Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TécnicoenTelecomunicacionesCCNA
CCNA200-301
Capítulo1:Introducciónalasredes
Capítulo1:
IntroducciónalasredesdeTelecomunicaciones
LaeradelasTelecomunicaciones
Asícomoelairequerespiramos,lastelecomunicacioneslasutilizamostodoslosdías.Son
partedetodoloquehacemosporquevivimosenlaeradeestar“conectados”.
Suaplicaciónfavorita,verpelículasporInternet,hacerpagoselectrónicos,recibirunafoto,
hacer una llamada son parte de nuestro diario vivir que detrás de estas aplicaciones y
funcionalidadesexisteunareddetelecomunicacionesquetransportatodoslosdatos.Esto
simplementehablandoalgunosejemplosdecómoafectannuestrasvidaspersonales.
Pensemos ahora cómo afecta la vida de una ciudad endondelossemáforosfuncionana
través de la red, la lectura de nuestro recibo eléctrico se da por medio de la red, la
planificacióndelosvuelosenunaeropuerto,lavigilanciapolicial.
De igual manera cualquier trabajo tiene un gran impacto en el uso de las
telecomunicaciones. Desee el envío de ofertas por correo electrónico hasta trabajos
totalmente digitales como minar bitcoins, community managers en redes sociales,
influencers.Todosdebendarlegraciasalastelecomunicaciones.
Aatrásquedaronlosdíasdeenviarunacartaparacomunicarteyhoyvivimosenunaerade
realidadesvirtuales,videoconferenciasyclasesporInternet.
Esto nos debe de dar una gran alegría porque como ingenieros en telecomunicaciones
seremoslosactoresdeayudaraqueelmundomodernosecomunique.
¿Quéesunareddetelecomunicaciones?
Empecemosporelprimerconceptobásico¿Quéesunareddetelecomunicaciones?para
estovamosadefinirprimero¿Quéesunared?
Unaredesunconjuntodeelementosunidos/interconectadosentresi,porsisoloslos
elementosnopuedenformarunaredperoenconjuntoformanunared.
Tomemoslasiguienteanalogía:
UnareddeVoleibol
Siobservamosunareddevoleibolesunconjuntodehilos
queestánentrelazadosentresí.Unhiloporsisoloes
solamenteunhiloperoalentrelazarseconmáshilos
podemosformarunared.
Continuandoconlaanalogíasiunahormigacaminapor
mediodelareddevoleibolpodrállegaratodoslosrincones
debidoaquealformarunaredseinterconectanloshilos.
Ahoradefinamoslareddetelecomunicaciones:
Unareddetelecomunicacionesesunconjuntodedispositivosinformáticosquese
interconectanentresíatravésdeunmediofísico.
Profundicemosenelconcepto.
Sicolocamosunacomputadoraenundesiertoenmediodela
nadasinmediosdecomunicaciónessolounacomputadora.
Claropodremoseditartextoperonopodremossacarla
informaciónpormediodecorreoelectrónico,haceruna
videoconferencia,esdecirnopuedecomunicarseconningúnotro
dispositivo.
Lomismosucedeconnuestrorouterinalámbricodecasaelcual
sinoestáconectadoaningúndispositivonopodrácomunicarse
nitransportardatoshaciéndoloundispositivototalmenteinútilsi
noestaconectadoaunared.
Encambiocuandoconectamosunconjuntodedispositivosinformáticosylos
interconectamosporunmediofísicocomocablesoredesinalámbricasoWifi(wireless
tambiénesunmediofísico)formamosunaredcuyafunciónespodertransportardatosde
undispositivoaotro.
Internetyredinteroceánica
Esmuyimportanteentenderunconcepto,¡nonoscomunicamosportelepatía!almenosesa
tecnologíanolahaninventadoparalasredesdetelecomunicaciones.Conestoquierodecir
quelosdispositivossecomunicanatravésdeunmediosfísicocomouncabledecobre,una
antenainalámbrica,unenlacesatelital.
Siestamosenaméricaydeseamoscomunicarnosconeuropaliteralmenteexistencables
quecruzatodoelocéanoatlánticoparacomunicarnosentreloscontinentes
Aquíunmapaquemuestraenlacesdefibraópticaqueinteroceanicas:
Estonosabrelamentecadavezqueenviamosunmensajedewhatsapp.Existe
literalmenteunaredquenosinterconectaparaqueesemensajesetransportedesdesu
celularaotroyqueeltráficopasapormediosfísicos(cables,enlacessatelitales,wireless,
entreotros)paracomunicarnosentresí.
Internetesunaredderedesdondeliteralmentetodaslasredesseinterconectanyporende
asícomolahormigapuedecaminarporlareddevoleibol,eltráficoqueenviamosdesde
nuestracomputadorapuedellegaracualquierpartedelmundopormediodelared.
Elementosdeunared
Yacomprendemosqueesunareddetelecomunicacionesahoradescribamosloselementos
quelacomponen:
● Dispositivosfinales
● dispositivosintermedios
● Mediosfísicos
● Tarjetadered(NIC)
Dispositivosfinales
SialgunavezdeseasabercualeselfinaldelInternetobservesucomputadora.Debidoa
quesucomputadoraseconectaalaredperoluegodelacomputadoralarednoseextiende
más.
Losdispositivosfinalessontodosaquellosdispositivosqueseconectanalaredyestosno
conectananingúnotrodispositivomás.Ejemplosdeestosoncomputadoras,tablets,
impresoras,televisoresinteligentes,consolasdevideojuegos,cámarasdeseguridadyun
sinfindeejemplosdenuestraeramodernaelcualtieneelconceptodel“internetdelas
cosas”oIoT“InternetofThings”endondeconectamosairesacondicionados,luces,
refrigeradoras,dronesquelimpianelpisoyunsinfindeejemplosmás.
Servidores
Losservidoressonporlogeneralcomputadorasquebrindanunservicio.Estostambiénson
dispositivosfinales.
Losserviciosquebrindanlosservidoresvaríaneninfinidaddecosas.Podemoshablar
desdeunservidorquebrindaelserviciodepáginasweb,esdecirunservidorweb,asícomo
unservidorquebrindaelserviciodejuegosdevideocomoFornite.Losmilesdeservidores
quebrindanelserviciodelapáginaamazon.com,tambiénservicioscomocalcularelrecibo
deconsumotelefónico.Enfinunservidoresunacomputadoraquebrindaunservicio,su
tamañovaríadependiendodeltamañoycantidaddeusuariosqueaccedanalservicio.
DispositivosIntermedios
Losdispositivosintermediossonlosencargadosdetransportardeformaeficienteysegura
losdatosdeundispositivofinalaotro.
Existenmuchosdispositivos.Losprincipaleslesllamamos:
● Routers(enrutador)
● Switches(conmutador)
● Firewalls(murodefuego)
● AccessPoints(puntosdeacceso)
Utilizamoslosnombreseninglésdebidoaqueeslamaneraquecomúnmentehablamosde
losdispositivosintermedios.
Nuestrotrabajoprincipalmentecomoingenierosdetelecomunicacionesesconfigurary
administrarestosequipos.EstelibroyelcursodeTécnicoenTelecomunicaciones
profundizamuchomásenlospróximoscapítulos.Porelmomentobrindaremosunabreve
explicación.
● Routers(enrutador):Estedispositivoseencargacolocareltráficoderedenlaruta
correcta.Tienelacapacidaddeleerlospaquetesderedyversudestino.Una
analogíaesindicar“voyparaFacebook”yelcaminohaciaFacebookespormedio
delenlaceamiproveedordeInternet,porahísellegaaFacebook.Sutamañovaría
dependiendodelacantidaddetráficoquenecesitemanejar.Noeslomismo
manipulareltráficodelareddeunacasaaldeltráficodeunaciudadendondeel
proveedordeservicioutilizarroutersmuchomásgrandesyrobustos.
● Switch(conmutador):Unswitchesun concentradordepuertosydistribuidordel
tráficodelared.Aestedispositivoseleconectanlascomputadoras,impresoras,
servidores,cámaras,enfinlosdispositivosfinalesquetenganqueconectarsepor
mediodeuncableasícomotambiénotrosdispositivosintermedios.Unacantidadde
dispositivosseconectanalswitchyestemismoatravésdesuspuertospuede
distribuireltráficoparaquesepuedancomunicarentresí.
Existendetodostamaños.Desdepequeñosde4a8puertoshastaswitches
empresarialesdemásde240puertosenunsoloswitch
● Firewalls(Murodefuego):Estosdispositivosbrindanseguridadalasredesde
informáticapreviniendoquetráficonodeseadoingresealaredcomoataques
cibernéticosyademásprevienequenosalgadelaredeltráficoquenoqueremos
comoporejemplounempleadoquetengarestringidoelaccesoaInternet.
● AccessPoints(PuntosdeAcceso):Sonlosdispositivosquebrindanlared
inalámbricaynosdanaccesoalaredcableada.LosAPposeenantenasque
generanlaredwirelesspormediodefrecuenciascomolosonlasredes2.4Ghzy
5.0Ghz.Vienenenmuchasformasytamañosasícomoparacolocarenla
intemperieointeriordeunedificio.
Comohanpodidoobservarmuchosdeestosdispositivosintermediosposeenunafigura
rectangularqueasimplevistaesdifícildiferenciarsiesunfirewallounrouter,enelcasodel
switchtalvezesunpocomássencillodebidoalagrancantidaddepuertossinembargo
siguenteniendounafigurarectangular.Estosedebeaqueporunestándarestos
dispositivossecolocandentro racksogabinetesdetelecomunicacioneselcualsonunos
postesdondeseatornillanysecolocandeformaseguralosequiposderedparaque
puedanoperar.
Elrackposeeunanchoestándaryvaríaenaltura
DebidoaqueestamosestudiandounacertificacióndelamarcaCiscolerecomendamos
quetomeunosminutosparaexplorarlapáginadeh
ttps://cisco.comyexplorelosdistintos
productosquetienen.
Mediosdetransmisión
Comohemosvenidoespecificandonopodemoscomunicarnosportelepatíasinoquedebe
existirunmediofísico.Actualmenteestossonlosprincipalesmediosfísicos:
● Cablesdecobre:Elcobreesunexcelenteconductoreléctricoyesasíquepor
mediodepulsoseléctricoslasredesdetelecomunicacionespuedentransmitire
interpretardatos.Delosprincipalescablesdecobreseencuentraelcablecoaxial
quelopodemosobservarcuandoadquirimoselserviciodeInternetpormediode
unaempresadetelevisiónporcableynoscolocanuncablemodem.
Otrofamoso
cablehecho
abasede
cobreesel
cableUTP(UnshieldTwisterPair)ocablepartrenzado.Esteeseltípicocablede
redquepodemosverenlaempresaocasasyestáhechoabasedeochohilosde
cobre.
● Cablesdefibraóptica:Esuncablecuyonúcleoestáhechodevidriooplástico
flexible.Sugrosoresdeltamañodeuncabelloyutilizalaluz(unláser)parapoder
transmitirdatos.Permitetransmitiragrandesdistanciasydebidoaquenopasa
electricidadpormediodesunúcleonoleafectanlasinterferencias
electromagnéticascomosípuedesucederenloscablesdecobre.
● Mediosinalámbricos:Losmediosinalámbricosutilizanradiofrecuenciasparapoder
transmitirlosdatos.Lasantenassonlasgeneradorasyreceptorasdeestas
frecuenciasinalámbricas.EnlasredesLAN(Localareanetwork),esdecirlasredes
localescomonuestrascasasoempresas,seutilizalasfrecuenciasde2.4Ghzy
5.0Ghz.
Tambiénexistenenlacessatelitalesusualmenteutilizadosparacomunicarzonas
alejadasdondenolleganingúnotromediofísico
.
Tarjetadered-NIC
LatarjetaderedoNIC(Networkinterfacecard)eselelementoqueposeenlosdispositivos
finalesparapoderseconectarconlared.LaNICseconectaauncableounared
inalámbricaybrindaaccesoalared.Conelpasardelosañossutamañoseadisminuidoy
estéticamentelastarjetasderedinalámbricasencomputadoras,tabletycelularesvienen
dentrodeldispositivoporloquenoseobservan.Ylastarjetasderedqueutilizancablepor
logeneralobservamosúnicamenteelpuertodered.
Simbologíaytopologíasdered
Paraidentificarunelementodelaredfísicamentedebemosobservarbiensumodeloy
manufacturadoryaquemuchosseparecenfísicamente.Alahoradecrearundiagramade
redseutilizansímbolosparapoderidentificarloselementosdelared.Aquíalgunos
ejemplosdelossímbolosmáscomunespararepresentarenundiagramadered:
Esimportanteindicarqueestossonlaformamáscomúnderepresentarlosprincipales
dispositivosymediosdetransmisiónsinembargoexistentantostiposdedispositivosque
podemosnoencontraralgunasvecesalgúnsímbolospararepresentarenunaredporlo
quenuestrarecomendaciónessiemprecolocarunadescripciónalapardelossímbolos
paraentenderquésignifica.
PorejemplolanubeseutilizapararepresentarelInternetounsegmentodelared
desconocidooirrelevanteparaeldiagramaporloqueesimportanteespecificarque
significacuandocolocamosunanube.
Utilizandounconjuntodesímbolospodemosrepresentarunatopologíaderedqueesla
diagramacióndecómoseencuentraconectadalared.
Nuestraprimeratareaserárealizarundiagramadereddenuestrohogar.
Ejercicio:Creacióndelatopologíadereddemicasa
Paranuestroprimerejerciciosvamosautilizarunaherramientawebquelaencontramosen
lasiguientepágina:
https://www.draw.io/
Estaesunapáginaparacreartodotipodediagramasincluyendolosdiagramasdered.
Acontinuaciónmostraremosunejemplodecómoconstruireldiagramadereddemicasa
Aliniciodelapáginanospreguntarádondequeremosalmacenarnuestrodiagramadered.
SieresestudiantedeVLAtienesaccesoaungoogledriveilimitado.Paraefectosdeeste
ejemploseleccionaremosGoogleDrive.
Luegoseleccionaremoscrearunnuevodiagrama
Colocamoselnombredeseado.Enesteejemplohemosseleccionado“Miprimerdiagrama
dered”.Seleccionamosundiagramaenblancoyledamosclicken“Create”
Seleccionamoslarutadondequeremosalmacenarloyluegonosllevaraalapantalla
principal
Laherramientaesbastanteintuitiva.Encontraremosunespacioenblancoenelcual
podemosarrastrarlossímbolosqueencontraremosalaizquierdaycrearnuestrodiagrama.
Enlapartesuperiorizquierdaencontraremosuncampodebúsquedaenelcualpodemos
escribirennombredelossímbolosquedeseamos
Usualmenteparaundiagramdecasapodemosbuscarlossiguientessimbolos:
● Wirelessrouter
● Cablemodem
● Cloud
● phone
● Laptop
● smartTv
Busqueyarrastretodosloselementosqueposeeustedensucasa
Luegoenlapartesuperiorencontraráunmenúdondepuedeseleccionarlaopciónde“link”
conelcualrepresentaremosloscables(segundaopción).
Procedaaconectarlascosascomorealmenteestánconectadasensucasa.Ennuestro
escenarioelproveedordeservicioAT&Testáconectadoalcablemodemqueluego
conectasalrouterinalámbrico.
Adicionalmentequeremosrepresentarlasconexionesinalámbricashacialosdispositivos
finalesporloqueconlapalabra“wireless”buscamosunsímbolosquepuedarepresentarla
conexión.
Porúltimoagregamosnombresydescripcionesacadasímboloydetallamoslaredlomás
quesepuedaparaquenuestrodiagramatengasentido.
Podemosexportareldiagramaendistintosformatos.Enesteejemploloexportamoscomo
imagenJPGyestefueelresultado
Nótesecomolasdescripcionesayudanmuchoaentenderloselementosdeldiagrama.
¡Felicidades!Hasrealizadotuprimerdiagramadered.SiseencuentraenuncursodeVLA
debenenviarloasuprofesoroprofesora.
Capítulo2:EntendiendounadirecciónIP
¿Quéesunadirección?
Antes de entender que es una dirección IP, primero debemos de profundizaren¿Quées
unadirección?
Unadirecciónbrindalaubicacióndealgúnsitio,objeto.Desdeunacasahastalaubicación
de un lapicero. Ejemplo “Me puedes pasar el lapicero que deje al lado izquierdo del
desayunador”.
Lomásimportantedeentendersobreunadirecciónesquesonúnicasenelmundo,galaxia,
universo.Noexisteotrolugarigualadondedejeellapiceroeneldesayunador,eselugares
único.Sicolocamosunlapiceroalapardeestelapicerotendríaunaubicacióndistinta.
Asíloescomoladireccióndesucasa.Puedeserqueustedvivaenuncondominioentorre
en el cual comparte el edificio con otros apartamentos pero su apartamento es único en
toda la vía láctea. No existe otro que ocupe ese espacio por ende no existe otro que no
ocupeesadirección.
Conclusióntodaslasdireccionessonúnicas,asícomolasdireccionesIPsqueleasignamos
anuestrascomputadoras,celularesydemás.
AnalogíadeladirecciónIP
VamosarealizarelsiguienteejercicioparaentenderqueesunadirecciónIP.Tomemosuna
hojaenblanco(osusimilarendigital)yquieroqueescribaladireccióndesucasa.
ParamiejemplovoyaescribirladireccióndeunadelasoficinasdeVLAenMiami:
117NE1stAve,Miami,FL33132,EstadosUnidos
Este es un formato para escribir la dirección de nuestra oficina en Miami, podemos
entenderlaporqueestáescritautilizandoelabecedarioysistemadecimalyesunaformade
expresarlaubicacióndeunlugarenestecasonuestraoficina.
Escribaladireccióndesucasasinimportarelformatodesupaís.
Lo segundo que vamos hacer es dividir nuestra dirección en cuatro secciones utilizando
puntosacomosemuestra:
. .
117NE1stAve Miami FL33132 EstadosUnidos .
Eltercerpasoesquevamosatomarcadaunadelascuatroseccionesyvamosadarleun
valorentre0y255(luegoentenderemosporqueesterango)
117NE1stAve=92
Miami=100
FL33132=45
EstadosUnidos=156
Losnúmerosqueestoyasignadosoncódigosquevanarepresentarpartedeladireccióny
al final expresan exactamente lo mismo solo que escrito deotramanera.Paraefectosde
nuestroejemploeslomismoqueyolediga“HeyyovivoenlosEstadosUnidos”o“Heyyo
vivoen156”conociendolainformaciónanteriorsabemosque156esigualadecirestados
unidos.
Ahora bien coloquemos nuestra primera dirección utilizando números y puntos de la
siguientemanera
. .
117NE1stAve Miami FL33132 EstadosUnidos .
92.100.45.156
¡Felicidades!lehas¡asignadounadirecciónIPasucasa!
Lo anterior es una analogía de que como a través de los números podemos definir la
ubicación de un lugar. En este ejemplo yo puedo decir que la oficina de VLA queda en
92.100.45.156 que sería lo mismo que decir 117 NE 1st Ave, Miami, FL 33132, Estados
Unidossolamentequeescritoeinterpretadoennúmeros.
Ladirecciónipsirveparapoderubicarunhostdentrodeunareddetelecomunicacaciones.
Unhostesundispositivofinalqueutilizalosserviciosdelared,esdecirunacomputadora,
tablet,celular,entreotros.
DefinicióndeBits
UnadirecciónIPesunalíneade32bits.Esdeciresunalíneadetreintaydos 1sy0s.
11000000101010000000101000000001
Un bit es la unidad de medida más pequeña de la información de datos el utiliza dos
estadosel0yel1.Estoesellenguajebinarioelcualesellenguajedelascomputadoras.
Combinando 1s y 0s podemos hacer una combinación infinita pararepresentarcosas.Es
deciryopuedocolocarunanumeroenbinarioeindicarquesignifica.
Yopuedodecirquelasiguientecombinaciónrepresentaunviajeaparis.
110011=ViajaeaParis
Lasiguientecombinaciónrepresentaunacamisaazul
11=Camisaazul
Lasiguientedormirenlaplaya
000111001110011=dormirenlaplaya
Asícomohicimoslaanalogíaqueconnúmerospuedeescribirunadirecciónquerepresenta
la ubicación de una casa de igual manera podemos decir que con bits o con el sistema
binariopodemoshacerunacombinacióndenúmerosquepuederepresentarcualquiercosa
yennuestroprimercasonosvaayudaraescribirunadirecciónIP.
DirecciónIP
ComomencionamosunadirecciónIPesunalíneade32bits
11000000101010000000000101100100
Estadirecciónestáescritaenbinario,locualesmuydifícilparaelojohumanodeinterpretar
la dirección a simple vista. En misañosdecarrera(másde14yaycontando)soloexiste
unaúnicapersonadocumentadaquepuedeleerbinarioasimplevistayestaenestevideo
https://www.youtube.com/watch?v=zSSi9Rc5X7w
BadGadgets:MobileCrimeComputer
(Enlaépocadebatmande1960 lascomputadorasutilizabantarjetasperforadaslascuales
estaban escritas en binario,laperforaciónsignificabaunvalorde1yelespacioenblanco
cero.PuespareceserqueBatmaneselúnicopuedeleerbinarioyentenderloensegundos
paradescifrarelcrimen)
Porloqueparanosotroslossuperhéroesdelasredesynodeficcióndebemosdevamosa
realizar lo siguiente para poder convertir la dirección IP en algo quepodemosentendery
esoeselsistemadecimal.
Primerovamosatomarlos32bitsylosvamosadividirencuatrogruposde8bitscadauno.
AestosgruposlesllamaremosO CTETOS
11000000.10101000.00000001.01100100
Ahoratomamoscadaoctetoyloconvertimosadecimal.Existeunamanermuysencillade
hacer esto la cual la profundizaremos más adelante enellibro.Porelmomentodebemos
comprender que cada posición del octeto posee un valor en decimal y que si el bit esta
encendido es decir se encuentra en 1 simplemente sumamos ese valor. Observemos el
siguientecuadro:
Como pueden observar el si transformamos cada octeto a decimal podemos escribir la
direcciónIP
192.168.1.100
Esta forma de escribir una dirección IP se le conoce en inglés como “Dotted decimal
notation”onotacióndecimalpunteadaenespañol.
Un dato es que en un octeto el número más bajo es cero cuando todos sus bits están
apagados 00000000 y el número más grande es 255 cuando todos los bits están
encendidos11111111.
Ladirecciónip
PartesdeunadirecciónIP
AhoraquecomprendemosbienqueesunadirecciónIPvamosacompreendersuspartes.
UnaIPposeedospartes,laporcióndelaredy laotraparteindicaelnúmerodehostdentro
delared.
Dentrodeunaredpuedenexistirmuchoshost,asícomoenunacasapuedenvivirmúltiples
personas.
ExisteunadirecciónIPquerepresentaatodalaredasícomoexisteunadirecciónfísicaque
representaatodalacasa.
Luegotenemoselnúmerodehostqueperteneceaestaredasícomotenemosunapersona
específicaquepertenecealacasa.
Observelasiguientefigura:
En la figura anterior tenemos dos redes. La red de Nueva York la cual posee la
computadoranúmerouno,dos,tresycuatro.
LasegundaredeslareddeMiamilacualposeelacomputadoranúmerouno,otranúmero
dos,unanúmerotresyporúltimounanúmerocuatro.
Ennuestroejemplolosprimeros3octetosvanarepresentarlaredladireccióndelared.Es
decirenelcasodeNuevaYorkladirecciónIPquerepresentaalaredes1
99.76.20.0
EnelcasodeMiamiladirecciónipquerepresentaalaredes200.98.39.0.
Luego podemos observar que existe la computadora dentro de la red de Nueva York. Si
tomamoslacomputadora1podemosindicarquesudirecciónIPesla199.76.20.1 porque
eslacomputadoranúmerounoquepertenecealareddeNuevaYork.
Nótese como tenemos bien definida una porción del a red 199.76.20.0 y una porción del
host0.0.0.1yambaspartesformanlaIP199.76.20.1
AsícomootrosejemplosenesteescenarioladireciónIP199.76.20.3representaalaredde
MiamiconlaIP199.76.20.0yelhostnúmero3deesared.
Más adelante en el libro lograremos identificar cuando varía la porción del network y la
porcióndelhost.PorelmomentoesimportantecomprenderqueunaIPrepresentaalared
yalnúmerodehostdentrodeesared.
ClasesdedireccionesIP
YasabemosqueunadirecciónIPnosayudaaubicarunhostdentrodeunaredytambién
queposeedospartes,laporcióndelaredylaporcióndelhost.Ahoracomprenderemos
queexisten5clasesdedireccionesIPlascualespresentamosacontinuación:
Lasclasesseclasificansegúnelnúmerodelprimerocteto.Laimagenanteriornosmuestra
losrangosdedireccionesIPysegúnestosrangoscomoseclasificaríalaIPsiesunaclase
A,B,C,DoE.
LasclasesA,ByCsonutilizadasparaformarlasredesdetelecomunicacionesysu
principalvariantesebasaeneltamañoocantidaddehostquepuedesoportarunared
claseA,BoC.
● IPClaseA:UnaredclaseAsedefinecomoqueelprimeroctetovaarepresentarla
porcióndelaredylosúltimos3octetosrepresentanalnúmerodehostdentrodela
red.Estoquieredecirquedelos32bitsquetieneunaIP8bitssevanautilizarpara
representarladireccióndelaredy24bitssevanautilizarpararepresentaralos
host.Unaredclaseapuedetenerhasta16777216host.
UnejemplodeunaIPclaseAsería10.200.98.231enelcuallaporción10.0.0.0
representaalaredylaporción0.200.98.231representaalhost
● IPClaseB:UnaredclaseBsedefinecomoquelosprimerosdosoctetosvaa
representarlaporcióndelaredylosúltimos2octetosrepresentanalnúmerode
hostdentrodelared.Estoquieredecirquedelos32bitsquetieneunaIP16bitsse
vanautilizarpararepresentarladireccióndelaredy16bitssevanautilizarpara
representaraloshost.Unaredclaseapuedetenerhasta65536host.
UnejemplodeunaIPclaseBsería172.16,20.65enelcuallaporción172.16.0.0
representaalaredylaporción0.0.20.65representaalhost
● IPClaseC:UnaredclaseCsedefinecomoquelosprimerostresoctetosvaa
representarlaporcióndelaredyelúltimooctetorepresentaalnúmerodehost
dentrodelared.Estoquieredecirquedelos32bitsquetieneunaIP24bitssevan
autilizarpararepresentarladireccióndelaredy8bitssevanautilizarpara
representaraloshost.Unaredclaseapuedetenerhasta256host.
UnejemplodeunaIPclaseCsería192.168.10.87enelcuallaporción192.168.10.0
representaalaredylaporción0.0.0.87representaalhost
● IPClaseD:Esteesunrangoespecialparaenviaruntipodetráficoquesellama
multicast.Másadelanteenellibroprofundizaremosenesteconcepto.
UnejemplodeunaIPclaseDsería224.0.0.5.EstaIPnoposeeporcióndelaredni
delhostsinoqueesutilizadaparaenviartráficotipomulticast.
● IPClaseE:Esteúltimorangoseencuentrareservadoparahacerpruebase
investigaciones.
UnejemplodeunaIPclaseEsería248.100.100.1.EstaIPnoposeeporcióndela
rednidelhostsinoqueesutilizadaparainvestigaciónypruebas.
Máscaradered
HemosobservadoqueunadirecciónIPposeeunaporcióndelaredonetworkyuna
porcióndelhostonodo(asíselellamaenespañol,nodo).
SegúnlaclasesiesAelprimeroctetopertenecelanetwork,siesclaseBeloctetounoy
dospertenecealnetworkysiesclaseCeloctetouno,dosytrespertenecenalnetwork.
LamáscaraderedesunaherramientaescritaenelmismoformatodeunadirecciónIPque
nospermiteidentificarconunbit1losbitslaporcióndebitsquerepresentanalnetworky
conbits0laporcióndebitsquerepresentanalhost
Másadelanteenellibroprofundizaremoseneltemayobservaremoscomolamáscarade
redvaríaconformeeltamañodelaredvaría.Porelmomentoesimportantequeseaprenda
cualessonlasmáscaraderedpordefectosegúnsiclase
Práctica
UtilizandolosrangosdedireccionesIPparaclasificarsiladirecciónIPesclaseA,BoCpor
favorindiqueeltipodedirecciónIP
UtilizandolosrangosdedireccionesIPparaclasificarsiladirecciónIPesclaseA,BoCpor
favormarqueconuncírculolaporcióndelnetworkylaporcióndelhost
Capítulo3:TCPIP
TiposdeRedes(LAN,WAN,MAN)Topologías
En este capítulo iniciaremos comprendiendo diversos tipos de redes, dentro de las 2
principalesqueestudiaremosenestelibrosonlasredesLANylasredesWAN:
RedLAN:
Una red LAN (Local Area Network) o Red de Área Local en español tiene 2 principales
características:
1)Losdispositivosderedestánenunáreageográficaencomún
2)Estánbajounamismaadministración
LoanteriorquieredecirqueunaLANesunaredcuyosdispositivoscomolascomputadoras,
cámaras IP, impresoras, routers, switches y demás, están interconectados en una misma
área geográfica, como por ejemplo un mismo departamento, un edificio, un campus
universitario. Además su administración deberá ser realizada por una única entidad,
departamentodeITopersonaodueñoconelfindetenerautonomíaparadecidirsobrela
red.
Profundicemos en lo anterior, Una red de área local los dispositivos se van a encontrar
dentrodeunáreageográficaencomúnperonoexisteunalimitanteexactadetamaño.
Esdecirpuedesertanpequeñacomounaredcaseraendondesolotenemosunrouteryla
computadora o tan grande como un campus universitario. Los dispositivos están todos
interconectadosenunamismaáreageográficaynolosdivideotrasredescomoporejemplo
lasredesdelproveedordeservicio.
Con respecto a una misma administración. En esto podemos ver el ejemplo del campus
universitarioenelcual,esunáreageográficaquepuedeserextensasinembargotodoslos
dispositivosdelareddelcampusuniversitarioestánbajolamismaadministración.
Ahora bien, si por ejemplo una universidad posee un campus en Nueva York y la misma
administracióntieneotrocampusenMiami,ambosestánbajolamismaadministraciónpero
no están en la misma área geográfica por lo que son dos redes LAN totalmente
independientes.
Un segundo ejemplo es una torre de apartamentos en donde dos apartamentos vecinos
podemos decir que se encuentran en área geográficas en comúnperonoestánbajouna
misma administración ya que cada dueño de su apartamento puede elegir qué equipos
comprar, qué proveedor de servicio contratar, esdecircadaquienadministrasuredcomo
quiera.
RedWAN:
Las redes WAN (Wide AreaNetwork)oredesdeáreaampliaporlogeneralsonlasredes
delosproveedoresdeservicio.
Los proveedores de servicio son las empresasquetienenelpermisodecolocarcableado
envíapúblicalocualnospermitepoderinterconectaralasredesLAN.
Si usted posee dos casas y estas son divididas por una calle pública. Usted deberá
contratar un proveedor de servicio para poder interconectar sus casas ya que usted no
posee el permiso de colocar un cable que atraviese la calle pública para interconectar
ambascasa.
LasredesWANporendepermiteinterconectarseentreciudades,paísesycontinentes.Las
redes WAN interconectan a las redes LAN y a su vez se interconectan con otros
proveedoresdeservicioesdecirconotrasredesWAN.
Internet
Internet o “The World Wide Web” Es una red de redes. Es un conjunto de redes LAN
interconectadasporunconjuntoderedesWAN.
Protocolosdered
Otra definiciónimportanteesladeunProtocolodeRed. Primerodefinamos¿Quéesun
protocolo?
Esunconjuntodereglasopasosaseguir,comoporejemplounprotocolodevestimenta.A
unabodaformaldebemosdeasistircontrajedeetiqueta.
Luego tenemosprotocolosparacomunicarnosyunodeellossonlosidiomas.Elprotocolo
Españoltieneunconjuntodereglasaseguirquenospermitecomunicarnos.
ElprotocoloespañolindicaqueaunhombredebodereferirmecomoELyaunamujerse
debereferimecomoE LLA.
Estasreglashacenquepodamoscomunicarnoseindicarelmensaje,elordendelas
palabras,laestructuratodoesunprotocolo.Simencionamoslasiguientefrase.
“AñoQuierovoyyCCNAcomoestecertificarme”
Noseentiendeporquenoestamossiguiendolasreglasdelprotocoloespañol.Siseguimos
lasreglaspodemosindicar
“EsteañoquieroyvoyacertificarmecomoCCNA”
Podemosverquesiseguimoslasreglasdelespañolpodemoscomunicarnos.
IfIstarttalkinginenglishandyoudon´tspeakthesameprotocolthenyouwouldnotbeable
tounderstand.
Vocêfalaportuguês?
Comovensinohablamoselmismoprotocolononosvamosaentender.
Lomismosucedeconlasredesdetelecomunicación.Tenemosprotocolosquenospermiten
comunicarnos, que nos dan las instrucciones de cómo se debe enviar un mensaje de
whatsapp,ingresaraunsitioweb,hacerunavideollamada.
Los protocolos de red definen el orden de los mensajes,elcontenidodelosmismosysu
estrcutura.
ElprincipalprotocoloderedeselTCP/IP(TransportControlProtocol/InternetProtocol)
y con este protocolo podemos comunicar de manera estándar todos los dispositivos en
Internet. Desde un iphone hasta una computadora Toshiba, ambos manufacturados en
plantas diferentes pero ambos dispositivos hablan elprotocoloTCP/IPporendesepuden
comunicar.Asímismounarefrigeradorayunrobotpuedencomunicarsesilosdoshablanel
mismoidiomaesdecirsilosdoshablanT CP/IP
TCP/IP es el protocolo universal y este libro se basa en su mayoríaenentendersu
funcionamiento.
AntesdeTCP/IP
Cuandosecrearonlasprimerascomputadorasnoexistíanlasredesdetelecomunicaciones
IP.Loqueutilizabamosparapasarlainformacióndeunacomputadoraaotraeradisquetes
(diskette o floppy disk en inglés) cuyo almacenamiento era de 150 kilobytes y medida
alrededorde8pulgadas,sieranenormesyfácilesdedañarse
El medio de transporte era el ser humano que pasaba eldisquetedeunacomputadoraa
otra.LapalabraSneakernetvienedequeeninglésseledicesneakeralastenis.
Claramente existía una necesidad de comunicar a las computadoras de manera más
eficiente y es donde empresas como IBM, Apple, INTEL,XEROXydemáscomenzarona
crearsupropiasredesconsuspropiosprotocolosdered(idiomaenquelascomputadoras
secomunicaban.
● IBMcreóSNA(SystemNetworkArquitecture)
● ApplecreóAppleTalk
● DigitalEquimentCorporation(Pioneraenmicrocomputadoras)creóDECnet
Estos protocolos era propietarios y únicamente funcionaban al comunicarse con otros
dispositivosdelamismamarca.
Problemas:
● Falta de compatibilidad.Lasempresassecasabanconunamarcaysecompraban
computadorasdeotramarcanosepodíancomunicarentresí.
● Poca evolución: Cada marca debía encargarse de principio a fin de todos los
elementos de la red, es decir desde la creación del cable, los dispositivos
intermedios, la tarjeta de red, el software para comunicarse, protocolo, sistema
operativo.Porendeeramuydifícilconcentrarseenunsoloelementoparamejorar.
Solución
Sedebíabuscarunestándarquebrindaraunacompatibilidadparaquedistintosdispositivos
dediferentesfabricantessupudierancomunicarentresí.
Propuestasdesolución
Dosentidadespusieronenlamesaprotocolosparabrindarcompatibilidad:
InternationalOrganizationforStandardization(ISO)propusoelprotocoloOSI
Muchos conocen el modelo OSI pero no todos saben que este fue un protocolo que
funcionóaprincipiosdelos1970s creandoelprotocoloOSI(OpenSystemInterconect).
U.S.DepartmentofDefense(DoD)contractcreoelprotocoloTCP/IP
EldepartamentodedefensadelosEstadosUnidoscreóelprotocoloTCP/IP
Ambosprotocoloscomenzaronacompetirporelmercadoylosmanufacturadoresdebíade
decidirsicreabandispositivosquehablaránelprotocoloTCP/IPoelprotocoloOSI.
Alfinaldeladécadadelos1990selgranganadorfueTCP/IPelcualtuvomayoraceptación
delosfabricantes.
HoyendíasepuededecirquecasitodoslosdispositivoshablanTCP/IP(nopodemosdecir
quetodosyaquedebendeexistirunoqueotrolocoquehablasupropioprotocoloaúno
tieneunareliquiaquehablaprotocoloOSI)
OSIfuequedandocomoelmodelodereferenciaOSIelcualporañosseutilizópara
explicarelfuncionamientodelasredes.Estelibrovaarealizarmenciónalascapasdel
modeloOSIysucomparaciónconTCP/IP.
ElmodeloTCP/IP
TCP/IPeselprotocolouniversalqueposeeunagrancantidaddeprotocolosquepermiten
comunicarnosentrecomputadorasydistintosdispositivosconectadosaunared.
LasreglasdecómodoscomputadorasdebencomunicarsepormediodeTCP/IPestán
definidasendocumentosllamadosRFC(Requestforcomment).Enestosdocumentosle
indicanalosmanufacturadorescomodebendecrearsusdispositivosyprotocolosdered
parapodercomunicarse.
UnadelascaracterísticasdelModeloTCP/IPesquenospermitedefinircómofuncionanlas
redesdetelecomunicacionesenunmodelodecapas.
¿Porquesedivideentrecapas?Aquíalgunasdelasrazones:
● Permitelaespecialización:A ntesdeTCP/IPlosmanufacturadoresdebíandecrear
todo,desdeloscablesderedhastaelsistemaoperativodelascomputadoras.Con
TCP/IPdividoentrecapasnospermitepoderespecializarnosenunaomáscapas.
PorejemplounaempresadecableadoestructuradocomoP anduits ededica
únicamenteacrearlapartefísica,esdecir,cablesydemáselementosdelacapa
física.Siestaempresaseconcentrasoloenestacapavaapoderirevolucionando
másrápidoendesarrollarcablesdemejorcalidad,quepermitantrasportardatosa
mayorvelocidadymásresistentes.
EstoentoncesllevaaqueempresascomoCiscoqueisenconcentraenlascapasde
transporte,Internetyenlacededatosdebamanufacturarmejoresroutes,switchesy
firewallsperonotienequepreocuparsedelacreacióndecable.
AsuvezMicrosoftcreasoftwarequerecibelosdatosylosprocesaaunamayor
velocidad.
● Facilitaelaprendizaje:E smásfácilenseñaryaprendercomofuncionalasredes
porcapasqueverlocomountodo.
Cadacapabrindaunacoleccióndeprotocolosquepermitirálacomunicacióndedistintos
tiposdedatosatravésdelared.
AcontinuaciónrealizaremosunabreveexplicacióndecadaunadelascapasdeTCP/IP
CapadeAplicación
Lapalabraaplicaciónesmuyutilizadahoyendía,sobretodoporquetenemosmuchasapps
ennuestrocelular.NodebemosconfundirestetérminocuandohablamosdeTCP/IP.
Losprotocolosdelacapadeaplicaciónnosonunapp,porelcontrariobrindanunservicio
alsoftwareoappparapodertransportarlosdatos.
Unejemplodeestoeselwebbrowseronavegadorwebelcualunsoftwarecomogoogle
chromeutilizaelprotocolodelacapadeaplicacióncomounservicioparapodertransportar
páginasweb.EstolohaceconelfamosoprotocoloHTTP.
Asítambiénotrasappscomowhatsapp,instagram,facebooknecesitandeunprotocolode
lacapadeaplicaciónparapodertransportarlasimagenes,videosypostquesetransmiten
porlared.
Enresumen.Lacapadeaplicacióneslainterfazqueutilizaelsoftwareparapoderse
comunicarconlaredytransportarsusdatos.
Cadacapacolocaunencabezadodeinformación.Esteencabezadosonlasinstrucciones
delprotocolodelacapa.
Lainformacióncuandoseencapsula,esdecirseleagregaelencabezadodelacapade
aplicaciónseleconocecomo“D
atos”
CapadeTransporte
Cuandotransportamosdatosporlaredcomoporejemplounapelícula.Estamismadeberá
serdivididaenpequeñossegmentosparasertransportadas.
Lacapadetransporteseencargadeidentificarcadaunodeestossegmentos
enumerandolosconunnúmerodesecuencia(númerodesegmentopordecirlodealguna
manera).Transportarlosdeformaeficienteyconfiablealhostdestinoydequeestepor
mediodelosnúmerosdesecuenciapuedaensamblarnuevamentelosdatos(volverarmar
lapelículautilizandolosnúmerosdesegmentos).
LacapadetransporteposeedosprincipalesprotocolosyestossonTCPyUDP.
TCPesunprotocoloquenospermitetransportarlosdatosdeformaconfiable.Estoquiere
decirquesiunoo variosdelossegmentosnolleganasudestino,TCPtienelacapacidad
deidentificaresteerrorytransmitirlaventanadedatosperdidos.
Lacapadetransportelebrindaunservicioalacapasuperior(Capadeaplicación)de
transportedelossegmentosdelosdatosdeformaeficienteyconfiable.
Cuandolosdatosseencapsulanconelencabezadodelacapadetransporteselesllama
segmentos.
CapadeInternetoRed
LacapadeInternetotambiénconocidacomoNetworklayernosbrindalascallesy
avenidasdelared,estamoshablandodeunesquemadedireccionamiento.
PrincipalmentehoyendíasetrabajacondireccionesIPdelascualestenemoslasIPv4e
IPv6quehablaremosmásadelanteenestelibro.
Aligualqueunconductornavegaporlascarreterashaciasutrabajo,unpaqueteIPdeberá
navegarporlasredesparallegarasudestino.
Elconductorvaabuscarlamejorrutaparallegar(lamenoscongestionada,lamásrápida)
asímismolacapaderedseencargadebuscarcualeslamejorrutadelpaqueteIPpara
llegarasudestino.
LasdireccionesIP,losprotocolosdeenrutamientosonpartesdeestacapa.
Lacapaderedlebrindaunservicioalacapadetransportededireccionamiento.
Cuandolossegmentosselesagregaelencabezadodelacapaderedselellaman
paquetes.
CapadeEnlacededatos:
ElpaqueteIPdebesertransportadoporelmediofísicoyhoyendíaexistenmuchosmedios
físicoscomoconexionesinalámbricas,cableadoethernet,cablemodem,enlaces4G,enfin
haymuchosmediosfísicosytodostrabajandeunaformadiferente.
LacapadeenlacededatospreparaalpaqueteIPparasertransportadoporelmediofísico
BrindalasinstruccionesdecomodebentransportarselospaquetesIPporelmediofisico.
Estacapatienelaparticularidadqueagregaunencabezadoconlasinstruccionesdela
capadeenlacededatosyunacola.AestoestepaqueteIPencapsuladoencapadeenlace
dedatosselellamatramao“Frame”eninglés.
Lacapadeenlacededatoslebrindaunserviciodeinstruccionesparatransportarel
paqueteporelmediofísico
CapadeFisica:
Lacapanúmerounooprimeracapaeslafísica.Enestacapanoexistenprotocolossino
estándaresquedefinentodoeltemafísicodelaredcomoelcableado,eltipodevoltajede
debeirencadadispositivoquetransmite,laformadelosconectores,materialesydemás-
Aquísetransmiteenbitsysontransmitidospormediodepulsoseléctricos,ondas
inalámbricasyenlacesdefibraóptica.
Lacapafísicalebrindaunservicioalacapadeenlacededatosdetransmisióndedatosen
bitsporunmediofísico.
Encapsulacióndedatos
Existeunprocesodeencapsulacióndedatosquevadesdelacapadeaplicaciónhaciala
capafísicayluegoexisteunprocesodedesencapsulacióndelacapafísicaalacapade
aplicación
Encadacapaselevaagregandounencabezadoquesonlosdatoseinstruccionesdecada
protocolosegúnsucapa.
Luegoesosencabezadosycolassevanquitandocuandolleganalhostdestinadoyseva
removiendoodesencapsuladocapaporcapahastaquequedanlosdatosquesevan
ensamblandoenelhostfinal.Estoterminaenlafototransmitida,páginawebcargadaentre
otrosejemplos.
Interacciónentrelascapas
EsimportantecomprenderquetantoelHostAquetrasmitecomoelHostBquereciben
hablanelprotocoloTCP/IPqueporendeamboshostutilizancadacapaparacomunicarse
entrelasmismascapasdelotrohost.
Lascapasinteractúanentreellasalmismonivel
EntenderemosentoncesquelascapasdelmodeloTCP/IPinteractúanalmismoniveles
decirlacapadeaplicaciónsecomunicaeInteractúaconlacapadeaplicacióndelotrohost.
Asítambiéncomolacapadetransporteconladetransportedelotrohost.Lacapadered
conladered,ladeenlacededatosconladeenlacededatosylafísicaconlafisica.
Otroimportanteconceptoeseldecomprenderquelacapainferiorbrindaunservicioala
capasuperior.Porendeexisteunadependenciadelcapasuperiorhacialainferiorparase
puedancomunicar.
Podemosdecirentoncesquesilacapafísicafalla(desconectamoselcable)ningunadelas
otrascapassepodrácomunicarconelhostdestino.
ComparaciónconmodelodereferenciaOSI
AunqueelenfoquedeestelibroyestaversióndelacertificaciónCiscoCCNAesnohablar
tantodelmodelodereferenciaOSI,porañosestafuelaformadeexplicarlasredesde
telecomunicacionesasíesimportanteecharleunvistazoalas7capasdemodeloOSIy
comosecomparanconTCP/IP
DentrodelasdiferenciasactualesestáqueelmodeloOSIson7capasyTCP/IPson5
capas.
LacapadeaplicaciónenTCPesdesglosadaen3capasenelmodeloOSIlascualessonla
capadeaplicación,presentaciónysesión.Estas3alfinaleselequivalentealaúnicacapa
deaplicaciónenTCP/IP.
Elrestodecapasesbásicamentelomismo.Lagrandiferenciaesqueenelmediolaboral
detelecomunicacionesseacostumbraallamaralascapaspornúmero.
Ejemplo:tengounproblemadecapa7esdecirdelacapadeaplicación.Tengoun
problemadecapa2esdecirdelacapadeenlacededatos.
Yunchisteescuandodecimostengounproblemadecapa8elcualsignificaelusuario
final.Asíquecuidadocuandoescuchasdecirquehayunproblemadecapa8yerestuel
usuarioporqueseestánburlandodeti.
ProtocolDataUnit
Hemosmencionadoestoanteriormenteperolorecalcamosenestasección.
Segúnlacapaenlaqueseencuentranlosdatosrecibenunnombre.Estenombreesla
unidadatosdelprotocolooprotocoldataunit.
● EnlacapadeaplicaciónsellamanDatosoData
● EnlacapadetransportesellamanSegmentosoSegments
● EnlacapaderedsellamanPaquetesoPackets
● EnlacapadeenlacededatossellamanTramasoFrames
● EnlacapadefísicasellamanBits
Ejercicio
RecomendamosverelsiguientevideodeyotubellamadoGuerrerosdelared(Warriosof
theNet)Dejamoselenlaceacontinuación
https://www.youtube.com/watch?v=r8mDFV0Aioo.
Capítulo4:CapadeAplicación
¿Dondesecreanlosdatos?
¿Tehaspreguntadodondesegeneranlosdatos?Losdatossongeneradosenelsoftware,
cuando tomamos una fotografía, cuando escribimos un correo electrónico, cuando
grabamosunaudioestamoscreandodatos.
Estosdatossiqueremostransportarlosaotrohostnecesitamosunprotocolodelacapade
aplicaciónquenosayudehacerlo.
¿Quéeslacapadeaplicación?
La capa de aplicación es la séptima capa del modelo de referencia OSI o es la capa de
superiordelprotocoloTCP/IP.
Estacapabrindaunservicioalsoftwareparapodertransportarlosdatosdeunhostaotro.
Eslainterfazqueconectaalsoftwareconlared.
Característicasdelacapadeaplicación
Un protocolo se comunica por medio de mensajes. La capa de aplicación define estos
mensajes:
● Defineeltipodemensajes.
● Definelasintaxisdecadamensaje.
● Defineloscamposquellevancadamensaje.
● Definelossignificadosdecadacampo.
● Definelasrespuestasesperadasdecadamensaje.
● Definecómoseinteractúaconlacapainferior(capadetransporte).
● Defineeltipodedatoatransportar.
Inventemosnuestropropioprotocolodelacapadeaplicación
Enestesegmentolesinvitoaqueseamosbiencreativosycreemosjuntosunsoftware
nuevoelcualvaatenerunprotocoloparatransportarsusdatos.
RealiceesteejercicioconsuprofesordeVirtualLearningAcademy.Tomesutiempopara
podercrearsupropioprotocolodelacapadeaplicación.
Aquívamiejemplo.
Inventemosnuestropropioprotocolodelacapadeaplicación
Protocolosesencialesdelacapadeaplicación
Existenmillonesdediferentesprotocolosdelacapadeaplicaciónsinembargovamosa
revisarenestelibroalgunosdelosprotocolosmásesencialesdeinternet.
HTTP
ElprotocolomásimportantedeInternetesHTTP.SunombreesHyperTextTransfer
Protocol.
EsteprotocolofuncionaenmodoC liente-Servidor.E
stoquieredecirquetenemosun
cliente( nuestracomputadoraocelular)queutilizaunsoftwarellamadowebbrowserque
hablaelprotocoloHTTP. ElservidorquetambiénutilizaHTTPposeeelcontenidoweb(La
página,lasimágenes,videosydemás)yseencuentraesperandopeticionesdeclientes
solicitandoelcontenidodelapáginaweb.
Porendeesteprotocolofuncionaconpeticiones(request)yrespuestasaesaspeticiones.
Laspeticionesyrespuestassonlosmensajesdelprotocolo HTTPloscualesyahansido
previamentecreados,programadosyestandarizadosparaquetodoaquélquedeseeusar
HTTPsepacómocomunicarse.
Dentrodelosmensajesmásimportantesestán
MensajeGET
Estemensajeesunapeticiónalservidorparaobteneralgúnrecurso(Unapágina,una
imagen,video,etc).Comoseobservaenlasiguienteimagenexisteyaunasintaxisyun
ordendeterminadodecómosedebenhacerestaspeticionesporendeelservidoral
recibirlasyverquecoincidenexactamentecomoloindicaelprotocoloHTTPloentiendeylo
procesarespondiendolapetición.
AquíunejemplodeunmensajeG ET
Estelibronoesestaenfocadoenlaprogramaciónporloquenoprofundizaremos en
muchostérminossinoqueelobjetivoesquecomprendaqueunprotocolodefinelamanera
decomunicarse,eltipodemensajeloscampos.ParaefectosdelCCNAnoesrelevanteque
seaprendadememorialostiposdemensajeHTTPperosiqueestosejemplosleayudena
visualizarcómofuncionaunprotocolodelacapadeaplicación.
EnestaimagensedefinecomoseescribeunmensajeenelprotocoloHTTPyrespetando
estasreglasescomolosnavegadoreswebsepuedencomunicarconlosservidoresweb
OtrosmensajesrelevantesdeHTTPson:
POSTEnvíalosdatosparaqueseanprocesadosporelservidor.Losdatosseincluiránenel
cuerpodelapetición.Estopuederesultarenlacreacióndeunnuevorecurso(imágenes,texto,
videos)odelasactualizacionesdelosrecursosexistentesoambascosas.
ploaddeunrecursoespecificado(archivoofichero)
PUTSube,cargaorealizarunu
OtroselementosimportantesdelprotocoloHTTPescomprenderlasintaxisdelas
direccionesweboURL(localizadorderecursosuniformemásconocidoporlassiglasURL,
delinglésUniformResourceLocator).
Enladirecciónwebh ttp://vla.academy/ciscopodemosdefinirlosiguiente
● HTTPeselprotocoloqueseestautilizando(ExistetambienHTTPS)
● vla.academyeselnombredeldominio
● /ciscoesunacarpetadentrodelservidorvla.academy
OtrodatoimportantísimoesqueelprotocoloHTTPutilizaelpuerto80delacapade
transporte(Enelpróximocapítuloprofundizaremoseneltema)
HTTPvsHTTPS
ExisteotroprotocoloHTTPSyla“S”significasecure(eninglés,HypertextTransferProtocol
SecureoHTTPS).
HTTPenvíalosdatosdentrodesusmensajesentextopuro,estoquieredecirquesialguien
capturalosdatospuedeperfectamenteleerlosycomosabenunodentrodelawebcoloca
contraseñas,tarjetasdecréditoydemás,porende,siesfácilrobarlosdatos.
SoluciónHTTPSe ncriptalosdatosparaqueestosnopuedanserleídosodescifrados.
¿Quéesencriptación?Podemosdecirqueeshablarencódigocomocuandoalguienhabla
utilizandoemojisahorabienelproblemaconemojiesquesabemossusignificado,
poseemoslallaveparadescifrarelmensajeperoenHTTPSlosservidorestienensus
propioscifradosparaquenadiepuedadesencriptarlosdatosquevanpasando.
HTTPutilizaelpuerto443delacapadetransporte.
DNS
Elsistemadenombresdedominio(DomainNameSystemoDNS,porsussiglaseninglés)
esprotocoloquenosayudaaconvertirnombresendireccionesIP.
Lascomputadorasylosdispositivosinformáticossabemosquesecomunicanensucapade
redpormediodedireccionesIP.TodacomunicacióntieneunadirecciónIPorigenyuna
direcciónIPdestinosinembargorecordarlasdireccionesIPsevuelvecomplicadoparael
serhumano.
Imagínesequeustedvayamanejandoyescuchenuestroanuncioporlaradio“Estudieen
VirtualLearningAcademydondeleayudamosaconseguirtrabajoluegodecertificarse.
Visitenuestrapáginah ttps://104.18.42.120“Esrealmentecomplicadoqueustedmanejando
recuerdeesosnúmerosmientrasvamanejandoamenosqueustedseaDr.Strangeconla
gemadeltiempoypuedaregresaraconsultarlaIPcadavezquelanecesite.
PuesnuestragemadeltiempoeselprotocoloDNSquenospermiteconsultarlequé
direcciónIPlepertenecealosnombresparaqueluegopodercomunicarnospormediode
IP.
TodoslosdispositivosquenaveganaInternettienenpreconfiguradosunaodosdirecciones
IPdeservidoresDNS.Aestoscadavezqueocupamosresolverunnombreselesrealiza
unaconsulta.
Estaconsultaseleconoceconelnombrede“Query”
LaconsultallegalaservidorDNSysiesteservidornoconocelarespuesta(Difícilmenteun
únicoservidorposeetodoslosnombredeInternet)Esteservidorpuedehacerlaconsultao
otrosservidores“Padres”enelcualesperaobtenerlarespuesta.
AlfinalelclientehostobtieneunarespuestapositivaconladirecciónIPonegativadeque
noexisteonoselogróencontrarelnombre.
ElDNSutilizaelpuerto53delacapadeaplicación
Protocolosdecorreoelectrónico
Paraelreciboyenvíodecorreoselectrónicosseutilizaunconjuntodeprotocolos
● SMTPparaenviarcorreos.
● POPoIMAPpararecibircorreoselectrónicosenuncliente
SMTP
SimpleMailTransferProtocoloprotocoloparatransferenciasimpledecorreo esel
protocoloqueseutilizaparaelenvíodecorreoselectrónicos.
EnSMTPexistenalgunosagentes.
ElMUAoMessageUserAgentescliente(computadora,celularuotrohost)quecreay
envíaelcorreoelectrónicoasudestinocomoporejemploinfo@grupovla.com.
ElMUAleenvíaelcorreoasuservidordecorreoelectrónicoconocidocomoMSAoMail
SubmissionAgent.Sielcorreodestinoseencuentradentrodelmismoservidorperfecto!Se
quedaahíysepasaalinboxparaqueluegoseadescargadopormediodePOPoIMAP.
Sieldestinonoestáenelservidorporejemplosiesuncorreodeorigenhotmail.comyva
paraelservidordegrupovla.com,estecorreoestransferidoconotroelementollamadoMTA
oMailTransferAgentqueutilizaráSMTPparaenviarelcorreoelectrónicodeservidora
servidor.
UnavezqueelcorreollegaasudestinosedescargapormediodePOPoIMAP.
ElpuertoestándardeSMTPeselpuerto25.
POPeIMAP
Estassondosopcionesparadescargarcorreoelectrónicoanuestroscelulares,
computadorasydemásclientesoMUA(MailUserAgent).POP3oPostOfficeProtocol
version3esunprotocoloquedescargacorreosauncliente.Estenoposeelacaracterística
desincronizarelinboxconelservidordecorreoesdecirquesiustedborrauncorreoensu
clienteesonosucedeenelservidor.
IMAPoInternetMessageAccessProtocoltambiéndescargacorreoelectrónicoconlagran
diferenciaqueelinboxdelclienteydelservidorestánsincronizados.Loscambiosquese
haganenelclientecomoborrarcorreostambiénsereplicanenelinboxqueseencuentra
enelservidordecorreo.
POPutilizaelpuerto110.
IMAPutilizaelpuerto143.
DHCP
DynamicHostConfigurationProtocole lelprotocoloencargadodeasignardeforma
dinámicalossiguienteselementosaunhostenlared
● DirecciónIP
● Máscaradered
● Puertadeenlace(defaultgateway)
● IPsdelosservidoresDNS
EstossonloselementosmínimosparaqueundispositivopuedanavegarporInternet.
Imagínesequeustedesadministra uncallcenterconmilcomputadorasyquesutareaesel
decolocarleunadirecciónIP.¡Vayatarea!Cuandoyavasporlacomputadoranúmero600
probablementesehaequivocadounpardeveces,encambiosihacemosestatareade
formaautomatizadapormediodelprotocoloDHCPestosehacedeformaautomática.
Enlaimagenanteriorpodemosverquealigualquetodoslosprotocolossecomunicacan
pormediodemensajes.Másadelanteenlibroprofundizaremosconrespectoaeste
protocolo.
DHCPutilizaelpuerto67y68.
Otrosprotocolos
Telnet:P rotocoloutilizadoparaconectarseremotamenteadispositivosatravésdeunCLI
(commandlineinterface)PorejemplolosdispositivosCisco.Utilizaelpuerto23.
SSHoSecureShell:P odemosdecirqueeslaversiónseguradeTelnetyaquetelnetno
encriptalosdatosySSHsi.Esunprotocoloparaconectarseremotamentealosdispositivos
pormediodelCLI.
SSHutilizaelpuerto22
FTP(FileTransferProtocol):U tilizadoparadescargar yenviararchivos.Utilizapuertos20
y21.
TFTPoTrivialfiletransferProtocol:O troprotocoloutilizadoparadescargararchivos.La
diferenciaesqueesteprotocoloesmásrápidoqueFTPperomásinestable.
Utilizaelpuerto69
LaboratoriodeWireshark
Vamosarealizarnuestroprimerlaboratorio.Utilizaremos unmonitordetráficoosniffer(asi
sellamaesetipodeherramientas)llamadoW ireshark.
Estaherramientanospermitecapturartráficoypodereldetalledecadamensajedelacapa
deaplicaciónasícomolacapadetransporte,capaderedycapadeenlacededatos.
Paradescargarlaaplicaciónlapuedehacerenestesitioweb:
https://www.wireshark.org/#download
Capítulo5:CapadeTransporte
CuandoeraniñomimadremellevaaSubway,siplacadenaquevendesandwich,yenella
tenían un gran letrero, “Para sus fiestas un sandwich de 30 metros”. Yo como niño me
imaginaba ese sándwichgiganteypodíadecirWow!vanallegareseejércitodepersonas
conelsándwich gigantealhombroparamifiestadecumpleaños.
Ahorabiensiustedaligualqueyoviveenunacasapromedio,puesnotenemosunpasillo
de 30 metros para ingresar un sandwich y mucho menos una mesa de ese tamañopara
colocarloenlafiesta.
Imaginémonos que vienen varias personas de repente chocan con el sándwich en una
pared,yaestaríasucioylesdiría,nocambienelsandwich.
¿Cuálseríalasoluciónalproblema?
Para mi triste infancia fui engañado y no existía un sandwich de 30 metros sino que lo
partíanenpedacitosquejuntospodíanreensamblarunode30metros.Asíquelassolución
alproblemaessegmentarelsandwich.
Yclarotienetodoelsentidodelmundo.Alpartirseelsandwichensegmentosobtenemoslo
siguiente:
● Siaunmeseroselecaeunpedacito,solodebemosreponeresepedacitoynotodo
elsandwich.
● Pormipuertanopasaunsandwichde30metrosperosivariospedacitos.
● No me obstruye la entrada, durante el tiempo que pasa un único pedazo de 30
metros se sandwich nadie más podría entrar y salir de mi casa, en cambio al ser
segmentos pueden pasar algunos meseros y luego personas por la puerta sin
obstruirseal100%laentradaypermitiendoquetodopasemos.
Estaanalogíasucedeexactamentelosmismo queconlosdatos.
SiusteddeseadescargarlaultimapeliculadeStarWarsdeInternet¿Cuantopuedepesar
esto en datos? Supongamos que pesa unos 4 Gigabits. ¿Cuánto ancho de banda tiene
ustedensuenlacedeInternet?Supongamosquetienes50mbps.
4GBnopasanpor50MB.Esunarchivomuygrande¿Cuáleslasolución?Segmentarlo.
En TCP/IP los datossonsegmentadosusualmenteenpaquetesdemenosde1500bytes.
Estasegmentaciónpermitepodertransportarlossegmentosatravésdelaredyqueestos
seanensambladosenelhostdestinoformadoelarchivoodatooriginalesdecirennuestro
ejemplolos4GBdelapelículadeStarWars.
Beneficiosquetraelasegmentacióndedatos:
● Al transportar segmentos nos permite que si durante la trasmisión de estos
segmentos algunos se pierden, solo debemos de preocuparnos los segmentos
perdidosynotodoelarchivo.
● Permitelamultiplexación
La multiplexación permite que podamos tener múltiples conversaciones. Creemos que
cuando navegamos por Internet,estamosenviandounwhatsappyescuchandomúsicaen
spotify estamos trasmitiendo los datos de forma simultáneaylarealidadesqueno.Cada
segmentovaenfilaunotrasdeotro.Lamultiplexaciónpermitetenervariasconversaciones
debidoaquevamosenviandodistintossegmentosdelasdistintasconversacionesquetiene
unhostounaredatravésdeunainterfaz.
Debidoalavelocidadenquesetransmitenyprocesanlosdatostenemoslasensaciónde
que todo se transmite en forma simultánea pero la realidad es que las interfaces van
procesandounsegmentoalavez.
Funcionesdelacapadetransporte
Manejodemúltiplesconversaciones
HastaestepuntodelibrosabemosquepodemostenerunacomunicaciónentreelhostAy
elhostBesdecirdeunadirecciónIPorigenhaciaunadirecciónIPDestino.
EstosucedecuandoustedabrelapáginadeFacebook.Perosupongamosqueenlugarde
queustedtengasolountababiertoensunavegadortiene5diferentestabsytodossobreel
mismositiowebfacebook.com¿Cómologradiferenciarsucomputadoralosdatosquevan
paraeltabnúmero1delnúmero2?Ambasconversacionesvanhaciaconelmismoorigen
ydestino.
Lacapadetransporteutilizaunelementoconocidocomopuertosenloscualesse
seleccionaunpuertoorigenyunpuertodestino
Elpuertoorigensignificaelnúmerodeconversacióndentrodeunhostyestaesla
funcionalidaddecapa4quenospermitetenermúltiplesconversacionesenforma
simultáneaconunoomásdispositivos.
Deestamanerapodemostenerspotifyabierto,conwhatsapp,facebookynuestratareade
VLAtodoabiertoalmismotiempo.
Puederealizarelsiguienteejercicioenlalíneadecomandoo“commandprompt”desu
sistemaoperativoyejecutarelcomando“netstat”
Observelasdistintasconversacionesquetienesucomputadoraenesteprecisomomentoe
identifiqueladirecciónIPdesuhost.EnesteejemploladirecciónIPesla192.168.0.14y
puedenotarqueseguidoaesoexisteunnúmeroporejemplo192.168.0.14:49609
Estenúmero49609representaunnúmerodeconversación.
DeestamaneraescomoelhostpuedeutilizarlamismaIPorigenparacadaconversación
perorealizaundiferenciacióndecadaconversaciónconelpuertoorigen.
Másadelanteexplicaremosafondoeltemadel lospuertos.
Estableceunasesión
AntesdeiniciarelenvíodedatosentrehostAyhostBestos
mismosdebendeestablecerunasesiónenelcualsevana
sincronizarparainiciarlatransmisión.Estoesconocidocomo
el3-wayhandshakequehablaremosmásadelante.
Unavezrealizadalasincronizaciónsecomienzaaenviarlos
segmentosentrehostAyB.
Cuandoseterminaelenvíodedatosestasesiónsefinalizay
daporconcluidalatrasmisión
EstosucedeúnicamentecuandocuandoutilizamoselprotocoloTCP(explicaremosmás
adelante).
Segmentaciónyensamblajededatos
Parapodertransportarlosdatosporlaredestosdebendesersegmentados.Esta
segmentacióntienequellevarunordenespecíficoparaquelossegmentospuedanser
ensambladosnuevamenteenelorigen.
Supongamosquetenemoslasiguienteimagenlacualestádividaen10segmentos
Lacapadetransportevaaenviarsudestinocadasegmentoenorden(Iniciandodel
segmento1alsegmento10).Conformelosdatossonrecibidosporelhostdestinoeste
mismoenviaráunacusederecibooacknowledgementindicandoquerecibióunacantidad
desegmentos.
Lossegmentosdebenserrecibidosenelmismoordenencualfueronenviados.Existela
posibilidaddebidoalograndequeesInternetolasredesquelossegmentosnolleguenen
elordenindicado,siestosucedesedeberádevolveratransmitirlaventanadesegmentos
quenollegócorrectamente.
Lacapadetransporteutilizalosnúmerosdesecuenciaparallevarelcontroldela
transmisióndelossegmentos.Estenúmerodesecuenciavacontabilizandolacantidadde
bytestransmitidosyutilizaestoparaenumerarelordendelossegmentos.
