:3::1/128 [0/0]
O 2001:DB8:ACAD:4::/64 [110/50]
O 2001:DB8:ACAD:5::/64 [110/50]

L FF00::/8 [0/0]
via Null0, receive
R1#
14.4.12
Distancia administrativa
Una entrada de ruta para una dirección de red específica (longitud de prefijo y prefijo) sólo
puede aparecer una vez en la tabla de enrutamiento. Sin embargo, es posible que la tabla de
enrutamiento aprenda acerca de la misma dirección de red desde más de un origen de
enrutamiento.
Excepto por circunstancias muy específicas, sólo se debe implementar un protocolo de

enrutamiento dinámico en un router. Sin embargo, es posible configurar tanto OSPF como
EIGRP en un router, y ambos protocolos de routing pueden descubrir la misma red de
destino. Sin embargo, cada protocolo de routing puede decidir tomar una ruta diferente para
llegar al destino según las métricas de ese protocolo de routing.
Esto plantea algunas preguntas, como las siguientes:
● ¿Cómo sabe el router qué fuente usar?

● ¿Qué ruta instalará el router en la tabla de routing? ¿La ruta aprendida de OSPF o la
ruta aprendida de EIGRP?
El IOS de Cisco utiliza lo que se conoce como “distancia administrativa” (AD) para
determinar la ruta que se debe instalar en la tabla de routing de IP. La AD representa la
"confiabilidad" de la ruta. Cuanto menor es la AD, mayor es la confiabilidad de la ruta. Dado
que EIGRP tiene un AD de 90 y OSPF tiene un AD de 110, la entrada de ruta EIGRP se
instalaría en la tabla de enrutamiento.
Nota: AD no representa necesariamente qué protocolo de enrutamiento dinámico es el mejor

.
Un ejemplo más común es un router que aprende la misma dirección de red de una ruta
estática y un protocolo de enrutamiento dinámico, como OSPF. Por ejemplo, la AD de una
ruta estática es 1, mientras que la AD de una ruta descubierta por OSPF es 110. El router
elige la ruta con la AD más baja entre dos rutas diferentes al mismo destino. Cuando un
router puede elegir entre una ruta estática y una ruta de OSPF, la ruta estática tiene
prioridad.
Nota: Las redes conectadas directamente tienen el AD más bajo de 0. Sólo una red
conectada directamente puede tener un AD de 0.
En la ilustración, se muestran diferentes protocolos de routing y sus AD asociadas.
Distancia
Origen de la ruta
administrativa
Conectado directamente 0
Ruta estática 1
Ruta resumida del protocolo

5
EIGRP
BGP externo 20
EIGRP interno 90
OSPF 110
IS-IS 115
RIP 120
EIGRP externo 170
BGP interno 200
Enrutamiento estático y dinámico

¿Estático o dinámico?
En el tema anterior se discutieron las formas en que un router crea su tabla de enrutamiento.
Por lo tanto, ahora sabe que el enrutamiento, como el direccionamiento IP, puede ser
estático o dinámico. ¿Debería usar enrutamiento estático o dinámico? ¡La respuesta es
ambas cosas! El routing estático y el routing dinámico no son mutuamente excluyentes. En
cambio, la mayoría de las redes utilizan una combinación de protocolos de routing dinámico
y rutas estáticas.
Rutas Estáticas
Las rutas estáticas se utilizan comúnmente en los siguientes escenarios:
● Como ruta predeterminada de reenvío de paquetes a un proveedor de servicios

● Para rutas fuera del dominio de enrutamiento y no aprendidas por el protocolo de
enrutamiento dinámico
● Cuando el administrador de red desea definir explícitamente la ruta de acceso para
una red específica
● Para el enrutamiento entre redes de código auxiliar
Las rutas estáticas son útiles para redes más pequeñas con solo una ruta hacia una red
externa. También proporcionan seguridad en una red más grande para ciertos tipos de
tráfico o enlaces a otras redes que necesitan más control.
Protocolos de enrutamiento dinámico
Los protocolos de enrutamiento dinámico ayudan al administrador de red a administrar el

proceso riguroso y lento de configuración y mantenimiento de rutas estáticas. Los
protocolos de enrutamiento dinámico se implementan en cualquier tipo de red que consta de
más de unos pocos enrutadores. Los protocolos de enrutamiento dinámico son escalables y
determinan automáticamente las mejores rutas si se produce un cambio en la topología.
Los protocolos de enrutamiento dinámico se utilizan comúnmente en los siguientes

escenarios:
● En redes que consisten en más de unos pocos routers

● Cuando un cambio en la topología de red requiere que la red determine
automáticamente otra ruta
● Escalabilidad A medida que la red crece, el protocolo de enrutamiento dinámico
aprende automáticamente sobre cualquier red nueva.
La tabla muestra una comparación de algunas de las diferencias entre el enrutamiento

dinámico y estático.
Característica Routing dinámico Routing estático
Aumentos en el
Complejidad de la configuraciónIndependiente del tamaño de la red
tamaño de la red
Se requiere
Se adapta automáticamente a los
Cambios de topología intervención del
cambios de topología
administrador
Escalabilidad Adecuado para topologías Adecuado para

complejas topologías simples
La seguridad es
Seguridad La seguridad debe estar configurada
inherente
Usa CPU, memoria, ancho de bandaNo se necesitan

Uso de recursos
de enlaces recursos adicionales
Definido
La ruta depende de la topología y el
Predictibilidad de Ruta explícitamente por el
protocolo de enrutamiento utilizados
administrador
14.5.2
Evolución del protocolo de routing

dinámico
Los protocolos de enrutamiento dinámico se utilizan en el ámbito de las redes desde finales
de la década de los ochenta. Uno de los primeros protocolos de enrutamiento fue RIP. RIPv1
se lanzó en 1988, pero ya en 1969 se utilizaban algunos de los algoritmos básicos en dicho
protocolo en la Advanced Research Projects Agency Network (ARPANET).
A medida que las redes evolucionaron y se volvieron más complejas, surgieron nuevos
protocolos de enrutamiento. El protocolo RIP se actualizó a RIPv2 para hacer lugar al
crecimiento en el entorno de red. Sin embargo, RIPv2 aún no se escala a las
implementaciones de red de mayor tamaño de la actualidad. Con el objetivo de satisfacer las
necesidades de las redes más grandes, se desarrollaron dos protocolos de enrutamiento: el
protocolo OSPF (abrir primero la ruta más corta) y sistema intermedio a sistema intermedio
(IS-IS). Cisco desarrolló el protocolo de enrutamiento de gateway interior (IGRP) e IGRP
mejorado (EIGRP), que también tiene buena escalabilidad en implementaciones de redes
más grandes.
Asimismo, surgió la necesidad de conectar distintos dominios de enrutamiento de diferentes
organizacions y proporcionar enrutamiento entre ellas. En la actualidad, se utiliza el
protocolo de gateway fronterizo (BGP) entre proveedores de servicios de Internet (ISP). El
protocolo BGP también se utiliza entre los ISP y sus clientes privados más grandes para
intercambiar información de enrutamiento.
En la figura se muestra la línea cronológica de la introducción de los diversos protocolos.
A fin de admitir la comunicación basada en IPv6, se desarrollaron versiones más nuevas de

los protocolos de routing IP, como se muestra en la fila de IPv6 en la Figura 2.
La tabla clasifica los protocolos de enrutamiento actuales. Los protocolos de puerta de

enlace interior (IGP) son protocolos de enrutamiento utilizados para intercambiar
información de enrutamiento dentro de un dominio de enrutamiento administrado por una
sola organización. Sólo hay un EGP y es BGP. BGP se utiliza para intercambiar información
de enrutamiento entre diferentes organizaciones, conocidos como sistemas autónomos
(AS). Los ISP utilizan BGP para enrutar paquetes a través de Internet. Los protocolos de
enrutamiento vectorial de distancia, estado de vínculo y vector de ruta se refieren al tipo de
algoritmo de enrutamiento utilizado para determinar la mejor ruta.
Protocolos de gateway
Protocolos de gateway interior
exterior
Vector distancia Estado de enlace Vector ruta

Sistema intermedio a sistema
IPv4 RIPv2 EIGRP OSPFv2 BGP-4
intermedio (IS-IS)
EIGRP para
IPv6 RIPng OSPFv3 IS-IS para IPv6 BGP-MP
IPv6
14.5.3
Conceptos de Protocolos de routing

dinámico
Un protocolo de routing es un conjunto de procesos, algoritmos y mensajes que se usan

para intercambiar información de routing y completar la tabla de routing con la elección de
los mejores caminos que realiza el protocolo. El objetivo de los protocolos de routing
dinámico incluye lo siguiente:
● Detectar redes remotas

● Mantener la información de routing actualizada
● Elección de la mejor ruta hacia las redes de destino
● Poder encontrar un mejor camino nuevo si la ruta actual deja de estar disponible
Los componentes principales de los protocolos de routing dinámico incluyen los siguientes:
● Estructuras de datos - por lo general, los protocolos de routing utilizan tablas o

bases de datos para sus operaciones. Esta información se guarda en la RAM.
● Mensajes del protocolo de routing - los protocolos de routing usan varios tipos de
mensajes para descubrir routers vecinos, intercambiar información de routing y
realizar otras tareas para descubrir la red y conservar información precisa acerca de
ella.
● Algoritmo - un algoritmo es una lista finita de pasos que se usan para llevar a cabo
una tarea. Los protocolos de routing usan algoritmos para facilitar información de
routing y para determinar el mejor camino.
Estos protocolos permiten a los routers compartir información en forma dinámica sobre
redes remotas y ofrecer esta información automáticamente en sus propias tablas de routing.
Haga clic en Reproducir para ver una animación sobre este proceso.
Los protocolos de routing determinan la mejor ruta hacia cada red y, a continuación, esa
ruta se ofrece a la tabla de routing. La ruta se instalará en la tabla de routing si no hay otro
origen de routing con una distancia administrativa menor. Uno de los beneficios principales
de los protocolos de routing dinámico es que los routers intercambian información de
routing cuando se produce un cambio en la topología. Este intercambio permite a los routers
obtener automáticamente información sobre nuevas redes y también encontrar rutas
alternativas cuando se produce una falla de enlace en la red actual.
El mejor camino
Antes de ofrecer una ruta a una red remota a la tabla de enrutamiento, el protocolo de
enrutamiento dinámico debe determinar la mejor ruta a esa red. La determinación de la
mejor ruta implica la evaluación de varias rutas hacia la misma red de destino y la selección
de la ruta óptima o la más corta para llegar a esa red. Cuando existen varias rutas hacia la
misma red, cada ruta utiliza una interfaz de salida diferente en el router para llegar a esa red.
El mejor camino es elegido por un protocolo de enrutamiento en función del valor o la

métrica que usa para determinar la distancia para llegar a esa red. Una métrica es un valor
cuantitativo que se utiliza para medir la distancia que existe hasta una red determinada. El
mejor camino a una red es la ruta con la métrica más baja.
Los protocolos de enrutamiento dinámico generalmente usan sus propias reglas y métricas
para construir y actualizar las tablas de enrutamiento. El algoritmo de enrutamiento genera
un valor, o una métrica, para cada ruta a través de la red. Las métricas se pueden calcular
sobre la base de una sola característica o de varias características de una ruta. Algunos
protocolos de enrutamiento pueden basar la elección de la ruta en varias métricas,
combinándolas en un único valor métrico.
En la siguiente tabla se enumeran los protocolos dinámicos comunes y sus métricas.
Protocolo de enrutamiento Métrica
● La métrica es «recuento de saltos».

