Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El plano de la casa ayuda a que todas las partes que han trabajado en la
casa logren dejarla correctamente.
Del mismo modo, las personas que fabrican productos de redes, y las
personas que usan esos productos para construir sus propias redes de
computadoras, siguen un modelo de red particular.
Ese modelo de red define reglas sobre cómo debería funcionar cada parte
de la red, así como cómo las partes deberían funcionar juntas para que toda
la red funcione correctamente.
Este capítulo utiliza TCP/IP para presentar varios conceptos sobre redes
utilizando el contexto de los diferentes roles y funciones en el modelo TCP /
IP.
El primer tema del Capítulo 1 es el Capítulo 1.1 El Modelo OSI » por Marcelo
Suárez
Capítulo 1.1: El Model OSI
¿Qué es el Modelo OSI?
El modelo OSI es un modelo de referencia para los protocolos de red y
esta conformados por 7 capas.
Por sus siglas quiere decir Interconexión de Sistemas Abiertos (en ingles,
Open System Interconnection ó simplemente OSI).
El
modelo OSI y su evolución desde TCP/IP
Capa 3 – Red
4
La Capa de Red cuenta con algunos protocolos, pero sólo uno es el mas
importante, el Protocolo de Internet (en ingles Internet Protocol ó IP).
Provee importantes características, la más importante es la del
direccionamiento y ruteo.
Capa 1 – Física
Enc
apsulamiento de capas y nombres en TCP/IP
Capítulo 2 - Fundamentos de Redes LAN Ethernet
10 Gigabit
10 Gbps 10GBASE-T 802.3an Cobre, 100 m
Ethernet
Para el examen deberás tener muy claro qué tipo de cable o conexión usar
(directa o cruzada) según el tramo de la red. La diferencia es
básicamente por qué pines transmite o recibe los datos, por ejemplo,
una PC transmite por el pin 1 y 2 y un switch transmite por el pin 3 y 6,
para este ejemplo un cable directo es el adecuado ya que tramiten y
reciben por pines distintos. El problema ocurre si conectáramos un cable
directo entre dos dispositivos que tramiten por el mismo pin, ahí es cuando
usamos un cable cruzado.
A continuación dejo un dibujo que muestra las distintas casuísticas:
Fibra
Capítulo 2.2: Fibra Óptica
Creando Físicamente una Red LAN Ethernet
con Fibra (Cable Óptico)
La distancia máxima de muchos cables UTP es de 100 metros. La distancia
de un switch a cualquier dispositivo que se conecte a él es generalmente
menor a 100 metros. Sin embargo, muchas veces se prefiere usar un cable
óptico o cable de fibra óptica en lugar de un cable de cobre ya que ofrece
mayores distancias y otras mejoras.
¿Qué es la Fibra Óptica?
El cable de fibra óptica usa vidrio como medio para que la luz pase a través
de él, ésta luz varia en el tiempo codificando 0s y 1s.
11
Fibra Multimodo
Una luz en el origen, llamada transmisor óptico, emite una luz adentro del
núcleo. La luz pasa a través del núcleo, sin embargo, la luz se refleja en el
revestimiento del cable y vuelve al núcleo. El siguiente ejemplo muestra
como se emite luz desde un emisor LED. Puedes ver como el revestimiento
refleja la luz nuevamente hacia el núcleo mientras viaja a través de él.
Fibra Monomodo
Multimodo VS Monomodo
Sin embargo los cable UTP tienen grandes desventajas respecto a la fibra
óptica, además de las distancias como ya comente antes, el cable UTP es
susceptible al medio, pudiendo tener ruido eléctrico, por ejemplo en
fabricas, ya que puede ser afectado por el electromagnetismo, además, los
cables UTP emiten una señal débil fuera del cable. Todo esto es algo que la
fibra óptica no sufre.
Fibra Óptica VS Cable UTP
Criterio UTP Multimodo Monomodo
3 diciembre, 2019
Capítulo 2.3: Dirección MAC
¿Qué es la dirección MAC?
La dirección MAC (Media Access Control ó Control de Acceso al Medio),
también llamado direccionamiento Ethernet es un conjunto de números
binarios de 6 bytes (48 bits) de largo.
Pero es representada en 12 dígitos hexadecimales.
La primera mitad, es decir, los primeros 3 bytes corresponden
al OUI (Identificador Único de la Organización) y los últimos 3 bytes
corresponden a un número único e irrepetible que asigna el fabricante.
Ejemplo de una dirección Unicast
00:30:1F:3A:05:BC
OUI Número (Tarjeta NIC, Interfaz)
24 bits 24 bits
00:30:1F 3A:05:BC
Nota:
Los dos puntos entre dígitos se utilizan para representar la dirección de una
manera más fácil de leer.
Otros nombres para la Dirección MAC
FFFF:FFFF:FFFF
01:00:0C:CC:CC:CC f
Capítulo 2.4: Half Duplex y Full Duplex
Full Duplex es utilizado por defecto en los Switch, mientras que Half
Duplex es requerido cuando se utilizan Hubs.
Si bien half duplex tiene en cuenta hacer el envío cuando nadie esta
enviando, ¿que sucede si los dos dispositivos reciben al mismo tiempo
y envían al mismo tiempo? Para esto tenemos CSMA/CD.
La lógica del algoritmo realiza los siguientes pasos de comprobación:
Los enlaces WAN conectan routeres en sitios remotos, que pueden estar a
kilómetros o cientos de kilómetros de distancia.
El resto de los capítulos tienen que ver con la capa de red TCP/IP (Capa 3),
con IP como centro de la discusión. En estos capítulos se analiza las
principales características de IP: enrutamiento, direccionamiento y
protocolos de enrutamiento.
La Red WAN (Wide Area Network) es una red que cubre mayores
distancias que una red LAN.
Las distancias que cubre una red WAN pueden ser cientos o miles de
kilómetros alcanzando múltiples locaciones geográficas.
Ejemplo de una Red WAN, conexión de dos redes LAN a través de la WAN
Línea Dedicada (Leased-Line)
Una línea dedicada ó Lease-Line es una línea arrendada o alquilada por
una empresa.
Bandera (Flag): Patrón reconocible para saber que esta llegando una
trama.
Direccionamiento: Identifica el dispositivo destino.
Control: Actualmente no se utiliza.
Tipo (Type): Identifica el tipo de paquete de capa 3 encapsulado en la
trama.
FCS: Identificador de error.
Encapsulación y Desencapsulación en HDLC
Con este avance surgen las redes WAN Ethernet tomando las ventajas que
trae Ethernet consigo.
Cabecera IP
De igual manera para las máscaras /16 que utiliza la Clase B y /24 que
utiliza la Clase C.
IP
3 diciembre, 2019 por Marcelo Suárez
Capítulo 3.2: Enrutamiento IP (Ruteo IP)
¿Cómo es enrutado un paquete IP?
Nada mejor que empezar con un ejemplo, para la siguiente red veremos
que pasos sigue un paquete IP mientras es enrutado hasta llegar a su
destino:
Paso 1. Verifica que la trama no tenga errores, para esto chequea el campo
FCS de la trama; si tiene errores descarta la trama.
Paso 2. Asumiendo que la trama no tenia errores y no fue descartada en el
Paso 1, el router quita el encabezado y la cola de la trama para dejar
solamente el paquete IP.
Paso 3. Compara la dirección IP de destino que tiene el paquete IP con su
tabla de ruteo IP y busca el router que mejor se correlaciona con la
dirección IP de destino. Esta ruta (de la tabla de ruteo) identifica la interfaz
de salida del router y posiblemente el siguiente salto (next-hop); la dirección
IP del siguiente router.
Paso 4. Encapsula el paquete IP dentro de una nueva trama de la capa de
enlace (capa 2) con un nuevo encabezado y cola con los nuevos datos
necesarios para reenviar el paquete encapsulado hacia una nueva interfaz
de salida.
El proceso se repite hasta que el paquete llegue a su destino.
Si bien el router realiza todos los pasos antes descritos, la función principal
de un router estaría en el Paso 3.
20 FTP datos
21 FTP control
22 SSH
23 Telnet
33
25 SMTP
53 DNS
80 HTTP (WWW)
110 POP3
443 SSL
Una dirección IP
Un protocolo de tranporte
Un número de puerto
34
Sockets en TCP
El servidor puede decir cuales paquetes son enviados desde uno de los 50
clientes mirando el puerto de origen en el segmento TCP recibido.
Establecimient
o y Finalización de Conexión TCP de tres vías (también llamado three-way
handshake)
El establecimiento de conexión en TCP se realiza por tres vías (también
llamado three-way handshake) y se realiza previo a comenzar la
transferencia.
Las señales de conexión TCP utilizan 2 bits dentro del campo bandera (flag)
en la cabecera TCP. Las banderas son SYN y ACK.
Confiabilidad en TCP
el siguiente byte esperado, en lugar del número del último byte recibido,
se denomina acuse de recibo.
En éste primer ejemplo no se recupera ningún error, pero nos muestra de
una manera simple cómo un host envía datos con números de secuencia
para identificar los datos y del otro lado host que lo recibe utiliza el número
de reconocimiento de para reconocer los datos.
53 DNS
67 DHCP Servidor
68 DHCP Cliente
69 TFTP
161 SNMP
514 Syslog
P y UDP
14 diciembre, 2019 por Marcelo Suárez
40
El emulador trata todos los datos como texto y debe ser configurado para
ser utilizado con un puerto serial para que coincida la configuración del
switch con la configuración del puerto de consola.
Configuración 8N1
La configuración por defecto para un switch es la siguiente. Puedes ver
que los últimos tres parámetros se refieren colectivamente como 8N1.
9600 bits/second
No hardware flow control
8-bit ASCII
No parity bits
1 stop bit
Password:
CCNAdesdecero.com>
45
CCNAdesdecero.com> reload
Translating "reload"
% Unknown command or computer name, or unable to find computer
address
CCNAdesdecero.com> enable
Password:
CCNAdesdecero.com#
CCNAdesdecero.com# reload
line console 0
hostname(config-
Line
line)#
line vty 0 15
write erase
erase startup-config
erase nvram:
R1#write erase
Erasing the nvram filesystem will remove all configuration files!
Continue? [confirm]
[OK]
Erase of nvram: complete
%SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
R1#reload
Proceed with reload? [confirm]
3 diciembre, 2019 por Marcelo Suárez
Capítulo 4.5: Configurar Consola
Pasos para Configurar Consola en Switch Cisco
Configurando la contraseña para consola:
1. Utiliza el comando line con 0 para ingresar al modo de configuración
de la consola.
2. Utiliza el subcomando login para habilitar la contraseña de seguridad
de consola utilizando un sistema de seguridad simple.
3. Utiliza el subcomando password password-value para indicar la
contraseña de consola.
Ejemplo: Contraseña de Acceso en CLI por Consola
El
comando username nombre_ususario secret contraseña_usuario permitirá
tener un nombre de usuario y contraseña, y podras tener varios para cada
administrador.