Ventanas
LasventanasoWindowseninglésserefierealacantidaddesegmentosobytesque
transmiteunhostantesdeesperarunacusederecibooacknowledgementqueconfirmeel
correctorecibidodelosdatos.
TCPeselprotocolodecapa4quelebrindaconfiabilidadalatransmisióndesegmentos
Estoserealizadelasiguientemanera:
Elhosttransmiteunacantidaddedatos,supongamoscomoenelejemploanteriorinicia
transmitiendodesdeelbyte1yconcluyetransmitiendoelbyte32.Elhostreceptorenvíaun
acusedereciboconfirmadoquerecibióhastaelbytenúmero32yqueporendeesperaque
elpróximobytearecibirseaelnúmero33
ACK33
Elprocesoanteriordeacusedereciboesloqueconfirmaquelosdatosllegaronbienasu
destino.Esdecirsinerroresyenelmismoorden.
Lacantidaddebytesqueseenvíanantesdeesperarunacusedereciboseconocecomo
Ventana.Ennuestroejemploanteriortenemosunaventanade10bytes.
lainformacióntamañodelaventanavienedentrodecadasegmento.Estopermitealhost
receptorsaberquesiyarecibió20bytesaúnfaltaporrecibir10másyquecuandologre
recibirlos30bytesdeberáenviarunacusederecibo.
Silosdatoslleganconerroresaldestino,lleganendesordenonollegandeltodoel
receptornoemitiráelacusederecibo.Elhostemisoralnoobtenerelacusedereciboenun
periododetiempoidentificaestocomounfalloenlatrasmisióndelaventanayvuelvea
transmitircompleta.
ControldeFlujo
Elflujodedatosesdeterminadoporeltamañodelaventana.Eltamañodelaventanase
determinapordosfactores:
● Calidaddelatrasmisión(erroresoretransmisiones):Siexistenmuchoserroresen
unaconexiónesprobablequesienviamosunaventanamuygrande,estaportan
solounsegmentoquenolleguebienasudestinosedeberádereponertodala
ventana.Porendecuandolaconexiónnoesbuenalaventanasehacemás
pequeñaparacorrermenosriesgodequesidedebederetransmitirquesean
menoslossegmentosqueseretrasmiten.
Porelcontrariosilacalidadesbuenalaventanaescadavezmásgrandelocual
hacequeseterminedetransmitirlosdatosdeformamásrápida.
● Desbordedelbuffer:Otrarazónesqueelhostdestinoseencuentramuysaturado
deinformaciónynopuedaalmacenarlacantidaddedatosqueestárecibiendopor
endelaventasedisminuye.
AlmacenamientoenBuffer
Conformelosdatosvansiendoensambladosestossedebeniralmacenadoenalguna
memoria.Estamemoriaesconocidacomo“Buffer”.
Existendosmemoriasdebuffer,unaparaelenvíodedatosyotraparalarecepción.
DossaboresdeprotocolosTCPyUDP
Entelecomunicacionestenemosdostiposdedatos:
● Losquedebendellegarcompletossinerrores.
● Ylosquedebendellegarlosmásrápidoposible.
Si enviamos un archivo de Excelporemailestedebedellegarenteroysinerrores.¿Qué
quiere decir esto? Que sinosllegaun99.99%delarchivoalmomentodeabrirlonosvaa
darerrorynopodemosversucontenido.
Porendeparaestetipodedatossedebendetransmitirdemaneraconfiableutilizandolos
acusesdereciboparaconfirmarquelleguenlosdatosdemaneracorrecta.
Estos controles como los acuses de recibo y las ventanas toman su tiempo sobre todo
cuandohayretransmisiones.Sinembargoparaelenvíodeuncorreoelectróniconoafecta
que llegue 1 o 2 segundos o tal vez unos segundos más tarde siempre y cuando llegue
bien.
Este no es el caso de otro tipo de datos como lo son las llamadas telefónicas o
videoconferencias.
Siestamosenviandosegmentosdevoz,paraquepuedaserunacomunicaciónfluida,estos
segmentos no pueden estar esperando los controles que dan confiabilidad debido a que
tardanmucho.
Imaginemos:“Holacomoesta”.....acusederecibodeholacomoesta….bienusted…acuse
derecibo…
Realmente no se puede transmitir de esa manera así que ocupamos una solución más
velozelcualsacrificamoslaconfiabilidadporvelocidad.
Sin embargo esto no tiene mayor impacto si se pierde pocos segmentos. Todos hemos
tenido una conversación donde se corta un poco una llamada unos segundosperoluego
seguimos conversando sin problema. Claro está que si la conexión es pésima nada se
podrátransmitir.
Paraestoentoncestenemosdossaboresdeprotocolos:
TCP:TransmissionControlProtocol.(Connectionoriented)Estáorientadoaconexión
paradatosquerequieranconfiabilidadcomopáginasweb,emailsydemás.
UDP: User Datagram Protocol. No está orientado a conexión (connectionless). Para
datos que necesitan ser transmitidos en tiempo real como video conferencias,
llamadasIP
Puertosdelacapadetransporte-Capa4
Esta parte del libro es fundamental. La capa 4 utiliza puertos en cada conversación
(transmisión).
Lospuertossonrepresentadospornúmerosyvandesdeel0hastael65535
Existendoscamposdentrodecadaencabezado yson:
● Elpuertoorigen:Elpuertodefineelnúmerodeconversaciónyestenúmeroloelige
el host origen y puede seleccionar un número que esté disponible entre 1024 y
65535
● El puerto destino: Este representa el protocolo de la capa de aplicación que se
desea acceder en el host destino. Cada protocolo de la capa de aplicación como
HTTP,SMTPtienenasignadosunpuertosquelosidentifica.Cuandounhostdesea
AlencabezadodelprotocoloUDPseleconocecomoDatagramaUDP.
Estetienelacaracterísticadeserlivianoynoposeecontroles.
●Poseeuncampodepuertoorigenqueidentificaelnúmeroorigendela
conversación.
● Puertodestinosignificalaaplicacióndelacapadeaplicaciónquevamosaacceder
NOTA:Elpuertoorigenydestinocambiandeposicióncuandoelreceptorresponde.
● Longitudcorrespondealtamañodeldatagramaenbytes.Incluyeelencabezadoy
losdatos.
● Checksum:Estecampoesmuycomúnenlosprotocolosyseutilizaparavalidarsi
existenerrores.Utilizaunalgoritmo(fórmulamatemática)queregistraunresultado.
Cuandoeldatagramallegaasudestinoseejecutalamismafórmulaysiambos
resultadossonigualesindicaquenoexisteerroresenlatrasmisión.Siocurrióun
error(comoenunbitcambiodeun1aun0durantelatrasmisión)nobrindaráel
mismoresultadoyporendeeldatagramapuedeserdescartado.
EncabezadoprotocoloTCP
ElprotocoloTCPestaorientadoaconexion.Estoquieredecirquerequieredemuchos
controlesyporendeelencabezadodelsegmentoesmuchomásgrandequeUDP:
● Poseeuncampodepuertoorigenqueidentificaelnúmeroorigendela
conversación.
● Puertodestinosignificalaaplicacióndelacapadeaplicaciónquevamosaacceder
NOTA:Elpuertoorigenydestinocambiandeposicióncuandoelreceptorresponde.
● NúmerodeSecuencia:P odemosverlode2maneras.Larealytécnicaesqueel
númerodesecuenciaesuncontadorqueindicalacantidaddebytesquesehan
transmitido.Estoayudaacontabilizarlossegmentos.Miexplicaciónnotécnicaes
queaquíseindicaelnúmerodesegmento(laspiezasdelrompecabezas).
● NúmerodeAcusedeRecibo:C uandoserecibentodoslossegmentosdeuna
ventanaenunsentidodelaconversación(deAhaciaBodeBhaciaA).Seenvía
unaacusedereciboconfirmandolacantidaddebytesqueharecibido.Estolohace
indicandoelbytesiguientequeesperarecibir.Ejemplosirecibí1000byteselacuse
dereciboindicará1001.
● Longituddelencabezado:IndicaeltamañodelencabezadoTCPenBytes
● BitsdeCódigooControlFlags:E xistendistintostiposdesegmentosyaque
algunosseutilizanparainiciarunaconversacióncomoelSYN(desincronización)
otrosparahaceracusesderecibo.Estecampoposee6bitsycadabitsignifica
algúntipode segmento
○ URG:Ledamayorprioridadalsegmentodentrodeunacolaentemasde
calidaddeservicio.
○ ACK:Acusederecibo.
○ PSH:Requesttopush.Estotomalosdatosqueseencuentranenelbuffery
lossubealaaplicación.
○ RST:Resetealaconecciónesdecirvuelveareiniciarlatransmisión.
○ SYN:Inicialasincronizacióndelaconversación.
○ FIN:Terminalaconversación.
● Ventana:A quíseindicaeltamañodelaventanaenbytes.Unavezqueelreceptor
dedatosrecibiótodoslosbytesindicadosenlaventanasinerroresrespondeconun
acusederecibo.
● Checksum:E stecampoesmuycomúnenlosprotocolosyseutilizaparavalidarsi
existenerrores.Utilizaunalgoritmo(fórmulamatemática)queregistraunresultado.
Cuandoeldatagramallegaasudestinoseejecutalamismafórmulaysiambos
resultadossonigualesindicaquenoexisteerroresenlatrasmisión.Siocurrióun
error(comoenunbitcambiodeun1aun0durantelatrasmisión)nobrindaráel
mismoresultadoyporendesedescartaelsegmento.
● Urgente:S ielbitdeURGestáactivoenesteespacioseespecificalasinstrucciones
decómodebemanejarselaurgenciadelosdatos:
● Datosopcionales:C omoseindicaestoesopcionalyraravezutilizado.Noesparte
delcursodeCCNA
● Datosdelaaplicación:A
quíestálacapadeaplicaciónconsusdatos.
Saludode3vías-3wayhandshake
EnelprotocoloTCPprimerosedebendesincronizarlosdoshostantesdeiniciaraenviar
datos.
Tenemosquetenerencuentaqueexistendosdireccionesdelaconversación
● DeAhaciaB
● DeBhaciaA
Ambossentidosdebendesersincronizadosyparahacerestosedebeelegirelnúmerode
secuenciaconelcualsevaainiciarlaconversación.Estoesunnúmeroaleatorioqueno
siempreiniciaen0.Enlaimagensemuestraunejemplo.
● ElprimersegmentodeAhaciaBtieneelSYNactivadoindicandoqueesun
segmentodesincronización.Enelnúmerodesecuencialleva100indicadoquea
partirde100sevaainiciarelenvíodelosbytes.
● ElsegundosegmentodeAhaciaBllevadoselementos:
○ LarespuestaalasincronizacióndeAhaciaBelcualserespondeconun
acusederecibode101.EstoquieredecirqueHostBestáesperandode
partedeAlosdatosapartirdelbyte101.NótesequeelbitdeACKestá
activo.
○ TambiénestáactivoelbitdeSYNporquesetienequesincronizarla
conversaciónensentidodeBhaciaA.LapropuestadeBesiniciarla
sincronizaciónconunnúmerodesecuenciaen300.
○ Elúltimopasodel3-wayhandshakeesenviarunacusedereciboensentido
deAhaciaBconfirmadoconun301queAestálistopararecibirapartirde
esenúmerodesecuencia.
Finalizacióndelaconversación
Estepasoessencillo.Aquíloquesepretendeesfinalizarlaconversaciónenambos
sentidos.
● AenvíaaBunsegmentoconelFINactivado
● BRespondeconunACKyconestofinalizalaconversaciónentreAhaciaB.
● LuegoBenvíaunsegmentoconelFINactivadoparafinalizarlaconversaciónen
sentidodeBhaciaA.
● Arespondeconunacusedereciboyaquíterminalatransmisión
LaboratoriodeWireshark
RealicecapturasdewiresharkytratedeidentificarunaconversaciónTCPdesdesu
sincronizaciónhastasufinalización
Capítulo6:CapadeRed
Bienvenidos y bienvenidas a la capa de red también conocida como capa tres (por el
modeloOSI)
En esta capa vamos a comprender “las calles y avenidas” de las telecomunicaciones es
decireldireccionamiento.
En este punto del libro podemos repasar queyatenemosundatoquefuesegmentadoel
cualvaasertransportadoporTCPporejemployvacondestinoalpuerto80(HTTP)ytiene
comoorigenelpuerto50000(númerodeconversación).
Estesegmentoahoranecesitalaayudadelacapaderedparallegarasudestinoporende
necesitadireccionamiento.
Funcióndelacapadered
Lacapaderedposeedosprincipalesfunciones:
● Brindarunesquemadedireccionamiento.
● HacerelmejoresfuerzoparacolocaralpaqueteIPenlamejorruta.
La función principal de la capa de red es brindar un esquema dedireccionamiento.Enel
caso de TCP/IP tenemos en nuestra actualidad dosprotocolosdedireccionamientoIPlos
cualessonIPv4eIPv6.
lavsignificaversiónporendeeslaversión4y6lasactualesenuso.
IPv4 es elesquemadedireccionamientomásutilizadoactualmentesinembargotieneuna
problemática y es que no existen suficientes direcciones IP para el gran crecimiento que
tuvoInternet(IPv4tieneunmáximode4294967296IPs)porendeunasoluciónfueelde
crearunnuevoprotocoloalcualpocoapocoelmundodelastelecomunicacionemigraráel
cualesIPv6.
MásadelanteenellibroprofundizaremosdeIPv6.PorahoraesimportantequeenTCP/IP
existen estos dos protocolos y que por defecto cuando nos referimos a una IP estamos
hablandodeIPv4.CuandoesIPv6seespecificaqueesunaIPv6ensureferencia.
Repasemos¿QuéesunadirecciónIP?RepresentalaubicacióndeunHost,unnodo.Son
asignadasalastarjetasdered(NIC)alasinterfacesdelosequiposdetelecomunicaciones
comorouters.
ParaqueunhostAsecomuniqueconunhostBcreaunpaqueteIPconladirecciónIP
origendelHostAcondestinoaladirecciónIPdehostB.Estetipodetráficoseleconoce
comoU nicast.
UnadirecciónIPestácompuestapor32bitsyrepresentadosporciones:
● Laporcióndelared.
● Elnúmerodehostdentrodelared.
LaredentoncesrepresentaungrupodeIPs,ungrupodehost,interfaces,dispositivos.
Loqueseparaalasredessonseparadaspordispositivosdecapa3comolosonlos
routers,elcual,poseelacapacidaddeenrutartráfico.
Comosemuestraenlagráficaanteriortenemosunrouterycadainterfazseparae
interconectaacadared.
Enelejemplopodemosobservarcuatroredes.
CadaredposeelossiguientesdireccionesIP:
● DirecciónIPdelared:EstaesunadirecciónIPquerepresentaatodoelgrupode
IPsdentrodelared.TienelacaracterísticadeserlaprimeradirecciónIPdetodoel
rangodeIPsquerepresentaalared.
● RangodeHost:EstossonlasdireccionesIPsquesonasignablesalosnodose
interfacesdelosdispositivos.
● DirecciónIPB roadcast:EstaeslaúltimaIPdelrangodeIPsquerepresentauna
red.Seutilizaparapoderenviarunmensajeatodoslosnodosquepertenecenala
mismared.Cuandounhostquiereenviaruntráficoatodoslosnodosdelared
colocacomodirecciónIPdestinoenelpaqueteIPaladirecciónbroadcastdelared
alaquepertenece.EstoseleconocecomotráficoB roadcast.
● Adicionalmentecadaredposeeunamáscaraderedelcualayudaadeterminarel
tamañodelared,esdecirlacantidaddedireccionesIPs,laprimeraIPlacualesla
direcciónIPquerepresentaalared,ladirecciónIPbroadcastlacualeslaúltimaIP
yelrangodehost.
Ejemplo
Elejemploanterior
tenemoslared
192.168.1.0conlamáscaradered255.255.255.0.Estoesunaredde256IPsquevadesde
ladirección192.168.1.0hasta192.168.1.255(de0a255hay256númerosiincluimosel
0).
LaprimeradirecciónIP192.168.1.0representaatodalared.
LaúltimadirecciónIP192.168.1.255representaladirecciónbroadcast.
YlasdireccionesIPqueseencuentranenmediosonelrangodehostquevandesdelaip
192.168.1.1hastala192.168.1.254.
Graciasalamáscaraderedpodemosdeterminarquelosprimeros3octetossonlaporción
delNetworkyelcuartooctetolaporcióndelhost.
DireccionamientoIPjerárquico
LasredesIPposeeundireccionamientojerárquicoelcualnospermitecrearsubredes(una
reddentrodeunared).
SupongamosquetenemoslaredlocaldeWalmartenMiami,USA.Aligualquelatienda
tenemosunadirecciónquerepresentalaubicacióndelatiendaperodentrodeellaexisten
departamentoscomoeldepartamentoderecursoshumanos,cajeros,seguridad,
contabilidad,entreotros.
Conlasredesfuncionansimilar.SupongamosquetenemosladirecciónIPdelaredde
WaltmartMiamiyesla172.16.0.0conlamáscara 255.255.0.0.EstaIPrepresentaatodala
tiendaperopodemoscrearsubredesparadefinirlosdepartamentosporejemplo:
● 172.16.1.0conlamáscara255.255.255.0representaladirecciónIPdelaredde
RecursosHumanos.
● 172.16.2.0conlamáscara255.255.255.0representaladirecciónIPdelareddelos
cajeros.
● 172.16.3.0conlamáscara255.255.255.0representaladirecciónIPdelaredlas
computadorasdelosguardasdeseguridad.
● 172.16.4.0conlamáscara255.255.255.0representaladirecciónIPdelaredlas
computadorasdecontabilidad.
Cadasubredpertenecealaredmásgrande172.16.0.0.Estodemuestraqueelesquemade
direccionamientoIPesjerárquico
Cadasubredposeetambiénunaipquelorepresenta,unaipparaeltráficobroadcastyel
rangodehost.
Continuandoelejemploanterior,teniendo4subredes.Podemosobservarenlaimagenque
quecadaredosubredestaseparadaporelrouter.Esonosayudaaintroducirelpróximo
concepto:
DefaultGatewayoPuertadeenlace
Cuandodoshostquepertenecenalamismaredsequierencomunicarpuedenhacerlosin
necesidaddeunrouterdebidoaqueambospertenecenalamismared.
SinembargocuandounhostenlaRed172.16.1.0255.255.255.0deseacomunicarsecon
otrohostqueperteneceaotraredcomola172.16.2.0255.255.255.0elhostleenviaráel
tráficoprimeroalrouterelcualeselpuntodesalidadelaredyquiencomunicaconotras
redes.
Sihacemoslaanalogíadequeustedseencuentraenunaulaydeseaconversarconotro
compañerodelamismaaulasimplementelohaceporqueestanalapar.Perosiusted
deseacomunicarconotrocompañeroqueestáenotraauladebesalirprimeroporlapuerta.
DeahíelnombrequeseledaaldirecciónIPasignadaalroutercomopuertadeenlace.
CualquierhostqueperteneceaunaredydeseasalirlohacepormediodeladirecciónIP
deldefaultgatewayelcualesunaIPusualmenteasignadaalrouter.
EneldiagramaanteriorinterfazdelISPRouterseríaeldefaultgatewayelcualtendríauna
direcciónIPasignadadentrodelared192.168.1.0255.255.255.0
MáscaradeRedoSubnetMask
Lamáscaraderedeslaherramientaqueutilizaelsistemaoperativodehostoequipode
telecomunicacionesparapoderdeterminarcualeslaporciónquepertenecealaredycual
eslaporciónquepertenecealhost.
SeescribeutilizandoelmismoformatoqueunadirecciónIP.Másadelanteenestelibro
aprenderemosacalcularlamáscaraderedycomolosdispositivoslautilizan.Porahora
debemossaberqueestassonlasmáscaraspordefectosegúnlasclasesdedireccionesIP
claseA,ByC:
PaqueteIP
Cuandoseencapsulaunsegmentodelacapa4conunencabezadodecapa3seleconoce
comopaqueteIP.
ElencabezadodelpaqueteIPposeelossiguientescampos:
Realizaremosunaexplicacióndecadacampoenlassiguientesimágenes:
Lalongituddelencabezado esdiferentealtamañototaldelpaqueteIPincluyendolosdatos
CalidaddeserviciooQualityofServiceesparabrindarprioridadaciertospaquetesque
debenserprocesadosprimeroenlacola(buffer)delasinterfaces.Porlogeneraltodoslos
dispositivosfuncionanenformatoFIFO(FirstInFirstOut,primeroqueingresaprimeroque
sale).Estonosiempresirveparapaquetesquedebenserentregadoscuantoantescomolo
eslavozsobreIP.
EsteeseltamañodelpaqueteIPincluyendolosdatos.
Escuriosoperolospaquetestambiénsepuedenfragmentar,novamosaprofundizarmucho
enestelibrodebidoaquenoesrelevanteparaelcontenidodelCCNAsinembargo
podemosentenderquesielpaquetesobrepasaeltamañomáximode65535bytesse
consideraJumbopacketyunaopciónesqueestospaquetespuedanserfragmentados.
Indicadorsobreeltemadefragmentación
EstecampoesimportanteyserefierealconceptodelTTL(Timetolive).Sienvíaramosun
paqueteIPaundestinoquenoexistepodríaestarnavegandoeternamenteportodoeI
Internetsinencontrarundestino.ParaevitarestosecolocauncontadorenelpaqueteIP
conunnúmeromáximode255.Estecontadorsevarestandoen-1porcadarouterque
pasahastallegarasudestinoobienhastallegara0,enestecasoelpaquetesería
descartadoporelrouterquelorecibe.
ElchecksumlovamosaverentodoslosprotocoloselcualverificaqueelpaqueteIPno
vengaconerrores.
Esteencabezadoencapsulaalsegmentodecapa4consusdatos.
Cuandoseencapsulaunsegmentodelacapa4conunencabezadodecapa3seleconoce
comopaqueteIP.
ProtocoloICMP
ElprotocolodecontroldemensajesdeInternet(eninglés:InternetControlMessage
ProtocolyconocidoporsussiglasICMP)eselprotocoloutilizadoporunadelas
herramientasmásimportantesdediagnósticoenredesyeselp ing.
Elpingseutilizaparapoderdefinirsipodemosalcanzaranuestrodestino.Elpingtiene
variosmensajesaquídetallamoslosmásimportantes.
● Echo:E steeselmensajecreadoporelhostorigen.Sufunciónesllegarhastael
destino.
● Echo-reply:É steeselmensajequeenvíacomorespuestaelhostdestinoelcuales
laconfirmacióndequeeldestinosiesalcanzable.
● Destination-Unreachable:E stemensajeesgeneradoporelrouterlocalcuando
recibeunpaqueteICMPynoposeeunarutaparallegaraldestino(nosabecómo
llegaraldestino).
● Requesttimedout:E stemensajeaparececuandonoserecibeunEcho-replyde
respuesta.
Intenterealizarvariaspruebasenestemomento.Realiceunpinghaciasurouterlocal
(defaultgateway)yrealicepruebashaciaalgunasIPspúblicascomolosonlosservirdores
DNSdeGooglec uyaipes8 .8.8.8
Elcomandoeselmismonoimportasiutilizawindows,linuxoMACOS.
Abralalíneadecomandodesusistemaoperativo(CommandpromptenWindows)y
escribap ing8.8.8.8
ParaobservarcualesladirecciónIPdesucomputadoraydefaultgatewayejecuteel
comandoipconfig
Luegoprocedaarealizarunpingasudefaultgateway.EnnuestroejemploeslaIP
192.168.0.1
Elmensajedereplyindicaquesillególarespuestadelecho-reply.
Notelapartedelmensajequedicetimeelcualestáescribaenmilisegundos(ms)esel
tiempoqueduróenelmensajeenenviarseyregresarconsurespuesta(roundtrip).
DependiendosihacemosunpinganivellocalversusunpingaInternetvamosanotaruna
diferenciaentiempos.
Cadaredesdiferente,cadaconexiónesdiferenteporendelostiempossondiferentesen
cadaescenario.SiporalgunarazónnopuedehacerpingconsulteasuprofesordeVLA,en
algunasredesposeenunfirewallelcualbloqueaelICMP.
ClasesdedireccionesIPs
Estasecciónnosservirácomounaintroducciónalospróximoscapítulosdondesehablade
elconceptodes ubneteoelcualeslacreaciónydiseñodeldireccionamientoIPparalas
subredes.
TodoelrangodedireccionesIPsvadesdelaip0.0.0.hastala255.255.255.255.Esterango
sedivideencincoclasesdedireccionesIP.
LasprimerastresA,ByCsonutilizadasparaasignardireccionesIPsalasredesen
general.
ParapoderclasificarlasdireccionesIPnosvamosafijarenelprimeroctetoelcualnosvaa
identificarenquérangoseencuentraladirecciónIPyporendesuclase.
● ClaseA:E staredpordefectoutilizaelprimeroctetoparalaporciónqueidentificala
redylosúltimostresoctetosparalaporcióndelhost.Estoquieredecirque8bits
sondelnetworky24bitssondelhost.Podemosobservarenlatablaanteriorla
cantidaddehost.
● ClaseB:E staredpordefectoutilizalosprimerosdosoctetosparalaporciónque
identificalaredylosúltimosdosoctetosparalaporcióndelhost.Estoquieredecir
que16bitssondelnetworky16bitssondelhost.Podemosobservarenlatabla
anteriorlacantidaddehost.
● ClaseC:E staredpordefectoutilizalosprimerostresoctetoparalaporciónque
identificalaredyelúltimooctetosparalaporcióndelhost.Estoquieredecirque24
bitssondelnetworky8bitssondelhost.Podemosobservarenlatablaanteriorla
cantidaddehost.
● ClaseD:E steesparauntipodetráficoespecialllamadomulticast.Multicastse
utilizaenunformatodeunoamuchosesdecirdeunhosthaciaungrupodehost
destinodentrodelamismaredperononecesariamentetodalared.
Porejemplosienunaredqueremoscomunicarnossolamenteconlosnotosque
tienesistemaoperativoandroidpodemosusarmulticastparaenviarunmensajecon
unaIPdestinoenelrangomulticastyestemensajeaunquelorecibetodalasubred
solamentelovanaprocesarlosdispositivosqueandroid(losdispositivosque
estabanesperandounpaquetecondestinoaesaIPmulticast).
Paraestemomentodebemosentenderqueexistentrestiposdetráfico:
Unicast:D eunoaunoesdecirdeHostAaHostB.
Multicast:D eunoamuchos.
Broadcast:D eunoatodalared.
● ClaseE:L
asclasesEsonreservadasparapruebas.
ComprendiendoqueesunaIPyqueexistenclasesdedireccionesIPdebemoscomprender
otroconceptoimportante.L asdireccionesIPsonúnicasporendenoselepuede
asignarlamismaIPadosdispositivosporqueingresanenconflicto.
Estonosabreunproblemática¿CómoasignamosunadirecciónIPúnicasiexistenmás
dispositivosquedireccionesIPenelmundo?
ParasolucionaresteproblemasereservóunrangodedireccionesIPporcadaclasedeIP
(A,ByC)quesellamanr angosprivados.
Estosrangossonreservadosparaqueencadaredprivada,esdecirnuestrasredes
internasdenuestrasempresasycasas,podemoselegirunrangoparapoderasignara
nuestraredundireccionamientoIP.
EstosrangosdedireccionesIPsprivadasnosonenrutablesenInternetendondeseutiliza
elrestantededireccionesIPlascualeslellamaremosIPPúblicas.
MásadelanteenellibroeneltemadeNATprofundizaremosenelconceptoderedes
públicasyprivadas.Porelmomentoesimportantequeseaprendadememorialos
rangosylasclasesdedireccionesIP.
Capítulo7:Conversiones
Estecapítuloestádedicadoadesarrollarunahabilidad
bienimportante,eseltemadeconversionesdebinario
adecimalydedecimalabinario.
Tambiénrevisaremoselsistemahexadecimal
ConversionesBinarioadecimal
Losnúmerossonellenguajedelascomputadorasyel
lenguajebinarioesellenguajeuniversal.
Paracomprenderestasecciónnodebemossermuy
geniosenmatemáticas,perosi,vamosadesempolvar
nuestracalculadoramental.Esimportantequeevite
utilizarunacalculadorayaqueenelexamende
certificacióndeCiscoCCNAnosepuedeutilizar
calculadorasasíquetodoloscálculosdeestelibrolos
vamoshacerdeformamental.
Laformamásfácildecomprenderelsistemabinarioesentendiendoquecadaposición
tieneunvalor.
Enelcasodelsistemadecimalsabemosquecadaposicióntieneunvalor.Esdecirtenemos
enelsistemadecimallasunidades,decenas,centenasyasísucesivamente.
Sitomamoselnúmero1 25
Entendemosquelosiguiente
5x1=5
2x10=20
1x100=100
5
20
100
+-----
125
Sabemosentoncesquecadaposicióntieneunvalor.E nelcasodelasunidadesesun
númerodecimalmultiplicadopor1,lasdecenasmultiplicadopor10yasísucesivamente.
Buenoenelsistemabinarioesmuchomásfácilporquesolotenemosdosvaloresasíque
lasposicionesdecadadígitosiemprevanatenerelmismovalor.
Cadaposiciónes2^alaposición
2^7 2^6 2^5 2^4 2^3 2^2 2^1 2^0
1 0 1 1 0 1 0 1
Ahoraintenterealizarlassiguienteconversionessintenerlaguíadelosvaloresde
cadaposición:
¡Excelente!esimportantecomprenderqueelnúmerobinarioesinfinitoyqueporende
podemosirrealizandoconversionesconvaloresmásgrandesqueunocteto.Tomecomo
ejemplolasiguientetabla
2^10 2^9 2^8 2^7 2^6 2^5 2^4 2^3 2^2 2^1 2^0
1 1 1 1 0 1 1 0 1 0 1
1024+ 512+ 256+ 128+ 0+ 32+ 16+ 0+ 4+ 0+ 1
Elresultadodeestenúmeroes1973endecimal.
Notéqueconformenoscorremoshacialaizquierdaelvaloreseldoble(debidoaquees
unapotencia)
Contarenbinario
Algunostipsimportanteseseldecontarenbinario.Podemosnotarqueelprimerbitvaa
siemprecambiarluegodecadaposición,elsegundobitcambiacadadosnúmeros,el
tercerocadacuatronúmeros,elcuartocadacuatroyasísucesivamente.
Tip:Otroaspectoimportanteesquesielprimerbitestáencendidoquieredecirque
esunnúmeroimparysiestáenapagado(encero)esunnúmeropar.Estodebido
quetodaslasposicionessonnúmerosparesexceptolaprimeraposiciónquees1.
Conversionesdecimalabinario
Existenmuchastécnicasparaconvertirdedecimalabinario.EnVLAvamosaenseñarle1
lacualcreemosqueeslamásfácilycreemosqueeselm
étododelaresta
Ejemplo:vamosaconvertir238
Utilizandolatabladeposicionesindicamos¿Es238mayoroiguala128?La
respuestaessiporloqueindicaqueelbit128estaráencendidoyluegovamosa
restarle128a238
128 64 32 16 8 4 2 1
1 1
238-128=110
Luegonospreguntamos¿Es110mayoroiguala64?porloquecolocamosun1yle
restamos a110-64
128 64 32 16 8 4 2 1
1 1
238-128=110 110-64=46
Continuamosrealizandoelmismoprocesohastallegaracero,cuandoelvalorquenos
quedadelarestaesmenoralaposicióncolocamosunceroyseguimosconlasiguiente
posiciónhastaterminar.
128 64 32 16 8 4 2 1
1 1 1 0 1 1 1 0
ConversionesBinarioaHexadecimal
¿PorqueHexadecimal?Losnúmeroshexadecimalessoncomúnmenteutilizadosen
telecomunicaciones.Losvamosaobservarendireccionesfísicasdeequipos(mac-address)
asicomoenIPv6.
ElSistemahexadecimalestácompuestoporungrupodesignosalfanuméricos,abarcando
del0al9ydelaletraAhastaF,dondeacadaunadeellaslescorrespondeunnúmero
diferente.Siguiendolasecuenciadelosnúmeroslasletrasserían A=10,B=11,C=12,D
=13,E=14,F=15
Loimportanteescomprenderlosiguiente:ElnúmeromásgrandeenhexadecimalesFque
esiguala15.
Siconvertimos15abinariosnosda:
15=1111
Estoquieredecirquecadadígitohexadecimalson4bitsenbinario
Para establecer la conversión escribiremos los números de 0 a F, tanto en hexadecimal
comoenbinario:
Ejercicio1:Convertirelsiguientenúmerobinarioahexadecimal:10110101111=¿?
Para convertirlo comenzaremos agarrando los cuatro primeros dígitos del número binario
«1111»dederechaaizquierda,luegoloscuatrosiguientes «1010»yporúltimo,comonos
faltandígitosleagregaremosuncero«0101».
Representaremoscadaunodeestosnúmerosobservandolatablamostradaanteriormente:
1111=F
1010=A
0101=5
Agrupamoslosnúmeroshexadecimalesenelordendelbinario:
10110101111=5AF
Ejercicio2:Convertirelsiguientenúmerobinarioahexadecimal:10110111011=¿?
Para convertirlo comenzaremos agarrando los cuatro primeros dígitos del número binario
«1011» dederechaaizquierda,luegoloscuatrosiguientes«1011»yporúltimo,comonos
faltandígitosleagregaremosuncero(0101).
Representaremoscadaunodeestosnúmerosobservandolatablamostradaanteriormente:
1011=B
1011=B
0101=5
Agrupamoslosnúmeroshexadecimalesenelordendelbinario:
10110111011=5BB
Ejercicio3:Convertirelsiguientenúmerobinarioahexadecimal:1001011=¿?
Para convertirlo comenzaremos agarrando los cuatro primeros dígitos del número binario
«1011» de derecha a izquierda, luego los cuatro siguientes «100» pero como le faltan
dígitosleagregaremoselcero,entoncesserá«0100».
Representaremoscadaunodeestosnúmerosobservandolatablamostradaanteriormente:
1011=B
0100=4
Agrupamoslosnúmeroshexadecimalesenelordendelbinario:
1001011=4B
Estemismoprocesosehacedeformareversiblecuandotenemosdígitosen
Hexadecimalydebemospasarlosabinario.
Capítulo8:Subneteo
Estaeninglésperoesbastantevisualyselograentender.
Al igual que en conversiones binarias existen muchas técnicas para poder subnetear. En
estelibrovamosaverdostécnicas.
● Un subneteo tradicional. Este es más largo y tedioso pero es importante
comprenderlo.
● MagicNumber.Estaesunatécnicautilizadaquefacilidadmuchaslascosas.
Razonesporlacualcreamossubredes:
Cuandodoshostseencuentranenlamismasubredsepuedencomunicarsinningúntipo
derestricciónyadicionalmenteseencuentranenelmismodominiobroadcast.Cuando
creamossubredeslohacemosprincipalmentepordosrazones:
● Seguridad: Si separamosaloshostendistintassubredes,parapodersecomunicar
vananecesitarunrouterdepormedio.Esterouterpuedeservircomofiltrodetráfico
entre las dos subredes y puedes brindar algún grado de seguridad. Esto sirve
cuando yo no deseo mezclar los tráficos, por ejemplo, el tráfico de recursos
humanosconeltráficodedesarrollo.
● TráficoBroadcast:Yasabemosqueeltráficobroadcastllegaatodosloshostsen la
subred. Si tenemos muchos host dentro del dominio broadcast esto a una gran
escalapuedeprovocarunasaturacióndelared.
SubneteoClassfulltradicional
Elsubneteoclassfulltienedoscaracterísticas:
● Noutilizalasubredcero.
● Todaslassubredessondelmismotamañoporendetodaslassubredesutilizanla
mismamáscaradered.
AnivelacadémicoyaniveldelexamendeCCNA(queesloquecubreestelibro)en
cualquierejerciciodesubneteosiemprenosvanabrindarlosiguiente:
● UnaIPdeunasubred.Ejemplo192.168.1.0
● Unaincógnita:Estoesalgoasolucionarypuedeserdosopciones.Ounacantidad
desubredesounacantidaddehostdentrodeunasubred.
Paraefectosdecomprenderestonadamejorqueunejerciciodeejemploelcualvamosa
resolveren6 pasos:
Tenemoslaredde192.168.1.0
Tenemoslasiguienteincógnita:Senecesitan6subredes.
Paratodoslosejerciciossiemprelosmejoresbrindarlascuatrocaracterísticasde
unasubred:
● IPdelasubred
● Máscaradered
● Broadcast
● Rangodehost
Paso1:ClasededirecciónIP.
El primer paso es sencillo y es basado en la dirección IP del primer octeto podemos
determinarqueclasededirecciónIPes:
Nuestroejemplocomienzacon192porloquesegúnlasiguientetablaestádentrodeun
rangoClaseC:
Paso2-Máscarapordefecto
BasadoenelcuadroanteriorpodemosdeterminarqueparaunaclasetipoClamáscarapor
defectoes255.255.255.0.
Lo anterior indicaquelosprimerostresoctetossonparalaporcióndelnetworkyelúltimo
octetoparalaporcióndelhost.
¿Cómofuncionalamáscaradered?
La máscara es la herramienta que utiliza los host para determinar cual porción de la IP
pertenecealaredycualalhost.
Deestamanerapuedendeterminarlas4característicasdeunasubred:
● IPdelasubred
● Máscaradered
● Broadcast
● Rangodehost
Estoesmuyimportanteporquedeestamaneraunacomputadorasabesisevaacomunicar
con un destino dentro de la misma red o bien si el tráfico debe ser enviado al default
gatewayparasucorrectoenrutamiento.
LamáscaraderedindicabitporbitdetodalaIPsiunbitpertenecealnetworkcolocandoun
1ysiperteneceaunhostcolocandoun0.
192. 168. 1. 0
11000000. 10101000. 00000001. 0 0000000
11111111. 11111111. 11111111. 0
0000000
Aquípodemosobservarquelamáscaraderedsontodosunosenlostresprimerosoctectos
indicandoqueestosbitspertenecenalnetworkysonlosquedeterminanladirecciónIPque
representaalared.
Luego observamos que todo el cuarto octeto hay colocados 0s indicandoqueesos8bits
pertenecenalaporcióndelhost.
Estaeslamaneramássencilladecomprenderparaquésirvelamáscaradered.Laforma
unpocomástécnicaesquebitporbitlamáscaraderedmultiplicacadaposicióndellosbits
deladirecciónIPporloquesiunbit1multiplicadoporotrobit1vaadarcomoresultado1y
sisemultiplicapor0vaadarcero
10b itsejemplodeladirecciónIP
xxm ultiplicado
== iguala
10resultado
SupongamoquetenemosladirecciónIP192.168.1.10conlamáscara255.255.255.0.Sila
computadoradeseasabercuálesladireccióndelasubredsimplementemultiplicalasubred
porlamáscaraymedalaIP:
192. 168. 1. 10
11000000. 10101000. 00000001. 0 0001010
11111111. 11111111. 11111111. 0
0000000 X
11000000. 10101000. 00000001. 0 0000000 =
Note que toda la porción delaredesexactamenteigualylaporcióndelhostesentodos
ceros.EstonosvaadarcomoresultadolaprimeradirecciónIPdelaredlacualrepresenta
atodoelrangodeIPs.
Por último mencionamos la operación real para efectos de tener una noción de lo que
exactamentepasaconlamáscaradered.SellamaprocesoANDing.
Elprocesoandingseutilizaentérminosdeverdaderoyfalsosiendo1verdaderoy0falso.
Se utiliza para comparar dos variables. Cuanto tenemos dos variables verdaderas el
resultadoverdadero,osea,1.
Sialgunadelasdosvariablesesfalsaelresultadoserá0.
Paso3-Resolucióndelaincógnita
Una vez determinada que la máscara de red es 255.255.255.0 esto nos indica que nos
quedansolamente8bitsparalaporcióndelhostyesenlaporcióndehostlacualpodemos
modificarendondevamosacrearlassubredespararesolverlaincógnita.
En el sistema binario y la creación de subredes todo se basa en cuantas combinaciones
podemoscrearsegúnlacantidaddebitsprestados.
Porejemplositenemosunúnicobitsolopodemostenerdoscombinaciones
0
1
LaprimeracombinaciónvaaestarreservadaparaladirecciónIPquerepresentatodalared
(en Clasfull no la podemos utilizar para la creación de subredes, en VLSM si que lo
explicaremosenelpróximocapítulo).
LaúltimacombinaciónpodemosestaráreservadaparalaIPdelabroadcast(enClasfullno
la podemos utilizar para la creación de subredes, en VLSM si que lo explicaremos en el
próximocapítulo).
Sitenemosdosbitspodemoshacerlasiguientecombinación
00reservadaparalaIPdelared
01
10
00r eservadaparalaIPdebroadcast
Loanteriornosdacomoresultadodosposiblescombinacionesquepodríamosutilizarpara
crearsubredesdentrodeunared.
Sitenemostresbitspodemoshacerlasiguientecombinación
000reservadaparalaIPdelared
001
010
011
100
101
110
111reservadaparalaIPdebroadcast
Elresultado8combinacionesdelascualespodemosutilizarsolo6.
Note también que cada combinación va a representar unnúmeroendecimalqueeneste
ejemplo van del 0 a 7. De esta manera si decimos cual es la combinación para la red
número6podemosindicarqueeslacombinación110queestotransformadoadecimales
6.
No anterior se puede ser representado por una simple fórmula matemática la cual es la
siguiente:
2^n-2=Combinacionesutilizables
nrepresentalacantidaddebitstomamosprestadosdelaporcióndelhost.
Seleresto-2paraeliminarlaprimerayúltimacombinaciónquenopodemosutilizar
porquerepresentalaipdelaredosubredylaipdelabroadcast
Realicemoslosmismosejemplosanterioresperoconlasfórmulas
2^1=2-2=0
2^2=4-2=4
2^3=8-2=6
Comoseobservalafórmulanosdaelmismoresultadodeposiblescombinacionesycuales
sonutilizables.
Resolvamoslaincógnitadelejercicio
Enelejemplonosindicanquesenecesitan6subredesutilizables.
¿Cuántosbitssenecesitantomarprestadosdelaporcióndelhostparacrear6subredes?
Segúnnuestraformulalarespuestaes3
2^3=8-2=6
Esto indica que de los 8 bits que tenemos para la porción del host utilizaremos 3 (de
izquierdaaderecha)paracrearyrepresentar6subredes.
Paso5-CálculodelasIPsdelassubredes
Ahora bien que sabemos que 3 de los 8 bits que representa la porción del host serán
utilizadosparalasubreddebemosdeactualizarnuestranuevamáscaradered.
192. 168. 1. 0
11000000. 10101000. 00000001. 00000000
11111111. 11111111. 11111111. 00000000
Los bits seleccionados en amarillo son los que tomaremos prestados para crear las
subredes por lo que esos mismos bits en la máscara de red debemos cambiarlos por1s
paraindicarlealoshostqueahoratambiénespartedelaporcióndelnetwork
192. 168. 1. 0
11000000. 10101000. 00000001. 00000000
11111111. 11111111. 11111111. 11100000
Si transformamos los cuatro octetos de la nueva máscara de red a decimal nos da un
resultadode
192. 168. 1. 0
11000000. 10101000. 00000001. 00000000
11111111. 11111111. 11111111. 11100000
255. 255. 255. 224
Conestolascomputadoraspodrándescifrarcuáleselrangodecadasubred.
Paso5-Creacióndesubredes
Cadasubredlavamosarepresentarconunadelascombinaciones.Porejemplopodemos
determinar que la primera combinación de la subred 001 sera para representar al
departamentoderecursoshumanos.
Porloquecolocamosestacombinaciónenlaporcióndelasubred
CadaunadeestasIPsrepresentaneliniciodelassubredes.
Paso6-Cálculodelosrangosdelassubredes
Paradeterminarelrangodelassubredesdebemosindicarlosiguiente:
● LaprimeradirecciónIPelcualesladirecciónIPdelasubredyyalaobtuvimosenel
cálculoanterior.
● LaúltimadirecciónIPenestecasoeslabroadcastyrepresentalaúltima
combinacióndebitsenloquerestadelaporcióndelhost.
● LoqueestaenmediodelaIPdelasubredylaIPdelabroadcastsonlas
direccionesIPquepodemosasignarahostenlasubred,esdecirelrangodehost.
Subred#1
IPdelasubred
11000000. 10101000. 00000001. 00100000
192. 168. 1. 32
IPdelabroadcast
11000000. 10101000. 00000001. 00111111
192. 168. 1. 63
Notequehemoscolocadosolo1senlaporcióndelhost.Estaeslaformade
representarlaIPdelabroadcast.Todoloqueestáenmedioeselrangodehost.
192.168.1.33a192.168.1.62rangodehost
CualquierdirecciónIPdentrodeesterangoconlamáscara255.255.255.224pertenecela
subred#1derecursoshumanos.
Aquíestáelresultadodelasotras5subredes
Subred#2
IPdelasubred
11000000. 10101000. 00000001. 01000000
192. 168. 1. 64
IPdelabroadcast
11000000. 10101000. 00000001. 01011111
192. 168. 1. 95
192.168.1.65a192.168.1.95rangodehost
Subred#3
IPdelasubred
11000000. 10101000. 00000001. 01100000
192. 168. 1. 96
IPdelabroadcast
11000000. 10101000. 00000001. 01111111
192. 168. 1. 127
192.168.1.97a192.168.1.126rangodehost
Subred#4
IPdelasubred
11000000. 10101000. 00000001. 10000000
192. 168. 1. 128
IPdelabroadcast
11000000. 10101000. 00000001. 10011111
192. 168. 1. 159
192.168.1.129a192.168.1.158rangodehost
Subred#5
IPdelasubred
11000000. 10101000. 00000001. 10100000
192. 168. 1. 160
IPdelabroadcast
11000000. 10101000. 00000001. 10111111
SínotóalgúnpatrónpudoobservarquelasdireccionesdelasIPsenelejemploanteriorvan
de32en32.Parapoderdescubrirdeunaformasencillavamosautilizarunametodología
sencillaquesellama“MagicNumber”ynuestromagicnumberes
256
¿Porqué256?porqueunoctetotiene256combinacionesquevandel0a255incluyendola
combinacióndel0.
VamosarealizarelmismoejercicioanteriorperoconelMAGICNUMBER
Tenemoslaredde192.168.1.0
Tenemoslasiguienteincógnita:Senecesitan6subredes.
Paso1-ClaseporDefecto.
LaclasepordefectoeslaC
Paso2-Máscaraderedpordefecto
LamáscarapordefectodeunaclaseCesla255.255.255.0
Paso3-Resolucióndelaincógnita
2^3=8-2=6
Estoindicaqueocupamostomarprestado3bitsparaformar6combinaciones.
Paso4-Resolucióndelaincógnita
Nuevamáscaradered255.255.255.224(Vercomosesacaenelpaso4delejemplo
anterior)
Paso5-MAGICNUMBER
Vamosatomar256ylevamosarestarelúltimonúmerodiferentedecerodelamáscarade
red.
255.255.255.224
Elúltimonúmerodiferentedeceroes224.Vamosarestarlea256-224
256-224=32
Elresultadoeselpatrónqueindicadecuantoencuantovaasaltarlassubredespara
llegaralapróximasubred.Estoquieredecirquecadasubredestáa32direcciones
IPsdedistancia.32tambiénindicaeltamañodelasubred.Silerestamos-2nos
indicalacantidaddeIPsasignablesahost(QuitandolaprimeraIPdelasubredyla
últimaIPdelabroadcast)
Paso6 -Cálculodesubredesyrangodehost
Yasabemosquelassubredesvande32en32asíquecalcularcuálessonlassubredeses
sencillo.Iniciamosconlasubred0lacualenClasfullnoseutiliza
192.168.1.0
lesumamos32atodalaipynosdalaprimerasubred
Subred#1
192.168.1.32
lesumamos32atodalaipynosdalasegundasubred
Subred#2
192.168.1.64
lesumamos32atodalaipynosdalatercerasubred
Subred#3
192.168.1.96
lesumamos32atodalaipynosdalacuartasubred
Subred#4
192.168.1.128
lesumamos32atodalaipynosdalaquintasubred
Subred#5
192.168.1.160
lesumamos32atodalaipynosdalasextasubred
Subred#6
192.168.1.192
Muchomássencilloqueelmétodoanteriorsinembargoesimportantequeconozcatambién
comosehaceenbinarioparaquepuedacomprenderdedóndeprovienenlassubredes.
Adicionalmenteexistenalgunasexcepcionequeelcálculodebehacerseporfuerzaen
binario.
Ahoranosquedaindicarelrangodehostyparaestoesfácilsicomprendemoslosiguiente:
● UnadirecciónIPantesdelapróximasubredeslabroadcast
● Loqueestáenmediodelabroadcasteselrangodehost.
Subred#1
192.168.1.32subred
Laipdelapróximasubredes192.168.1.64porloquelabroadcastes
192.168.1.63broadcast
Loqueestáenmediodelabroadcasteselrangodehost
192.168.1.33-192.168.1.62rangodehost
Subred#2
192.168.1.64subred
Laipdelapróximasubredes192.168.1.96porloquelabroadcastes
192.168.1.95broadcast
Loqueestáenmediodelabroadcasteselrangodehost
192.168.1.65-192.168.1.94rangodehost
Subred#3
192.168.1.96subred
192.168.1.127broadcast
192.168.1.97-192.168.1.126rangodehost
Subred#4
192.168.1.128subred
192.168.1.159broadcast
192.168.1.127-192.168.1.158rangodehost
Subred#5
192.168.1.160subred
192.168.1.191broadcast
192.168.1.161-192.168.1.190rangodehost
Subred#6
192.168.1.192subred
192.168.1.223broadcast
192.168.1.193-192.168.1.222rangodehost
Enelcasodelaúltimasubredlevamosasumar32paraobtenerelpróximaIPyle
restamos1deahífuecomosacamosel223delabroadcast.
Realiceconsuprofesorprácticadesubneteoparaquedomineelcálculodelassubredes.
Capítulo9:VLSM
Antesdecontinuarelvamosaverunpequeñodatoimportante.Hastaelmomentosabemos
quelamáscaraderedrepresentalacantidaddebitsquepertenecenalaporcióndel
network
192. 168. 1. 0
11000000. 10101000. 00000001. 00000000
11111111. 11111111. 11111111. 11100000
255. 255. 255. 224
Observamosenelejemploanteriorquedelos32bitsdeladirecciónIP27pertenecenala
porcióndelnetwork.
Estosepuedeescribirconlamáscaradered255.255.255.224oconunanotación/27.
/27representalomismoque255.255.255.224
Entelecomunicacionespodemosescribirdeestasdosmanerasunamáscaradered.
/Nd ondeNeslacantidaddebitsquepertenecenalaporcióndelnetwork
Analogíaymétododelacaja.
Unagranventajaquehacefácilelsubneteoesquehayunacantidaddefinidadetamaños
desubredes.SehaceaúnmásfácilcuandodominamoslostamañosdeunaredclaseCel
cualsolamentetieneelúltimooctetoparacrearsubredes.
SiobservamosunaredclaseCtenemos8bitselcuales2^8=256.
256eslacantidaddedireccionesIPsquetenemosenunoctetocontandoel0.
Vamosaimaginarquelassubredesconcajas,cajasdedistintostamaños(distintas
máscarasdered).Dentrodeestascajasyopuedocolocarcajasmáspequeñas(otras
subredesmáspequeñas)obiencajasdedistintostamaños.
Iniciaremosconunacajade256IPs
Estacajarepresentaunasubredcon:
Máscara255.255.255.0
/24
256IPs
254IPsutilizables
Observamosquetenemos0queindicadonde
inicialasubred(esdecirladirecciónIPdelared
osubred)y tenemos255querepresentadonde
terminarlaredyporenderepresentalaIPdela
broadcast.
Loqueestáenmediodel1al254eselrangode
host.
Estoseríaunared/24creadaparauntamañode
redde256IPsdeloscuales254sonutilizables.
Enestacajitade256IPspodríamosmeterdos
cajitasde128IPs.
Notequeconelmismotamañodeunared256
podemoscrear2subredesde128IPs
Máscara255.255.255.128
/25
128IPs
126IPsutilizables
Enelejemploanteriorpodemoscrear2subredes
.0IPdelaprimerasubred
.1a.126rangodehost
.127Redbroadcast
.128IPdelaprimerasubred
.129a.254rangodehost
.255Redbroadcast
Paraestemomentoyasabemosqueconunacajitade256IPs(unaredde256IPs)
podemoscrearounaúnicasubredde256odossubredesde128IPs.
Ahoranosponemosmáscreativos.Enestacajitade256tambiénpuedometer4cajitasde
64IPs.
Máscara255.255.255.192
/26
64IPs
62IPsutilizables
Aestepuntodeladivisiónpodemoscrearmuchas
variablesdesubredes:
● Unaúnicasubredde256IPs.
● Dossubredesde128IPs.
● CuatroSubredesde64.
● Unasubredde128ydosde64.
Estaúltimaopciónpodríadefinirseasí:
Primeraredde128IPs
.0IPdelaprimerasubred
.1a.126rangodehost
.127Redbroadcast
Segundaredde64IPs
.128IPdelaprimerasubred
.129a.190rangodehost
.191Redbroadcast
Terceraredde64IPs
.192IPdelaprimerasubred
.193a.254rangodehost
.255Redbroadcast
Podemoscontinuardividiendolacajitaocolocandoredesmáspequeñashastalograr
estasdivisiones
Máscara255.255.255.224
/27
32IPs
30IPsutilizables
Máscara255.255.255.240
/28
16IPs
14IPsutilizables
Máscara255.255.255.248
/29
8IPs
6IPsutilizables
Yporúltimollegamosarealizarlassubredesmás
pequeñas
Máscara255.255.255.252
/30
4IPs
2IPsutilizables
Enesteejemplohemosdividotodacajitade256IPsenunmontóndecajitasde4IPs
EstassonlasredesmáspequeñasenlascualessolohaydosIPsutilizables.
Yporúltimoveamosunejemplodecomopodemoscolocarcajitasdedistintostamaños
dentrodeunaredde256IPs
Enesteejemplosecrearon
● Unaredde128IPsquevadela0.ala.127
● Unaredde64IPsquevadela.128a.191
● Unaredde32IPsquevadela.192ala.223.
● Dosredesdede4IPsquevandesdela.224ala227ydela.228ala231.
● Nossobraespaciosideseamoscrearmássubredes.
Loanterioresunaanalogíaparacomprenderquedentrodeunamismaredpodemos
colocardistintostamañosdesubredes.
TablatamañosdesubredesC
Lasiguienteesunatablaconeltamañodelasposiblesredesquepodemoscrearcon8bits
CantidaddeIPs Host Notación/ Máscaradered
8 6 /29 255.255.255.248
4 2 /30 255.255.255.252
Estatablaseráfundamentalparasudesarrolloencreacióndesubredesysobretodopara
laparteacadémicaensupreparaciónparaganarelexamendeCCNA.Porfavor
aprenderladememoria.
Conestatablasenosharámuchomássencillopoderresolvercualquierejercicioderedes.
ResolviendomiprimerejerciciodeVLSM
EnmuchoslibrosvamosaobservardistintasmetodologíasparacrearsubredesconVLSM
sinembargoenV LAvamosautilizarelmétododelatablaparaquedeunamaneramuy
fácilvamosalograrcrearsubredesyasignarIPs aloshost.
Veamoselprimerejemplo:
Tenemoslared192.168.10.0/24parasubnetearlasiguientered
Eneldiagramapodemosobservarquelasnubesrepresentan4redesdedistintostamaños
queestáninterconectadaspormediode3routers.
Laconexiónentrecadaroutertambiénesunaredquedebemoscalcular,unaredde2IPs
(Tambiénselellamapuntoapuntodebidoaqueenunenlacedondesoloestanlosdos
routerssoloexistenestosdoselementosyseconsideraquevadepuntoapunto.)
Primeraregla:Paraefectosacadémicossiemprevamosaordenarportamañolas
redesdemayoramenor
1. NuevaYork125host
2. Miami60hostsC
3. CostaRica28hosts
4. Panamá12hosts
5. WAN-12host
6. WAN-22host
7. WAN-32host
LasredesWANcomosondelmismotamañopuedeirencualquierorden.
Unavezordenadaslasredescomenzaremosconlaprimerared.
Reglados:ComenzamosdesdelaIPdelasubredpadre(esdecirladirecciónIPque
representaatodalared)Enesteejemploesla192.168.10.0/24
PrimeraRedNuevaYork125hosts
ColocamosladirecciónIPdelared
192.168.10.0
PASO1:Determinareltamañodelasubred
Ahorapreguntamos¿QuétamañodedirecciónIPnecesitamosparapodercolocar125
hosts?
Buscamoslarespuestaenlatabla:
Podemosindicarqueocupamosunaredde128IPs/25,asíquecolocamosladirecciónIP
192.168.10.0conel/25
Red IPdeSubred RangodeHost Broadcast
NuevaYork 192.168.10.0/25
PASO2:DirecciónIPdelapróximasubred
Entendemosqueeltamañodelasubreddenuevayorkesde128IPs,estoquieredecirque
lapróximasubredestaa128direccionesIPsdedistancia.
TomamoslaIP192.168.10.0 ylesumamos128,nosdacomoresultado192.168.10.128,
estaesladireccióndelapróximasubred,esdecirdeMiami
Red IPdeSubred RangodeHost Broadcast
NuevaYork 192.168.10.0/25
Miami 192.168.10.128
PASO3:RangodeHostyBroadcast
Aúnnosabemos¿CuáleselrangodehostdelareddeNuevaYork?Utilizandounmétodo
similaral“MagicNumber”,unadirecciónIPantesdelaproximasubredeslabroadcasts,es
decirunaIPanteddelareddeMiami 192.168.10.128eslabroadcastdeNuevaYork
Red IPdeSubred RangodeHost Broadcast
Miami 192.168.10.128
ElrangodehostsonlasdireccionesIPenmediodelasubredylabroadcast
Red IPdeSubred RangodeHost Broadcast
Miami 192.168.10.128
Los3pasosanterioresserepitenparacadasubred
RedMiami
YatenemoslaIPdelasubred192.168.10.128,ahoranospreguntamos¿Quétamañode
subrednecesitopara60host?
Buscamoslarespuestaennuestratabla:
EstoquieredecirquelareddeMiamivaaseruna/26yquelapróximasubred(redde
CostaRica)estáa64IPsdedistanciaporloquealaIP192.168.10.128lesumamos64y
nosdacomoresultadolaIPdelareddeCostaRica.
Red IPdeSubred RangodeHost Broadcast
Miami 192.168.10.128/26
CostaRica 192.168.10.192
RecordemosqueunadirecciónIPantesquelareddeCostaRicaeslabroadcastdeMiami
yloqueestáenelmedioeselrangodehostporloquepodemosdeterminarelsiguiente
resultado:
Red IPdeSubred RangodeHost Broadcast
CostaRica 192.168.10.192
ContinuamossubneteandoconelmismoprocesolareddeCostaRica.
¿Quétamañonecesitoparaunasubredde28hosts?Buscamoslarespuestaenlatabla:
EstoquieredecirquelareddeCostaRicaesuna/27ysutamañoesde32IPsporloque
lapróximaredqueperteneceaPanamáestáa32direccionesIPsdedistancia.AlaIPde
CostaRica192.168.10.192lesumamos32ynosda192.168.10.224.Recordemosqueuna
IPantesdelasubreddePanamáeslabroadcastdeCostaRica.Ahorahemoslogradolo
siguiente:
Red IPdeSubred RangodeHost Broadcast
Panamá 192.168.10.224
RepetimoselmismoprocesoparaPanamá.
¿Quétamañodesubredocupamosparaunaredde12host?
PorloquelasubreddePanamá192.168.10.224seráuna/28ylapróximasubredWAN1
estaráa16direccionesIPsdedistancia.
192.168.10.224+16=192.168.10.240
UnaIPantesdelaWAN1eslabroadcastdePanamáysabemosqueloqueestáenel
medioeselrangodehost.
Red IPdeSubred RangodeHost Broadcast
WAN1 192.168.10.240
MismoprocesoparalaWAN1
ParalaWANsenecesitanúnicamente2IPsyaqueesunadirecciónIPparacadarouteren
elenlacepuntoapunto.
¿Quétamañodesubrednecesitopara2IPs?
EstoquieredecirquelaredWAN1192.168.10.240esdeuntamañode4IPs(2utilizables)
esuna/30ylapróximasubredparalaWAN2eslaIP192.168.10.244
Red IPdeSubred RangodeHost Broadcast
WAN2 192.168.10.244
MismoprocesoparalaWAN2
ParalaWAN2senecesitanúnicamente2IPsyaqueesunadirecciónIPparacadarouter
enelenlacepuntoapunto.
¿Quétamañodesubrednecesitopara2IPs?
EstoquieredecirquelaredWAN1192.168.10.244esdeuntamañode4IPs(2utilizables)
esuna/30ylapróximasubredparalaWAN3eslaIP192.168.10.248
WAN3 192.168.10.248
MismoprocesoparalaWAN3
ParalaWAN3senecesitanúnicamente2IPsyaqueesunadirecciónIPparacadarouter
enelenlacepuntoapunto.
¿Quétamañodesubrednecesitopara2IPs?
EstoquieredecirquelaredWAN1192.168.10.248esdeuntamañode4IPs(2utilizables)
esuna/30ylapróximasubredeslaIP192.168.10.252.Aunqueenelejercicioyanoexista
unapróximasubredlasacamosparaquenosseamásfácilsacarlabroadcastyelrangode
host.
Red IPdeSubred RangodeHost Broadcast
Estaesunametodologíafácil,sintenerqueentrarenbinario,únicamentedebemosde
dominarlatabla.
ContinúetrabajandoconsuprofesordeVLArealizandoprácticasdeSubneteoVLSM.
ExistenotroscasosenelcualsesubneteaIPsClasesAyBparalacualsecombinatodolo
quehemosaprendidohastaelmomento.
Capítulo10:VLSMClaseA,By
Sumarización
En el capítulo anterior hemos logrado crear subredes utilizando VLSM para IPs clase C.
AhoraloharemospararedesClaseAyB.
¿Cuáleselreto?
Elrestoestácuandonospidendiseñarredesparauntamañodehostmuygrandeelcualse
hacemásdifícildecalcularmentalmente.
Perovamosainiciarprimeroconalgunosejemplosdemenortamañoyluegorealizaremos
unejemploconuntamañomuchomásgrande.
Tablatamañosdesubredessuperioresa256
Enelsiguienteejerciciovamosaresolverloconunacombinacióndetodoloquehemos
aprendidohastaelmomento:
● MagicNumber.
● Tabladesubneteo.
● Conteoenbinario.
Ejemplo
TenemoslareddeVirtualLearningAcademyconladirecciónIP1 72.16.0.0
Sesolicitalacreacióndesubredesconlossiguientestamaños:
● GrupoVLAUSA10,000hosts
● GrupoVLAColombia6,000host
● GrupoVLACostaRica1,000host
● GrupoVLAPanamá400host
● GrupoVLANicaragua80host
Utilizamoselmismoprincipiodeiniciarconlasredesenordendemayoramenorentamaño
yadicionalmentequecomenzaremosconlaredcero.
RedGrupoVLAUSA10,000host
Segúnlatabla¿Quétamañoderednecesitamosparaunaredde10,000host?
Observemosquesenecesitaunaredde16384host,/18yconunamáscarade
255.255.192.0
AhoraaplicaremoselM agicNumber.
ElMagicNumberindicaquedebemosrestar256alúltimonúmerodelamáscarade
reddiferentedecero.Enestecasoes192.
256-192=64
Ahoranotequeelvalor¨192¨seencuentraeneltercerocteto.Estoquieredecirque
lasredesvanairde64en64peroeneltercerocteto,estonosvaaservirpara
determinarladirecciónIPdelapróximasubredlacuales172.16.0.0sumandole64en
eltercerocteto.
Red IPdeSubred RangodeHost Broadcast
USA 172.16.0.0/18
Colombia 172.16.64.0
ParasacarladirecciónIPdelabroadcastdebemosrestarle-1aladirecciónIP172.16.64.0
¿CómosumamosyrestamosendireccionesIPs?
Setienequetenerencuentaqueenunoctetoelnúmeromáximoes255yelmenor0.
Sileresto-1alaIP172.16.64.0lohacemosasí:
● al.0nolepuedorestar-1porendele“pidoprestado1a64”Yporendemequeda
63eneltercerocteto.
● Sinembargoahoraenelcuartooctetoahoraes255.
Paraejemplificaraúnmásvamosaircontando1+1paraquenotencomocambialos
valoresdeunoctetoaotro.
172.16.63.253
172.16.63.254
172.16.63.255
172.16.64.0
172.16.64.1
172.16.64.2
Nótesecómoluegodequellegamosa255ylesumo1elcuartooctetosecolocaenceroy
selesuma1al63dejándoloen64.Estoesporqueelnúmeromáximoquepuedo
representarenunoctetoes255.Esteejemplofuncionademanerainversarestando-1
PorloqueunadirecciónIPantesde172.16.64.0esladirecciónIPbroadcastdelaredUSA
lacuyoresultadoes172.16.63.255.
Loqueestáenmediodelasubredylabroadcasteselrangodehost.
Red IPdeSubred RangodeHost Broadcast
Colombia 172.16.64.0
RepetimoselprocesoconlareddeColombia
¿Quétamañoderednecesitopara6000host?}
Tenemosunamáscarade255.255.240porloquelafórmuladelM
agicNumberes:
256-224=32
Lasubredvade32en32eneltercerocteto
LadirecciónIPdelapróximasubreddeCostaRicaes172.16.96.0.Conestosdatosya
podemoscompletarelcuadroparalareddeColombia
Red IPdeSubred RangodeHost Broadcast
CostaRica 172.16.96.0
MismoprocesoparaCostaRica
Paraunaredde1000hostocupamosunaredde:
MagicNumber
256-242=4
Lasredesvande4en4eneltercerocteto.
172.16.96.0+4eneltercerocteto=172.16.10.0,estaeslaIPdelareddePanamá
Red IPdeSubred RangodeHost Broadcast
Panamá 172.16.100.0
ParalareddePanamánospiden400hostporendeocuparemosunared512
MagicNumber
256-254=2
Lasredesvande2en2eneltercerocteto.