Protocolo de información de ● Cada router a lo largo de una ruta agrega un salto
enrutamiento (RIP, Routing al recuento de saltos.
Information Protocol) ● Se permite un máximo de 15 saltos.
● La métrica es «costo», que es la basada en la

Basado en el ancho de banda acumulado de origen
Abrir primero la ruta más corta a destino
(OSPF) ● A los enlaces más rápidos se les asignan costos
más bajos en comparación con los más lentos
(mayor costo).
● Calcula una métrica basada en el ancho de banda

Protocolo de routing de gateway más lento y el retardo anormales.
interno mejorado (EIGRP) ● También podría incluir carga y fiabilidad en la
métrica cálculo.
En la animación de la ilustración, se destaca cómo la ruta puede ser diferente según la

métrica que se utiliza. Si falla la mejor ruta, el protocolo de enrutamiento dinámico
seleccionará automáticamente una nueva mejor ruta si existe.
Balance de carga
¿Qué sucede si una tabla de routing tiene dos o más rutas con métricas idénticas hacia la
misma red de destino?
Cuando un router tiene dos o más rutas hacia un destino con métrica del mismo costo, el
router reenvía los paquetes usando ambas rutas por igual. Esto se denomina “balanceo de
carga de mismo costo”. La tabla de routing contiene la única red de destino pero tiene varias
interfaces de salida, una para cada ruta de mismo costo. El router reenvía los paquetes
utilizando las distintas interfaces de salida que se indican en la tabla de routing.
Si está configurado correctamente, el balanceo de carga puede aumentar la efectividad y el

rendimiento de la red.
Equilibrio de carga de igual costo se implementa automáticamente mediante protocolos de

enrutamiento dinámico. Se habilita con rutas estáticas cuando hay varias rutas estáticas a la
misma red de destino utilizando diferentes enrutadores de siguiente salto.
Nota: Solo EIGRP admite el balanceo de carga con distinto costo.

En la animación de la ilustración, se proporciona un ejemplo de balanceo de carga de mismo
costo.
Determinar Ruta (path)
Las funciones principales de un router son determinar la mejor ruta para reenviar paquetes
basándose en la información de su tabla de enrutamiento, y reenviar paquetes hacia su
destino. La mejor ruta de la tabla de enrutamiento también se conoce como la coincidencia
más larga. La mejor coincidencia es la ruta de la tabla de routing que contiene la mayor
cantidad de bits del extremo izquierdo coincidentes con la dirección IPv4 de destino del
paquete. Las redes conectadas directamente son redes que están configuradas en las
interfaces activas de un router. Una red conectada directamente se agrega a la tabla de
enrutamiento cuando una interfaz se configura con una dirección IP y una máscara de
subred (longitud de prefijo) y está activa (arriba y arriba). Los routers aprenden acerca de las
redes remotas de dos maneras: las rutas estáticas se agregan a la tabla de enrutamiento
cuando una ruta se configura manualmente y con protocolos de enrutamiento dinámicos.
Mediante protocolos de enrutamiento dinámico como EIGRP y OSPF, las rutas se agregan a
la tabla de enrutamiento cuando los protocolos de enrutamiento aprenden dinámicamente
acerca de la red remota.
Después de que un router determina la ruta correcta, puede reenviar el paquete en una red
conectada directamente, puede reenviar el paquete a un enrutador de siguiente salto o
puede soltar el paquete. Una responsabilidad principal de la función de switching es la de
encapsular los paquetes en el tipo de marco de enlace de datos correcto para el enlace de
datos de salida. Los routers admiten tres mecanismos de reenvío de paquetes: conmutación
de procesos, conmutación rápida y CEF. Los siguientes pasos describen el proceso de
reenvío de paquetes:
1. El marco de enlace de datos con un paquete IP encapsulado llega a la interfaz de

entrada.
2. El router examina la dirección IP de destino en el encabezado del paquete y consulta
su tabla de enrutamiento IP.
3. El router encuentra el prefijo coincidente más largo en la tabla de enrutamiento.
4. El router encapsula el paquete en un marco de enlace de datos y lo reenvía por la
interfaz de salida. El destino podría ser un dispositivo conectado a la red o un router
de siguiente salto.
5. Sin embargo, si no hay ninguna entrada de ruta coincidente, el paquete se elimina.
Revisión de configuración básica del router
Hay varios comandos de configuración y verificación para enrutadores, incluyendo show ip

route, show ip interface, show ip interface brief y show running-config. Para reducir la
cantidad de salida de comandos, utilice un filtro. Los comandos de filtrado se pueden utilizar
para mostrar secciones específicas de los resultados. Para habilitar el comando de filtrado,
ingrese una barra vertical partida (|) después del showcomando y luego ingrese un
parámetro de filtrado y una expresión de filtrado. Los parámetros de filtrado que se pueden
configurar después de la barra vertical incluyen lo siguiente:
● section - muestra la sección completa que comienza con la expresión de filtrado.

● include -incluye todas las líneas de resultados que coinciden con la expresión de
filtrado.
● exclude - excluye todas las líneas de resultados que coinciden con la expresión de
filtrado.
● begin - muestra todas las líneas de resultados desde determinado punto,
comenzando por la línea que coincide con la expresión de filtrado.
Tabla de enrutamiento IP
Una tabla de enrutamiento contiene una lista de rutas redes conocidas (prefijos y longitudes
de prefijo). El origen de esta información se deriva de redes conectadas directamente, rutas
estáticas y protocolos de enrutamiento dinámico. Los códigos de tabla de enrutamiento
comunes incluyen:
● L - identifica la dirección asignada a la interfaz de un router. Esto permite que el

router determine de forma eficaz si recibe un paquete para la interfaz o para reenviar.
● C - identifica una red conectada directamente.
● S - identifica una ruta estática creada para llegar a una red específica.
● O - indica una red que se descubre de forma dinámica de otro router con el protocolo
de routing OSPF.
● * - la ruta es candidata para una ruta predeterminada.
Cada router toma su decisión por sí solo, basándose en la información que tiene en su
propia tabla de enrutamiento. La información de una tabla de enrutamiento de un router no
coincide necesariamente con la tabla de enrutamiento de otro router. La información de
enrutamiento sobre una ruta no proporciona información de enrutamiento de retorno. Las
entradas de la tabla de enrutamiento incluyen el origen de ruta, la red de destino, AD, la
métrica, el salto siguiente, la marca de tiempo de ruta y la interfaz de salida. Para obtener
información acerca de las redes remotas, un router debe tener al menos una interfaz activa
configurada con una dirección IP y una máscara de subred (longitud de prefijo), denominada
red conectada directamente. Las rutas estáticas se configuran manualmente y definen una
ruta explícita entre dos dispositivos de red. Los protocolos de enrutamiento dinámico
pueden detectar una red, mantener tablas de enrutamiento, seleccionar una mejor ruta y
descubrir automáticamente una nueva mejor ruta si cambia la topología. Una ruta
predeterminada específica un router de salto siguiente que se utilizará cuando la tabla de
enrutamiento no contiene una ruta específica que coincida con la dirección IP de destino.
Una ruta predeterminada puede ser una ruta estática o aprenderse automáticamente de un
protocolo de enrutamiento dinámico. Una ruta predeterminada tiene una entrada de ruta IPv4
de 0.0.0.0/0 o una entrada de ruta IPv6 de: :/0. Las tablas de enrutamiento IPv4 todavía tienen
una estructura basada en direcciones de clase representadas por niveles de sangría. Las
tablas de enrutamiento IPv6 no utilizan la estructura de la tabla de enrutamiento IPv4. El IOS
de Cisco utiliza lo que se conoce como “distancia administrativa” (AD) para determinar la
ruta que se debe instalar en la tabla de routing de IP. La AD representa la "confiabilidad" de
la ruta. Cuanto menor es la AD, mayor es la confiabilidad de la ruta.
Enrutamiento estático y dinámico
Las rutas estáticas se utilizan comúnmente:
● Como ruta predeterminada de reenvío de paquetes a un proveedor de servicios.

● Para rutas fuera del dominio de enrutamiento y no aprendidas por el protocolo de
enrutamiento dinámico.
● Cuando el administrador de red desea definir explícitamente la ruta de acceso para
una red específica.
● Para el enrutamiento entre redes de código auxiliar.
El protocolo de enrutamiento dinámico se utiliza comúnmente:
● En redes que consisten en más de unos pocos routers

● Cuando un cambio en la topología de red requiere que la red determine
automáticamente otra ruta
● Escalabilidad A medida que la red crece, el protocolo de enrutamiento dinámico
aprende automáticamente sobre cualquier red nueva.
Los protocolos de enrutamiento actuales incluyen IGP y EGP. Los IGP intercambian
información de enrutamiento dentro de un dominio de enrutamiento administrado por una
sola organización. El único EGP es BGP. BGP intercambia información de enrutamiento
entre diferentes organizaciones. Los ISP utilizan BGP para enrutar paquetes a través de
Internet. Los protocolos de enrutamiento vectorial de distancia, estado de vínculo y vector
de ruta se refieren al tipo de algoritmo de enrutamiento utilizado para determinar la mejor
ruta. Los principales componentes de los protocolos de enrutamiento dinámico son
estructuras de datos, mensajes de protocolo de enrutamiento y algoritmos. El mejor camino
es elegido por un protocolo de enrutamiento en función del valor o la métrica que usa para
determinar la distancia para llegar a esa red. Una métrica es un valor cuantitativo que se
utiliza para medir la distancia que existe hasta una red determinada. El mejor camino a una
red es la ruta con la métrica más baja. Cuando un router tiene dos o más rutas hacia un
destino con métrica del mismo costo, el router reenvía los paquetes usando ambas rutas por
igual. Esto se denomina “balanceo de carga de mismo costo”.
¡Bienvenido a IP Static Routing!