Username: usuario1
Password:
SW1> enable
Password:
SW1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#^Z
SW1#
*Mar 11 05:00:46.329: %SYS-5-CONFIG_I: Configured from console by
wendell on vty0
(10.0.0.1)
Para prevenir lo anterior, STP bloquea puertos para que sólo exista un
camino activo si existe más de un camino físico para un mismo destino.
Si bien STP es una gran solución, también tiene aspectos negativos, por
ejemplo, se necesita algo de trabajo para balancear el tráfico a través de un
enlace redundante alternativo.
Comando Descripciòn
terminal history Permite a un usuario elegir, solamente para su sesión, el tamaño del historial
size x de comandos guardados.
Protocol Interface
Line Status Causas Principales Típicas
Status Status
administratively
down disable El comando shutdown esta configurado en la interfaz.
down
down (err-
down err-disable Port security tiene deshabilitada la interfaz.
disable)
Observa por un momento los estados notconnect, este estado puede tener
varias causas, por ejemplo, usar los pinouts del cable incorrectamente,
velocidad, etc. En el siguiente capítulo veremos en mayor profundidad éste
tipo de estado.
El
comando username nombre_ususario secret contraseña_usuario permitirá
tener un nombre de usuario y contraseña, y podras tener varios para cada
administrador.
Username: usuario1
Password:
SW1> enable
Password:
SW1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#^Z
SW1#
*Mar 11 05:00:46.329: %SYS-5-CONFIG_I: Configured from console by
wendell on vty0
(10.0.0.1)
Capítulo 6.2: Configurar SSH
Telnet tiene una seria desventaja frente a SSH: todos los datos en la
sesiones se trasmiten en texto plano, incluyendo la contraseña.
57
SSH encripta todos los datos transmitidos entre el cliente SSH y el servidor,
protegiendo así los datos y las contraseñas.
SSH utiliza el puerto bien conocido 22/TCP.
Ejemplo: Agregando la Configuración SSH a la Configuración de un
Usuario Local
! el paso.
CCNA(config-if)# ^Z
CCNA#
00:48:20: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
00:48:21: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1,
changed state to up
SW1(config-if)# shutdown
SW1(config-if)#
administratively down
Como resultado, los dispositivos conectados a un hub deben usar las reglas
de la IEEE para elegir la configuración por defecto, la cual sera el uso de 10
Mbps y half duplex.
Por ejemplo, en la siguiente figura tenemos dos PCs (PC1 y PC2), PC1
envía una trama con su dirección MAC de origen.
interface FastEthernet0/1
switchport port-security
switchport port-security mac-address 0200.1111.1111
!
interface FastEthernet0/2
switchport mode access
switchport port-security
switchport port-security mac-address sticky
!
73
interface FastEthernet0/3
switchport mode access
switchport port-security
!
interface FastEthernet0/4
switchport mode trunk
switchport port-security
switchport port-security maximum 8
switchport port-security habilita la seguridad en el puerto con la
configuración por defecto.
switchport mode access para cumplir con el requisito de configurar el
puerto como un puerto de acceso (access) o troncal (trunk).
switchport port-security mac-address 0200.1111.1111 define una
dirección MAC de origen especifica. Con la máxima dirección MAC
permitida por defecto de 1, sólo tramas con la dirección MAC
0200.1111.1111 de origen serán permitidas en éste puerto. Cuando una
trama diferente a ésta ingresa al puerto F0/1, el switch realiza la acción de
violación por defecto que es deshabilitar la interfaz (shutdown).
switchport port-security mac-address sticky le dice al switch que de
forma dinámica aprenda la dirección MAC de origen y agregue los
comandos port-security al running-config.
Verificando la configuración:
Atrás en el tiempo lo que se utilizaba en una red era un Hub Ethernet, pero
a diferencia de un switch Ethernet el primero no interpreta una señal
eléctrica entrante como una trama Ethernet como si lo haría un Switch.
Básicamente un hub es un repetidor, cuando un repetidor recibe una señal
eléctrica éste replica la misma por todos sus puertos (a excepción del
puerto de ingreso) regenerando la señal.
Ejemplo de colisión
Imagina que tienes una red con varios switches, configurados todos por
defecto dentro de la VLAN 1, si se envía un flujo de tramas de broadcast en
esa red, las tramas llegaran a todos los puertos de todos los dispositivos
conectados (excepto desde donde salio la trama).
Todos los puertos en un hub o switch por defecto pertenecen al mismo
dominio de broadcast.
Todos los puertos en un router están en diferentes dominios de
broadcast y los routers no reenviaran las tramas de broadcast de un
dominio a otro.
Los Routers separan Dominios de Broadcast
Cobre UTP,
10 Mbps Ethernet 10BASE-T 802.3i
100 m
Cobre UTP,
100 Mbps Fast Ethernet 100BASE-T 802.3u
100 m
Cobre UTP,
1000 Mbps Gigabit Ethernet 1000BASE-T 802.3ab
100 m
40 Gigabit
40 Gbps 40GBASE-X 802.3ba Fibra, 100 m
Ethernet
80
100 Gigabit
100 Gbps 100GBASE-X 802.3ba Fibra, 100 m
Ethernet
Tipo de Ethernet, Medio y Largo Máximo del Segmento
Ejemp
lo de una Red usando Wireless LAN Controller (WLC)
La clave de todo esto es que todo el tráfico fluye a través del WLC.
+
Capítulo 8.3: Qué es una VLAN?
Qué es una VLAN: Una V LAN (Virtual LAN) agrupa lógicamente
dispositivos en un mismo dominio de broadcast, creando
lógicamente distintas redes como si fueran distintas redes físicas.
Lo que hace el protocolo 802.1Q es agregar una etiqueta a cada trama con
la VLAN ID, ésta cabecera sobre la trama original es de 4 bytes y la VLAN
ID corresponde a un campo de 12 bits dentro de la cabecera.
En teoría el campo VLAN ID soportaría 4096 VLANs, pero en la practica
soporta 4094 ya que reserva la VLAN 0 y 4095.
Existe definida una VLAN especial, llamada VLAN nativa en cada enlace
trunk (por defecto VLAN 1).
Por definición no se agrega un encabezado a una trama que esta en la
VLAN nativa. Cuando el switch en el otro extremo del enlace trunk recibe
una trama que no tiene un encabezado 802.1Q, sabe que la trama es parte
de la VLAN nativa. Por supuesto que ambos switches deben tener
configurado el mismo número de VLAN nativa.
La VLAN nativa sirve para que switches que no están conectados en modo
trunk puedan comunicarse a través de la VLAN nativa (que no tiene
encabezado 802.1Q).
El modo de acceso para la interfaz se usa cuando tenemos una única VLAN
(no es trunk).
Opción del
Descripción
comando
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
El resultado anterior nos muestra el modo administrativo por defecto como
dynamic auto. Dado que SW2 también esta configurado como dynamic
auto, el resultado es que el modo operacional se encuentra en el estado
«access», es decir, no es trunking.
Recordemos que dynamic auto le dice a ambos switches que esperen a otro
switch que comience la negociación.
Como podemos ver no hay interfaces en modo trunk, esto nos reafirma lo
que veíamos antes, el enlace que interconecta los switchers no se
encuentra en modo trunk.
Ejemplo 2: Cambiando SW1 de Dynamic Auto a Dynamic Desirable
Gi0/1 1-3
Posición
Título Razones
en la lista
SW1(config)# vlan 10
SW1(config-vlan)# vlan 11
97
En Resumen:
Configura los puertos como un puerto de acceso normal: Configurar
como un puerto de acceso estático y asigna una VLAN.
Agrega un comando más para definir la VLAN de voz (switchport
voice vlan vlan-id).
Observa que se nombra a la VLAN ID de voz en la salida del
comando show interfaces tipo-número-interfaz switchport.
Observa que se ve la VLAN de voz y datos, ambas VLAN IDs en la
salida del comando show interfaces trunk.
No esperes ver listado el puerto en la lista de trunks operativos con el
comando show interfaces trunk.
Imagina el caso en que Bob envía una trama a Larry, pero ninguno de los
switches conoce como llegar a Larry. Los switches inundan de tramas hacia
destinos desconocidos. Cuando Bob envía la trama destinada a la dirección
MAC de Larry, SW3 envía una copia tanto a SW1 como SW2. SW1 y SW2
101
Problema Descripción
La siguiente figura nos muestra cómo funciona STP y RSTP para resolver el
problema, cambiando el estado de un puerto del SW3 a bloqueado.
102
STP/RSTP elige un switch como root o raíz (switch raíz). STP pone
todas las interfaces que están funcionando en el switch raíz en estado
de reenvío.
Cada switch que no es un switch raíz, considera el costo
administrativo entre su puerto y el switch raíz. El costo se llama,
el costo raíz de ese switch. STP/RSTP pone su puerto que es parte
de la ruta de menor costo raíz, llamado puerto raíz (en inglés, Root
Port o RP) en estado de reenvío.
Muchos switches pueden conectarse al mismo segmento Ethernet,
pero dado que un enlace conecta dos dispositivos, un enlace sólo
podrá tener un máximo de dos switches. Con dos switches en un
enlace, el switch con el menor costo raíz, comparándose con los
otros switches conectados al mismo enlace, es puesto en estado de
reenvío. Éste switch, es el switch designado, y las interfaces de ese
switch, conectadas a ese segmento, con llamado puerto designado
(en inglés, Designated Port o DP).
Todas las demás interfaces son puestas en estado bloqueado. La
siguiente tabla resume las razones por las que STP/RSTP pone un puerto
en estado reenvío o bloqueado:
STP/RSTP: Razones para Reenviar o Bloquear Puertos
Cada puerto raíz del El puerto a través del cual el switch tiene el menor
Forwarding
switch no raíz costo para llegar al switch raíz (menor costo raíz).
Hello BPDU
El mensaje BPDU más común es el mensaje Hello BPDU, que lista varios
detalles, incluyendo el BID.
La siguiente tabla describe algunas de las informaciones mas importantes
del menaje Hello BPDU:
105
Campo Descripción
El bridge ID del switch que envía el Hello, quien actualmente cree que
Bridge ID raíz
es el switch raíz
STP/
RSTP: Proceso inicial y cuando SW1 gana como Switch Root o Switch Raíz
En Resumen, Dos Criterios para Elegir el Switch Raíz
Para este ejemplo podemos ver que el costo del camino desde el SW3,
interfaz G0/1 es de 5 y el otro camino tiene un costo de 8. SW3 usa el
puerto G0/1 como puerto raíz porque es el camino menos costoso para
llegar al switch raíz.
107
Cómo STP/RSTP calcula el costo desde SW3 hacia el SW1 que es el switch
raíz (root).
El switch raíz envía su costo raíz = 0.
Eligiendo el Puerto Designado (Designted Port o
DP)
El paso final de STP/RSTP es elegir el puerto designado (DP) dentro de
un segmento de red. El DP es el puerto del switch que notifica en el
mensaje Hello el menor costo en ese segmento LAN.
Por ejemplo, en la imagen anterior vemos que el SW2 reporta un costo 4 y
SW3 un costo 5. Dado que SW2 reporta el menor costo, Gi0/2 es el puerto
designado.