172.16.104.0+2eneltercerocteto=172.16.106.0,estaeslaIPdelareddeNicaragua
Red IPdeSubred RangodeHost Broadcast
Nicaragua 172.16.102.0
ParalareddeNicaraguapodemoshacerloúnicamenteconlatabladebidoaquealserde
menos256hostesmásfácilsumareltamañodelaredenelcuartoocteto.
ParalareddeNicaraguaocupamos80host.Segúnlatablaeltamañoesde
EstonosindicaquelareddeNicaraguaesuna/25yquelaposiblepróximasubredestáa
128direccionesIPsdedistancia,enestecasoenelcuartoocteto(siaplicaramoselMAGIC
Numberseríarestarleelúltimonúmerodiferentedeceroelcuales128yseencuentraenel
cuartoocteto)
PorloquelaIPdelasubredsería172.16.106.0/25,laposiblenuevasubred
172.16.106.128yunadirecciónIPanteslabroadcast172.16.106.127
Red IPdeSubred RangodeHost Broadcast
Sinospidenalgomuyinusualcomonecesitounaredpara500,000host.
Aquídebemoscombinarsubneteotradicionalconalgunasotrastécnicasyaaprendidas
comoelMagicNumber.
Supongamosquenosdanlared10.0.0.0
Elprimerpasoesresolverlaincógnita¿Cuántosbitsnecesitoparaformarunaredde
100,000host?
Estoesconlafórmula2^N-2
Larespuestaes2^17=131072-2=131070(Aquípuedeusarcalculadora,nosepreocupe
estetipodepreguntasnovanasalirenelexamendeCCNAasíquecálculosdeeste
tamañonosesientamalsiocupaunacalculadora)
Estoquieredecirqueocupamos17bitsdelaporcióndelhost.
Estonosindicaquedelos32bits15pertenecenalapromocióndelnetwork
Porendelamáscaraderedsería
255.254.0.0
YaconlamáscarasenosvuelvetodomásfácilypodemosaplicarM agicNumber
256-254=2(Recuerdequesetomaelúltimonúmerodiferentedecerodelamáscara
dered)
Estoquieredecirquelaredvade2en2enelsegundoocteto.
Porloquelaredsería10.0.0.0/15yunaposiblepróximasubrdedesla10.2.0.0porloque
unaIPantesseriallabroadcast10.1.255.255yloqueestaenmedioelrangodehost.
Red IPdeSubred RangodeHost Broadcast
Capítulo11:ArquitecturadelRouter
Unrouteresunacomputadoraperoespecializadapararealizarunatareayesatareaesla
de enrutar paquetes IP. Su hardware está diseñado para eso pero en su esencia es una
computadora.
¿PorQuédecimosesto?
Porqueunacomputadoratienealgunoselementosbásicoscomo:
● UnProcesador(CPU)
● Undiscoduro(paraalmacenararchivosydatoscomoelsistemaoperativo)
● MemoriaRAM(Aquíseejecutantodoslosprogramas)
● Interfaces(sucomputadoratieneunaNICwirelessyprobablementeunaparalared
cableadaquelellamamosEthernet)
● UnChipBIOSoROM(Estoesloqueaparececuandosucomputadoraseenciende,
si esa pantalla negra y luego carga el sistema operativo. Eso es producto de un
CHIP donde tiene preinstalado un pequeño sistema operativo que ayuda a su
computadoraalevantartodosloscomponentesdehardwareysoftware)
Apartedelascosaspropiasdeunalaptopcomoelteclado,monitoryesoquenolostiene
unrouter.
Si podemos observar otros elementos que el router y todo dispositivo electrónico tienen
comounafuentedepoderoenergía,ventiladoresparaevitarquesecalienteelhardware.
Laarquitecturabásicadeunrouteressimilar
Esteunejemploperoenesenciatodoslosdispositivossonmuysimilares.Existeunatarjeta
madrequeinterconectalossiguienteselementos:
● Procesador (CPU): Aquí es donde se procesan todos los cálculosmatemáticos,el
trabajodeprocesamientoquenosehaceporsolohardwareenelrouter.Hoyendía
losprocesadoreshanavanzadomuchoylosroutersposeenmúltiplesprocesadores
multicoreporloquecadavezelprocesamientoesmásrápido.
● Flash:Lamemoriaflashpodemoshacerlaanalogíaqueeseldiscodurodelrouter.
Aquí se guarda el archivo que representa al sistema operativodeCiscoelcualse
llamaCiscoIOS(InternetworkOperatingSystem).Tambiénalmacenaotrosarchivos
importantes del sistema pero curiosamente no almacena la configuración. Eso se
haceenotramemoriallamadaNVRAM.
● RAM:Sussiglassignifica“RandomAccessMemory”enespañolmemoriadeacceso
aleatorio.TambiénseleconocecomoDRAMoDynamicRAM.Estaesunamemoria
muy rápida y por ende en esta memoria es donde se carga y corre el sistema
operativo.Otroaspectomuyimportanteesquetodalaconfiguraciónquecorreenel
sistema operativo está cargada aquí. Se le llama running-config. Esta memoria
RAM es volátil,esdecirquecuandoelroutersereiniciaoseapagapierdetodasu
memoria, por ende, es muy importante salvar siempre la configuración de lo
contrariosiseapagaelequiposepierde.
● NVRAM: Significa Non Volatile Random Access Memory, y básicamente es una
memoria RAM que no pierde la información cuando se queda sin energía. Cisco
EnelaspectodeinterfacesypuertoslosequiposCiscosonmuymodulares,ademásdeque
existenmúltiplestiposquemásadelanteaprenderemos.
Estelibroobservamosdostiposdepuertos:
Puertos de Administración: Estos son los puertos de consola el cual por medio de un
cable podemos conectarnos para administrar por línea de comando el IOS. Veanlo como
una forma de acceder al equipo sin la necesidad que el mismo router tengo un teclado,
mouse,ymonitorparapodermanipularlo.Utilizandounacomputadora,uncabledeconsola
yunsoftware(como“Putty”loveremosmásadelante)podemosconectarnosalequipopara
poder administrarlo. Usualmente esto se hace cuando el equipo estasinconfiguraciónya
quedelocontrariopodemosaccederlopormediodelprotocoloTelnetoSSHremotamente.
Hoy en día existen puertos USB para el acceso a la consola o puertos con una entrada
RJ-45(asíselellamaalconectorquesemuestraenlasiguienteimagen).
or lo que si por el momento no comprende algún nombre mencionado no se preocupe
p
másadelanteenellibrotenemosuncapítulosdonde
Interfacesdeconectividad:AligualquesucomputadoratieneunatarjetaderedNIC,los
routerstienenmúltiplesinterfaces.
Según el tipo derouter,elchasisdelmismo,estasinterfacespuedenvenirfijasdentrodel
chasisobienpuedensermodularesquesequitanyseponensegúnlanecesidad.
Las interfaces son de distintas velocidades como 10/100/1000 Mbps o10Gbpsasícomo
interfacesyacadavezmenosutilizadasllamadasserialesquetienenelsiguienteaspecto:
En la siguiente imagen podemos observar un módulo con interfaces Ethernetyasuvez
unosconectoresllamadosSFP(SmallForm-FactorPluggable)
Los SFPs son espacios para interfaces
convertibles según la necesidad.
PodemosconectarSFPsdefibraópticao
bien tambíen de cobre. Brindan mucha
flexibilidad.
Resumiendo existen muchos tipos de puertos e interfaces y estosvienenentrestiposde
formatosdentrodeunchasis:
● Puertos fijos: estos vienen dentro de la estructura del chasis y no pueden ser
modificados
● Modulares:Existenmuchostiposdemódulosaquíveremosdos:
○ WIC: Significa Wan Interface Card. Es un módulo más pequeño con 1 o 2
puertos
○ NIM: Network Interface Module. Estos son módulos más grandes, existen
hastade16puertospormódulo.
TiposdeRouter
En esencia todos los router hacen exactamente los mismo, enrutar tráfico (colocar el
paquete IP en la ruta correcta) desde el routercaserohastaelrouterdeunproveedorde
servicioloquecambiaeslacantidaddetráficoquesemaneja.
De ahí otras variantes como cantidad de puertos y funcionalidades específicas de cada
marca(algunostienenmásseguridadqueotros,inspeccióndetráfico,filtradodecontenido,
entreotros)
Ciscotieneclasificadoslostiposderoutersegúnelmercadoalquevadirigido:
Tomeunosminutosyvisitelasiguientepágina:
https://www.cisco.com/c/en/us/products/routers/index.html
Observelosdistintosmodelos.
Podrá ver que los routers grandes como los Edge tienen “line cards” o tarjetas y otros
modelos comolosfamososISR(IntegratedServicesRouter)quesonunchasisfijoacepta
módulosmáspequeñosestambiénconocidacomocapatres(porelmodeloOSI)
Capítulo12:IntroducciónalIOS
Hemosllegadoaloquemuchosquierenyes¡comenzaraconfigurar!Vamosaintroduciral
sistemaoperativoCisco
CiscoIOS
El sistema operativo Cisco IOS (Internetwork Operating System) es un sistema que
principalmente lo vamos administrar con una línea de comando o CLI (Command Line
Interface). Esto quiere decir que por medio de comandos el sistema operativo va a
responderaloqueejecutamos.
Losprimeroquedebemosaprenderelsistemaoperativoesqueexistenniveles:
ModosdefuncionamientodeCiscoIOS
Unavezqueuntécnicoderedseconectaaundispositivo,puedeconfigurarlo.Eltécnicodereddebe
navegaratravésdediversosmodosdelIOS.LosmodosdeCiscoIOSparalosswitchesylosrouters
sonmuysimilares.LaCLIutilizaunaestructurajerárquicaparalosmodos.
Enordenjerárquicodesdeelmásbásicohastaelmásespecializado,losmodosprincipalessonlos
siguientes:
● Mododeusuario(EXECdeusuario)
● Mododeejecuciónprivilegiado(EXECprivilegiado)
● Mododeconfiguraciónglobal
Otrosmodosdeconfiguraciónespecíficos,comoelmododeconfiguracióndeinterfaz
Cadamodotieneunapeticióndeentradadistintayseutilizapararealizartareasdeterminadascon
unconjuntoespecíficodecomandosqueestándisponiblessoloparaelmodoencuestión.Por
ejemplo,elmododeconfiguraciónglobalpermitequelostécnicosconfigurenlosparámetrosdel
dispositivoqueloafectanensuconjunto,comolaconfiguracióndelnombrededispositivo.Sin
embargo,serequiereunmododiferentesieltécnicodereddeseaconfigurarlosparámetrosde
seguridadenunpuertoespecíficodeunswitch,porejemplo.Enesecaso,eltécnicodereddebe
ingresaralmododeconfiguracióndeinterfazparaesepuertoespecífico.Todaslasconfiguraciones
queseintroducenenelmododeconfiguracióndeinterfazseaplicansoloaesepuerto.
LosdosmodosdefuncionamientoprincipalessonelmodoEXECdelusuarioyelmodoEXEC
privilegiado.Comocaracterísticadeseguridad,elsoftwareCiscoIOSdividelassesionesdeEXECen
dosnivelesdeacceso.ElmodoEXECprivilegiadotieneunmayorniveldeautoridadconrespectoalo
quepermitequerealicenlosusuarioseneldispositivo.
ModoEXECdelusuario
ElmodoEXECdelusuariotienecapacidadeslimitadas,peroesútilparaalgunasoperacionesbásicas.
ElmodoEXECdelusuarioseencuentraenelnivelmásbásicodelaestructurajerárquicamodal.Este
eselprimermodoqueseencuentraalentraralaCLIdeundispositivoIOS.
ElmodoEXECdelusuariopermitesólounacantidadlimitadadecomandosdemonitoreobásicos.A
menudoseledescribecomounmododevisualizaciónsolamente.ElnivelEXECdelusuariono
permitelaejecucióndeningúncomandoquepodríacambiarlaconfiguracióndeldispositivo.
Enformapredeterminada,noserequiereautenticaciónparaaccederalmodoEXECdelusuario
desdelaconsola.Sinembargo,siempreconvieneasegurarsedequeseconfigurelaautenticación
durantelaconfiguracióninicial.
ElmodoEXECdelusuariosepuedereconocerporlapeticióndeentradadelaCLIqueterminaconel
símbolo>.Esteesunejemploquemuestraelsímbolo>enlapeticióndeentrada:
Switch>
ModoEXECprivilegiado
Laejecucióndeloscomandosdeconfiguraciónyadministraciónrequierequeeladministradorde
redutiliceelmodoEXECprivilegiadoounmodomásespecíficoenlajerarquía.Estosignificaquelos
usuariosdebeningresarprimeroalmodoEXECdelusuarioy,desdeallí,accederalmodoEXEC
privilegiado.
ElmodoEXECprivilegiadosepuedereconocerporlapeticióndeentradaqueterminaconelsímbolo
#.
Switch#
Demanerapredeterminada,elmodoEXECprivilegiadonorequiereautenticación.Siempreconviene
asegurarsedequelaautenticaciónestéconfigurada.
Paraingresaralmododeconfiguraciónglobalyatodoslosdemásmodosdeconfiguraciónmás
específicos,esnecesarioentraralmodoEXECprivilegiado.Enunasecciónposterior,analizaremosla
configuracióndedispositivosyalgunosdelosmodosdeconfiguración.
Modoysubmodosdeconfiguraciónglobal
Solosepuedeingresaralmododeconfiguraciónglobalyalosmodosdeconfiguracióndeinterfaz
pormediodelmodoEXECprivilegiado.
Mododeconfiguraciónglobal
Elmododeconfiguraciónprincipalrecibeelnombredeconfiguraciónglobaloglobalconfig.Enel
mododeconfiguraciónglobal,serealizancambiosenlaconfiguracióndelaCLIqueafectanel
funcionamientodeldispositivoensutotalidad.Antesdeaccederalosmodosdeconfiguración
específicos,seaccedealmododeconfiguraciónglobal.
ElsiguientecomandodelaCLIseusaparacambiareldispositivodelmodoEXECprivilegiadoalmodo
deconfiguraciónglobalyparapermitirlaentradadecomandosdeconfiguracióndesdeunaterminal:
Switch#configureterminal
Unavezqueseejecutaelcomando,lapeticióndeentradacambiaparamostrarqueelswitchestáen
elmododeconfiguraciónglobal.
Switch(config)#
Modosdeconfiguraciónespecíficos
Enelmododeconfiguraciónglobal,elusuariopuedeingresaradiferentesmodosde
subconfiguración.Cadaunodeestosmodospermitelaconfiguracióndeunaparteofunción
específicadeldispositivoIOS.Lalistaquesepresentaacontinuaciónmuestraalgunosdeellos:
Mododeinterfaz:paraconfigurarunadelasinterfacesdered(Fa0/0,S0/0/0).
Mododelínea:paraconfigurarunadelaslíneasfísicasovirtuales(consola,auxiliar,VTY).
Parasalirdeunmododeconfiguraciónespecíficoyvolveralmododeconfiguraciónglobal,escriba
exit(salir)enlapeticióndeentrada.
ParasalircompletamentedelmododeconfiguraciónyvolveralmodoEXECprivilegiado,ingreseend
ouselasecuenciadeteclasCtrl-Z.
Indicadoresdelsistema
CuandoseusalaCLI,elmodoseidentificamediantelapeticióndeentradadelíneadecomandos
queesexclusivadeesemodo.Demanerapredeterminada,cadapeticióndeentradaempiezaconel
nombredeldispositivo.Despuésdelnombre,elrestodelapeticióndeentradaindicaelmodo.Por
ejemplo,lapeticióndeentradapredeterminadadelmododeconfiguraciónglobalenunswitchsería
lasiguiente:
Switch(config)#
Amedidaqueseutilizanloscomandosysecambianlosmodos,lapeticióndeentradacambiapara
reflejarelcontextoactual.
NavegaciónentrelosmodosdeIOS
CómoalternarentrelosmodosEXECdelusuarioyprivilegiado
Loscomandose nableyd isableseusanparacambiarlaCLIentreelmodoEXECdelusuarioyelmodo
EXECprivilegiado,respectivamente.
ParaaccederalmodoEXECprivilegiado,useelcomandoe nable.ElmodoEXECprivilegiadoen
ocasionessedenominamodoenable.
Lasintaxisparaingresarelcomandoe nablees:
Switch>enable
Estecomandoseejecutasinlanecesidaddeunargumentoounapalabraclave.Unavezquese
presionalateclaEntrar,lapeticióndeentradapasaaserlasiguiente:
Switch#
Elsímbolo#alfinaldelapeticióndeentradaindicaqueelswitchestáahoraenelmodoEXEC
privilegiado.
SiseconfigurólaautenticacióndecontraseñaparaelmodoEXECprivilegiado,elIOSsolicitala
contraseña
Porejemplo:
Switch>enable
Password:
Switch#
Elcomandod isableseusaparavolverdelmodoEXECprivilegiadoalmodoEXECdelusuario.
Porejemplo:
Switch#disable
Switch>
Comosemuestraenlailustración,loscomandosparaaccederalmodoEXECprivilegiadoypara
regresaralmodoEXECdelusuarioenunrouterCiscosonidénticosalosqueseutilizanenunswitch
Cisco.
Cómoalternarentreelmodoylossubmodosdeconfiguraciónglobal
ParasalirdelmododeconfiguraciónglobalyvolveralmodoEXECprivilegiado,introduzcael
comandoe xit.
Tengaencuentaque,alintroducirelcomandoe xitenelmodoEXECprivilegiado,lasesióndeconsola
finaliza.Esdecirque,alintroducire xitenelmodoEXECprivilegiado,aparecelapantallaqueseve
cuandoseiniciaunasesióndeconsola.Enestapantalla,sedebepresionarlateclaEntrarpara
ingresaralmodoEXECdelusuario.
Parapasardecualquiersubmododelmododeconfiguraciónglobalalmodoqueseencuentraun
nivelmásarribaenlajerarquíademodos,introduzcaelcomandoe xit.
ParapasardecualquiersubmododelmodoEXECprivilegiadoalmodoEXECprivilegiado,introduzca
elcomandoe ndopresionelacombinacióndeteclasCtrl+Z.Enlaimagen,semuestracómopasardel
mododeconfiguracióndeVLANalmodoEXECprivilegiadoutilizandoelcomandoe nd.
Parapasardecualquiersubmododelmododeconfiguraciónglobalaotrosubmodo“inmediato”de
dichomodo,solodebeintroducirelcomandocorrespondientequenormalmenteseintroduceenel
mododeconfiguraciónglobal.Enlailustración,semuestracómopasardelmododeconfiguración
delínea,S witch(config-line)#,almododeconfiguracióndeinterfaz,S witch(config-if)#,sintenerque
salirdelmododeconfiguracióndelínea.
EstructurabásicadecomandosdeIOS
LosdispositivosCiscoIOSadmitenmuchoscomandos.CadacomandodeIOStieneunasintaxiso
formatoespecíficoypuedeejecutarsesolamenteenelmodoadecuado.Lasintaxisgeneralparaun
comandoeselcomandoseguidodelaspalabrasclaveylosargumentoscorrespondientes.
Algunoscomandosincluyenunsubconjuntodepalabrasclaveyargumentosqueproporcionan
funcionalidadadicional.Loscomandosseutilizanparaejecutarunaacciónylaspalabrasclavese
utilizanparaidentificardóndeocómoejecutarelcomando.
Elcomandoeslapalabraolaspalabrasinicialesqueseintroducenenlalíneadecomandosa
continuacióndelapeticióndeentrada.Loscomandosnodistinguenmayúsculasdeminúsculas.A
continuacióndelcomandosiguenunaomáspalabrasclaveyargumentos.Unavezqueintroduzca
cadacomandocompleto,incluidoscualquierpalabraclaveyargumento,presionelateclaEntrarpara
enviarelcomandoalintérpretedecomandos.
Laspalabrasclavedescribenparámetrosespecíficosalintérpretedecomandos.Porejemplo,el
comandoshowseusaparamostrarinformaciónsobreeldispositivo.
Estecomandotienevariaspalabrasclavequedebenutilizarseparadefinirelresultadoespecíficoque
sedebemostrar.Porejemplo:
Switch#showrunning-config
Elcomandoshowvaseguidodelapalabraclaverunning-config.Lapalabraclaveespecificaquese
mostrarálaconfiguraciónenejecucióncomoresultado.
ConvencionesdeloscomandosdeIOS
Uncomandopodríarequerirunoomásargumentos.Adiferenciadeunapalabraclave,
generalmenteunargumentonoesunapalabrapredefinida.Unargumentoesunvalorounavariable
definidaporelusuario.Paradeterminarcuálessonlaspalabrasclaveylosargumentosrequeridos
parauncomando,consultelasintaxisdecomandos.Lasintaxisproporcionaelpatrónoelformato
quesedebeutilizarcuandoseintroduceuncomando.
Porejemplo,lasintaxisparautilizarelcomandodescriptioneslasiguiente:
Switch(config-if)#descriptionc adena
Comosemuestra,eltextoennegritaindicaloscomandosylaspalabrasclavequeseescribencomo
semuestran,yeltextoencursivaindicaunargumentoparaelqueelusuarioproporcionaelvalor.
Paraelcomandodescription,elargumentoesunvalordecadena.Elvalordecadenapuedeser
cualquiercadenadetextodehasta80caracteres.
Enconsecuencia,alaplicarunadescripciónaunainterfazconelcomandodescription,sedebe
introducirunalíneacomolasiguiente:
Switch(config-if)#descriptionS witchdeoficinacentral
Elcomandoesdescription,yelargumentodefinidoporelusuarioesSwitchdeoficinacentral.
Lossiguientesejemplosmuestranalgunasconvencionesutilizadaspararegistraryusarcomandosde
IOS.
Paraelcomandoping:
Sintaxis:
Switch>pingd irecciónIP
Ejemploconvalores:
Switch>ping1 0.10.10.5
Elcomandoesping,yelargumentodefinidoporelusuarioesladirecciónIP10.10.10.5.
Demanerasimilar,lasintaxisparaingresarelcomandotraceroutees:
Sintaxis:
Switch>tracerouted irecciónIP
Ejemploconvalores:
Switch>traceroute192.168.254.254
Elcomandoestraceroute,yelargumentodefinidoporelusuarioesladirecciónIP192.168.254.254.
ElIOSofrecevariasformasdeayuda:
● Ayudacontextual
● Verificacióndelasintaxisdelcomando
● Teclasdeaccesorápidoymétodosabreviados
Ayudacontextual
Laayudacontextualproporcionaunalistadecomandosylosargumentosasociadosconesos
comandosdentrodelcontextodelmodoactual.Paraaccederalaayudacontextual,introduzcaun
signodeinterrogación,?,encualquierpeticióndeentrada.Apareceunarespuestainmediatasin
necesidaddeutilizarlateclaEntrar.
Unodelosusosdelaayudacontextualesparalaobtencióndeunalistadeloscomandos
disponibles.Dichalistapuedeutilizarsecuandoexistendudassobreelnombredeuncomandoose
deseaverificarsielIOSadmiteuncomandoespecíficoenunmododeterminado.
Porejemplo,paraobtenerunalistadeloscomandosdisponiblesenelnivelEXECdelusuario,
introduzcaunsignodeinterrogación,?,enlapeticióndeentradaSwitch>.
Otrodelosusosdelaayudacontextualesvisualizarunalistadeloscomandosopalabrasclaveque
empiezanconunoovarioscaracteresespecíficos.Siseintroduceunsignodeinterrogación,sin
espacio,inmediatamentedespuésdeintroducirunasecuenciadecaracteres,elIOSmuestraunalista
decomandosopalabrasclaveparaelcontextoquecomienzanconloscaracteresintroducidos.
Porejemplo,introduzcash?paraobtenerunalistadeloscomandosquecomienzanconlasecuencia
decaracteressh.
Unúltimotipodeayudacontextualseutilizaparadeterminarquéopciones,palabrasclaveo
argumentoscoincidenconuncomandoespecífico.Alintroduciruncomando,introduzcaunespacio
seguidodeun?paradeterminarquépuedeodebeintroducirseacontinuación.
Comosemuestraenlailustración,despuésdeintroducirelcomandoclockset19:50:00,sepuede
introducirelsigno?paradeterminarlasdemásopcionesopalabrasclavedisponiblesparaeste
comando.
Verificacióndelasintaxisdelcomando
CuandoseemiteuncomandopresionandolateclaEntrar,elintérpretedelalíneadecomandos
analizalasintaxisdelcomandodeizquierdaaderechaparadeterminarquéacciónsesolicitó.En
general,elIOSsoloproporcionacomentariosnegativos.Sielintérpretecomprendeelcomando,la
acciónrequeridaseejecutaylaCLIvuelvealapeticióndeentradacorrespondiente.Sinembargo,si
elintérpretenopuedecomprenderelcomandoqueseingresa,mostraráuncomentarioque
describeelerrordelcomando.
Trestiposdistintosdemensajesdeerror:
● Ambiguouscommand(comandoambiguo)
● Incompletecommand(comandoincompleto)
● Incorrectcommand(comandoincorrecto)
Teclasdeaccesorápidoymétodosabreviados
LainterfazdelíneadecomandosIOSproporcionateclasdeaccesorápidoymétodosabreviadosque
facilitanlaconfiguración,elmonitoreoylaresolucióndeproblemas.
Merecelapenatenerencuentademaneraespeciallossiguientes:
● Flechaabajo:permitealusuariodesplazarsehaciadelanteatravésdeloscomandos
anteriores.
● Flechaarriba:permitealusuariodesplazarsehaciaatrásatravésdeloscomandosanteriores.
● Tabulación:completaelrestodeuncomandoodeunapalabraclavequeseescribió
parcialmente.
● Ctrl-A:setrasladaalcomienzodelalínea.
● Ctrl-E:setrasladaalfinaldelalínea.
● Ctrl-R:vuelveamostrarunalínea
● Ctrl-Z:saledelmododeconfiguraciónyvuelvealmodoEXECdelusuario.
● Ctrl-C:saledelmododeconfiguraciónocancelaelcomandoactual.
● Ctrl-Mayús-6:permitealusuariointerrumpirunprocesodeIOS,comopingotraceroute.
Análisismásdetalladodealgunosdeellos:
Tabulación
Latecladetabulaciónseutilizaparacompletarelrestodeloscomandosylosparámetros
abreviados,siemprequelaabreviaturacontengasuficientesletrasparadiferenciarsedecualquier
otrocomandooparámetroactualmentedisponible.
Cuandosehaingresadounapartesuficientedelcomandoolapalabraclavecomoparaquesean
únicos,presionelateclaTabylaCLImostraráelrestodelcomandoopalabraclave.
Estaesunabuenatécnicaparausarcuandoseestáaprendiendoporquepermiteverlapalabra
completautilizadaparaelcomandoopalabraclave.
Ctrl-R
Lafuncióndevolveramostrarlalíneaactualizalalíneaqueseacabadeescribir.UseCtrl-Rpara
volveramostrarlalínea.Porejemplo,puedeocurrirqueelIOSestéreenviandounmensajealaCLI
justocuandoseestáescribiendounalínea.PuedeusarCtrl-Rparaactualizarlalíneayevitartener
quevolveraescribirla.
Enesteejemplo,apareceenmediodeuncomandounmensajesobreunafallaenunainterfaz.
Switch#showmac-
16w4d:%LINK-5-CHANGED:InterfaceFastEthernet0/10,changedstatetodown
16w4d:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/10,changedstateto
down
Paravolveramostrarlalíneaqueestabaescribiendo,utiliceCtrl-R:
Switch#showmac
Ctrl-Z
EstacombinacióndeteclaspermitesalirdecualquiermododeconfiguraciónyvolveralmodoEXEC
privilegiado.DadoqueelIOStieneunaestructurademodosjerárquica,elusuariopuedeencontrarse
variosniveleshaciaabajo.Enlugardesalirdecadamodoenformaindividual,utiliceCtrl-Zpara
volverdirectamentealapeticióndeentradadeEXECprivilegiadoenelnivelsuperior.
Flechasarribayabajo
Lasteclasdecomandosanterioresrecuerdanelhistorialdecomandosintroducidos.ElsoftwareIOS
deCiscoalmacenatemporalmentevarioscaracteresycomandosanterioresdemaneratalquelas
entradaspuedanrecuperarse.Elbúferesútilparavolveraintroducircomandossintenerquevolver
aescribirlos.
Existensecuenciasclaveparadesplazarseatravésdeestoscomandosalmacenadosenelbúfer.Use
lateclaflechaarriba(Ctrl-P)paramostrarloscomandosintroducidosanteriormente.Cadavezquese
presionaestatecla,semostraráelsiguientecomandosucesivoanterior.Uselateclaflecha
abajo(Ctrl-N)paradesplazarsehaciadelanteenelhistorialymostrarloscomandosmásrecientes.
Ctrl-Mayús-6
Lasecuenciadeescapeinterrumpecualquierprocesoenejecución.Cuandoseiniciaunprocesodel
IOSdesdelaCLI,comounpingotraceroute,elcomandoseejecutahastaqueseterminao
interrumpe.Mientraselprocesoestáenejecución,laCLInoresponde.Parainterrumpirelresultado
einteractuarconlaCLI,presioneCtrl-Mayús-6.
Ctrl-C
Interrumpelaentradadeuncomandoysaledelmododeconfiguración,loqueresultaútildespués
deintroduciruncomandoquesenecesitacancelar.
Abreviacióndecomandosopalabrasclave
Loscomandosylaspalabrasclavepuedenabreviarsealacantidadmínimadecaracteresque
identifiquenunaselecciónúnica.Porejemplo,elcomandoconfigurepuedeabreviarseenconfya
queconfigureeselúnicocomandoqueempiezaconconf.Laabreviaturaconnodaráresultadoya
quehaymásdeuncomandoqueempiezaconcon.
Laspalabrasclavetambiénpuedenabreviarse.
Otroejemplopodríasershowinterfaces,quesepuedeabreviardelasiguientemanera:
● Switch#showinterfaces
● Switch#showint
Sepuedeabreviartantoelcomandocomolaspalabrasclave,porejemplo:
● Switch#shint
ComandosdeverificacióndeIOS
Paraverificaryresolverproblemasenlaoperacióndelared,debemosexaminarlaoperacióndelos
dispositivos.Elcomandobásicodeexameneselcomandos how.
Existenmuchasvariantesdiferentesdeestecomando.Amedidaqueelusuarioadquieramás
conocimientossobreIOS,aprenderáausareinterpretarelresultadodeloscomandoss how.Utilice
elcomandos how?paraobtenerunalistadeloscomandosdisponiblesenunmodoocontexto
determinado.
Uncomandos howtípicopuedeproporcionarinformaciónsobrelaconfiguración,elfuncionamiento
yelestadodelaspartesdeunswitchounrouterCisco.Enlailustración,sedestacanalgunosdelos
comandosdeIOSfrecuentes.
Uncomandos howdeusofrecuenteess howinterfaces.Estecomandomuestraestadísticasdetodas
lasinterfacesdeldispositivo.Paraverlasestadísticasdeunainterfazespecífica,introduzcael
comandos howinterfacess eguidodeltipodeinterfazespecíficoyelnúmeroderanuraodepuerto.
Porejemplo:
● Switch#showinterfacesfastethernet0/1
Algunosotroscomandoss howquelostécnicosderedutilizanconfrecuenciaincluyenlossiguientes:
● showstartup-config:m uestralaconfiguraciónguardadaubicadaenlaNVRAM.
● showrunning-config:m uestraelcontenidodelarchivodeconfiguraciónenejecuciónactual.
LapeticióndeentradaMore
Cuandouncomandodevuelvemásresultadosdelosquepuedenmostrarseenunasolapantalla,
aparecelapeticióndeentrada- -More--enlaparteinferiordelapantalla.Cuandoaparezcala
peticióndeentrada- -More--,presionelabarraespaciadoraparaverelsiguientetramodelresultado.
Paravisualizarsólolasiguientelínea,presionelateclaIntro.Sisepresionacualquierotratecla,se
cancelaelresultadoysevuelvealapeticióndeentrada.
Elcomandoshowversión
Unodeloscomandosdeusomásfrecuenteenunswitchounroutereselsiguiente:
Switch#showversion
EstecomandomuestrainformaciónsobrelaversióndeIOScargadaactualmente,ademásde
informaciónsobreelhardwareylosdispositivos.Siiniciósesiónenunrouterounswitchdemanera
remota,elcomandoshowversionesunmedioexcelenteparaobtenerrápidamenteunresumende
informaciónútilsobreeldispositivoespecíficoalcualestáconectado.Algunosdelosdatosquese
obtienenapartirdeestecomandosonlossiguientes:
● Versióndelsoftware:versióndelsoftwareIOS(almacenadaenlamemoriaflash).
● Versióndebootstrap:versióndebootstrap(almacenadaenlaROMdearranque).
● Tiempodeactividaddelsistema:tiempotranscurridodesdelaúltimavezquesereinició.
● Informacióndereiniciodelsistema:métododereinicio(porejemplo,apagadoyencendido,
colapso).
● Nombredelaimagendelsoftware:nombredelarchivodeIOSalmacenadoenlamemoria
flash.
● Tipoderouterytipodeprocesador:númerodemodeloytipodeprocesador.
● Tipoyasignacióndememoria(compartida/principal):memoriaRAMdelprocesador
principalyalmacenamientoenbúferdeE/Sdepaquetescompartidos.
● Característicasdelsoftware:protocolosyconjuntosdecaracterísticasadmitidos.
● Interfacesdehardware:interfacesdisponibleseneldispositivo.
● Registrodeconfiguración:estableceespecificacionesdearranque,laconfiguraciónde
velocidaddelaconsolayparámetrosrelacionados.
Enlafigura,semuestraelresultadoparaunISRCisco1941,yelresultadoparaunswitchCisco
Catalyst2960.
ConfiguracióndelnombredehostdeIOS
EnelmodoEXECprivilegiado,accedaalmododeconfiguraciónglobalintroduciendoelcomando
configuret erminal:
Switch#configureterminal
Despuésdequeseejecutaelcomando,lapeticióndeentradacambiaráa:
Switch(config)#
Introduzcaelnombredehostenelmododeconfiguraciónglobal,comosemuestraenlailustración:
Switch(config)#hostnameSw-piso-1
Despuésdequeseejecutaelcomando,lapeticióndeentradacambiaráa:
Sw-piso-1(config)#
Observequeelnombredehostapareceenlapeticióndeentrada.Parasalirdelmodode
configuraciónglobal,utiliceelcomandoe xit.
Nota:paradeshacerlosefectosdeuncomando,escribalapalabraclaven
oa ntesdelcomando.
Porejemplo,paraeliminarelnombredeundispositivo,utilice:
Sw-piso-1(config)#nohostname
Switch(config)#
Observequeelcomandon ohostnameprovocóqueelswitchvolvieraausarelnombredehost
predeterminado“Switch”.
Proteccióndelaccesoalosdispositivos
Lalimitaciónfísicadelaccesoalosdispositivosderedmediantesucolocaciónenarmariosy
bastidoresbajollaveesaconsejable;sinembargo,lascontraseñassonlaprincipaldefensacontrael
accesonoautorizadoalosdispositivosdered.Todoslosdispositivos,inclusolosroutersdomésticos,
debentenercontraseñasconfiguradasenformalocalparalimitarelacceso.Másadelante,se
presentarálaformadereforzarlaseguridadmediantelasolicituddeunnombredeusuariojuntocon
unacontraseña.Porahora,presentaremosprecaucionesdeseguridadbásicasmedianteelusode
contraseñasúnicamente.
Comosecomentóanteriormente,elIOSusamodosjerárquicosparacolaborarconlaseguridaddel
dispositivo.Comopartedeestecumplimientodeseguridad,elIOSpuedeaceptardiversas
contraseñasparapermitirdiferentesprivilegiosdeaccesoaldispositivo.
Lascontraseñasingresadasaquíson:
● Contraseñadeenable:limitaelaccesoalmodoEXECprivilegiado.
● Contraseñasecretadeenable:esunacontraseñaencriptadaquelimitaelaccesoalmodo
EXECprivilegiado.
● Contraseñadeconsola:limitaelaccesoalosdispositivosmediantelaconexióndeconsola.
● ContraseñadeVTY:limitaelaccesoalosdispositivosatravésdeTelnet.
Siempreconvieneutilizarcontraseñasdeautenticacióndiferentesparacadaunodeestosnivelesde
acceso.Sibiennoesprácticoiniciarsesiónconvariascontraseñasdiferentes,esunaprecaución
necesariaparaprotegeradecuadamentelainfraestructuradelaredanteaccesosnoautorizados.
Además,utilicecontraseñassegurasquenosedescubranfácilmenteElusodecontraseñassimpleso
fácilesdeadivinarcontinúasiendounproblemadeseguridadenmuchasfacetasdelmundo
empresarial.
Considereestospuntosclavecuandoelijacontraseñas:
● Usecontraseñasquetenganmásde8caracteres.
● Utiliceunacombinacióndeletrasmayúsculasyminúsculas,números,caracteresespecialeso
secuenciasnuméricasenlascontraseñas.
● Eviteelusodelamismacontraseñaparatodoslosdispositivos.
● Eviteelusodepalabrascomunescomocontraseñaoadministrador,porquesedescubren
fácilmente.
Nota:enlamayoríadelasprácticasdelaboratoriodeestecurso,seutilizancontraseñassimples
comociscooclass.Estascontraseñasseconsiderannosegurasyfácilesdeadivinar,ydebenevitarse
enunentornolaboral.Estascontraseñassoloseutilizanporcomodidadenelaulaoparailustrar
ejemplosdeconfiguración.
ProteccióndelaccesoaEXECprivilegiado
ParaprotegerelaccesoaEXECprivilegiado,utiliceelcomandoe nablesecretc ontraseña.Una
variaciónmásantiguaymenosseguradeestecomandoeselcomandoe nablepasswordc ontraseña.
Sibienpuedeutilizarsecualquieradeestoscomandosparaestablecerlaautenticaciónantesde
permitirelaccesoalmodoEXECprivilegiado(enable),serecomiendautilizarelcomandoenable
secret.Elcomandoenablesecretproporcionamayorseguridad,dadoquelacontraseñaestá
encriptada.
Comandodeejemploparaestablecercontraseñas:
Switch(config)#enablesecretclass
Elejemplodelailustraciónmuestraquenosesolicitaunacontraseñacuandoseutilizaelcomando
enableporprimeravez.Acontinuación,seconfiguraelcomandoenablesecretclass,yelaccesoa
EXECprivilegiadoahoraquedaprotegido.Observeque,pormotivosdeseguridad,lacontraseñano
semuestracuandoseintroduce.
ProteccióndelaccesoaEXECdelusuario
Elpuertodeconsoladedispositivosdereddebeestarasegurado,comomínimo,medianteelpedido
deunacontraseñaseguraalusuario.Asísereducenlasposibilidadesdequepersonalnoautorizado
conectefísicamenteuncablealdispositivoyobtengaaccesoaéste.
Lossiguientescomandosseusanenelmododeconfiguraciónglobalparaestablecerunacontraseña
paralalíneadeconsola:
Switch(config)#lineconsole0
Switch(config-line)#passwordcisco
Switch(config-line)#login
Enelmododeconfiguraciónglobal,seusaelcomandolineconsole0paraingresaralmodode
configuracióndelíneadelaconsola.Elceroseutilizapararepresentarlaprimera(yenlamayoríade
loscasoslaúnica)interfazdeconsola.
Elsegundocomando,passwordcisco,especificaunacontraseñaparalalíneadeconsola.
Elcomandologinconfiguraelswitchparaquerequieraautenticaciónaliniciarsesión.Cuandose
habilitaeliniciodesesiónyseestableceunacontraseña,sesolicitaalusuariodelaconsolaque
introduzcaunacontraseñaantesdedarleaccesoalaCLI.
ContraseñadeVTY
LaslíneasvtypermitenelaccesoaundispositivoCiscoatravésdeTelnet.Demanera
predeterminada,muchosswitchesCiscoadmitenhasta16líneasvtyquesenumerandel0al15.El
númerodelíneasvtyqueadmiteunrouterCiscovaríasegúneltipoderouterylaversióndeIOS.No
obstante,lacantidadmásfrecuentedelíneasvtyconfiguradasescinco.Estaslíneassenumerandel
0al4demanerapredeterminada,aunquesepuedenconfigurarlíneasadicionales.Esnecesario
establecerunacontraseñaparatodaslaslíneasvtydisponibles.Puedeconfigurarselamisma
contraseñaparatodaslasconexiones.Sinembargo,confrecuenciaconvieneconfigurarunaúnica
contraseñaparaunalíneaafindeproporcionarunrecursosecundarioparaelingresoadministrativo
aldispositivosilasdemásconexionesestánenuso.
Comandosdeejemploutilizadosparaestablecerunacontraseñaenlaslíneasvty:
Switch(config)#linevty015
Switch(config-line)#passwordcisco
Switch(config-line)#login
Demanerapredeterminada,elIOSincluyeelcomandologinenlaslíneasVTY.Estoimpideelacceso
aldispositivomedianteTelnetsinautenticación.Siporerrorseestableceelcomandonologin,que
eliminaelrequisitodeautenticación,personasnoautorizadaspodríanconectarsealalíneaatravés
delaredutilizandoTelnet.Estorepresentaríaunriesgoimportanteparalaseguridad.
Enlailustración,semuestralaproteccióndelaccesoaEXECdelusuarioenlaslíneasdeconsolaylas
líneasTelnet
Visualizacióndecontraseñasdeencriptación
Existeotrocomandodeutilidadqueimpidequelascontraseñasaparezcancomotextonocifrado
cuandosevisualizanlosarchivosdeconfiguración:setratadelcomandos ervice
password-encryption.
Estecomandoproveelaencriptacióndelacontraseñacuandoéstaseconfigura.
Elcomandos ervicepassword-encryptionaplicaunaencriptaciónmínimaatodaslascontraseñassin
encriptar.Estaencriptaciónsoloseaplicaalascontraseñasdelarchivodeconfiguración;noalas
contraseñasmientrasseenvíanatravésdelosmedios.Elpropósitodeestecomandoesevitarque
individuosnoautorizadosveanlascontraseñasenelarchivodeconfiguración.
Mensajesdeaviso
Aunqueelpedidodecontraseñasesunmododeimpedirelaccesoalareddepersonasno
autorizadas,resultavitalproveerunmétodoparainformarquesóloelpersonalautorizadodebe
intentarobteneraccesoaldispositivo.Parahacerlo,agregueunavisoalasalidadeldispositivo.
Losavisospuedenserunaparteimportanteenlosprocesoslegalesenelcasodeunademandapor
elingresonoautorizadoaundispositivo.Algunossistemaslegalesnopermitenlaacusación,yni
siquieraelmonitoreodelosusuarios,amenosquehayaunanotificaciónvisible.
Elcontenidoolaspalabrasexactasdeunavisodependendelasleyeslocalesydelaspolíticasdela
empresa.Acontinuación,semuestranalgunosejemplosdeinformaciónquesedebeincluirenun
aviso:
● “Elusodeldispositivoesexclusivodelpersonalautorizado”.
● “Esposiblequeseestécontrolandolaactividad”.
● “Seiniciaránaccioneslegalesencasodeusonoautorizado”.
Yaquecualquierpersonaqueintentainiciarsesiónpuedeverlosavisos,sedeberedactarelmensaje
cuidadosamente.Esinapropiadatodaredacciónqueimpliqueque"seacepta"o"seinvita"alusuario
ainiciarsesión.Siunapersonacausaproblemasenlaredluegodeobteneraccesonoautorizado,
serádifícilprobarlaresponsabilidadsihayalgúnindiciodeinvitación.
Lacreacióndeavisosesunprocesosimple;sinembargo,éstosdebenusarseenformaapropiada.
Cuandoseutilizaunaviso,estenuncadebeinvitaraunusuarioaldispositivo.Debeaclararquesólo
elpersonalautorizadotienepermitidoelaccesoaldispositivo.Asimismo,elavisopuedeincluir
cierresprogramadosdelsistemaydemásinformaciónqueafecteatodoslosusuariosdelared.
ElIOSproporcionavariostiposdeavisos.Unavisocomúneselmensajedeldía(MOTD).Con
frecuenciaseusaparanotificacioneslegalesyaquesevisualizaentodoslosterminalesconectados.
ConfigureelMOTDconelc omandobannermotddelmododeconfiguraciónglobal.
Elcomandob annermotdrequiereelusodedelimitadoresparaidentificarelcontenidodelmensaje
deaviso.Elcomandob annermotdvaseguidodeunespacioyuncarácterdelimitador.Luego,se
ingresanunaomáslíneasdetextopararepresentarelmensajedelaviso.Unasegundaocurrencia
delcarácterdelimitadordenotaelfinaldelmensaje.Elcarácterdelimitadorpuedesercualquier
caráctersiemprequenoaparezcaenelmensaje.Porestemotivo,amenudoseusansímboloscomo
"#".
LasintaxisparaconfigurarunMOTDenelmododeconfiguraciónglobaleslasiguiente:
Switch(config)#bannermotd#M ensaje#
Unavezquesehaejecutadoelcomando,apareceráelavisoentodoslosintentosposterioresde
accesoaldispositivohastaqueelavisoseelimine.
Elejemplodelailustraciónmuestraunanuncioconfiguradoconelsímbolodelimitador“#”.Observe
cómoapareceahoraelanunciocuandoseaccedealswitch.
Archivosdeconfiguración
ElarchivodeconfiguraciónenejecuciónreflejalaconfiguraciónactualaplicadaaundispositivoCisco
IOS.Contieneloscomandosutilizadosparadeterminarcómofuncionaeldispositivoenlared.La
modificacióndelaconfiguraciónenejecuciónafectaelfuncionamientodeundispositivoCiscode
inmediato.
Elarchivodeconfiguraciónenejecuciónsealmacenaenlamemoriadetrabajodeldispositivoo
memoriadeaccesoaleatorio(RAM).Estosignificaqueelarchivodeconfiguraciónenejecuciónestá
temporalmenteactivomientraseldispositivoCiscoestáenfuncionamiento(encendido).Sin
embargo,sisecortalaalimentaciónaldispositivooseloreinicia,sepierdentodosloscambiosde
configuración,amenosquesehayanguardado.
Despuésderealizarcambiosaunarchivodeconfiguraciónenejecución,tengaencuentaestas
distintasopciones:
● Volveralaconfiguraciónoriginaldeldispositivo.
● Eliminartodaslasconfiguracionesdeldispositivo.
● Convertirlaconfiguracióncambiadaenlanuevaconfiguracióndeinicio.
Elarchivodeconfiguracióndeinicioreflejalaconfiguraciónqueutilizaráeldispositivocuandoselo
reinicie.ElarchivodeconfiguracióndeiniciosealmacenaenNVRAM.Cuandoseconfiguraun
dispositivoderedysemodificalaconfiguraciónenejecución,esimportanteguardaresoscambios
enelarchivodeconfiguracióndeinicio.Estoevitaqueloscambiossepierdandebidoacortesde
energíaoaunreiniciointencional.
Antesdeasignarloscambios,useloscorrespondientescomandosshowparaverificarlaoperación
deldispositivo.Comosemuestraenlailustración,sepuedeutilizarelcomandoshowrunning-config
paraverunarchivodeconfiguraciónenejecución.
Cuandoseverificaqueloscambiossoncorrectos,utiliceelcomandocopyrunning-config
startup-configenlapeticióndeentradadelmodoEXECprivilegiado.Elcomandoparaguardarla
configuraciónenejecuciónenelarchivodeconfiguracióndeinicioes:
Switch#copyrunning-configstartup-config
Unavezqueseejecuta,elarchivodeconfiguraciónenejecuciónactualizaelarchivodeconfiguración
deinicio.
Siloscambiosrealizadosenlaconfiguraciónenejecuciónnotienenelefectodeseado,puedeser
necesariovolveralaconfiguraciónpreviadeldispositivo.Suponiendoquenosehasobreescritola
configuracióndeinicioconloscambios,sepuedereemplazarlaconfiguraciónenejecuciónporla
configuracióndeinicio.Lamejormaneradehacerloesreiniciandoeldispositivoconelcomando
reloada ntelapeticióndeentradadelmodoEXECprivilegiado.
Cuandoseiniciaunarecarga,elIOSdetectaráquelaconfiguraciónenejecucióntienecambiosque
noseguardaronenlaconfiguracióndeinicio.Apareceráunapeticióndeentradaparapreguntarsise
deseanguardarloscambiosrealizados.Paradescartarloscambios,ingresenono.
Apareceráotrapeticióndeentradaparaconfirmarlarecarga.Paraconfirmar,presioneEntrar.Sise
presionacualquierotratecla,secancelaráelproceso.
Porejemplo:
Switch#reload
Systemconfigurationhasbeenmodified.Save?[yes/no]:n
Proceedwithreload?[confirm]
*Apr1301:34:15.758:%SYS-5-RELOAD:Reloadrequestedbyconsole.ReloadReason:
ReloadCommand.
SystemBootstrap,Version12.3(8r)T8,RELEASESOFTWARE(fc1)
Soportetécnico:http://www.cisco.com/techsupport
Derechosdeautor©2004porCiscoSystems,Inc.
PLDversion0x10
GIOASICversion0x127
c1841processorwith131072Kbytesofmainmemory
Mainmemoryisconfiguredto64bitmodewithparitydisabled
Siseguardancambiosnodeseadosenlaconfiguracióndeinicio,posiblementeseanecesario
eliminartodaslasconfiguraciones.Estorequiereborrarlaconfiguracióndeinicioyreiniciarel
dispositivo.
Laconfiguracióndeinicioseeliminamedianteelcomandoerasestartup-config.
Paraborrarelarchivodeconfiguracióndeinicio,utilicee raseNVRAM:startup-configoerase
startup-configenlapeticióndeentradadelmodoEXECprivilegiado:
Switch#erasestartup-config
Unavezqueseemiteelcomando,elswitchlesolicitaconfirmación:
Erasingthenvramfilesystemwillremoveallconfigurationfiles!Continue?[confirm]
Confirmeslarespuestapredeterminada.Paraconfirmaryborrarelarchivodeconfiguraciónde
inicio,presionelateclaEntrar.Sisepresionacualquierotratecla,secancelaráelproceso.
Precaución:tengacuidadoalutilizarelcomandoerase.Estecomandopuedeutilizarseparaborrar
cualquierarchivodeldispositivo.ElusoincorrectodelcomandopuedeborrarelIOSmismouotro
archivoesencial.
Enunswitch,tambiénsedebeemitirelcomandod eletevlan.datademásdelcomandoe rase
startup-config,afindedevolvereldispositivoalaconfiguraciónpredeterminadainicial(similaraun
restablecimientodelaconfiguraciónpredeterminadadefábrica):
Switch#deletevlan.dat
Deletefilename[vlan.dat]?
Deleteflash:vlan.dat?[confirm]
Switch#erasestartup-config
Erasingthenvramfilesystemwillremoveallconfigurationfiles!Continue?[ confirm]
[OK]
Eraseofnvram:complete
Switch#
DespuésdeeliminarlaconfiguracióndeiniciodelaNVRAM(ydeborrarelarchivovlan.datenel
casodeunswitch),vuelvaacargareldispositivoparaeliminarelarchivodeconfiguraciónactualen
ejecucióndelaRAM.Eldispositivocargaráentonceslaconfiguracióndeiniciopredeterminadaque
seenvióoriginalmenteconeldispositivoenlaconfiguraciónenejecución.
D
ireccionamientoIPdedispositivos
ElusodedireccionesIP,yaseanIPv4oIPv6,eselprincipalmedioparapermitirquelosdispositivos
seubiquenentresíyparaestablecerlacomunicacióndeextremoaextremoenInternet.Dehecho,
encualquierinternetwork,lasdireccionesIPsonfundamentalesparaquelosdispositivosse
comuniquendeorigenadestinoyviceversa.
Interfacesypuertos
Lascomunicacionesdereddependendelasinterfacesdelosdispositivosparausuariosfinales,las
interfacesdelosdispositivosderedyloscablesquelasconectan.
Cadainterfazfísicatieneespecificacionesoestándaresqueladefinen.Loscablesqueseconectana
lainterfazdebenestardiseñadosparacumplirconlosestándaresfísicosdelainterfaz.Lostiposde
mediosderedincluyenloscablesdecobredepartrenzado,loscablesdefibraóptica,loscables
coaxialesylatecnologíainalámbrica.Losdiferentestiposdemediosderedtienendiferentes
característicasybeneficios.Notodoslosmediosderedtienenlasmismascaracterísticasnison
adecuadosparaelmismofin.
Algunasdelasdiferenciasentrelosdistintostiposdemediosincluyenlassiguientes:
● Ladistanciaatravésdelacuallosmediospuedentransportarunaseñalcorrectamente.
● Elentornoenelqueseinstalaránlosmedios.
● Lacantidaddedatosylavelocidadalaquesedebentransmitir.
● Elcostodelosmediosydelainstalación.
CadaenlacedeInternetnosolorequiereuntipoespecíficodemediodered,sinoquetambién
requiereunadeterminadatecnologíadered.Etherneteslatecnologíadereddeárealocal(LAN)de
usomásfrecuenteenlaactualidad.HaypuertosEthernetenlosdispositivosparausuariosfinales,en
losdispositivosdeswitchyenotrosdispositivosderedquesepuedenconectarfísicamentealared
medianteuncable.ParaqueuncableconectedispositivosmedianteunpuertoEthernet,estedebe
tenerelconectorcorrecto:unconectorRJ-45.
LosswitchesCiscoIOStienenpuertosfísicosalosquesepuedenconectarlosdispositivos,pero
tambiéncuentanconunaomásinterfacesvirtualesdeswitch(SVI,switchvirtualinterfaces).Son
interfacesvirtualesporquenohayhardwarefísicoeneldispositivoasociadoaellas;lasSVIsecrean
enelsoftware.Lainterfazvirtualproporcionaunmedioparaadministrarunswitchdemanera
remotaatravésdeunaredusandoIPv4.CadaswitchvieneconunaSVIqueapareceenla
configuraciónpredeterminadainicial.LaSVIpredeterminadaesinterfaceVLAN1.
ConfiguraciónlasinterfacesdeLAN
Paraquelosroutersseanaccesibles,sedebenconfigurarsusinterfaces.Porlotanto,parahabilitar
unainterfazespecífica,ingresealmododeconfiguracióndeinterfazconelcomandodelmodode
configuraciónglobalinterfacet ipo-y-número
Existen varios tipos de interfaces diferentes disponibles en los routers Cisco. En este ejemplo, el
router Cisco 1941 cuenta con dos interfaces Gigabit Ethernet y unatarjetadeinterfazWAN(WIC)
serialqueconstadedosinterfaces.Lasinterfacessedenominandelasiguientemanera:
● GigabitEthernet0/0(G0/0)
● GigabitEthernet0/1(G0/1)
● Serial0/0/0(S0/0/0)
● Serial0/0/1(S0/0/1)
Parahabilitarunainterfazdelrouter,configurelosiguiente:
● Dirección IPv4 y máscara de subred: configura la dirección IP y la máscara de subred
mediante el comando del modo de configuración de interfaz ip address dirección
máscara-de-subred.
● Activelainterfaz:demanerapredeterminada,lasinterfacesLANyWANnoestánactivadas.
Lainterfazsedebeactivarmedianteelcomandonoshutdown.Escomoencenderlainterfaz.
Lainterfaztambiéndebeestarconectadaaotrodispositivo(unhub,unswitchuotrorouter)
paraquelacapafísicaestéactiva.
Si bien no es necesario, es aconsejable configurar una descripción en cada interfaz para ayudara
registrarlainformacióndelared.Eltextodeladescripcióntieneunlímitede240caracteres.Enlas
redes de producción, una descripción puede ser útil para la resolución de problemas, dado que
suministrainformaciónconrespectoaltipoderedalaqueestáconectadalainterfazysihayotros
routersenesared.SilainterfazseconectaaunISPounproveedordeserviciosdetelefoníamóvil,
resultaútilintroducirlainformacióndecontactoydeconexióndedichosterceros.
Enlaimagen,semuestralaconfiguracióndelasinterfacesLANconectadasalR1.
Nota:paralaconfiguracióndeGigabitEthernet0/1seutilizanabreviaturasdecomandos.
Configuracióndeunainterfazvirtualdeswitch
Paraaccederalswitchdemaneraremota,sedebenconfigurarunadirecciónIPyunamáscarade
subredenlaSVI:
● DirecciónIP:juntoconlamáscaradesubred,identificaeldispositivofinalenlainternetwork
demaneraexclusiva.
● Máscaradesubred:determinaquépartedeunaredmásgrandeutilizaunadirecciónIP.
Porelmomento,semantendráelenfoqueenIPv4;másadelante,seexploraráIPv6.
Enlailustración,semuestraelcomandoparahabilitarlaconectividadIPdelS1medianteladirección
IP192.168.10.2:
● interfacevlan1: seutilizaparanavegarhastaelmododeconfiguracióndeinterfazdesdeel
mododeconfiguraciónglobal.
● ipaddress192.168.10.2255.255.255.0:configuraladirecciónIPylamáscaradesubreddel
switch(estaessolounademuchascombinacionesposiblesdeunadirecciónIPyuna
máscaradesubred).
● noshutdown:habilitaadministrativamenteelestadoactivodelainterfaz.
Unavezqueseconfiguranestoscomandos,elswitchtienetodosloselementosIPlistosparala
comunicaciónatravésdelared.
Nota:todavíasedebenconfigurarunoomáspuertosfísicosenelswitch,asícomolaslíneasVTY,
paracompletarlaconfiguraciónquepermitelaadministraciónremotadelswitch.
Practiquelaconfiguracióndeunainterfazvirtualdeswitchintroduciendocomandosenlailustración.
Pruebadelaasignacióndeinterfaz
Asícomoseutilizancomandosyutilidadesparaverificarunaconfiguracióndehost,tambiénse
utilizancomandosparaverificarlasinterfacesdedispositivosintermediarios.ElIOSproporciona
comandosparaverificarelfuncionamientodeinterfacesderouteryswitch.
Elcomandoess howipinterfacebrief
Resumen
LosroutersyswitchesenlosqueseutilizaCiscoIOSrealizanfuncionesdelascualesdependenlos
profesionalesderedparahacerquesusredesfuncionendelaformaesperada.
Engeneral,seaccedealosserviciosqueproporcionaCiscoIOSmedianteunainterfazdelíneade
comandos(CLI,command-lineinterface),alacualseaccedeatravésdelpuertodeconsola,elpuerto
auxiliaromedianteTelnetoSSH.UnavezqueseconectanalaCLI,lostécnicosderedpueden
realizarcambiosdeconfiguraciónenlosdispositivosCiscoIOS.CiscoIOSestádiseñadocomosistema
operativomodal,locualsignificaquelostécnicosdereddebennavegaratravésdediversosmodos
jerárquicosdelIOS.CadamodoadmitedistintoscomandosdelIOS.
LosroutersyswitchesCiscoIOSadmitensistemasoperativosmodalesyestructurasdecomandos
similares,asícomomuchosdelosmismoscomandos.Además,lospasosdeconfiguracióninicial
durantesuimplementaciónenunaredsonidénticosparaambosdispositivos.
Enestecapítulo,sepresentóCiscoIOS.SeexplicaronlosdiversosmodosdeCiscoIOSendetalleyse
analizólaestructurabásicadecomandosqueseutilizaparaconfigurarlo.Tambiénseexploróla
configuracióninicialdelosdispositivosdeswitchCiscoIOS,lacualincluyelaconfiguracióndeun
nombre,lalimitacióndelaccesoalaconfiguracióndeldispositivo,laconfiguracióndemensajesde
avisoyguardarlaconfiguración.
Capítulo13:Principiosdeenrutamiento
Paraestepuntodellibroyasabemoscomocrearsubredes,queunsegmentoseencapsula
dentrodeunpaqueteIP,sabemosqueunpaqueteIPtieneunadirecciónorigenydestino,
sabemosquesiunhostdeseasalirdesureddebeenviareltráficoalrouterpordefecto.
Es momento de saber que pasa cuando un paquete IP llega al router, es momento de
conocersobreenrutamiento.
Analogíadeenrutamiento
Ruta→Enrutar→Enrutamiento
Imagínese que ustedvacaminandoporlacalleysedetieneunapersonaenunautopara
preguntarleunadirección,
¿Pordondellegóalaplaya?
Si usted conoce la respuesta usted le va a indicar la ruta para llegar a su destino ysino
probablementeloapuntehaciaalgunlugaropersonaqueprobablementesiconozcalaruta.
Esdecirustedestácolocandoeseautomóvilenlarutacorrecta.
Lomismosucedeconunrouter.ElrouterrecibeunpaqueteIPyleeladirecciónorigen,la
funcióndelrouterescolocaralpaqueteIPenlamejorrutaparallegarasudestino.Alfinal
de cuentas la decisión termina en indicar por cuál interfaz debe salir ese paquete IP del
router.
Paraentendercómofuncionaelenrutamientoprimerodebemosentenderqueesunatabla
deenrutamiento.
Tabladeenrutamiento
Latabladeenrutamientoeslalistaderutasqueelrouterconoce.Basadoenestalistade
rutaselroutertomadecisionesdehaciadóndedirigeelpaqueteIPparapoderllegarasu
destino.
Estatabladeenrutamientosepuedealimentardevariasmaneras.
Rutasqueestándirectamenteconectadas:C uandoconfiguramosunadirecciónIPcon
sumáscaraderedenunrouterestamosconfigurandounasubred.Estasubredasuvezse
guardacomounarutadentrodelatabladeenrutamientocomo“ connected”e stoindica
queestádirectamenteconectada
Rutasestáticas:O tramaneradequeunrouterconozcalarutahaciaundestinoesqueuno
comoadministradorderedleconfigurelarutapormediode“rutasestáticas”
Protocolosdeenrutamientodinámico:L aterceraformadealimentarunatablade
enrutamientoespormediodeloquellamamosprotocolosdeenrutamiento.Estoesuna
formaenqueelrouteraprenderutasdeotrosroutersdeformadinámica.
Profundizaremosenlospróximoscapítuloscadaunadeestasformasdealimentarlatabla
deenrutamiento.
Iniciemosconlasrutasdirectamenteconectadas
Loqueconoceelrouterpordefecto
Creoquetodosconocemoselbarriodondecrecimos,podemosdecirqueestádirectamente
conectadoanosotrosporqueahímismocrecimos.
Noocupamosayudadenadieparapoderdirigirpersonaspornuestrobarrio.
Lomismosucedeconlasredesdirectamenteconectadasalrouter.
Elrouterposeeinterfaces,estasinterfacestienenconfiguradasdireccionesIPsbasadasen
subredesasignadasalasinterfaces(segúnhemosaprendidoenelsubneteo)
Analicemos el escenario anterior. Tenemos 3 routers cuyos nombres representan 3
ciudadesdeCostaRica,elpaísquemeviocrecer,Alajuela,HerediaySanJosé.
CadaroutertieneunaredLAN:
● AlajuelatienelaLAN192.168.10.0/24.ElrouterAlajuelaensuinterfazqueconecta
la LAN tiene asignada la ip 192.168.10.1 y la computadora tiene la IP
192.168.10.55/24coneldefaultgateway192.168.10.1
● Heredia tienelaLAN192.168.20.0/24.ElrouterHerediaensuinterfazqueconecta
la LAN tiene asignada la ip 192.168.20.1 y la computadora tiene la IP
192.168.20.70/24coneldefaultgateway192.168.20.1
● San José tiene la LAN 192.168.30.0/24. El router San José en su interfaz que
conecta la LAN tiene asignada la ip 192.168.30.1 y la computadora tiene la IP
192.168.30.108/24coneldefaultgateway192.168.30.1
LuegoexistedosWAN:
● WAN 1 entreelrouterdeAlajuelayHeredialacualtienelasubred172.16.20.0/30.
Esta subred tiene asigada la IP 172.16.20.1 para la interfaz WAN de el router
AlajuelaylaIP172.16.20.2paralainterfazWANdelrouterdeHeredia.
● WAN2entreelrouterdeHerediaySanJosélacualtienelasubred172.16.30.0/30.
Esta subred tiene asigada la IP 172.16.30.1 para la interfaz WAN de el router
HerediaylaIP172.16.30.2paralainterfazWANdelrouterdeSanJosé.
Capítulo14-OSPF
Enelcapítuloanteriorestudiamoscómoesqueelrouterescapazdellevarunpaqueteasu
destino,tomandodecisionesbasadasensutabladeenrutamiento.
Estudiamos2tiposdeenrutamiento:enrutamientoestáticoyenrutamientodinámico.
Elenrutamientoestáticoe scuandolasrutassoninsertadasmanualmenteporel
administradoralatabladeenrutamiento,estoquieredecirqueelmantenimientodelas
rutasdependedeladministradordelared,sihayalgúncambioenlaredounenlacefalla,
hayqueesperarqueeladministradorrealiceelcambiodelasrutas.
Encambioele nrutamientodinámicoe scuandolasrutassoninsertadasdinámicamente
porunprotocolo.Elprotocolodeenrutamientodinámicoeselqueseencargadeagregar,
eliminarymantenercadaruta.Siunsegmentodelaredfalla,elmismoprotocolose
encargadebuscarotrarutaalternayactualizarlaenlatabladeenrutamiento.
Siemprequeocurrauninconvenienteconunarutanoesnecesariolaintervencióndel
administradordelared,paraestoseencargaelprotocolodeenrutamientodinámico.
Otradelaventajadelosprotocolosdeenrutamientodinámicoesqueestosprotocolos
tratandebuscarlarutamáscortaparallegaraldestino.
Aunquehayvariosprotocolosdeenrutamientodinámicoenestecursosóloestudiaremos
OSPF,queeselúnicoprotocolodeenrutamientodinámicoincluidoenlacertificaciónCCNA
200-301.
OpenShortestPathFirst
OSPFesunprotocoloLinkState,cadaroutercorreOSPFypormediodelintercambiode
mensajelogranconstruirsutabladeenrutamiento.
ElfuncionamientodeOSPFesdelasiguientemanera:
CuandounrouterempiezaacorrerOSPF,losroutersempiezanamandarmensajesHello
paradescubriraotrosrouterqueesténcorriendoOSPF,estossonllamadosVecinos.
Paraque2routerssehaganvecinostienequecumplirunaseriederequisitos,estolo
veremosmásadelante.