Hay tantas maneras diferentes de enrutar dinámicamente un paquete que podría
preguntarse, por qué alguien se tomaría el tiempo para configurar manualmente una ruta
estática. Es como lavar a mano toda su ropa cuando tiene una lavadora perfectamente
buena. Pero sabe que algunos artículos de ropa no pueden entrar en la lavadora. Algunos
artículos se benefician de ser lavados a mano. Hay una similitud con el networking. De tal
manera que hay muchas situaciones en las que una ruta estática configurada manualmente
es su mejor opción.
Hay diferentes tipos de rutas estáticas, y cada una es perfecta para resolver (o evitar) un tipo
específico de problema de red. Muchas redes utilizan enrutamiento dinámico y estático, por
lo que los administradores de red necesitan saber cómo configurar, verificar y solucionar
problemas de rutas estáticas. Está realizando este curso porque desea convertirse en
administrador de red o desea mejorar sus habilidades de administrador de red existentes.
¡Se alegrará de haber tomado este módulo, porque usará estas habilidades con frecuencia!
¡Y debido a que este módulo trata de configurar rutas estáticas, hay varias actividades de
Verificación de sintaxis, seguido por un Packet Tracer y un Lab donde puede perfeccionar
sus habilidades!
15.0.2
Título del módulo: Rutas IP estáticas
Objetivos del módulo: Configure las rutas estáticas IPv4 e IPv6.
Rutas estáticas Describe la sintaxis del comando para rutas estáticas.
Configuración de rutas estáticas

Configure las rutas estáticas IPv4 e IPv6.
IP
Configuración de rutas estáticas Configure las rutas estáticas predeterminadas IPv4 e

predeterminadas IP IPv6.
Configuración de rutas estáticas Configure una ruta estática flotante para proporcionar
flotantes una conexión de respaldo.
Configuración de rutas de host Configure rutas de hosts estáticas IPv4 e IPv6 que dirijan
estáticas el tráfico hacia un host específico.
Tipos de rutas estáticas
Las rutas estáticas se implementan comúnmente en una red. Esto es cierto incluso cuando
hay un protocolo de enrutamiento dinámico configurado. Por ejemplo, una organización
podría configurar una ruta estática predeterminada para el proveedor de servicios y anunciar
esta ruta a otros routers corporativos mediante el protocolo de enrutamiento dinámico.
Las rutas estáticas se pueden configurar para IPv4 e IPv6. Ambos protocolos admiten los
siguientes tipos de rutas estáticas:
● Ruta estática estándar

● Ruta estática predeterminada
● Ruta estática flotante
● Ruta estática resumida
Las rutas estáticas se configuran con el comando ip route y el de ipv6 route configuración
global.
15.1.2
Opciones de siguiente salto
El siguiente salto se puede identificar mediante una dirección IP, una interfaz de salida, o
ambas cuando se está configurando una ruta estática. El modo en que se especifica el
destino genera uno de los siguientes tres tipos de ruta:
● Ruta del siguiente salto - Solo se especifica la dirección IP del siguiente salto
● Ruta estática conectada directamente - Solo se especifica la interfaz de salida del
router
● Ruta estática totalmente especificada - Se especifican la dirección IP del siguiente
salto y la interfaz de salida
15.1.3
Comando de ruta estática IPv4
Las rutas estáticas IPv4 se configuran con el siguiente comando global:
Router(config)# ip route network-address subnet-mask { ip-address | exit-intf [ip-address]}

[distance]
Nota: Se deben configurar los parámetros ip-address, exit-intf, o ip-address y exit-intf .
La tabla describe los ip route parámetros para el comando.
Identifica la dirección de red IPv4 de destino de la red remota para

network-address
agregar a la tabla de enrutamiento.
● Identifica la máscara de subred de la red remota.

● La máscara de subred puede modificarse para resumir un
subnet-mask grupo de redes y crear una ruta estática resumida.
● Identifica la dirección IPv4 del router de siguiente salto.

● Normalmente se utiliza con redes de difusión (es decir,
Ethernet).
● Podría crear una ruta estática recursiva donde el router
ip-address realice una búsqueda adicional para encontrar la interfaz de
salida.
● Identifica la interfaz de salida para reenviar paquetes.

exit-intf
● Crea una ruta estática conectada directamente.
● Suele utilizarse para conectarse en una configuración punto
a punto.
Crea una ruta estática completamente especificada porque

exit-intf ip-address
especifica la interfaz de salida y la dirección IPv4 de salto siguiente.
● Comando opcional que se puede utilizar para asignar un

valor administrativo de distancia entre 1 y 255.
● Suele utilizarse para configurar una ruta estática flotante al
distance establecer una distancia administrativa mayor a la de una
ruta dinámica predeterminada.
15.1.4
Comando de ruta estática IPv6
Las rutas estáticas IPv6 se configuran con el siguiente comando global:
Router(config)# ipv6 route ipv6-prefix/prefix-length {ipv6-address | exit-intf [ipv6-address]}

[distance]
La mayoría de los parámetros son idénticos a la versión IPv4 del comando.
La tabla muestra los distintos parámetros de ipv6 route comando y sus descripciones.
Identifica la dirección de la red IPv6 de destino de la red remota

ipv6-prefix
para agregar a la tabla de enrutamiento.
/prefix-length Identifica la longitud del prefijo de la red remota.
● Identifica la dirección IPv6 del router de siguiente salto.

ipv6-address ● Normalmente se utiliza con redes de difusión (por ejemplo,
Ethernet)
● Podría crear una ruta estática recursiva donde el router
realice una búsqueda adicional para encontrar la interfaz de
salida.
● Identifica la interfaz de salida para reenviar paquetes.

● Crea una ruta estática conectada directamente.
● Suele utilizarse para conectarse en una configuración punto
exit-intf a punto.
Crea una ruta estática completamente especificada porque

exit-intf ipv6-address
especifica la salida y dirección IPv6 de salto siguiente.
● Comando opcional que se puede utilizar para asignar un

valor administrativo de distancia entre 1 y 255.
● Suele utilizarse para configurar una ruta estática flotante al
distance establecer una distancia administrativa mayor que una ruta
dinámica predeterminada.
Nota: El ipv6 unicast-routing comando de configuración global debe configurarse para que
habilite al router para que reenvíe paquetes IPv6.
Topología Dual-Stack
En la figura, se ve una topología de red dual-stack. Actualmente, no hay rutas estáticas

configuradas para IPv4 o IPv6.
Tabla de enrutamiento IPv4 del R1

R1#
R2#

R3#
R1 puede hacerle ping a LAN R3
Sin embargo, un ping del R1 a la LAN del R3 debe fallar porque R1 no tiene una entrada
en su tabla de routing para la red LAN del R3.
R1# ping 192.168.2.1
.....
Success rate is 0 percent (0/5)
R1# show ipv6 route | begin C

C 2001:DB8:ACAD:2::/64 [0/0]
a través de Serial0/1/0, conectado directamente
L 2001:DB8:ACAD:2::1/128 [0/0]
a través de Serial0/1/0, recibir
C 2001:DB8:ACAD:3: :/64 [0/0]
L 2001:DB8:ACAD:3: :1/128 [0/0]
L FF00::/8 [0/0]
via Null0, receive
R1#
C 2001:DB8:ACAD:1::/64 [0/0]

L 2001:DB8:ACAD:1::1/128 [0/0]
C 2001:DB8:ACAD:2::/64 [0/0]
a través de Serial0/1/0, conectado directamente
L 2001:DB8:ACAD:2::2/128 [0/0]
a través de Serial0/1/0, recibir
C 2001:DB8:CAFE:1: :/64 [0/0]
L 2001:DB8:CAFE:1: :2/128 [0/0]
L FF00::/8 [0/0]
via Null0, receive
R2#

C 2001:DB8:CAFE:1::/64 [0/0]
via Serial0/1/1, conectado directamente
L 2001:DB8:CAFE:1: :1/128 [0/0]
C 2001:DB8:CAFE:2: :/64 [0/0]
L 2001:DB8:CAFE:2: :1/128 [0/0]
L FF00::/8 [0/0]
via Null0, receive
R3#
R1 puede hacerle ping a R2
Ninguno de los routers tiene conocimiento de las redes que están fuera de las interfaces
conectadas directamente.
Un ping de R1 a la interfaz serial 0/1/0 en R2 debería tener éxito.
R1# ping 2001:db8:acad:2: :2

Sending 5, 100-byte ICMP Echos to 2001:DB8:ACAD:2::2, timeout is 2 seconds:
!!!!!
R1 no puede hacerle ping a LAN R3
Sin embargo, a ping a la LAN R3 no tiene éxito. Esto se debe a que el R1 no tiene una
entrada en su tabla de routing para esa red.
R1# ping 2001:DB8:Cafe:2: :1
Sending 5, 100-byte ICMP Echos to 2001:DB8:CAFE:2::1, timeout is 2 seconds:
% No valid route for destination
Ruta estática IPv4 de siguiente salto
Los comandos para configurar rutas estáticas estándar varían ligeramente entre IPv4 e IPv6.
En este tema se muestra cómo configurar rutas estáticas estándar de siguiente salto,
conectadas directamente y completas especificadas para IPv4 e IPv6.
En una ruta estática de siguiente salto, solo se especifica la dirección IP del siguiente salto.
La interfaz de salida se deriva del próximo salto. Por ejemplo, se configuran tres rutas
estáticas de siguiente salto en el R1 con la dirección IP del siguiente salto, el R2.
Los comandos para configurar R1 con las rutas estáticas IPv4 a las tres redes remotas son
los siguientes:
R1(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.2
R1(config)# ip route 192.168.1.0 255.255.255.0 172.16.2.2
R1(config)# ip route 192.168.2.0 255.255.255.0 172.16.2.2
La tabla de enrutamiento para R1 ahora tiene rutas a las tres redes IPv4 remotas.
S 172.16.1.0/24 [1/0] via 172.16.2.2