1 Gbps 4 20,000
10 Gbps 2 2000
1 Tbps N/A 20
Hasta ahora habíamos visto todo lo que pueden hacer STP y RSTP. Ahora
veremos características que hace STP que RSTP no hace, para poder
contrastarlos y entrar de lleno en la próxima sección exclusivamente con el
funcionamiento de RSTP.
STP y RSTP difieren cuando la red sufre cambios, la forma en que
reaccionan estos dos protocolos es diferente, de ahí el nombre Rapid
(Rápido) STP. Entender cómo reacciona STP a los cambios nos ayudará a
entender mejor cuales son las ventajas de RSTP para que responda más
rápido a esos cambios.
Funcionamiento de STP en un Escenario Normal
Un switch raíz envía un nuevo BPDU Hello cada 2 segundos por defecto.
Valor por
Temporizador Descripción
Defecto
10 veces Hello
(20 segundos, 10 Cuanto tiempo cualquier switch debe
MaxAge (Tiempo veces el tiempo esperar después de dejar de escuchar
Máximo de Vida) por defecto del Hellos, antes de intentar cambiar
Hello de 2 la topología STP.
segundos)
Blocking
No No Estable
(Bloqueando)
Listening
No No Transitorio
(Escuchando)
Learning
No Si Transitorio
(Aprendiendo)
Forwarding
Si Si Estable
(Reenviando)
Disabled
No No Estable
(Deshabilitado)
Sobre bajar los tiempos de espera, antes STP definia el MaxAge 10 veces
para los Hello (cada Hello se envía cada 2 segundos), siendo en total 20
segundos de espera. Ahora RSTP lo hace sólo 3 veces en vez de 10.
Roles de los Puertos en RSTP
Uno de los grandes cambios en RSTP es que agrega dos roles de puertos
más con respecto a STP:
Puerto Alternativo (Alternate Port) que sirve para remplazar al
Puerto Raíz cuando éste falla.
Puerto de Respaldo (Backup Port) que sirve para remplazar al
Puerto Designado cuando éste falla.
Comparación del Estados de los Puertos en STP y RSTP
112
Estado
Función Estado STP
RSTP
Estado intermedio sin aprendizaje de MAC y sin reenvío Listening Not used
Puerto
Puerto que esta administrativamente deshabilitado
deshabilitado
Ejemplo RSTP: SW3 Haciendo que G0/2 se Convierta en el Puerto
Alternativo
Estado
Función
RSTP
RSTP: Configuración
11 junio, 2020 por Marcelo Suárez
Por muchas razones, la mayoría de los Ingenieros de red hacen que la capa
de switches de distribución (red de transporte) sean los switches raíz. El
siguiente dibujo muestra una red típica con dos switches de distribución y
tres switches de acceso que conectan con los usuarios finales.
a PVST+ (Per VLAN Spaning Tree Plus). A su vez vemos como hace
balanceo de carga usando las dos interfaces, una por cada VLAN.
Rapid
RSTP 1/VLAN 802.1w rapid-pvst
PVST+
VLAN0009
Cost 4
Port 25 (GigabitEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32777 (priority 32768 sys-id-ext 9)
Address f47f.35cb.d780
! Output omitted for brevity
Métodos de RSTP para Soportar Multiple Spanning Trees
VLAN0003
Spanning tree enabled protocol ieee
Root ID Priority 28675
Address 0019.e859.5380
Cost 12
Port 72 (Port-channel1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use N - not in use, no aggregation
f - failed to allocate aggregator
PAgP VS LACP
LACP soporta más enlaces en un channel -16- comparado con PAgP que
soporta un máximo de 8.
Con LACP, sólo 8 pueden estar activos al mismo tiempo, mientras que los
otros quedan en estado de espera para ser usados en caso que un enlace
activo falle.
---------------------------
Port-channel: Po1
------------
Protocol = PAgP
Port security = Disabled
Load share deferral = Disabled
------+------+------+------------------+-----------
0 00 Gi0/1 Desirable-Sl 0
0 00 Gi0/2 Desirable-Sl 0
Velocidad
Duplex
Acceso operacional o estado del trunking (todos deben ser puertos -
access- de acceso, o todos deben ser puertos -trunks- troncales)
Si es un puerto de acceso (switchport mode access), verifica
la VLAN de acceso
Si es un puerto trunk, verifica la lista de VLAN
permitida (comando switchport trunk allowed)
Si es un puerto trunk, verifica la VLAN nativa
Configuraciones de STP en la interfaz
Adicionalmente los switches verifican las configuraciones del switch vecino.
Para esto los switches usan PAgP o LACP ó Cisco Discovery Protocol
(CDP) si están usando una configuración EtherChannel manual.
126
Ejemplo de fallo
------+-------------+-----------
+-----------------------------------------------
1 Po1(SD) - Gi0/1(D) Gi0/2(D)
Ejemplo:
En el capítulo anterior vimos las Clases de Redes IPv4 y que por ejemplo
una clase B tiene una máscara /16; desde la IP 128.0.0.0 a
191.255.255.255.
En el siguiente ejemplo vamos a armar cinco redes pequeñas para algunos
pocos hosts con una clase B, tendríamos por ejemplo algo así:
131
Ésto seria un desperdicio de IPs ya que cada red podría soportar 65536-
2(Red y Broadcast)=65534 hosts.
Para solucionar ésto es que usamos las subredes, podemos entonces hacer
una subdivición de recursos más eficiente y para el ejemplo anterior
podríamos asignar las subredes de la siguiente manera:
132
División de Subredes
¿Cómo Calcular Subredes IPv4?
Para calcular el número de subredes necesarias debemos tener acceso a la
documentación y diagramas de la red actual, detalles sobre las
configuraciones de VLANs y sobre los enlaces WAN.
Para los tipos de enlaces que hemos visto en este curso, necesitaríamos
planificar subredes para las VLANs, enlaces serial Point-to-point ó Punto-a-
Punto, Enlaces WAN como EoMPLS.
Ejemplo de Subredes
Interconexión de Subredes
134
Podríamos usar un único tamaño para todas las subredes o variar el tamaño
de las subredes para dimensionar el uso de IPs según nuestras
necesidades.
Calculando el Tamaño de una Subred
135
Clase (A, B, o C)
Máscara por defecto
Número de octetos/bits de la red
Número de octetos/bits del host
Número de direccionamiento del host en la red
ID de la red
Dirección de broadcast de la red
Primer y última dirección usable de la red
Rango
Número Número
del
Clase Redes válidas Propósito total de total de Máscara
Primer
redes host
Octeto
Unicast
1.0.0.0 a 27 − 2 = 224 − 2 =
A 1 a 126 (redes 255.0.0.0
126.0.0.0 126 16,777,214
grandes)
Unicast
128 a 128.0.0.0 a 214 − 2 = 216 − 2 =
B (redes 255.255.0.0
191 191.255.0.0 16,384 65,534
medianas)
Unicast
192 a 192.0.0.0 a 221− 2 =
C (redes 28− 2 = 254 255.255.255.0
223 223.255.255.0 2,097,152
pequeñas)
Reservada
240 a 240.0.0.0 a Máscara no
E (formalmente
255 255.255.255.255 definida
experimental)
00000000 0 0
10000000 128 1
11000000 192 2
11100000 224 3
11110000 240 4
11111000 248 5
143
11111100 252 6
11111110 254 7
11111111 255 8
Nota: 27 + 26 + 25 + 24 + 23 + 22 + 21 + 20 = 28
11111111 11111111 11000000 00000000
255.255.192.0
Lógica: 28 . 28 . (27 + 26) . 0
11111111 11111111 11111111 11110000
255.255.255.240
Lógica: 28 . 28 . 28 . (27 + 26 + 25 + 24)
11111111 11111000 00000000 00000000
255.248.0.0
Lógica: 28 . (27 + 26 + 25 + 24 + 24) . 0 . 0
Classless y Classful
11 junio, 2020 por Marcelo Suárez
Capítulo 13.2: Classless y Classful
En el capítulo anterior vimos qué es una Dirección Classful, ahora la
compararemos una Dirección Classless y Classful.
Classless vs Classful
Dirección Classless: Conceptualmente una dirección IPv4 tiene dos partes
— el prefijo y el host — definidos por la máscara, sin tener consideración de
la clase (A, B, o C).
Dirección Classful: Conceptualmente una dirección IPv4 tiene tres partes
— red, subred y host— definidos por la máscara y las reglas de la Clase A,
B, y C.
Es decir, una dirección Classful esta definida por una clase específica en la
parte de la red, mientras que una dirección Classless no es definida por una
clase especifica de 8, 16 o 24 bits.
Classless y Classful
Un ID de la subred
Una dirección de broadcast de la subred
145
Red: 172.16.0.0/18
10101100.00010000.00000000.00000000
Máscara: 172.16.63.255
10101100.00010000.00111111.11111111
Red: 172.16.64.0/18
10101100.00010000.01000000.00000000
Máscara: 172.16.127.255
10101100.00010000.01111111.11111111
Red: 172.16.128.0/18
10101100.00010000.10000000.00000000
Máscara: 172.16.191.255
10101100.00010000.10111111.11111111
Red: 172.16.192.0/18
10101100.00010000.11000000.00000000
Máscara: 172.16.255.255
10101100.00010000.11111111.11111111
Definiciones
¿Qué es el ID de la Subred?
1. Conecta los cables de cobre LAN que tienen un conector RJ45 a los
puertos LAN del switch.
2. Para cualquier puerto WAN serial:
A. Si usas CSU/DSU externo, conecta la interfaz serial del router al
CSU/DSU y éste a la línea de tu proveedor de servicio.
B. Si usas CSU/DSU interno, conecta la interfaz serial del router a la
línea de tu proveedor de servicio.
3. Para cualquier puerto WAN Ethernet:
A. Cuando ordenes el servicio WAN Ethernet, confirma el estándar
Ethernet y el tipo de SFP requerido para conectar el enlace y compra
el SFP.
B. Instala el SFP en el router y conecta el cable Ethernet del enlace
WAN Ethernet con el SFP en cada extremo.
4. Conecta el puerto de consola del router a un PC (usando un cable
cruzado), según sea necesario, para configurar el router.
5. Conecta el cable de poder del router para energizarlo.
6. Prende el router.
Cómo Acceder a un Router Cisco por CLI
Nota: Previamente en éste curso vimos varios temas que puede que te
sirva repasar antes de seguir:
Cómo Configurar IP de Gestión en un Switch
Cómo Configurar Telnet
Cómo Configurar SSH
Para configurar un switch o router se debe acceder a la CLI (Command Line
Interface) del equipo.
Comandos de Cisco Iguales entre Router y Switch
Líneas Estado de la
Listado de
Comando Mostradas por Interfaz
Configuración IP
Interfaz Listada?
show ip
1 Dirección Si
interface brief
show protocols
1o2 Dirección/Máscara Si
[type number]
show interfaces
Muchas Dirección/Máscara Si
[type number]
Un Ejemplo de Enrutamiento IP
Paso 1: Host A Envía el Paquete al Router por Defecto R1 (Default Gateway)
La Lógica del Host A es la siguiente:
Tabla de Enrutamiento IP
Paso 5: R1 Encapsula el Paquete IP en una Nueva Trama
El router vuelve a encapsular el paquete IP en una nueva trama de la capa
de enlace, así que le agrega un nuevo encabezado y la cola.