Unavezelrouterencuentraaunvecinoycompruebanquecumpleconlosrequisitoslo
almacenaensuN eighborTable.
Ahoralosvecinosempiezanaintercambiarinformación,empiezanacompartirtodaslas
rutasqueellosconocen,todasesasrutasrecibidasporsusvecinossonguardadasenuna
tablaespecialllamadaT opologyTable,estavaaposeertodalatopologíadelared,todos
losenlacesyrutas.
Yaunavezelrouterrecibiórutasdeotrosvecinoscomienzaelsiguientepaso,yesescoger
lasmejoresrutasdelatablaTopologyTable.
PararealizarestatareaOSPFimplementaelalgoritmoDijkstrallamadoSPF,dicho
algoritmousacomométricaelCosto,elcualparaescogerlamejorrutahaceunasumatoria
detodoslosCostosdelosenlacequehayquecruzarparallegaraldestino,elcostoestá
relacionadoconelanchodebanda.
Yaunavezdeterminacualessonlasmejoresrutas,lasalmacenaenlaR outingTable,esta
eslatablaqueusaelrouterparatomarlasdecisionesdeenrutamiento.
CaracterísticasdeOSPF
•OSPFesCLASSLESSypermiteSUMMARIZATION
•Rápidaconvergencia
•Protocoloestándar
•Conservaelanchodebanda
•ConsumemuchamemoriayCPU
•Necesitaundiseñojerárquico
•UtilizaSPF(Dijkstra)
•UsaTriggeredUpdates
•UsaPeriodicUpdates(OSPFcada30min)
TérminosdeOSPF
EnOSPFtenemosvariostérminos:
Área:O SPFtrabajaconáreas,unáreaesdondetodoslosroutersposeenunatopologíaen
común,todaslasáreastienenqueestarconectadasconelárea0obackboneArea0.
BackboneArea:U naáreaespecialdeOSPFqueconectacontodaslasdemásáreas.
InternalRouter:S onlosroutersquepertenecenaunaúnicaárea.
AreaBorderRouter(ABR):S onrouterquepertenecenavariasárea,tienenalmenos1
interfazenelárea0y1omásinterfacesconectadasaotraárea.
AutonomousSystemBoundaryRouter(ASBR):RoutersqueconectanconotroAS.
Otrotérminoimportanteatenerencuentaes:
AutonomousSystem(AS): esunaredbajoelcontroladministrativodeunasola
organización.Porejemplo,unaredcreadaypagadaporunasolaempresaes
probablementeunsoloAS.Otrosejemplosincluyengrandesdivisionesdeunestadoo
gobiernonacional,dondediferentesagenciasgubernamentalespodríanconstruirsus
propiasredes.CadaISPtambiénsueleserunúnicoASdiferente.
TopologyInformationandLSA
LosroutersqueutilizanOSPFdebenanunciarasusvecinostodolosdetallesqueconozcan
delared,yelprotocoloOSPForganizadichainformacióndelatopologíautilizandoLSA
(LinkStateAdvertisement)yLSDB(link-statedatabase).
CadaLSAesunaestructuradedatosconinformaciónespecíficadelaredyelLSDBes
simplementelacoleccióndetodoslosLSAconocidosporelrouter.
RouterID
ElrouterIDesunadirecciónipde32bitsqueidentificaalrouterdentrodelprocesode
OSPF,vienesiendoalgoparecidocomounnombreparapoderidentificarlosrouter.
Cuando2routersehacenvecino,esenuevovecinoseguardaenTopologyTableconsu
RouterID.
Elrouteridesusadoenelprocesodelaeleccióndeunrouterdesignadoyunrouter
backup.
EnOSPFv2podemosasignarlemanualmenteunrouterID,aunqueestoesopcional,yaque
sidecidimosnoasignarleunrouterid,elroutersevaaencargardeautoasignarseunodela
siguientemanera:
Sinoseleconfiguramanualmenteelrouterid,elrouterutilizalaipdeladirecciónLoopback
másalta.
Sielrouternotieneinterfazloopbackconfigurada,entoncesescogelaipdelainterfazfísica
másalta.
OSPFHelloProtocol
LosroutersparaconocerodescubrirnuevosvecinosutilizanmensajesHello,queesto
funcionaparecidocuandotemudasaunanuevacasayconocesnuevosvecinos,cuandote
encuentrasconunodeesosvecinostepuedesacercar,saludaryaprenderelnombredela
persona,deestamaneratunuevovecinotepuedecontarunpocosobreelvecindarioyasí
pocoapocovasconociendomásgenteyconociendomástunuevohogar.
ConOSPFesigual,unrouterenvíaunmensajedesaludoparaconocerotrosrouterOSPF,
aprendersunombre,queenestecasoseríasuRouterID,yconocermássobrelaredala
quepertenece.
LosmensajesHellonosolamentesirveparaconocernuevosvecinos,sinotambiénpara
mantenerlarelacióndevecino.
Unavezsehacompletadoconéxitolarelacióndevecino,cadaroutervaaestar
monitoreandoasuvecinoutilizando2temporizadores:HelloIntervalyDeadInterval.
Pordefectocada10segundossevanaestarenviandomensajeshello,ysiunrouteren40
segundosnorecibeunmensajehellodesuvecino,eserouterasumequesuvecinofallóy
secortalarelación.
LosmensajesHellovaacontenerlossiguientescampos:
FuncionamientodeOSPF
AcontinuaciónvamosairviendoelfuncionamientodeOSPFcuandoseactivaenunrouter.
DOWNSTATE
CuandounrouterempiezaacorrerOSPF,elrouterseencuentraenestadodeDownState.
EnesteprimerestadoelroutervaadeterminarsuRouterID,luego,agregalasinterfacesa
labasededatosdeLinkStatedeterminadasporelcomandonetworkyempiezaamandar
mensajesHellopordichasinterfaces.
MientraselrouternorecibaningúnHelloconsideraquesuvecinoestádown.
INITSTATE
ElsiguienteestadoiniciacuandoelrouterrecibeunmensajeHello,aquílosrouterseestán
saludandoperoantesdehacersevecinosnecesitanverificarquecumplenlosrequisitos
parahacersevecinos.
Enlavidarealparaquenospodamoshacervecinodealguien,loprimeroesqueambas
personastienenquevivirenelmismobarrioocalle.Yonopuedoservecinodealguienque
vivaenChinasisoydeCostaRica.
Ensegundolugar,parapoderestablecerunarelacióndevecinonecesitosaberquemi
vecinoesdeconfianzayesquiendiceser.
Paraque2routerspuedanhacersevecinostienequehacermatchenlassiguientevariable:
● Hello/DeadInterval
● Netmask
● Area
● AuthenticationPassword
Silosvecinosnocoincidenconunodeestospuntos,nosecrealarelacióndevecino.
Silosvecinoscoincidenentodoslospuntosantesmencionados,secrealarelaciónde
vecinoysecontinúaconelsiguientepaso.
2WAYSTATE
ElrouterenvíaunHellodevueltayelvecinoverifica:Yasomosvecinos?
SiyasonvecinossereiniciaelDeadInterval
SiNOsonvecinosseagregaesenuevovecino.
EXSTARTSTATE
EnesteestadoesdondecomienzaelintercambiodeinformaciónysecomparteelLSDB,
primeroseeligeelRDyBDRyseestableceunarelacióndeMaster/Slave,elrouterconel
RouterIDmásaltoseconvierteenelMasteryvaaserelencargadodeiniciarel
intercambio.
ElMasterenvíaelDataBaseDescription.
LOADINGSTATE
ElDataBaseDescriptionesunapequeñadescripcióndeloqueelroutercontiene,este
DBDseenviaalvecinoyelvecinorevisacualessonlasrutasquenotieneymandaa
solicitarleaquellasrutasquenotiene.
● Slavepidedetallesdeunared(LinkStateRequestLSR)
● MasterenvíaUPDATES(LinkStateUpdateLSU)
● Masterpidedetallesdeunared(LinkStateRequestLSR)
● SlaveenvíaUPDATES(LinkStateUpdateLSU)
LSAContieneinformaciónespecíficadelared,yunLSUesuncontenedordevariosLSA.
FULLSTATE
Yaunavezseintercambiantodainformación,yalosrouterestánsincronizados.
OSPFCost
OSPFutilizacomométricaelcosto,estecostoestárelacionadoconelanchodebanda.
DesignatedRouterenenlacesEthernet
OSPFsecomportademaneradiferenteenalgunostiposderedes.
Enelsiguienteescenariodondetodoslosrouterseencuentraenunamismared,como
todossonvecinosdetodosyparaevitarquesecreeundesordenenelintercambiode
información,OSPFeligeunRD(DesignatedRouter)quesevaaencargardecontrolarlas
lasactualizacionesyunBDR(BackupDesignatedRouter)quevaaestarencasodequeel
RDfalleelBDRtomeelcontrol.
ElDRvaaserelrouterquetengalaprioridadmásalta,sihayempate,desempataconel
RouterID.
DRTransmiteen224.0.0.5ylosdemásen224.0.0.6.
ConfiguracióndeOSPF
ParaconfigurarOSPFlovamoshacerdelasiguientemanera:
entramosalmododeconfiguraciónglobal
Routerenable
Router>configt
LuegocreamoselprocesodeOSPFyleasignamosunnúmerodeProceso
Router(config)#routerospf100
PodemosasignarleunrouterID(Estoesopcional)
Router(config-router)#r outer-id1.1.1.1
Yporúltimoanunciamoslasredes,colocamoselcomandon etwork,laipdelainterfaz,la
Wildcardyeláreaalaquepertenece:
Router(config-router)#n etwork192.168.0.10.0.0.0area0
Comandosdeverificación:
Router#showiprouteospf
Router#showipprotocolos
Router#showipinterfacebrief
Router#showipospfinterface
Router#showipospfneightbors
EnelsiguientecapítulohablaremosconmásdetallelaconfiguraciónyveremoslaWildcard,
pormediodeunlaboratorio.
Capítulo15-OSPFAvanzado
VamosavanzandohaciaunacomprensióndeOSPFmásavanzada.Yquemejormanerade
comprender a detalle cada aspecto de OSPF (evaluado dentro del CCNA yunpocomás
allá)queconunlaboratorio.
En el siguiente laboratorio guiado vamos a ir configurando una topología con OSPF y
revisaremoslosiguiente:
● ConfiguraciónbásicadelprotocoloOSPF
● Configuracióndelrouterid
● Configuracióndelassubredes
○ Configuracióndentrodelcomando“routerospf”conel“networkcommand”
○ Configuraciónalternativadentrodelainterfaz
● ConfiguracióndeOSPFMultiplearea
● Revisióndecomandosshow
○ showospfneighbors
○ showiproute
○ showipprotocols
○ showipospfdatabase
○ showipospfinterface
● AnalisisdeDRyBDR
● Comando“passiveinterface”
● Configuracióndeungateway
● Configuracióndehelloydeadintervals
● Sumarizaciónderutas
Comencemos
EscenarioOSPF
Tenemoselsiguienteescenario(solicitararchivoytopologíadepackettracerasuprofesor
deVLA)
Tenemoselsiguientesubneteo:
OSPFAREA172.16.0.0/16
Red Subred Interfaz IP
BostonSe0/1/0 172.16.1.2/30
NewYorkSe0/1/1 172.16.2.2/30
NewYorkSe0/1/0 172.16.3.2/30
BostonPC 172.16.4.2/24
OrlandoGig0/0/0 192.168.1.2/24
MiamiGig0/0/0 192.168.1.3/24
MiamiPC 192.168.2.2/24
OrlandoPC 192.168.3.2/24
Plantilladeconfiguraciónbásicadeequipos
ComohemosvenidotrabajandoenVLAutilizamosplantillasdeconfiguraciónparala
configuracióndelosequipos,estasplantillaslaspuedenobtenerennuestrositiowebocon
suprofesordeVLA.
AquícolocaremoselejemplodelaplantilladeconfiguraciónbásicaparaelrouterdeNew
Jerseyyresaltaremosloquedebencambiarporrouter
enable
configt
hostnameN ew_Jersey
enables ecretc isco
linec on0
passwordc isco
login
linev ty0 4
passwordc isco
login
exit
bannerm otd# S
olop ersonalA utorizado#
end
wrm em
Plantilladeconfiguracióndeinterfaces
Estaplantillapuedevariarsegúneltipoynúmerodeinterfaz,solodebeajustarloasu
escenarioespecífico
RouterNewJersey
New_jersey(config)#
interfaces erial0 /1/0
descriptionc onexionW ANh
aciaB oston
ipa
ddress1 72.16.1.12 55.255.255.252
nos
hut
interfaces erial0 /1/1
descriptionc onexionW ANh
aciaN ewY ork
ipa
ddress1 72.16.3.12 55.255.255.252
nos
hut
interfaceG ig0 /0/0
interfaceG
ig0/0/0
descriptionconexionE
thernetO
SPFW
AN
ipa
ddress1
92.168.1.3255.255.255.0
nos
hut
interfaceG
ig0/0/1
descriptionconexionL
ANM
iami
ipa
ddress1
92.168.2.1255.255.255.0
nos
hut
RouterOrlando
Orlando( config)#
interfaceG ig0 /0/0
descriptionc onexionE thernetO
SPFW
AN
ipa
ddress1 92.168.1.22 55.255.255.0
nos
hut
interfaceG ig0 /0/1
descriptionc onexionL ANO
rlando
ipa
ddress1 92.168.3.12 55.255.255.0
nos
hut
PlantilladeOSPF
ParalaconfiguracióndeOSPFtenemos3elementos:
● ElnúmerodeprocesoOSPF.Esenúmeropuedeserdiferenteparacadarouterpero
poruntemadeordenserecomiendautilizarelmismo
● RouterID:elrouterIDsepuedeconfigurarconelcomandor outer-idobienel
routerpuedeelegirlaIPmásaltadeunainterfazloopbackolaIPmásaltadeun
interfazfísicasinitieneunaloopbackconfigurada.LarecomendacióndeVLAes
utilizarelcomandor outer-idy aqueeslomásordenado.Asuvezcrearunasubred
paraasignarlosrouterids.
● AgregarlasinterfacesalprocesodeOSPF.Estosepuedehacerdedosmaneras,
utilizandoelcomandon etworkobienconfigurandoelcomandoipospfprocess-id
area#.Ambassonbuenaprácticasyacontinuaciónmostraremosambasmaneras.
Elarea0lovamosaconfigurarconelnetworkcommandyelarea1conelcomando
dentrodelainterfaz
RouterNewJersey
New_Jersey(config)#
routero
spf1
router-id1
.1.1.1
network1
72.16.1.10.0.0.0a
rea0
network1
72.16.3.10.0.0.0a
rea0
network1
72.16.5.10.0.0.0a
rea0
Routerboston
Boston( config)#
routero spf1
router-id1 .2.2.2
network1 72.16.1.20 .0.0.0a
rea0
network1 72.16.2.10 .0.0.0a
rea0
network1 72.16.4.10 .0.0.0a
rea0
Routerboston
New_York( config)#
routero spf1
router-id1 .3.3.3
network1 72.16.2.20 .0.0.0a
rea0
network1 72.16.3.20 .0.0.0a
rea0
exit
interfaceG ig0 /0/0
ipo
spf1 a
rea1
RouterMiami
Miami( config)#
routero spf1
router-id1 .4.4.4
exit
interfaceG ig0 /0/0
ipo
spf1 a
rea1
interfaceG ig0 /0/1
ipo
spf1 a
rea1
RouterOrlando
Orlando( config)#
routero spf1
router-id1
.5.5.5
exit
interfaceG
ig0
/0/0
ipo
spf1
a
rea1
interfaceG
ig0
/0/1
ipo
spf1
a
rea1
Observacionesdelaconfiguraciónanterior
LoqueacabamosdehaceresconfigurarelprocesodeOSPFeincluirdentrodelproceso
deOSPFlasinterfaces.
Debemosagregartodaaquellainterfazquedeseamosqueparticipedentrodelprotocolo
OSPF.
CadainterfazqueagregamosloquehaceesqueparticipedentrodelprocesodeOSPFy
estoactivalosiguiente:
● Quesecomienceaenviarmensajesde“Hello”dentrodelainterfazactiva
● QueseagreguelasubredconfiguradaalainterfazalatopologíadeOSPF
permitiendoqueotrosroutersconozcancómollegaraestasubred.
Loanterioresimportantetenerloclarodebidoaqueporquealgunosestudiantesconfunden
queporagregarelcomando“n etwork”e stoyagregandounasubredysuelenconfundir
estoycolocantodalassubredesaúnaquellasquenoestándirectamenteconectadasenel
router.Estoesunerrorcomúnynodebemoshacerlo.
Elcomandon etworkloquehaceesquebuscadentrodelrouterinterfacesquese
encuentrandentrodelrangoqueseconfiguró.Alhacermatchagregaestainterfazdentro
delprocesodeOSPF.
ElWildcardloexplicaremosmásadelanteenelcursocuandoveamoseltemadelistasde
acceso.Porelmomentopodemosindicardeunamanerafácil(peronotécnica)queesel
contrariodelamáscaradered.
Sitenemoslared192.168.1.0255.255.255.252elcontrarioconlawildcardsería
192.168.1.00.0.0.255
Comoseobservaeselcontrarioalamáscaradered.estoloquevaaproduciresqueel
routervaairabuscarinterfacesconunaipenunrangode192.168.1.1ala192.168.1.254
Cuandocolocamoselwildcardcontodos0s.
192.168.1.10.0.0.0
Eselequivalenteaunamáscara255.255.255.255porendenodarangosinolaIPquese
colocaporloquealcolocar1 92.168.1.10.0.0.0e lroutervadirectoabuscarlaIPsinrango.
Estonospareceunaformamuysencilladeconfigurarparanoestarpensandoenelcambio
delaswildcardssegúnlasubred.Adicionalqueagregamoscadainterfazdeformaindividual
porloquesideseamosquitarlainterfazsoloeliminamoselcomando.
Elcomandoejemploipospf1area1esbastantesencillo,elprimernúmeroequivaleel
númerodeprocesodelrouteryelsegundoalnúmerodeáreadelainterfaz.
PodemosobservarelcasodelrouterdeNewYorkelcualposeeunainterfazenelárea0y
unainterfazenelárea1.EstosignificaqueelrouterNewYorkeselpuenteentreambas
áreasyseconocecomoABR(AreaBorderRouter)
EsteroutertendrádentrodesubasededatosLSDBtodalatopologíadeambasáreas.
Comandopassiveinterface
CuandoincluimoslasinterfacesenelprotocoloOSPFinmediatamenteseenvialos
mensajesdehello.Estopuedeserinnecesarioenalgunasinterfacessinovamosatenerun
vecinodeOSPF.
Existeuncomandoqueevitaqueseenvíenlosmensajeshello
passive-interfacegigabitEthernet0/0/0
Estecorreodeshabilitaelenvíodelosmensajesdehello.Tambiénexisteotraformade
hacerloyesconelsiguientecomando
defaultpassive-interface
Estedeshabilitaentodaslasinterfacesyparahabilitarlasinterfacesdondesisevahacer
negamoselcomandoconelcomandoconelsiguiente:
nopassive-interfacegigabitEthernet0/0/0
Acontinuaciónvamosadeshabilitartodaslasinterfacesqueestaconectadasalasredes
LANlascualesnonecesitanlosmensajesdehello
RouterNewJersey
New_Jersey(config)#
routero spf1
passive-interfaceg igabitethernet0 /0/0
RouterBoston
Boston(config)#
routero spf1
passive-interfaceg igabitethernet0 /0/0
RouterMiami
Miami( config)#
routero spf1
passive-interfaceg igabitethernet0 /0/0
RouterOrlando
Orlando( config)#
routero spf1
passive-interfaceg igabitethernet0 /0/0
Comandodefault-informationoriginate
Otrocomandoimportanteeseldepoderdistribuirunarutapordefectoatodalatopología
dered.
ParaestoenelcasodenuestroescenarioelrouterdeBostonestáconectadoaloque
representaelproveedordeservicio.
EsterouterdeBostonlevamosaconfigurarunarutaestáticaapuntandoalISP.
Paraevitarquecadarouternecesitedeunaconfiguracióndeunarutapordefectoseutiliza
elcomando
default-informationoriginate
Incluiremoslasiguienteconfiguraciónenelrouterboston
RouterBoston
Boston(config)#
ipr oute0 .0.0.00 .0.0.0200.200.200.1
routero spf1
default-informationo riginate
AhoralosotrosroutersrecibiránunarutapordefectoindicandoqueBostoneselrouterpara
lasalidaaInternet.
Comandosshow
Unavezrealizadalaconfiguraciónejecutecadaunodeestoscomandosyanalicesutabla
deenrutamiento,larelacióndevecinos,loquehayenlabasededatosdeOSPF.
Paracadarouterejecuteyanalice
● showiproute(muestralatabladeenrutamiento)
● showipospfneighbors
● showipprotocols
● showipospfdatabase
● showipospfinterface
Comandoshelloydeadinterval
Porúltimoalgoqueadicionalmentepodemosconfigurareselhelloydeadintervalenlas
interfacesdelosrouters
Elhellointervaldurauntiempopordefectoquevaríapor cadainterfaz.Estetiempopuede
serconfigurado.
Lomismoeldeadintervalelcualeseltiempoquevaaesperarelroutersinrecibir
mensajesdehellodelvecinoparadeterminarqueelvecinoestacaido.
Usualmenteesde3a4veceseltiempodelhellointerval.
Importanteesquesilosvecinosnotienenconfiguradoelmismohelloydeadinterval
nopuedenservecinos
EjecutelasiguienteconfiguraciónenlosroutersdeNewJerseyyBostonparaprobaresto
Boston(config)#
interfaces erial0 /1/0
ipospfh ello-interval2
ipospfd ead-interval6
New_Jersey(config)#
interfaces erial0 /1/0
ipospfh ello-interval2
ipospfd ead-interval6
Ejecuteluegoelcomandoshowipospfinterfacesparacorroborarelcambio.
Capítulo16-EnlacedeDatos
Bienvenidosybienvenidasalacapadeenlacededatostambiénconocidacomocapados
(porelmodeloOSIyelprotocoloTCP/IP)
Analicemos que tenemos nuestro proceso de
encapsulamientohastallegaralacapa2
● La capa de aplicación en utiliza un
protocoloparacomunicarlosdatos.
● Estos datos se encapsulan en un
segmento donde se coloca un puerto
origen (número de conversación) y un
puertodestino(Aplicacióndestino).
● Este segmento se encapsula en un
paquete IP el cual tiene una dirección IP
origenyunadirecciónIPdestino.
Ahora tenemos que enviar ese paqueteIPporle
mediofísicoperonossurgeunapregunta.
¿Cómoenviarlosiexistentantostiposdemediosfísicos?
PreparandoalpaqueteIPparasertransportadoporelmediofísico
Existenmuchostiposdemediosfísicos,pormencionaralgunos:
● CableEthernet(CablepartrenzadoUTP).
● CableModem(Cablecoaxial).
● DSL(LíneatelefónicaRJ-11)
● 3G,4G,5G.
● Wireless.
● Bluetooth.
● EnlaceSatelital.
● Enlaceserial.
● Fibraóptica.
Estossonapenasalgunosejemplosperopodemosindicarquenoeslomismotransportar
datospormediodeWirelessaquepormediodeCableModem.Unoesunmediodecobre
queutilizaelectricidadparatransmitirdatosyelotrosonondasinalámbricasutilizando
diferentesfrecuencias.
Laformaenqueambosmediosfísicossecomportansontotalmentediferentesyporende
laformadecontrolarcadamediodebeserespecífica.
LaC apadeEnlacedeDatosloquehaceesquepreparalapaqueteIPparaser
transportadoporelmediofísico.
EncapsulaelpaqueteIPenunatramalacualposeeencabezadoycola:
DependiendodelenlacefísicoporelcualsevaatransportarelpaqueteIPseutilizaun
protocolodelacapa2quebrindarlasinstruccionesdecómotransmitirdatosporlemedio
físico.
Esasinstruccionesseacomodanenloscamposdelencabezadoycoladelatramapor
mediodeprotocolosdelacapadeenlacededatos.
ElprotocolomásfamosoeimportanteeselprotocoloEthernet,estéestandarizadoporla
IEEE conlanormativa802.3.
Loscambiossegúnelprotocolovaríanperoengeneralpodemosverenlasiguientegráfica
loscamposmáscomunes:
Elencabezado:Indicaeliniciodelatrama,asícomoeldireccionamientodecapa2y
demásinstruccionescomolacalidaddeservicio.
Cola:L acolaseencargabásicamentedelcontroldeerrores,esdecirdeterminarsilatrama
llegósinerroresasudestino.Adicionalmenteindicacuandoterminalatrama.
FuncionesdelaCapa2
● Encapsularydesencapsularlastramas:E steconceptoesimportanteyun
ejerciciodeestoserealizarámásadelanteenellibro.Desdequeseacreael
paqueteIPencapa3estenuncacambia,sinembargocuandohablamosdetramas,
secreaunatramaporcadasegmentodered.Yaseaquellegueaunrouterelcual
tienequedesencapsularlatramaparaleerladirecciónIPencapa3ocuandoocurre
uncambiodeprotocolodecapa2comoporejemplocuandopasamosdewirelessa
cableado.
● Detectarerroresenelmediodetransmisión:Enlacoladelatramaseutilizan
mecanismosparadeterminarsiexistióunerroraltransmitirlatrama.
● Controlarelaccesoalmedio:E stosedacuandotransmitimosenunmediode
accesocompartidocomoporejemplolasredesinalámbricasoredesEthernetHalf
Duplex(másadelanteveremosesto),lacapa2seencargadecontrolarelmedio
físicoydeterminacómosetrasmiteenesemedio
NOTA:Unmediocompartidoesunmediofísicodondemúltiplesdispositivospueden
transmitirenformasimultáneaporquecompartenesemediofísicosinembargosolo
undispositivoalavezpuedetransmitir.Lasredesinalámbricassonunmedio
compartido.
Subcapasdelacapadeenlacededatos
Lacapa2irónicamentesedivideen2subcapas:
● LLCoLogicalLinkControl:E stasubcapaeslaquetomaelpaqueteIPylo
encapsuladentrodelatrama.Asuvezidentificaelprotocolodelacapadered(sies
IPv4oIPv6).dd
● MACoMediaAccessControl:E stasubcapaestárelacionadaconelmediofísicoy
conelpuertodesalidayelprotocolodecapa2autilizarparatransmitirporese
mediofísico.Definelasreglasdecómosevaatransmitirenunmediofísico.D efine
eldireccionamientodelacapa2.
Estándaresyprotocolosdecapa2
AdiferenciadelosprotocolosdelascapassuperioresdelconjuntoTCP/IP,losprotocolos
decapadeenlacededatosgeneralmentenoestándefinidosporlapeticióndecomentarios
(RFC).Existendiferentesorganismosdeestandarizaciónquehancreandoprotocolosdela
capa2:
• InternationalOrganizationforStandardization(ISO);
• InstituteofElectricalandElectronicsEngineers(IEEE);
• AmericanNationalStandardsInstitute(ANSI);
• InternationalTelecommunicationUnion(ITU)
Otroprotocoloimportantedecapa2eselPPPoPointtoPointProtocole
lcuales
utilizadoparaestablecerunaconexióndirectaentredosnodosdeunared.Estesíestá
definidoporyestandarizadoeneldocumentoRFC1661.
Capítulo17-FundamentosdeEthernet
Capítulo17-FundamentosdeEthernet
AlolargodelosañoshanexistidodiferentestiposdeLAN(LocalAreaNetwork),perohoy
endíaexisten2principalestipos:EthernetLANyWirelessLAN.
ConEthernetLANutilizamoscablesparaconectarlosdiferentesequiposyconWireless
LANseusalasfrecuenciasderadiocomomediodecomunicación,unadelasmás
comunessonlasredesWifi.
Apartirdelcapítulo24estaremoshablandounpocomássobrelasredesinalámbricas.
EnestecapítulonoscentraremosenlatecnologíadeEthernet.
Ethernet
CuandohablamosdeEthernetnosreferimosaunafamiliadeestándaresdeCapa2quea
lolargodelosañoshanvenidoevolucionando,estosestándaresestándefinidosporla
IEEE(InstituteofElectricalandElectronicsEngineers)estableciendoeltipodecableado,los
conectoresdeextremoaextremo,lasreglasdelprotocoloytodolonecesarioparacrear
unaEthernetLAN.
En1972EthernetfuecreadoporelDrRobertMetcalfydistribuidoporXerox.
Apartirde1973Ethernetfueestandarizadocon10Mbsypocoapocofueronapareciendo
nuevastecnologíaslograndoalcanzarvelocidadesdehasta400Gb.
TecnologíaEthernet
LaIEEEhadefinidolosdiferentesestándaresutilizandonomenclatura,elnombreformal
iniciaríacon802.3seguidodeunaletra.
Tambiénestablecetérminoparapoderespecificaraúnmás,dondeespecificalavelocidady
eltipodecablequeseutiliza,porejemplo:
10BASE-T E lprimervalorindicalavelocidad,enestecasoserefiereaEtherneta10Mb
porsegundo,luegosigueBASEyalfinaltenemosunaletraqueespecificaeltipode
cable(siesUTPincluyeunaTosiesFibraunaX).
Sobreestetemaloveremosconmásdetallesenelcapítulodelacapafísica,únicamente
vamosaverlosdiferentesestándaresdeethernetysuvelocidades.
EthernetData-LinkProtocols
Comosehaestudiadoencapítulosanterioressehavistoelprocesodeencapsulaciónpor
cadaunadelascapas,desdequelosdatossonentregadosalacapadeaplicación,lacapa
detransportelossegmentaydesdeacácomienzalaencapsulaciónagregandouna
cabeceraTCPoUDP,luegolacapaderedigualagregasupropiacabecera.
Unavezlacapaderedlepasaelpaquetealacapadeenlacededatos,estaeslaúnica
capaqueleagregaunaCabeceraalinicioyuntraileralfinal.
LatramaEthernetestácompuestadelossiguientescampos:
● Preamble:( 7Bytes)S incronización
● StartFrameDelimiter(SFD):( 1Bytes)SignificaqueenelsiguienteBytesinicialos
camposdedireccionesMAC.
● DestinationMACAddress:( 6Bytes)DirecciónMACdeldestino.
● SourceMacAddress:( 6Bytes)DirecciónMACdelqueenvíaestatrama
● Type:( 2Bytes)Defineeltipodeprotocolocontenidoenlatrama,enlamayoríade
loscasosIPv4oIPv6.SiesIPv4llevaelcódigode0800,enelcasodeIPv6es
86DD.
● DataandPad:( 46–1500Bytes)Contienelosdatosdecapasuperior,esimportante
recordarquelastramastienenqueteneruntamañomínimode46Bytes,delo
contrariotendríamosrunts(tramasmenoresa46Bytes),silatramatieneunvalor
mínimoa46Bytes,seleagregarelleno.
● FrameCheckSequence(FCS)(4Bytes)=C ampoparaverificarsilatrama
contieneerrores.
EthernetAddressing
Lasdireccionesdecapas2sondireccioneshexadecimalde48bit,conocidascomo
direccionesMAC,quejueganunpapelmuyimportantedentrodelatramaEthernet.
ElemisorcolocasudirecciónMACAddressenelcampoSourceAddressycolocala
direcciónMACdeldestinatarioenelcampoDestinationAddress.
LadirecciónMACAddressrepresentaunaúnicaNIC(NetworkInterfaceCard),quieredecir
queporcadaNICvamosatenerunadirecciónMACúnica.
ParalograrobtenerdireccionesMACúnicaslaIEEEasignaacadamanufacturadorun
códigode3bytesconocidocomoOUI(organizationallyuniqueidentifier),deestamanera
cadaequipovaatenerdireccionesúnicas.
Puedevalidarestoporustedmismorevisandolasdireccionesmacdesucomputadora.
PuedeabrirlaconsolaCMD(Windows)yescribir:ipconfig/all,conestecomandosele
mostrarálainformacióndecadaNICquetienesuequipotantodelatarjetaWificomodela
Ethernet.
Lesaldráalgoasí:
LadirecciónMACaddressutilizadaparaeltráficodebroadcastesFFFF.FFFF.FFFF
HalfDuplexyFullDuplex
Otrostérminosimportantesaconocersonlodeduplex.
HalfDuplex:losequipossolopuedenhacerunafunciónalavez:transmitirorecibir.
Lacomunicaciónsolosehaceenunsentido.
FullDuplex:losequipospuedenestarenviandoinformaciónyalmismotiemporecibiendo
información.
CSMA/CD
EnlasprimerasaparicióndeEthernetcon10MbteníamosconexionesHalfDuplexdonde
dondeseutilizabaunHubparaconectarcadaequipo(Todavíanoexistíanlosswitchscomo
loconocemoshoyendía).
EstosHUBteníanunfuncionamientodistintoaldeunswitch,cuandoelHUBrecibeuna
señaleléctricaporunpuertoloquevahaceresrepetirlaportodoslosdemáspuertos
exceptoporelquelarecibió.ElHUButilizaestándaresdecapa1,porlotantoes
consideradocomoundispositivodeCapa1.
EnestetipodeescenariodondetenemosconexionesHalfduplexexistelaposibilidadde
que2omásdispositivosintententransmitiralmismotiempo,yalhacerestolosdatos
“chocan”enotraspalabrascolisionan.
Unacolisiónsedacuandovariosequiposintentantransmitiralmismotiempopor
conexionesHalfduplex.
Imagínenseunaciudadsinseñalesdetránsito,seríauncaosyaquelosvehículosalllegar
aunaesquinanosedetendríanypasaríandepasodandolaposibilidadqueotrovehículo
colisioneconeste.
Estomismopasaenlasredes,ylacapadeenlaceeslaresponsabledecontrolarelacceso
almedio.
Paraevitarestetipodecolisiones,seimplementaunmecanismollamadoCSMA/CD
CSMA/CD(Carriersensemultipleaccesswithcollisiondetection)esunmecanismoqueva
adefinircomolosdispositivosvanautilizarelpuerto.
● Sieldispositivovaaenviarunatrama,primeramentevaaverificarqueelmedioestá
libre,estoesalgoparecidocomounvehículoquellegaalaesquinayhayunaseñal
deSTOP,elvehículovaadetenerseyverificarsinovieneningúnvehículo,siestá
librelavíapasa.
● Sielmedioestáocupado,esperauntiempoaleatorioparavolveraintentarlo.
● Pasadoeltiempoaleatoriovuelveaprobarsiestálibreelenlace,siestálibre
transmite.
● Siseproduceunacolisión,ambosdispositivosvanaesperaruntiempoaleatorio
paravolveraintentarlo.
Capítulo18-Operaciónyconfiguraciónde
Switches
Unavezqueyahemosaprendidocuálessonlasfuncionesbásicasquetieneunswitch,es
momentodeaprenderaconfigurarlo ycomprenderfuncionesmásavanzadas.p
VLANS
VLANsoVirtualLANsesunasegmentaciónlógicaquesehacedentrodeunswitch.
Paracomprenderladefiniciónanteriorvamosaverelsiguienteejemplo:
Actualmenteloquesabemosesquesiyodeseoseparartráficolodebohacercreando
subredes.Elpuntoesquecadasubredessupropiodominiobroadcastyporende
necesitamosundefaultgatewayparaqueestepuedesalirdesupropiasubred,esdecir
cadasubrednecesitadeunainterfazdecapa3(unrouter)parapoderenrutareltráfico.
Pensemosvariasdeficienciasdeesteescenario:
● Noesmuyescalable,porcadasubredseocupaunainterfazenelrouter¿ysi
tenemos100subredes?ocuparemos100interfacesenelroutersoloparapoder
interconectarlassubredes.
● Otroescenariodedeficienciaseriaconlautilizacióndepuertosenlosswitches.
Supongasequeenelescenarioanteriorcadaswitchesde24puertosytenemosla
siguientecantidaddehost:
○ 4hostseneldepartamentodeRecursosHumanos
○ 10hostseneldepartamentodeVentas
○ 20hostseneldepartamentodeProducción
Ahoraresultaquesedebencontratar6personamáseneldepartamentodeproducción
perononosalcanzalospuertosenelswitchdeproducción.
Enesteescenariononosquedaríaotramásquecomprarotroswitchparacompensarlos
puertosadicionalesmientrasenotrosdepartamentoslessobrapuertos.
Estasproblemáticaslassolucionamoscon2elementos:
● VLANs
● Puertostrunk
LasV LANstomanunswitchypuededividirlopordecirlodealgunamaneraenswitches
virtuales.
Veamoselmismoescenarioconunswitchde48puertos.
Esteswitchanivellógicopodemosdividirloen:
● VLAN1paraelDepartamentodeRecursosHumanosyasignarle8puertospor
ejemplodelpuerto1al8.
● VLAN2paraelDepartamentodeVentasyasignarle12puertos,porejemplodel
puerto8al20.
● VLAN3paraeldepartamentodeproducciónyasignarle28puertos,porejemplodel
21al48.
Tendríamosunescenarioasí:
Comoseobservaelswitchde48puertossedividelógicamenteenVLANsalascualesa
cadaVLANseleasignapuertos,estospuertossellamanP UERTOSDEACCESOlos
cualesledanaccesoaunaVLAN.
Esimportanteverqueestoesunasegmentaciónanivellógicoperorepresentael
mismofuncionamientocomosifuera3switchestotalmenteseparadosporendese
presentanlassiguienterestricción:
● LasVLANsnosepuedencomunicarentresínoquenecesitanunrouterque
puedaenrutareltráficoentreambasVLANs.EsdecirunpuertoenlaVLAN1
nosepuedecomunicarconunpuertoenlaVLAN2.
AúnennuestroescenarioanteriortenemosunaproblemáticayesqueporcadaVLAN
seguimosrequiriendodeunpuertodeaccesoporVLANparaconectarloalrouter,estono
esescalable.
LasoluciónaesteescenarioesconunpuertoTrunkopopularmentellamadopuertotroncal
elcualtienecomofunciónprincipaleldepoderpasarvariasVLANsporunmismopuerto.
Nuestroescenarioquedaríaas:
Podemosobservardequeenlugardeutilizar3interfacesseutilizasolounainterfazelcual
esunpuertotroncal.Enelrouterseconectadeigualmaneraaunaúnicainterfazfísicayse
creasubinterfaceslógicasporcadaVLAN.
Eldetalledelassubinterfacesobservadasenelrouterseexplicaenelpróximo
capítulo.
ConfiguracióndeVLANs
LasVLANsseidentificanporunnúmero,adicionalmenteacadaVLANselepuedeasignar
unnombreexceptolaVLAN1lacualsiempretieneelnombrede“ default”
Númerode Rango Uso
VLAN
1 Normal ● EslaVLANpordefecto.
● Sunombrees“default”
● Nosepuedeeliminar
● Unswitchconsuconfiguracióninicialtienetodos
suspuertosasignadosalaVLAN1.
Comoseobservalaconfiguraciónessimple.SimplementeseseccionaelnúmerodeVLAN
yopcionalmente(peromuyrecomendado)configurarelnombredeloquerepresentala
VLAN.
LacreacióndelaVLANnosignificaqueyatengapuertosasignados.Estosedeberealizar
aparte.
Conelsiguientecomandopodemosobservarelestatusdelasvlanscreadasdentrodel
switchylospuertosqueestánasignados
Acontinuaciónunejemplodelaejecucióndecomandos:
Configuracióndepuertosdeacceso
LospuertosdeaccesosonaquellosquelebrindanaccesoaunaVLAN.
CadapuertoalcualyoquieroasignarunaVLANdebodeingresardentrodelainterfazy
configurarelaccesoalaVLAN.
Elcomando“s witchportmodeaccess”c olocalainterfazenmododeacceso.Estose
explicarámásadelantecuandoseveamoselprotocoloDTP
Aquíunejemplodeconfiguración:
PuertosTrunk
UnpuertotroncalseutilizaparapoderpasartramasdedistintasVLANsatravésdeun
únicopuerto.
EsmuyimportantecomprenderqueesloqueenvíanlosswitchesEthernetysontramas:
LastramapornaturalezanoindicanaquéVLANperteneceyestoestábiensiemprequelas
tramasseantransmitidasdentrodelospuertosdeacceso.
PorloquesivamosarevolverenunsolopuertotramasdedistintasVLANsesnecesario
poderdiferenciarlaVLANorigen.
Paraestoexistenlosprotocolostroncales:
● ISL:InterSwitchLink,eselprotocolopropietariodeCiscoelcualyaesobsoletosin
embargodebidoaunagranbaseinstaladadeequiposqueaúnlosoportandebemos
estudiarloenestelibro.
● IEEE802.1Q:E steeselprotocolosoficialdelaIEEE(InstituteofElectricaland
ElectronicsEngineersoElInstitutodeIngenieríaEléctricayElectrónica).Esteesel
protocoloestándarqueutilizanlosswitcheshoyendía.Sunombrepopularesd ot1q
elcualesunabreviadodelingléspuntounoqo“dotoneq”refiriéndosealos
últimoscaracteresdelprotocolo.
E
stosprotocolosleagreganunaetiquetaalatramaEthernetconelnúmerodeVLANpara
quecadatramapuedaserdiferenciadentrodelpuertotroncal.
Enestelibroprofundizaremosúnicamenteenelfuncionamientoded ot1q
PuertosTrunk
EsteprotocolostomalatramaEthernetyleagregaunaetiquetaconelnúmerodeVLAN
entreladirecciónorigenyelcampodetype/lenght
DebidoaquesemodificalatramasedeberecalcularelFCS(framechecksequence)
Estaetiquetaúnicamenteesparatransportarlatramaenelpuertotroncal.Unavezel
switchdestinorecibelatramayleelaetiqueta,eliminalamodificaciónrealizadaporel
protocolotroncalycolocalatramaenlaVLANcorrectasinlaetiquetaensuestadooriginal.
Estoesmuyimportanteporquelosdispositivosfinalescomocomputadorasnosoportanel
protocolo802.1qporendesirecibenunatramaconlaetiquetadelaVLANnoentenderían
latramayladescartarían.
Elejemploanteriormuestracomodosswitchesquetienendispositivosconectadosa
puertosdeaccesoenlaVLAN10ylaVLAN20puedencomunicarsepormediodelpuerto
troncal.
Durantelatrasmisiónenelpuertotrunklatramallevalaetiqueta,luegoesremoviday
continúasucaminosinelVLANtag.
Lomismosucedecuandocolocamosunpuertotrunkhaciaunrouterparaenrutareltráfico:
ElrouterCiscoymuchasroutersdeotrasmarcassoportand ot1qporloquepuedenleer
queunatramavienedelaVLAN10.SielpaqueteIPvacondestinoalaVLAN20entonces
elroutercreaunatramadentrodelpuertotrunkconlaetiquetadelaVLAN20ycondestino
alamacaddressdelhostfinal(segúnelescenarioanterior)
Configuracióndepuertostrunk
Paralaconfiguracióndeunpuertotroncalexisten2escenarios:
● SielswitchsoportalosdosprotocolostrunkISLyDot1q(usualmenteswitchesmás
viejosdeCisco)
● SielswitchsolosoportaDot1q.
Ladiferenciaestáenquesielswitchsoportaambosprotocolosdebemosdeincluirprimero
uncomandoparaseleccionarelprotocolotrunkantesdeconvertiralpuertoentrunk
Comandosparaswitchesquesolosoporta802.1q
Comandosparaswitchesquesoportanambosprotocolos
VLANnativa
Dentrodelprotocolo802.1qexisteunacaracterísticaespecialysellamalaVLANnativa.
LaVLANlanativaeslaúnicaVLANquesetrasmitepormediodelpuertotrunkynollevala
etiquetadel802.1q
SoloexisteunaúnicaVLANnativaporpuertoyestadebeserlamismaenambosextremos
delenlace
TramadeVLANnativa
TramadeVLANetiquetada
¿PorqueexistelaVLANnativa?
AntesexistíanunosequipossimilaresalosswitchesllamadosHUBs.EstosHubsson
repetidores“tontos”queúnicamenterepetíantodoloqueingresabaenunainterfazlo
repetíaenelrestodelasinterfaces.
¿Cualeraelproblema?Elproblemasedaparaelsiguienteescenario:
CuandotenemosunHubenmediodedosswitchesusando802.1qsiyoenviotráfico
etiquetado,elhubvaarepetirentodassusinterfacesenlasconelVLANtagylas
computadorasconectadasalhubnosoportanesto.
PorloquesecreólaVLANnativacomounamaneradeenviartráficoalosdispositivosque
estabanconectadosalhubypodercomunicarnos.
HoyendíaloshubssonunareliquiayyanoseutilizanennuestrasredesperolaVLAnla
nativasigueexistiendoporloqueesimportantecomprenderla
Algunosaspectosimportantes:
● LaVLAN1eslaVLANnativapordefectoentodoslosswitches.
● EnunenlacetrunksedebetenerlamismaVLANnativaenambosextremosdel
enlacedelocontrarioprovocaráproblemasenlareddebidoaqueestamosuniendo
dosVLANsdistintasenunmismodominiobroadcast.
ConfiguracióndelaVLANnativa
SideseacambiarlaVLANnativasepuedehacerconelsiguientecomando
Mejoresprácticas
PordefectocuandosehabilitaunpuertotrunkenunequipoCiscosepermitenelpasode
todaslasVLANs.
UnabuenaprácticaesladehabilitarlasVLANsqueúnicamentedeseamospasar.Estopara
quetráficoinnecesariocomobroadcasttheotrasVLANsnopasenporestospuertosy
consumananchodebanda
ResumendefuncionamientodelasVLANs
LasVLANssonunasegmentaciónlógicaquesehacenenlosswitches.Graciasalos
puertostrunkpodemosllevaresassegmentacioneslógicasavariosswitchesdividiendolas
subredesdeunaformaeficiente:
DynamicTrunkingProtocol
Ahoraqueentendemoscomofuncionalospuertostrunkylospuertosdeaccesovamos
hablardeunprotocoloqueincluyóCiscoconelpropósitodequeseamásfácilunaauto
configuración
Enlaimagenanteriortenemosdostiposdepuertos:
● Puertosdeacceso
● Puertostrunk
CiscocreoDTPparaquedeformaautomáticaelpuertopuedanegociarsiseconvierteen
unpuertodeaccesooenunpuertotrunk.
NOTA:ComomejorprácticaVLArecomiendasiempreconfigurardeformamanualel
mododelpuertoynodejarloalanegociacióndeVTP.Sinembargoestoespartedela
materiadelexamendeCCNA.
¿CómofuncionaDynamicTrunkProtocol?
ElfindelDTPeselpoderformarpuertotrunkentredosswitchesCisco.DTPvaaenviar
mensajesdeunpuertoaotro paraintentarformarunpuertotrunk.
Unaanalogíaescomoqueambospuertossepregunten
Puerto1:¿Heyustedquiereserunpuertotrunk?Yosíquiero
Puerto2:Hola,siyoquieroserunpuertotrunksiustedquiere asíqueseamos
puertotrunk.
Paraestolospuertospuedenestarenlossiguientesmodos:
ModeON(Yosoytrunkyquieroqueustedseatrunk)
Cuandocolocamoselpuertoconelcomando“switchportmodetrunk”elpuerto
inmediatamentesevuelvetrunkyleenvíaunmensajealpuertoadyacentequesideseaser
trunk.
ModeDTPDesirable(Yodeseosertrunkyquieroqueustedseatrunk)
Enestemodoelpuertoleenvíaunmensajeasupuertoadyacenteindicandoquedeseaser
trunkperonopuedeconvertirsesielpuertovecinonolodesea.
ModeDTPAuto(Siustedmepidesertrunkmehagotrunk,peroyolevoyapedir)
EstemodoAutoespasivoesdecirnolesolicitaalpuertoadyacentequedeseaserpuerto
troncalperosirecibeunasolicituddesertrunksevaaconvertirentrunk
Modenonegotiate
EsteesuncomandoquedesactivaelprotocoloDTP.
Lacombinacióndeestosmodoshacensiunpuertoseconvierteentrunkono.
Estaeslamatrixquenosindicalosresultadossegúnlosmodosenambospuertosdel
switch:
Capítulo19-InterVLANRouting
ElconceptodeInterVLANroutingserefierealenrutamientoentreVLANs.
LasVLANsalestarseparadaslógicamentenosepuedencomunicarentreellassinoespor
mediodecapa3.
ExistenvariasformasdehacerInterVLanRouting:
● Router-on-a-stick: Su abreviadoaROASsetratadeconectarunswitchaunrouter
pormediodeunpuertotroncalycrearsubinterfacesenelrouter.
● Switch SVIs: el abreviado SVI es de Switch VLAN Interface. Estas son interfaces
Virtuales dentro de un mismo switchqueseacapa3,esdecirunswitchquetenga
capacidadesdeenrutamiento.
● OBSOLETA:ConectarcadaVLANaunainterfazfísicayseparadaenelrouter(sin
usartrunk)
Lo que hace el InterVLAN routing es replicar la función de enrutamiento que tendría el
siguienteescenario:
Sieldepartamentoderecursoshumanosdeseacomunicarseconeldepartamentode
recursosdeproduccióndebedeenviareltráficoalrouterelcualenrutaeltráfico.Debidoa
quetienelasredesdirectamenteconectadasnonecesitaprotocolosdeenrutamientoorutas
estáticaslohacedirecto.
Estamismafunciónserealizadeunrouteroswitchdecapa3quetenganlassubredeso
VLANsdirectamenteconectadasperoeninterfacesvirtuales.
Enestecapítulovamosaanalizarlasprimerasdosopciones:
Routeronastick
Enesteescenariotenemosunrouteryunpuertotrunkenelswitch.
ElpuertotroncalenvíaeltráficoetiquetandocadatramaconsuVLANrespectivaalrouter.
Elroutertambiénsoportaelprotocolo802.1q,laúnicadiferenciaesquenecesitamos
subinterfacesyqueestántengasdireccionesIPparaqueseanlosdefaultgatewaysde
cadaunadelasVLANs.
Ejemplodeconfiguración
Enelcapítulo18iniciamosaconfigurarelsiguienteescenario
SetienelasiguienteinformacióndelasVLANs
● VLAN2RecursosHumanos192.168.10.0/28
● VLAN3Ventas192.168.10.16/29
● VLAN4IT192.168.10.32/29
● VLAN5Administrativa192.168.10.24/29
Lainterfazdelrouterqueconectaalswitcheslafastethernet0/0yseconfiguralo
siguiente:
Paso:
● Lainterfazfísicaenenciendeconelcomandon oshuty recomendablesiempre
agregarunadescripción.
● Luegosecreanlassubinterfaces,estaescolocandounpunto“.”luegodelnúmero
deinterfazyadicionalmenteidentificandoconunnúmerodesubinterfaz(este
númeronoesnecesarioqueseaigualalaVLANperosiesunamuybuenapráctica
queseaigualalnúmerodeVLANparamantenerelorden)
● Siemprerecomendableagregarunadescripción
● Secolocaelcomandoe ncapsulationdot1q[NúmerodeVLAN]
● SecolocaladirecciónIPdelasubinterfazasociadaalaVLAN
Paraverificarlaconfiguraciónutilizarelcomando“showiproute”yvalidarquelas
subredesesténdentrodelatabladeenrutamiento
VLANNativa
Enelescenariodellaboratoriodelcapítulo18laVLANnativaeslaVLAN5.Paraindicaren
elroutercuáleslaVLANnativasolamentesedebeagregarlapalabran ativeenel
comandodee ncapsulationd elasubinterfaz.
Ejemplo:
RPrincipal(config)#interfacefa0/0.5
RPrincipal(config-subif)#DescriptionVLANAdministrativa
RPrincipal(config-subif)#encapsulationdot1q5native
RPrincipal(config-subif)#ipaddress192.168.10.25255.255.255.248
SwitchSVIs
ElenrutamientodeVLANstambiénsepuedehacerconswitchesdecapa3.
Unswitchdecapa3esaquélswitchqueposeelafuncionalidaddeenrutamientodentrodel
mismodispositivo.Esdecirfuncionacomounroutertambién.
EnlugardeinterfacesfísicasparaenrutarcreamosS witchVLANInterfaces
LosS
VIss oninterfaceslógicasdentrodelswitchquetienencapacidadesdecapa3.
ComomuestralagráficaanteriorparaenrutartráficoentrelaVLAN10ylaVLAN20lo
podemoshacerpormediodelasVLANinterfaces.
Ejemplodeconfiguración
Usandoelmismoejemploanteriorperoenestecasoenlugardeutilizarelrouter
utilizamosalswitchdecapa3
SetienelasiguienteinformacióndelasVLANs
● VLAN2RecursosHumanos192.168.10.0/28
● VLAN3Ventas192.168.10.16/29
● VLAN4IT192.168.10.32/29
● VLAN5Administrativa192.168.10.24/29
Seconfiguralosiguiente(notalasVLANsestánpreviamentecreadasenelswitch):
interfaceVLAN2
descriptionVLANRecursosHumanos
ipaddress192.168.10.1255.255.255.240
noshut
interfaceVLAN3
descriptionVentas
ipaddress192.168.10.17255.255.255.248
noshut
interfaceVLAN4
descriptionIT
ipaddress192.168.10.33255.255.255.248
noshut
interfaceVLAN5
descriptionAdministrativa
ipaddress192.168.10.33255.255.255.248
noshut
Debidoaquenoexisteningúnpuertotrunkparahacerelenrutamientonoes
necesariodeunaVLANnativa
Paraverificarlaconfiguraciónutilizarelcomando“showiproute”yvalidarquelas
subredesesténdentrodelatabladeenrutamiento
Capítulo20-FuncionalidadesdeSwitching
YacomprendemoslaspartesfundamentalesdeSwitchingyesoescomounswitchmaneja
lastramasasícomoelenrutamiento.
NosquedaporverotroaspectomuyimportantequeesSpanningtreeperoesoseráparael
próximocapítulo.Porahoraveremosalgunostemasmuypuntualesdefuncionalidadesque
poseenlosswitchesyespecíficamentelosswitchesCisco
CiscoDiscoveryProtocolyLLDP
CDP(CiscoDiscoveryProtocol),esunprotocolodecapa2(enlacededatos),que
fuedesarrolladoporCisco,dichoprotocolosolopuedeserhabilitadoenequipos
Cisco.CDPestáhabilitadopordefectoenlosequiposyesútilpararecolectar
informacióndelosdispositivosvecinos(siemprequeCDPesteactivoenellos).
Lainformaciónquepuederecopilarsees:
● Nombredelequiporemoto.
● Interfacelocalyremota.
● Tipodeplataformadelequiporemoto.
● Capacidadesdeldispositivoremoto(R=Router,S=Switch,H=Host,T=
TransBridge,ocombinacionesdeloscodigos).
● VersióndelIOS.
● VersióndeCDP,laversiónmasrecienteesla2.
● Silainterfacefuncionacomofullohalfduplex.
Comosemencionopreviamente,CDPestaactivadopordefectoperopuedeser
desactivadoutilizandoelsiguientecomando:nocdprunenconfiguraciónglobal
(configureterminal).Losiguientescomandosontambiénútiles:
● cdprun:HabilitaCDPglobalmenteenelequipodered.
● cdpenable:HabilitaCDPenunainterfacesiempreycuandoCDPeste
habilitadodemaneraglobal.ParadeshabilitarCDPenuninterfacese
anteponelapalabrano.
● cdpadvertise-v2:Habilitalaversión2deCDP.
● cdptimer:EltiempoenquelospaquetesdeCDPsonenviados,pordefecto
son60segundos.
● cdpholdtime:Específicaeltiempoqueunequiporeceptormantiene
informacióndeCDP,estetiempoesdadoensegundosypordefectoson180
segundos.
● cdplog:RegistraeventosgeneradosporCDP.
● showcdp:MuestrainformaciónlocalacercadeCDP.
● showcdpneighbor:Muestrainformacióndelosequiposvecinos.
● showcdpneighbordetails:Muestrainformacióndelosequiposdeuna
maneramejorestructurada.
● showcdpentry:Muestrainformaciónrelacionadaaunvecinoosobretodos
losvecinos.
PorprácticasdeseguridadserecomiendadeshabilitarCDP,peroestoquedaa
decisióndelIngenieroderedes,yaqueesunprotocolodemuchaayuda,también
queteléfonosIPCiscoutilizanCDPparaencontrarinformacióndelDHCP.
LLDP
EsunprotocoloigualdeútilcomoCDP,LLDP(LinkLayerDiscoveryProtocol)es
tambiénunprotocolocapa2,ladiferenciaconCDPesqueesestándarsiendo
utilizadoenvariasmarcasdeequiposdered.
LosswitchesCiscosoportanLLDPyesteyavienehabilitadopordefecto,a
diferenciadeCDPestecomandonosayudaarecopilarinformacióndeequipos
conectadosquesondeotrosfabricantes.Sedebeconsiderarquesolosepuede
utilizareninterfacesfisicayquemuestraunequipoconectadoporpuerto.Que
informaciónnosmuestra:
● Nombredelequiporemoto.
● Interfacelocalyremota.
● Identificadordelchasis.
● Capacidadesdeldispositivoremoto(R=Router,B=Bridge,S=Station,T=
Teléfono,etc.ocombinaciones,Notequeloscodigocambian).
● Versióndelsistemaoperativo.
● IdentificadordeVLAN,elcualrepresentaalaVLANnativaenunainterface
enmodotrunk.
● Silainterfacefuncionacomofullohalfduplex.
Lossiguientescomandossonutiles:
● lldprun:HabilitaLLDPglobalmenteenelequipodered.Paradeshabilitarlo
seanteponelapalabrano.
● lldptransmit:Permittransmitirinformacióndelequipolocalalvecino
directamenteconectado.Paradeshabilitarloseanteponelapalabrano.
● lldpreceive:Pararecibirinformacióndelequipodirectamenteconectadoal
nuestro.Paradeshabilitarloseanteponelapalabrano.
● lldptimer:EltiempoenquelospaquetesdeLLDPsonenviados,pordefecto
son30segundos.
● lldpholdtime:Específicaeltiempoqueunequiporeceptormantiene
informacióndeLLDP,estetiempoesdadoensegudosypordefectoson120
segundos.
● lldpreinit:Especificaeltiempoensegundosparainiciarlatransmitir
informaciónLLDPenunainterface.
● lldptlv-select:(TLV-TypeLengthandValue)esinformaciónqueesadherida
alosprotocolosdecomunicaciónparatransmitirciertainformaciónde
maneracodificada.
● showlldp:MuestrainformaciónlocalacercadeLLDP
● showlldpneighbor:Muestrainformacióndelosequiposvecinos
● showlldpneighbordetails:Muestrainformacióndelosequiposdeuna
maneramejorestructurada.
● showlldperrors:Muestrainformaciónrelacionadaaproblemasdeasignación
dememoria,encapsulaciónosobrelainformacióndeingresodedatos.
V
oiceVLAN
VLANdeVozyDatos
Elcambiodeusarelcableadodisponibleconlosnuevost eléfonosIPque
necesitanuncableadoUTPquesoportenEthernetcausaalgunosproblemas
enlasoficinas,porejemplo:
● Elviejoteléfono(noIP)usabaunacategoríadecableadoU
TP
quenosoportaEtherneta100Mpso1000Mbps.
● Lamayoríadelasoficinastienenu núnicocableUTP
conectadosdesdeelr ackhastacadaescritorio,peroahora
tenemosdosdispositivos(laPCyelTeléfonoIP)yambos
necesitanuncableconectadodesdeelescritoriohastaelrack.
● Instalarunnuevocableacadaescritoriopodríasermuyc aro,
ademásrequerirám áspuertosdelswitch.
ParasolucionarésteproblemaCiscoincorporaunp equeñoswitchcontres
puertosenlosteléfonosIP.Deestamanera,seusaraunúnicocable
conectadodesdeelrackhastaelswitchdeltelefonoIPylaPCseconectaa
unpuertodelpequeñoswitchdelteléfono.
QuéesunaVLANdeVozyDatos
LaconfiguracióndefinedosVLANsenunúnicopuertofísico:
VLANdeDatos:LaideaylaconfiguraciónesigualqueunaVLANdeacceso
enunpuertodeaccesoparalaPCconectadaalswitchdeltelefonoIP.
VLANdeVoz:EslaVLANdefinidaenelenlaceparareenviareltráficodel
teléfono.EltráficoenestaVLANusausualmenteunencabezadodeetiqueta
802.1Q.
CómoConfigurarunaVLANdeVozyDatos
VLANdeVozyVLANdeDatosporunúnicocableUTP
VeremoscómoconfigurarunaVLANparavozenunswitchCiscoylaVLAN
dedatos.
Tomandocomoejemplolaimagenanterior,configuraremoslosprimeros
cuatropuertos (F0/1–F0/4)quevienenconlaconfiguraciónpordefecto.
ComandosyPasosparaConfigurarVLANdeVozyDatosenun
MismoPuerto
SW1#
configure
terminal
Enter
configuration
commands,
one
per
line.
End
with
CNTL/Z.
SW1(config)#
vlan
10
SW1(config-vlan)#
vlan
11
SW1(config-vlan)#
interface
range
FastEthernet0/1
-
4
SW1(config-if)#s
witchport
mode
access
SW1(config-if)#s
witchport
access
vlan
10
SW1(config-if)#s
witchport
voice
vlan
11
SW1(config-if)#^Z
SW1#
Nota:ElprotocoloCDPdeberáestarhabilitadoenlainterfazparaqueel
puertodeaccesodevozfuncioneconelTeléfonoIPdeCisco.Detodas
manerasCDPestáhabilitadopordefecto.
showinterfacesn
úmero-de-interfazs
witchport
SW1#s
how
interfaces
FastEthernet
0/4
switchport
Name:
Fa0/4
Switchport:
Enabled
Administrative
Mode:
static
access
Operational
Mode:
static
access
Administrative
Trunking
Encapsulation:
dot1q
Operational
Trunking
Encapsulation:
native
Negotiation
of
Trunking:
Off
Access
Mode
VLAN:
10
(VLAN0010)
Trunking
Native
Mode
VLAN:
1
(default)
Administrative
Native
VLAN
tagging:
enabled
Voice
VLAN:
11
(VLAN0011)
!
The
rest
of
the
output
is
omitted
for
brevity
showinterfacestrunk
showinterfacestipo-número-interfaztrunk
SW1#
show
interfaces
trunk
SW1#
show
interfaces
F0/4
trunk
Port Mode
Encapsulation
Status Native
vlan
Fa0/4 off
802.1q
not-trunking
1
Port Vlans
allowed
on
trunk
Fa0/4 10-11
Port Vlans
allowed
and
active
in
management
domain
Fa0/4 10-11
Port Vlans
in
spanning
tree
forwarding
state
and
not
pruned
Fa0/4 10-11
Port
Vlans
in
spanning
tree
forwarding
state
and
not
pruned
Fa0/4
10-11
EnResumen:
● Configuralospuertoscomounpuertodeaccesonormal:
Configurarcomounpuertodeaccesoestáticoyasignauna
VLAN.
● AgregauncomandomásparadefinirlaVLANdevoz(s witchport
voicevlanv lan-id).
● ObservaquesenombraalaVLANIDdevozenlasalidadel
comandos howinterfacestipo-número-interfazs witchport.
● ObservaquesevelaVLANdevozydatos,ambasVLANIDsen
lasalidadelcomandos howinterfacestrunk.
● Noesperesverlistadoelpuertoenlalistadetrunksoperativos
conelcomandos howinterfacestrunk.
Port-Security
Cone
lo
bjetivod
eincrementarlas
eguridade
nu
nar edL
ANe
sp
osibleimplementar
seguridadd
ep
uertose
nloss
witchesd
ec
apad
ea
cceso,d
em
anerad
ep
ermitirq
ue
ac
adap
uertos
ec
onectes
ólolae
stacióna
utorizada.P
arae
lloC
iscop
roveep
ort
security,u
nm
ecanismob
astantep
otentey s
encilloq
uer esumiréa
c
ontinuación.
DirecciónM
ACs
egurae
stática
● Sec
onfiguram
anualmente.
● Sea
gregaa
lat ablad
ed
ireccionesM
AC.
● Seg
uardae
nlar unning-config.
● Sep
uedeh
acerp
ermanenteg
uardandolac
onfiguración.
SwA(config-if)#
switchport
port-security
mac-address
DIRECCION-MAC
DirecciónM
ACs
egurad
inámica
● Sea
prended
elt ráficoq
uea
traviesalainterfaz.
● Selag
uardae
nlat ablad
ed
ireccionesM
AC.
● Sep
ierdec
uandos
er einiciae
le
quipo.
SwA(config-if)#
switchport
port-security
DirecciónM
ACs
eguras
ticky
● Selap
uedec
onfigurard
ef ormam
anualo
d
inámica.
● Selag
uardae
nlat ablad
ed
ireccionesM
AC.
● Sea
lmacenae
nlar unning-config.
● Sep
uedeh
acerp
ermanenteg
uardandolac
onfiguración.
SwA(config-if)#
switchport
port-security
mac-address
sticky
[DIRECCION-MAC]
Lap
rincipalv entajad
elasd
ireccioness
tickye
nc
ontraposiciónc
onlasd
inámicase
s
queé
stasú
ltimass
ea
gregana
lar unning-config.A
sín
ose
vitamose
scribiru
n
montónd
ed
ireccionesM
ACd
em
anerae
státicap
eroa
únp
odemosg
uardarlase
ne
l
archivod
ec
onfiguraciónd
em
aneraq
ues
em
antenganinclusives
ie
ls
witchs
e
reinicia.
Dosa
spectosimportantesa
t enere
nc
uenta:
● Sis
eh
abilitanlasd
ireccionesM
ACs
tickyy y ah
abíad
irecciones
aprendidasd
ef ormad
inámica,é
stasp
asana
lar unning-configy t odas
lasn
uevasq
ues
ea
prendant ambiéns
ea
gregana
llí.
● Sis
ed
eshabilitanlasd
ireccionesM
ACs
tickyt odaslasq
ueh
ubiera
pasana
s
erd
inámicasy s
eb
orrand
elar unning-config.A
demás,t odas
lasq
ues
ea
prendant ambiéns
eránd
inámicas.
Accionesa
t omars
is
ep
roduceu
nav iolación
Esimportantet enere
nc
uentaq
uep
orv iolacións
ee
ntiendeu
nod
eloss
iguientes
dosc
asos:
● Sea
lcanzólac
antidadm
áximad
ed
ireccionesM
ACp
ermitidas.