S 192.168.1.0/24 [1/0] via 172.16.2.2
S 192.168.2.0/24 [1/0] via 172.16.2.2
R1#
15.2.2
Ruta estática IPv6 de siguiente salto
Los comandos para configurar R1 con las rutas estáticas IPv6 a las tres redes remotas son
los siguientes:
R1(config)# ipv6 route 2001:db8:acad:1::/64 2001:db8:acad:2::2
R1(config)# ipv6 route 2001:db8:cafe:1::/64 2001:db8:acad:2::2
R1(config)# ipv6 route 2001:db8:cafe:2::/64 2001:db8:acad:2::2
La tabla de enrutamiento para R1 ahora tiene rutas a las tres redes IPv6 remotas.
R1# show ipv6 route
B - BGP, R - RIP, H - NHRP, I1 - ISIS L1
I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP
EX - EIGRP external, ND - ND Default, NDp - ND Prefix, DCE - Destination
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
ON2 - OSPF NSSA ext 2, la - LISP alt, lr - LISP site-registrations
ld - LISP dyn-eid, lA - LISP away, le - LISP extranet-policy
a - Application
S 2001:DB8:ACAD:1::/64 [1/0]
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]
L 2001:DB8:ACAD:3::1/128 [0/0]
S 2001:DB8:CAFE:1::/64 [1/0]
S 2001:DB8:CAFE:2::/64 [1/0]
L FF00::/8 [0/0]
via Null0, receive
15.2.3
Ruta Estática IPv4 Conectada
Directamente
Al configurar una ruta estática, otra opción es utilizar la interfaz de salida para especificar la
dirección del siguiente salto. La figura muestra de nuevo la topología.
Se configuran tres rutas estáticas conectadas directamente en el R1 mediante la interfaz de

salida.
R1(config)# ip route 172.16.1.0 255.255.255.0 s0/1/0
La tabla de routing para el R1 muestra que cuando un paquete está destinado a la red
192.168.2.0/24, el R1 busca una coincidencia en la tabla de routing y encuentra que puede
reenviar el paquete desde su interfaz serial 0/0/0.
Nota: Generalmente se recomienda utilizar una dirección de salto siguiente. Las rutas
estáticas conectadas directamente solo deben usarse con interfaces seriales punto a punto,
como en este ejemplo.
S 172.16.1.0/24 is directly connected, Serial0/1/0
15.2.4
Ruta Estática IPv6 Conectada

Directamente
En el ejemplo, se configuran tres rutas estáticas conectadas directamente en el R1 mediante
la interfaz de salida.
R1(config)# ipv6 route 2001:db8:acad:1::/64 s0/1/0
R1(config)# ipv6 route 2001:db8:cafe:1::/64 s0/1/0
R1(config)# ipv6 route 2001:db8:cafe:2::/64 s0/1/0
La tabla de routing IPv6 para el R1 en el ejemplo muestra que cuando un paquete está
destinado a la red 2001:db8:cafe:2::/64, el R1 busca una coincidencia en la tabla de routing y
encuentra que puede reenviar el paquete desde su interfaz serial 0/0/0.
Nota: Generalmente se recomienda utilizar una dirección de salto siguiente. Solo se deben
utilizar rutas estáticas conectadas directamente con interfaces seriales de punto a punto,
como se muestra en este ejemplo.
R1# show ipv6 route
a - Application
S 2001:DB8:ACAD:1::/64 [1/0]
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]
L 2001:DB8:ACAD:3::1/128 [0/0]
S 2001:DB8:CAFE:1::/64 [1/0]
S 2001:DB8:CAFE:2::/64 [1/0]
L FF00::/8 [0/0]
via Null0, receive
R1#
15.2.5
Ruta estática completamente especificada

IPv4
Una ruta estática completamente especificada tiene determinadas tanto la interfaz de salida
como la dirección IP del siguiente salto. Esta forma de ruta estática se utiliza cuando la
interfaz de salida es una interfaz de acceso múltiple y se debe identificar explícitamente el
siguiente salto. El siguiente salto debe estar conectado directamente a la interfaz de salida
especificada. El uso de una interfaz de salida es opcional, sin embargo, es necesario utilizar
una dirección de salto siguiente.
Suponga que el enlace de red entre el R1 y el R2 es un enlace Ethernet y que la interfaz

GigabitEthernet 0/0/1 del R1 está conectada a dicha red, como se muestra en la figura 1.
La diferencia entre una red Ethernet de accesos múltiples y una red serial punto a punto es
que esta última solo tiene un dispositivo más en esa red, el router que se encuentra en el
otro extremo del enlace. Con las redes Ethernet, es posible que existan muchos dispositivos
diferentes que comparten la misma red de accesos múltiples, incluyendo hosts y hasta
routers múltiples.
Cuando la interfaz de salida sea una red Ethernet, se recomienda utilizar una ruta estática
que incluya una dirección del siguiente salto. También puede usar una ruta estática
completamente especificada que incluye la interfaz de salida y la dirección de siguiente
salto.
R1(config)# ip route 172.16.1.0 255.255.255.0 GigabitEthernet 0/0/1 172.16.2.2
Al reenviar paquetes al R2, la interfaz de salida es GigabitEthernet 0/0/1 y la dirección IPv4

del siguiente salto es 172.16.2.2. como se muestra en el show ip route resultado de R1.

S 172.16.1.0/24 [1/0] via 172.16.2.2, GigabitEthernet0/0/1
15.2.6
Ruta estática completamente especificada

IPv6
En una ruta estática IPv6 completamente especificada, se especifican tanto la interfaz de

salida como la dirección IPv6 del siguiente salto. Hay una situación en IPv6 que se da
cuando se debe utilizar una ruta estática completamente especificada. Si la ruta estática IPv6
usa una dirección IPv6 link-local como la dirección del siguiente salto, debe utilizarse una
ruta estática completamente especificada. La figura muestra un ejemplo de una ruta estática
IPv6 completamente especificada que utiliza una dirección IPv6 link-local como la dirección
del siguiente salto.
R1(config)# ipv6 route 2001:db8:acad:1::/64 fe80::2
%Interface has to be specified for a link-local nexthop
R1(config)# ipv6 route 2001:db8:acad:1::/64 s0/1/0 fe80::2
En el ejemplo, se configura una ruta estática completamente especificada con la dirección

link-local del R2 como dirección del siguiente salto. Observe que el IOS requiere que se
especifique una interfaz de salida.
La razón por la cual se debe utilizar una ruta estática completamente especificada es que las
direcciones IPv6 link-local no están incluidas en la tabla de routing IPv6. Las direcciones
link-local solo son exclusivas en una red o un enlace dados. La dirección link-local del
siguiente salto puede ser una dirección válida en varias redes conectadas al router. Por lo
tanto, es necesario que la interfaz de salida se incluya.
El siguiente ejemplo muestra la entrada de la tabla de routing IPv6 para esta ruta. Observe
que la dirección link-local del siguiente salto y la interfaz de salida están incluidas.
R1# show ipv6 route static | begin 2001:db8:acad:1::/64
S 2001:DB8:ACAD:1::/64 [1/0]
via FE80::2, Seria0/1/0
15.2.7
Verificación de una ruta estática

Junto con show ip route, show ipv6 route, ping y traceroute, otros comandos útiles para
verificar las rutas estáticas son los siguientes:
● show ip route static

● show ip route network
● show running-config | section ip route
Reemplace ip con ipv6 para las versiones IPv6 del comando.
Haga referencia a la figura al revisar los ejemplos de comandos.
Esta salida muestra sólo las rutas estáticas IPv4 en la tabla de enrutamiento. También
tenga en cuenta dónde el filtro comienza la salida, excluyendo todos los códigos.
R1# show ip route static | begin Gateway
S 172.16.1.0/24 [1/0] via 172.16.2.2

S 192.168.1.0/24 [1/0] via 172.16.2.2
S 192.168.2.0/24 [1/0] via 172.16.2.2
R1#
Este comando mostrará la salida sólo para la red especificada en la tabla de

enrutamiento.
R1# show ip route 192.168.2.1
Routing entry for 192.168.2.0/24
Known via "static", distance 1, metric 0
Bloques descriptores de enrutamiento:
* 172.16.2.2
La métrica de la ruta es 0, y el conteo del tráfico compartido es 1.
R1#
Este comando filtra la configuración en ejecución sólo para rutas estáticas IPv4.
R1# show running-config | section ip route
ip route 172.16.1.0 255.255.255.0 172.16.2.2
ip route 192.168.1.0 255.255.255.0 172.16.2.2
ip route 192.168.2.0 255.255.255.0 172.16.2.2

R1#
Este resultado muestra sólo las rutas estáticas IPv6 en la tabla de enrutamiento. También
tenga en cuenta dónde el filtro comienza la salida, excluyendo todos los códigos.
ld - LISP dyn-eid, LA - LISP away, le - LISP extranet-policy
a - Application
S 2001:DB8:ACAD:1::/64 [1/0]
S 2001:DB8:CAFE:1: :/64 [1/0]
S 2001:DB8:CAFE:2: :/64 [1/0]
R1#
Este comando mostrará la salida de la red especificada en la tabla de routing únicamente.
R1# show ipv6 route 2001:db8:cafe:2::
Routing entry for 2001:DB8:CAFE:2::/64
Known via "static", distance 1, metric 0
Route count is 1/1, share count 0
Rutas de enrutamiento:
2001:DB8:ACAD:2::2
Última actualización hace 00:23:55
R1#
Este comando filtra la configuración en ejecución sólo para rutas estáticas IPv6.
R1# show running-config | section ipv6 route

ipv6 route 2001:DB8:ACAD:1::/64 2001:DB8:ACAD:2::2
ipv6 route 2001:DB8:CAFE:1::/64 2001:DB8:ACAD:2::2
ipv6 route 2001:DB8:CAFE:2::/64 2001:DB8:ACAD:2::2
R1#
Verificador de sintaxis- Configurar rutas

estáticas
Configurar rutas estáticas en función de los requisitos especificados
Configure una ruta estática IPv4 del siguiente salto en R2 a la red 192.168.20/24 usando la
dirección del siguiente salto 192.168.1.1.
R2(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.1

Configure una ruta estática IPv4 completamente especificada en R2 a la red 172.16.3.0/24
usando el par interfaz salida/siguiente salto: g0/0/1 172.16.2.1
R2(config)#ip route 172.16.3.0 255.255.255.0 g0/0/1 172.16.2.1
Configure una ruta estática IPv6 de siguiente salto en R2 a la red 2001:db8:cafe:2: :/64
utilizando la dirección de siguiente salto 2001:db8:cafe:1: :1.
R2(config)#ipv6 route 2001:db8:cafe:2::/64 2001:db8:cafe:1::1
Configure una ruta estática IPv6 completamente especificada en R2 a la red

2001:db8:acad:3: :/64 utilizando el par de interfaz de salida/salto siguiente: g0/0/1 / fe80::1
R2(config)#ipv6 route 2001:db8:acad:3::/64 g0/0/1 fe80::1
Salga de configuration mode y ejecute el comando para mostrar solamente las rutas
estáticas IPv4 en la tabla de routing de R2.
R2(config)#exit
*Sep 18 21:44:32.910: %SYS-5-CONFIG_I: Configured from console by console
R2#show ip route static

level-2

route

PfR
S 192.168.2.0/24 [1/0] via 192.168.1.1
Emita el comando adecuado para que solo se muestren las rutas estáticas IPv6 en la tabla
de routing de R2.
R2#show ipv6 route static

EX - EIGRP external, ND - ND Default, NDp - ND Prefix, DCE -

Destination
ON2 - OSPF NSSA ext 2, a - Application
S 2001:DB8:ACAD:3::/64 [1/0]
via FE80::1, GigabitEthernet0/0/1
S 2001:DB8:CAFE:2::/64 [1/0]
via 2001:DB8:CAFE:1::1
==============================================================
You are now logged into R3:
Configure una ruta estática IPv4 conectada directamente en R3 a la red 172.16.3.0/24

usando la interface de salida S0/1/1.
R3(config)#ip route 172.16.3.0 255.255.255.0 s0/1/1

mediante la interfaz de salida S0/1/1.

mediante la interfaz de salida S0/1/1.
Configure una ruta estática IPv6 conectada directamente en R3 a la red

2001:db8:acad:1: :/64 mediante la interfaz de salida S0/1/1.
R3(config)#ipv6 route 2001:db8:acad:1::/64 s0/1/1


estáticas IPv4 en la tabla de routing de R3.
R3(config)#exit
Sep 18 21:47:57.894: %SYS-5-CONFIG_I: Configured from console by console


level-2

route

PfR
S 172.16.1.0 is directly connected, Serial0/1/1

Emita el comando adecuado para que solo se muestren las rutas estáticas IPv6 en la tabla
de routing de R3.