Ver IP Configurada
158
La subred
La máscara de la subred
La interfaz de salida de R1 (S0/0/0) o el siguiente salto (next-hop),
es decir la dirección IP (172.16.4.2) configurada en la interfaz del
siguiente router, que es R2.
160
En los dos ejemplos anteriores nos muestra las dos maneras de agregar el
enrutamiento estático para llegar desde R1 a las redes 172.16.2.0/24 y
172.16.3.0/24.
Se puede dar el caso que para la misma ruta existan otras formas de
llegar, por ejemplo si se configura ademas de una ruta estática, una ruta
dinámica para llegar a dicha red.
El router debe primero considerar la distancia administrativa (sobre ésto lo
veremos en los próximos caítulos) de la ruta, sirve para saber qué ruta es
tomada más en cuenta de a cuerdo a cómo fue configurada (directamente
conectada, estática, dinámica usando un protocolo de enrutamiento, etc).
Por ejemplo, si queremos alcanzar la misma subred y configuramos la ruta
de manera estática, entonces la distancia administrativa será 1, mientras
que la distancia administrativa para una ruta configurada con OSPF
seria 110 o con RIP 120. Cuanto más cercano a cero más autoridad tendrá
esa ruta.
Pero no nos compliquemos ahora con esto, ya que veremos más adelante
en este curso.
162
Verifica si:
Prefijo (ID de la
10.2.2.0 El número de subred para esta ruta en particular.
subred)
Router del Para los paquetes que van a esta ruta, la dirección IP del
10.2.2.5 siguiente salto siguiente salto (router) a donde el paquete debe ser
(Next-hop) reenviado.
165
Valor en el
Idea Descripción
Ejemplo
Pasos de configuración:
Por ejemplo, para la VLNA 10 (encapsulation dot1q 10), puedo usar una
subinterfaz 30.
ip routing
!
interface vlan 10
ip address 10.1.10.1 255.255.255.0
!
interface vlan 20
ip address 10.1.20.1 255.255.255.0
!
interface vlan 30
ip address 10.1.30.1 255.255.255.0
A continuación vemos todas las redes descubiertas e incluidas en la tabla
de enrutamiento por ser directamente conectadas.
! Case 1: Interface F0/1, the last up/up access interface in VLAN 10,
is shutdown
SW1(config)# interface fastEthernet 0/1
SW1(config-if)# shutdown
SW1(config-if)#
*Apr 2 19:54:08.784: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Vlan10, changed
state to down
SW1(config-if)#
*Apr 2 19:54:10.772: %LINK-5-CHANGED: Interface FastEthernet0/1,
changed state to
administratively down
*Apr 2 19:54:11.779: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/1,
changed state to down
SW1(config)# no vlan 20
SW1(config)#
*Apr 2 19:54:39.688: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Vlan20, changed
state to down
! Case 3: VLAN 30, the VLAN from the switch to the router, is
shutdown
SW1(config)# vlan 30
SW1(config-vlan)# shutdown
SW1(config-vlan)# exit
SW1(config)#
*Apr 2 19:55:25.204: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Vlan30, changed
state to down
ip routing
interface vlan 10
interface vlan 20
176
show interfaces:
Lista los puertos enrutados como una interfaz de salida de las rutas.
Para las VLANs en las que varias interfaces (access y trunk) se conectan a
esa VLAN, el enrutamiento Inter VLAN (SVI) tiene más sentido, porque las
SVIs pueden enviar y recibir tráfico hacia y desde múltiples puertos en el
mismo switch.
En este diseño, todos los puertos de Core1 y Core2 deben ser puertos
enrutados, mientras que los cuatro switches de distribución usarán algunos
puertos enrutados y otros como SVIs.
Configuración
interface GigabitEthernet1/0/13
no switchport
no ip address
channel-group 12 mode on
!
interface GigabitEthernet1/0/14
no switchport
no ip address
channel-group 12 mode on
180
!
interface Port-channel12
no switchport
ip address 10.1.12.1 255.255.255.0
Verificación
port-channel 12
Si por ejemplo haces ping a una dirección de red y funciona y luego haces
un ping a otra dirección de red y falla ¿qué te dice la falla de ese comando
ping? ¿Qué partes del enrutamiento IPv4 pueden tener problema, y ¿qué
partes sabes que no son un problema?
Por tanto, el comando ping nos sirve para aislar las causas del
problema e ir segmentando la red hasta encontrar el origen.
Cómo Funciona el Comando Ping?
El comando ping prueba la conectividad enviando paquetes a una dirección
IP, esperando que los paquetes vuelvan desde esa dirección de vuelta.
El comando envía paquetes que significan «si recibe este paquete, y está
dirigido a ti, envía una respuesta».
Cada vez que el comando ping envía uno de estos paquetes y recibe el
mensaje enviado por el otro host (el destino), el comando ping sabe que un
paquete se generó desde el host de origen al de destino y viceversa.
Ejemplo de un Ping
Ejemplo desde una PC
$ ping 172.16.2.101
PING 172.16.2.101 (172.16.2.101): 56 data bytes
64 bytes from 172.16.2.101: icmp_seq=0 ttl=64 time=1.112 ms
64 bytes from 172.16.2.101: icmp_seq=1 ttl=64 time=0.673 ms
64 bytes from 172.16.2.101: icmp_seq=2 ttl=64 time=0.631 ms
64 bytes from 172.16.2.101: icmp_seq=3 ttl=64 time=0.674 ms
64 bytes from 172.16.2.101: icmp_seq=4 ttl=64 time=0.642 ms
64 bytes from 172.16.2.101: icmp_seq=5 ttl=64 time=0.656 ms
^C
--- 172.16.2.101 ping statistics ---
6 packets transmitted, 6 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.631/0.731/1.112/0.171 ms
Ejemplo de Ping Desde un Router Cisco
Esto sucede cuando el router aún no tiene en su tabla ARP esa ruta.
En el siguiente ejemplo vemos al router 1 (R1) hacer ping al host B:
Tablas ARP en una PC, un Switch y un Router Cisco luego del Ping
A continuación te muestro cómo ejecutar y utilizar el comando Ping en
distintos equipos:
186
Una vez en la ventana CMD ejecutar el comando ping seguido de una IP,
por ejemplo:
ping 8.8.8.8
También puedes hacer ping a una URL o dominio.
C:\Users\Marcelo>ping google.com
Haciendo ping a google.com [172.217.172.78] con 32 bytes de datos:
Respuesta desde 172.217.172.78: bytes=32 tiempo=13ms TTL=114
Respuesta desde 172.217.172.78: bytes=32 tiempo=14ms TTL=114
Respuesta desde 172.217.172.78: bytes=32 tiempo=14ms TTL=114
Respuesta desde 172.217.172.78: bytes=32 tiempo=14ms TTL=114
Estadísticas de ping para 172.217.172.78:
Paquetes: enviados = 4, recibidos = 4, perdidos = 0
(0% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 13ms, Máximo = 14ms, Media = 13ms
C:\Users\Marcelo>
Es el mismo comando para hacer ping en Packet Tracer ya que éste emula
al CMD.
Ejemplo de Ping a Toda la Red
R1# ping
Protocol [ip]:
Target IP address: 172.16.2.101
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 172.16.1.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
189
-l Especifica que los paquetes ICMP deben ser enviados lo más rápido posible.
Tracerout
Qué es Traceroute?
Traceroute es un comando para diagnóstico que permite seguir el rastro de
los paquetes que vienen desde un host o punto en la red. Se obtienen
además estadísticas del tiempo de ida y vuelta o la latencia de la red de
esos paquetes, lo que seria una estimación de la distancia a la que están
los extremos de la comunicación.
En Linux y Mac se llama traceroute y en Windows se llama tracert.
Para qué Sirve Traceroute?
Como vimos con el comando ping, el comando traceroute ayuda a los
ingenieros de red a aislar los problemas.
Ping VS Traceroute
$ traceroute 172.16.2.101
traceroute to 172.16.2.101, 64 hops max, 52 byte packets
1 172.16.1.1 (172.16.1.1) 0.870 ms 0.520 ms 0.496 ms
2 172.16.4.2 (172.16.4.2) 8.263 ms 7.518 ms 9.319 ms
3 172.16.2.101 (172.16.2.101) 16.770 ms 9.819 ms 9.830 ms
Traceroute envía mensajes con valores bajos de TTL para hacer que los
routeres envíen un mensaje TTL de tiempo excedido.
Específicamente, un comando traceroute comienza enviando varios
paquetes (normalmente tres), cada uno con el campo TTL de cabecera
igual a 1. Cuando ese paquete llega al siguiente router (el router R1 es el
router por defecto del host A en el ejemplo de la figura) el router disminuye
el TTL a 0 y descarta el paquete. El router entonces envía al host A el
mensaje TTL de tiempo excedido, que identifica la dirección IP del router al
comando traceroute.
Pasos de Traceroute
R1# traceroute
Protocol [ip]:
Target IP address: 172.16.2.101
Source address: 172.16.1.1
Numeric display [n]:
Timeout in seconds [3]:
Probe count [3]:
Minimum Time to Live [1]:
Maximum Time to Live [30]:
Port Number [33434]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Type escape sequence to abort.
Tracing the route to 172.16.2.101
VRF info: (vrf in name/id, vrf out name/id)
1 172.16.4.2 0 msec 0 msec 0 msec
2 172.16.2.101 0 msec 0 msec *
NOTA Los comandos de traceroute del sistema operativo del host suelen
crear solicitudes echo ICMP. El comando traceroute del sistema operativo
de Cisco (IOS) crea en cambio paquetes IP con un encabezado UDP. Esta
información puede parecer trivial en este punto. Sin embargo, ten en cuenta
que una ACL puede filtrar el tráfico de los mensajes traceroute de un host
pero no el comando traceroute del router, o viceversa.
Traceroute en Windows (tracert)
C:\>tracert www.google.com
1 13 ms 16 ms 8 ms 192.168.11.1
2 7 ms 17 ms 10 ms 200.63.27.9
197
3 12 ms 4 ms 19 ms 192.168.2.181
5 40 ms 123 ms 8 ms SOL-LSR_II-GE-SOL-RAC-
AVELLANEDA_3600.skyonline.net.ar [66.61.38.113]
7 30 ms 67 ms 9 ms 200.0.17.213
8 50 ms 33 ms 25 ms 209.85.261.84
9 34 ms 29 ms 31 ms 209.85.247.187
10 30 ms 65 ms 12 ms eze03s16-in-f19.1e100.net
[173.194.42.115]
11 40 ms 98 ms 23 ms GE-SOL-LSR_II-LSR_I.skyonline.net.ar
[200.103.0.222]
Traza completa.