● Unad
irecciónM
ACq
ues
ea
prendióe
nu
np
uertos
ea
prendep
oro
tro
puertod
iferente.
Losm
odose
nlosq
ues
ep
uedee
stableceru
np
uertop
arad
ecidirq
uéa
cciónt omar
ene
lc
asod
eu
nav iolacións
on,e
ntonces:
● Protect:u
nav ezq
ues
ea
lcanzóe
lm
áximod
ed
ireccionesM
ACe
nu
n
puerto,t odoe
lt ráficod
eo
rígenesd
esconocidos( esd
ecir,d
ed
irecciones
MACq
uen
os
eanv álidasp
arae
sep
uerto)e
sd
escartado.N
oo
bstante,
sec
ontinúae
nviandoe
lt ráficolegaln
ormalmente.N
os
en
otificaa
l
administradord
ee
stas
ituación.
● Restrict:e
lm
ismoc
omportamientoq
uee
lc
asoa
nteriorp
eroc
onla
diferenciaq
ues
ee
nvíau
na
visoa
la
dministradorm
edianteS
NMP,s
e
registrae
le
ventoe
ne
ls
yslogy s
eincrementae
lc
ontadord
ev iolaciones.
● Shutdown:e
ne
stec
asoe
lp
uertos
ed
ad
eb
ajad
ejándoloe
ne
stado
err-disabled( deshabilitadop
ore
rror).A
demáss
ee
nvíau
na
visoa
l
administradorm
edianteS
NMP,s
er egistrae
le
ventoe
ne
ls
yslogy s
e
incrementae
lc
ontadord
ev iolaciones.
● ShutdownV
LAN:laú
nicad
iferenciac
one
lc
asoa
nteriore
sq
ues
e
deshabilitalaV
LANe
ne
sep
uertoe
nlugard
ed
ard
eb
ajae
lp
uerto
completo.E
sp
articularmentea
tractivop
aralosp
uertosd
et runk.
Configuración
Parac
onfigurarp
ort-securitye
simportantes
aberq
uelainterfazd
ebee
stare
nm
odo
accesso
e
nm
odot runk.P
ort-securityn
op
uedeh
abilitarsee
nu
nainterfazq
uee
sté
enm
odod
inámico.
● Habilitarp
ort-security.
SwA(config-if)#
switchport
port-security
● Indicarq
ues
ólos
ep
ermiteu
naM
ACp
orinterfaz.
SwA(config-if)#
switchport
port-security
maximum
1
● Configurare
lm
odor estrictp
arac
uandoo
currau
nav iolaciónd
elp
uerto.
SwA(config-if)#
switchport
port-security
violation
restrict
● Configurare
la
prendizajed
ed
ireccionesM
ACs
ticky.
SwA(config-if)#
switchport
port-security
mac-address
sticky
● Ob
iene
specificaru
naM
ACd
ef ormae
stática.
SwA(config-if)#
switchport
port-security
mac-address
5400.0000.0001
● Chequeare
le
stadod
ep
ort-security.
SwA#
show
port-security
Capítulo21-SpanningTree
Spanning tree protocol es un protocolo de capa 2 que evita loops (bucles, tráfico dando
vueltasen“círculos”) enmediodeenlacesdecapa2,esdecirswitches.
Paracomprenderbien¿Quées?primeroanalicemoscómoesunaredsinSTP
¿PorquésenecesitaSTP?
Analicemoselsiguienteescenario:
LacomputadoraJosuéenvíacualquieradelassiguientestramas:
● Unatramacontráficobroadcast.
● Unatramacontráficomulticast.
● Unatramaunicastquelosswitchesnoconozcansudestinoensutablamac-address
provocandoununicastflooding.
¿Quésucede?
LatramaingresaenelswitchAporelpuertoGig0/3.Hastaelmomentovamosbienperoel
próximopasoesenviaresatramaasudestino.
Si es broadcast, multicast o unicast flooding elswitchvaaenviaresatramaportodoslos
puertosenlamismaVLANexceptoporelpuertoorigen.
EsdecirennuestroescenarioSwitchAvaaenviaresatramaporelpuertoGig0/1yGig0/2
● Enestemomentoyanotenemosunatramasino2tramascirculandoenlared.
● EstatramalarecibeelSwitchBensupuertoGig0/1yelSwitchCensupuertoGig
0/2.
AmbosswitchesByCdebenreenviarportodassusinterfacesexceptoporlainterfazdonde
serecibiólatrama.
● SwitchCreenvíalatramaporelpuertoGig0/3alacomputadoraAlvaro.
● SwitchCreenvíaunatramaporelpuertoGig0/1alswitchD.
● SwitchBreenvíaunatramaporelpuertoGig0/3alacomputadoraGloria.
● SwitchBreenvíaunatramaporelpuertoGig0/2alswitchD.
ElswitchDrecibeunatramaenlainterfazGig0/2provenientedelswitchByenlainterfaz
Gig0/1provenientedelswitchC
● LatramaquevienedelswitchBsereenvíaalainterfazGig0/3delacomputadora
deCesarysereenvíaporelpuertoGig0/1haciaelswitchC.
● LatramaquevienedelswitchCsereenvíaalainterfazGig0/3delacomputadora
deCesarysereenvíaporelpuertoGig0/2haciaelswitchB.
● Podemos observar como la computadora Cesar recibe la misma trama duplicada.
Estoafectaalacapadeaplicaciónylacomunicaciónengeneralalrecibirelmismo
tráfico2veces.
● Observemos como ya se provocó un loop es decir el tráfico ya comienza a dar
vueltas.
Las tramas seguirán dando vueltas y enviando tráfico duplicado a todas sus interfaces y
este efecto se da con una única trama ingresada a la VLAN. Ahora bien el efecto se
multiplicaporcadatramaquesetransmita.
Este efecto continuará de forma infinita (ohastaquelosrecursos delosswitchesnoden
abasto)provocandounasaturaciónenlosenlacestantodelosdispositivosconectados.
Estoliteralmenteeslopeorquelepuedepasaraunared.Nohayequipoque aguantepor
másgrandequeseaeventualmentesevaasaturar.
Si alguna vez se encuentra con una red que está siendo afectada por un loop una
forma sería rudimentaria de solucionarlo sería cortando la redundancia, es decir
desconectandoelcableoapagandolainterfaz
Deestamaneraeltráficoyanopodrádarmásvueltasyelloopsedetiene.
EstomismoesloquehaceSpanningTreeProtocoldeunamaneramáseficiente.
¿QuéesSpanningTree?
SpanningTreeesunprotocolodecapa2queevitaqueeltráficohagaunloopylohace
detectandolasredundanciasdelaredybloqueandopuertosdemaneralógica.
Estebloqueológicodehaceparaevitarelloop.Lainterfazmantienesuconfiguración
realizadaporeladministradorderedsimplementequenoreenvíatráficoparaevitarelloop.
Encasoquelaredundanciafalleenalgúnpunto,elpuertobloqueadosehabilitapara
permitirelflujodeltráfico.
Importanciadelaredundancia
Entelecomunicacioneslaredundanciaessumamenteimportanteporquenosayudaa
brindaraltadisponibilidadencasodefallas(falladeunequipo,enlace,proveedorde
servicio).
AlgoquesiempreledigoalosclientescorporativosdeVLAcuandolediseñamos
solucionesdeITes“Nosabemoscuandovaafallarelequipo,enlace,proveedorde
Internet.Peroloquesísabemosesquevaafallar”.
Unbanconosepuededarellujodenoprocesartarjetasdecréditoporqueunswitchfalleo
latransmisióndelsuperbowl.Porendetenerredundanciaparamejorarladisponibilidaden
casodefallaessumamenteimportanteentelecomunicaciones.
SpanningTreenosayudaabrindarestaredundanciasinlosindeseadosloops.
Lasiguientetopologíanosmuestraunejemplodeunaarquitecturaderedconredundancia
oaltadisponibilidad.
FuncionamientodeSpanningTreepasoapaso
EntendamoscomofuncionaSpanningtree.
ElnombreSpanningtreeesporlacreacióndeunalgoritmodeárbol.
Imagínesecualquiertipodeárbolgenealógicoelcualtieneunaraízydeahídesciendende
esaraíz.
LamismaestructuraintentahacerelprotocoloSpanningTree
ComoseobservaenlaimagenSTPtieneunswitchraíz,esteselellamar ootswitchyes
elcentrodelatopologíaSTP.
Delaraízdesciendeelárbolperoobservencomoeltráficosólopuedeirensentidohacia
arribaoabajodelárbolperonoencírculos.EsaestructuraeslaquepretendeSTP
bloqueandolospuertosquebrindanlaredundanciaparaevitarlosloops.
AcontinuaciónexplicaremoslospasosparaqueunatopologíaSTPlogrelaconvergencia:
1. Seeligealr ootswitch.
2. Cadanon-rootswitcheligeunr ootport.
3. Luegoseeligenlospuertosdesignados.
4. Porúltimosebloqueanlasredundancias.
BridgeProtocolDataUnit
BPDUss onlosmensajesqueutilizarSTPparacomunicarseconlosotrosswitches
(bridges)ylograrlaconvergenciadelared.
Comenzaremosexplicando¿quéeselBridgeID?
ElbridgeIDeselidentificadorqueposeecadaswitchyestácompuestodedoselementos
● Prioridad:L aprioridadesunnúmeroqueseutilizaparaelegiralr ootbridgeasí
comootraselecciones.Pordefectosunúmeroes32768(puedevariarsegúnel
VLAN-ID).Elvalormásbajo configurableesde4096yelmásalto65532,va
aumentandoenmúltiplosde4096.
● Macaddress:L aMAC-Addressqueposeetodoswitchseutilizacomoidentificador
únicodentrodelatopologíadeSTPysirveparadesempatarcuandolaelecciónno
puededefinirsesegúnsuprioridad.
UnejemplodeunbridgeIDsería:
32768-0000:1111:AAAA
CadamensajedeBPDUcontiene:
● ElrootID:E steeselBridgeIDdelswitchelegidocomorootdelatopologíaSTP.En
unprincipiotodoslosswitchespiensanqueconelcentrodelared(raíz).Pocoa
pococonformesevancomunicandolosswitchespormediodeBPDUsseeligeal
root.
● BridgeID:E steeselidentificadordelswitchqueenvíeelBPDU.Cuandounswitch
eselrootbridge,amboscampossellenanconelmismoBridgeID.
● Costo:E steeselcostoquetieneelswitchqueenvíaelBPDUparallegaralcentro
delared(rootbridge).Explicaremosestoamásdetalleenestecapítulo.
● BridgeportID:E steeselidentificadordelpuertoporelcualsaleelBPDUdel
switchqueloenvía.
Nota:E
nlasprimerasredesqueexistieronconSTPnoexistíanswitchessinopuentes-
bridges,deahíesporqueatodoswitchenSTPselellamabridge.
Paso1:Elegirelrootswitch
Cuandounswitchseenciende,sereinicia,noestáconectadoaotroswitchloprimeroque
analizaesqueeseswitcheselcentrodelaredporloqueenunprincipiotodoslosswitches
piensanquesonelcentrodelared.
ConformeintercambianBPDUsentreellosvandefiniendocuálswitcheselquetieneel
BridgeIDmásbajoyporendeelr ootbridge.
Ennuestratopologíatenemos4switchesconlossiguientesbridgeID
SwitchA:32768-0000:1111:AAAA
SwitchB:32768-0000:2222:AAAA
SwitchC:32768-0000:3333:AAAA
SwitchD:32768-0000:4444:AAAA
Todoslosswitchesempatanconlamismaprioridadperoningúnswitchenelmundotiene
unaMACADDRESSigualaotroporloqueloquefuncionaperfectamenteparadesempatar.
SwitchAtienelamac-addressmásbaja.
PorendecuandosedaunintercambiodeBPDUsentrelosswitchessedefinecomorootal
SwitchA
Paso2:Elegirelrootports
Mostraremosahoranuestratopologíaconelcostoasignadoacadaenlacesegúnsu
velocidad:
DebidoaquetodoslosenlacessonGigabitEthernetporendetienenunavelocidadde
1000mbpscadaenlacetieneunvalorde4.
Esbasadoenestoesquedebemoscualpuertodecadaswitchlecuestamenosllegar
hastaelroot.
Eneldiagramaserepresentaconcoloresdistintosloscostosquetienencadaswitchpara
llegarhastaelr ootbridge
● SwitchB:E ncolorcelesteelpuertoGig0/1tieneuncosto4yel Gig0/2tieneun
costode12.SeeligealpuertoGig0/1 comor ootportporserelcostomásbajo.
● SwitchC:E ncoloramarilloelpuertoGig0/1tieneuncosto12yel Gig0/2tieneun
costode4.SeeligealpuertoGig0/2 comor ootportporserelcostomásbajo.
● SwitchD:E ncolorverdeelpuertoGig0/1tieneuncosto8yel Gig0/2tieneun
costode8.Aquítenemosunempateynecesitamosunaformaparadesempatar.
EnelcasodeSwitchDqueposeeunempatetenemoslassiguientesformaspara
desempatar:
1. SeeligeelpuertoquecuyovecinotengaelBridgeIDmásbajo.(Cadaswitchenvía
suBPDUconsubridgeID).
2. Encasodeempate(quelospuertosseandelmismoswitch)Sedesempataconel
Portidmásbajo.
Portidestácompuestodeunaprioridad(128pordefecto)yelnúmerodepuerto.
Ejemplo128.1paraelpuerto1.
ParanuestroescenarioSwitchDdebeescogerentrelosquientieneelBridgeIDmásbajosi
switchBoC.
SwitchB:32768-0000:2222:AAAA
SwitchC:32768-0000:3333:AAAA
ElresultadobasadoenloanterioresqueelSwitchDeligecomor ootportGig0/2.E
sto
porqueSwitchBtieneunmenorbridgeIDcomparadoconSwitchC.
Asíquedaríalaasignacióndecadar ootport:
Unaexplicaciónunpocomástécnica(nomipreferida)seríalasiguiente:
SwitchAeselrootbridge,porendelecuesta0llegarhastaelroot.Cuandoelswitch
generasuBPDUsyloenvíavaconlasiguienteinformación:
BPDUenviadodesde
RootID: 32768-0000:1111:AAAA
BridgeID: 32768-0000:1111:AAAA
Cost 0
LosswitchesrecibenelBPDUyalcostolesumanelvalordelpuertoporelcuallo
recibieron.Ennuestroejemplosería0+4(valordelGibabitEthernet).
EsosiguesucediendoencadenaporendecadaswitchquerecibeunBPDUlevaasumar
elcostodelpuertodondelorecibió
Paso3:Eleccióndepuertosdesignados
Losp uertosdesignadossonlosquegeneranlosBPDUshaciaabajodelárbolde
Spanningtree.
Seiniciangenerandodesdeelswitchrooteltienetodossuspuertoscomodesignados.
LosrootportssonlospuertosquerecibenlosBPDUsdelospuertosdesignados.
Lareglaesqueporcadaenlacedecapa2tienequeexistirunpuertodesignado.
Porendevamosatenerlossiguientesescenarios:
● Designatedportcontrarootport.
● Designatedportcontranon-designated(puertobloqueado)
Repasemosnuestroescenarioactual
Yahemoselegidotodoslosr ootports.
Porcadaenlacedecapa2tienequeexistirunD
esignatedportporendecolocamoscomo
DPelpuertoquesobraynosquedanadamásunenlaceencuestión.
Ahora solo nos queda decidir en el enlace entre Switch C y Switch D cuál puerto es el
designado.
Esto sedeterminabasadoenelcostoparallegaralrootyenelcasodelswitchCestaen
menorcostoparallegaralrootbridgedebidoaquelecuesta4mientrasquealswitchDle
cuesta8.
Asíquedaríanuestroescenariohastaelmomento:
Paso4:Bloqueodepuertos
Lospuertosrestantesquenosonnir ootportsn
id
esignatedportssonlospuertoque
finalmentesebloqueanyevitanelloop.
Estospuertosselesconocecomon on-desiganted
Asíquedaríanuestratopologíafinaldeesteejemplo:
Resumen
● Seeligealrootbridgeconelbridgeidmásbajo.
● Porcadaswitchquenoseaelrootbridgeseeligeunrootportelcualeselpuerto
quecuestamenosparallegaralroot.
● Senecesitaunpuertodesignadoporcadaenlacedecapa2.Todoslospuertosdel
rootbridgesondesignados. Decadaenlaceeselpuertodemenorcostoparallegar
alroot.
● Lospuertosquesobransonlosquesebloqueanysellamann ondesignated.
Capítulo22-Etherchannel
therchannel
EtherChanneleseltérminodeCiscoparaagrupardosomásenlacesEthernetfísicosconelpropósito
deagregarelanchodebandadisponibley,enmenormedida,proporcionarunamedidade
redundanciafísica.Encondicionesnormales,todoslosenlacesfísicosredundantes,exceptouno,se
desactivaránmedianteSTPenunextremo.
ConEtherChannelconfigurado,variosenlacesseagrupanenuncanaldepuerto,alqueseleasigna
supropiainterfazvirtualconfigurable.Elpaquetesetratacomounsoloenlace.
Unmáximode8puertosFastEthernet,GigaEtherneto10GigabitEthernetpuedenseragrupados
juntosparaformarunEtherChannel.Conestaúltimaagrupaciónesposibleconseguirunmáximode
80Gbpsdeanchodebanda.LasconexionesEtherChannelpuedeninterconectarswitches,r outers,
servidoresoclientes.
Ventajas
● LatecnologíaEtherChannelsebasaenelestándarIEEE802.3adcompatibleconEthernet
mediantelaagrupaciónmúltiple,enlacesfull-duplexpuntoapunto.
● Permiteelusoencualquierlugardelareddondepuedanocurrircuellosdebotella.
● Permiteuncrecimientoescalableyamedida.Esposibleagregarelanchodebandade
cualquieradelosenlacesquetenemosenelEtherChannel,aunquelosenlacesnotenganla
mismavelocidad.
● Elincrementodelacapacidadnorequiereunaactualizacióndelhardware.
● Permiterepartodecarga.ComoelenlaceestácompuestoporvariosenlacesEthernet,se
puedehacerrepartodecargaentreestosenlaces.Asíseobtienemayorrendimientoy
caminosparalelosredundantes.
● Robustezyconvergenciarápida.Cuandounenlacefalla,latecnologíaEtherChannelredirige
eltráficodelenlacefallidoalosotrosenlacesproporcionandounarecuperaciónautomática
mediantelaredistribucióndelacargaentrelosenlacesrestantes.Laconvergenciaes
completamentetransparenteparalosusuariosylasaplicacionesdered.
● LatecnologíaEtherChannelestádisponibleparatodaslasvelocidadesdelosenlaces
Ethernet.Permitealosadministradoresdereddesplegarredesescalablessinproblemas.
Configuración
LaconfiguracióndeunEtherChannelsepuedehacerdedosformasdiferentes:negociacióno
manual.Ennegociaciónsepuedenidentificartambiéndosformas,PortAggregationProtocol(PAgP)
oLinkAggregationControlProtocol(LACP).
Ambosextremossedebendeconfigurarenelmismomodo.
PAgPesunprotocolopropietariodeCisco.Elswitchnegociaconelotroextremocualessonlos
puertosquedebenponerseactivos.Elpropioprotocoloseencargadeagruparpuertoscon
característicassimilares(porvelocidad,troncales,porperteneceraunamismaVLAN,…).Sepuede
configurardedosmodos:
● Auto.Poneelpuertoenmodopasivo,soloresponderápaquetesPAgPcuandolosrecibay
nuncainiciaráunanegociación.Dospuertosautonuncapodránformargrupo,yaque
ningunopuedeiniciarunanegociación.
● Desirable.Estableceelpuertoenmodoactivo,negociaráelestadocuandorecibapaquetes
PAgPypuedeiniciarnegociacionesconotrospuertos.
LACPesmuysimilaraPAgPyaquetambiénpuedeagruparpuertosconcaracterísticassimilares.Es
unprotocolodefinidoenelestándar802.3ad.
LosmodosdeconfiguracióndeLACPson:
● Activo.Estáhabilitadoparainiciarnegociacionesconotrospuertos.
● Pasivo.Nopuedeiniciarnegociaciones,perosirespondealasnegociacionesgeneradaspor
otrospuertos.
Dospuertospasivostampocopodránnuncaformargrupo.Esnecesarioquealmenosunodelosdos
puertosseaactivo.
Enelmodomanualtodalaconfiguracióndelpuertoserealizadeformamanual,noexisteningún
tipodenegociaciónentrelospuertos.
Ejemplo:
S1(config)#i
nterfacerange
f0/13-15
S1(config-if-range)#c
hannel-group 1
mode?
active
Enable
LACPunconditionally
auto
Enable
PAgPonly
if
a
PAgPdevice
is
detected
desirable
Enable
PAgPunconditionally
on
Enable
Etherchannelonly
passive
Enable
LACPonly
if
a
LACPdevice
is
detected
S1(config-if-range)#c
hannel-group 1
modeactive
Creating
a
port-channelinterface
Port-channel1
Verificacion:
S1#s
howetherchannel
summary
Flags:
D-
down P
-
bundled
in
port-channel
I
-
stand-alone
s
-
suspended
H
-
Hot-standby
(LACP
only)
R
-
Layer3 S
-
Layer2
U
-
in
use f
-
failed
to
allocate
aggregator
M
-
not
inuse,
minimum
links
not
met
u
-
unsuitable
for
bundling
w
-
waiting
to
be
aggregated
d
-
default
port
Number
ofchannel-groups
in
use:
1
Number
ofaggregators: 1
Group
Port-channel Protocol Ports
------+-------------+-----------+---------------------------------------
1 Po1(SD)
LACP
Fa0/13(D)
Fa0/14(D) Fa0/15(D)
Paracomparar,reconfigurarelEtherChannelparaquefuncionesinunprotocolodenegotiation
(modo"on"):
S1(config)#n
o
interfacepo1
S1(config)#i
nterfacerange
f0/13-15
S1(config-if-range)#c
hannel-group 1
mode
on
Creating
a
port-channelinterface
Port-channel1
S1(config-if-range)#n
oshutdown
EtherChannelBalanceodeCarga
OtraconsideraciónatenerencuentaalimplementarEtherChannelseseltipodeequilibriodecarga
enefecto.EtherChannelproporcionaequilibriodecargasólopordatagrama,noporbit.Un
conmutadordecidequéenlacedemiembrouncuadrorecorreráelresultadodeunafuncióndehash
realizadacontraunoomáscamposdecadatrama.Loscamposqueseconsiderandependendela
plataformadeconmutaciónylaconfiguración.Porejemplo,unCatalyst3550sólopuedecoincidir
conladirecciónMACdedestinoofuentedeunmarco:
S1(config)#p
ort-channelload-balance
?
dst-mac
Dst
Mac
Addr
src-mac
Src
Mac
Addr
LasplataformasmáspotentespuedencoincidirconlasdireccionesIPoconlospuertosdelacapa
cuatro.Engeneral,loscamposdecapassuperioressonmásfavorables,yaquetiendenasermás
dinámicos,loqueresultaenunadistribuciónmásgranulardeltráficoatravésdelosenlaces
miembros.
AnchodebandaycostesdeEtherChannel
SpanningTreeProtocol(STP)sepuedeutilizarconEtherChannel.STPtrataatodoslosenlacescomo
unosoloyúnicamenteseenvíanlasBPDUporunodelosenlaces.SinelusodeunEtherChannel,STP
efectivamentebloquearíalosenlacesredundantesentreswitchesysoloseutilizaríanantelacaídade
unaconexión.EsporestarazónporlaqueEtherChannelesaconsejableyaquepermiteeluso
completodetodoslosenlacesdisponiblesentredosdispositivos.ConEtherChannellacapacidad
seríaeldobleenfuncionamientonormalyanteunacaídanoesnecesarioesperaralaconvergencia
delSTPporquesiguefuncionandoconelotroenlace.
Elanchodebandapercibidodeunainterfazdecanaldepuertoesigualalasumadesusenlacesde
miembrosactivos.Porejemplo,unEtherChannelcontresmiembrosactivosde100Mbpsmostrará
unanchodebandade300Mbps.Comolosmiembrosaúnpuedenfallarindividualmente,elancho
debandadeunainterfazdecanaldepuertopuedefluctuaryafectarelcostodespanning-tree.
Enlatopología,sehanconfiguradotresEtherchannelsentrelostresswitches,cadaunocompuesto
detresenlacesdemiembrosde100Mbps.S1eslaraízdelSTP.LosEtherchannelssedesplegaron
condosobjetivosdediseñoenmente:
● Soportarhasta200Mbpsdetráficoentredosswitches.
● Proporcioneredundancian+1(elEtherchannelpermaneceráconunsoloenlacefallido).
PodemosverquecadaEtherchannel,quetieneunanchodebandaagregadode300Mbps,sele
asignauncostode9:
S1#s
how
spanning-treevlan1
VLAN0001
Spanning
tree
enabledprotocolrstp
Root
ID Priority
1
Address
0013.c412.0f00
This
bridgeis
theroot
Hello
Time 2
sec Max
Age
20
sec
ForwardDelay
15
sec
Bridge
ID
Priority 1
(priority
0
sys-id-ext1)
Address
0013.c412.0f00
Hello
Time 2
sec Max
Age
20
sec
ForwardDelay
15
sec
Aging
Time300
Interface Role
Sts
Cost Prio.Nbr
Type
-------------------
-------
-----------------
--------------------------------
Fa0/1 Desg
FWD
19 128.1
P2p
Fa0/3 Desg
FWD
19 128.3
P2p
Fa0/5 Desg
FWD
19 128.5
P2p
Fa0/9 Desg
FWD
19 128.9
P2p
Fa0/19 Desg
FWD
19 128.19
P2pPeer(STP)
Fa0/20 Desg
FWD
19 128.20
P2pPeer(STP)
Fa0/21 Desg
FWD
19 128.21
P2pPeer(STP)
Po13 D
esgFWD
9 128.65
P2p
Po12 D
esgFWD
9 128.66
P2p
¿QuésucedesifallaunodelosenlacesdemiembroentreS1yS2?Elanchodebandaagregadodel
Etherchannelserecalculacomo200Mbps,yelcosteSTPsubede9a12:
S2#s
how
spanning-treevlan
1
...
Interface Role
Sts
Cost Prio.Nbr
Type
-------------------
----
---
---------
--------
--------------------------------
...
Po23 Altn
BLK
9 128.65
P2p
Po12 R
oot
FWD12
128.66
P2p
SifallaunsegundoenlaceenelEtherchannel,dejandosólounsoloenlacede100Mbps,suanchode
bandasereducea100Mbpsysucosteseelevaa19.Enestepunto,larutaalternativaaraízatravés
deS3tieneuncostomenor.Latopologíadelárboldeexpansiónsereconvergeparareflejaresto:
S2#s
how
spanning-treevlan
1
...
Interface Role
Sts
Cost Prio.Nbr
Type
-------------------
----
---
---------
--------
--------------------------------
...
Po23 Root
FWD9 128.65
P2p
Po12 A
ltn
BLK
19 128.66
P2p
ComandosIOS
Configuraciónenmodomanual:
Switch1#
configure
terminal
Switch1(config)#
interface
range
gigabitethernet
0/1
-
4
Switch1(config-if-range)#
channel-group
1
mode
on
Switch1(config-if-range)#
exit
Switch1(config)#
exit
PodemosconfigurarelEtherChannelcomounenlacetrunk,yasíconseguimosmultiplexación
estadísticadeltráficodelasVLANsyqueantelacaídadeunenlacesiguefuncionandoelotrocon
ambasVLANs.
Switch#
configure
terminal
Switch1(config)#
interface
range
gigabitethernet
0/1
-
4
Switch1(config-if-range)#
channel-group
1
mode
on
Switch1(config-if-range)#
exit
Switch1(config)#
interface
port-channel
1
Switch1(config-if)#
switchport
mode
trunk
Switch1(config-if)#
switchport
trunk
allowed
vlan
1-2
Switch1(config-if)#
exit
Switch1(config)#
exit
ConfiguraciónconLACP:
Switch#
configure
terminal
Switch1(config)#
interface
range
gigabitethernet
0/1
-
4
Switch1(config-if-range)#
channel-protocol
lacp
Switch1(config-if-range)#
channel-group
1
mode
active
Switch1(config-if-range)#
exit
Switch1(config)#
exit
ConfiguraciónconPAgP:
Switch#
configure
terminal
Switch1(config)#
interface
range
gigabitethernet0/1
-
4
Switch1(config-if-range)#
channel-protocol
pagp
Switch1(config-if-range)#
channel-group
1
mode
desirable
Switch1(config-if-range)#
exit
Switch1(config)#
exit
Capítulo23-LaboratoriodeSwitchingy
OSPF
LABCISCOVLA
Ellaboratoriocuentacon7protocolosconfigurables:
SPF
•O
•I nterVlanRouting
therchannel
•E
TP
•S
lans
•V
nlacesTroncales
•E
uertosdeacceso
•P
Latopologíacuentacon2redesLANconlossiguientes
dispositivosen cadauna:
=============================================
======- LANMIAMI
1ROUTER=MIAMI
3SWITCHES=ALFA,OMEGA,DELTA
2PC
==============================================
======- LANPANAMA
1ROUTER=PANAMA
1SWITCH=SIGMA
4PC
==============================================
======R
OUTEROSPF=CR
====================================================
Latopologíatieneelsiguientedireccionamiento:
LANMIAMI
LAN10=192.168.1.0/24
•V
LAN20=192.168.2.0/24
•V
LANPANAMA
LAN50=192.168.5.0/24
•V
LAN60=192.168.6.0/24
•V
LAN70=192.168.7.0/24
•V
LAN100=192.168.100.0/24
•V
-ParalosRouterseutilizólaprimerautilizabledecadavlancomo
gateway.-ParalasPC'sseutilizólasegundautilizabledecadavlan.
=========================================================
====D
ireccionamientoOSPF
OSFPárea0proceso1
MIAMIYCR=192.200.200.0/30
IAMI=192.200.200.1/30
•M
R=192.200.200.2/30
•C
CRYPANAMA=192.50.50.0/30
R=192.50.50.1/30
•C
ANAMA=192.50.50.2/30
•P
MIAMIYPANAMA=192.100.100.0/30
IAMI=192.100.100.1/30
•M
ANAMA=192.100.100.2/30
•P
ParaelSTPseestablecióqueelSwitchrootibaaserelALFApara
ambas Vlans.
-Laconfiguracióndelosdispositivossedesglosadelasiguientemanera:
ROUTERCR
enable
configt
hostnameCR
interfaces0/3/0
ipaddress192.200.200.2255.255.255.252
noshutdown
Exit
interfaces0/3/1
ipaddress192.50.50.1255.255.255.252
noshutdown
exit
Routerospf1
network192.200.200.20.0.0.3area0
network192.50.50.10.0.0.3area0
exit
========================================================
======R
OUTERMIAMI
enable
configt
hostnameMIAMI
interfaces0/3/0
ipaddress192.200.200.1
255.255.255.252noshutdown
exit
interfaces0/3/1
ipaddress192.100.100.1
255.255.255.252noshutdown
exit
Routerospf1
network 192.200.200.1
0.0.0.3 area 0 network
192.100.100.1 0.0.0.3 area 0
network 192.168.1.0
0.0.0.255 area 0 network
192.168.2.0 0.0.0.255 area 0
passive-interfaceg0/0
exit
interfaceg0/0
noshutdown
exit
interfaceg0/0.10
encapsulationdot1q10
ipaddress192.168.1.1
255.255.255.0noshutdown
exit
interfaceg0/0.20
encapsulationdot1q20
ipaddress192.168.2.1255.255.255.0
noshutdown
exit
=========================================================
=====R
OUTERPANAMA
enable
configt
hostnamePANAMA
interfaces0/3/0
ipaddress192.50.50.2255.255.255.252
noshutdown
exit
interfaces0/3/1
ipaddress192.100.100.2255.255.255.252
noshutdown
exit
Routerospf1
network192.50.50.20.0.0.3area0
network192.100.100.20.0.0.3area0
network192.168.5.00.0.0.255area0
network192.168.6.00.0.0.255area0
network192.168.7.00.0.0.255area0
network192.168.100.00.0.0.255area0
passive-interfaceg0/0
exit
interfaceg0/0
noshutdown
exit
interfaceg0/0.50
encapsulationdot1q50
ipaddress192.168.5.1
255.255.255.0noshutdown
exit
interfaceg0/0.100
encapsulationdot1q100
ipaddress192.168.100.1
255.255.255.0noshutdown
exit
interfaceg0/0.60
encapsulationdot1q60
ipaddress192.168.6.1
255.255.255.0noshutdown
exit
interfaceg0/0.70
encapsulationdot1q70
ipaddress192.168.7.1
255.255.255.0noshutdown
exit
=========================================================
=====SWITCHALFA
enable
configt
hostnameALFA
vlan10
NameTI
vlan20
nameRRHH
exit
INTERFACERANGEF0/21-24
SWITCHPORTMODETRUNK
EXIT
INTERFACEG0/1
SWITCHPORTMODETRUNK
EXIT
Spanning-treevlan10rootprimary
Spanning-treevlan20rootprimary
interfacerangef0/21-22
channel-group1modedesirable
exit
interfacerangef0/23-24
channel-group2modedesirable
exit
========================================================
======S
WITCHOMEGA
enable
configt
hostnameOMEGA
vlan10
NameTI
vlan20
nameRRHH
exit
interfacerangef0/21-24
switchportmodetrunk
exit
interfacerangef0/21-22
channel-group1modedesirable
exit
interfacerangef0/23-24
channel-group3modedesirable
exit
interfacef0/1
switchportmodeaccess
Switchportaccessvlan10
spanning-treeportfast
spanning-treebpduguard
exit
========================================================
======S
WITCHDELTA
enable
configt
hostnameDELTA
vlan10
NameTI
vlan20
nameRRHH
exit
interfacerangef0/21-24
switchportmodetrunk
exit
interfacerangef0/21-22
channel-group3modedesirable
exit
interfacerangef0/23-24
channel-group2modedesirable
exit
interfacef0/1
switchportmodeaccess
Switchportaccessvlan20
spanning-treeportfast
spanning-treebpduguard
exit
========================================================
======S
WITCHSIGMA
enable
configt
hostnameSIGMA
vlan50
NameCONTA
vlan60
nameCONSULTING
vlan70
nameGERENCIA
vlan100
nameMARKETING
exit
interfaceg0/1
switchportmodetrunk
noshutdown
exit
Interfacerangef0/1-4
switchportmodeaccess
spanning-treeportfast
spanning-treebpduguard
exit
interfacef0/1
switchportaccessvlan50
exit
interfacef0/2
switchportaccessvlan100
exit
interfacef0/3
switchportaccessvlan60
exit
interfacef0/4
switchportaccessvlan70
exit
========================================================
======P
CLANMIAMI
PC0
IP=192.168.1.2
MASK=255.255.255.0
GATEWAY=192.168.1.1
PC1
IP=192.168.2.2
MASK=255.255.255.0
GATEWAY=192.168.2.1
=========================================================
=====PCLANPANAMA
PC2
IP=192.168.5.2
MASK=255.255.255.0
GATEWAY=192.168.5.1
PC6
IP=192.168.6.2
MASK=255.255.255.0
GATEWAY=192.168.6.1
PC4
IP=192.168.7.2
MASK=255.255.255.0
GATEWAY=192.168.7.1
PC3
IP=192.168.100.2
MASK=255.255.255.0
GATEWAY=192.168.100.1
Estatopologíalepermitealestudiantedesarrollarhabilidadesdeentendimiento
anivel deconfiguración,tambiénpermitecrearcasosdetroubleshooting,
dondeelestudiante tendráqueponerapruebasushabilidadesyconocimientos
pararesolverelproblema, aquísedesglosanalgunasideas:
NoagregarenelInterVlanRoutingalgunavlandelaLAN.
Noestablecerelenlaceentreelswitchyelroutercomotrunk.
NoagregarlaVlanalpuertodeaccesodelHost.
EstablecerentrealgúngrupodeEtherchanneldosenlacesenauto.
Capítulo24-IntroducciónaWireless
Enesteerayautilizamoslasredesinalámbricastodoslosdíasaunquetalveznolas
entendamos.
Noshemosacostumbradoaleerrayitasennuestrocelularolaptopparasabersitenemos
cobertura
Ysabemosquedealgunamanera“mágica”tenemosaccesoaInternet.
Enestecapítulosvamosaentendercómofuncionanlasredesinalámbricas,lostiposde
redesinalámbricasycómointeractúanconlasredesLANqueyahemosestudiadohastael
momento.
TiposdeRedesinalámbricas
Lasredesinalámbricaslaspodemosclasificarsegúnparaelrangodecoberturaparaelcual
fuediseñada
● WPAN-WirelessPersonalAreaNetwork:E stasredessonlasqueutilizamosen
nuestroespaciopersonalcomonuestroaudífonosinalámbricos,mousede
computadorainalámbrico,cuandoutilizamoselcontrolremotodelTV.
○ Menosde10metrosdecobertura:B luetooth, infraredcommunications,
NFC(NeaFrequencyCommunications),ZigBee.
● WLAN-WirelessLocalAreaNetwork:E staeslaredinalámbricaque
acostumbramosautilizarennuestrascasa,empresas.EstelibroyelCCNAvaa
enfocarseenestetipoderedesinalámbricas.
○ Menosde150metrosdecobertura:W iFi,IEEE802.11
● WMAN-WirelessMetropolitanAreaNetwork:C uandorealizamosconexiones
entreedificios.
○ Menosde50kilómetrosdecobertura:W iMAX
● WWAN-WirelessWideAreaNetwork:L asredesdecelulares,redessatelitales
sonWWAN.
○ Menosde50kilómetrosdecobertura:2 G,3G,4G,LTE,5G,VSAT
Esimpresionantecomohoyendíapodemostenerunaconectividadencualquierpartedel
mundograciasalasredesinalámbricas.
Losbarcosporejemploenmediodelmar,ouncampamentoenmediodeldesiertopuede
conectarseaInternetgraciasalatecnologíaVSAT
¿Cómonoscomunicamosenlasredesinalámbricas?
Paraentenderlasredesinalámbricaspodemosusarcomoanalogíaelsonido.Elsonido
viajaenunespacioabiertoyesrecibidopornuestrooídos.
Sielespacioesmuyabiertoelsonidoviajalibremente.Sitenemosparedes,lasparedes
logranabsorberunpocoelsonido.
Elsonidoviajaaciertadistanciaperonosudistancianoesinfinita.Supotenciasepierde
conformeviajaenelespacio.
Enunaconversaciónnormalentredospersonaslaformacorrectadeconversaesquesolo
unapersonahablealavezylaotrapersonaescuche.
¿Quésucedecuandodosomáspersonashablanenformasimultánea?
Essonidochocaentresíyseproduceruidoelcualhacemásdifícildeentenderuna
conversación.
Estemismoprincipioaplicaparalasredesinalámbricasyaqueestassontransmitidasal
igualqueelsonidoporR
adiofrecuencias,similaresalasondasproducidasporelsonido
soloqueenlugardesercreadasproductodelavibracióndeunobjetoestassoncreadas
porunaantenausandounc ampoelectromagnético.
Lasredesinalámbricasalfuncionanenelmismoespacioabiertoqueelsonido,porloque
soloundispositivodebetransmitirenformasimultáneadelocontrarioseproduce
interferencia.
Estohacequelasredesinalámbricasseanhalf-duplex.¿Recuerdanloswalkietalkie?
funcionanexactamenteigual.
Sidosdispositivostransmitenalavezenformasimultáneaocurreunacolisióno
interferenciaporendesedebecrearunordenparaquesoloundispositivotransmitaen
formasimultánea.
Unaanalogíamás,aligualqueenunaclaseendondeleprofesoroprofesoraesquien
controlaaquienledalapalabraparaquesecomunique.
Enlasredesinalámbricasocupamosundispositivoquebrindeunordenalacomunicación
entrelosclientesdelaredinalámbricaeindiquequiéntieneelturnoparapodertransmitir.
EstedispositivoselellamaA CCESSPOINT.
ElP
untodeAccesoeseldispositivoqueconectaalosclientesinalámbricosconla
redcableada.esdeciresquienbrindaaccesoalared,deahísunombre.
TopologiasWirelessLAN
Existendistintasredesinalámbricas,algunasinclusivenoentrandentrodelexamende
CiscoCCNA200-301,sinembargoenVLAcreemosquevalelapenamencionarlas.
WifiDirect(noentraenCCNA)
Esteesunaredinalámbricaqueutilizamosmuchocondispositivoscaseroscomorealizar
unstreamingdeunapelículademiscelularalapantalladeTV.
Adiferenciadeuna
conexiónWifinormal,Wifi
Directnonecesitaunpunto
deaccesoparagestionarla
conexión(comounroutero
hotspot)esdecir,quesin
esepuntodeacceso,los
dispositivosnosepueden
"ver"; conloqueconWifi
Directsepodrámandar
archivosdirectamente
Utiliza3macaddress
Bluetooth(noentraenCCNA)
Estoesunaredinalámbricadistintaalo
acostumbradoaWIFI.Sufunción
principalesladeeliminarelcablede
dispositivosmóvilesparacomunicarse
deunamanerainalámbrica.
Porloquesiañosatrásusteddeseaba
ponerunacanciónconaunparlante,
normalmenteustedconectabauncable
deaudioparatransmitiresacanción.
Hoysimplementeseconectapor
bluetoothyseeliminaesecable.
NearFrequencyCommunications-NFC(NoentraenCCNA)
Estaesunaredinalámbricaque
funcionaamuycortoalcance(menos
de10centímetros).
Alserdetancortoalcancefunciona
parainterfacturadeformacontactless
(sincontacto)
Porejemploparapagardeforma
contactless
BasicServiceSet
Estaesladefiniciónbasedelasredesinalámbricasconestovamosexplicaalgunos
términos.
LasredesWirelessLANserigenapartirdelestándardelaIEEE802.11.Enesteestándar
sedefineelconceptodeunB asicServiceSetelcualesunaredinalámbricacontrolada
porunúnicop untodeacceso.
CONCEPTOS
● SSID:ServiceSetIdentifier,e steeselnombredelaredinalámbrica.Algunos
AccessPointssoportanmúltiplesredesinalámbricasporendecadaunadeellases
unSSIDdiferente.
● BSSID:BasicServiceSetIdentifier:E staesunaMAC-Addressúnicaconelcualel
clienteseasociaparapoderidentificaraqueAccessPointseencuentraasociado.
● BSA:BasicServiceSetArea,e steeseláreadecoberturadelaantenadelaccess
pointenelBSS.
UnclásicoejemplodeunBSSeslaredinalámbricadenuestracasaelcualporlogeneral
estácompuestodeunúnicopuntodeacceso.
● DistributionSystem:E stadefiniciónserefierealaconexiónentreelA
ccessPoint
ylaredcableada.
EsimportantecomprenderquecuandotenemosunA ccessPointtodacomunicaciónse
haceatravésdelA Pyenningúnmomentolosclientessecomunicandirectamente.
OtroaspectoimportanteesqueelAccessPointsecomunicaconlaredcableadaporende
eselpuenteentrelaredinalámbricaylaVLANysubred.Unaccesspointesunaextensión
delaredcableadahacialaredinalámbrica.
SitenemosVLANspodemosasociarmúltiplesSSIDsasurespectivaVLAN.Cadauna
tendrásupropioB
SSID-BasicServiceSetIdentifier(Macaddressqueidentificaal
SSID)
Duranteestecapítulononosestamosrefiriendoaunrouterinalámbrico,queesloque
usualmentetenemosennuestrascasas.Unrouterinalámbricoporlogeneralesun
dispositivoquecumplemúltiplesfuncionesenunosolocomounrouter,switchyaccess
point.
ParaefectosdeestoscapítulosnosreferimosúnicamentelafuncionalidaddeunAcces
Point.
ExtendedBasicServiceSet
Estaeslainfraestructuratípicaquenosvamosaencontrarenunaempresa.Tenemos
múltiplesAccessPointsconectadosalamismaLANytransmitiendoelmismoSSID.
NoteeneldiagramaqueambosAPstransmitenelSSID “mywifi”sinembargocada
APtienesupropiomac-addresslocualhacequeselogrediferenciarlaseñaldecada
APocadaBasicServiceArea.
Tambiénpodemosnotarquelasseñalesdecadaaccesspointsetraslapanunaconotra.
Estoesimportanteenundiseñodondesedeseaqueelusuariosecrucedeunlugaraotro
sindesconectarsedelared.EsteefectosellamaR
OAMING.
AD-HOCNetwork -Independentbasicserviceset(IBSS),
Estassonredesinalámbricas
endondenoexisteun
AccessPointsinoquelas
computadorasseconectan
directamente.
Atravésdelsoftwaredel
sistemaoperativolas
computadoraslogran
comunicarse.
Estoesyaconsiderado
obsoletoperofuedelas
primerasredesinalámbricas
queexistieron.
Wirelessrepeater
Undispositivowirelessenmodorepetidorloquehaceesquetomalaseñaldelaccesspoint
ylarepiteconelfindeextendersucobertura
ElrepetidortieneunaconexióneléctricaperonoestácableadoalaredLAN.Únicamente
tomalaseñalquerecibetantodelAccessPointcomodelclienteinalámbricoylaextiende.
Unimportanteaspectodeldiseñoesqueelrepetidortienequeencontrarseconlaseñal
fuertedeparteelAPporloqueserecomiendaalun50%detraslape.
AdicionalmentealgunasdeficienciasesquedebeoperarenelmismocanalqueelAPy
comoyasabemosqueestoesunambientecompartidosetiendeacrearcolisionesypor
endea quelatransmisióndedatosseamáslenta.
WirelessWorkgroupBridge
Otroescenarioeseldetenerdispositivosquedebansercableadosporquenoposeenuna
tarjetaderedinalámbricaperoestánfísicamenteubicadosenunescenariodondesolo
puedellegarlaredwireless.
ElW
orkoutGroupBridgefuncionacomoundispositivoqueseleconectaequipocableado
peroestetieneunatarjetaderedinalámbricayseconectacomosefueraunclienteaun
switch.
Existendos tiposdeW GB
● Universalworkgroupbridge(uWGB):SolotieneunpuertoEthernetporendesolose
puedepuentearunúnicodispositivo.
● Workgroupbridge(WGB):Cisco-proprietaryimplementaciónquepermiteamultiples
dispositivoscableadostransmitiratravésdelW GB
OutdoorBridge
UnA Pp
uedeserconfiguradocomounpuenteparacrearunenlaceentredosA Psp ara
unificarlargasdistancias.
Usualmenteseutilizaparaconectardosedificiosoparaconectaralolargodeciudades
utilizandoantenasdireccionales(másadelanteexplicaremoslostiposdeantenas)
PuedenserdostiposdePuentes:
● PointtoPoint
● PointtoMultipoint
WirelessMesh
Lasredeswirelessmeshsonbastantepopularesyefectivasporquebrindanlaflexibilidad
deexpandirlaredinalámbricasinnecesidaddecableado.
AdiferenciadeunrepetidorunAccessPointenmodoW
irelessMeshu tilizaunabanda
(frecuencia)paracomunicarseentrelosaccesspointsyotrabanda(frecuencia)para
comunicarseconlosclientes.
Usualmenteutilizancomob ackhaulu nafrecuenciaenlabanda5.0Ghzyparacomunicarse
conlosclienteslabanda2.4Ghz
EnestatopologíaexistendostiposdeAPs:
● RootAP:ElRAPeselaccesspointqueestaconectadoalaredcableada.
● MeshAP:elMAPeselaccesspointquenoestaconectadoalaredcableadasino
quesecomunicaentreotrosAPspormediodelbackhaul.
RadiofrecuenciasyCanales
Hastaestepuntoyasabemosquelasredesinalámbricasemitenunaseñal.Estasseñales
sonR
adiofrecuencias.
LasantenasdelosAccessPointydelastarjetasderedinalámbricastienenlacapacidadde
emitirondaselectromagnéticas.
EstasondasselesllamaRadiofrecuenciasporqueenefectoexisteunciclo,esdeciruna
secuenciaquesecumpleconcadaondaemitida.
observemoselsiguientegráfico
Lasondasinalámbricasoradiofrecuenciacumplenuncicloenelcuallaondasubeybaja
enlaamplitud.
Dentrodecadaunodeestosciclospodemosalmacenardatosesdecirb its.
Amayorfrecuencia,esdecirmayorcantidaddeciclosporsegundo,mayor
transmisióndedatos.
Cadaciclocumplidoseleconocecomounhertz
Lacantidaddeciclosporsegundoeslaformademedirlafrecuenciadetransmisión.
Acontinuaciónunatablademedición:
Elespectroelectromagnéticoestádivididodesdeondasqueseutilizanparlatransmisiónde
datoscomolaRadioAM,FM,televisiónabierta,RedesWLANhastacalentarlacomidaen
elMicroondas,losrayosX,RayoxGama,entreotros.
Elespectroderedesinalámbricasescomoselellamaalespacioparatransmitir.
Esteespectroestácompuestodistintasfrecuenciasdetransmisiónycanales.
Todatransmisióninalámbricaenelplanetaestáregulada.Cadapaístienefrecuenciasque
sonreservadasoserequieredeunalicenciaparapodertransmitir.
DeestamaneranocualquierapuedeinterferirlaseñalderadiodenuestroprogramaFM
favoritoolatelevisiónabierta.Asícomootrascomunicacionesenaeropuertos,barcos,
policías,ambulanciasydemás.
TodoestosestándaresestánregidosporIn ternationalTelecommunication
Union-RadiocommunicationSector(ITU-R)
ElITU-Rd eterminounaseriedebandaslibresdeusoparaquecualquierapuedatrasmitir
libremente.
EstasbandassonconocidascomoISMbandysignificaIndustrial,ScientificandMedical.
Lasbandas ISMson:
● 900MHz:EstanoseutilizapararedesWifi
● 2.4GHz: L abandamáspopulardetransmisión
● 5GHz:M enospopularporendemenosinterferencias.
Estossonlosnombrepopularesyaquelasbandasrealessonunrango.Asicomolas
estacionesderadioAMyFMelcualtieneunrangoenlasbandas.
Losrangosquenosimportansonestos:
Para2.4Ghz
Rango de2.400a2.4835GHz.
Para5Ghzexisten4rangos
5.150a5.250GHz
5.250a5.350GHz
5.470a5.725GHz
5.725a5.825GHz
Sibienesciertoqueloanteioresimportantecomprenderlo,noesimportanteaprenderse
losrangosdememoriasinotenerunanocióndequeexisteunrangodetransmisión.
Estonosvaaintroduciraunconceptoclaveenlasredesinalámbricasysonlosc
anales.
Canales
¿Cuálessuestaciónfavoritaderadio?EnmicasosoydeCostaRicayescuchouna
estaciónderadiolacuales95.9FM
Noanotadoustedquecuandoquierecambiardeestacióntienequemoverseal
menosHertzdedistanciaentreunaestaciónyotra
Porejemplosicoloco95.8FMaúnsigoescuchandounpocolaradio,aligualsicoloco96.1
FM.
Estosucedeporalgoquelellamamoscanales,Uncanalsonllevaunrangodelabanda
paratransmitirysiotraestaciónderadiotransmiteenunabandaquetraslaparaelcanal
tendríamosinterferencia.
EstomismosucedeconlasredesWirelesyelejemplomásexactoeslabanda2.4Ghz
Observemosloscanalesdeestabanda:
Cadacanaldelabanda2.4Ghzmide22Mhz.Esdecirelcanal1porejemplovadesde
2.400Ghzhasta2.422Ghz.
Aspectosimportantes:
● Cadacanalnoestáseparadopor22Mhzsinoquesetraslapan,esdecirque
invadenelespaciodeuncanalaotro.
● Sidosaccesspointtransmitenenelmismocanalocanalesquetraslapanesto
produceinterferenciaenlatransmisión(colisiones).
● Enlabanda2.4Ghzsoloexisten3canalesnotraslapablesqueson1,6y11.
Porendenospodemosrealizarunapregunta¿Comosedebendiseñarlasredes
inalámbricas?
Lagráficaanteriormuestracomodebedecolocarselosaccesspointsyobservencomolas
celdassetraslapanentreellasperoporestarencanalesdiferentesynostraslapablesnose
produceningunainterferencia,
Dichosamenteestoaavanzadomuchoylamayoríadelosfabricantesyademanera
automáticalograndetectarcuálescanalesestánlibresyporendeelAPautomáticamente
seleccionauncanallibreparatransmitir.
Enelcasodebanda5.0Ghztenemosunamayorcantidaddecanalesnotraslapableslo
cualnosdaunamayorlibertaddediseño
Tiposdeantenas
LaondaqueemitelasRadiofrecuenciasfuncionandeunamaneraquesevaexpandiendoa
lolargodelespacio.
Imaginequeseencuentraenunestanquedeaguatotalmentecalmadosinmovimientoy
sueltaunapiedra.Esapiedravaaemitirunaonda.
Similaraesteejemplofuncionanlasseñalesinalámbricasypodemosencontrar
principalmente3tiposdeantenas
● Lasantenasomnidireccionalessonlasmáscomunesyemitenunaseñalhaciatodos
ladosexpandiéndosecomosifueraunadona.
● Lassubdirecciones emitenlaseñalenunadirecciónydeformaexpansiva,esdecir
sisecolocanenunaparednadadetrásdelaantenavaarecibirlaseñalsinotodolo
queestáalfrente.
● Lasantenasdireccionalesusualmenteseutilizanparaconexionespuntoapunto.
Muyusadasentreconexionesdeedificios.
Ladistanciadecoberturadecadaantenadependemuchodelapotenciaconlacualse
transmiteyestovaríaporcadafabricante.
SinembargoutilizaunaunidaddemediciónquesellamaG ANANCIA.
Medicióndelaseñalinalámbrica
Laseñalinalámbricasemideendecibeles,estaeslamismaunidaddemedidaqueel
sonido.
Podemosutilizarsoftwareparaanalizarlaseñal,existenmuchosyunagranmayoría
funcionaparahacerunestudiobásico(noprofesional).
Vamosanotarquesinuestracomputadoraestáliteralmentealapardelaccesspoint
podemosverunaseñalde-20dB.Estoesbuenismo.
Ellímiterecomendadoparadatosrondaporlos-70dByparavozsobreIP-65dB.
Másalládeestosvaloresvamosaencontrarproblemasenlatransmisióndedatos.
Estándaresyvelocidades
Elespectrodefrecuenciasinalámbricasnocambia,estofuecreadoporDiosyesuntema
defísica.
Losmanufacturadoreshanlogradocreartecnologíaquelogrametermásdatos(bytes)
dentrodelamismaondainalámbricaincrementandoelanchodebanda.
Asuvezutilizandootrastécnicasdetransmisióncomomásantenasenformasimultánea
comoloeslatecnologíaMIMO(MultipleInputMultipleOutput)
EstoesregidoporestándaresdelaIEEEelcualestandarizalasvelocidadesyformasde
transmisión
Latablaanteriormuestralabandayvelocidadasociadaalestándar.TantolosAccessPoint
comolosclientesinalámbricospuedensoportarmúltiplesestándaresyquedademásdecir
queparapodersecomunicarsedebeusarelmismoestándarenambosdispositivos.
Latablaanterioresfundamentalysiesimportanteaprenderladememoria
Capítulo25-ArquitecturadeRedes
Wireless
Yahemoslogradocomprendercómofuncionaunredinalámbrica.Enestecapítulovamosa
explorarlaarquitecturadedelasredesinalámbricas.
Enmispalabrasyopuedocategorizaronendosgrandescategoríasyluegounas
subcategorías
● AutonomousAccessPoints(PuntosdeAccesoAutónomos)
● Administracióncentralizada,yestoslosdividimosendos
○ Cloud-base
○ WirelessLANController
Recordemosqueelespectroinalámbriconocambiaparalasradiofrecuenciasperoloque
sípodemos cambiareslaformaenlaqueadministramoslasredesinalámbricas
AutonomousAccessPoint
Estafuelaprimeraversióndeadministracióndeunaredinalámbricayaúnsiguesiendo
muyfuncionalpararedesmuypequeñas.
UnAPautónomosignificaqueposeeunsistemaoperativoenelcuallaadministracióndel
APylaredinalámbricaquetransmiteseadministradesdeelmismoaccesspoint.
EsteAPpuedefuncionarporsísolosindependerdeotroselementosparacrearlared
inalámbrica,deahísunombredeautónomo.
Supuntomásdébileslaadministración yaqueagranescalase vuelvecadavezmás
difíciladministrardeformaindividualcadaAP.
UnAccessPointesunaextensiónderedcableadaporendedelamismamanera,cuando
yoconectodeunswitchaotroswitch,ocupamosunpuertotrunkparapoderpasarlas
VLANs,deigualformasenecesitaunpuertotrunkparapasarlasVLANsalAccessPoint
autónomo.
Podemosobservarenellagráficaanteriorquetenemos3VLANs:
● VLAN10Administrativa
● VLAN20
● VLAN30
ElA Pc omocualquierotrodispositivoconectadoaunarednecesitaunadirecciónIP.Una
buenaprácticaescolocarlasIPsdelosequiposderedesenunVLANapartequellamamos
VLANadministrativa.PerodeigualmaneraelAPpuedeestarencualquierVLANmientras
seaalcanzable,aunqueloanteriornoseaunabuenapráctica.
UnAccesPointAutónomoseencargadelassiguientesfunciones
● Managementfunctions(funcionesadministrativas):
○ Clientauthentication(Autenticacióndeclientes)
○ Securitymanagement(Administracióndelaseguridad)
○ Associationandreassociation(roaming)(Asociacióndeclientes)
○ QualityofService(QoS)(CalidaddeServicio
● Real-timefunctions(Funcionesentiemporeal):
○ Transmissionof802.11frames(transmisióndetramas)
○ MACmanagement(ManejodeMAC)
○ Encryption(Encriptación)
Todoestolohaceununsoloequipoynosbrindaprincipalmenteproblemasdeescalabilidad
como:
● Dificultadparaadministrarlasradiofrecuencias,esdecirlasceldasde
transmisión,sitenemosproblemasendondeunAPestátransmitiendoenunrango
másdelnecesitadodebemosingresaralAPindividualmenteybajarlelapotencia.
● Manejodelaseguridad:A cadaaccesspointseledebeconfigurardeforma
individuallasclavesdelosSSIDs,losnombresydemástemasdeseguridad.
MuchasveceseselmismoperfilparatodoslosAPsynoesescalable,imagínese
quetiene1000APsyderepentehayquecambiarlelaclaveatodalared.
● Difícildeteccióndeintrusos:A lnoserunainfraestructuracentralizadacuestamás
detectaryotrosaccesspointsnoautorizadosestánconectadosenlaredasícomo
deteccióndeintrusos.
SolucionesaestoyaexistendebidoaquelosAPnosonlosúnicosdispositivosconun
sistemaautónomoyquehagranescalasevuelvedifícildeadministrar.
Existensoftwarequepuedeadministrarmúltiplesdispositivosenformasimultánea
utilizandoprotocoloscomoSNMP(quemásadelanteellibrosehabla).
UnodeestossoftwaredenuestroanfitriónCiscoeselCiscoPrimeInfrastructure.Este
cursonosebasaenestetemaporloquedejaremosellinkporsideseansabermás.
https://www.cisco.com/c/en/us/products/cloud-systems-management/prime-infrastructure/ind
ex.html
Could-BaseAPArchitecture
Estetipodesolucionessoncadavezmáspopularesyfrancamenteypersonalfavorita
Variosmanufacturadoresacreadosolucionesenelcualeldispositvoes“tonto”esdecirque
noesconfigurableotieneunaconfiguraciónmuybásicaapenasparaquepuedaconectarse
aInternetypuedaseradministradoporlanube
CiscotienealgunosproductosperosuprincipalesC ISCOMERAKI
Delamaneraenquefuncionaessencillo.
● SedebecrearunperfildelaredeneldashboarddeM eraki
https://account.meraki.com/secure/login/dashboard_login
● EneldashboarddeMerakiseasocianlosdispositivosregistrandolosconsunúmero
deserie.
● SeconectalosequiposaunaredquetengaaccesoaInternet.
● LosequiposobtienenlaconfiguracióndelperfildeMeraki
Esunasoluciónmuyfácildeadministrareimplementar.Eltráficolocaldelaredfluyecomo
unarednormalanivellocalyúnicamenteeltráficoadministrativoviajahacialanubede
Merakiparaseradministrado.
Altenertodoadministradobajounamismainfraestructurasepuederealizarmuchas
funcionalidadesdeinteligencia:
LasprincipalesventajasdeCiscoMeraki
CiscoMerakipermiteconvertirlaconexiónWiFienuncanaldeingresosofreciendouna
conexiónpermanenteconlosserviciosquefidelizan.Estassonsusprincipalesventajas:
● Gestionartodalareddesdeunúnicopaneldecontrol
● Controldeu suarios,aplicacionesydispositivos
● Nohayhardwaredelcontroladornisoftwaredeadministraciónqueinstalaro
mantener
● Infraestructuradeseguridadsegura(compatibleconPCIyHIPAA)
● Escalabledesdes itiospequeñoshastaimplementacionesdemillonesde
usuarios
LaconexiónWi-Fimarcaráladiferenciaentreloshoteles
CiscoMerakiofreceunasoluciónWiFiseguraeinteligente,fácildedesplegarygestionar,
queseintegraconlasredessociales.EstasoluciónWiFipermite:
● Aprovecharanalíticasderedparamejorarlaexperienciadehuéspedes
● DetectarlapresenciadeclientesenlaredWIfIatravésdesusdispositivos
móvilespodrá:
○ Obtenerunagrancomprensióndelmodoenqueseutilizanlasestanciasdel
hotel.
○ Disponerdeestadísticasútilesparafidelizarasusclienteseinformación
sobrenuevoshuéspedes.
○ Aprovecharelanálisisdedatosenlatomadecisionessobreladotaciónde
personal,horariosdeactividades,políticasdeaccesoainternetymás.
○ Integrarlainformaciónbasadaenlalocalizaciónconsistemasdegestiónde
relacionesconelcliente(CRM).
IntegraciónconFacebook
Además,CiscoMerakipermiteutilizarpáginasdeFacebookenlabienvenidaalasesión
Wi-Fi:
● Losusuariospuedenhacercheck-inycompartirsupáginaenunaexperienciade
usuariosinfisuras.
● AumentalavisibilidaddesunegocioenlasRedesSociales.
● Además,Facebookleproporcionaanálisisagregadosyanónimosdelaactividad.
● Redesqueseadministran100%enlanube.
MuchodeloanteriorescomercialdeCiscoynoentraenlacertificacióndeCCNAperoen
VLAcreemosqueesimportantequeloconozca
Split-MACA
rchitectures
Aquívamosaprenderalgunosconceptosnuevos.SelellamaSplit-MACArchitecture
porquedividenlasfuncionesdeunAPautonomousysecentralizanenunWirelessLAN
ControlleryunLightweightAccessPoint
● WLC:Esteesundispositivoquecentralizalaadministracióndelaredinalámbrica.A
estedispositivoseleasocianAccessPointLightWeight.
● LightweightAccessPoint:UnL APe sunaccesspoint“tonto”queseregistraaun
WLCparaobtenerdeahísuconfiguraciónyfuncionamiento.
Básicamenteestaarquitecturadividelasfuncionesdeunaredinalámbricaendos:
Tenemosconcontroladorqueseencargade:
● Managementfunctions(funcionesadministrativas):
○ Clientauthentication(Autenticacióndeclientes)
○ Securitymanagement(Administracióndelaseguridad)
○ Associationandreassociation(roaming)(Asociacióndeclientes)
○ QualityofService(QoS)(CalidaddeServicio)
YlosLightweightAccessPointseencargande:
● Real-timefunctions(Funcionesentiemporeal):
○ Transmissionof802.11frames(transmisióndetramas)
○ MACmanagement(ManejodeMAC)
○ Encryption(Encriptación)
EnresumentodalaadministraciónconfiguraciónseadministraenelWLCyelmanejode
losdatoslocalesaniveldecapa2semanejanenelLAP.
AlgomuyimportanteacomprendereslainteraccióndeltráficoentreelL
APyelWLC
¿CómofuncionaLightweightAPconunWLC?
Utilizaunprotocoloquesellama:
ControlandProvisioningofWirelessAccessPoints(CAPWAP)tunnelingprotocol
EsteprotocoloencapsulaeltráficodelosA
PenunnuevopaqueteIPcondestinoalWLC
creandountúnelentreelAPyWLC.
Estetráficopuedeserenrutadoymanejadoporswitchescomocualquierotroloquepermite
queelW LCpuedaencontrarseenotrasubredmientrassetengaconectividad.
EltráficodelosclientesdelosAPsdebellegarhastaelWLCdondesevalidacontra
laspolíticasdeseguridad,calidaddeservicioyseprocesa.
Existendostiposdemensajes
● CAPWAPcontrolmessages:T ransportaeltráficoadministrativoparala
configuracióndelAccessPoint.Estetráficoseautenticayencriptaparaqueningún
APnoautorizadopuedaregistrarsealWLC.
● CAPWAPdata:EsmanejadoparaeltráficodelosclientesasociadosalAccess
Point.Pordefectoestetráficoviajasinencriptar.Puedeserencriptadoutilizando
DatagramTransportLayerSecurity(DTLS).
Nota:CadaAPyWLCutilizauncertificadodigital.UncertificadoX.509espreinstaladoen
cadadispositivomarcaCisco(APoWLC).
TiposdeWirelessLANController
Existen3tiposdeWLCCisco:
● Virtualizado:SecolocaelsoftwaredelWLCenunservidor,estepuedecolocarseen
undatacenter.
https://www.cisco.com/c/en/us/products/wireless/virtual-wireless-controller/index.html
● Unficado:EstoesunhardwareWLCquecentralizasuadministación
https://www.cisco.com/c/en/us/products/wireless/catalyst-9800-series-wireless-contro
llers/index.html
● Embedded:EstoesunWLCdentrodeotrodispositivoCiscocomounswitch:
https://www.cisco.com/c/en/us/products/wireless/embedded-wireless-controller-on-ca
talyst-access-points/index.html
● MobilityExpress:
https://www.cisco.com/c/en/us/solutions/enterprise-networks/mobility-express/index.h
tml#~benefits
Capítulo26-Seguridadderedes
inalámbricas
Hastaelmomentohemoscomprendidoquelasredesinalámbricassetransmitenenun
espacioabiertopormedioderadiofrecuencias.