Destination
S 2001:DB8:ACAD:1::/64 [1/0]
S 2001:DB8:ACAD:2::/64 [1/0]
S 2001:DB8:ACAD:3::/64 [1/0]
Configuró y verificó correctamente las rutas estáticas IPv4 y IPv6.
Ruta estática por defecto
En este tema le enseña cómo configurar una ruta predeterminada para IPv4 e IPv6. También
explica las situaciones en las que una ruta predeterminada es una buena opción. Una ruta
predeterminada es una ruta estática que coincide con todos los paquetes. En lugar de
almacenar rutas para todas las redes en Internet, los routers pueden almacenar una única
ruta predeterminada que represente cualquier red que no esté en la tabla de routing.
Los routers suelen utilizar rutas predeterminadas configuradas de forma local, o bien,
descubiertas por otro router, mediante un protocolo de routing dinámico. Una ruta
predeterminada no requiere de ningún bit para que coincida entre la ruta predeterminada y la
dirección IP destino. Una ruta predeterminada se utiliza cuando ninguna otra ruta de la tabla
de routing coincide con la dirección IP de destino del paquete. Es decir, si no existe una
coincidencia más específica, entonces se utiliza la ruta predeterminada como el gateway de
último recurso.
Las rutas estáticas predeterminadas se utilizan comúnmente al conectar un router perimetral

a una red de proveedor de servicios, o un router stub (un router con solo un router vecino
ascendente).
La figura muestra un escenario de ruta estática predeterminado típico.

Ruta estática predeterminada IPv4
La sintaxis del comando para una ruta estática predeterminada IPv4 es similar a cualquier
otra ruta estática, con la excepción de que la dirección de red es 0.0.0.0 y la máscara de
subred es 0.0.0.0. 0.0.0.0 0.0.0.0 en la ruta coincidirá con cualquier dirección de red.
Nota: Una ruta estática predeterminada IPv4 suele llamarse “ruta de cuádruple cero”.
La sintaxis del comando básico de una ruta estática predeterminada IPv4 es la siguiente:
Router(config)# ip route 0.0.0.0 0.0.0.0 {ip-address | exit-intf}
Ruta estática predeterminada IPv6
La sintaxis del comando para una ruta estática predeterminada IPv4 es similar a la sintaxis
del comando de cualquier otra ruta estática, excepto que ipv6-prefix/prefix-length es ::/0, que
coincide con todas las rutas.
La sintaxis del comando básico de una ruta estática predeterminada IPv6 es la siguiente:
Router(config)# ipv6 route ::/0 {ipv6-address | exit-intf}
15.3.2
Configuración de una ruta estática
predeterminada
En la figura, R1 puede configurarse con tres rutas estáticas para alcanzar todas las redes
remotas en la topología de ejemplo. Sin embargo, el R1 es un router de rutas internas, ya
que está conectado únicamente al R2. Por lo tanto, sería más eficaz configurar una sola ruta
estática predeterminada.
El ejemplo muestra una ruta estática predeterminada IPv4 configurada en R1. Con la
configuración del ejemplo, cualquier paquete que no coincida con entradas más específicas
de la ruta se reenvía a 172.16.2.2.
R1(config)# ip route 0.0.0.0 0.0.0.0 172.16.2.2
Una ruta estática predeterminada IPv6 se configura de manera similar. Con esta
configuración, cualquier paquete que no coincida con entradas más específicas de la ruta
IPv6 se reenvía a R2 al 2001:db8:acad:2::2
R1(config)# ipv6 route ::/0 2001:db8:acad:2::2
15.3.3
Verificar una ruta estática predeterminada
Verificar Ruta estática predeterminada IPv4
La salida del comando show ip route static de R1 muestra el contenido de las rutas estáticas
en la tabla de routing. Vea el asterisco (*) Al lado de la ruta con el código "S". Como se
muestra en la tabla de códigos en la salida del comando show ip route , el asterisco indica
que la ruta estática es una ruta predeterminada candidata, razón por la cual se selecciona
como gateway de último recurso.
R1# show ip route static
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route

+ - replicated route, % - next hop override
S* 0.0.0.0/0 [1/0] via 172.16.2.2
R1#
Verificar Ruta estática predeterminada IPv6
Este ejemplo muestra el show ipv6 route static resultado del comando para mostrar el
contenido de la tabla de routing.
a - Application
S ::/0 [1/0]
R1#
Observe que la configuración de ruta estática predeterminada utiliza la máscara /0 para las
rutas predeterminadas IPv4 y el prefijo: :/0 para las rutas predeterminadas IPv6. Recuerde
que la longitud de la máscara subnet IPv4 y el prefijo de IPv6 en una tabla de routing
determina cuántos bits deben coincidir entre la dirección IP de destino del paquete y la ruta
en la tabla de routing. Un prefijo /0 mask or ::/0 indica que no se requiere que ninguno de los
bits coincida. Mientras no exista una coincidencia más específica, la ruta estática
predeterminada coincide con todos los paquetes.
15.3.4

estáticas
Configure y verifique rutas estáticas predeterminadas en función de los requisitos

especificados.
Configure una ruta estática predeterminada IPv4 en R3 para llegar a todas las redes
remotas. Utilice la dirección IPv4 del siguiente salto como argumento.
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
Configure una ruta estática predeterminada IPv6 en R3 para llegar a todas las redes
remotas. Utilice la dirección IPv6 del siguiente salto como argumento.
R3(config)#ipv6 route ::/0 2001:db8:cafe:1::2
estáticas en la tabla de routing de IPv4.
R3(config)#exit

Mostrar solamente las rutas estáticas en la tabla de routing de IPv6.

EX - EIGRP external, RL - RPL, O - OSPF Intra, OI - OSPF Inter
Configuró y verificó correctamente las rutas estáticas predeterminadas.
Rutas estáticas flotantes
Al igual que con los otros temas de este módulo, aprenderá a configurar rutas estáticas
flotantes IPv4 e IPv6 y cuándo utilizarlas.
Otro tipo de ruta estática es una ruta estática flotante. Las rutas estáticas flotantes son rutas
estáticas que se utilizan para proporcionar una ruta de respaldo a una ruta estática o
dinámica principal, en el caso de una falla del enlace. La ruta estática flotante se utiliza
únicamente cuando la ruta principal no está disponible.
Para lograrlo, la ruta estática flotante se configura con una distancia administrativa mayor
que la ruta principal. La distancia administrativa representa la confiabilidad de una ruta. Si
existen varias rutas al destino, el router elegirá la que tenga una menor distancia
administrativa.
Por ejemplo, suponga que un administrador desea crear una ruta estática flotante como
respaldo de una ruta descubierta por EIGRP. La ruta estática flotante se debe configurar con
una distancia administrativa mayor que el EIGRP. El EIGRP tiene una distancia
administrativa de 90. Si la ruta estática flotante se configura con una distancia administrativa
de 95, se prefiere la ruta dinámica descubierta por el EIGRP a la ruta estática flotante. Si se
pierde la ruta descubierta por el EIGRP, en su lugar se utiliza la ruta estática flotante.
En la imagen, el router de la sucursal generalmente reenvía todo el tráfico al router de la

oficina central (HQ) mediante el enlace WAN privado. En este ejemplo, los routers
intercambian información de la ruta utilizando el EIGRP. Una ruta estática flotante, con una
distancia administrativa de 91 o superior, se puede configurar para que funcione como ruta
de respaldo. Si el enlace WAN privado falla y la ruta EIGRP desaparece de la tabla de
routing, el router selecciona la ruta estática flotante como la mejor ruta para alcanzar la LAN
de la oficina central.
De manera predeterminada, las rutas estáticas tienen una distancia administrativa de 1, lo

que las hace preferibles a las rutas descubiertas mediante protocolos de routing dinámico.
Por ejemplo, las distancias administrativas de algunos protocolos de routing dinámico
comunes son las siguientes:
● EIGRP = 90
● OSPF = 110
● IS-IS = 115
La distancia administrativa de una ruta estática se puede aumentar para hacer que la ruta
sea menos deseable que la ruta de otra ruta estática o una ruta descubierta mediante un
protocolo de routing dinámico. De esta manera, la ruta estática “flota” y no se utiliza cuando
está activa la ruta con la mejor distancia administrativa. Sin embargo, si se pierde la ruta de
preferencia, la ruta estática flotante puede tomar el control, y se puede enviar el tráfico a
través de esta ruta alternativa.
15.4.2
Configure las Rutas Estáticas Flotantes

IPv4 y IPv6
Las rutas estáticas flotantes IP se configuran mediante el distance argumento para
especificar una distancia administrativa. Si no se configura ninguna distancia administrativa,
se utiliza el valor predeterminado (1).
Consulte la topología en la figura y los comandos ip route y ipv6 route emitidos en R1. En
esta situación, la ruta predeterminada preferida desde R1 es a R2. La conexión al R3 se debe
utilizar solo para respaldo.
R1(config)# ip route 0.0.0.0 0.0.0.0 172.16.2.2
R1(config)# ip route 0.0.0.0 0.0.0.0 10.10.10.2 5
R1(config)# ipv6 route ::/0 2001:db8:acad:2::2
R1(config)# ipv6 route ::/0 2001:db8:feed:10::2 5
El R1 se configura con las rutas estáticas predeterminadas IPv4 e IPv6 apuntando al R2.
Debido a que no está configurada ninguna distancia administrativa, se utiliza el valor
predeterminado (1) para esta ruta estática. El R1 también se configura con las rutas
estáticas flotantes predeterminadas IPv6 que apuntan al R3 con una distancia
administrativa de 5. Este valor es mayor que el valor predeterminado de 1 y, por lo tanto,
esta ruta flota y no está presente en la tabla de routing, a menos que falle la ruta
preferida.
show ip route y show ipv6 route verifican que la ruta predeterminada al R2 esté instalada
en la tabla de routing. Observe que la ruta estática flotante de IPv4 a R3 no está presente
en la tabla de routing.
S* 0.0.0.0/0 [1/0] via 172.16.2.2
R1# show ipv6 route static | begin S :
S ::/0 [1/0]
R1#
Utilice el comando show run para comprobar que las rutas estáticas flotantes están en la
configuración. Por ejemplo, el siguiente comando verifica que ambas rutas estáticas
predeterminadas IPv6 estén en la configuración en ejecución.
R1# show run | include ipv6 route
ipv6 route ::/0 2001:db8:feed:10::2 5
ipv6 route ::/0 2001:db8:acad:2::2
R1#
Pruebe la ruta estática flotante