Traceroute en Linux
1 * * *
198
2 172.16.183.1 (172.16.183.1) 23 ms 23 ms 22 ms
4 cnt-00-tge1-0-0.gw.cantv.net (200.44.43.85) 38 ms 38 ms 37 ms
5 cri-00-pos1-0-0.border.cantv.net (200.44.43.50) 51 ms 43 ms
43 ms
6 sl-st21-mia-14-1-0.sprintlink.net (144.223.245.233) 94 ms 93
ms 93 ms
7 sl-bb20-mia-5-0-0.sprintlink.net (144.232.9.198) 95 ms 93 ms
93 ms
8 sl-crs1-mia-0-4-0-0.sprintlink.net (144.232.2.248) 94 ms 95 ms
95 ms
Traceroute en Mac
199
6 tengige0-7-0-5.madtr1.madrid.opentransit.net (193.251.255.209)
49.426 ms 32.855 ms 37.527 ms
7 * * *
Tiempo de
Moderado Rápida
convergencia
Estructura jerárquica No Si
Nodos intermedios No Si
Vector Distancia
¿Qué es el Enrutamiento por Vector Distancia y Cómo Funciona?
La red de destino.
La distancia (métrica).
El vector (el enlace y el router del siguiente salto a usar como parte
de la ruta).
Muchas veces, la distancia es el número de saltos (routeres) hasta la red
de destino.
El protocolo de vector distancia generalmente envía la tabla de
enrutamiento completa a cada vecino (un vecino esta directamente
conectado a un router que ejecuta el mismo protocolo de enrutamiento).
Estos protocolos usan el algoritmo Bellman-Ford para calcular la mejor
ruta.
En comparación con el protocolo de enrutamiento de estado de enlace, los
protocolos de vector distancia son más fáciles de configurar y mantener,
pero son más susceptibles a loops o bucles de rutas y convergen más
lento. Además los protocolos de vector distancia usan más ancho de
banda porque envían la tabla de enrutamiento completa, mientras que
los protocolos de estado de enlace envían actualizaciones especificas sólo
cuando la topología de la red cambia.
Estado de Enlace
¿Qué es el Enrutamiento por Estado de Enlace y Cómo Funciona?
Requiere más CPU y memoria del router que los protocolos de vector
distancia y es más difícil de configurar.
Tipos de Tablas
Por ejemplo, si la misma ruta es aprendida por RIP e IGRP, un router Cisco
elegirá la ruta de IGRP y la priorizará en la tabla de enrutamiento. Esto
sucede porque IGRP tiene (por defecto) la distancia administrativa de 100,
mientras que RIP tiene una distancia administrativa mayor de 120.
R1#show ip route
Rutas estáticas 1
EIGRP 5
Internal EIGRP 90
IGRP 100
OSPF 110
IS-IS 115
RIP 120
EGP 140
ODR 160
Unknown* 255
¿Qué es la Métrica?
Si un router aprende dos caminos diferentes para la misma red con el
mismo protocolo de enrutamiento, éste debe decidir cuál ruta es mejor y
la agregará a la tabla de enrutamiento.
204
Claramente se observa que RIP prefiere como camino más optimo el que
tiene menor cantidad de saltos (A > B), pero es el camino que ofrece
la velocidad 10 veces menor que con 128 Kbps.
Mientras que el OSPF entiende que el camino más optimo es el que
ofrece mayor velocidad en todo el recorrido (A > C > D > B).
Para este ejemplo en particular el protocolo de enrutamiento OSPF es
mejor, pero si en vez de tener un enlace de 128 Kbps éste fuera de 100
Mbps como los demás, entonces el protocolo de enrutamiento RIP
funcionaria perfectamente.
RIP Saltos
Lí
nea de tiempo de los protocolos de enrutamiento interior (IGP)
1ra Ola
3ra Ola
La nueva tercera ola de protocolos para IPv6 fueron EIGRP para IPv6
(EIGRPv6), OSPF Versión 3 (OSPFv3) y RIP next generation (RIPng).
4ta Ola
Qué es OSPF
OSPF (Open Shortest Path First ó en español, El Camino Más Corto
Primero) es un protocolo de enrutamiento dinámico interior (IGP – Internal
Gateway Protocol -). Usa un algoritmo de tipo Estado de Enlace.
En esencia un protocolo de enrutamiento lo que hace es:
1. Aprende información de enrutamiento sobre las subredes IP de los
routeres vecinos.
2. Anuncia información de enrutamiento sobre subredes IP a los
routeres vecinos.
3. Si existe más de una ruta posible para llegar a una subred, elije
la mejor ruta en base a una métrica.
4. Si la tipología de la red cambia, por ejemplo si un enlace falla,
reacciona anunciando que algunas rutas han fallado y elige la nueva
mejor ruta. (Este proceso se denomina convergencia).
Nota: Es recomendable leer esta Parte VI del curso desde el principio ya
que se tocan temas relacionados al protocolo OSPF como Vector Distancia
y Estado de Enlace o las Métricas y la Distancia Administrativa.
Cómo Funciona OSPF
Los protocolos de estado de enlace (Link State) crean rutas IP con un par
de pasos importantes.
Primero, todos los routeres juntos construyen la información sobre la red:
routeres, enlaces, direcciones IP, información de estado, etc.
Luego los routeres inundan la red de información, así que todos los
routeres conocen la misma información. En ese punto, cada router
puede calcular las rutas a todas las subredes, pero desde la perspectiva de
cada router.
OSPF organiza la información de la tipología de red utilizando lo que se
llaman LSA y la base de datos de estado de enlace (LSDB). Cada LSA es
una estructura de datos con alguna información específica sobre la tipología
de red; el LSDB es simplemente la una base de datos con la colección de
todos los LSA conocidos por un router.
209
Para descubrir otros routeres que hablen OSPF, un router envía paquetes
Hello de multicast a cada interfaz y espera recibir paquetes Hello de otros
routeres OSPF conectados a esas interfaces.
La siguiente imagen muestra el concepto:
Antes de establecer una relación vecina, los routeres OSPF deben pasar
por varios cambios de estado. Estos estados se explican a continuación:
Estado del
Término del Vecino Término de la Relación
Vecino
Neighbor Relationship
2-way Neighbor (Vecino)
(Relación de Vecino)
La siguiente lista describe los pasos de configuración para OSPF con una
sola área:
Paso 1. Usa en el router el comando ospf process-id global en el router
para ingresar al modo de configuración de OSPF en un proceso OSPF en
particular.
Paso 2. (Opcional) Configura el ID del router OSPF haciendo lo siguiente:
A. Usa el comando router-id id-value para definir el ID del router, o
B. Usa el comando global interfaz loopback number, junto al
comando ip address address mask, para configurar una dirección IP
de loopback en la interfaz (elije la dirección IP más alta de todas las
direcciones de loopback que funcionan), o
C. Confía en la dirección IP de la interfaz (elige la dirección IP más
alta de todas las loopbacks que funcionan).
Paso 3. Usa una o más comandos network ip-address wildcard-
mask area area-id router
para habilitar OSPFv2 en todas las interfaces que machean por la dirección
y la máscara configuradas, habilitando OSPF en la interfaz para el área
enumerada.
Nota: En OSPF para la máscara se usa la Máscara de Wildcard.
Básicamente la wildcard es lo «inverso» a una máscara «convencional».
Por ejemplo, para la máscara 255.255.255.0 la máscara de wildcard es
0.255.255.255. Nótese que esto se usa en el comando network.
Ejemplo dentro del modo OSPF en el router:
router ospf 1
router-id 1.1.1.1
interface S0/0/0
ip address 10.1.1.1 255.255.255.0
router ospf 1 define el ID del proceso OSPF
router-id 1.1.1.1 configura el ID del router (opcional)
network 1.0.0.0.0 0.255.255.255 area 0 se puede ver en dos partes,
primero agrega la red 1.0.0.0/8 en el proceso OSPF y luego le define el área
0
Nota: También puede realizar la configuración directamente en la
subinterfaz, esta es una alternativa al comando tradicional visto arriba. Para
usarlo tienes que eliminar el comando anterior network; no
network network-id area area-id y agregar en la subinterfaz el siguiente
comando; ip ospf process-id area area-id.
219
Como hemos visto, los routeres OSPF utilizan un proceso de tres pasos
para agregar eventualmente rutas aprendidas por OSPF a la tabla
de enrutamiento IP. Primero, crean relaciones con los vecinos. Luego,
construyen e inundan de LSA entre esos vecinos para que cada router en la
misma área tenga una copia del mismo LSDB. Finalmente, cada router
calcula independientemente sus propias rutas IP utilizando el algoritmo SPF
y las agrega a su tabla de enrutamiento.
Nota: Si quieres puedes leer antes los conceptos básicos de OSPF y
el Intercambio de información entre vecinos OSPF para comprender mejor
la siguiente explicación.
El siguiente tema explica cómo mostrar los resultados de cada uno de esos
pasos, lo que le permite confirmar si OSPF ha funcionado correctamente o
no.
Config
Comandos:
show running-config
show ip protocols
↓
Comandos network e ip ospf
↓
Interfaces Habilitadas
Comandos:
220
Comandos:
↓
LSDB
Comando:
↓
RIB
Comando:
↓
Rutas
Comandos:
show ip route
show ip route ospf
show ip route subnet mask
show ip route | section subnet
Ejemplo de vecino OSPF en un router:
221
Ejemplo de
Multiáreas en OSPF
Para configurar las distintas áreas podemos ingresar los
siguientes comandos en la CLI:
router ospf 1
Interfaces pasivas
Rutas por defecto
Métricas
Balance de carga
Configurar Interfaces Pasivas en OSPF
! The next command is from Router R1. Note the static code for the
default route
R1# show ip route static
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B -
BGP
! Rest of the legend omitted for brevity
Cuando un router usa SPF para calcular la métrica de cada una de varias
rutas para llegar a una subred, una ruta puede tener la métrica más baja,
por lo que OSPF coloca esa ruta en la tabla de enrutamiento.
Sin embargo, cuando las métricas se vinculan para múltiples rutas a la
misma subred, el router puede colocar múltiples rutas de igual costo en la
tabla de enrutamiento (el valor predeterminado es cuatro rutas diferentes)
dependiendo de la configuración del comando maximum-paths number.
Por ejemplo, si una red tiene seis rutas posibles para lguna parte de la red y
deseas que se usen todas las rutas, los routeres pueden configurarse con el
subcomando maximum-paths 6 dentro de router ospf.
De esta manera, al tener varias rutas con el mismo costo, el router puede
balancear el tráfico para ese mismo destino, es decir, el router podría enviar
228
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#interface Serial0/1
Router1(config-if)#ip ospf hello-interval 5
Router1(config-if)#ip ospf dead-interval 20
Router1(config-if)#exit Router1(config)#end
Router1#
Si realizas este cambio en un router, entonces debes hacer lo mismo en los
demás routeres que comparte el mismo segmento de red:
Router2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#interface Serial0/0
Router2(config-if)#ip ospf hello-interval 5
Router2(config-if)#ip ospf dead-interval 20
Router2(config-if)#exit
Router2(config)#end
Router2#
Capítulo 21.1: Tipos de Redes OSPF
Existe una configuración específica para la interfaz en OSPF
llamada network type, veremos dos tipos de redes OSPF; point-to-
point (Punto a Punto) y broadcast (selección del DR/BDR). También
existe el tipo de red non-broadcast que no veremos en este curso ya que se
usan en tecnologías antiguas que no soportan broadcast como Frame Relay
o ATM.