Hicimosunaanalogíaqueelsonidosetransmiteenunespacioabierto.Supongamosel
siguienteescenario.
Ustedestáenunadeesperacondosfamiliaressuyosyenlamismasalahaydesconocidos
ymásdeunoquenotienenmuybuenapinta(dramatismoparaintroducirunciberladrón)
Ustednecesitacontarleasusfamiliarescuántodinerohayensucuentabancaria,decirlesa
susfamiliarescuálessuusarioycontraseña.¿Complicadono?
Buenoennuestroescenarionoexisteelhablaraloídosinoquecuandohablamoselsonido
viajaytodosescuchan.
¿Cuálpuedeserunasolución?Encriptarelmensaje,paraquecuandoloescuchennolo
entiendan.Noleshapasadoqueestánenalgúnlugaryalguiencomienzahablaralgún
idiomaqueustednodominaperonidecir“hola”Amimepasaesoconlosidiomascomoel
ruso,literalmentenoentiendonada.Sialguienhablaenrusoalaparmíaaunquemisoídos
escuchenyonolevoyaentender.
Lomismopasaconlasredesinalámbricas.Cuandoustednavegaensubancopormedio
dewireless.Lasondasderadiofrecuenciavanallegaraotrosdispositivosqueaunqueno
estánasociadosalmismoSSIDpuestambíentienenantenas(oídossiseguimosla
analogía)yvanaescucharlainformaciónporendedebemostenermétodosdeseguridad
quenosayudenaqueaunquelosdatoslleguennosevanalogrardesencriptar.
Cuandohablamosdelaseguridadenredespodemosdividirloendosgrandesáreas:
● Autenticación:Estoserefierealaasociacióndeformaseguradeunclientealared
inalámbrica.
● Privacidaddelosmensajes:Cómopodemosencriptareltráficodelaredinalámbrica
paraqueotrosdispositivosnopuedanescuchareltráfico
Analicemosahoraciertoselementosyconceptosqueen conjuntobrindanseguridadauna
redinalámbrica
Autenticación
ParaasociarnosaunSSIDprimerodebemosautenticarnos.Estetipodemétodode
autenticaciónpuedevariarmucho:
● Desdeunasimplelíneadetextoconlaclave
● Unusuarioyunpassword.
● Otrosfactorescomoelhardwaredelacomputadora.
● Untoken.
Cadamétodotieneunafunciónyunniveldeseguridad.¿Quésucedessiessolounaclave
enunalíneadetextoymerobanlacomputadora?Estapersonapodríairalaempresa
dondeseconectalacomputadoraalredinalámbricayteneracceso.
Deahíqueexistevariosmétodos,dependiendodelosrequerimientosdeseguridadque
puedesolicitarmáscosasparaserautenticados.
ManinthemiddleAttack(Ataquedehombreenelmedio)
LamayoríaderedesinalámbricastransmitensuSSIDyloshackerspuedentomarese
nombreysuplantarlaidentidaddeunSSID.
EnestecasocrearunSSIDconelmismonombreperofalsoyasíobligaralclientewireless
quemedesuclavedeacceso.
Paraevitarestetipodeataquesseautenticacadatramaparavalidarelorigendelatramay
queseadelAccessPointalqueestoyasociadoynoacualquieraquecopieelnombre
MessagePrivacy
Paraasegurarnosdelaprivacidadyseguridaddecadatramaenviadaentrecadacliente
wirelessyelSSIDalcualestánasociadoseutilizaunmétododeencriptación.
Cadatramaseencriptaantesdesertransmitidaysedecriptaalserrecibida.
ExistendiversosmétodosdeencriptaciónperoseutilizaelmismoporcadaSSID.
¿CómosediferenciacadaclienteasociadoalmismoSSID?
Cuandounoencriptaunmensajeexistendoselementos,elmétododeencriptaciónyla
llaveparadesencriptar.
Transportarnosalaescuelacuandoenalgúnmomentousábamosdibujosenlugarde
letras.
EnmicasoutilizabaunárbolparainterpretarlaletraAyunacasaparalaletraCyTelaraña
paralaletraNdeNetasíquelesdejoestemensajeencriptado
🏠🏠 🌳
🕸
Puedenentenderlositienenlallave.Peroelmismomensajeconunallavediferentepuede
significarotracosa.
RecordemosquecuandotransmitimosenunaredinalámbricaelAccesspointcontrolatoda
comunicación,porloquecadatramaseencriptaentreelclienteyelAPycadaclientetiene
unallavediferenteomásbienungrupodellavesllamados“G ROUP-KEY”e nelcual
encriptarydesencriptarlosmensajes.
LarazóndeporquécadaclientetienesupropioG
ROUP-KEYesparabrindarseguridada
cadatransmisiónaúnentrelosmismosclientesdelSSID
MessageIntegrity
Esteconceptoestárelacionadoa¿
Cómoasegurarnosdequeelmensajeenlared
inalámbricanofuecambiadodurantesutransmisiónenelespacioabierto?
ElM
IC(MessageIntegrityCheck)eslafunciónparadeterminarqueelmensajenofue
cambiadodurantesutransmisión.
Piénselocomosufueraunsellodeseguridadelcualtieneuncódigo,alllegaralreceptorse
revisaelcódigo,sielcódigoenelmensajeesigualalcódigoquesetieneenelreceptor
significaqueelmensajenoasidoalterado.
Métodosdeautenticacióndeclientes
Comomencionamosalprincipiodelcapítuloexistendistintosmétodosdeautenticación.
Estossonelrequisitoquedebecumplirlosclienteswirelessparapoderasociarse.
Sepuededecirqueexisten3tiposdeautenticaciones:
● Abierta.
● Clavecompartida.
● Protocolo802.1xelcual incluyeunservidorexternoalaredinalámbricapara
autenticarelusuario.
Acontinuaciónvamosarealizaunbreveexplicacióndecadaunodeellos
Openauthentication
Autenticaciónabiertaeseso,¡sinclaves!Escomúnmenteutilizadoenespaciospúblicossin
embargoalnotenerningúntipodeautenticaciónpuesexisteelriesgodequecualquier
personaconbuenasomalasintencionessepuedaconectaralared.
LoúnicoquedebehacerunclienteparaasociarseaunO penAuthenticatione ssoportar
802.11yhacerunasolicituddeautenticaciónsincredenciales.
Características:
● SolosirveparaasociarseconelSSID
● Noseencriptaeltráficoporloqueotrosclientespodríanvereltráfico.
● Sepuedecombinarconotrosmétodosdeseguridadcomo802.1x
Otraformadeutilizarestetipodemétodoescombinarloconotrotipodeautenticación
dentrodelared.Porejemplomuchasvecesnosconectamosaredespúblicasyde
inmediatonosapareceunformulariowebenelcualdebemosllenarloyaseaconalguna
claveosolicituddeinformaciónparapoderteneraccesoalared.
WEP
Cuandoseinventóelestándar802.11deredesinalámbricassoloexistíadostiposde
autenticación,elO penAuthenticationyWEP.
WEPsignificaWiredEquivalentPrivacyoprivacidadequivalenteaunaredcableada
enespañol.
Esteprotocoloaunquebrindaunciertoniveldeseguridaddebidoaqueencriptalos
paquetestransmitidosenlaredinalámbricatienemuchasdeficiencias.
Características
● Utilizaunpresharedkeyounallavecompartida
○ Utilizauna llavede64bits(unalíneade64bitscomoclave),de128bitso
de256bits.LoanteriorsellamaW
EPKEY.
● WEPutilizaunalgoritmodecifradollamadoRC4.
● Tienelavulnerabilidaddequelaclavecompartidapuedeserrobada.
● Hackerspuedendescifrarlaclavecompartidacapturandoeltráficowireless.
○ EstodebidoaqueseutilizaelmismoWEPKeyparaelcifradodeltráficoy
estenocambiadurantelatransmisióndedatos.
● Soloseautenticacontraelcliente.
● NoprevienesiestamosconectadosaunAccessPointRouge(Falso).
Estefueelprimerprotocolodeautenticaciónydeencriptacióncreadoen1999.Sin
embargoparael2001seencontraronmúltiplesvulnerabilidadeshaciéndolopocoseguro
debidoasuarquitectura,porloquealaumentarlostamañosdelasclavesdeencriptación
sóloaumentaeltiemponecesariopararomperlo.
Parael2004WEPsedeclarócomounprotocolocifradoporloquenoserecomiendayes
pocoseguro.
802.1x/EAPFramework
Enestasecciónvamosutilizardosprotocolosparasepararlafuncióndeautenticaciónde
clienteswireless.
Alsepararestasfuncionespodemosutilizarunprotocoloconunservidorparaautenticar
clienteswirelessyrecagarelprocesodeencriptacióndedatosenotroprotocolo.
Setratadecombinarlossiguientesprotocolos:
● 802.1x:Esteprotocoloseutilizaparaautenticarusuariosparaaccederalaredtanto
enredescableadascomoinalámbricas.
● EAP:ExtensibleAuthenticationProtocol,estoesunconjuntodeprotocolosquese
puedenutilizarparaautenticarusuarioswirelessyencriptareltráficode
autenticación.
Comenzaremosexplicandocómofunciona802.1x
802.1x
802.1xesunprotocoloqueutilizaunservidorparaautorizarelaccesoaundispositivosyo
usuariosvíaunservidordeautenticación
Pasos:
● Elclientewirelessquesoporta802.1xtieneunafuncionalidadquesellama
Supplicante lcualsolicitaaccesoalared.
○ ParaestemomentoelclienteyaestáasociadoconelSSIDsinembargo
tienerestringidoeltráfico.Únicamenteeltráficode802.1xespermitido.
● ElA
utenticadorq uepuedeserunW LCounAPr ecibelapeticiónaunservidorde
autenticaciónelcualposeelabasededatosdeusuariosypasswordsyvalidasilas
credencialessonválidas.
● Sielclienteesautenticadocorrectamenterecibeunarespuestasatisfactoriael
servidordeautenticaciónenvíaalWLCoAPlasllavesparaencriptareltráficoyla
transmisiónsecomienzaaejecutar.
Notaimportante:802.1xayudaaeliminarAPRogue(APsnoautorizados)debidoa
queelmismoAPoWLCdebedetenerconfiguradolascredencialesdelservidorde
autenticaciónporloquenosoloseautenticaelclientesinoquetambiénelAP.
Enresumenelprotocolo802.1xesutilizandoparaautenticaralclientewirelesyutilizaun
supplicant(cliente),Unautenticador(APoWLC)yunAuthenticatorServer(Servidor
deautenticación).
Cadavezqueunclienteseasociadebedehacer todoelprocesodeautenticación.
DentrodelservidordeautenticaciónesdondeentraelprotocoloEAP.
EAP
EAPtieneunavariedaddeopcionescomométodosdeautenticación.Paraelcursode
CCNAnodebemosconocerlosaprofundidadsolotenerconocimientodesuexistencia.
EAPesunconjuntodeprotocolosquesepuedeseleccionardeformaindividualpara
autenticarusuarioswireless.Losadministradoresderedpuedenconfigurarenelservidorde
autenticaciónmúltiplesopcionesdelosprotocolossoportadosporEAPparaautenticar
usuarios.
MétodosdeautenticaciónEAP
Estetemaesconfusoytienemuchomásparaprofundizar,sinquererprovocarconfusión
vamosalistarlosmétodosdeautenticaciónEAPsinembargoparaelCCNAsolodedebe
conocerlaexistenciadelosmismos.
LEAP
LightweightEAP(LEAP):P rotocolocreadoporCiscoconelfindecubrirlas
vulnerabilidadesdeW EP.
● Utilizausernameypassword.
● Utilizamensajesde“challenge”.
● UtilizavariasllavesWEP-KEYsdeformadinámicaperocomoWEPfue
descifradoLEAPesunprotocoloobsoleto.
● NosedebeutilizarLEAPaunquemuchosequiposloofrecen.
EAP-Fast
EAPFlexibleAuthenticationbySecureTunneling(EAP-FAST):C iscocreóotrométodo
deautenticaciónmásseguro.
● LascredencialessonprotegidasutilizandoPAC(passingaprotectedaccess
credential)
● PACesutilizadocomounallavecompartida(sharedsecret)queseutilizaconel
servidordeautenticación(RadiusServer)yelcliente.Laautenticaciónsedaen3
fases:
○ Fase0:S egeneraunPACyseinstalaenelcliente.
○ Fase1:L uegodequeelservidordeautenticaciónyels upplicants e
autenticansecreaunT ransportLayerSecurity(TLS)tunnel.
○ Fase2:U tilizandoeltúnelTLSelusuariofinalseautenticabrindandouna
seguridadadicional.
PEAP
ProtectedEAP(PEAP):E stemétodointroduceelusodecertificadosdigitales:
● Utilizauncertificadodigital.UnCertificadodigitalposeeunafirmaelcuales
reconocidaporunaplataformaexternaquetécnicamenteselellamaC A(certificate
authority).E staentidadesdeconfianzatantoparaelclientecomoparaelservidor
deautenticaciónquienválidoquelaconexiónserásegura.
● Estecertificadodigitalúnicamenteestáenelservidor.Elclienteos upplicantconfía
enlaautoridaddeestecertificado.
● UtilizatambiénunTLStunnel eintercambialaautenticacióndelcertificadodigital
conunodeestosdosmétodos:
○ MSCHAPv2:MicrosoftChallengeAuthenticationProtocolversion2
○ GTC:GenericTokenCard:Estoesuntokenfísico,unhardwareexternopara
autenticarse.Comúnmentepodemosencontrartokensenlosbancospara
accederacuentasbancarias.
EAP-TLS
EAPTransportLayerSecurity(EAPTLS):E stemétodovaunpasoadelanteenelcual
existeuncertificadodigitaltantoencadaclientewirelesscomoenelservidorde
autenticación.
EAP-TLSesconsideradoelmétododeautenticaciónmásseguroqueexistehastael
momentosinembargosuimplementaciónescomplejayaquerequiereinstalarun
certificadodigitalacadaclientewirelesslocualpuedenoserescalable.
EnresumensabemosqueEAPesunconjuntodecomplejosprotocolosyquehemos
mencionadociertosconceptosaúnnoexplicadosenestelibro.Laseguridadwirelessva
muchomásalláqueelcontenidodelCiscoCCNA.Porelmomentoelconsejoesidentificar
losmétodosdeautenticaciónEAP.
WirelessPrivacyandIntegrityMethods
Unavezelclientewirelessesautenticadoyselepermitetransmitirenlaredinalámbrica,
cadatramaqueseenvíadebedeserencriptadaparaqueestanopuedaserdescifradapor
otrosclienteswirelessenelespectro.
HemosaprendidoqueWEPfuedescifrado.LuegodeWEPsecrearonlassiguientes
opciones:
TKIP
TemporalKeyIntegrityProtocol(TKIP):P rotocolosucesordeW EP.Compartealgunas
llavesWEPp orloquetambiénfuedeclaradoobsoleto.Secreócomounprotocolo
intermediomientraslaIEEEcreabaunnuevoestándarpararedesinalámbricasel8 02.11i
ElTKIPteníalassiguientescaracterísticas:
● MIC:MessageIntegrityCheck:Estealgoritmoagregaunvaloracadatrámaelcual
debeserratificadoporelreceptordelatrama.Siambostieneelmismoresultadola
tramanofuemodificada.
● Timestamp:UnamarcadetiemposeagregaelMICparaevitarquecopiary
reenviarlasmismastramas.Recuerdenqueporserwirelessyopuedoescuchar
estastramasyrepetirlas.Estoseevitacolocandounamarcadelahoraemitidadela
tramaenelMIC.
● Sender´sMACAddress:ElMICtienetambiénladirecciónMACorigen.
● TKIPsequencecounter:Sellevaunasecuenciadetramasenviadasparaevitar
ataquesderepetirtramas.
● Keymixingalgorithm:EstealgoritmoencriptacadatramaconunallaveWEPúnica
portramade128bits.
● Longerinitializationvector(IV):Alutilizarllavesde128bitsestoquieredecirquehay
hayun2^128posibilidadesdeunallavelacualparaelojohumanoesprácticamente
imposibledescifrar.Existenataquesquesellamanf uerzabrutae lcualconsisteen
poneraunacomputadoraatratardescifrartodaslas2^128posibilidades.Cuanto
puedetardarendescifrarestodependedelpoderdecómputodelamáquinaperoes
biendifícil.LoquehaceelIV(L
ongerinitializationvector)esagregarlede24a48
bitsmáslocualhacemásdifícilsudescifraje.
CCMP
Counter/CBC-MACProtocol(CCMP):E sconsideradomásseguroqueTKIP
Utilizadosalgoritmosparaencriptar:
● AEScountermodeencryption:Estaesunmétodoqueutilizallavesde256
bits.
● CipherBlockChainingMessageAuthenticationCode(CBC-MAC)utilizado
como messageintegritycheck(MIC)
Esteeselprotocoloactualutilizadoporelgobiernodelosestadosunidosparaencriptar.
Esunestándarabierto.
LosdispositivoswirelessviejosquesolosoportanWEPnopuedenutilizarloyaquese
requiereunhardwaremásavanzadoparautilizarAES
GCMP
Galois/CounterModeProtocol(GCMP):M ásrobustoqueCCMP
Utilizadosalgoritmosparaencriptar:
● AEScountermodeencryption:Estaesunmétodoqueutilizallavesde256
bits.
● GaloisMessageAuthenticationCode(GMAC)utilizadocomo message
integritycheck(MIC)
WPA,WPA2,andWPA3
¿SabendedondevienelapalabraWi-Fi?deWi-FiAlliance(h ttp://wi-fi.org),Esuna
organizaciónsinfinesdelucroquesededicaalainvestigaciónsobreredesinalámbricasde
cómopuedemejorarse.
EmpresasCisco,Juniper,HP,DELL,IBMydemásdonanaestaorganizaciónyseles
acreditautilizarestosestándares.
Wi-FiAllianceintrodujolacertificacióndeindustriaWi-FiProtectedAccess(WPA).
Alafechaexisten3versionesW PA,WPA2yWPA3
Tantomanufacturadoresdetarjetasinalámbricascomomanufacturadoresdeequipo
creandispositivosquesoportanestosestándaresdeWi-FiAlliance.
Estosestándaresfuncionantantoconunaclavecompartida(pre-sharedkey)comocon
802.1x
● WPAesprácticamenteobsoleto.
● WPA2eselestándarmásutilizado.
● WPA3fueintroducidoconestándaresdeseguridadsuperioresaWPA2.
Acontinuaciónunatablacomparativa
RESUMEN
Enresumenlaseguridadwirelessescomplejaycompuestademuchosprotocolosy
métodosdeautenticación
ParaefectosdelCCNAesimportantesaberqueexistenmétodosdeautenticacióny
métodosparalaprivacidaddelosmensajes
Capítulo27-ConfiguracióndeRedes
inalámbricas
UNAPautonomoocupatrunkunlightweightocupaaccess
Seconectaaporconsola,TelnetSSHoviaweb
loslightweightseusaunwebbrowserparaacederalWLC
AccesoaWLC
PorwebusandolaIP
SedebeconfigurarprimerounamanagementIP
SepuedetambiénpormediodelCLI.
SeocupaunusernameypasswordyaseadeunaBDdelWLCopomediodeAAA
ServicePortesparamanagement
DSportesparaeltráficopormediodeCAPWAP
pasos paraconectarundistributionport
● Queelpuertodelswitchesteentrunk
● Sepuedetenerredundanciaconvariospuertos
● SoportaEtherchannelLAG
NohayquecrearmuchasWLANporquecompiteconelairtime
Maximo5,recomendado3
Bydefault,acontrollerhasalimitedinitialconfiguration,sonoWLANsaredefined.Before
youcreateanewWLAN,thinkaboutthefollowingparametersitwillneedtohave:
■SSIDstring
■ControllerinterfaceandVLANnumber
■Typeofwirelesssecurityneeded
admin
Vla!23
Capítulo28-CapaFísica
Capítulo28-CapaFísica
¡Llegamosalaprimeracapa!,lacapaFísica.
Enlacapafísicaencontramostodolorelacionadoalatransmisióndebitsporlosdiferentes
mediosfísicos.
Estacapaestácompuestaporcables,patchpannelyondasinalámbricas.
Lacapadeenlacededatospreparalatramaparasertransportadaporelmediofísico,ya
unavezcolocadaenlacapafísicaestransmitidapormediodebits.
Enestacapanotenemosprotocolos,sinembargolacapafísicaestáformadapor
estándaresqueestablecenlaformacomosetransmitenlosdatos.
Estosestándaressonestablecidosporlasdiferentesinstituciones:
ISO,ANSI,EIA/ITA,IEEE,ITU,FCC.
Lacapafísicaseencargadeenviarlosdatosporelmediofísico,pero¿Cómohacelacapa
físicaparapasartexto,imágenesoaudioporuncable?
Paraestotodoslosdatosserepresentanenbinariodondeúnicamentetenemos2valores:0
y1.
Paraenviardatoslosdispositivostienenqueseguirlasreglasqueestánestablecidasenel
estándar,aestoselellamaencodingscheme,dondelosdispositivosseponendeacuerdo
decómoesquevanarepresentarun0yun1.
Porejemplo10Base-T(Ethernetde10MbCableUTP)transmitelosdatospormediode
pulsacioneseléctricasypuederepresentarun0binariocomounatransicióndevoltajemás
altoavoltajemásbajo.
TwistedPairs
ElcableUTPopartrenzado,esuncablequecuentacon8hiloslocualsetrenzanen
pares(deahísunombrePartrenzado),cadaunodeesosparestienenunnúmerodevuelta
diferentealotro,yluegocadaparsetrenzaconlosotrospares.
Estemétododetrenzarloshilosenparestienesupropósitoyesevitarlainterferencia.
Existendiferentescategoríascomopodemosapreciarenlasiguienteimagen
Cadacategoríasediferenciaportenerunaprotecciónmásrobusta,yaqueenalgunos
casosestoscablesvanaestarexpuestoadiferentesescenariodondevanaserafectados
pordiferentesinterferencias.
LoscomponentesfísicosdeunenlaceEthernetestáncompuestodelasiguientemanera.
● CableUTPcon8hilos,cadaunodeesoshilostieneuncolordiferente.
● EnlosextremosdeloscablestenemosconectoresRJ45locualcuentacon8pin
dondeseconectancadahilodelcableUTP.
● PuertosRJ45dondeconectamosloscables.
EstospuertosRJ45puedeserunaNICdeunaLaptopyunpuertodeunSwitchcomo
muestraenlasiguienteimagen.
PodemosnotarqueenlapartederechadelSwitchtiene2conectoresmás,son
transceptoresSFP+dondetenemosvelocidadesdehasta10Gbps.
Straight-ThroughCablePinout
UncableUTPestáformadopor8hilostrenzadosenparescomohabíamosmencionado
anteriormente,losestándares10Base-Ty100Base-Tusan2pares,1paratransmitiryel
otroparpararecibir.
Enelcualenunextremosevaausarelpin1y2paratransmitiryenelotroextremoelpin
1y2pararecibir.
Tambiénelpin3y6pararecibiryenelotroextremoelpin3y6paratransmitir.
Elhiloqueconectamosenelpin1enunextremolovamosacolocarenelpin1delotro
extremo,elpin2enunextremolocolocamostambiénenelotroextremoyasí
sucesivamentecomomuestralasiguientefigura.Enambosextremosvamosatenerla
mismacombinación.
RecordandoquevamosausarStraight-Throughe ntreequiposdiferentes(segúnlareglade
oroquevimosenfundamentosdeEthernet)estoimplicaquevamosautilizarlamisma
combinacióndecableenambosextremos.
Paraestohay2normasel568Ay568B,dondeespecificalaposicióndecadacolorde
cableenlospindelconectorRJ45.
Crossover
EnelcasodeStraight-Throughtenemosqueutilizarlamismanormaenambosextremos,
peroenelcasodeconexionesCrossoverusamoslanormaAenunladoylanormaBenel
otroextremo.
Usamosuncablecruzadocuandoconectamosequiposdemismotipo,porejemploun
SwitchconunSwitch,RouterconRouter,etc.
Aquíusamostambién2pares,1paratransmitiryotropararecibir.
Comomuestralaimagenelprimercableloconectamosalpin1enunextremoyenelotro
loconectamosalpin3.
Elsegundocableloconectamosalpin2enunextremoyenelotroalpin6.
PoE
ComovimosanteriormenteenamboscasostantoCrossovercomoStraight-Throughutilizan
lospin1,2,3y6tantoparatransmitiryrecibir,¿Quépasaconlosotrospares?.
AntesderesponderaestapreguntaprimerodefinamosqueesPoE.
HayunatecnologíallamadaPoE(PoweroverEthernet)comosumismonombreloindica
nospermitetransportarenergíapormediodeuncableEthernet,talvezestáspensandoque
esalgoobvioyaqueesoesloquetransmiteelcable,peroPoEnospermitetransmitirla
energíasuficienteparapoderalimentaraunequipo.
¿ParaquémepuedeservirPoE?
imaginémonosunescenariodondetenemosquecolocar10Acces-Pointparadarcobertura
wifi,paraesonecesitamosuntomacorrienteparapoderconectaresosAccess-point,esto
implicaquetenemosquebuscaruntoma,pero¿quépasasinolohay?,Vamosatenerque
llevaruncabledeenergíayademáselcableUTPparaconectareseAccess-Point.
ConPoEnovaasernecesarioeso,yaquenonecesitamosuntomacorrienteparaconectar
nuestroAP,porelmismoCableUTPelSwitchlepuedepasarenergíaparaalimentarelAP,
estonosvaapermitirpodercolocarcualquierequipocomocámarasoAccess-pointen
lugaresdondenohayauntomadeenergía,siempreycuandoestosequipossean
compatiblesosoportenPoE.
ParatransmitirenergíaelSwitchvaausarlospines4,5,7y8,yvacomprobar
primeramentesielequipoqueestáconectadoenelotroextremosoportaPoE.
ComovimosenFundamentosdeEthernet,laIEEEdefinediferentestecnologíasde
Ethernet.
ConcableUTPlogramosalcanzarunadistanciamáximade100metros,sinecesitamos
conectaramayordistanciatenemoscomoopciónloscablesdefibraóptica.
FibraÓptica
Adiferenciadeloscablesdecobre,lafibraópticatransmiteluz,yaqueestácompuestopor
untipodehilodevidrioquetransmiteluz.
Estecableestácubiertopordiferentescapaparaprotegerelnúcleo.
Existen2tiposdefibraóptica:
MultimodoyMonomodo.
Entremáspequeñoseaelnúcleo,menosdistanciarecorrelaluzenelmismonúcleo
rebotandoporloquepuedellegaradistanciasmáslargas.
LafibraMonomodosecaracterizaporelnúcleoserpequeñolocualpermiterecorrer
mayoresdistancias,encambioelmonomodoposeeunnúcleomásgrandeporlocuallaluz
rebotamás.
Multimodo
Monomodo
Lafibramonomodoesidealparalasaplicacionesdelargadistancia,mientrasquelafibra
multimodoestádiseñadaparaladistanciacorta.
Capítulo29-DHCP
DHCP-DynamicHostConfigurationProtocol
Vivimosenunmundocompletamenteconectado,conunagranvariedaddedispositivosque
seconectanalared.
Aestasalturayasabemoscomofuncionanlasredesdetelecomunicaciones,cada
dispositivovaanecesitarunadirecciónIPconsurespectivamáscara,defaultgatewayy
unadireccióndeunservidorDNS.
Estoquieredecirquesiquieroconectarmeaunaredwifidesdemicelular,voyanecesitar
unaip,máscara,defaultgatewayyunaipdealgúnservidorDNS,imaginensetenerque
estarrealizandoesteprocesomanualparacadadispositivoqueconectemosalared,sería
undolordecabeza.
Siviviéramosenunmundodondelaasignacióndelasipserealizarámanualmente
tendríamosmuchosproblemasyseríaunprocesocomplejo,tendríamosquellevarun
registrodelasipqueyaestánasignadasparaevitarduplicados,sicolocamosmaluna
direccióneldispositivonovaapoderconectarse.
EsporesoqueexisteDHCP,hoyendíanonospreocupamosabsolutamentepornada,solo
sacamoselcelular,encendemoselwifi,ynosconectamosanuestraredwifianavegarenla
redsintenerquepreocuparnosporlaconfiguración.
TodoesteprocesoseencargaDHCP,entonces¿quéesloquehaceDHCP?,DHCP
configurademaneradinámicalosequiposquesequieranconectaralaredbrindandolasip
necesariascomolaIP,máscara,defaultgatewayydns.
¿QuéesDHCP?
Esunprotocolocliente-servidorqueproporcionaautomáticamenteaunhostuna
direcciónIP,subnetmaskydefaultGateway,todolonecesarioparaqueestedispositivo
puedaconectarsealared.
ElprotocoloDHCPutilizalospuertos67y68UDPparalacomunicación.
ElfuncionamientodeDHCPeselsiguiente.
Imaginemosquetenemosqueconectarnosaunaredwificonnuestrocelular,loque
hacemosesencenderelwifiyconectarnosalared,enesteprecisomomentonuestro
celularnotieneip,máscara,notienedefaultgatewayynosabequiéneselservidorDHCP.
¿CómohacemosparasaberaquiénvamosasolicitarledirecciónIP?¿Cómosabemos
quiéneselservidorDHCP?
Paraestonuestrodispositivo(elcliente)envíaunmensajeD iscover,esteesunmensaje
broadcastporlotantovairdirigidoparatodoslosdispositivosdelared,peroúnicamente
mevaaresponderelservidorDHCP,deesamanerayaencontramosquieneselservidor.
CuandoelservidorDHCPrecibeunmensajeDiscover,elservidorlerespondealclientecon
unmensajeO ffer,ofertandounadirecciónipalclienteconlosdemásparámetros.
ElclienteleenvíaunmensajeR equestp arasolicitarlealservidorqueleasigneesaIP,y
porúltimoelservidorelrespondeconA cknowledgmentconfirmandoquepuedeusaresa
IP.
Yaaquíelservidorlehaasignadolosparámetrosnecesariosyelequipoyaestá
funcionando,esimportanterecordarqueelservidorleasignóesaIPporuntiempo
determinado,pordefecto24horas.
MensajeDHCP
Nombre Descripción
DHCPDiscover ParaubicarservidoresDHCPdisponible
DHCPOffer Respuestadelservidoraunpaquete
DHCPDiscover,contiene losparámetros
iniciales
DHCPRequest Solicitudesvariasdelcliente,porejemplo,
paraextendersuconcesión.
DHCPACK Respuestadelservidorquecontienelos
parámetrosyladirecciónIPdelcliente.
DHCPNak Respuestadelservidorparaindicarleal
clientequesuconcesiónhavencidoosiel
clienteanunciaunaconfiguracióndered
errónea.
DHCPDecline Elclienteleanunciaalservidorquela
direcciónyaestáenuso.
DHCPRelease ElclienteliberasudirecciónIP
DHCPInform Elclientesolicitaparámetroslocales,ya
tienesudirecciónIP
ServidoresDHCP
DHCPeslasoluciónperfectaparalaasignacióndinámicadeIPs,pero¿quéopciones
tenemosparaimplementarunserviciodeDHCP?.
ServidoresDHCPquesepuedenutilizarcomoopción:
● ServidoresMicrosoftDHCPconfuncionesestándardeWindowsServer(Service
● Pack)
● ISCDHCP3.0oversionesposteriores
● ServidorDHCPconfuncionesestándardeNetWare5
● ServidoresLinux
Enelcasodequenocontemosconunservidor,podemosutilizarequiposderedescomo:
● Routersconestafunción
● MultilayerSwitchesconestafunción
● AccessPointsconestafunción
● Firewallsconestafunción
ConfiguracióndeDHCP
VamosaverlaconfiguracióndeDHCPenunrouterCisco.
Loprimeroquevamoshacerescrearunpoolconlosdetallesdelared.
Porejemplovamosacrearunpoolylevamosaponercomonombre:“VLA”
ipdhcppoolVLA
Luegodetallamoslaipymáscaradelared
network192.168.0.0mask255.255.255.0
Leasignamosundefaultgateway
default-router192.168.0.1
ypodemoscolocarunadireccióndeDNS
dns-server10.0.0.100
DHCPRelay
HastaaquíyalogramosentenderelfuncionamientodeDHCPycomofuncionarlo,ahora
¿quepasasielservidorDHCPseencuentraenotrared?
¿SeráposiblequelogrellegarelmensajeDHCPDiscoverdelclientehaciaelservidorque
seencuentraenotrared?
Recordemosunpoco,unmensajebroadcastsólosepropagadentrodeunamismared.
Cuando switchrecibeunmensajedebroadcastloreenvíaportodassusinterfacesexcepto
porlaquelorecibió.
Cuandoun routerrecibeunmensajedebroadcastnoloreenvíaporquecapa 3segmenta
losdominiosdeBroadcast,comoseestudióenelcapítulodeSTP.
PorlotantounclientenovaapoderrecibirIPdeunservidorqueseencuentreenotra
subred.
EsoimplicatenerunservidorDHCPencadaLANlocualimplicaungastoadicionaly
algunosescenariovaasercomplicado.
PerohayunasoluciónparaevitartenerunservidorencadaLAN:configurandounAgente
DHCPRelay.
UnDHCPrelayesundispositivoquerecibelassolicitudesdelosclientesen
formatodebroadcastylasreenvíacomounicastaladireccióndelservidorDHCP.
LaconfiguraciónparaelDHCPRelayseríalasiguiente:
Entramosalainterfazquevaarecibirlosmensajesbroadcast
interfaceg0/0
luegocolocamoselcomandoiphelper-addressy luegoladirecciónipdelservidor,eje:
iphelper-address172.16.0.1
DeestamanerayatenemosconfiguradonuestroagenteDHCP,cadavezqueelrouter
recibaunmensajeDHCPDiscoverporlainterfazg0/0lavaareenviaralservidorDHCP.
Capítulo30-ACL
Capítulo30-ACL
EnestecapítulovamosaestudiareltemadeListasdecontroldeAccesooAccessList,
dondeveremosparaquésirven,lostiposdeACL,comandosymejoresprácticas.
¿Paraquésirve?
Primeramentedefinamosparaquésirve,aunquesunombrelodice“Listadecontrolde
Acceso”estanoessuprincipalfunción.
ElObjetivoprincipaldelalistadecontroldeaccesoes“Identificartráfico”,yaqueenuna
reddetelecomunicacionesvamosatenerunagranvariedaddetráficodesdeVozIP,
streaming,UDP,TCP,Videoconferencias,tráficoweb,etc.
Pero¿Paraquemesirveidentificarestetráfico?
Unavezidentificamoseltráficohayunsinnúmerodecosasquepodemoshacer,peroen
estecursosolovamosaenfocarnosen3:
● Controldetráfico
● NAT
● QoS
Cuandologramosdiferenciaroidentificarlosdiferentestipodetráficodelaredpodemos
teneruncontrolmásamplioypoderestablecerreglasdequiénpuedeaccederaqué
servicioyquiénno,porejemploenalgunasempresaslostrabajadoresnopuedenaccedera
redessocialesdentrodelareddelaempresa,conesocontrolamoselacceso.
OtradelascosasquepodemoshaceralidentificareltráficoesaplicarCalidaddeServicio
QoS,queesunodelostemasqueseveránmásadelante,yaqueesuntemafundamental
yloquenosvaapermitirQoSesgarantizarqueunserviciotengalosrecursosmínimoso
necesariosparapodertrabajarcorrectamente,estodandodiferenteprioridadalos
paquetes.
DeNAThablaremosenelpróximocapítulolocuáltambiénenNATnecesitamosidentificar
tráfico.
Funcionesyreglas
ACLcomosumismonombrelodiceesunalistadereglas,unaACLvaestarcompuestapor
variaslíneaselcualestávanairrealizandocomparacionesys evanaleerdearribahacia
abajo.
LasACLsebasanenhacercomparacionesporcadapaquetequesalgaoentreporuna
interfaz,elroutervaaempezaracompararlaipconlaprimerlíneayvaairdearribahacia
abajo,sinocoincideconlaprimeravaconlasegundayasísucesivamente,elrouterseva
adetenercuandohayaunacoincidencia.
Sedetienecuandohaceunmatchyaplicalaaccióndeesalínea,enestecasolaacción
puedeser:PERMIToDENY.
¿QuépasasisecomparacontodaslaslíneasdelaACLynohacematchconninguna?
AlfinaldetodaACLhayunDenyanyanyimplícitoquevaadenegartodotráfico,entonces
sinosecomparacontodaslaslíneasynohacematchconningunaesepaquetees
denegado.
ElDenyanyanyvaaestaralfinaldetodaACLsiempre,aunquenosotrosnoselo
configuremos,vaaestarahíaunquenolaveamos.
ElprocesodeACLeselsiguiente:
Unpaqueteingresayvaasercomparadoconlaprimeralínea,sinocoincideconlaprimera
líneapasaconlasiguiente,sihacematch,sedetieneyaplicalaacciónquetiene
establecidoesalíneayaseapermitodeny.
Sinohacematchconningunadelaslíneasentonceselpaqueteesdescartado.
AplicaciónInbound/Outbound
ParahabilitarunaACLparaqueempieceacontrolareltráficotenemosqueaplicarlaauna
interfazeindicarenquésentidovaaaplicarse,sivaanalizareltráficoqueentraporesa
interfazoeltráficoquesaleporesainterfaz.
InboundAccessList:seinspeccionaeltráficoqueestáingresandoalainterfaz.
OutboundAccessList:seinspeccionaeltráficoqueestásaliendoalainterfaz.
Wildcard
Lawildcardesenotraspalabraslamismamáscaraperoalrevés.
Sitenemosunamáscara255.255.255.0lawildcardserá0.0.0.255,solamenteinvertimoslos
bit,todoloqueestáen1loponemosen0yloqueestáen0en1.
Lawildcardcumplelasiguientefunciones
Todoloqueestáen0significaquemeimportayquetienequeserigual.
Loqueestáen1nomeimporta,puedeser1o0.
Paradeterminarlawildcardpodemoshacerlodelasiguientemanera
tomamosladirección255.255.255.255ylerestamoslamáscaradered;
255.255.255.255
-255.255.255.252
-------------------------
= 0.0.0.3
TiposdeACL
Enestecursovamosaanalizar3principalestiposdeACL.
ACLEstándar:U tilizacomoidentificadorunnúmeroenelrangodel1al99ytambiénun
rangoextendidodel1300al1999,estalistadecontroldeaccesoúnicamenteinspeccionael
tráficodeorigen.
ACLACLExtendida:U tilizacomoidentificadorunnúmeroenelrangodel100al199y
tambiénunrangoextendidodel2000al2699,estalistadecontroldeaccesoinspeccionael
tráficodeorigen,destinoypuerto.
NameACL:U tilizacomoidentificadornombresenlugardenúmero,estalistadecontrolde
accesosoportatantolistaEstándarcomoExtendida.
StandardACL
UnaACLEstándarúnicamentevaainspeccionareltráficodeorigen,vaasercomoun
policíaqueinspeccionacadavehículoqueentraosalepreguntandoúnicamente¿Dedónde
viene?,noleinteresaparadóndevaniquévahacer,loúnicoqueleinteresaessabersu
origendedóndeviene.
Laconfiguracióneslasiguiente:
primerocolocamoselcomandoa ccess-listluegoelidentificador(del1al99ó1300al
1999)luegolaacciónp
ermitodenyy luegolaiporigenjuntoconlaWildcard.
Loquehaceestecomandoesquepermiteeltráficodelared192.168.10.0/24
ExtendedACL
UnaACLExtendidainspeccionalaiporigen,ipdestinoyelpuertopermitiendoasípoder
identificardiferentesprotocolos,vienesiendocomounpolicíamásestrictodondete
pregunta¿Dedóndevienes?,¿Paradóndevas?y¿Quéesloquevashacer?.
Laconfiguracióneslasiguiente:
primerocolocamoselcomandoa ccess-listluegoelidentificador(del100al199ydel2000
al2699)luegolaacciónp
ermitodenyL uegoelp rotocolos eguidodelaiporigenconla
wildcardluegolaipdestinoconlawildcarde
qy e
lp
uerto
access-list150permittcp192.168.10.00.0.0.255172.16.0.0.00.0.255.255eq80
Conestecomandopermitimoseltráficohttpquevengadesdelared192.168.10.0/24yque
vayahacialared172.16.0.0/8.
Conelcomandoeq80indicamosqueelpuertoesiguala80porlotantoelprotocolosería
HTTP.
Tenemosalgunasclavequenosayudanacompararelpuerto:
eq:equivalea= (iguala)
it:equivalea< (menora)
ne:equivalea≠ (diferentea)
gt:equivalea> (mayora)
range:xtoy(ejemplo:de1a10)
Ejemplo:
TenemoselsiguienteescenariodondetenemosaladerechaunservidorFTP,donde
queremospermitirlosiguiente:
● PaquetesqueincluyanlacabeceraTCP
● Paquetesenviadodesdelareddelcliente
● Paquetesquevayanalareddelservidor
● Paquetesconpuertodestino21(FTP)
Nuestralistadecontroldeaccesoseríalasiguiente:
EstalistapermiteeltráficodeFTPquevengadelared172.16.1.0(Reddelcliente)yvaya
condestinoalared172.16.3.0(Reddelservidor).
PuertosyCommandKeyword
EnACLpodemosusarKeywordparareemplazarelpuertoporejemplo:
enlasiguientelíneareemplazamoselpuerto21porftp
access-list110permittcp172.16.1.00.0.0.255172.16.3.00.0.0.255eqftp
NamedACL
LaslistadecontroldeaccesoconnombressoportantantoACLestándarcomoACL
Extendidas,NamedACLvienesiendounamejoradeambasconmayorflexibilidadalahora
detrabajaroeditarACL.
LasACLestándaryExtendidanotienenlaposibilidaddeeliminarunalínea,porejemplosi
tengounalistacon5lineasyquieroeliminarla3erlíneanopuedocolocarelcomandon o
access-list10permit10.0.0.0p orqueborraríatodalalista,yaquenopuedoborraruna
únicalínea,tendríaqueborrartodalalistaconlas5líneasyvolveracrearla.
Tambiénsiemprequeagregounanuevalíneaseagregaalfinaldelalista,quepasasiesa
línealaquieroagregardeprimero,tendríaqueborrartodalalistayvolverhacerlaconel
ordenqueyoquiero.
NamedACLvinoamejorarestopermitiendocrearcadalíneaconunasecuencia
permitiendoinsertarunanuevalíneaenelordenquequeramosytambiénnospermite
borrarunaúnicalíneasinnecesidaddeborrarlasdemás.
ParaconfigurarACLconnombreslohacemosdelasiguientemanera:
NamedACLStandard:
ipaccess-liststandardVLA
permit192.168.10.00.0.0.255
permit192.168.20.00.0.0.255
permit192.168.30.00.0.0.255
Sihacemosunshowaccess-listnosmostraríalosiguiente:
Cadalíneatieneunasecuenciaquepordefectovade10en10.
¿Quépasasiquieroañadirunanuevalíneaperoenlasegundaposición?
Puedoagregarlacolocandounnúmerodesecuenciaentrela10yla20:
Nosquedaríadelasiguientemanera:
ParaNamedACLextendidaseríaigual:
ipaccess-listextendedVLA
permittcp192.168.10.00.0.0.255host12.0.0.3eq80
Aplicaciónenlainterfaz
YaunavezcreadanuestraACLtenemosqueaplicarlaparaqueelrouterempiecea
examinareltráficoconlaACL.
Paraesotenemosqueverenquéinterfazlovamosacolocaryvisualizarenquésentidova
afluireltráfico.
PorejemplosilovamosaplicarenlainterfazFastEthernet0/0paraqueanalizetodoel
tráficoqueentraporesainterfazsería:
interfacef0/0
ipaccess-group10in
exit
Sifueraeltráficoquesaleporesainterfazsería:
interfacef0/0
ipaccess-group10out
exit
inparaeltráficoqueentraporlainterfazyo
utparaeltráficoquesaleporesainterfaz.
ACLTIPS
● Unalistadeaccesoporprotocolopordirección.
● LasACLsestándaresdebenaplicarselomáscercaaldestino.
● LasACLsextendidasdebenaplicarselomáscercaalafuente.
● Parasabersilaaplicacióndelalistaserádeentradaodesalidatenemosque
visualizarcomoelrouterveeltráfico.
● Losenunciadossonprocesadosdeformasecuencialdesdeeliniciohastaqueel
tráficocoincideconalguno.
● Sinocoincideconningúnenunciadoentonceselpaqueteesnegado.
● Existeun“implicitdeny”alfinaldetodaslasACLs.
● LosenunciadosdelasACLsdebenescribirsedeloespecíficoalogeneral(hosts
específicosdebennegarseprimeroygruposofiltrosmásgeneralesdespués).
● Primeroseevalúasieltráficocoincideconalgunaregla,sicoincideconalguna,
entoncesserealizalafuncióndepermitironegar.
● NuncatrabajarconunaACLqueseencuentraaplicadayfuncionandoenuna
interfaz.
● Serecomiendautilizaruneditordetextoparacrearcomentariossobrelas
condicionesqueseestánevaluandoparacorroborarqueeslalógicacorrecta.
● AlañadirnuevaslíneasaunaACL,seagregaranalfinaldelalista.
● Elcomandonoaccess-listxremoverátodalalista,nosepuedenseleccionar
únicamentelíneasparaborrarenelcasodeACLEstándaryExtendida
● UnaIPACLenviaráun“ICMPhostunreachablemessage”aquienenvíaunpaquete
quefuerechazadoydescartaelpaquete.
● HayquetenercuidadoalremoverunaACL.Siestaseencuentraaplicadaauna
interfazenproducciónyesremovidapuedequeelIOS(varíasegúnlaversión)
nieguetodoeltráfico.
Capítulo31-NAT
Capítulo31-NAT(NetworkAddressTranslations)
EnelcapítuloanteriorestudiamosACL,cuyopropósitoprincipalesidentificartráfico,una
vezlogramosidentificareltráficohayunsinnúmerodecosasquepodemoshaceryunade
ellasesNAT.
NAT-NetworkAddressTranslationsesunprotocoloquesufunciónessencilla:
TraducirdireccionesIPprivadasadireccionesIPpúblicasyviceversa.
NATesunmecanismoparaconservardireccionesIPpúblicasyaumentarlaprivacidadde
laredalconservarlasIPprivadas,yaquelasIPprivadasnosonenrutableseninternet.
¿AquénosreferimosconquelasIPprivadasnosonenrutablesenInternet?
Lasredesprivadasnosonpublicadasnicompartidasporlosroutersqueseencuentranen
laredpública,enotraspalabrasningúnrouterdeInternettienerutashaciaunaredprivada,
soloconocenIPpúblicas.
Paraqueunpaquetepuedasaliryserenrutadoeninternet,necesitaunaIPpública,yaquí
esdondeentraNAT.
Cuandounpaquetedelaredprivadallegaalrouter,elrouterloquehaceesquecambiala
IPprivadadelpaqueteyleponeunaIPpúblicaydeesamaneraesenrutado.
¿CómofuncionaNAT?
NATFuncionadefiniendo2fronteras:
INSIDE:Definecuáleslaredprivada
OUTSIDE:Definecuáleslaredpública.
Yaunavezdefinimoscualeslapartepúblicaycuáleslaparteprivada,NATcreaunatabla
dondeasocialasIPprivadasconlasIPpúblicas.
TiposdeNAT
● NATEstático
NATEstáticoescuandoa1direcciónIPleasignamosmanualmente1única
direcciónIPPública,loqueimplicaesquecadadirecciónIPprivadavaatenerde
maneraestáticaasignadauna1pública.
LoquevaapermitirestoesqueloshostpuedanseraccedidodesdeInternetyaque
ellostienenunadirecciónippúblicaasignadaparacadahost.
● NATDinámico
LadiferenciaconNATdinámicoesquelaasignacióndeIPpúblicavaaserde
maneradinámicacreandounpooldedireccionesIPpública.
AcadadirecciónIPprivadaselevaasignardemaneradinámicaunadirecciónIP
públicadelpool,locualvamosanecesitar1ippúblicaparacadahostsiempreque
inicieunaconexión.
● PATEstático
Parapodermultiplexarlasconexionesseutilizanlos65,536puertosdelos
protocolosTCPyUDP.
PATEstáticoloquehaceesquea1ipprivadacon1únicopuertoleasignamos1ip
públicacon1únicopuerto.
LoquenospermiteestoadiferenciadelNATestáticoesquevamosapoderasignar
1únicadirecciónippúblicaavariasipprivadassoloquecondiferentespuertos.
● PATDinámico
LaasignacióndedireccionesIPypuertossehacendemaneradinámica.
AvariasdireccionesIPprivadascondiferentespuertosselepuedeasignar1única
direcciónpúblicasovariascondiferentespuertos.
TérminosdeNAT
● InsideLocal:IPprivadaasignadaaunhostenlaredprivadadelaempresa
● InsideGlobal:IPpúblicaconlacualsaleelpaquetedelhostalaredpública,esla
ippúblicaquerepresentaalhost.
● OutsideGlobal:H acereferenciaalhostqueseencuentraeneloutsidedela
empresa.
● OutsideLocal:IPprivadadelareddelhostalaqueestamosaccediendo..
ConfiguraciónNATestático
Paso1-D efinimoslasfronteras
interfacef0/0
ipnatinside
exit
interfaces0/0
ipnatoutside
exit
Paso2-A signamosacadaipprivadasurespectivaippúblicaconelcomandoipnat
ipnatinsidesourcestatic192.168.32.10213.18.123.110
ipnatinsidesourcestatic192.168.32.12213.18.123.111
ipnatinsidesourcestatic192.168.32.15213.18.123.112
ConfiguraciónNATdinámico
Paso1-D efinimoslafronteras
interfacef0/0
ipnatinside
exit
interfaces0/0
ipnatoutside
exit
Paso2-CreamosunaACLestándarparaidentificarlasipprivadas.
access-list10permit192.168.32.00.0.0.255
Paso3-C reamoselpoolconelcomandoipnatpoolN
ombrep
rimera-dirección-ip
última-dirección-ipn etmaskm áscara-de-subred
ipnatpoolVLA213.18.123.110 213.18.123.112netmask255.255.255.255.0
Paso4-C onfiguramosnatconelcomandoipnatinsidesource
ipnatinsidesourcelist10poolVLA
ConfiguraciónPATdinámico
Paso1-D efinimoslafronteras
interfacef0/0
ipnatinside
exit
interfaces0/0
ipnatoutside
exit
Paso2-CreamosunaACLestándarparaidentificarlasipprivadas.
access-list10permit192.168.32.00.0.0.255
Paso3(Opcional)-C reamoselpoolconelcomandoipnatpoolN
ombre
primera-dirección-ipúltima-dirección-ipn etmaskm áscara-de-subred
ipnatpoolVLA213.18.123.110 213.18.123.112netmask255.255.255.255.0
Paso4-C onfiguramosnatconelcomandoipnatinsidesource
Conpool:
ipnatinsidesourcelist10poolVLAoverload
Sinpool:
ipnatinsidesourcelist10interfaces0/0overload
ComandosdeVerificación:
Capítulo32-Metodologíade
Troubleshooting
Processofelimination
GENERALMODELOFPROBLEMSOLVING
Paso1A
nalizarelproblemaderedyluegocrearunadefiniciónclaradelproblema.Se
debedefinir lossíntomasycausaspotenciales.
Paso2R
ecolectarloshechostangiblesderedqueleayudaranaislarlasposibles.
Paso3C
onsiderelasposiblescausasbasadasenloshechosrecolectados,estole
ayudaraa eliminarproblemaspotencialesdelalista.
Paso4C
rearunplandeacciónbasadoenlasrestantesposiblescausasdelproblema.
Comience conlacausamásposibleydiseñeunplanencualsemanipulaunaúnica
variablealavez
Paso5Implementeelplandeacción,desarrollandocadapasoconcuidadomientras
verificaquelos síntomasvallandesapareciendo.
Paso6A
naliceelresultadoparadeterminarsielproblemafueresuelto.Deserlo,
entoncesel procesosehacompletado
Paso7S
ielproblemanoahsidoresuelto,creeotroplandeacciónbasadoenlasotras
posibles causasdesulista.
Y recuerde, un plan de acción finalizado es un hecho recolectado de que ese noerala
fuentedel problemaporloquepuedebuscarnuevasposiblescausascomoproblemasde
software(bugs) hardwareentreotros.Regresealpaso4yrepitaelprocesohastaqueel
problemaseresuelva.
Capítulo33-IntroducciónaIPv6
HastaestapartedelcursohemosestudiadoIPv4,queesunprotocolocondireccionesde
32bits,locualtieneunacantidadde4,294,967,296direccionesIP,cifraqueentiempos
anterioreseransuficientesparalacantidaddeequiposyserviciosqueexistían,perodebido
alosavancesdelatecnologíaylagranvariedaddedispositivosyserviciosquerequieren
IPestacifradeIPv4yanoessuficienteyvariospaísesyasehanagotadosusdirecciones
IPv4.
IPv6
IPv6eselprotocolosustitutodeIPv4elcualamplióeltamañodedireccionesa128bitsen
formatodehexadecimal,permitiendotener
340,282,366,920,938,000,000,000,000,000,000,000,000direccionesip.
SontantaslasdireccionesIPv6quetenemosdisponiblequecadadispositivosepuedeauto
asignarunaipúnica,locualDHCPenIPv6noesnecesario.
Beneficios
•NomásNAT(Traduccióndedireccionesdered)
•Configuraciónautomática
•Nomásdireccionesprivadas
•Mejorenrutamientomulticast
•Headermássimple
•NoBroadcast
•Asignaciónmásfácildebloquesdedirecciones
•MayorflexibilidadalosISPparasubdividirbloquespara
clientes
•Lasorganizacionespuedensubdividirbloquespararedes
internas
•DireccionesIPúnicas!!!
•Enrutamientosimplificadoymáseficiente
•QoSverdadera,llamada“FlowLabeling“
•Autenticaciónintegrada
•Opcionesyextensionesflexibles
•Administraciónmásfácil(NODHCP)
IPv4vsIPv6(Header)
LacabeceradeIPv6esmássimplequeIPv4
● Version–version6(4bits)
● TrafficClass–packetpriority(8bits)proporcionacontroldecongestión
● FlowLabel–QoSmanagement(20bits)
● PayloadLength–cuandoseestableceencero,laopciónes"jumbopayload”osalto
asaltoquellevainformaciónopcionalquedebeserexaminadoporcadanodo
● NextHeader–SiguienteprotocoloencapsuladocompatibleconIPv4(8bits)
● HopLimit–Reemplazael TTL(timetolive)deIPv4(8bits)
● SourceAddressandDestinationAddress–(128bitscadauno)
DireccionesIPv6
● Unicast:identificaunasolainterfaz.
● Multicast:identificaunconjuntodeinterfacesquepertenecenadiferentesnodos.
● Anycast:unadirecciónglobalqueseasignaaunconjuntodeinterfacesque
pertenecenadiferentesnodos.
● Broadcast:¡NoenIPv6!
LasdireccionesIPv6sondireccionesde128bitsenhexadecimallocualsignificaquevana
tenernúmerosyletrasdelaAalaF.
Trabajarconestasdireccionestanlargasavecesencomplejoperoexistelaposibilidadde
hacerlasmáspequeñaaplicandoestas2reglas:
1. podemoseliminartodoslossegmentoscon0consecutivos,enlasiguienteimagen
porejemplotenemoselsegmento5yelsegmento6con0consecutivosentonces
podemoseliminaresos2segmentosdejandoúnicamente::comosemuestraenla
segundalínea.Estareglasoloseaplica1vez,porejemplosituviéramosel
segmento2y3con0consecutivoyelsegmento5y6solosepuedeeliminar1sola
vez.
2. Podemoseliminarlos0alaizquierda,porejemplo0008silequitolos0ala
izquierdasiguesiendoelmismovalor8,porlotantolos0alaizquierdanoson
importantes,deestamanerapodemosquitartodoslos0alaizquierda.
Tiposdedirecciones
LinkLocal
LasdireccionesLinkLocalsondireccionesIPlocalesenelbloquefe80::/10queseutiliza
paracomunicacióndentrodeunamismasubred,cadadispositivoseautoasignaunaiplink
local,lasLinklocalsonusadascomodefaultgatewayodireccionesdelnexthop.
UniqueLocal
LasdireccionesUniqueLocalsonsimilaresalasdireccionesprivadasdeIPv4,estánenel
bloquedefC00::/7Estándisponiblesparasuusoenredesprivadas,dentrodeunsolositio
uorganizaciónoabarcandounnúmerolimitadodesitiosuorganizaciones.
GlobalUnicast
SonsimilaresalasdireccionespúblicasdeIPv4,estánenelbloquede2000::/3
Multicast
Anycast
Unadirecciónanycastesunadirecciónqueseasignaaunconjuntodeinterfacesque
generalmentepertenecenadiferentesnodos.
UnpaqueteenviadoaunadireccióndeAnycastseenvíaalainterfazmáscercana(según
lodefinidoporlosprotocolosdeenrutamientoenuso)identificadosporladirecciónanycast.
MigrandoaIPv6
ActualmenteIPv6sehaimplementadoenpaísesdondelasdireccionesIPv4sehan
agotadocomolopodemosverenlasiguienteimagen.
ExistendiferentesmétodosparamigraraIPv6
Dual-Stack:ejecutandosimultáneamenteIPv4eIPv6.Lasaplicacioneshablanconambos
protocolos.
•LosdispositivossoncompatiblesconIPv6
•LosdispositivoshablantantoIPv6comoIPv4
•DualStackeselenfoqueprincipalparaintroducirIPv6enunaredIPv4
Tunneling:empaquetaruntipodepaqueteenotroparaserenviadoaunared
diferente(tunelizarIPV6packetsenlaredIPv4
•PermitelainterconexiónderedesIP.
•LospaquetesIPv6seencapsularydesencapsularenlosroutersparasutransmisióna
travésdelenlaceIPv4WAN.
•Porlotanto,lospaquetesIPv6setunelizanatravésdelanubeIPv4.
NAT64:traduccióndeIPv4aIPv6yviceversa,quepuedesercomplejaygenerar
problemas.
•NecesariocuandoelhostIPv6necesitacomunicarseconelhostIPv4.
•SerequieredeApplicationLevelGateway(ALG)paratraducir.
•Sepuedeimplementarenroutersyhostsdeborde.
•Solucióntemporal
•Complejidadyproblemasdeoverhead
•EmbeddingIPv6/IPv4:incorporalasdireccionesIPv4dentrodelaestructurade
direccionesIPv6
Capítulo34-IPv6RoutingProtocol
IPv6RoutingProtocol
ElenrutamientodeIPv6funcionamuysimilaralenrutamientodeIPv4conlaclaradiferencia
entreelusodedireccionesde32bitsadireccionesde128bits.
Vamosaverlaconfiguraciónconelsiguientelaboratorio.
Instrucciones
● MontarlatopologíaexpuestautilizandoOSPFv3conunsolaárea0
● DebeagregarlosenlacesWANylasinterfacesloopbackalaconfiguracióndeOSPF.
● Luegovolveramontarelmismoescenario,peroconfigurandoEIGRPv6conelsistema
autónomo99
Resolucióndelaboratorio
ElfuncionamientodelosprotocolosEIGRPv6yOSPFv3sonmuysimilaresalaversiónparaIPv4.La
mayordiferenciaaniveldeconfiguraciónsedaenquenoseutilizael“n
etworkcommand”sinoque
sehabilitaelprotocoloencadainterfaz.
Recuerdetrabajarsiempreordenadoconunaplantilladeconfiguración.
Paraefectosdidácticosexplicaremospasoporpasolaresolucióndeesteescenarioiniciandocon
OSPFv3
Paso1habilitarIPv6enelrouter
EstecomandohabilitaelenrutamientodeIPv6
R1#config
t
R1(config)#ipv6
unicast-routing
Paso2configuracióndedireccionesIPv6eninterfaces
MuysimilaraconfigurarunadirecciónIPv4,únicamentecambiamos“ip”por“ipv6”yporsupuestola
estructuradeladirecciónip
R1(config)#interface
serial
0/0/0
R1(config-if)#description
conexión
hacia
R4
R1(config-if)#ipv6
address
2001:ABCD:0:1::1/64
R1(config-if)#no
shut
R1(config-if)#interface
serial
0/0/1
R1(config-if)#description
conexión
hacia
R2
R1(config-if)#ipv6
address
2001:ABCD:0:2::1/64
R1(config-if)#no
shut
R1(config-if)#interface
loopback
1
R1(config-if)#description
conexión
LAN
R1
R1(config-if)#ipv6
address
2001:ABCD:0:7::1/64
Paso3configuracióndeprocesodeOSPFv3
Configuracióndelprotocolodeenrutamiento.VamosanotarqueaquísoloseconfiguraelprocessID
ydentrodelmismoprocesoelrouter-id.
Interesanteobservarqueelrouter-idsigueteniendounformatodedirecciónIPv4.Siestenose
configuramanualmente(queeslorecomendado)procedeaelegirladirecciónipconfiguradaenuna
interfazloopbackinterfacemásaltaoluegolainterfaz
R1(config)#ipv6
router
ospf
1
R1(config-router)#router-id
1.1.1.1
Paso4agregarinterfacesaOSPF
ConsideramosqueestepasoesmássencilloenIPv6porquenoinvolucraennetworkcommandni
utilizarwildcardquepuedellegarhacerconfuso.
R1(config)#interface
serial
0/0/0
R1(config-if)#ipv6
ospf
1
area
0
R1(config-if)#interface
serial
0/0/1
R1(config-if)#ipv6
ospf
1
area
0
R1(config-if)#interface
loopback
1
R1(config-if)#ipv6
ospf
1
area
0
Nota:Repetirlospasosdel1a4enlosotrosroutersconsusrespectivasdireccionesIPv6smostradas
eneldiagrama.
Paso5showcommands
Puedeutilizarlossiguientespasosparaverificarelfuncionamientodellaboratorio
● Show
ipv6
route
● Show
ipv6
ospf
neighbors
● Ping
2001:ABCD:0:5::1
Capítulo35-FHRP
Capítulo35-FHRP
FirstHopRedundancyProtocol
Comohemosestudiadoencapítulosanterioreslaredundanciaesalgomuyimportanteen
lasredesdetelecomunicacionesyaquenospermitetenerconectividadinclusocuandoun
enlacefalla.
Vimosredundanciaaniveldecapa2conSTP,dondeexistelanecesidaddeconectar
switchdemaneraredundante.
Tambiénaniveldecapa3esimportantetenerconectividad,¿dequémesirvesitengo
redundanciaentrelosswitchessifallaelGateway?
¿QuéesFHRP?
Esunprotocolodiseñadoparaprotegerelgatewayenunareddonde2omásrouters
funcionandemaneraredundante,asícuandounodeellosfalle,otroroutertomaráelcontrol
ytendremossiempreconectividad.
DentrodelafamiliadeprotocolosFHRPtenemos3principales:HSRP,VRRPyGLBP.
ElenfoquedelacertificaciónesconrespectoaHSRP,losdemássololomencionaremosy
veremosalgunosdetallesdeellos.
HSRP-H otStandbyRouterProtocol
Esunprotocoloquepermitequemúltiplesroutersactúencomounosolovirtual,
manteniendolaconectividadinclusosifallaelrouterprincipal,porqueotrosroutersestánen
"espera",listosparafuncionar.
HSRPoperaconelmodeloActive/Standby,donde1routervaaestarcomoActiveyelresto
enStandby,enotraspalabrassolo1routervaaestarhaciendotodoeltrabajomientraslos
demássoloestánalaesperadequeelrouterprincipalfalleparatomarelcontrol.
CadarouterdelgrupodeHSRPvaatenersupropiadirecciónIPytodosvanacompartirla
mismadirecciónIPvirtual.
Todosloshostvanapuntarhacialadirecciónipvirtual,esavaaserladireccióndel
default-gateway.
FuncionamientodeHSRP
Cuandotenemos2routersconfiguradosconHSRPyconunaIPvirtual,losroutervana
negociarprimeramentequiensevaaconvertirenelrouteractivoyquiénvaaestaren
espera,estosedefineporlaprioridad,siendolaprioridadpordefectode100,enelcasode
quehayaempatesebasanelquetengalaipmásalta.
Yaunavezestablecidoquiénvaaserelrouteractivoyquienelrouterenespera,ambos
routersesiguenenviandomensajeparaqueelrouterenesperasepacuandofalleelrouter
activo.
HSRPimplicaquesóloelrouteractivosevahacercargoderealizartodoeltrabajode
enrutamientoylosdemássolovanaestaresperandoyaquenocompartelacargaconlos
demás.
HaydiferentesopcionesenelcualpermiteelbalanceodecargacuandoseconfiguraHSRP
paraqueseaelactivoendiferentessubredes.
TambiénpodemosconfigurarmúltiplesgruposdeHSRPparaquehayunrouteractivopor
VLANconectadopormediodeunpuertotroncalconInterVlanRoutingcomomuestrala
siguientefigura:
EnresumenFHRP,nospermitepoderconectar2ovariosrouterparatrabajardemanera
redundantecompartiendounaipvirtualpermitiendoasílaconectividadencasodefallo.
Capítulo36-WideAreaNetworks
AquívamosaestudiarlasredesWANyvamosainiciarconunconceptobásico:
Ustednotieneelpermisodetirarcableadoenvíapública,¡listo!Comencemosporahí.
LasredesWANsonlasredesqueayudanaconectarnosentrelasLAN.
Imaginemoselsiguienteescenario,ustedesdueñodedoscasaperoestascasaestán
divididasporunacallepública.Aunqueladistanciaseacorta,ustednotieneelpermisode
interconectarestasdosLANpormediodeuncableyaquenecesitaríainvadiresecableado
unespaciopúblicoelcualnotenemospermiso.
¿Quienessítienenpermiso?LosproveedoresdeserviciocomoAT&T,Verizon,Claroen
latinoamérica,CableOndaenPanamá,elICEenCostaRica.Estasempresastienenlos
permisosdepodercrearredesenvíapúblicaynosvendenelserviciodepoderpasar
nuestrosdatospormediodesusredes.