En la imagen, ¿qué ocurriría si el R2 falla?
Para simular esta falla, se desactivan ambas interfaces seriales del R2, como se muestra en
la configuración.
R2(config)# interface s0/1/0
R2(config-if)# shut
*Sep 18 23:36:27.000: %LINK-5-CHANGED: Interface Serial0/1/0, changed state to

*Sep 18 23:36:28.000: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1/0,

R2(config-if)# interface s0/1/1
R2(config-if)# shut
*Sep 18 23:36:41.598: %LINK-5-CHANGED: Interface Serial0/1/1, changed state to

Observe que R1 genera mensajes automáticamente indicando que la interfaz serial a R2 está
caída.
R1#
*Sep 18 23:35:48.810: %LINK-3-UPDOWN: Interface Serial0/1/0, changed state to down
R1#

R1#
Una mirada a las tablas de enrutamiento IP de R1 verifica que las rutas estáticas flotantes
predeterminadas están ahora instaladas como rutas predeterminadas y apuntan a R3 como
enrutador de salto siguiente.
S* 0.0.0.0/0 [5/0] via 10.10.10.2
R1# show ipv6 route static | begin ::
S ::/0 [5/0]
via 2001:DB8:FEED:10::2
R1#
15.4.4
Verificador de sintaxis - Configurar rutas

estáticas flotantes
Configure y verifique rutas estáticas flotantes en función de los requisitos especificados
Configure una ruta predeterminada estática IPv4 en R3 utilizando la dirección del

siguiente salto 192.168.1.2.
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
Configure una ruta estática predeterminada IPv4 en R3 utilizando la dirección del

siguiente salto 10.10.10.1 y una distancia administrativa de 5.
R3(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.1 5
Configure una ruta estática predeterminada IPv6 en R3 utilizando la dirección de salto

siguiente 2001:db8:cafe:1: :2
R3(config)#ipv6 route ::/0 2001:db8:cafe:1::2

Configure una ruta estática predeterminada IPv4 en R3 utilizando la dirección del
siguiente salto 2001:db8:feed:10::1 y una distancia administrativa de 5.
R3(config)#ipv6 route ::/0 2001:db8:feed:10::1 5
Salga del modo de configuración y muestre la tabla de routing IPv4.
R3(config)#exit
R3#show ip route

S* 0.0.0.0/0 [1/0] via 192.168.1.2
Display the IPv6 routing table.
R3#show ipv6 route


Destination
S ::/0 [1/0]
via 2001:DB8:CAFE:1::2
C 2001:DB8:CAFE:1::/64 [0/0]
L 2001:DB8:CAFE:1::1/128 [0/0]

C 2001:DB8:CAFE:2::/64 [0/0]
L 2001:DB8:CAFE:2::1/128 [0/0]
C 2001:DB8:FEED:10::/64 [0/0]
L 2001:DB8:FEED:10::2/128 [0/0]
L FF00::/8 [0/0]
via Null0, receive
Configuró y verificó correctamente las rutas estáticas flotantes predeterminadas.
Rutas del host
En este tema se muestra cómo configurar una ruta de host estática IPv4 e IPv6 y cuándo
utilizarlas.
Una ruta de host es una dirección IPv4 con una máscara de 32 bits o una dirección IPv6 con
una máscara de 128 bits. A continuación se muestra tres maneras de agregar una ruta de
host a una tabla de routing:
● Se instala automáticamente cuando se configura una dirección IP en el router (como

se muestra en las figuras)
● Configurarla como una ruta de host estático
● Obtener la ruta de host automáticamente a través de otros métodos (se analiza en
cursos posteriores)
15.5.2
Rutas de host instaladas

automáticamente
El IOS de Cisco instala automáticamente una ruta de host, también conocida como ruta de
host local, cuando se configura una dirección de interfaz en el router. Una ruta host permite
un proceso más eficiente para los paquetes que se dirigen al router mismo, en lugar del
envío de paquetes. Esto es una suma a la ruta conectada, designada con una C en la tabla
de routing para la dirección de red de la interfaz.
Cuando una interfaz activa en un router se configura con una dirección IP, se agrega
automáticamente una ruta de host local a la tabla de routing. Las rutas locales se marcan
con L en el resultado de la tabla de routing.
Consulte la topología de referencia en la ilustración.
Las direcciones IP asignadas a la interfaz Branch Serial0/1/0 son 198.51.100.1/30 y

2001:db8:acad:1::1/64. Las rutas locales para la interfaz son instaladas por el IOS en la tabla
de routing del IPv4 e IPv6, como se muestra en el ejemplo.
Branch# show ip route | begin Gateway

Branch# show ipv6 route | begin ::
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
L FF00::/8 [0/0]
via Null0, receive
15.5.3
Ruta estática de host
Una ruta de host puede ser una ruta estática configurada manualmente para dirigir el tráfico
a un dispositivo de destino específico, como un servidor de autenticación. La ruta estática
utiliza una dirección IP de destino y una máscara 255.255.255.255 (/32) para las rutas de host
IPv4 y una longitud de prefijo /128 para las rutas de host IPv6.
Configuración de rutas de host estáticas
El ejemplo muestra la configuración de la ruta de host estática IPv4 e IPv6 en el router

Branch para acceder al servidor.
Branch(config)# ip route 209.165.200.238 255.255.255.255 198.51.100.2
Branch(config)# ipv6 route 2001:db8:acad:2::238/128 2001:db8:acad:1::2
Branch(config)# exit
Branch#
15.5.5
Verificar rutas de host estáticas
Una revisión de las tablas de rutas IPv4 e IPv6 verifica que las rutas estén activas.
Branch# show ip route | begin Gateway

S 209.165.200.238 [1/0] via 198.51.100.2
Branch# show ipv6 route
(Output omitted)
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
S 2001:DB8:ACAD:2::238/128 [1/0]
Branch#
15.5.6
Configurar rutas de host estáticas IPV6
con Link-Local de siguiente salto
Para rutas estáticas IPv6, la dirección del siguiente salto puede ser la dirección link-local del
router adyacente. Sin embargo, debe especificar un tipo de interfaz y un número de interfaz
cuando usa una dirección link-local como siguiente salto, como se muestra en el ejemplo.
En primer lugar, se elimina la ruta de host estática IPv6 original y, a continuación, se
configura una ruta completamente especificada con la dirección IPv6 del servidor y la
dirección local del vínculo IPv6 del router ISP.
Branch(config)# no ipv6 route 2001:db8:acad:2::238/128 2001:db8:acad:1::2
Branch(config)# ipv6 route 2001:db8:acad:2::238/128 serial 0/1/0 fe80::2
Branch# show ipv6 route | begin ::
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
S 2001:DB8:ACAD:2::238/128 [1/0]
via FE80::2, Serial0/1/0
Branch#
15.5.7
estáticas
Configurar y verificar rutas de host estáticas en función de los requisitos especificados
uestre las tablas de routing en el router BRANCH.
● Emita el comando para ver la tabla de routing IPv4.

● Emita el comando para ver la tabla de routing IPv6.
Branch#show ip route

level-2

route

PfR
Branch#show ipv6 route

Destination
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
L FF00::/8 [0/0]
via Null0, receive
Ingrese al modo de configuración global para configurar lo siguiente:
● A static IPv4 route to a host at address 209.165.200.238 and an exit interface of

s0/1/0.
● A static IPv6 route to a host at address 2001:db8:acad: :2 y una interfaz de salida
de s0/1/0.
Nota: Asegúrese de usar s0/1/0 como designación de interfaz.

Branch#configure terminal
Branch(config)#ip route 209.165.200.238 255.255.255.255 s0/1/0
Branch(config)#ipv6 route 2001:db8:acad:2::238/128 s0/1/0
Salga del modo de configuración y muestre las tablas de routing de IPv4 e IPv6.
Branch(config)#exit
Branch#show ip route