La configuración le dice al router si debe o no descubrir dinámicamente a
los vecinos OSPF (en lugar de requerir la configuración estática de la
dirección IP del router vecino) y si el router debe intentar usar un router
designado (DR) y un DR de respaldo (BDR) en la subred.
De los dos tipos de red OSPF incluidos en los temas del examen CCNA,
ambos hacen que los routers descubran vecinos dinámicamente, pero uno
requiere el uso de un DR mientras que el otro no.
La siguiente tabla muestra las características de los dos tipos de red OSPF
mencionados en los temas del examen.
230
Palabra Clave del Network Type Descubre Vecinos Dinámicamente Usa un DR/BDR
broadcast Si Si
point-to-point Si No
Como puedes imaginar funciona bien para enlaces de datos que, por su
naturaleza, tienen solo dos routers en el enlace.
R1(config-if)#
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 00:00:01
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/3/3, flood queue length 0
Next 0x0(0)/0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 3
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 2.2.2.2
Suppress hello for 0 neighbor(s)
Last flood scan length is 1, maximum is 3
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 2.2.2.2
Suppress hello for 0 neighbor(s)
R1# show ip ospf neighbor
Vecindad
Requerido
Requerimientos Perdida si es
para OSPF
Incorrecto
Vecindad
Requerido
Requerimientos Perdida si es
para OSPF
Incorrecto
ospf process-id. Los routers vecinos pueden usar los mismos valores ID del
proceso, o diferentes valores ID del proceso, sin impactar en la vecindad
entre dos routers OSPF.
Problemas que Impiden Adyacencias de Vecinos
OSPF
A continuación veremos tres de los temas de la primera tabla de esta página
en los cuales, si existe un problema, el router no se convierte en vecino.
Para mostrar los problemas, se usa una topología a la que se le introdujo
una configuración incorrecta. Los siguientes errores fueron introducidos:
router ospf 1
router-id 2.2.2.2
interface gigabitEthernet0/0
ip ospf 1 area 1
!
interface gigabitEthernet0/1
ip ospf 1 area 1
Para solucionar este problema, debes encontrar la configuración del área en
cada interfaz en los routers vecinos. Para hacerlo:
Para hacer esto hay que usar el comando router-id 3.3.3.3 dentro de OSPF
en el modo EXEC usar el comando clear ip ospf process.
Encontrar Discrepancias en el Temporizador de OSPF Hello y Dead
0 1 no no Base
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit
5
! lines omitted for brevity
! Moving on to R4 next
0 1 no no Base
R5(config-router)# shutdown
R5(config-router)# ^Z
*Mar 23 12:43:30.634: %OSPF-5-ADJCHG: Process 1, Nbr 2.2.2.2 on
GigabitEthernet0/1
from FULL to DOWN, Neighbor Down: Interface down or detached
*Mar 23 12:43:30.635: %OSPF-5-ADJCHG: Process 1, Nbr 3.3.3.3 on
GigabitEthernet0/2
from FULL to DOWN, Neighbor Down: Interface down or detached
R5# show ip ospf interface brief
Interface PID Area IP Address/Mask Cost State Nbrs
F/C
241
R1#
R2# show ip ospf neighbor
Qué es IPv6
» Capítulo 22.1: Qué es IPv6
IP versión 6 (IPv6) es un protocolo para remplazar a IP versión 4 (IPv4).
Pero antes que nada quiero aclarar que en éste capítulo se va a tratar
temas de IPv6 a modo introductorio, si buscas respuestas más técnicas
sobre el asunto puedes ir avanzando en los siguientes capítulos.
4.294.967.296 340.282.366.920.938.463.463.374.607.431.768.211.456
direcciones, (232) direcciones, (2128)
Con el tiempo, el acceso fijo a Internet se volvió común, seguido por el uso
generalizado de Internet desde dispositivos móviles como teléfonos
inteligentes.
244
Encabezado IPv6
245
Encabezado IPv6
Protocolos IPv6
Para soportar el enrutamiento IPv6, los routers deben comprender las
direcciones y el enrutamiento IPv6. Como resultado, la migración de IPv4
a IPv6 es mucho más que cambiar un protocolo (IP) y afecta a muchos
otros protocolos.
IPv6 refleja el mismo propósito del protocolo IPv4, sin embargo, debido a
que IPv6 impacta a muchas otras funciones en una red TCP/IP, muchas
más RFC deben definir detalles de IPv6.
Por esta razón los protocolos ya existentes para IPv4 se tenían que
actualizarse para soportar IPv6:
Nombre del Protocolo de Enrutamiento Nombre del Protocolo de Enrutamiento con Soporte
IPv4 de IPv6
Nombre del Protocolo de Enrutamiento Nombre del Protocolo de Enrutamiento con Soporte
IPv4 de IPv6
Para hacerlo más legible, IPv6 usa un formato con ocho conjuntos de
cuatro dígitos hexadecimales, con cada conjunto de cuatro dígitos
separados por dos puntos. Por ejemplo:
2340:1111:AAAA:0001:1234:5678:9ABC:1234
Si bien las direcciones IPv6 también tienen un formato binario, no es
necesario en la mayoría de los casos mirar una dirección IPv6 en ese
formato.
0000 8 1000
1 0001 9 1001
2 0010 A 1010
3 0011 B 1011
4 0100 C 1100
5 0101 D 1101
6 0110 E 1110
7 0111 F 1111
FE00:0:0:1:0:0:0:56
Paso 2: Si hay dos o más cuartetos con ceros consecutivos remplazar por ::
FE00:0:0:1:0:0:0:56
Y ahora Aplicando la segunda regla, el resultado es el siguiente:
FE00:0:0:1::56
Dos Errores Comunes que se Suelen Cometer Cuando Acortamos una
Dirección IPv6
2. Si hay dos veces seguidas los dos puntos (::), cuenta todos los
cuartetos; el total debe ser menos que 8. Remplaza:: con múltiples
cuartetos de 0000 hasta llegar a un total de ocho cuartetos en
toda la dirección IPv6.
Aquí te dejo una herramienta muy interesante para acortar y expandir IPv6,
sólo úsala para verificar tus propios resultados: Acortar direcciones
IPv6, Expandir direcciones IPv6.
A continuación, voy a deja runa tabla donde tendrás algunos ejercicios que
puedes hacer tu mismo, sólo mira la primera tabla, haz los ejercicios y
comprara los resultados con la segunda tabla:
Completo Abreviado
2340:0000:0010:0100:1000:ABCD:0101:1010
30A0:ABCD:EF12:3456:ABC:B0B0:9999:90
09
2222:3333:4444:5555:0000:0000:6060:0707
3210::
210F:0000:0000:0000:CCCC:0000:0000:000D
34BA:B:B::20
FE80:0000:0000:0000:DEAD:BEFF:FEEF:CA
FE
FE80::FACE:BAFF:FEBE:CAFE
Completa los campos vacíos
Respuesta al ejercicio anterior:
Completo Abreviado
2340:0000:0010:0100:1000:ABCD:0101:1010 2340:0:10:100:1000:ABCD:101:1010
30A0:ABCD:EF12:3456:0ABC:B0B0:9999:900 30A0:ABCD:EF12:3456:ABC:B0B0:9999:90
9 09
2222:3333:4444:5555:0000:0000:6060:0707 2222:3333:4444:5555::6060:707
251
Completo Abreviado
3210:0000:0000:0000:0000:0000:0000:0000 3210::
210F:0000:0000:0000:CCCC:0000:0000:000D 210F::CCCC:0:0:D
34BA:000B:000B:0000:0000:0000:0000:0020 34BA:B:B::20
FE80:0000:0000:0000:DEAD:BEFF:FEEF:CAF
FE80::DEAD:BEFF:FEEF:CAFE
E
FE80:0000:0000:0000:FACE:BAFF:FEBE:CAF
FE80::FACE:BAFF:FEBE:CAFE
E
Resultados del ejercicio anterior
Máscara o Prefijo IPv6
IPv6 utiliza un concepto de máscara, llamado longitud de prefijo, similar a
las máscaras de subred IPv4.
La longitud del prefijo IPv6 se escribe como /, seguida de un número
decimal. La longitud del prefijo define cuántos bits de la dirección IPv6
corresponden al prefijo IPv6, que es básicamente el mismo concepto que
el ID de subred IPv4.
Al escribir la longitud del prefijo puedes optar por dejar un espacio antes
de /, o no, como se muestra en los dos ejemplos siguientes.
2222:1111:0:1:A:B:C:D/64
2222:1111:0:1:A:B:C:D /64
Para el prefijo, el rango de valor legal es de 0 a 128, inclusive.
El cálculo del ID de la subred es igual que en IPv4.
Para un prefijo /64 (la mitad de una dirección IPv6 que son de 128 bits):
PPPP:PPPP:PPPP:PPPP:HHHH:HHHH:HHHH:HHHH
2001:0DB8:AAAA:0002:1234:5678:9ABC:EF01
Copia los bits del prefijo y cambia a cero los del host:
2001:0DB8:AAAA:0002:0000:0000:0000:0000
Ejemplo con múltiplo de 4:
PPPP:PPPP:PPPP:PPPH:HHHH:HHHH:HHHH:HHHH
2001:0DB8:AAAA:0002:1234:5678:9ABC:EF01
Copia los bits del prefijo y cambia a cero los del host:
2001:0DB8:AAAA:0000:0000:0000:0000:0000
Ejercicios para Encontrar la Longitud del Prefijo IPv6
Dirección/Longitud Prefijo
2340:0:10:100:1000:ABCD:101:1010/64
30A0:ABCD:EF12:3456:ABC:B0B0:9999:9009/64
2222:3333:4444:5555::6060:707/64
3210::ABCD:101:1010/64
253
Dirección/Longitud Prefijo
210F::CCCC:B0B0:9999:9009/64
34BA:B:B:0:5555:0:6060:707/64
3124::DEAD:CAFE:FF:FE00:1/64
2BCD::FACE:BEFF:FEBE:CAFE/64
Completa los campos vacíos
Dirección/Longitud Prefijo
2340:0:10:100:1000:ABCD:101:1010/64 2340:0:10:100::/64
30A0:ABCD:EF12:3456:ABC:B0B0:9999:9009/64 30A0:ABCD:EF12:3456::/64
2222:3333:4444:5555::6060:707/64 2222:3333:4444:5555::/64
3210::ABCD:101:1010/64 3210::/64
210F::CCCC:B0B0:9999:9009/64 210F::/64
34BA:B:B:0:5555:0:6060:707/64 34BA:B:B::/64
3124::DEAD:CAFE:FF:FE00:1/64 3124:0:0:DEAD::/64
2BCD::FACE:BEFF:FEBE:CAFE/64 2BCD::/64
Resultados del ejercicio anterior
Encontrar Prefijos IPv6 de Mayor Complejidad
Aunque la longitud del prefijo /64 es, con mucho, la longitud de prefijo más
común, debes estar listo para encontrar el prefijo cuando utilice una longitud
de prefijo que sea cualquier múltiplo de 4.