Enestecapítulonosvamosaenfocarenverquetipodeenlacespodemosobtenerdelos
proveedoresdeservicio
Leased-LineWANs
Sitraducimoslapalabra“Leased”aespañolesunpréstamo,esdecirqueelproveedorde
servicionosprestaunalínea,esdecirunenlace.Eltérminoenespañoles“Enlace
dedicado”yesporqueelproveedordeserviciodedicaunenlaceexclusivodesu
infraestructuraparainterconectardosLANs.
Hoyendíayaestonoestanpopularperoesprobablequenossalgaenelexamende
CCNAasíqueesimportantetenerconocimientodeesto.
SiyodeseoconectardossucursalesdeunaempresadigamosquedeBarcelonaaMadrid
pormediodeunenlacededicadolaformafísicadequeestosucedaesqueelproveedorde
serviciovaacablearentreambasoficinasunenlacepasandopordistintasoficinasdel
proveedordeservicioqueestánenmediodeMadridyBarcelona.
Elconcepto deestasoficinasselesllamaC
OoCentraloffice.A nivelfísicoesbien
complejoparaparaelclientefinalescomosiliteralmentetirenuncabledecientosde
kilómetrosdeunaoficinaaotra,oalmenosesloquelógicamenterecibe.
Seutilizaunatecnologíaqueusaenlacesserialeselcualtieneunparparatransmitiryotro
pararecibir.
Lasvelocidadesnosonmuyaltasyporesohoyendíanoestanpopularperosiguen
existiendo.
YporlogeneralestosenlacesdedicadosseconsideranquesonPuntoaPuntoporloque
esfavorableentérminosdeseguridadyaquenocomparteconningúnotroclienteelancho
debanda.
Estosenlacesdedicadospuedenutilizardostiposdeprotocolos
● HDLC(High-LevelDataLinkControl)
● PPP(PointtoPointProtocol)
Estossonprotocolosdecapa2quealigualqueEthernettienenunatramayencapsulalos
datos
TramaPPP
Aunquenoentraremosadetallesideseoquenotenalgoenlastramaselcualposeen
camposdedirecciones,camposdevalidacióndequelatramanovengadañadacomoel
FCS.
Undatointeresanteesqueenunenlacepuntoapuntonoestanrelevantequiénesel
origenodestinoporqueclaramentesoloexisteunorigenyundestinoenunenlacepuntoa
punto.
Aquílescompartoalgunascaracterísticassobreambosprotocolos
Protocolo Descripción
HDLC ProtocolopropietariodeCisco
MuypocoOverhead
High-LevelDataLink
Muchomásrápido
Control Noposeealgúnfeature
masquelevantarel
Enlace
PPP •Protocoloestándar
•OverheadModerado
Point-to-Point
•Poseeautenticación
Protocolo •Compresión
•CallBack
•MultiLink
EthernetcomotecnologíaWAN
InicialmenteelproblemaconEthernetparaWANeraladistancia.UncableUTPtieneuna
distanciamáximade100metros,esonoesmuyeficienteparaInterconectardistanciasmuy
largas.
Luegodequelatecnologíaenfibraópticafueavanzandotenemoslassiguientesdistancias:
Condistanciasde70kmentrecadaswitchdeconexiónsisepuedecrearunainfraestructura
WANconEthernetcomotecnología
DentrodelastecnologíasqueseutilizanEthernetcomoWANestán:
● E-Line:UnconceptodeenlacededicadoperoenunaredMetroEthernet
● EthernetoverMPLS(EoMPLS):SeutilizaunencapsulamientoMPLSenunared
Ethernetparabrindarelserviciodetransportededatos.
ArquitecturaEthernetsobreWAN
MEF(w
ww.mef.net)definelosestandarsdeMetroEthernet
Nombre Nombrecorto Topología Descripción
TopologíaE-Lineconvariosenlaces
● CadaunodelosE
-linese
sunasubred.
● AligualqueunpuertotrunksepuededividirenVLANslosE-Linesparatener
múltiplesenlacesdirectos condistintossitios.
TopologíaE-LAN
● Unasolasubredentretodoslosqueestánconectados.
● CadasitiopuedecomunicarsedirectamentesimulandounaLANregular.
TopologíaE-Three
● PuedecrearconfusióncontenermúltiplesE-Linesperoenestecasoesunúnico
sitioelcualfuncionacomoelcentro(root)ycontrolalacomunicaciónhaciasushojas
(leaves).
● Esunaúnicasubred.
MultiprotocolLabelSwitching(MPLS)
MPLSesunprotocoloqueetiquetaeltráficoparasepararlodetráficosdeotrosclientes,
algosimilara802.1q.
ElproblemadeunaredISP
Mantenerunainfraestructuraqueconectacientosdeclientesnoesnadabarato.Siuno
comoclientetuviesequepagarporconectarmireddesdeMiamihastaNewYorkyfuese
unocomoclientequiencorreel100%deloscostossimplementeseríaalgoimpagable.
Porendelaformadecómofuncionanlasredesdelosproveedoresdeservicioesutilizarla
mismainfraestructuraparamilesdeclientes,sinembargo,¿Quépasacuandotenemos
milesdeclientesutilizandolasmismassubredes?¿LasmismasVLANs?
¿Cómoseparareltráficodemilesdeclientesparaquenosemezclenycadaunotengasu
propiaredprivada?
EsaquídondeentraMPLS.
MultiprotocolLabelSwitching(MPLS)esunatécnicadetransportededatospararedesde
altorendimiento.
MPLSdirigelosdatosdeunnododeredalsiguientebasándoseenLabelsderutacortasen
lugardedireccionesIPlargas,evitandobúsquedascomplejasenunatabladeenrutamiento.
LosLabelsidentificanVirtualLinks(rutas)entrenodosdistantesenlugardeendpoints.
MPLSpuedeencapsularpaquetesdevariosprotocolos,deahísunombre"multiprotocol".
MPLSadmiteunavariedaddetecnologíasdeaccesocomonuestroprotagonistaEthernet
overWAN.TambiénpuedefuncionarconDSL,4G,ymúltiplestecnologíaslocuallohace
perfectoparaunainfraestructuradeunproveedordeservicio.
EnelCCNAnoseprofundizamuchosobreelfuncionamientodeMPLSmásalláque
algunosconceptosdearquitecturaqueveremosacontinuación:
ConMPLSfuncionaatravésdeEthernetporloquelastipologíasanteriormenteexpuestas
aplicanparaMPLS,loqueseparaeltráficodeotrosclientesesellabeling.
● CustomerEdge:Interfazdelrouterodispositivodelclientequeconectaconel
ISP
● ProviderEdge:Interfazdelrouterodispositivoqueconectaconlareddel
clientedesdeelISP.
TecnologíasdeAccesoaInternet
DSL
LatecnologíaDSLesunatecnologíadeconexiónpermanentequeusalaslíneas
telefónicasdepartrenzadoexistentesparatransportardatosconunanchodebanda
elevadoyproporcionaserviciosIPalossuscriptores.
UnmódemDSLconvierteunaseñaldeEthernetdeldispositivodeusuarioenunaseñal
DSL,quesetransmitealaoficinacentral.
VariaslíneasdesuscriptorDSLsemultiplexanenunúnicoenlacedealtacapacidad
medianteunmultiplexordeaccesoDSL(DSLAM)enlaubicacióndelproveedor.
LosDSLAMincorporanlatecnologíaTDMparalaagregacióndevariaslíneasdesuscriptor
enunúnicomedio,generalmenteunaconexiónT3(DS3).
Paralograrvelocidadesdedatosrápidas,lastecnologíasDSLactualesutilizantécnicas
sofisticadasdecodificaciónymodulación.
CABLEModem
Enáreasurbanas,paradistribuirlasseñalesdetelevisiónseusaampliamenteelcable
coaxial.Muchosproveedoresdetelevisiónporcableofrecenaccesoalared.Estopermite
unanchodebandasuperioraldelbuclelocaldetelefoníaconvencional.
Loscablemódemsproporcionanunaconexiónpermanenteytienenunainstalaciónsimple.
UnsuscriptorconectaunacomputadoraounrouterLANalcablemódem,quetraducelas
señalesdigitalesporfrecuenciasdebandaanchaqueseusanparalatransmisiónenuna
reddetelevisiónporcable.
Laoficinalocaldetelevisiónporcable,quesedenomina“cabeceradecable“,contieneel
sistemadecomputaciónylasbasesdedatosquesenecesitanparaproporcionaraccesoa
Internet.Elcomponentemásimportanteubicadoenlacabeceraeselsistemade
terminacióndecablemódem(CMTS),queenvíayrecibeseñalesdigitalesdecablemódem
enunareddecableyesnecesarioparaproporcionarserviciosdeInternetalos
suscriptores.
LossuscriptoresdecablemódemdebenusarelISPasociadoconelproveedordeservicios.
Todoslossuscriptoreslocalescompartenelmismoanchodebandadecable.Amedidaque
seunenmásusuariosalservicio,esposiblequeelanchodebandadisponibleestépor
debajodelavelocidadesperada.
DATOSMÓVILES3G/4G
Cadavezmás,elserviciocelularesotratecnologíaWANinalámbricaqueseusapara
conectarusuariosyubicacionesremotasdondenohayotratecnologíadeaccesoWAN
disponible.
Losteléfonos,lastabletPC,lascomputadorasportátileseinclusoalgunosroutersse
puedencomunicaratravésdeInternetmediantelatecnologíadedatosmóviles.Estos
dispositivosusanondasderadioparacomunicarsepormediodeunatorredetelefonía
móvil.Eldispositivotieneunapequeñaantenaderadio,yelproveedortieneunaantena
muchomásgrandequeseubicaenlapartesuperiordeunatorreenalgúnlugarauna
distanciadeterminadadelteléfono.
Algunostérminoscomunesdelaindustriadedatosmóvilesincluyenlossiguientes:
3G/4Ginalámbrico:abreviaturaparaelaccesocelulardeterceraycuartageneración.Estas
tecnologíasadmitenaccesoinalámbricoaInternet.
Evoluciónalargoplazo(LTE):hacereferenciaaunatecnologíamásrecienteymásrápida,
queseconsiderapartedelatecnologíadecuartageneración(4G)
InternetporFibra
Paraestepuntodelcapítulocreemosqueestoseexplicasolo,siEthernetfuncionacomo
WANgraciasalafibraóptica,clarosequesepuedeextenderesafibrahastalacasa.
EsteeselmejorserviciodeInternetquesepuedeconseguirenlaactualidad.
Capítulo37-SecurityThreats
Hastaelmomentohemosestudiadoelfuncionamientodelasredesytodomuybien.Pero
comodiceeldicho,notodoescolorderosa.
Esmomentodeverquéamenazaspodemostenerenlared.
Lavidaestállenadeamenazasypormediodelaseguridadpodemosmitigarunpocoel
riesgodeestasamenazas,claroestáquealgunasvecesmuchaseguridadpuedevolverse
unpocoineficiente.
Veamosenlavidarealunpartidoenunmundialdefútbol,lamentablementehaypersonas
malintencionadasquepodríancolocarunabombaenunestadio.Porendeseaplica
seguridadalaentradadelestadiorevisandoacadaunodelosasistentesyasícontrolarel
ingresodeunaamenaza.
Estoclarohacemásineficienteelespectáculo,seríagenialquenoexistieran
vulnerabilidadesyporendetodosfueraadisfrutardeunbuenpartidodefútbolperolavida
noesasí.
Lomismosucedeenunareddetelecomunicaciones,loidealesquetodosnospodemos
comportardeunamaneraéticaenlaredenlacualnovayamosaccederlainformaciónque
nonoscorresponde.Imageneselareddeunbancoendondetodospudiéramostener
accesoalascuentasbancariasdetodosperonadielohaceporuntemaético.
Lamentablementeesonoexisteyporendeocupamosdelaseguridadinformática.
Vamosainiciarconunasdefiniciones
Paranuestroescenariovamosautilizaruna
cajaconununacerraduradecandado.
Imaginemosquedentrodelacajatenemos
untesoro.Silacajaestuviese100%sellada
seríatanseguraquenohabríaformade
accederaltesoroperoestotambiénevitaque
eldueñodeltesoropuedaaccederlo,para
esoentoncesvamosacrearunacajaquese
puedaabrirylecolocamosuncandadocomo
métododeseguridad.
Vulnerabilidad:U navulnerabilidad(entérminosdeinformática)esunadebilidadofalloen
unsistemadeinformaciónqueponeenriesgolaseguridaddelainformaciónpudiendo
permitirqueunatacantepuedacomprometerlaintegridad,disponibilidadoconfidencialidad
delamisma,porloqueesnecesarioencontrarlasyeliminarlasloantesposible.Estos
«agujeros»puedentenerdistintosorígenesporejemplo:fallosdediseño,erroresde
configuraciónocarenciasdeprocedimientos.
Ennuestroejemplodelacaja,elcandadorepresentaunavulnerabilidadyaqueeselpunto
débilovulnerableconquealguienpuederomperelcandadoparapoderaccederaltesoro.
Exploit:E slaherramientaconlacualpodemosexplotarlavulnerabilidadpara
comprometerelsistema.Enotraspalabras,unexploitesunprogramainformático,una
partedeunsoftwareounasecuenciadecomandosqueseaprovechadeunerroro
vulnerabilidadparaprovocaruncomportamientonointencionadooimprevistoenun
software,hardwareoencualquierdispositivoelectrónico.
Ennuestroejemploel
candadotieneunallave,si
esallaveserobaahí
podemosexplotarla
vulnerabilidad,obiensi
utilizamosuna“corta
cadenas”pararomperel
candado,la“cortacadenas“
seríaelexploit
Amenaza:L asamenazassurgenapartirdelaexistenciadevulnerabilidades,esdecirque
unaamenazasólopuedeexistirsiexisteunavulnerabilidadquepuedaserexplotada,e
independientementedequesecomprometaonolaseguridaddeunsistemade
información.
Ennuestroejemploelcortacadenasporsísolonoabrecandados,necesitadeunapersona
quequierautilizarelcortacadenaspararomperelcandado,esahídondeseconvierteen
unaamenaza.
Acontinuaciónvamosaestudiarunaseriedeamenazasdelaseguridadinformática.
SpoofAttacks(Ataquesdesuplantación)
EntelecomunicacionesasumimosquelasdireccionesIPymacaddressorigenenununa
comunicaciónpertenecenaquienoriginalmentecreóeltráfico
Puesunodelosataquesmáscomuneseslasuplantacióndeidentidad(Si,similaracuando
pedíasunacédulafalsaparaentraraunafiestacuandoaúnerasmenordeedad)
Observenelsiguientegráfico
● ElatacanteestácreandotráficoconelorigendeunadirecciónIPquenole
pertenece(3.3.3.3)cuandoeltráficollegaasudestino2.2.2.2lerespondeaesaIP
3.3.3.3elcualnofuequiencreóeltráficoyrecibetráficomalintencionadoquepuede
provocarmúltiplesvulnerabilidades.
HaymuchostiposdeataquesquesepuedenrealizarconlasuplantacióndedireccionesIP
origenomac-addressorigen,aquímencionamosalgunas:
● Unatacantepuedeinventarunsinnúmerodemac-addresorigenparallenarde
informaciónfalsaelmac-addresstabledeunswitchalpuntodesaturarse.
● LasuplantacióndeidentidadporfalsificacióndetablaARPsetratadela
construccióndetramasdesolicitudyrespuestaARPmodificadasconelobjetivode
falsearlatablaARP(relaciónIP-MAC)deunavíctimayforzarlaaqueenvíelos
paquetesaunhostatacanteenlugardehacerloasudestinolegítimo.Estosellama
ARPSpoofing
● Unatacantepuedeconmac-addressfalsassolicitarunsinnúmerodedireccionesIP
aunservidorDHCPparadejarlossinIPsdisponiblesparalosusuarios.
OtrostiposdesuplantaciónoSpoofingestán:
● DNSspoofing:EstoessuplantarelservidorDNSparafalsamenteredireccionarel
tráficoadestinosmaliciosos.
● Webspoofing:Suplantacióndeunapáginawebreal(noconfundirconphishing).
Enrutalaconexióndeunavíctimaatravésdeunapáginafalsahaciaotraspáginas
webconelobjetivodeobtenerinformacióndedichavíctima(páginaswebvistas,
informacióndeformularios,contraseñasetc.).
● Suplantacióndeladireccióndecorreoelectrónicodeotraspersonasoentidades.
DenialofService(Denegacióndeservicio)
Unataquededenegacióndeservicio,tienecomoobjetivoinhabilitarelusodeunsistema,
unaaplicaciónounamáquina,conelfindebloquearelservicioparaelqueestádestinado.
Esteataquepuedeafectar,tantoalafuentequeofrecelainformacióncomopuedeseruna
aplicaciónoelcanaldetransmisión,comoalaredinformática.
Losservidoreswebposeenlacapacidadderesolverunnúmerodeterminadodepeticiones
oconexionesdeusuariosdeformasimultánea,encasodesuperaresenúmero,elservidor
comienzaaralentizarseoinclusopuedellegaranoofrecerrespuestaalaspeticioneso
directamentebloquearseydesconectarsedelared.
¿Cómofunciona?
CuandounacomputadoraenvíaunapeticióndeSYNenTCPpuededejarabiertaesta
peticiónsinfinalizarel3wayhandshake.Estoserepiteinfinidaddeveceslograndosaturar
elservidorydejandosinconexionesalosusuarioslegítimos
Existendostécnicasdeestetipodeataques:ladenegacióndeserviciooDoS(porsus
siglaseninglésDenialofService)yladenegacióndeserviciodistribuidooDDoS(porsus
siglaseninglésDistributedDenialofService).Ladiferenciaentreamboseselnúmerode
ordenadoresoIP´squerealizanelataque.
EnlosataquesDoSsegeneranunacantidadmasivadepeticionesalserviciodesdeuna
mismamáquinaodirecciónIP,consumiendoasílosrecursosqueofreceelserviciohasta
quellegaunmomentoenquenotienecapacidadderespuestaycomienzaarechazar
peticiones,estoescuandosematerializaladenegacióndelservicio.
EnelcasodelosataquesDDoS,serealizanpeticionesoconexionesempleandoungran
númerodeordenadoresodireccionesIP.Estaspeticionesserealizantodasalmismo
tiempoyhaciaelmismoservicioobjetodelataque.UnataqueDDoSesmásdifícilde
detectar,yaqueelnúmerodepeticionesprovienendesdediferentesIP´syeladministrador
nopuedebloquearlaIPqueestárealizandolaspeticiones,comosíocurreenelataque
DoS.
LascomputadorasquerealizanelataqueDDoSsonreclutadosmediantelainfeccióndeun
malware,convirtiéndoseasíenbotsozombies,capacesdesercontroladosdeforma
remotaporunciberdelincuente.Unconjuntodebots,esdecir,deordenadoresinfectados
porelmismomalware,formanunabotnetotambiénconocidacomoredzombi.Obviamente,
estaredtienemayorcapacidadparaderribarservidoresqueunataquerealizadoporsólo
unamáquina.
ReflectionandAmplificationAttacks
EnelataqueanteriorelobjetivoeraatacarelservidorcontráficoprovenientedeIPs
desconocidasparaafectaralservidor.
Enestecasoeselcontrario,yoconunaIPsuplantadacomienzoacrearsolicitudesque
generenrespuesta,comoporejemplounDNSQueryylavíctimavaarecibirtodasestas
respuestasenformasimultáneademúltiplesservidoresDNSsaturandosuanchodebanda
yservicios.
Man-in-the-MiddleAttacks
Porataqueman-in-the-middle(tambiénataqueMitM)oataquedeintermediarioseentiende
aquelmétodoporelqueunhackerintervieneeneltráficodedatosdedosparticipantesen
unacomunicaciónhaciéndosepasarporunooporotro,deformaqueleshacecreerquese
estáncomunicandoentreelloscuandoenrealidadlohacenconelintermediario.Enel
pasado,estetipodeataquesteníalugarpormediodelamanipulacióndelcanalfísicode
comunicación.Hoy,conelusocompartidoderedesdecomunicaciónpúblicas,eltercerono
autorizadoseinmiscuyeentredosomásparticipantesdelacomunicación.Losataques
MitMsellevanacabo,sobretodo,enredesinformáticasconelfindeanularlacodificación
SSL/TLSypoderacceder,así,ainformaciónconfidencial,talescomodatosdeusuario,
contraseñasycuentasbancarias.
Elgráficoqueapareceacontinuación,ilustraelesquemabásicodeunataque
man-in-the-middle.
ElsistemaAintentacrearunaconexióncodificadaconelsistemaBpero,enlugardeello,
untercerpartidomalintencionadodesvíaelflujodedatosparaestablecerlaconexión
codificadadelsistemaAconelsistemaCyqueapartirdeahísetransmitaalsistemaB.
EstotienecomoconsecuenciaqueaquelquetengaelcontrolsobreelsistemaC(el
atacantegeneralmente)puedeexaminar,grabaromanipulareltráficodedatos,amenudo
inclusosinquelosparticipantesenlacomunicaciónseanconscientesdeello.
EnunaredLANpuedefuncionardelasiguientemanera:
● ElhostA(Víctima)haceunARPrequestparaobtenerlamac-addressdelservidory
enviareltráfico.
● ElARPalserbroadcastlellegaatodalaredincluyendoalhacker.
● EstopermitealhackertambiénrespondereseARPconlamac-addressdesu
dispositivoenlugardelareal.
● Aunqueusualmenteelservidortambiénresponde,elhackernormalmenteesperaun
tiempoprudencialparaactualizaresatablaARPluegodequeelservidorresponda.
● Deestamaneraeltráficolellegaalhackeryestereenvíaeltráficoalservidor
permitiéndolevereltráficoquepasaenesacomunicaciónohastacambiandolo.
Resumendeataquesdesuplantación
AquíhayunatablaqueresumelosposiblesataquesydañosalahoradesuplantarunaIP,
macoidentidad.Elobjetivodelatacanteohackeresdesaturarlosrecursosycapacidades
delavíctimaparadenegarelservicioovereltráficoomodificarloenunataquedeManin
themiddle.
ReconnaissanceAttacks(Ataquesdereconocimiento)
Unataquedereconocimientopuedenoconsiderarseunataqueporquenoseexplotada
nadaperosiseobtienelainformaciónnecesariaparaluegoatacaralasvíctimas.
Elobjetivodeestoeslograrreconocerlared.
Conherramientasbásicascomon slookupq uelamayoríadelossistemasoperativos
obtienenestopodemosdescubrirquiénesestánresolviendolosquerydeciertosdominios y
lasdireccionesIPs.
PuedetambiénusarunbarridodeIPsconpingsparapoderidentificarcuálesIPresponden
yesasseconviertenenIPsvivas.
AdemásdelasdehacerunbarridodepuertosTCPyUDPparadetectarquepuertosestan
abiertos.
Existenherramientasdehackeoéticoqueenunsolosoftwaretraetodolonecesariopara
verestetipodeexploitsyademásdevulnerabilidadesdesistemasoperativosyparches.
BufferOverflow
Elsistemaoperativoalmacenalosdatosenunamemoriatemporalquesellamabuffer.
Unavulnerabilidadesladerecibirunagrancantidaddedatosenformasimultáneayquese
lleneestamemoriaprovocandouno verflow
Usualmenteeloverflowocasionaquelamemoriaadicionalsecomienceautilizarla
cualestatambiénsepuedeirllenandoalpuntoquetodoelsistemahacecrash.
Malware
OtrotipodevulnerabilidadessonelsoftwaremalintencionadooMALWARE.
Usualmenteestetipodesoftwaretienevariasclasificaciones,estassonunasdeellas:
● Virus:A unqueseuseelvocablodeformagenéricaparaelmalware,unvirus
informáticoesuncódigomuyespecífico.Setratadeunsoftwaremaliciosoqueal
ejecutarlo,quedainstaladoenlamemoriaRAM,haceréplicasocopiasdesímismo
queseadjuntananuestrosprogramasy,entonces,cadavezqueejecutamosalgún
fichero,éstepuedeborrarseoquedardañado.Tambiénpuedenafectaraarchivos
delsistema.
● ElcaballodeTroya:Descargamosunprogramaaparentementenormal,peroque
luegoresultahaceruna“funcióndoble”queignoramos.Eseprogramaesla“puerta
trasera”(conocidoeningléscomobackdoor)quevuelvenuestroordenador
vulnerableaotrosataques.Nonecesariamenteesunprogramadestructivoensí
mismo,perosinoslohanmetido,esporquenosetienenbuenasintenciones.
Haymuchasvariedades,peroladiferenciafundamentalconelvirusinformáticoes
queeltroyanonoseautoreplica.Esdecir,realizaaccionesconcretasparaelcontrol
delaseguridaddenuestroordenador.Peroelpeligroesmayor:suelensermás
difícilesdedetectar,yaqueaparentementenosonunvirus.
● Gusano:Setratadeuntipodemalwarecuyacaracterísticaprincipalesquese
duplicaasímismoennuestracomputadoraored.Diferenciafundamentalconlos
virus:nohacefaltaqueejecutesningúnprogramaparaqueseactive.Puedes
tenerlodurantemesesactuandosinquetedescuenta,consumiendomemoriaRAM
yextendiéndoseatravésdetuscuentasdecorreo,perfilesderedessociales,etc.
Haymuchasclasesyvariedadesdevirus,troyanosygusanos,ycadaunopuedeprovocar
efectosdiferentes.Peroesperoqueconestasdefinicionesbásicastengasunaideamás
claradeloquesonycómofuncionan.Sinousasunbuenantivirus,ahoramismopodrías
teneralgunodeestosmalwareentucomputadora.
ComportamientoHumano
Unfactordevulnerabilidadmuygrandequeexisteeselserhumano.
Elserhumanoconfíaenotrossereshumanoscuandoestosllamanporteléfono,envían
correos,mensajesdetextoyesavulnerabilidadsepuedeexplotar.
Aquíunaslistadeataquesalcomportamientohumano:
● SocialEngineering:E stoescuandoconfiamosenotrapersonaquenosllamay
nospidedatoscomocredencialesdelbancoyporconfianzaselasdamos.Personas
ajenasqueentranalaoficinayserobancomputadoras,entreotras.
● Phishing:E stoeseldedisfrazarunapáginaweb,correoelectrónicoparaque
parezcacomolegítimo.Deestoexistenalgunasvariantes
PasswordVulnerabilities
Lamayoríadeaccesosestánligadosaunusernameypassword.
Saberelusernamedeunusuarionoestandifícil,porlogeneralestárelacionadoalnombre,
correoelectrónicoocéduladeidentidad.
Laclaveporelotroladoesunapalabralacualmuchaspersonasguardanalgorelacionado
aelloscomoelnombredeloshijos,apellidodelaesposa,películafavorita,etc.
Muchasveceslagentepuedeintentaradivinarlasclavesdepalabrasmuycomunes.
Enataquesparadescifrarelpasswordexisten:
● Ataquedediccionario:L iteralmenteundiccionariodepalabrasenelcualelhacker
pormediodeunsoftwarevaintentandotodapalabraquetieneensudiccionario.
● Ataqueporfuerzabruta:E nestecasoesunsoftwarequevaintentadotoda
posiblecombinacióndecaractereshastalogrardescifrarelpassword,entremás
pequeñoseaelpasswordmásrápidoselogradescifrar.
Ejemplo:Supongoquelaclaveseaunsolocarácterdel0al9,estoesunaclave
fácildeadivinarporquesolodebemostener10intentos,siesdoscaracteres
tendríamos100intentos,igualmuyfácilparaunsoftwarealahoradedescifrar,pero
cuandoagregamosmáscaracteres,letrasespecialesyletrasconnúmeroslatarea
paraunsoftwarederealizartodaslasposiblescombinacionesserequierede“fuerza
bruta”ymuchotiempo.
Deahílasbuenasprácticasdecambiarelpasswordcadaciertotiempoparamitigar
estosataquesdefuerzabruta.
Aestetipodeautenticaciónsepuedeagregaralgocomounmultifactor
● CertificadosDigitales.
● Tokens
● Adicionalmentesepuedeagregarautenticaciónbiométricacomohuellasdigitales,
irisdelosojos,voz,entreotros.
Aquíunresumensobrelospasswords
Servidoresdeautenticaciónymonitoreo
Hablemosahoradecómollevaruncontrolcentralizadodelosusuarios.Existeunservicio
llamadoAAAotripleAquesignificaAuthentication,AuthorizationandAccounting.
● Authentication:¿Quiéneselusuario?
● Authorization:¿Quéestáautorizadoelusuariohacer?
● Accounting¿Quéesloqueelusuariopuedehacer?
Estetipodeserviciossonexcelentesparacontrolarelaccesoarouters,servidores,
switchesydemásdispositivosenelcualunusuarioseconectayenlugardeautenticarse
localmenteconunusuarioypasswordgenérico,seautenticaconunusuarioypassworden
unservidor.
¿Porquéestoesesencial?
Principalmentepodemosllevaruncontroldequéfueloqueejecutócadausuarioenel
dispositivo,sinunusuarioentreyreiniciósinautorizaciónpodemosllevarunregistrodeque
usuariolohizo.
DentrodeAAAtenemosquetenerencuentadosgrandesprotocolosquedominanel
mercado:
● TACACS+:ProtocolopropietariodeCiscoelcualcadafuncióndeAAAlo
manejaporseparado.
○ UtilizaelprotocoloTCP49,enunacomunicaciónsegurayencriptada
● RADIUS:Protocoloestándarquecombinalaautenticaciónyautorizaciónen
unsolorecurso.
○ UtilizaUDP1812y1813peronoescompletamenteencriptado
UnservidordeAAAutilizaunmodelodeclienteservidor.Elequipoqueseutilizapara
autenticarselellamaN
etworkAccessDevice(NAD)yelservidorselellamaN etwork
AccessServer(NAS).
Lacomunicaciónessencillaelusuarioenvíaunrequestdeautenticación,esteesenviadoal
servidorelcualapruebaorechazayse tienemultifactoresdeautenticaciónenvíaun
challengeparasolicitarelrestodelainformacióndelosmultifactores.
Educaciónalusuariofinal
Estaparteparecelógicaperoesimportantemencionarlayesunapreguntafácildeganar
enelexamendeCCNA.Unprogramaeducacionaldebedetenerestos3elementos:
● Userawareness:T odoslosusuariosdebendetenerconocimientodecómomanejar
lainformacióncorporativa,cuálinformaciónessensible,quedebeincluirseenlos
correoselectrónicosydemás.
● Training:D ebedeexistirunprogramadecapacitaciónconlaspolíticasde
seguridadinformáticayloscuidadosquedebedetenerelusuario.
● PhysicalAccessControl:Todoslosdispositivosinformáticosdebendetenerun
accesorestringidocomoenunrackdetelecomunicacionesencerradoquesolose
tengaaccesopormediodeunallaveobadge.
Capítulo38-Monitoreodehardwarey
redes
¿Porquénecesitamosmonitoreo?
Cisco,ellíderenelmercadoderedesempresarialescuentacondiversostiposde
dispositivosderedincluyendorouters,Switches,Firewalls,WirelessAP,VPN,IPS,etc.
¡Nosotros,necesitamoscuidarlo!
Necesitamosanticiparnosalosproblemas.
Existen2tiposdemantenimiento:
● Mantenimientopreventivo:Escuandonoesperamosaquepaseunproblemapara
revisareldispositivo,sinoqueconstantementeselesdáalosequipoun
mantenimientoparaevitarfuturosproblemas.
● Mantenimientocorrectivo:Escuandopasóunproblemaynecesitamoscorregirlo,
actuamosunavezpaseunproblema.
Esimportantecuidardelosequiposyesaquídondeelmonitoreojuegaunpapelmuy
importanteyaqueconstantementeestamosrevisandoelestadodelosdispositivos,el
funcionamientodeellosycomportamientodelared,dondeenmuchoscasospodemos
prevenirunproblemaomejorarelrendimientodelared.
Existendiferentessoftwareysolucionesquenosayudanarealizarlatareademonitorearla
redylosequipos,lamayoríadeestossoftwareutilizanelprotocoloSNMP(protocolo
estándardecomunicaciónpararealizarlaconexiónconlosdispositivosCisco).
UnadelasformasmássencillasesutilizandoelregistrodemensajesSYSLOG.
SYSLOG
LosmensajesSyslogsonmensajesgeneradosporelsistemaquenosbrindainformación
sobreelcomportamientoocambiodelequipo.
Porejemplo,cuandoiniciamossesiónporconsolaenunrouter,cuandoseencuentraun
nuevovecinoenOSPF,cuandoselevantaunanuevainterfazconelcomandonoshutdown,
etc.
Cuandosucedeuneventoenelequipocomolevantarunainterfazconnoshutdownesto
generaunmensajeypordefectoesalmacenadoenelequipodeformalocal,estonoeslo
másrecomendado,larazónessielequipofallayquedainoperativonosevaapoder
revisarlosmensajesSyslogparaencontrarlacausa.
Unabuenaprácticaesalmacenaresosmensajesenunservidor,deesamaneraexisten
servidoresespecialesquepermitenrecopilarinformaciónyvisualizaresosmensajesde
Syslog.
Losmensajessyslogsedividenenniveldeseveridadlocualindicalaimportanciadel
mensajedeerror.Existenochonivelesdeseveridad,entreel0yel7.
Elnivel0(cero)eselmáscríticoyelnivel7eselmenoscrítico.
Losnivelessonlossiguientes:
Ejemplosdelosmensajesgeneradoencadanivel:
LaconfiguracióndeSyslognoentraenelexamendecertificaciónperosinosayudaa
comprenderunpocomáselfuncionamiento.
ParaconfigurarSyslognecesitamos:
1-Identificarelservidorylaseveridadquedeseamosenviar:
2-Silodesean,configurarSyslogLocal
NTP
NTP(NetworkTimeProtocol),esunprotocoloparasincronizarlosrelojesdelsistema.
Ustedessepuedenpreguntar,¿QuétienequeverNTPconelmonitoreoderedes?
ParapoderllevarunbuencontroldelosregistrodemensajedeSyslogesmuyimportante
sabereltiempoexactoqueocurrióelevento,esmuycomplicadotratardeponerlamisma
horadeformamanualavariosdispositivos,paraestolamejorsoluciónesNTP.
NTPsevaaencargardeobtenerlahoradeunservidorNTPysincronizarlaenelequipo
local.
NTPutilizaUDPcomosucapadetransporte,usandoelpuerto123.
NTPutilizaunsistemadejerarquíadeestratosdereloj,endondelossistemasdeestrato1
estánsincronizadosconunrelojexternotalcomounrelojGPSóalgúnrelojatómico.
Lossistemasdeestrato2deNTPderivansutiempodeunoómásdelossistemasde
estrato1,yasíconsecutivamente…
Ciscotiene2tiposdeconfiguraciónparaNTP:
● ntpmaster:ServidorNTP,esteactúaúnicamentecomoservidorntpbrindandola
informacióndesurelojlocalalosclientes.
● ntpserver:ClienteNTPyServidorNTP,esteactúaprimeramentecomocliente
obteniendoeltiempoyhoradeunservidoryluegoactúacomounservidor
brindandodichainformaciónaotroscliente.
Enelsiguienteejemplotenemos3routers:
R3:actúasolamentecomoservidorbrindandolainformacióndesurelojlocalaR2.
R2:actúacomoclienteprimeramentesincronizandosurelojconR3yluegocomoservidor
paraparabrindarleeltiempoaR1
R1:actúacomoclientesincronizandoconR2.
SNMP
SNMP(SimpleNetworkManagementProtocol),ensusdistintasversiones,esunconjunto
deaplicacionesdegestiónderedqueemplealosserviciosofrecidosporTCP/IPyqueha
llegadoaconvertirseenunestándar.
LoscincotiposdemensajesSNMPintercambiadosentrelosdispositivosylos
Administradores,son:
-GetRequest
UnapeticióndelAdministradoraldispositivoparaqueenvíelosvalorescontenidosenel
MIB(basededatos).
-GetNextRequest
UnapeticióndelAdministradoraldispositivoparaqueenvíelosvalorescontenidosenel
MIBreferentealobjetosiguientealespecificadoanteriormente.
-GetResponse
LarespuestadeldispositivoalapeticióndeinformaciónlanzadaporelAdministrador.
-SetRequest
UnapeticióndelAdministradoraldispositivoparaquecambieelvalorcontenidoenelMIB
referenteaundeterminadoobjeto.
-Trap
UnmensajeespontáneoenviadoporeldispositivoalAdministrador,aldetectarunevento
Capítulo39-CalidaddeServicio
Hastaelmomentohemosobservadocomoeltráficosemanejadeunorigenaldestinopero¿Debe
sertodoeltráficotratadoigual?
SincalidaddeservicioeltráficosemanejaenmodoFIFO(FirstInFirstOut-Elprimeroqueentrael
primeroquesale).
ConQoSvamosapoderdarleprioridadaltráficoqueenverdadnecesitallegarprimeroasudestino
oquesihayunasaturaciónenelenlacecuáltráficodebetenerprioridadparaserprocesado.
Priorizacióndeltráfico
Lacalidaddeservicio(QoS)esunrequisitocadavezmásimportanteparalasredeshoyendía.Las
nuevasaplicacionesdisponiblesparalosusuarios,comolastransmisionesdevozydevideoenvivo
generanexpectativasmásaltassobrelacalidaddelosserviciosqueseproporcionan.
Lacongestiónseproducecuandolademandadeanchodebandaexcedelacantidaddisponible.
Cuandoseproducenintentosdecomunicacionessimultáneasatravésdelared,lademandade
anchodebandapuedeexcedersudisponibilidad,loqueprovocacongestiónenlared.
Cuandoelvolumendeltráficoesmayorqueloquesepuedetransportartravésdelared,los
dispositivoscolocanlospaquetesencola,oenespera,enlamemoriahastaquehayarecursos
disponiblesparatransmitirlos,comosemuestraenlaimagen.Lospaquetesencolacausanretrasos,
dadoquelosnuevospaquetesnosepuedentransmitirhastaquenosehayanprocesadolos
anteriores.Sielnúmerodepaquetesencolacontinúaaumentando,lascolasdelamemoriasellenan
ylospaquetessedescartan.
Usodecolasparapriorizarlascomunicaciones
Anchodebanda,congestión,demorayfluctuaciones
Elanchodebandadelaredeslamedidadelacantidaddebitsquesepuedentransmitirenun
segundo,esdecir,bitsporsegundo(bps).Losadministradoresderedesgeneralmentehacen
referenciaalrendimientodelosdispositivosdereddescribiendoelanchodebandadelasinterfaces
expresadas.Porejemplo,paradescribirundispositivodered,sepuedeespecificarquetieneun
rendimientode10gigabitsporsegundo(Gbps).
Lacongestióndelaredproducedemoras.Lasvariacionesenlademoraproducenfluctuaciones.Una
interfazexperimentacongestióncuandotienemástráficodelquepuedegestionar.Lospuntosde
congestióndelaredsoncandidatosfuertesparalosmecanismosdeQoS.Laimagenmuestratres
ejemplostípicosdepuntosdecongestión.
Ejemplosdepuntosdecongestión
Nota:UndispositivoimplementaúnicamenteQoScuandoexperimentaalgúntipodecongestión.
Lademoraolalatenciaserefierealtiempoquedemoraunpaqueteenviajardeorigenadestino.
Haydemorasfijasydemorasvariables.
LascausasdelasdemorasseresumenenlaTabla.
Causadedemora
Demora Descripción
Demoradecódigo Lacantidadfijadetiempodedicadoacomprimirlosdatosenelorigen
antesdetransmitirelprimerdispositivodeinterconexiónderedes,
generalmenteunswitch.
Demoradepaquetización Eltiempofijoquedemoralaencapsulacióndeunpaquetecontodala
informacióndeencabezadonecesaria.
Demoradeasignaciónde Lacantidaddetiempovariablequeunatramaounpaqueteespera
cola paratransmitirseenelenlace.
Demoradeserialización LacantidadfijadetiempoquellevatransmitirunatramadelaNICal
cable.
Demoradepropagación Lacantidaddetiempovariablequedemoralatramaparaatravesarlos
enlacesentreelorigenyeldestino.
Demoradeeliminación Lacantidadfijadetiempoquesedemoraenelalmacenamientoen
defluctuación búferdeunflujodepaquetesyenelenvíodeestosaintervalos
uniformes.
Lafluctuacióndefasees lavariaciónenlademoradepaquetes.Enelextremoemisor,lospaquetes
seenvíandemanerapermanenteconlospaquetesdeespaciouniformeporseparado.Debidoala
congestiónenlared,laesperaincorrectaoloserroresdeconfiguración,lademoraentrecada
paquetepuedevariarenlugardemantenerseconstante.Esnecesariocontrolaryminimizartantola
demoracomolasfluctuacionesparaadmitireltráficoentiemporealeinteractivo.
Pérdidadepaquetes
SinmecanismosdeQoSenellugar,lospaquetesseprocesanenelordenenelquesereciben.
Cuandoseproduceunacongestión,losroutersylosswitchescomienzanadescartarlospaquetes.
Estosignificaquelospaquetessensiblesaltiempo,comoelvideoylavozentiemporealyvoz,se
descartaránconlamismafrecuenciaquelosdatosquenoseanurgentes,comoelcorreoelectrónico
ylaexploraciónweb.
Porejemplo,cuandounrouterrecibeunflujodeaudiodigitaldelprotocolodetransmisiónen
tiemporeal(RTP)delprotocolodetiemporealparavozsobreIP(VoIP),debecompensarlas
fluctuacionesqueseencuentren.Elmecanismoqueadministraestafuncióneselbúferdedemora
dereproducción.Elbúferdedemoradereproduccióndebealmacenarenbúferestospaquetesy
luegoreproducirlosenunflujoconstantequeseconvertiráenunflujodeaudioanalógico,comose
muestraenlaimagen.
Elbúferdedemoradereproduccióncompensalasfluctuaciones
Silasfluctuacionessontangrandesquehacenquelospaquetesserecibanfueradelalcancedeeste
búfer,sedescartanlospaquetesqueestánfueradelrango,yseescuchaninterrupcionesenelaudio,
comosemuestraenlaimagen.
Paquetedescartadodebidoafluctuaciónexcesiva
Paralaspérdidastanpequeñascomounpaquete,elprocesamientodigitaldeseñales(DSP)interpola
loqueconsideraquedebeserelaudioynohayningúnproblemaaudible.Sinembargo,cuandolas
fluctuacionesexcedenloquepuedehacerelDSPparacompensarlospaquetesfaltantes,se
escuchanlosproblemasdeaudio.
LapérdidadepaquetesesunacausacomúndelosproblemasdecalidaddevozenunaredIP.Enuna
reddiseñadacorrectamente,lapérdidadepaquetesdebeestarcercadecero.Loscódecsdevoz
utilizadosporDSPpuedentolerarciertogradodepérdidadepaquetessinunefectoradicalenla
calidaddevoz.LosingenierosderedesutilizanmecanismosdeQoSparaclasificarpaquetesdevoz
paraquelapérdidadepaquetesseaigualacero.Segarantizaelanchodebandaparalasllamadasde
vozdandoprioridadaltráficodevozsobreeltráficoquenoessensiblealtiempo.
Tendenciasdeltráficodered
Aprincipiosdeladécadadel2000,lostiposdetráficoIPpredominanteseranvozydatos.Eltráfico
devoztieneunanecesidaddeanchodebandapredecibleytiemposdellegadadepaquete
conocidos.Eltráficodedatosnoesentiemporeal,ytieneunanecesidadimpredecibledeanchode
banda.Eltráficodedatospuedetenerestallidostemporalmente,comocuandosedescargaun
archivogrande.Esteestallidopuedeconsumirtodoelanchodebandadeunenlace.
Voz
Eltráficodevozespredecibleyuniforme.Eltráficodevozesbenigno,loquesignificaqueno
consumemuchosrecursosdered.Sinembargo,lavozesmuysensiblealasdemorasylospaquetes
descartados,ynosepuedevolveratransmitirsisepierde.Porlotanto,deberecibirunaprioridad
másalta.Porejemplo,losproductosdeCiscoutilizanelrangodepuertode16384a32767deRTP
parapriorizareltráficodevoz.Lavozpuedetolerarciertacantidaddelatencia,fluctuaciónyla
pérdidasinningúnefectonotable.Lalatencianodebesuperarlos150milisegundos(ms).Las
fluctuacionesnodebensuperarlos30msylapérdidadepaquetesdevoznodebesersuperioral
1%.Eltráficodevozrequiereporlomenos30KB/sdeanchodebanda.
Característicasdetráficodevoz
Video
SinQoSyunacantidadsignificativadecapacidaddeanchodebandaadicional,lacalidaddevideo
normalmentedisminuye.Laimagensemuestraborrosa,dentadaoenlacámaralenta.Elaudiodela
fuentepuedeperderlasincronizaciónconelvideo.
Eltráficodevideotiendeaserimprevisible,inconsistenteyatransmitirseporráfagas.En
comparaciónconlatransmisióndevoz,elvideoesmenosresistenteapérdidasytieneunmayor
volumendelosdatosporpaquete.Observecómolospaquetesdevozllegancada20msysonde
200bytespredeciblescadauno.Encambio,lacantidadyeltamañodelospaquetesdevideovarían
cada33mssegúnelcontenidodelvideo.Porejemplo,silatransmisióndevideosecomponede
contenidoquenocambiamuchodeuncuadroaotro,lospaquetesdevideoseránpequeños,yse
necesitaránmenosparamantenerunaexperienciadeusuarioaceptable.Sinembargo,sila
transmisióndevideoestácompuestaporcontenidoquecambiarápidamente(porejemplo,una
secuenciadeacciónenunapelícula),lospaquetesdevideoseránmásgrandesyserequeriránmás
porcadamódulodetiempode33msparamantenerunaexperienciadeusuarioaceptable.
Comparacióndemuestradevozyvideo
Enlasiguienteimagen,seresumenlascaracterísticasdeltráficodevideo.LospuertosUDP,como
554utilizadosparaelprotocolodetransmisiónentiemporeal(RSTP),debentenerprioridadsobre
otrotráficoderedmenossensiblealtiempo.Aligualquelavoz,elvideopuedetolerarcierta
cantidaddelatencia,fluctuación,ypérdidasinningúnefectonotable.Lalatencianodebeser
superiora400milisegundos(ms).Lasfluctuacionesnodebenserdemásde50 ms,ylapérdidade
paquetesdevideonodebesersuperioral1%.Eltráficodevideorequiereporlomenos384kb/sde
anchodebanda.
Característicasdeltráficodevideo
Datos
LamayoríadelasaplicacionesutilizanTCPoUDP.AdiferenciadeUDP,TCPrealizalarecuperaciónde
errores.Aplicacionesdedatosquenotienentoleranciaalapérdidadedatos,comoelcorreo
electrónicoylaspáginasweb,elusodeTCPparaasegurarsedeque,silospaquetessepierdenen
tránsito,seenvíennuevamente.Eltráficodedatospuedeserfluidoopuedetenerpicos.Eltráficode
controlderedgeneralmenteespredecible.Cuandohayuncambiodetopología,eltráficodecontrol
deredpuedetenerpicosduranteunossegundos.Perolacapacidaddelasredesactualespermite
administrarfácilmenteelaumentodeltráficodecontrolderedmientraslaredconverge.
Sinembargo,algunasaplicacionesTCPpuedensermuyexpansivasyconsumirunagranporcióndela
capacidaddelared(Windowing).ElFTPocuparátantoanchodebandacomopuedaobtenercuando
usteddescargueunarchivogrande,comounapelículaounjuego.EnlaTabla1,seresumenlas
característicasdeltráficodedatos.
Característicasdeltráficodedatos
Aunqueeltráficodedatosesrelativamenteinsensiblealascaídasydemorasencomparaciónconla
vozyelvideo,unadministradorderedigualmentedebetenerencuentalacalidaddelaexperiencia
delusuario,avecesdenominada"calidaddelaexperiencia"oQoE.Losdosfactoresprincipales
acercadelflujodeltráficodedatosporlosqueunadministradordereddebepreguntarsonlos
siguientes:
● ¿Losdatosprovienendeunaaplicacióninteractiva?
● ¿Losdatossoncríticos?
Latablacomparaestosdosfactores.
Tabla:Factoresquesedebenconsiderarparalademoradelosdatos
Descripcióngeneraldelapuestaencola
LapolíticadeQoSimplementadaporeladministradordelaredseactivacuandoseproduceuna
congestiónenelenlace.Lapuestaencolaesunaherramientaadministrativaparalacongestiónque
puedealmacenarenbúfer,priorizar,y,sicorresponde,reordenarlospaquetesantesdequeestosse
transmitanaldestino.Seencuentrandisponiblesvariosalgoritmosdepuestaencola:
● Primeroenentrar,primeroensalir(FIFO)
● Mecanismodecolaequitativoponderado(WFQ)
● CBWFQ(mecanismodecoladeesperaequitativoyponderadobasadoenclases)
● Mecanismodecoladebajalatencia(LLQ)
Elprimeroenentrareselprimeroensalir(FIFO,firstin,firstout)
Ensuformamássencilla,lacolaFIFO(tambiénconocidacomo"primeroenentrar,primeroensalir"
oFCFS)implicaalmacenarenbúferyreenviarpaquetesenelordendellegada.
FIFOnotieneningúnconceptodeprioridadoclasedetráficoy,porlotanto,notomaninguna
decisiónsobrelaprioridaddelpaquete.Hayunasolacola,ytodoslospaquetessetratanporigual.
Seenvíaunainterfazalospaquetesenelordenenelquellegan,comosemuestraenlaimagen.
Aunqueeltráficoseamásimportanteosensiblealtiemposegúnlaclasificacióndeprioridad,
observequeeltráficoseenvíaenelordenenqueserecibe.
EjemplodecolaFIFO
CuandoseutilizaFIFO,eltráficoimportanteosensiblealtiemposepuededescartarcuandose
produceunacongestiónenelrouteroenlainterfazdelswitch.Cuandonohayotrasestrategiasde
colaconfiguradas,todaslasinterfaces,exceptolasinterfacesserialesenE1(2048mbps)ydebajo
utilizanFIFOdemanerapredeterminada.(LasinterfacesserialesenE1ydebajoutilizanWFQpor
defecto).
FIFO,queeselmétodomásrápidodeespera,eseficazparaenlacesgrandesquetienenpocoretraso
ycongestiónmínima.Sisuenlacetieneunacongestiónmuypequeña,lacolaFIFOpuedeserlaúnica
colaquenecesiteusar.
Mecanismodecolaequitativoponderado(WFQ)
LaWFQesunmétododeprogramaciónautomatizadaqueproporcionalaasignacióndelanchode
bandajustoatodoeltráficodered.LaWFQaplicalaprioridadolasponderacionesaltráfico
identificadoyloclasificaenconversacionesoflujos.
Ejemplodemecanismodecolaequitativoponderado
ElWFQluegodeterminalacantidaddeanchodebandaqueselepermiteacadaflujoenrelación
conotrosflujos.ElalgoritmobasadoenelflujoutilizadoporlaWFQplanificasimultáneamenteel
tráficointeractivoalfrentedeunacolaparareducireltiempoderespuesta.Luego,comparte
equitativamenteelanchodebandarestanteentreflujosdeanchodebandaaltos.ElWFQlepermite
darprioridadaltráficodebajovolumeneinteractivo,comolassesionesTelnetydevoz,sobreel
tráficodegranvolumen,comolassesionesdeFTP.Cuandoseproducensimultáneamentelosflujos
delastransferenciasdearchivomúltiples,seasignaunanchodebandasimilaralastransferencias.
LaWFQclasificaeltráficoendistintosflujosbasadosenelencabezadodemanejodepaquetes,lo
queincluyecaracterísticascomolasdireccionesIPdeorigenydedestino,lasdireccionesMAC,los
númerosdepuerto,elprotocoloyelvalordeltipodeservicio(ToS).ElvalorToSenelencabezadoIP
puedeutilizarseparaclasificareltráfico.ElToSsedescribirámásadelante.
Losflujosdetráficodebajoanchodebanda,queconformanelmayorpartedeltráfico,reciben
serviciopreferencial,loquepermitequetodassuscargasofrecidasseenvíenoportunamente.Los
flujosdetráficodegranvolumencompartenlacapacidadrestanteproporcionalmenteentresí.
Limitaciones
LaWFQnoseutilizaconlostúnelesyelcifradoporqueestasfuncionesmodificanlainformaciónde
contenidodepaqueterequeridaporlaWFQparalaclasificación.
SibienlaWFQseadaptaautomáticamentealascondicionesdetráficoderedcambiantes,noofrece
elgradodecontroldeprecisiónsobrelaasignacióndeanchodebandaqueofreceelCBWFQ.
CBWFQ(mecanismodecoladeesperaequitativoyponderadobasadoenclases)
ElCBWFQextiendelafuncionalidadestándardelacolaequitativaponderada(WFQ)paraadmitirlas
clasesdetráficodefinidasporelusuario.ParaelCBWFQ,sedefinenlasclasesdetráficoenbasealos
criteriosdeconcordancia,incluidoslosprotocolos,laslistasdecontroldeacceso(ACL)ylas
interfacesdeentrada.Lospaquetesquecumplenloscriteriosdecoincidenciaparaunaclase
constituyeneltráficoparaesaclase.SereservaunacolaFIFOparacadaclase,yeltráficoque
perteneceaunaclasesedirigealacolaparaesaclase,comosemuestraenlaimagen.
EjemplodeCBWFQ
Cuandosehadefinidounaclasesegúnsuscriteriosdecoincidencia,puedeasignarlecaracterísticas.
Paracuantificarunaclase,leasignaelanchodebanda,elpeso,yellímitedepaquetemáximo.El
anchodebandaasignadoaunaclaseeselanchodebandagarantizadoqueseentregaalaclase
durantelacongestión.
Paracaracterizarunaclase,tambiénespecificaellímitedecolaparaesaclase,queeslacantidad
máximadepaquetesquesepuedenacumularenlacoladeesaclase.Lospaquetesquepertenecena
unaclaseestánsujetosalanchodebandayaloslímitesdecolaquecaracterizanalaclase.
Unavezqueunacolahayaalcanzadosulímitedecolaconfigurado,elagregadodemáspaquetesala
clasehacequesurtanefectoeldescartedecolaoeldescartedepaquetes,segúncómoesté
configuradalapolíticadeclase.Eldescartedecolasignificaqueunrouterdescartasimplemente
cualquierpaquetequellegaalextremodeunacolaquehautilizadoporcompletosusrecursosde
retencióndepaquetes.Estaeslarespuestadeesperapredeterminadaparalacongestión.Eldescarte
decolatratatodoeltráficoporigualyn
odistingueentrelasclasesdeservicio.
Mecanismodecoladebajalatencia(LLQ)
LafuncióndeLLQproporcionalacoladeprioridadestricta(PQ)aCBWFQ.Laasignacióndecolade
prioridadestrictapermitequelosdatossusceptiblesalademora,comolavoz,seenvíenantesque
lospaquetesdeotrascolas.LaLLQproporcionalacoladeprioridadestrictaparaCBWFQ,loque
reducelasfluctuacionesenlasconversacionesdevoz.
EjemplodeLLQ
SinlaLLQ,CBWFQproporcionaelWFQsegúnlasclasesdefinidassinunacoladeprioridadestricta
disponibleparaeltráficoentiemporeal.Elpesoparaunpaquetequeperteneceaunaclase
específicasederivadelanchodebandaqueleasignóalaclasealconfigurarla.Porlotanto,elancho
debandaasignadoalospaquetesdeunaclasedeterminaelordenenqueseenvíanlospaquetes.Se
realizaelserviciodetodoslospaquetesenbasesuficientealpeso;ningunaclasedepaquetespuede
otorgarlaprioridadestricta.Esteesquemapresentaproblemasparaeltráficodevoz,queengran
medidanoadmiteretrasos,especialmentevariacionesenelretraso.Paraeltráficodevoz,las
variacionesenlademoraintroducenirregularidadesenlatransmisiónquesemanifiestancomo
fluctuacionesenlaconversaciónescuchada.
ConlaLLQ,losdatossusceptiblesalademoraseenvíanprimero,antesdequeseprocesenlos
paquetesdeotrascolas,conloqueseotorgauntratamientopreferencialalosdatossusceptiblesala
demoraconrespectoaotrostiposdetráfico.Sibiensepuedenponervariostiposdetráficoen
tiemporealenlacoladeprioridadestricta,serecomiendaenviarsolamenteeltráficodevoz.
SeleccióndeunmodeloadecuadodepolíticadeCalidaddeservicio(QoS)
¿CómosepuedeimplementarQoSenunared?ExistentresmodelosparaimplementarQoS.Latabla
resumeestostresmodelos:
Figura1:ModelosparaimplementarQoS
Modelo Descripción
Modelode ● Nosetratarealmentedeunaimplementaciónyaquenoseconfigura
mejoresfuerzo explícitamenteelQoS.
(calidadenel ● SeutilizacuandonoserequiereQoS.
servicio)
Servicios ● ProporcionaQoSmuyaltaalospaquetesdeIPcongarantíadeentrega.
integrados ● Defineunprocesodeseñalizaciónparaquelasaplicacionesseñalenala
(IntServ) redquerequierenQoSespecialporuntiempoyquéanchodebanda
debereservarse.
● Sinembargo,IntServpuedelimitarseriamentelaescalabilidaddeunared.
Servicios ● ProporcionaaltaescalabilidadyflexibilidadenlaimplementacióndeQoS.
diferenciados
(DiffServ)
● Losdispositivosderedreconocenlasclasesdetráficoyproporcionan
distintosnivelesdeQoSadiferentesclasesdetráfico.
QoSseimplementarealmenteenunaredqueutilizaIntServoDiffServ.AunqueIntServproporciona
lagarantíamásaltadeQoS,utilizamuchosrecursosyporlotantosuescalabilidadeslimitada.En
cambio,DiffServconsumemenosrecursosyesmásescalable.Enalgunasocasiones,losdosse
empleanjuntosparalaimplementacióndeQoSenredes
Modelodemejoresfuerzo
EldiseñobásicodeInternetofrecelaentregadepaquetesmedianteelmodelodemejoresfuerzoy
nobrindaningunagarantía.EsteenfoqueaúnpredominaenInternetactualmenteysiguesiendo
adecuadoenlamayoríadeloscasos.Elmodelodemejoresfuerzotrataatodoslospaquetesdered
delamismamanera,poresounmensajedevozdeemergenciasetratadelamismamaneraqueuna
fotodigitaladjuntadaauncorreoelectrónico.SinQoS,larednopuedeconocerladiferenciaentre
paquetesy,comoresultado,nopuedetrataralospaquetesdemanerapreferencial.
Elmodelodemejoresfuerzoesunconceptosimilaraldeenviarunacartaporcorreopostalestándar.
Sucartasetrataexactamentedelamismamaneraquelasotrascartas.Conelmodelodemejor
esfuerzo,lacartapodríanollegary,amenosquehayallegadoaunacuerdodenotificaciónconel
destinatariodelacarta,talveznuncaseenteredequelacartanollegó.
Latablamuestralosbeneficiosylasdesventajasdelmodelodemejoresfuerzo.
Ventajasydesventajasdelmodelodemejoresfuerzo
Beneficios Desventajas
● Estemodeloeselmásescalable. ● Nohaygarantíasdeentrega.
● Laescalabilidadsoloseencuentralimitada ● Lospaquetesllegaráncuandopuedany
porloslímitesdeanchodebanda,encuyo encualquierordenposible,siesque
casotodoeltráficoseveigualmente llegan.
afectado. ● Ningúnpaquetetienetrato
● NoserequierenmecanismosdeQoS preferencial.
especiales. ● Losdatoscríticossetratandelmismo
● Eselmodelomásfácilyrápidode modoqueelcorreoelectrónico
implementar. informal.
Serviciosintegrados
Lasnecesidadesdeaplicacionesentiemporeal,comovideoremoto,conferenciasmultimedia,
visualizaciónyrealidadvirtual,motivaroneldesarrollodelmodelodearquitecturaIntServen1994
(RFC1633,2211y2212).IntServesunmodelodeserviciomúltiplequepuedeacomodarmúltiples
requisitosdeCalidaddeServicio(QoS).
IntServproporcionaunamaneradeentregarlaQoScompletaquelasaplicacionesentiemporeal
requierenaladministrarexplícitamentelosrecursosderedparaproporcionarQoSalas
transmisionesdepaquetesespecíficasdeusuario,avecesdenominadosmicroflujos.Utilizareserva
derecursosymecanismosdecontroldeadmisióncomomódulosdeconstrucciónparaestablecery
mantenerQoS.Estaprácticaessimilaraunconceptoconocidocomo“hardQoS”.HardQoSgarantiza
lascaracterísticasdetráfico,comoelanchodebanda,lademoraylasvelocidadesdepérdidade
paquetes,deextremoaextremo.HardQoSaseguranivelesdeserviciospredeciblesygarantizados
paralasaplicacionescríticas.
EjemplodeIntServsimple
IntServutilizaunenfoqueorientadoalaconexiónheredadodeldiseñodeunareddetelefonía.Cada
comunicaciónindividualdebeespecificarexplícitamentesudescriptordetráficoylosrecursos
solicitadosalared.Elrouterperimetralrealizaelcontroldeadmisiónparagarantizarquelos
recursosdisponiblessonsuficientesenlared.ElestándardeIntServasumequelosroutersalolargo
deunarutaconfiguranymantienenelestadodecadacomunicaciónindividual.
EnelmodelodeIntServ,laaplicaciónsolicitaauntipoespecíficodeservicioalaredantesdeenviar
datos.Laaplicacióninformaalaredsuperfildetráficoysolicitaauntipoparticulardeservicioque
puedeabarcarrequisitosdeanchodebandayretraso. IntServutilizaelProtocolodereservade
recursos(RSVP)paraseñalarlasnecesidadesdeQoSdeltráficodeunaaplicaciónjuntoconlos
dispositivosenlarutadeextremoaextremoatravésdelared.Silosdispositivosderedalolargode
larutapuedenreservarelanchodebandanecesario,laaplicacióndeorigenpuedecomenzara
transmitir.Sireservasolicitadafallaalolargodelaruta,laaplicacióndeorigennoenvíaningúndato.
Laredrealizaelcontroldeadmisiónenbasealainformacióndeaplicacionesylosrecursosdered
disponibles.LaredcumpleconlosrequisitosdeQoSdelaaplicaciónsiemprequeeltráficoesté
dentrodelasespecificacionesdelperfil.Laredcumplesucompromisoalmantenerelestadopor
flujoyllevaracaboluegolaclasificacióndepaquetes,depolíticas,yesperainteligentebasadaen
eseestado.
LatablamuestralosbeneficiosylasdesventajasdelmodeloIntServ.
VentajasydesventajasdelmodeloIntServ
Beneficios Desventajas
● Controlexplícitodeadmisiónderecursos ● Usointensivoderecursosdebidoal
deextremoaextremo requisitodearquitecturaactivaparala
● Controldeadmisióndepolíticaspor señalizacióncontinua.
solicitud ● Enfoquebasadoenflujosnoescalable
● Señalizacióndenúmerosdepuerto paragrandesimplementacionescomo
dinámicos Internet.
Serviciosdiferenciados
ElmodelodeCalidaddeServicio(QoS)deserviciosdiferenciados(DiffServ)especificaunmecanismo
simpleyescalableparaclasificaryadministrareltráficoderedyproporcionarlasgarantíasdeQoS
enredesIPmodernas.Porejemplo,DiffServpuedeproporcionarserviciogarantizadodebaja
latenciaaltráficoderedcrítico,comovozovideo,almismotiempoqueproporcionagarantíasdel
mejortráficoaserviciosnocríticoscomotráficowebotransferenciasdearchivos.
EldiseñodeDiffServsuperalaslimitacionesdelosmodelosdemejoresfuerzoeIntServ.Elmodelo
DiffServsedescribeenRFC2474,2597,2598,3246,4594.DiffServpuedeproporcionarunaCalidad
deServicio“casigarantizada”sinperderrentabilidadniescalabilidad.
ElmodeloDiffServesunconceptosimilaraldeenviarunpaquetemedianteunserviciodeentrega.
Ustedsolicita(ypaga)unniveldeserviciocuandoenvíaunpaquete.Enlareddepaquetes,se
reconoceelniveldeservicioporelqueustedpagóyselebrindaasupaqueteservicionormalo
preferencial,segúnloqueustedsolicitó.
DiffServnoesunaestrategiadeQoSdeextremoaextremoporquenopuedeotorgargarantíasde
extremoaextremo.Sinembargo,elmodeloDiffServesunenfoquemásescalableparaimplementar
QoS.AdiferenciadeIntServy"hardQoS"(QoSfuerte)enlosqueloshoststerminalesseñalansus
necesidadesdeQoSalared,DiffServnoutilizalaseñalización.Ensulugar,DiffServusaunenfoque
de“softQoS”(QoSsuave).FuncionaenelmodeloqueproporcionaQoS,dondeloselementosde
redseconfiguranparamantenervariasclasesdetráficocadaunoconrequisitosdeQoSdiferentes.
EjemplosimpledeDiffServ
Mientraselhostenvíatráficoaunrouter,elrouterclasificalosflujosenagregados(clases)y
proporcionalapolíticaQoSapropiadaparalasclases.DiffServimponeyaplicalosmecanismosde
QoSenbaseasaltos,aplicandouniformementeelsignificadoglobalacadaclasedetráficopara
proporcionarflexibilidadyescalabilidad.Porejemplo,DiffServagrupatodoslosflujosTCPcomouna
únicaclase,yasignaunanchodebandaparaesaclase,enlugardelosflujosindividualescomoharía
IntServ.Ademásdeclasificareltráfico,DiffServminimizalosrequisitosdemantenimientode
señalizaciónyestadoencadanododelared.
Específicamente,DiffServdivideeltráficoderedenclasessegúnlosrequisitosdelaempresa.Se
puedeasignaraunniveldiferentedeservicioacadaunadelasclases.Amedidaquelospaquetes
atraviesanunared,cadaunodelosdispositivosderedidentificalaclasedepaqueteybrinda
serviciosalpaquetesegúnesaclase.ConDiffServ,esposibleelegirmuchosnivelesdeservicio.Por
ejemplo,altráficodevozdesdeteléfonosIPseleotorgageneralmenteuntratopreferencialsobreel
restodeltráficodeaplicaciones,alcorreoelectrónicoseledageneralmenteelserviciodemejor
esfuerzo,yaltráficonoempresarialselepuedeasignarmuypocoservicioobloquearlopor
completo.