level-2

route


PfR
Branch#show ipv6 route

Destination
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
S 2001:DB8:ACAD:2::238/128 [1/0]
L FF00::/8 [0/0]
via Null0, receive
Configuró correctamente las rutas del host estáticas.
Rutas Estáticas
Las rutas estáticas se pueden configurar para IPv4 e IPv6. Ambos protocolos admiten los
siguientes tipos de rutas estáticas: ruta estática estándar, ruta estática predeterminada, ruta
estática flotante y ruta estática de resumen. Las rutas estáticas se configuran con el
comando ip route e ipv6 route de configuración global. El siguiente salto se puede identificar
mediante una dirección IP, una interfaz de salida, o ambas cuando se está configurando una
ruta estática. La forma en que se especifica el destino crea uno de los tres tipos siguientes
de ruta estática: next hop, directamente conectado y completamente especificado. Las rutas
estáticas IPv4 se configuran mediante el siguiente comando de configuración global: ip
route network-address subnet-mask {ip-address | exit-intf [ip=address]} [distance]. Las rutas
estáticas IPv6 se configuran mediante el siguiente comando de configuración global: ipv6
route ipv6-prefix/prefix-length {ipv6-address | exit-intf [ipv6-address]} [distance]. El comando
para iniciar una tabla de routing IPv4 es show ip route | begin Gateway. El comando para
iniciar una tabla de routing IPv6 es show ipv6 route | begin C.
Configurar Rutas IP Estáticas
En una ruta estática de siguiente salto, solo se especifica la dirección IP del siguiente salto.
La interfaz de salida se deriva del próximo salto. Al configurar una ruta estática, otra opción
es utilizar la interfaz de salida para especificar la dirección del siguiente salto. Solo se deben
utilizar rutas estáticas conectadas directamente con interfaces seriales de punto a punto.
Una ruta estática completamente especificada tiene determinadas tanto la interfaz de salida
como la dirección IP del siguiente salto. Esta forma de ruta estática se utiliza cuando la
interfaz de salida es una interfaz de acceso múltiple y se debe identificar explícitamente el
siguiente salto. El siguiente salto debe estar conectado directamente a la interfaz de salida
especificada. En una ruta estática IPv6 completamente especificada, tanto la interfaz de
salida como la dirección IPv6 del siguiente salto. Junto con show ip route**show ipv6 route,
ping y traceroute, otros comandos útiles para verificar rutas estáticas incluyen: show ip
route static, show ip route network y show running-config | section ip route**. Reemplace ip
por ipv6 para las versiones IPv6 del comando.
Configurar Rutas IP Estáticas por defecto
Una ruta predeterminada es una ruta estática que coincide con todos los paquetes. Una ruta
predeterminada no requiere que ningún bit solo coincida entre la ruta predeterminada y la
dirección IP destino. Las rutas estáticas predeterminadas se utilizan comúnmente al
conectar un router perimetral a una red de proveedor de servicios y un router stub. La
sintaxis del comando para una ruta estática predeterminada IPv4 es similar a cualquier otra
ruta estática IPv4, con la excepción de que la dirección de red es 0.0.0.0 y la máscara de
subred es 0.0.0.0. 0.0.0.0 0.0.0.0 en la ruta coincidirá con cualquier dirección de red. La
sintaxis del comando para una ruta estática predeterminada IPv6 es similar a la sintaxis del
comando de cualquier otra ruta estática IPv6, excepto que ipv6-prefix/prefix-length es ::/0,
que coin cide con todas las rutas. Para verificar una ruta estática predeterminada IPv4,
utilice el comando show ip route static. Para IPV6, use el comando show ipv6 route static.
Configurar Rutas Estáticas Flotantes
Las rutas estáticas flotantes son rutas estáticas que se utilizan para proporcionar una ruta
de respaldo a una ruta estática o dinámica principal, en el caso de una falla del enlace. La
ruta estática flotante se configura con una distancia administrativa mayor a la de una ruta
principal. De manera predeterminada, las rutas estáticas tienen una distancia administrativa
de 1, lo que las hace preferibles a las rutas descubiertas mediante protocolos de routing
dinámico. Las distancias administrativas de algunos protocolos de router dinámico de
puerta de enlace interior comunes son EIGRP = 90, OSPF = 110 e IS-IS = 115. Las rutas
estáticas flotantes IP se configuran mediante el distance argumento para especificar una
distancia administrativa. Si no se configura ninguna distancia administrativa, se utiliza el
valor predeterminado (1). show ip route y show ipv6 route verifica que las rutas
predeterminadas a un router estén instaladas en la tabla de routing.
Configurar Ruta de Host Estáticas
Una ruta de host es una dirección IPv4 con una máscara de 32 bits o una dirección IPv6 con
una máscara de 128 bits. Hay tres maneras de agregar una ruta de host a la tabla de
enrutamiento: se instala automáticamente cuando se configura una dirección IP en el
enrutador, se configura como una ruta de host estática o se obtiene automáticamente a
través de otros métodos no cubiertos en este módulo. El IOS de Cisco instala
automáticamente una ruta de host, también conocida como ruta de host local, cuando se
configura una dirección de interfaz en el router. Una ruta de host puede ser una ruta estática
configurada manualmente para dirigir el tráfico a un dispositivo de destino específico. Para
las rutas estáticas IPv6, la dirección de salto siguiente puede ser la dirección link-local del
router adyacente; sin embargo, debe especificar un tipo de interfaz y un número de interfaz
cuando utilice una dirección link-local como salto siguiente. Para ello, se elimina la ruta de
host estática IPv6 original y, a continuación, se configura una ruta completamente
especificada con la dirección IPv6 del servidor y la dirección link-local IPv6 del router ISP.
¡Bienvenido a Solucionar Problemas de rutas estáticas y predeterminadas!
¡Bien hecho! Ha llegado al módulo final del curso Switching, Routing e Wireless Essentials
v7.0 (SRWE). Este curso le proporcionó los conocimientos y habilidades en profundidad que
necesita para configurar conmutadores y enrutadores (incluidos los dispositivos
inalámbricos) en su red en crecimiento. ¡Realmente eres bueno en la administración de
redes!
Pero, ¿qué hace que un buen administrador de red sea un gran administrador? La capacidad
de solucionar problemas de manera efectiva. La mejor manera de adquirir habilidades de
solución de problemas de red es simple: esté siempre solucionando problemas. En este
módulo, solucionará los problemas de rutas estáticas y predeterminadas. Hay un
comprobador de sintaxis, un rastreador de paquetes y un laboratorio práctico donde puede
perfeccionar sus habilidades de solución de problemas. ¡Vamos a hacerlo!
16.0.2
Título del módulo: Resuelva problemas de rutas estáticas y predeterminadas
Objetivos del módulo: Resuelva problemas de configuración de rutas estáticas y

predeterminadas.
Procesamiento de paquetes con Explicar cómo un router procesa los paquetes cuando
rutas estáticas una ruta estática es configurada.
Resuelva problemas de
Resolver problemas comunes de configuración de rutas
configuración de rutas estáticas y
estáticas y predeterminadas.
predeterminadas IPv4
Rutas estáticas y envío de paquetes
Antes de entrar en la sección de solución de problemas de este módulo, este tema

proporciona una breve revisión de cómo se reenvían los paquetes en rutas estáticas. Haga
clic en el botón Reproducir de la ilustración para ver una animación en la que la PC1 envía
un paquete a la PC3.
Verifique su conocimiento: procesamiento

de paquetes con rutas estáticas
Cambios en la red
No importa lo bien que configure la red, tendrá que estar preparado para solucionar algún
problema. Las redes están condicionadas a situaciones que pueden provocar un cambio en
su estado con bastante frecuencia. Por ejemplo, una interfaz puede fallar o un proveedor de
servicios interrumpe una conexión. Los vínculos pueden sobresaturarse o un administrador
puede introducir una configuración incorrecta.
Cuando se produce un cambio en la red, es posible que se pierda la conectividad. Los

administradores de red son responsables de identificar y solucionar el problema. Para
encontrar y resolver estos problemas, un administrador de red debe conocer las
herramientas que lo ayudarán a aislar los problemas de routing de manera rápida.
16.2.2
Comandos comunes para la solución de

problemas
Entre los comandos comunes para la resolución de problemas de IOS, se encuentran los
siguientes:
● ping
● traceroute
● show ip route
● show cdp neighbors detail
La figura muestra la topología de referencia OSPF utilizada para demostrar estos comandos
ping
El ejemplo muestra el resultado de un ping extendido desde la interfaz fuente de R1 a la

interfaz LAN de R3. Un ping extendido es una versión mejorada de la utilidad de un ping.
El ping extendido permite especificar la dirección IP de origen para los paquetes ping.
R1# ping 192.168.2.1 fuente 172.16.3.1
Packet sent with a source address of 172.16.3.1

!!!!!
R1#
traceroute
Este ejemplo muestra el resultado de un trazado de ruta desde R1 a la LAN R3. Tenga en
cuenta que cada ruta de salto devuelve una respuesta ICMP.
R1# traceroute 192.168.2.1
Rastreando la ruta a 192.168.2.1
VRF info: (vrf in name/id, vrf out name/id)
1 172.16.2.2 1 mseg 2 mseg 1 mseg
2 192.168.1.1 2 mseg 3 mseg *
R1#
El comando show ip route en este ejemplo muestra la tabla de ruteo de R1.

S 172.16.1.0/24 [1/0] via 172.16.2.2
S 192.168.1.0/24 [1/0] via 172.16.2.2
S 192.168.2.0/24 [1/0] via 172.16.2.2
R1#
show ip interface brief
Se muestra un estado rápido de todas las interfaces del router mediante el comando
show ip interface brief de este ejemplo.
¿Es correcta la interfaz de la dirección IP? Método de protocolo de estado
IGigabiteThernet0/0/0 172.16.3.1 SÍ - Manual Arriba Arriba
Serial0/1/0 172.16.2.1 SÍ - Manual Arriba Arriba

Serial0/1/1 Sin Asignar YES - Sin Configurar Arriba Arriba
R1#
show cdp neighbors
El comando show cdp neighbors proporciona una lista de dispositivos Cisco conectados
directamente. Este comando valida la conectividad de la capa 2 (y, por lo tanto, la de la
capa 1). Por ejemplo, si en el resultado del comando se indica un dispositivo vecino, pero
no se puede hacer ping a este, entonces se debe investigar el direccionamiento de la
capa 3.
R1# show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
D - Remote, C - CVTA, M - Two-port Mac Relay
Device ID Local Intrfce Holdtme Capability Platform Port ID
Switch Gig 0/0/1 129 S I WS-C3560- Fas 0/5
R2 Ser 0/1/0 156 R S I ISR4221/K Ser 0/1/0
Total cdp entries displayed : 3
R1#
Resolución de un problema de
conectividad
Encontrar una ruta faltante (o mal configurada) es un proceso relativamente sencillo si se
utilizan las herramientas adecuadas de manera metódica.
Por ejemplo, el usuario en PC1 informa que no puede acceder a los recursos en la LAN R3.
Esto se puede confirmar haciendo ping a la interfaz LAN de R3 utilizando la interfaz LAN de
R1 como fuente. Una vez más, usaremos la topología de la figura para demostrar cómo
solucionar este problema de conectividad.
Hacer ping al servidor remoto
El administrador de red puede probar la conectividad entre las dos LAN desde R1 en
lugar de PC1. Esto se puede hacer mediante la fuente del ping desde la interfaz G0/0/0 en
R1 a la interfaz G0/0/0 en R3, como se muestra en el ejemplo. Los resultados muestran
que no hay conectividad entre estas LAN.
R1# ping 192.168.2.1 source g0/0/0
Escribir secuencia de escape para abortar.
Enviando 5 Ecos ICMP de 100 bytes a 192.168.2.1, el tiempo de espera es de 2 segundos:
Paquete enviado con una dirección de origen de 172.16.3.1