2000:1234:5678:9ABC:1234:5678:9ABC:1111/56
Dado que este ejemplo usa una longitud de prefijo /56, el prefijo incluye los
primeros 56 bits, o los primeros 14 dígitos hexadecimales completos de la
dirección. El resto de los dígitos hexadecimales será 0, lo que dará como
resultado el siguiente prefijo:
2000:1234:5678:9A00:0000:0000:0000:0000/56
éste valor puede acortarse de la siguiente manera:
2000:1234:5678:9A00::/56
Ejercicios para Encontrar la Longitud del Prefijo IPv6
Longitud/Dirección Prefijo
34BA:B:B:0:5555:0:6060:707/80 34BA:B:B:0:5555::/80
3124::DEAD:CAFE:FF:FE00:1/80 3124:0:0:DEAD:CAFE::/80
2BCD::FACE:BEFF:FEBE:CAFE/48 2BCD::/48
3FED:F:E0:D00:FACE:BAFF:FE00:0/48 3FED:F:E0::/48
210F:A:B:C:CCCC:B0B0:9999:9009/40 210F:A::/40
34BA:B:B:0:5555:0:6060:707/36 34BA:B::/36
3124::DEAD:CAFE:FF:FE00:1/60 3124:0:0:DEA0::/60
2BCD::FACE:1:BEFF:FEBE:CAFE/56 2BCD:0:0:FA00::/56
Completa los campos vacíos
Longitud/Dirección Prefijo
34BA:B:B:0:5555:0:6060:707/80 34BA:B:B:0:5555::/80
3124::DEAD:CAFE:FF:FE00:1/80 3124:0:0:DEAD:CAFE::/80
2BCD::FACE:BEFF:FEBE:CAFE/48 2BCD::/48
255
Longitud/Dirección Prefijo
3FED:F:E0:D00:FACE:BAFF:FE00:0/48 3FED:F:E0::/48
210F:A:B:C:CCCC:B0B0:9999:9009/40 210F:A::/40
34BA:B:B:0:5555:0:6060:707/36 34BA:B::/36
3124::DEAD:CAFE:FF:FE00:1/60 3124:0:0:DEA0::/60
2BCD::FACE:1:BEFF:FEBE:CAFE/56 2BCD:0:0:FA00::/56
Resultados del ejercicio anterior
Global Unicast
Direccionamiento que funciona como una dirección IPv4 pública. La
organización que necesita direcciones IPv6 solicita un bloque de direcciones
IPv6 al registrador, el cual es asignado como un enrutamiento de prefijo
global. Luego sólo ésta organización usara éste rango de direcciones.
Unique Local
Funciona similar al direccionamiento privado de IPv4 con la posibilidad de
que muchas organizaciones usen el mismo rango de direcciones, y no
requieren ser registradas con alguna autoridad.
Tipo de
Primeros Dígitos Hexadecimales
Dirección
Multicast FF00::/8
Ej
emplo de una Estructura para Direcciones IPv4
258
Sin embargo, cuando una empresa solicita a un ISP, RIR o cualquier otra
organización que pueda asignar un prefijo de enrutamiento global, esa
asignación incluye tanto el prefijo como la longitud del prefijo. Una vez que
una empresa recibe un prefijo de enrutamiento global y esa longitud de
prefijo, la longitud del prefijo normalmente no cambia con el tiempo y
básicamente está bloqueado. (Ten en cuenta que la longitud del prefijo de
enrutamiento global suele estar entre /32 y /48, o posiblemente tan largo
como /56).
Bits 48 16 64
Valor Hexadecimal de la
2001:0DB8:1111 0001 0000:0000:0000:0001
Dirección IPv6
IPv6 define reglas para los paquetes enviados a cualquier dirección link-
local, no deben ser reenviados por ninguna otra subred. Como
260
Repre
sentación de un paquete multicast IPv6
El Alcance de Multicast en IPv6
Dirección Link-local: Una dirección IPv6 que comienza con FE80. Sirve
como una dirección unicast usada para una interfaz a la que los dispositivos
aplican un alcance link-local. Los dispositivos por tanto crean sus propias
direcciones link-local usando las reglas de EUI-64. Una mejor comparación
del término más completa seria una dirección link-local unicast.
Dirección Multicast Link-local: Una dirección IPv6 que comienza con
FF02. Sirve como una dirección multicas reservada con la cual el dispositivo
aplica el alcance link-local.
Alcance Link-local: Una referencia al alcance en si, en lugar de una
dirección. Este alcance define que los routers no deben reenviar paquetes
cuando son enviados a una dirección en éste alcance.
Dirección Multicast Solicited-Node (Nodo Socilitado)
2001:DB8:1111:4::1
GigabitEthernet0/1/0 [administratively down/down]
unassigned
Mostrar Routers IPv6 Conectados en el Router R1
Ejemplo 1 Ejemplo 2
0013.1234.ABCD 1612.3456.789A
0013:12FF:FE34:ABCD 1612:34FF:FE56:789A
Sólo falta invertir el séptimo bit del primer Sólo falta invertir el séptimo bit del primer
byte. El primer byte es 00: byte. El primer byte es 00:
0013:12FF:FE34:ABCD 1612:34FF:FE56:789A
00000000 00010110
267
Ejemplo 1 Ejemplo 2
00000010 00010100
0213:12FF:FE34:ABCD 1412:34FF:FE56:789A
Stateful DHCP
Stateless Address Autoconfiguration (SLAAC)
El siguiente ejemplo muestra la configuración, una usando stateful DHCP y
la otra usando SLAAC.
interface FastEthernet0/0
64 bits 64 bits
Prefijo/
Tipo Comando para Habilitarlo
Dirección
Este es el último capítulo de la Parte VII (IPv6) del curso. En éste capítulo
veremos cómo configurar el enrutamiento IPv6 en un router Cisco mientras
desarrollamos los siguientes tres temas principales:
La siguiente lista resume las reglas sobre cómo los routers crean rutas
basados en la configuración de las direcciones IPv6 unicast en la interface:
1. Los routers crean rutas IPv6 basados en cada dirección IPv6 unicast
en una interfaz, configurada con el comando ipv6 address, como
puedes ver a continuación:
A. El router crea una ruta para la subred (una ruta conectada).
B. El router crea una ruta del host (ancho del prefijo /128) para la
dirección IPv6 del router (una ruta local).
2. Los routers no crean rutas basadas en las direcciones link-local
asociadas con la interfaz.
3. Los routers eliminan las rutas conectadas y locales en una interfaz si
ésta falla y las rutas se agregan nuevamente cuando la interfaz
vuelve a funcionar (up/up), estado working.
Ejemplo de Configuración de Direcciones IPv6 en un Router
ipv6 unicast-routing
interface GigabitEthernet0/0
!
271
interface Serial0/0/0
interface GigabitEthernet0/1/0
L 2001:DB8:1111:1::1/128 [0/0]
via GigabitEthernet0/0, receive
L 2001:DB8:1111:4::1/128 [0/0]
via Serial0/0/0, receive
L 2001:DB8:1111:5::1/128 [0/0]
via GigabitEthernet0/1/0, receive
L FF00::/8 [0/0]
via Null0, receive
Ejemplo de Red para crear rutas estáticas con el comando IPv6 Route
Rutas Estáticas Usando la Interfaz de Salida
S 2001:DB8:1111:2::/64 [1/0]
via FE80::FF:FE00:2, Serial0/0/0
Al igual que en IPv4, la ruta por defecto le dice al router qué hacer con un
paquete cuando no coincide con alguna otra ruta. Por tanto, se envía a la
ruta por defecto.
Configuración:
Esto sería una ruta con una única dirección IP de host. Lo que sería en IPv4
una máscara /32 que identifica una única IP. En IPv6 sería una
máscara /128.
Ejemplo de configuración:
! The first command lists host B's address, prefix length /128,
276
Las rutas estáticas IPv6 tienen los mismos problemas que tienen las
rutas IPv4 como ya vimos en el Capítulo 16.3 – Enrutamiento Estático
(Rutas Estáticas). Sin embargo las rutas estáticas en IPv6 tienen algunas
pequeñas diferencias.
Separemos la solución de problemas de rutas estáticas IPv6 en dos
perspectivas: los casos en donde la ruta está en la tabla de
enrutamiento, pero es incorrecta, y los casos en donde la ruta no se
encuentra en la tabla de enrutamiento.
Solucionar Problemas de Rutas Estáticas Incorrectas que Aparecen en la Tabla de
Enrutamiento IPv6
Cuando veas una pregunta en el exámen que tiene rutas estáticas y las ves
en la salida del comando show ipv6 route, recuerda que las rutas podrían
tener parámetros incorrectos. Verifica los siguientes tipos de errores:
Paso 1. Prefijo/Longitud: Tiene el comando ipv6 route el ID de
subred (prefijo) y máscara (longitud del prefijo) correctos?
Paso 2. Si se está usando una dirección IPv6 como next-hop que es
una dirección link-local:
A. Es la dirección link-local una dirección del router vecino? (Esta
debería ser una dirección del otro router del un enlace
compartido.)
B. El comando ipv6 route hace referencia a la interfaz de salida
correcta en el router local?
Paso 3. Si estás usando una dirección IPv6 como next-hop que es
una dirección global unicast o una dirección unique local, es ésta la
dirección unicast del router vecino correcta?
Paso 4. Si se referencia a una interfaz de salida, el comando ipv6
route referencia a la interfaz del router local (este es el mismo router
donde la ruta estática es configurada)?
Ejemplos de Configuración con el Comando ipv6 route con sintaxis correcta
en R1, pero mal ejecutados en su idea:
277
Para los comandos ipv6 route que listan una interfaz de salida, ésta
interfaz debe estar en el estado up/up (working).
Para los comandos ipv6 route que listan una global
unicast o unique local como dirección IP de next-hop (es decir, no
una dirección link-local), el router local debe tener una ruta para
alcanzar a esa dirección de next-hop.
Si otra ruta IPv6 existe para el mismo prefijo/longitud-del-prefijo, la
ruta estática debe tener una mejor (menor) distancia
administrativa.
12
Capítulo 25.2: NDP (Neighbor Discovery Protocol)
Direcciones Link-
Descubrimiento Cualquier host Cualquier
RS and RA local IPv6 del
del Router IPv6 router IPv6
router
Prefijo(s) y
Descubrimiento longitud de los
Cualquier host Cualquier
del RS and RA prefijos asociados
IPv6 router IPv6
Prefijo/longitud usados en el enlace
local
Dirección de
la capa de
Descubrimiento Cualquier host Cualquier enlace (por ejemplo
RS and RA
del Vecino IPv6 router IPv6 la dirección MAC)
usada por un
vecino
Detección de Confirmación
Direcciones Cualquier host Cualquier simple cuando una
RS and RA
Duplicadas IPv6 router IPv6 dirección unicast ya
(DAD) está en uso
280
ip -6 neighbor show
ndp -an
Router Solicitation (RS): Este mensaje es enviado a todos los routers IPv6
a la dirección multicast FF02::2 de alcance local (local-scope), por tanto, el
mensaje le pregunta a todos los routers del enlace local solamente para que
se identifiquen a sí mismos.
Router Advertisement (RA): Este mensaje enviado por el router lista
muchos datos, incluida la dirección link-local IPv6 del router. Cuando se
envía en respuesta de un menaje RS, éste vuelve a la dirección unicast del
host que envió el mensaje RS o a la dirección FF02::1 de todos los hosts
IPv6. Los routers también envían mensajes RA sin que se lo soliciten,
enviados a la dirección de multicast FF02 :: 1 de alcance local de todos los
hosts IPv6.
282
IPv6 soporta un método alternativo para que los hosts IPv6 elijan
automáticamente una dirección IPv6 sin uso, un proceso que no requiere de
un servidor DHCP. El proceso lleva el nombre de Autoconfiguración de
Direcciones sin Estado ó en Inglés Stateless Address Autoconfiguration
(SLAAC). SLAAC usa un simple proceso de tres pasos que comienza
aprendiendo el prefijo/longitud como se muestra en la siguiente imagen. Los
pasos son los siguiente:
1. Aprende el prefijo IPv6 usado en el enlace desde cualquier router,
usando los mensajes NDP RS/RA.
2. Construye una dirección desde el prefijo y el ID de la interfaz,
eligiendo entre usar las reglas EUI-64
o como un valor aleatorio.
3. Antes de usar la dirección, primero usa DAD para estar seguro que
ningún otro host está usando la misma dirección.
D
etección de Dirección Duplicada en IPv6 usando DAD con NDP NS/NA
En general en una red inalámbrica usa los APs para organización, control y
escalabilidad de la red.
Repetidores Inalámbricos
WGM: Workgroup Bridge (Puente de Grupo de Trabajo)
Los enlaces puente al aire libre son usados comúnmente para conectar
entre edificios o ciudades.
En cada extremo se necesita un AP configurado en modo bridge.
Normalmente se usan antenas conectadas a los Bridge para direccionar la
señal en una dirección. Esto maximiza la distancia.
290
Conexión
Inalámbrica Outdoor Bridge (Puente al Aire Libre)
Mesh Network (Red Mallada)
Red Mesh
Inalámbrica
Resumen Sobre Radiofrecuencia (RF)
Bandas y Canales Inalámbricos
Máxima
2.4 5
Enmienda Transferencia de Notas
GHz GHz
Datos
Ejempl
o de Arquitectura Inalámbrica Split-MAC
Funciones en Tiempo Real: Los procesos en tiempo real implican enviar y
recibir tramas 802.11, señales y mensajes de prueba. El cifrado de datos
802.11 también se maneja en tiempo real, por paquete. El AP debe
interactuar con los clientes inalámbricos a bajo nivel, conocido como capa
de Control de Acceso a Medios ó Media Access Control (MAC). Estas
funciones deben permanecer con el hardware del AP, más cercano a los
clientes.
Funciones de Gestión: Las funciones de gestión no son parte integral de
manejar tramas en los canales de RF, pero son cosas que deben
administrarse de forma centralizada. Por lo tanto, esas funciones se pueden
mover a una plataforma ubicada en el centro, lejos del AP.
Cuando se dividen las funciones de un AP autónomo, el hardware del AP es
conocido como Lightweight AP (AP Liguero) y realiza sólo las operaciones
802.11 en tiempo real.
296
Túnel CAPWAP
Unified Gran
Central 6000 64.000
(Centralizado) Empresa
Nube
Cloud (en la Nube) Data Center 3000 32.000
Privada
Embedded Campus
Acceso 200 4000
(incrustado) Pequeño
Autonomous
N/A N/A N/A N/A
(Autónomo)
Resumen de Modelos de Implementación de WLC
WLC Unifield o Centralizado
Ejemplo
de Red Inalámbrica WLC Embedded o Incrustado
WLC Mobility Express (Movilidad Rápida)
El AP que aloja el WLC forma un túnel CAPWAP con el WLC, junto con
cualquier otro AP en la misma ubicación.
Ejempl
o de Red Inalámbrica MobilityExpress WLC
Modo Local
El modo lightweight predeterminado ofrece uno o más BSS en
funcionamiento en un canal específico. Durante los momentos en que no
está transmitiendo, el AP escaneará los otros canales para medir el nivel
de ruido, medir la interferencia, descubrir dispositivos no autorizados y
compararlos con los eventos del sistema de detección de intrusiones (IDS).
Modo Monitor
El AP no transmite en absoluto, pero su receptor está habilitado para
actuar como un sensor dedicado. El AP busca eventos IDS, detecta puntos
de acceso no autorizados y determina la posición de las estaciones a través
de servicios basados en la ubicación.
Modo FlexConnect
Un AP en un sitio remoto puede intercambiar localmente el tráfico entre
un SSID y una VLAN si su túnel CAPWAP al WLC está caido (down) y si
está configurado para hacerlo.
Modo Sniffer
Un AP dedica sus radios a recibir tráfico 802.11 de otras fuentes, como
un rastreador o un dispositivo de captura de paquetes. El tráfico
capturado se reenvía a una PC que ejecuta un software de análisis de red
como Wildpackets OmniPeek o WireShark, donde se puede analizar más a
fondo.
Modo Rogue Detector
Un AP se dedica a detectar dispositivos deshonestos al correlacionar las
direcciones MAC que se escuchan en la red cableada con las que se
escuchan en el aire. Los dispositivos deshonestos son aquellos que
aparecen en ambas redes.
Modo Bridge
303
Modo SE-Connect
El AP dedica sus radios al análisis de espectro en todos los canales
inalámbricos. Puede conectar de forma remota una PC que ejecute software
como MetaGeek Chanalyzer o Cisco Spectrum Expert al AP para recopilar
y analizar los datos de análisis del espectro para descubrir fuentes de
interferencia.
Nota: Recuerda que un AP lightweight normalmente está en modo local
cuando proporciona BSS y permite que los dispositivos cliente se asocien a
LAN inalámbricas. Cuando un AP está configurado para operar en uno de
los otros modos, el modo local (y los BSS) están deshabilitados.
Autenticación
Los clientes deben estar autenticados por algún medio antes de que puedan
convertirse en miembros funcionales de la LAN inalámbrica.
sido alterados.
26 noviembre, 2020 por Marcelo Suárez
Capítulo 28.2: Métodos de Autenticación Inalámbrica
Un cliente puede usar diferentes métodos de autenticación
inalámbrica para asociarse a la red. Esta sección cubre los métodos de
autenticación de redes inalámbricas que más se usan.
Resumen de Métodos de Autenticación Inalámbrica:
Autenticación Abierta – Credencial usada: Ninguna otra que no sea el
protocolo 802.11
WEP (Wired Equivalent Privacy) – Credencial usada: Claves WEP
Estáticas
802.1x/EAP (Extensible Authentication Protocol) – Credencial usada:
Depende del Método usado basado en EAP, ver en el siguiente
capítulo.
Autenticación Abierta
306
Las claves WEP pueden tener una longitud de 40 o 104 bits, representadas
por una cadena de 10 o 26 dígitos hexadecimales. Como regla general,
las claves más largas ofrecen bits más únicos para el algoritmo, lo que
resulta en un cifrado más robusto. Excepto en el caso de WEP, claro.
Debido a que WEP se definió en el estándar 802.11 original en 1999, cada
adaptador inalámbrico se construyó con hardware de cifrado específico para
WEP. En 2001, se descubrieron y revelaron varias debilidades, por lo que
se comenzó a trabajar para encontrar mejores métodos de seguridad
inalámbrica. En 2004, la enmienda 802.11i fue ratificada y WEP quedó
oficialmente en desuso. Tanto el cifrado WEP como la autenticación de
clave compartida WEP se consideran en general métodos débiles para
asegurar una LAN inalámbrica.
802.1x/EAP
Con solo la autenticación abierta y WEP disponibles en el estándar 802.11
original, se necesitaba un método de autenticación más seguro.
En lugar de incorporar métodos de autenticación adicionales en el estándar
802.11, se eligió un marco de autenticación más flexible y escalable, el
Protocolo de Autenticación Extensible o en inglés, Extensible Authentication
Protocol (EAP).
EAP es extensible y no consta de ningún método de autenticación. En
cambio, EAP define un conjunto de funciones comunes que los métodos de
autenticación reales pueden utilizar para autenticar a los usuarios.
Auten
ticación Basada en EAP
26 noviembre, 2020 por Marcelo Suárez
Capítulo 28.3: Autenticación Basada en EAP
Autentica
ción Basada en EAP
Existen distintos métodos de de autenticación basados en EAP, a
continuación un resumen de ellos:
LEAP
PEAP
TKIP
Durante el tiempo en que WEP estaba integrado en el cliente inalámbrico y
el hardware AP, aunque se sabía que era vulnerable, se desarrolló el
Protocolo de Integridad de Clave Temporal o en inglés, Temporal Key
Integrity Protocol (TKIP).
TKIP agrega las siguientes características de seguridad utilizando hardware
heredado y el cifrado WEP subyacente:
GCMP
Galois/Counter Mode Protocol (GCMP) es un robusto conjunto de
autenticación de encriptación que es más seguro y más eficiente que
CCMP. GCMP consta de dos algoritmos:
Encriptación en modo contador AES
Código de Autenticación de Mensajes de Galois o en inglés, Galois
Message Authentication Code (GMAC) utilizado como verificación de
integridad de mensajes (MIC)
GCMP se utiliza en WPA3, que se describe en el siguiente capítulo.
WPA
WPA es el nombre de la primera versión y si bien se pudo llamar WPA 1, la
realidad es que lo llamaron simplemente WPA. Se basaba en partes de la
enmienda 802.11i e incluía autenticación 802.1x, TKIP y un método para la
gestión dinámica de claves de cifrado.
WPA2
Una vez ratificado y publicado el estándar 802.11i, Wi-Fi Alliance lo incluyó
en su totalidad en su certificación WPA Versión 2 (WPA2). Se basa en los
algoritmos AES CCMP superiores, en lugar del TKIP obsoleto de WPA.
Debería ser obvio que WPA2 estaba destinado a reemplazar a WPA.
WPA3
En 2018, Wi-Fi Alliance presentó la versión 3 (WPA3) como un reemplazo
futuro de WPA2, agregando varios mecanismos de seguridad importantes y
superiores.
WPA3 aprovecha un cifrado más fuerte de AES con el Protocolo de Modo
de Contador/Galois o en inglés, Galois/Counter Mode Protocol (GCMP).
También utiliza Protected Management Frames (PMF) para asegurar
importantes tramas de gestión 802.11 entre AP y clientes, para evitar
actividades maliciosas que puedan falsificar o alterar el funcionamiento de
un BSS.
WPA vs WPA2 vs WPA3
314