.....
La tasa de éxito es 0 por ciento (0/5)
Hacer ping al router de salto siguiente
A continuación, el un ping a la interfaz S0/1/0 en R2 es exitoso. Este ping proviene de la

interfaz S0/1/0 de R1. Por lo tanto, el problema no es la pérdida de conectividad entre R1 y
R2.
R1# ping 172.16.2.2
Enviando 5 Ecos ICMP de 100 bytes a 172.16.2.1, tiempo de espera es de 2 segundos:
!!!!!
La tasa de éxito es del 100 por ciento (5/5), ida y vuelta min / avg / max = 3/3/4 ms
Ping LAN R3 desde S0/1/0
Un ping desde R1 a la interfaz R3 192.168.2.1 también es exitoso. Este ping proviene de la

interfaz S0/1/0 en R1. R3 tiene una ruta de regreso a la red entre R1 y R2, 172.16.2.0/24.
Esto confirma que R1 puede llegar a la LAN remota en R3. Sin embargo, los paquetes
procedentes de la LAN en R1 no pueden. Esto indica que R2 o R3 pueden tener una ruta
incorrecta o faltante a la LAN en R1.
R1# ping 192.168.2.1
Enviando 5 Ecos ICMP de 100 bytes a 192.168.2.1, el tiempo de espera es de 2 segundos:
!!!!!
Verifique la tabla de enrutamiento R2
El siguiente paso es investigar las tablas de enrutamiento de R2 y R3. La tabla de

enrutamiento para R2 se muestra en el ejemplo. Observe que la red 172.16.3.0/24 está
configurada incorrectamente. Se configuró una ruta estática a la red 192.168.2.0/24 con la
dirección del siguiente salto 172.16.2.1. Por lo tanto, los paquetes destinados a la red
172.16.3.0/24 se envían de nuevo a R3 en lugar de a R1.
Puerta de enlace de último recurso no está configurada
172.16.0.0/16 tiene subredes variables, 5 subredes, 2 máscaras
C 172.16.1.0/24 está directamente conectado, GigabitEthernet 0/0/0
L 172.16.1.1/32 está directamente conectado, GigabitEthernet 0/0/0
C 172.16.2.0/24 está conectado directamente, Serie 0/1/0
L 172.16.2.2/32 está conectado directamente, Serie 0/1/0
S 172.16.3.0/24 [1/0] a través de 192.168.1.1
L 192.168.1.2/32 está conectado directamente, Serie 0 /1/1

S 192.168.2.0/24 [1/0] a través de 192.168.1.1
R2#
Hay que corregir la configuración de la ruta estática R2
A continuación, la configuración en ejecución, de hecho, revela la declaración incorrecta

ip route. Se elimina la ruta incorrecta y luego se introduce la correcta.
R2# show running-config | include ip route ip 172.16.3.0 255.255.255.0 192.168.1.1
ip route 192.168.2.0 255.255.255.0 192.168.1.1
R2#
R2# configure terminal
R2(config)# ip route 172.16.3.0 255.255.255.0 192.168.1.2
R2(config)# ip route 172.16.3.0 255.255.255.0 172.16.2.1
R2(config)#
Verificar que está instalada la nueva ruta estática
La tabla de enrutamiento en R2 se comprueba una vez más para confirmar que la entrada
de ruta a la LAN en R1, 172.16.3.0, es correcta y apunta hacia R1.
R2 (config) # exit
R2#
*Sep 20 02:% SYS-5-CONFIG \ _I: configurado de consola en consola
Puerta de enlace de último recurso no está configurada
C 172.16.1.0/24 está directamente conectado, GigabitEthernet 0/0/0
L 172.16.1.1/32 está directamente conectado, GigabitEthernet 0/0/0
S 172.16.3.0/24 [1/0] a través de 172.16.2.1
S 192.168.2.0/24 [1/0] a través de 192.168.1.1
R2#
Hacer ping a la LAN remota de nuevo
A continuación, se utiliza un ping de R1 procedente de G0/0/0 para verificar que R1 ahora

puede llegar a la interfaz LAN de R3. Como último paso de confirmación, el usuario de la
PC1 también debe probar la conectividad a la LAN 192.168.2.0/24.
R1# ping 192.168.2.1 origen g0/0/0
El envío de 5 Ecos ICMP de 100 bytes a 192.168.2.1, el tiempo de espera es de 2 segundos:
Paquete enviado con una dirección de origen de 172.16.3.1
!!!!!
Comprobador de sintaxis: solucionar

problemas de rutas estáticas y
predeterminadas de IPv4
Solucionar problemas de rutas estáticas y predeterminadas IPv4 en función de los requisitos

especificados
Enviar un ping desde R1 a la interfaz G0/0/0 en R3.
R1#ping 192.168.2.1
U.U.U
Pruebe la puerta de enlace del siguiente salto enviando un ping desde R1 a la interfaz
S0 /1/0 de R2.
R1#ping 172.16.2.2

!!!!!
Revise la tabla de enrutamiento en R1.
R1#show ip route

level-2

route

PfR
S 172.16.1.0/24 [1/0] via 172.16.2.2
S 192.168.1.0/24 [1/0] via 172.16.2.2
S 192.168.2.0/24 [1/0] via 172.16.2.2
Revise la tabla de enrutamiento en R2.
R2#show ip route


level-2

route

PfR
S 172.16.3.0/24 [1/0] via 172.16.2.1

Ingrese al modo de configuración y configure una ruta estática en R2 para llegar a la LAN
R3.
R2#configure terminal
R2(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.1
Salga del modo de configuración y revise la tabla de enrutamiento en R2.
R2(config)#exit
R2#show ip route

level-2
route

PfR
S 172.16.3.0/24 [1/0] via 172.16.2.1

S 192.168.2.0/24 [1/0] via 192.168.1.1
Enviar un ping desde R1 a la interfaz G0/0/0 en R3.
R1#ping 192.168.2.1
!!!!!
Ha realizado correctamente la solución de problemas en rutas estáticas y

predeterminadas IPv4
Procesar paquetes con Rutas Estáticas
1. El paquete llega a la interfaz de R1.

2. R1 no tiene una ruta específica hacia la red de destino 192.168.2.0/24; por lo tanto, R1
utiliza la ruta estática predeterminada.
3. R1 encapsula el paquete en una nueva trama. Debido a que el enlace a R2 es un
enlace punto a punto, R1 agrega una dirección de "todos 1 (unos)" para la dirección
de destino de Capa 2.
4. La trama se reenvía desde la interfaz apropiada. El paquete llega a la interfaz en R2.
5. El R2 desencapsula la trama y busca una ruta hacia el destino. R2 tiene una ruta
estática a la red de destino fuera de una de sus interfaces.
6. El R2 encapsula el paquete en una nueva trama. Debido a que el enlace al R3 es un
enlace punto a punto, el R2 agrega una dirección de todos unos (1) para la dirección
de destino de capa 2.
7. La trama se reenvía a través de la interfaz apropiada. El paquete llega a la interfaz en
R3.
8. El R3 desencapsula la trama y busca una ruta hacia el destino. R3 tiene una ruta
conectada a la red de destino desde una de sus interfaces.
9. R3 busca la entrada de tabla ARP para la red de destino para encontrar la dirección
MAC de capa 2 para PC3. Si no existe una entrada, el R3 envía una solicitud de
protocolo de resolución de direcciones (ARP) a través de una de sus interfaces y PC3
responde con una respuesta de ARP, la cual incluye la dirección MAC de la PC3.
10. R3 encapsula el paquete en una nueva trama con la dirección MAC de la interfaz
apropiada como la dirección de la capa 2 de origen y la dirección MAC de la PC3
como la dirección MAC de destino.
11. La trama se reenvía desde la interfaz apropiada. El paquete llega a la interfaz de la
tarjeta de interfaz de red (NIC) de la PC3.
Solucionar problemas de configuración de rutas estáticas y predeterminadas
Las redes están condicionadas a situaciones que pueden provocar un cambio en su estado
con bastante frecuencia. Una interfaz puede fallar o un proveedor de servicios interrumpir
una conexión. Los vínculos pueden sobresaturarse o un administrador puede introducir una
configuración incorrecta. Entre los comandos comunes para la resolución de problemas de
IOS, se encuentran los siguientes:
● ping
● traceroute
● show ip route
● show cdp neighbors detail

Switching, Routing, y Wireless Essentials

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Switching, Routing, y Wireless Essentials

Cargado por

Copyright:

Formatos disponibles

Switching, Routing, y Wireless Essentials

¿Por qué debería tomar este módulo?

¡Bienvenido a la configuración básica del dispositivo!

¿Qué aprenderé en este módulo?

Título del módulo: Configuración básica de dispositivos

Objetivos del módulo: Configuración de los dispositivos mediante los procedimientos

Título del tema Objetivo del tema

Configurar el acceso de administración seguro en un

Configuración básica de un Configurar los ajustes básicos en un router para enrutar

Secuencia de arranque de un switch

Paso 1: Primero, el switch carga un programa de autodiagnóstico al encender (POST) almacenado

Paso 2: A continuación, el switch carga el software del cargador de arranque. El cargador de

El comando boot system

S1(config)# boot system flash:/c2960-lanbasek9-mz.150-2.SE/c2960-lanbasek9-mz.150-

La tabla define cada parte del comando boot system.

boot system El comando principal

flash: The storage device

Indicadores LED del switch

LED del sistema

LED del sistema de alimentación redundante (RPS)

LED de estado del puerto

LED de velocidad del puerto

LED de modo de alimentación por Ethernet

Recuperarse de un bloqueo del sistema

El cargador de arranque proporciona acceso al switch si no se puede usar el sistema operativo

Paso 2. Desconecte el cable de alimentación del switch.

Paso 3. Vuelva a conectar el cable de alimentación al interruptor y, en 15 segundos, presione y

De manera predeterminada, el switch intenta iniciarse automáticamente mediante el uso de

flashfs[0]: 2 files, 1 directories

flashfs[0]: 0 orphaned files, 0 orphaned directories

flashfs[0]: Total bytes: 32514048

flashfs[0]: Bytes used: 11838464

flashfs[0]: Bytes available: 20675584

flashfs[0]: flashfs fsck took 10 seconds.

...done Initializing Flash.

switch: dir flash:

2 -rwx 11834846 c2960-lanbasek9-mz.150-2.SE8.bin

3 -rwx 2072 multiple-fs

Acceso a administración de switches

De manera predeterminada, el switch está configurado para controlar su administración a través de

Configuración de la interfaz de administración

Tarea Comandos IOS

Ingrese al modo de configuración

Configure la dirección IPv4 de la

Configure la dirección IPv6 de la

Vuelva al modo EXEC

Configuración del gateway predeterminado

Si el switch se va a administrar de forma remota desde redes que no están conectadas

Nota: Dado que recibirá la información de la puerta de enlace predeterminada de un mensaje de

Tarea Comandos IOS

Ingrese al modo de configuración

Vuelva al modo EXEC

S1# show ip interface brief

Los puertos de un switch se pueden configurar de forma independiente para diferentes

A diferencia de la comunicación en dúplex completo, la comunicación en semidúplex es

En la ilustración, se muestra la comunicación en dúplex completo y semidúplex.

Tarea Comandos IOS

Ingrese al modo de configuración

Ingrese el modo de configuración

Configure el modo dúplex de la

Vuelva al modo EXEC

Auto-MDIX (MDIX automático)

El comando para habilitar Auto-MDIX se emite en el modo de configuración de interfaz en el switch