VentajasydesventajasdelmodeloDiffServ
Beneficios Desventajas
● Granescalabilidad ● Singarantíaabsolutadelacalidaddelservicio
● Proporcionadistintosnivelesde ● Requiereunconjuntodemecanismos
calidad complejosparatrabajarenconjuntoenlared
Nota:LaredmodernausaprincipalmenteelmodeloDiffServ.Sinembargo,debidoalosvolúmenes
crecientesdetráficosensibleademorasyfluctuaciones,enocasionesIntServyRSVPse
implementanjuntos.
Evitarlapérdidadepaquetes
Lapérdidadepaquetesesgeneralmenteelresultadodelacongestiónenunainterfaz.Lamayoríade
lasaplicacionesqueutilizanelTCPexperimentanunadisminucióndevelocidaddebidoaqueelTCP
seajustaautomáticamentealacongestiónenlared(windowing).LossegmentoscaídosdelTCP
hacenquelassesionesdelTCPreduzcansutamañodeventana.AlgunasaplicacionesnoutilizanTCP
ynopuedenmanejarlascaídas(flujosfrágiles).
Lossiguientesenfoques puedenevitarlascaídasdeaplicacionessensibles:
● Aumentarlacapacidaddeenlaceparafacilitaroevitarlacongestión.
● Garantizarelsuficienteanchodebandayaumentarelespacioenbúferparaacomodarlas
ráfagasdetráficodeflujosfrágil.Existenvariosmecanismosdisponiblesenelsoftwarede
calidaddeservicio(QoS)quepuedengarantizarelanchodebandayproporcionarelreenvío
prioritarioalasaplicacionessensiblesalascaídas.AlgunosejemplossonWFQ,CBWFQy
LLQ.
● Evitarlacongestióneldescartarpaquetesdeprioridadmásbajaantesdequeseproduzcala
congestión.QoSproporcionamecanismosdeesperaquecomienzanadescartarpaquetesde
prioridadmásbajaantesdequeseproduzcalacongestión.UnejemploeslaDetección
TempranaAleatoriaPonderada(WRED).
HerramientasdeCalidaddeServicio(QoS)
HaytrescategoríasdeherramientasdeQoScomosedescribeenlaTabla1.
HerramientasparaimplementarQoS
Herramientasde Descripción
QoS
Herramientasde ● Lassesiones,oflujos,seanalizanparadeterminaraquéclasedetráfico
clasificacióny pertenecen.
marcación ● Lospaquetessemarcanunavezqueestándeterminados.
Herramientas ● Alasclasesdetráficoselesasignanporcionesderecursosderedsegún
paraevitarla lodefinidoporlapolíticadeQoS.
congestión ● LapolíticadeQoStambiénidentificacómosepuededescartar,demorar
ovolveramarcarselectivamentepartedeltráficoparaevitarla
congestión.
● LaherramientaprincipalparaevitarlacongestiónesWREDyseutiliza
pararegulareltráficodedatosdelTCPdemaneraeficientesegúnel
anchodebandaantesdequesedescartenpaquetesenlacola
ocasionadasdebidoadesbordamientosdelacola.
Herramientasde ● Cuandoeltráficoexcedelosrecursosdereddisponibles,eltráficose
administración poneencolaparaesperarladisponibilidadderecursos.
decongestión ● Lasherramientascomunesdeadministracióndecongestiónbasadasen
CiscoIOSincluyenlosalgoritmosCBWFQyLLQ.
SecuenciadeQoS
Comosemuestraenlaimagen,seclasificanlospaquetesdeingreso(cuadrosgrises)ysemarcasu
encabezadoIPrespectivo(cuadrosdecolor).Paraevitarlacongestión,luegoseasignanrecursosa
lospaquetesenbasealaspolíticasdefinidas.Lospaquetessonluegopuestosenlacolayreenviados
alainterfazdeegresosegúnlapolíticadefinidademodeladoyregulacióndetráficodeQoS.
Nota:Laclasificaciónylamarcaciónsepuedenaplicarenelingresooenelegreso,mientrasquelas
otrasaccionesdeQoS,comolaorganizacióndelacolayelmodelado,generalmenteserealizanal
egreso.
Clasificaciónymarcación
AntesdequeaunpaqueteselepuedaaplicarunapolíticadeQoS,elmismotienequeser
clasificado.Laclasificaciónylamarcaciónnospermitenidentificaro“marcar”lostiposdepaquetes.
Laclasificacióndeterminalaclasedetráficoalcuallospaquetesotramaspertenecen.Solamentese
puedenaplicarpolíticasaltráficodespuésdequeestesehayaidentificado.
CómoseclasificaunpaquetedependedelaimplementacióndeQoS.Losmétodosdeclasificaciónde
flujosdetráficoenlacapa2y3incluyenelusodeinterfaces,ACLymapasdeclase.Eltráfico
tambiénsepuedeclasificarenlascapas4a7medianteelusodelReconocimientodeaplicaciones
basadoenlared(NBAR).
Nota:NBAResunafuncióndeclasificaciónydeteccióndelprotocolodelsoftwareCiscoIOSque
funcionaconfuncionesdeQoS.
Lamarcaciónsignificaqueestamosagregandounvaloralencabezadodepaquetes.Losdispositivos
querecibenelpaquetesebasanenestecampoparaversicoincideconunapolíticadefinida.La
marcacióndeberealizarsetancercadelafuentecomoseaposible.Estodeterminaellímitede
confianza.
Marcacióndetráfico
Laformaenlaquesemarcaeltráficogeneralmentedependedelatecnología.Latabladescribe
algunosdeloscamposdemarcaciónutilizadosenlasdiferentestecnologías.Ladecisióndemarcarel
tráficoenlascapas2o3oenambasnoestrivialysedebehacerunavezquesehayanconsiderado
lossiguientespuntos:
● Lamarcacióndecapa2delastramassepuederealizarparaeltráficonoIP.
● Lamarcacióndecapa2delastramaseslaúnicaopcióndeQoSdisponibleparalosswitches
quenotienen"reconocimientodeIP".
● Lamarcacióndecapa3llevarálainformacióndeQoSdeextremoaextremo
MarcacióndetráficoparaQoS
Marcaciónencapa2
Elestándar802.1QesunaespecificaciónIEEEparaimplementarVLANenredesconmutadasdecapa
2.Comosemuestraenlaimagen,haydoscamposinsertadosenlatramadeEthernetdespuésdel
campodedireccióndeorigen.
Camposdetrama802.1Q/802.1p
Elidentificadordeprotocolodeetiqueta(TPID)estáestablecidoactualmente,yselehaasignadoel
valor0x8100.Lainformacióndecontroldeetiqueta(TCI)contieneelcampodePRIde3bits
(prioridad)queidentificalasmarcacionesdeclasedeservicio(CoS).LamarcacióndeCoSpermite
queunatramadeEthernetdeCapa2estémarcadaconochonivelesdeprioridad(valoresde0a7).
Valoresdeclasedeservicio(CoS)deEthernet
Marcaciónencapa3
IPv4eIPv6especificanuncampode8bitsensusencabezadosdepaquetesparamarcarlos
paquetes.ElIPv4tieneelcampo“ Tipodeservicio”yelIPv6tieneelcampo“clasedetráfico”de8
bits.
EncabezadosdepaqueteIPv4eIPv6
Estoscamposseutilizanparatransportarlamarcacióndepaqueteasignadaporlasherramientasde
laclasificacióndeQoS.Luego,losdispositivosreceptoresremitenalcampoparareenviarlos
paquetessegúnlapolíticaQoSasignadacorrespondiente.
Contenidodetipodeservicioydeclasedetráfico
Nota:Losbitsnotificacióndecongestiónextendida(ECN)seutilizanparaidentificarunamarcación
decapa2QoS.Algunosejemplossonlosbitsdeclasedeservicio(CoS)deEthernet802.1p,losbits
deprioridaddeusuariodepuente802.1DdeMAColosvaloresexperimentalesdeswitchingpor
etiquetasmultiprotocolo(EXPMPLS).
Losprimeros3bitsdeordensuperiorsignificativosizquierdosseconocencomoelcampode
prioridadIP.Los8bitsproporcionanuntotaldeochoclasesdeservicioposibles.
Valoresdeclasedeservicio(CoS)deEthernet
Cuandoseutilizaelmodelodeserviciosdiferenciados(DiffServ),elpaquetesemarcautilizando6
bitsdenominadosbitsdelpuntodecódigodeserviciosdiferenciados(DSCP).Seisbitsofrecenun
máximode64clasesdeservicioposibles.LosroutersdereconocimientodeDiffServimplementan
loscomportamientosporsalto(PHB),quedefinenlaspropiedadesdereenvíodepaquetesasociadas
aunaclasedetráfico.Específicamente,existencuatrocategoríasdePBH,comosedescribeenla
Figura1.
Categoríasdecomportamientoporsalto
CategoríadelPHB Descripción
Predeterminado ● Seutilizaparaelserviciodemejoresfuerzo.
● Losbitsdelaizquierdaequivalena0 00xxx
Reenvíoacelerado ● Seutilizaparaelserviciodepocademoraqueproporcionaunservicio
(EF) debajapérdida,bajalatencia,fluctuaciónbajayanchodebanda
aseguradoparaaplicacionescomovozyvideo.
● Losbitsdelaizquierdaequivalena1 01xxx
(AF)deenvío ● Seutilizaparaelserviciodeanchodebandagarantizado.
seguro ● Define4subclases(AF1,AF2,AF3,yAF4).
● Losbitsdelaizquierdaigualana0
01xxx,0
10xxx,0
11xxx,o1
00xxx
Selectordeclase ● Seutilizaparacompatibilidadretrospectivacondispositivosque
cumplenconnon-DiffServ.
● Losbits2a4deDSCPigualanaxxx000.
Límitesdeconfianza
¿Dóndedeberíanproducirselasmarcaciones?Eltráficosedebeclasificarymarcarlomáscercasu
origencomoseatécnicamenteyadministrativamenteposible.Estodefineellímitedeconfianza.
Diferenteslímitesdeconfianza
● Losterminalesconfiablestienenlascapacidadesylainteligenciaparamarcareltráficode
aplicacionesconlasCoSdecapa2apropiadasy/olosvaloresdeDSCPdelaCapa3.Algunos
ejemplosdeterminalesdeconfianzaincluyenteléfonosIP,puntosdeaccesoinalámbrico,
gatewaysysistemasdevideoconferencia,estacionesdeconferenciaIPymás.
● Losterminalessegurospuedenhacerqueeltráficosemarqueenelswitchdelacapa2.
● Eltráficotambiénpuedemarcarseenlosswitches/routersdelacapa3.
Generalmente,esnecesariovolveramarcareltráfico.Porejemplo,laremarcacióndelosvaloresde
CoSavaloresdeprioridadIPoDSCP.
Prevencióndecongestión
Laadministracióndecongestiónincluyelosmétodosdeesperaydeprogramación,dondeeltráfico
excesivosealmacenaenbúferoseponeencola(yavecessedescarta)mientrasesperaserenviado
enunainterfazdeegreso.Lasherramientasparaevitarlacongestiónsonmássimples.Lascargasde
tráficodelared,enunesfuerzoporanticiparyevitarlacongestiónenloscuellosdebotelladelared
comúnydeinternetworkantesdequelacongestiónseconviertaenunproblema.Estastécnicas
proporcionanuntratopreferencialparaeltráficosuperior(prioridad)cuandohayunacongestión,
mientrasqueenparalelomaximizaelusodelrendimientodelaredydelacapacidad,yminimiza
pérdidadepaquetesyelretardo.Porejemplo,ladeteccióntempranaaleatoriayponderada(WRED)
comounasoluciónposibleparaevitarlacongestión.
ElalgoritmoWREDpermiteevitarlacongestiónenlasinterfacesderedalbrindaradministracióndel
búferypermitirqueeltráficoTCPdisminuyaantesdequeseagotenlosbuffers.ElusodeWRED
ayudaaevitarlaseliminacionesdecolaymaximizaelusodelaredyelrendimientodelas
aplicacionesbasadasenTCP.Noseevitalacongestiónparaeltráficobasadoenelprotocolode
datagramadeusuario(UDP),comoeltráficodevoz.EnelcasodeltráficobasadoenUDP,los
métodoscomolapuestaencolaylastécnicasdecompresiónayudanareducir,einclusoaprevenir,
lapérdidadepaquetesUDP.
Modeladoyvigilancia
LaspolíticasdemodeladoydevigilanciadelsondosmecanismosproporcionadosporQoSpara
evitarlacongestión.
Elmodeladodeltráficoconservalospaquetesenexcesoenunacolayluegoprogramaelexcesopara
latransmisiónposteriorenincrementosdetiempo.Elresultadodelmodeladodeltráficoesuna
velocidaddesalidadepaquetesalisada.
Ejemplodemodeladodeltráfico
Elmodeladoimplicalaexistenciadeunacolaydememoriasuficienteparaalmacenarenbúferlos
paquetesretardados,mientrasquelavigilancianohaceesto.
Encambio,lavigilanciadeltráficopropagalospicos.Cuandolavelocidaddeltráficoalcanzala
velocidadmáxima,sedescartaeltráficoexcesivo.Elresultadoesunavelocidaddesalidaquetiene
unaaparienciasimilaraladelosdientesdeunasierra,concrestasycanales.
Ejemplodevigilanciadeltráfico
Laesperaesunconceptodesalida;lospaquetesquesalendeunainterfazpuedenponerseencolay
puedenserformados.Solosepuedeaplicarvigilanciaaltráficoentranteenunainterfaz.
Asegúresedetenermemoriasuficientecuandoactiveelmodelado.Además,laformaciónrequiere
unafuncióndeprogramaciónparalatransmisiónposteriordecualquierpaqueteconretardo.Esta
funcióndeprogramaciónlepermiteorganizarlacolademodeladoendistintascolas.Entrelas
funcionesdeprogramaciónsonCBWFQyLLQ.
Capítulo40-CloudArchitecture
Enestaeramuchodelprocesamientocomputacionalestádominadoporlanubeyestas3
marcassehanencargadodellevaresteservicioaotronivel
Hanlogradocrecertantoquepuedendiluirloscostosatalnivelquesimplementehace
muchomássentidoparamuchosescenariosmanejarunainfraestructuracloudquetenersu
propiainfraestructura.
Vamoshacerunpequeñorepasodecómolosservidorespasarondeservidoresfijos,luego
amáquinasvirtualesyluegounainfraestructuracloud.
Servidortradicional
Unservidortradicionalesunacomputadoranormalmenteconmuchomásrecursos(más
procesamiento,memoriaramyalmacenamiento)quebrindaunservicio.
Enel2010CiscocomenzóacompetirenelmercadodelosservidoresconelUCS
Unservidortradicionalporlogeneraltienelassiguientescaracterísticas:
● Unúnicosistemaoperativo.
● Aplicacionesquecorrenenelservidor.
● hardwaretotalmentededicadoalasaplicacionesysistemaoperativo.
● Unaodostarjetasdered.
¿Cuáleslaproblemáticadetenerservidorestradicionales?Quesiyodeseotenervarios
servicioscomoporejemplounservidordecorreoelectrónico,unservidorparaunsistema
contable,unservidorparaalmacenajededatos,enunsistemadeservidorestradicional
tendríaquetener3servidoresfísicostotalmenteaparte.
Estoimplicamuchascosas:
● Máscaroporquedebocomprar3servidoresfísicos.
● Sehacemáscaralaredundanciayaquesideseoqueelserviciotengaalta
disponibilidadestamoshablandodeno3servidoressinoeldoble,esdecir6.
● Másespacioenelrack.
● Másconexionesenelswitch.Cadaunodelosservidorespuedetener2NICpara
conectaradosswitchessisedesearedundancia.Sison6servidorespodríarequerir
de2puertosparasolo3servicios.
Comprendiendoestaproblemáticaahoraprocederemosaexplicar¿Quéesunamáquina
virtual?
VirtualMachine(MáquinaVirtual)
Unamáquinavirtualoperacomounsistemaoperativoqueestáinstaladodentrodeotro
sistemaoperativo.
UsualmenteunacomputadoraoservidorposeemuchomáspotenciadeCPUparaunúnico
SIstemaOperativo.UnaMáquinaVirtualoVMpuedetomarpartedelprocesamientodel
CPU,partedelamemoriaRAMypartedelalmacenamientoparacrearotroservidor yotro
sistemaoperativo.
Dependiendodelacapacidadunservidorfísicopuedehospedarvariasinstanciasde
máquinasvirtuales.
Estasinstanciascompartenoserepartenlosrecursosdeprocesamiento,almacenamiento,
memoriaRAMytarjetasdeRed
Hypervisor
Conversemosahoradeunapiezaimportantedelmundodelavirtualizaciónyesel
HYPERVISOR.E nunhardwaredondesemanejainstanciasdemáquinasvirtualesesel
Hypervisorquiénmanejaycontrolalosrecursosdecadainstancia.Pordecirlodealguna
maneraeselsistemaoperativoquecontrolalasinstanciasdelasmáquinasvirtuales.
Enelmercadohaymúltiplesmarcasperoestassonlasmáspredominantes:
● VMwarevCenter
● MicrosoftHyperV
● CitrixXenServer
● RedHatKVM
SwitchesVirtuales
Virtualizarservidoresesunamaneradeemularunambientefísicoporloqueaunqueesuna
máquinavirtualynotieneunpuertofísicositienepuertosderedvirtuales.
Estasconexionesvirtualeslasvamosaconectaraunswitchvirtual.
Esteswitchvirtualpuedemanejarlasmismasfuncionesqueunswitchfísicoesdecir
soportaVLANsypuertostrunkparaseparareltráfico.
Alfinalesteswitchvirtualutilizacomopuertosdesalidaalaredfísicalastarjetasderedque
poseeelservidorfísico.Otronombredellamaralhardwaredelservidorfísicoes“ host”
Pormediodelastarjetasdelhostesqueconectamoslasmáquinasvirtualesalswitchfísico
delared.UsualmentesepuedecrearunpuertotrunkhaciaelHOSTelcualpuededividirel
tráficoenVLANsyredireccionarlohacialasmáquinasvirtuales.
¿Quéproblemaspodemostenerconmáquinasvirtualesmontadasenservidoresfísicosy
tenerlosennuestrosracks?
Laproblemáticasebasaenaltadisponibilidadylosriesgosqueexistenenunaubicación
física:
● ¿Quépasasisevalaenergíaeléctrica?Debemosdetenerfuentesalternasde
energíacomoUPSoplantasgeneradorasdeelectricidad.
● ¿Quépasaencasodeunincendiooundesastrenatural?Sedeberáteneruna
réplicadelservicioenunalocalidadtotalmenteaparte
● ¿Quépasaconelcalorquegeneralosequiposenelrack?Sedebeclimatizar
apropiadamenteconaireacondicionado.
Enfinexistenunaseriedemedidasquesedebedetenerparalograróptimascondiciones
paranuestrosdatosyserviciosymuchasvecescomopopularmentesedice“Salemáscaro
elcaldoqueloshuevos”yporendeexistensolucionescomonuestropróximotema:
DataCenters
UnDataCenteroCentrodeDatosesunedificiooconstrucciónseguraparapoder
hospedarserviciosdered.
Elnegociosebasaenvenderespacioamúltiplesclientesquetienensusservidoresenun
ambienteóptimoparasusdatos:
● Seguridadfísicaparasusdatos¿Cuántosnodesearíantomaragolpeselservidor
dondeseencuentraladeudadesutarjetadecrédito?Orobareldiscoduroque
tengasecretosdelpentágono. Paraestoalinformaciónnotienequesolamente
estarseguradeformainformáticasinoquetambiénfísicamentesegura.
LosDataCenterofrecenunespaciofísicamentesegurodondesolamenteel
personalautorizadotieneaccesoalosequiposfísicos.
Inclusivedentrodelmismodatacenterhayjaulasoalgúnotrotipodeseguridadpara
separarentrelosmismosclienteselaccesofísicoalosequipos.
● Antiincendiosydesastresnaturales:Estasconstruccionessonantiterremotos,anti
huracanes,antiincendios,antiinundacionesparaevitarcualquierdesastrenatural.
● Serviciosconaltadisponibilidad:Undatacenterdebedecontarconmúltiples
enlacesdeinternetdemúltiplesproveedoresdeservicio.Plantaeléctricapara
garantizarquelosequiposesténsiempreencendidos.
● Personalensitio24/7:Tantaseguridadyprevenciónyaúnasílascosaspueden
fallarporloquesiempresedebetenerpersonal24/7parapoderasistiralacceso
físicouotrotipodeserviciosquepuedanecesitarlosdatos.
Enfinyasepuedendarunabuenaideadelgastoquepuedesignificarlainfraestructurade
undatacenterperoelcostodelosmismosediluyeentretodoslosclientes,haciendoesto
unaopciónatractivaparaalmacenarlosservidoresdeformasegura.
DisasterRecoveryPlan
Existenempresasglobalesquesimplementenosepuedendarellujodequelosservicios
esténabajo,esoincluyendoguerrasyqueunabombacaigaencimadeldatacenteryse
pierdantodoslosdatosporloquealgunasempresasoptanporalgollamada
DisasterRecoveryPlan.Estetienecomounadesusmedidastenerlosserviciosreplicados
enunsegundodatacenterenunazonageográficatotalmenteapartedelprimerdatacenter.
Recordemossucesosterriblescomoelataquealastorresgemelas,unterremotoque
desplazóahaití,huracanesenlabahamas.Estossucesossellevaronconsigocientosde
servidoresyhayalgunosdatacenterquepormássegurossiemprevanaserimpactados.
Porendeunaformadeteneraúnmásaltadisponibilidadesreplicarelservicioenotro
datacentergeográficamenteaparte.
ServiciosITtradicionalesvsConceptodelanube
Hastaelmomentohemoscomprendidocómofuncionaunservidor,cómofuncionauna
máquinavirtualyloqueimplicaqueunservidorpuedafuncionarenaltadisponibilidad.
Ahoraesimportanteenfocarseencomprenderladiferenciadeunservicioenlanubeyun
serviciodeITtradicional
Elescenarioes“Requerimosdeunnuevoservidordecorreoelectrónico”
SoluciónITTradicional
Elfactormásimportanteesquerequieredeunainteracciónhumana:
● EldepartamentodeITrecibelapeticiónymanualmentedebeejecutarlatareapara
suplirlapetición.
● EldepartamentodeITmanualmentedebecrearunanuevamáquinavirtual,instalar
elsistemaoperativo,instalarlaaplicacióndecorreoelectrónico.
● Enalgunoscasospuedesignificarunviajealdatacentereinstalarmásrecursos.O
biensiesunainfraestructuralocalpuesdeigualmaneraampliarlos recursos.
Enresumenunainfraestructuranocloudrequieredemásinteracciónhumana.
SoluciónCloud
PuedenencontrarmuchodebatesobreladefinicióndeCloudServicesperoloprincipalesla
entregadeserviciosdeformaautomatizada.
Sisedeseaunnuevoservidor,másrecursos,másespacioomemorianosenecesitavisitar
aldatacentersinoqueeldatacenterpuedepormediodesoftwarebrindarmúltiples
serviciossinnecesidaddelainteracciónhumana.
Aquíseenfocalosprincipaleselementosquedebebrindarunservicioenlanube:
● On-demandself-service:E lconsumidordeITdecidecuantoiniciaelservicioy
cuandodeseadetenerelservicio.
● Broadnetworkaccess:Elserviciodebedeestardisponibledesdemúltiplestipos
deredesincluyendoInternet.
● Resourcepooling:E lproveedorpuedebrindaruncatálogoderecursosparaun
servidorcomotiposdeprocesador,cantidaddememoria,cantidadde
almacenamientoenlugardesolobrindarunaopciónfija.
● Rapidelasticity:E lserviciopuederápidamentecrecerodecrecerenrecursos
segúnlademandadelservicio.
● Measuredservice:Sepuedemedirelconsumodeserviciostantopara
transparenciacomoparafacturación.
ServiciosITtradicionalesvsConceptodelanube
Ahorabienentendiendoquealfinallanubesiguesiendounmontóndeservidoresque
estánvirtualizandoinstanciasyserviciosdeunaformamásautomáticapodemos
clasificarlasen2podemosclasificar:
NubePrivadas:
Lanubeprivadasignificaquetodalainfraestructurayserviciosseencuentranexclusivos
parausoInternodelaempresa.
Losusuariosinternospuedenhacersolicitudesenelcatálogodeserviciosinternoyestopor
mediodesoftwarepodrálograrsolucionarestassolicitudesdeunamaneramás
automatizadaperosiguesiendounainfraestructuraymantenimientoInterno.
NubePúblicas:
Cuandohablamosdelanubepúblicapodemosreferirnosununcasomuyparticularyes
AmazonWebServices.
AmazonesunaempresaGigante,yestaempresacomolamayoríateníanecesidadesde
serviciosinformáticos.
EnunprincipioAmazonteníasusserviciosconproveedoresyendatacentersprivados,sin
embargo,elcrecimientodeAmazonfuetangrandeytanaceleradoquesimplementeno
existíaproveedoresquelograrasatisfacerlademandadeAmazon.
PorloqueAmazoncomenzóacrearsuspropiassoluciones,suspropiosdatacenteryllego
alpuntoquehoyendíaAmazonmanufacturasuspropiosservidores,cables,sistemas
operativos,basesdedatos,softwaredecomunicación.
EnfinAmazonllegóasertangrandequeluegocomenzaronellosavendersu
infraestructuradelaNube(queparaAmazonInternaseríaunanubeprivadaperopara
nosotrosunanubepública)
QuieroquecomprendanladimensióndeinfraestructuraqueposeeAmazonWerbServices:
Posee52datacentersen10regionesdiferentesdelmundo.Ysiaúnasíestonoes
impresionantecadadatacentersondeuntamañoaproximadodeuncampodefútbol:
DeestamaneraunaempresapuedesolicitarmáquinasvirtualesenAWSyestatienenel
catálogodeserviciosyconpardeclicksyensegundosyalasinstanciasestáncreadas
AsícomoAWSexistenotrosgrandescompetidores:
● MicrosoftAzure
● GoogleCloud
Ymuchasotrasnubesmáspequeñasperoigualimportantesyfuncionales:
● Racksspace
● Godady
● Todosloslugaresdehosting
Estassolucionesdelanubeofrecenmuchosservicios.Aquíunpantallazodelcatálogode
serviciosdeAWS
Porendevamosaclasificarlosserviciosen3áreas:
InfrastructureasaService
Esteeselserviciodondemealquilanlainfraestructura,delosmillonesdeservidoresque
hayenlanubepuedocrearMáquinavirtualescontodotipodeconfiguracionesderecursos
deprocesador,MemoriaRAM,Almacenamiento.
Ysimilaralanubeprivadayomeencargodecolocarelsistemaoperativoquedeseoylas
aplicacionesyserviciosqueesteservidorvaabrindar
SoftwareasAServices(SaaS)
Esteservicioelmásfamosoennuestraerayprobablementeloutilizamostodoslosdías
cuandousamos:
● GoogleDrive.
● Dropbox
● Netflix
● Spotify
Elobjetivodelusuarioesutilizarelservicioosoftwareynoleinteresaseleccionarmáquinas
virtuales.Esoesalgoocultoparaelusuariofinal.
UnejemplodeestoesNetflixqueutilizapordetráslainfraestructuradeAmazonWeb
Services.CadavezquetelogueasNetflixensubackendcreaunamáquinavirtualpara
cadausuarioenAWS,peroestoesocultoparaelusuario,elusuariosoloquiereelservicio
deverseriesypelículas.
DevelopmentPlatformasaService (PaaS)
EstoessimilaraInfraestructureasaServiceconladiferenciaqueademásdesolo
máquinasvirtualesbrindaherramientasdedesarrollodesoftwareincluidasdentrodel
servicio
ConexionesWANparaaccederalosserviciosCloud
Ahorabienhablemosdecómovamosaccederaesosservicios,ventajasydesventajas.
Laprimeradesventajaesqueindependientementedecómoseaccedaalserviciocloudno
seencuentraennuestraredlocalyporendetodoeltráficoqueaccedealserviciotieneque
saliryentrarprovocandomásconsumodeanchodebanda.Estoúltimovaríamucho
dependiendodequétipodeservicioycantidaddeusuarios.
Elotroaspectoquesetomaencuentaeslaseguridadsielservicioesaccesadopormedio
deInternet.Porendehemosclasificadolosaccesosenestascategorías:
● Internet
● VPN
● MPLS
● EthernetWAN
● IntercloudExchange
AccesoporInternet
ElaccesoporInternetbrindaventajasydesventajas
Ventajas:
● Agilidad:E lserviciosepuedeutilizarcasiqueinmediato,sedebedeesperará
instalarunVPNounenlaceWANdedicado,simplementeconécteseaInternetyuse
elservicio
● Migración:Cambiar deproveedordenuberesultamuyfácilmigraryaquetodos
losproveedorescloudestánconectadosainternetporloquemoverlosserviciosde
unanubeaotraesmássencillo.
● UsuariosDistribuidos:C adausuarioutilizalasaplicacionesdesdesupropio
dispositivo.
Desventajas:
● Security:E lInternetesmenosseguroypuedeestarexpuestoamúltiples
vulnerabilidadescomo“maninthemiddle”entreotras.Paramitigarestolos
proveedoresdeserviciosenlaNubedebenbuscarcómohacermássegurassus
nubes..
● Capacity:S ilosusuariosestáncentralizadosenunaLANcomounaoficinaytodos
accedenalosserviciosdebemosvaloraelanchodebandadelenlacedeInternet.
Porelcontrariosilousuariosestándescentralizadoscomoporejemploen
modalidadWorkFromHomeestonoesunproblema
● QualityofService(QoS):ElInternetnotieneCalidaddeServicioporloquelos
usuariospuedenexperimentarciertaslatenciasenelservicio,
● NoWANSLA:EnunaccesoaInternetelproveedordeservicioporlogeneralno
brindaningúnSLA(ServiceLevelAgreement)dondeprometeciertosestándaresde
calidadqueseadaptenalanecesidaddelservicioenlanube.
Siloanterioresunproblemaparalaorganizaciónexistenlassiguientesopcionespara
accederaserviciosenlanubedeformamássegurayconmayorQoS
EnlacesdedicadosyVPNS
Sepuedeconectarunenlacededicadodesdelaempresahastaelproveedordelanubeo
biencreartúnelesVPNparamitigareltemadelaseguridad:
Ventajas
● Másseguro:E ltráficoviajaoporunaredprivadaoencriptadoenuntúnelVPN.
● ConelenlaceWANsepuedegarantizarQoS.
Desventajas
● ConelenlaceWANessucosto,estoesclaramentemáscaroqueunenlacede
Internet.
● ConelVPNpuesagregaunpocomásdecomplejidadaltenerquecrearenlaces
VPNyaseadesdeeldispositivodelusuarioolaredenterprise.
● Sisemigradeunproveedorcloudaotrosedebemigrarlosenlacesdedicadosy
VPNs
IntercloudExchange
Personalmentehablandoestaopciónnoesmifavoritaperoexisteyesmitigarelproblema
delamigracióndeunanubeaotra.
Setieneunproveedordeservicioquecentralizalaconexiónhacialosproveedoresde
nubes.
Deestamaneranuestrosusuariossiempreseconectanaesta“nubeintermediaria”ysiel
díademañanasedebecambiardeproveedordenubenuestrosusuariosseguirán
conectadoalanubeintermediahaciendolamigraciónmásfácil
Resumendeconexionesalanube
Elsiguientecuadroresumelosbeneficiossegúneltipodeconexión
Conexionesdesucursales
HastaelmomentohemosobservadoeltráficodelanubedesdeunúnicositiodeEnterprise
hacialanube.
Sinembargoexistenmodelsenelcualeslassucursales(comolosbancos)Están
conectadosalheadquarterspormediodeenlacesWANyelInternetpasapormediode
estosenlacesysalenaInternetatravésdelheadquarter.
Porloquesemanejandosopciones:
● Enviareltráficodelserviciodelanubequepaseatravésdelheadquartersyluego
pormediodelenlaceWANalbranchoffice
● Descentralizarelservicioyquelasucursalpuedasacareseserviciopormediodeun
enlaceWANhacialanube
Ambassolucionesesuntemadecostosyseguridad.
Capítulo41-SDN
Capítulo41-SDN
ComparingTraditionalNetworkswithControllerBasedNetworks
Enredestradicionales,losswitchesrequierenunprocesamientomásrápidodeldataplane
queloqueelCPUgeneralmentepuedeprocesar.DebidoaestolosHWswitchessiempre
hancontadoconunhardwareespecializadoparaproporcionarelprocesamientodeldata
plane.
LalógicadelswitchnoocurreenelsoftwaredelCPUsinoenunApplication-Specific
IntegratedCircuit(ASIC).
UnASICesunchipdesarrolladoparapropósitosespecíficos,comoprocesamientode
mensajesenundispositivodered.
ElASICnecesitarealizarunavalidacióndelMACaddresstable,porloqueutilizauna
memoriaespecializada:TernaryContent-AddressableMemory(TCAM).Deestamanerano
serequierequeelASICejecuteunalgoritmodebúsquedaenlatabla,yaqueestepuede
proporcionarlosvaloresrequeridos,comounvalorMACdebidoaquelamemoriaTCAM
puedeproporcionarlossintenerquecorrerunalgoritmodebúsqueda.
NotequeelswitchaúnrequieredelCPUylaRAM,yaqueelIOScorreenCPUyutiliza
RAM.LamayoríadelasfuncionesdelcontrolplaneymanagementplanecorrenenelIOS.
LasfuncionesdeldataplaneylasfuncionesespecíficasdeMAClearningdelcontrolplane
sucedenenelASIC.
EnredesControllerBasedpartesdelcontrolplanesonahoramanejadasenunaaplicación
centralizadallamadacontrolador.
EltérminoSoftwareDefinedNetworking(SDN)hacereferenciaacontroller-basednetworks.
SoftwareDefinedNetworking
PormediodeSDNutilizamosuncontroladorquecentralizamuchasdelasfuncionesred.
Elcontrolador permiteoperarlasredesdemaneradistinta,yaquehabilitanprogramasque
permitenconfiguraryoperarlasredesautomáticamentedesdelasApplicationProgramming
Interfaces(APIs)
ConlaAdministracióntradicionaldelasredes,losAdministradoresrequierenconfigurar
diversosdispositivosydichoscambiosrequierenunlargotiempodeplanificacióne
implementación.
ConSoftwareDefinedNetworking,losadministradorespuedenimplementarcambioscon
muchamayorrapidez,mayorconsistenciayaplicandomejoresprácticasoperativas.
DataPlane
tareasrealizadasporeldispositivoderedparareenviarunmensaje,recibirlosdatos,
procesarlos,enviarlos,yaseanpaquetes,tramasoelmensajecomotal..
AccionesquecontrolanelPlanodeDatos.
Lamayoríadeestasaccionesestánrelacionadasalacreacióndetablasutilizadasporel
PlanodeDatos,asícomolatabladeenrutamiento,latabladeARP,latabladeMAC
addresses,entreotras.
Aladicionar,removerymodificarlastablasquesonutilizadasporelPlanodeDatos,el
PlanodeControl,enrealidadcontrolaloquerealizaelPlanodeDatos.Losprotocolosde
enrutamientosonprotocolosdelPlanodeControl.
ManagementPlane
Elmanagementplaneincluyeprotocolosquepermitenpoderadministrarlosdiferentes
equipos.
TelnetySecureShell(SSH)sondos delosprincipalesprotocolosdelManagementPlane.
ControlCentralizado
SoftwareDefinedNetworking(SDN)hacereferenciaacontroller-basedNetworking,en
dondeuncontroladorSDNcentralizaelcontroldelosdispositivosdered.
SDNFramework
SouthboundInterface
Enunaarquitecturacontroller-based,elcontroladorrequierecomunicarseconlos
dispositivosdered.Lainterfacesoftwarequecomunicaalcontroladorconlosdispositivos
seleconocecomoSouthboundInterfaceSBI.
SBIeslainterfaceentreelprogramaenelcontrolador yelprogramaentreeldispositvode
red,permitiendolacomunicaciónentreambos.Sufuncionalidadespermitirqueel
controladorprogramlasforwardingtablesdelplanodedatosdelosdispositivosdered.
SBIsusualmenteincluyenunprotocolquepermitaqueelcontroladorylosdispositivos
puedancomunicarse,unAPI(ApplicationProgrammingInterface).
UnAPIeselmétodoutilizadoporunaaplicaciónparaintercambiardatosconotra
aplicación.
NorthboundInterface
ElNorthboundInterface(NBI)delcontrolador,habilitaelaccesoalcontroladorparaquesus
datosyfuncionespuedanserutilizadosporlosprogramas,habilitandolaprogramabilidad
delared.
Deestamaneralosprogramaspuedenobtenerinformacióndeloscontroladores,utilizando
losAPIs.
NetworkProgrammabilitySDNs
DentrodelassolucionesSDNyNetworkProgrammabilitydisponiblesdesdeCisco
contamoscon:
■OpenDaylightController
■CiscoApplicationCentricInfrastructure(ACI)
■CiscoAPICEnterpriseModule(APIC-EM)
OpenFlow:sedesarrollóparaadministrareltráficoentrelosrouters,losswitches,lospuntos
deaccesoinalámbricoyuncontrolador.
OpenFlowdefineelconceptodeuncontroladorjuntoconSBIsIP-basedentreelcontrolador
ylosdispositivosdered.
OpenFlowtambiéndefineunaideastandarddelascapacidadesdeunswitchbasadoenlos
ASICsylosTCAMscomunmenteutilizadosenlosswitcheshoyendía.UnswitchOpenFlow
puedeactuarcomoswitchcapa2ounswitchcapa3congranflexibilidad.
ConunmodeloOpenFlow,lasaplicacionesutilizanAPIs(NBIs)soportadosenelcontrolador
paraindicarlainformacióndeforwardingtableintroducidaenlosdispositivos.
Diferentesvendorsempezaronaconstruirsuspropioscontroladores,loscualesusualmente
conteníancapacidadessimilares,porloqueseconsolidaOpenDaylightopen-sourceSDN
controller.
OpenDaylightutilizómuchosdelosprincipiosopen-sourceimplementadosporLinux,conla
ideadequesimuchosvendorstrabajabanjuntosenunopen-sourcecontroller,todosserían
beneficiadosyutlizaríanelcontroladoropen-sourcecomolabasedesusproductos,
enfocandoseensusdiferenciadores.
OpenDaylight(ODL)eshoyendíaadministradoporLinuxFoundation.
OSCController
CiscoOpenSDNController(OSC)fuecreadoporCiscoenel2010apartirdelproyectoODL
open-source.CiscotomóelreleasedeODLyagregónuevasversionsasuproductoOSC.
CiscoyanoproducenivendeOSC
LaestrategiadeCiscoconsisteendiferentesformatosSDNutilizandointent-based
networking(IBN),porlotantoCiscosemueveenotradirecciónaOpenFlow-basedSDN.
ACI
CiscoApplicationCentricInfrastructure(ACI)
SoluciónSDNparaelDataCenter
CiscoACIutilizaunatopologíafísicaespecíficallamada:SpineandLeaf.
ACIPhysicalDesign:SpineandLeaf
LosDataCentersutilizanunatopologíaestandaryconsistente:SpineandLeaf.
ConACI,laredfísicatieneunnúmerodespineswitchesandyunnúmerodeleafswitches.
ReglasdediseñodelatopologíaSpineandLeaf:
■CadaLeafSwitchdebeestarconectadoacadaSpineSwitch.
■CadaSpineSwitchdebeestarconectadoacadaLeafSwitch.
■LosLeafSwitchesnosepuedenconectarentresí.
■LosSpineSwitchesnosepuedenconectarentresí.
■LosEndpointsseconectansoloalosLeafSwitches.
ACIOperatingModelwithIntent-BasedNetworking
ACIutilizalosconceptosdeEndpointsyPolicies.LosEndpointssonlosVMs,contenedores,
oservidorestradicionalesconelOSdirectamenetenelHardware.
ApplicationPolicyInfrastructureController(APIC),eselsoftwarequefuncionacomo
controladorcentralizadoparaACI.
EnunescenariotípicodeunaWebAppempresarialusualmentepodemosobservarestos3
diferentesservidores:
■ServidorWeb:usuariosdesdeafueradelDataCenterseconectanaesteservidor,elcual
envíacontenidoWebaestosusuarios.
■ServidorApp:DebidoaquelamayoríadepáginasWebcuentanconcontenidodinámico,
elservidorApprealizaelprocesamientorequeridoparaconstruirlapáginaWebqueserá
utilizadaporunusuarioenparticular,empleandosuperfíl,últimasaccioneseinputs.
■ServidordeBasedeDatos:MuchasdelasaccionesdelservidorApprequierendatos,el
servidordeBasedeDatos,recuperayalmacenalosdatossolicitadosporelservidorApp.
ACIutilizaIntent-BasedNetworking(IBN).PormediodeIBN,elAdministradoroalgún
programadeautomatizacióndefinelaspolíticaspormediodelascualesselespermtiráo
nolacomunicaciónalosEndpoints.
Seguidamenteelcontroladordeterminaráelsignificadodedichaspolíticasparalared
específicaeneldeterminadomomento,dependiendodedondeseencuentrenlos
Endpoints.
DeestamaneracuandoseinicianlasVMsparaunaApp,elsoftwaredevirtualización
crearáviaelAPIC,multiplesgruposdeEndpoints(EPGs).
Alcontroladortambiénseleproporcionaránlaspolíticasdeaccesoquedefiniráncuales
EPGspodráncomunicarseycualesno.
Comoejemplo,losroutersqueseconectanalaredexternaalDataCenterdeberíanpoder
enviarpaquetesatodoslosservidoresWeb,másnoalosservidoresAppoalosservidores
deBasesdeDatosDB.
ComponentesdeACI
Perfildereddeaplicaciones(ANP):
UnANPesunconjuntodegruposdeterminales(EPG),susconexionesylaspolíticasque
definenesasconexiones.
LosEPGcomoVLAN,servicioswebylasaplicaciones,sonsimplementeejemplos.
UnANPesconfrecuenciamuchomáscomplejo.
SwitchesCiscoNexus9000:
Estosswitchesproporcionanunaestructuradeswitchingconreconocimientode
aplicacionesyfuncionanconunaAPICparaadministrarlainfraestructuravirtualydered
física.
APIC
Controladordeinfraestructuradepolíticasdeaplicaciones(APIC):
ElAPICseconsideracomoelcerebrodelaarquitecturadeACI.
ElAPICesuncontroladorcentralizadodesoftwarequeadministrayoperaunaestructura
agrupadaACIescalable.
Estádiseñadoparalaprogramabilidadylaadministracióncentralizada.
Traducelaspolíticasdelasaplicacionesalaprogramacióndelared.
ACIutilizauncontroladorcentralizadollamadoApplicationPolicyInfrastructureController
(APIC),elcualcreapolíticasdeaplicacionesparalainfraestructuradelDataDenter.
ELAPICcambiaporcompletoelmodelooperacionaldeconfiguracióndeVLANs,trunks,
EtherChannels,ACLs,etc.
ElAPICcuentaconunGUIyconuncontroladorsoftwarequerealizalaprogramabilidadde
lared.EstemismosoftwarevirtualizadoryautomatizadorpermitealosAdministradoresla
utilizacióndescriptsparadefinirlosgruposdeEndpointsopolíticas,deestamaneralos
Administradoresnorequierenconectarseindividualmentealosswitchesparapoder
configurarlos.
CiscoAPIC-EMofrecíaSDNutilizandolamismainfraestructuradeHW:switchesyrouters
tradicionales.
APIC-EMnoprogramabadirectamenteeldataplaneocontrolplaneperosiinteractuaba
conelmanagementplaneviaTelnet,SSH,y/oSNMP;impactandoindirectamenteeldata
planeycontrolplane.
ElcontroladordeAPIC-EMnoprogramabaflujosenlastablasoindicabaalcontrolplanede
losdispositivoscomooperar,sinoqueinterrogabayaprendíaelestadodelaconfiguración
decadadispositivo,lacualpodíamodificarinfluyendoenlaoperacióndeldataplaney
controlplane.
CiscoanuncióqueenlaversionactualdeCCNA(200-301)noseincluiríaAPIC-EM,debido
aqueelproductosaledelmercado.
MuchasdelasfuncionesdeAPIC-EMsonpartedeCiscoDNACenter(DNAC)
ConfigurationManagement
Configurationmanagementserefiereacualquierfunciónquemodifiquelaconfiguraciónde
losdispositivos,pormediodeconfiguraciónautomatizadarealizadaporunprograma
controladordesoftware.
ACIutilizaelcontroladorAPIC.Deestaformalosdispositivosnosonconfigurados
directamente,sinoqueelAPICenvíalaconfiguraciónhacialosACIswitchesqueconstruye
basadoenlainterpretacióndelaspolíticasconfiguradasporelAdministrador.
ConACI,elconfigurationmanagementocurrecomoparteintegraldelsistema.Otras
herramientasdeconfigurationmanagementtoolspuedenestarmásenfocadasenprocesos
deconfiguracióntradicionalesconherramientascomoNETCONF/RESTCONF,Ansible,
PuppetyChef.
OperationalNetworkManagement
Operationalnetworkmanagementincluyemonitoreo,recoleccióndedatosoperacionales,
reportesyalertassobreposiblesproblemas.
PorejemploAPIC-EMyDNACenteramboscuentanconunAppquevalidalasimágenes
deIOSendispositivosCiscoparaasegurarsequesoloversionesaprobadasseanutilizadas
yquenohayansidomodificadas.
CentralizedControllers
Controladorescentralizadosformalizanydefinenmodelosdedatosparalaconfiguracióny
datosoperacionalesdelasredes.
Comoadministradorespodemossentirnoscómodosconelescaneovisualdelasalidade
loscomandosshowparaencontrarlainformaciónquenecesitamos.Porotroladolos
programasnecesitansercapacesdeidentificarelhechoespecífico.
ParaconstruirunaredbasadaenelcontroladorAPI,todoslosdatosdereddebendefinirse
enunmodelodedatosparaquelosprogramaspuedanusaresosdatosatravésdelAPI.
Antesdelusodecontroladores,losscriptsdeautomatizaciónamenudoteníanque
comenzarprocesandolasalidadetextodeuncomandoshow,peroconcontroladoresylos
modelosdedatosdeAPI,losdatospuedenestaraccesiblesalosscriptsdeautomatización
oespecíficosdevendoratravésdeunanorthboundAPI.
Controladorescentralizadosformalizanydefinenmodelosdedatosparalaconfiguracióny
datosoperacionalesdelasredes.
Comoadministradorespodemossentirnoscómodosconelescaneovisualdelasalidade
loscomandosshowparaencontrarlainformaciónquenecesitamos.Porotroladolos
programasnecesitansercapacesdeidentificarelhechoespecífico.
ParaconstruirunaredbasadaenelcontroladorAPI,todoslosdatosdereddebendefinirse
enunmodelodedatosparaquelosprogramaspuedanusaresosdatosatravésdelAPI.
Antesdelusodecontroladores,losscriptsdeautomatizaciónamenudoteníanque
comenzarprocesandolasalidadetextodeuncomandoshow,peroconcontroladoresylos
modelosdedatosdeAPI,losdatospuedenestaraccesiblesalosscriptsdeautomatización
oespecíficosdevendoratravésdeunanorthboundAPI.
ByusingControllerBasedNetworks
AlutilizarredesController-BasedcomoSoftware-DefinedAccess(SDA),SoftwareDefined
WAN(SD-WAN)oApplicationCentricInfrastructure(ACI):
■LosAdministradoresderednotendránquepensaracercadecadacomandoencada
dispositvo.
■ Elcontroladorconfiguralosdispositivosconconfiguracionesconsistentesyoptimizadas.
■Elresultado:cambiosmasrápidosyconsistentessinincovenientes.
Howautomationimpactsnetworkmanagement
Aumentalaeficienciapermitiendoahorrartiempo,brindandounaclaravisibilidady
fortaleciendoelcontroldelasoperaciones.
Simplificayautomatizalaconfiguraciónyelaprovisionamientoderedescentradasen
aplicacionesatravésdelaprogramabilidad.
Mejoralaeficaciaoperativayreduceeltiempodeinactividad.
Proporcionaflexibilidadyescalabilidad.
Resumen
ArquitecturaSDNes:
Directamenteprogramable:Elcontrolderedesprogramabledirectamenteporqueestá
desacopladodelasfuncionesdereenvío.
Ágil:Abstraerelcontroldeexpediciónpermitealosadministradoresajustardinámicamente
todoelflujodeltráficodelaredparasatisfacerlasnecesidadescambiantes.
Centralizada: Lainteligenciadelared(lógicamente)estácentralizadaencontroladores
SDNbasadosensoftwarequemantienenunavisiónglobaldelared,queapareceparalas
aplicacionesylaspolíticasdelasmáquinascomoswitchlógicos.
● Configuradamedianteprogramación:SDNpermitealosadministradoresdered
configurar,administrar,asegurar,yoptimizarlosrecursosderedrápidamente
medianteprogramasSDNdinámicos,automatizados,quepuedenescribirellos
mismosporquelosprogramasnodependendeunsoftwarepropietario.
● Basadaenestándaresabiertosyneutrales: Cuandoseimplementaatravésde
estándaresabiertos,SDNsimplificalaoperaciónyeldiseñodelaredporquelas
instruccionessonproporcionadasporlos controladoresSDNenlugardepor
múltiplesprotocolosydispositivosespecíficosdelproveedor.
Capítulo42-SoftwareDefinedAccess
DNACenter
Capítulo42-SoftwareDefinedAccess
CiscoSoftware-DefinedAccess(SDA)utilizaSoftwareDefinedNetworkingparaconstruir
unaLANdecampusconvergentecableadaeinalámbrica.
LapalabraaccessserefierealosdispositivosEndpointqueacceden,mientrasque
software-definedserefierealcontroladorcentralizado—DNACenter—utilizando
southboundynorthboundprotocols.
TambiénincluyeunFabricderedcompuestodeununderlaynetworkyunoverlaynetwork.
SDAeslaofertadeCiscoencuantoacampusDigitalNetworkArchitecture(DNA).
CiscoDNAdefinelaarquitecturaparaelnuevomundodeSoftwareDefined.
Networks,digitalización,yelnuevomodeloCiscodecomolasredesdeberíanoperarenel
futuro.
SDAutilizaelcontroladorDNACenterparaconfiguraryoperarSDA.AsimismoDNACenter
tambiénactúacomounaplataformadenetworkmanagementcompleta.
SDAFabric
● SDAutilizalaestructuradeSoftware-Defined,utilizandouncontroladoryvarios
APIs.
● Aúnutilizalaredfísicaconswitches,routers,cablesyendpoints.
● EnelcentroseencuentraelcontroladorDigitalNetworkArchitecture(DNA),yse
cuentaconlainteraccióndelosAdministradoresderedutilizandoelGraphicalUser
Interface(GUI)ylaautomatizaciónutilizandoAPIs.
● EnresumenDNACentereselcontroladordelasredesSDA.
SDAFabric,UnderlayandOverlay
Elhemisferiosouthbounddelcontroladorcontieneelfabric,underlayyoverlay.Pordiseño
enlasimplementacionesdeSDNlamayoríadelasnuevascapacidadesseencuentranen
elhemisferioNorthbound.
Overlay:LosmecanismosparacreartunelesVXLANentrelosswitchesSDA,loscualesson
utilizadosparatransportartráficodesdeunendpointaotropormediodelfabric.
Underlay:Lareddedispositivosyconexiones(cableadaeinalámbrica)paraproporcionar
conectividadIPatodoslosnodosdelfabric,conlafuncióndesoportartodoslos
descubrimientosdinámicosdedispositivosSDAyEndpoints,comopartedelprocesopara
podercrearlostunelesVXLAN.
Fabric:Lacombinacióndeoverlayyunderlay,quienesjuntosproporcionantodaslas
capacidadesparatransportarlosdatosalrededordelaredconlasfuncionalidadesy
atributosrequeridos.
SDAUnderlay
ConSDA,existeelUnderlayparaproporcionarconectividadentrelosnodosdelSDA,para
soportartunelesVXLAN.Conelfindelograrlo,elUnderlayincluyeswitches,routers,cables,
yenlacesinalámbricosutilizadosparacrearlaredfísica.
TambiénseincluyelaconfiguraciónyoperacióndelUnderlayparasoportareltrabajodela
redOverlay.
UtilizandoelequipoexistenteparalaredSDAUnderlay,lascompaníastienendos
opciones:
UtilizarsuredcampusexistenteyadicionarnuevaconfiguraciónparacrearlaredUnderlay,
mientrassecontinuasoportandoeltráficodeproducciónconswitchingyroutingtradicional.
OalternativamenteadquirirnuevosswitchesyconstruirlaredSDAsinelriesgodeafectar
tráficoexistenteeirmigrandolosEndpointsalaredSDAconeltiempo.
SDApuedeseradicionadaaunaLANdecampusexistente,peroalhacerloexistenciertos
riesgosyrestricciones:
Primeramentedebemossermuycuidadososdenoprovocarafectaciónalareden
producciónmientrasseañandenlasnuevasfuncionalidadesSDA.
Entrelosposiblesproblemaspodemosencontrarlossiguientes:
■Debidoalaposibilidaddeafectarlaconfiguraciónenproducción,elDNACenternodebe
serdebeserutilizadoparaconfigurarelUnderlay.(ElDanaCenterdebeserutilizadosolo
enescenariosdondeseutilizaránuevoHW).
■ElHWexistentedebeperteneceralalistadecompatibildaddeSDA:
www.cisco.com/go/sda
■Elsoftwaredebecumplirlosrequerimientos,basadoenlosroles,comoindicalalistade
compatibilidad.
RolesofSDAUnderlay
RolesofSDAUnderlay:
Fabricedgenode:UnswitchqueconectaalosEndpoints(similaraltradicionalswitchde
acceso).
Fabricbordernode:Unswitchqueconectaalosdispositivosfueradelaadministración
SDA.Porejemplo,switchesqueconectanaroutersWANoaunACIDataCenter.
Fabriccontrolnode:UnswichquerealizafuncionesespecialesdelControlPlaneparael
Underlay(LISP),requieremásCPUymemoria.
RoutedAccessLayerDesign
Undiseñoderoutedaccesssecaracterizaporquetodoslosswitchessonswitchescapa3
conlasfuncionalidadesderoutinghabilitadas,asiquetodoslosenlacesentrelosswitches
funcionancomoenlacescapa3.
ElDNACenterconfiguralosdispositivosunderlayparautilizarlacapadeaccesoruteable.
DebidoaqueelDNACenterconocequepuedeconfigurarlosswitchessinpreocuparsede
afectarlaredenproducción,escogelamejorconfiguraciónunderlayparasoportarSDAy
utilizaundiseñollamado:RoutedAccessLayer,quecuentaconlassiguientes
funcionalidades:
■Todoslosswitchesactúancomoswitchescapa3.
■LosswitchesutilizanelprotocoldeenrutamientoIS-IS.
■Todoslosenlacesentrelosswitches(enlacesyEtherChannels)sonruteadoscomo
enlacescapa3nocapa2.DedidoaestoSTP/RSTPnoesnecesario,yaqueelprotocolde
enrutamientodecidequelinkutilizarbasaboenlatabladeenrutamiento.
■UnSDAedgenodeactúacomodefaultgatewayparalosdispositivosendpointenvezde
losswitchesdedistribución.DebidoaestoHSRPocualquierFHRPnoesnecesario.
SDAOverlay
FuncionamientodeSDA:UnEndpointenvíaunatramaqueserátransmitidaporelSDA
network.ElprimernodoSDAenrecibirlatrama,laencapsulaenunnuevomensaje,
utilizandotunelesVXLANyreenvíalatramaalFabric.
UnavezqueelIngressnodehaencapsuladolatramaoriginalenVXLAN,losotrosnodos
SDAreenvíanlatramabasadaenlosespecificacionesdeltunnelVXLAN.
ElúltimonodoSDAremuevelasespecificacionesVXLAN,obteniendolatramaoriginaly
enviandolaaelendpointdestino.
VXLANTunnels
TunelesVXLAN:encapsulanlastramasdelacapadeenlacededatosenunatecnologíade
tunnelingparasertransmitidasporlaredSDA:
■VXLANtunneling(encapsulaciónydesencapsulación)debeserrealizadaporelASICen
cadaswitchparanoincurrirenpenalidadesdefuncionamiento.Poresodentrodelalistade
compatibilidaddelHWparaSDA,losswitchesdebentenerASICsqueejecutenestatarea.
■LaencapsulaciónVXLANdebeproprocionarlosheadersnecesariosparalas
funcionalidadesSDA,asíqueeltuneldebeserflexible,extensibleysoportadoporlos
switchesASICs.
■Laencapsulacióndeltunelrequierequetodalatramaseaencapsulada,nosolamenteel
paqueteIP.EstopermitequeSDAsuportefuncionesdeLayer2forwardingcomotambién
deLayer3forwarding.
TunelesVXLAN:encapsulanlastramasdelacapadeenlacededatosenunatecnologíade
tunnelingparasertransmitidasporlaredSDA:
■VXLANtunneling(encapsulaciónydesencapsulación)debeserrealizadaporelASICen
cadaswitchparanoincurrirenpenalidadesdefuncionamiento.Poresodentrodelalistade
compatibilidaddelHWparaSDA,losswitchesdebentenerASICsqueejecutenestatarea.
■LaencapsulaciónVXLANdebeproprocionarlosheadersnecesariosparalas
funcionalidadesSDA,asíqueeltuneldebeserflexible,extensibleysoportadoporlos
switchesASICs.
■Laencapsulacióndeltunelrequierequetodalatramaseaencapsulada,nosolamenteel
paqueteIP.EstopermitequeSDAsuportefuncionesdeLayer2forwardingcomotambién
deLayer3forwarding.
CuandoseconfiguraSDA,CiscoutilizaelprotocolVirtualExtensibleLAN(VXLAN)para
crearlostunelesutilizadosporSDA.
CuandounendpointSDA,porejemplounacomputadoraounusuariofinalenvíaunatrama
deenlacededatosaunnodo,elnodoIngressEdgeencapsulalatramaylaenvíahaciael
nodoEgressEdgeatravezdeltunelVXLAN.
ParasoportarlaencapsulaciónVXLAN,elunderlayutilizaunespaciodedireccionesIP
separadoencomparacióncontodoelrestodelaredempresarial,incluyendoalos
dispositivosendpointqueenvíandatosatravezdelaredSDA.
Lostunelesoverlayutilizandireccionesdelaredempresarial.
Porejemplolaredempresarialpodríautilizar:10.0.0.0/8yelSDAunderlay:172.16.0.0/16.
Paralograrquelaimplementaciónfuncionedelamejormanera,primeramenteelunderlay
seráconstruidoutilizandoelmismoespacioIPv4,porejemplo:172.16.0.0/16,contodoslos
linksutilizandodireccionesdeeseespaciodeterminado.
ComoejemploelsiguientediseñoSDAdecuatroswitches,cadaunoutilizandouna
direcciónipunderlaydelespaciodedirecciones:172.16.0.0/16.
VXLANTunnelandEndpointswithIPv4AddressesinthesameIPv4Space
Eltuneloverlaycreaunenlaceentrelosdosnodosfabricedgeenelespaciode
direccionamientoipoverlay,esoesenelmismoespaciodedireccionamientoipuitlizadopor
losendpointsempresariales.
Porejemplo,lasPCsenladerechaylaizquierda,conlasdireccionesipsdelared
10.0.0.0/8,yelVXLANtunelutilizandotambiéndirecionesdelsiguienteespaciode
direccionamientoip10.0.0.0/8.
LISPforOverlayDiscoveryandLocation(ControlPlane)
LosnodosFabricedgesonnodosSDAqueconectanconelbordedelSDAfabricy
aprendenlaubicacióndeposiblesendpointsutilizandolosmétodostradicionales,basadoen
MACaddress,direcciónIPysubred,identificandocadaendpointconunEID(Endpoint
Identifier).
■LosnodosFabricedgeregistranelhechodequeelnodopuedelocalizarunEID
específicodentrodeunabasededatosllamadaLISPmapserver.
■LISPmapservermantieneunalistadeEIDsysusrespectivosroutinglocators(RLOCs)
(quienesidentificanlosnodosfabricedgequesecomunicanconlosEID).
■Cuandoelplanodedatosdelfabricrequieraenviarunmensaje,buscaráyencontraráel
destinoenlabasededatosLISPmapserver.
Comoejemplo,unatramaethernet,haciaunnuevodestinoesrecibidaenelnodoingress
edge,yesteswitchnosabeadondereenviarlatrama.
ElnodoingressenvíaunmensajealLISPmapserverpreguntandoaesteservidorsi
conocecomolocalizarladireccióniprequerida.
ElLISPmapserverbuscaensubasededatosyencuentraunregistroRLOC.
ElLISPmapservercontactaaldispositivoreferidoparaconfirmarqueelregistrosea
correcto.
Eldispositivocompletaelprocesoalinformaralnodoingressquelatramapuedeser
renviadaatravezdeRLOC.
Cuandoelnodeingresstienecertezadequepuedereenviarlastramasaledgenodedel
RLOC,encapsulalatramaEthernetconlaiporiginalincluyendolosheadersIP,UDP,y
VXLANparaenviarelmensajeporlaredSDAconlaipdestinodelRLOC.
Capítulo42-DNACenter
CiscoDNACentertienedosfuncionesprincipales:
■ComoelcontroladordelaredSDA.
■Comolaplataformadeadministraciónpararedestradicionales(dispositivosnon-SDA),
conlaexpecttivadeconvertirseenlaplataformaprincipaldeadministraciónderedes
empresariales.
CiscoDNAesunaaplicacióndepreinstaladaenunCiscoDNACenterappliance.
CiscoDNACenterwithNorthboundandSouthboundInterfaces
CiscoDNACenterincluyeunnorthboundRESTAPIrobusto,asícomotambiénunaseriede
southboundAPIs.
NorthboundAPIesmuyrelevantedebidoaquelosusuariosdelasredesSDApueden
interactuarconSDAutilizandoelnorthboundRESTAPIdelDNACenterpormediodela
interfaceGUI.
CiscoDNACentersoportamultiplessouthboundAPIsparaqueelcontroladorpueda
comunicarseconlosdispositivosqueadministra,porejemplo:
■Protocolosquesoportanredes,dispositivosyversionsdesoftwaretradicionalescomo
Telnet,SSH,SNMP.
■Protocolostosoportandispositivosyversionesdesoftwaremásrecientescomo:
NETCONFyRESTCONF.
CiscoDNACenterrequieredelosprotocolosmástradicionalesparasoportarversionesy
dispositivosmásantiguosCisco.
CiscoseencuentratrabajandoenadicionarsoporteparaNETCONFyRESTCONFasuHW
ySWmásreciente.
CiscoDNACenterandScalableGroups
SDAproporcionamuchosnuevaseinteresantesfuncionalidadesmásalládelo
proporcionadoporlasredestradicionales.
CiscoDNACenternosoloproporcionaunamaneramasfácildeconfiguraryoperarestas
funcionalidadessinoquetambiéncambiatotalmenteelmodeloderedoperacional.
Unejemplodeunadeestasnuevasfuncionalidadeses:ScalableGroups.
SDASecurityBasedonUserGroups
AlutilizarCiscoDNACenterScalableGroupsesposibleimplementarlaseguridaddelared
sintenerquerealizarlaconfiguraciónmanualderangosdeipsyAccessListsenelCLI.
Conconfiguraciónsimpleylacapacidaddeadicionaroremoverpolíticas,SDAnospermite
implementarlaseguridadrequerida.
Comoejemplo,siserequiereimplementarseguridadenunaempresa,porcada
implementaciónelAdministradordereddefiniráunapolíticaenelDNACenter,yaseapor
mediodelGUIodelAPI.
SeguidamenteelDNACenterconfiguralosdispositivosenelfabricparaincrementarla
seguridadcomoesrequerido.
SGT
SDAyCiscoDNAhacenposiblequeestafuncionalidadsedesempeñedelamejormanera
alpermitirgruposdeseguridaddeusuariosllamadosScalableGroups,acadaunodeestos
gruposselesasignaunScalableGroupTag(SGT).
LuegoelAdministradorderedrealizalaconfiguraciónrequeridaparaidentificarcualSGTs
puedeenviarpaquetesacualotroSGT.DeestamanerasepuedeconfigurarSGTsparaun
grupodeempleados,parainternet(routersWANquecomunicanalinternet)contratistas,
invitados,etc..
UnclaroejemplodelafuncionalidaddeSGTrelacionadaalreenvíodepaquetes,seríaun
nuevoendpointtratandodeenviarelprimerpaqueteaunnuevodestino.
ElnodoingressdeSDAiniciaelprocesoalenviarmensajesalDNACenter.
DNACenterentoncestrabajaconherramientasdeseguridadenlared,comoporejemplo
CiscoIdentityServicesEngine(ISE),paraidentificarlosusuariosyasociarsusrespectivos
SGTs.
SiDNACenterconfirmaunapolíticadeseguridaddeaccesopermitidoentreelSGTorigen
yelSGTdestino,dirigelosnodosdebordealacreacióndeltunelVXLANtunnel.
MássilaspolíticasdeseguridadindicanquealSGTorigenyalSGTdestino,selesdebería
denegarlacomunicación,elDNACenternodireccionaelfabricalacreacióndeltunelylos
paquetesnoproceden.
DNA/SDACapabilities
SDAutilizaencapsulaciónVXLANparasuplanodedatos,envezdelswitchingtradicional
decapa2oelroutingtradicionaldecapa3.
ElencabezadoVXLANtienegranflexibilidadyesutilizadoparadefinirambosSGTorigeny
SGTdestino,locualpermitealosSGTsorigenydestinoenelfabricSDA.
ElmodelooperacionalutilizandoScalableGroupssimplificaengranmanerala
implementacióndeseguridadyelmantenimientodelaspolíticasdeseguridad,mientrasal
mismoselograimplementarelcontroldeaccesobasadoenusuarios.
ElhechodequeCiscoDNACenteractuémáscomounaPlataformadeAdmistracióndela
red,nosolocomouncontroladordeactividadesespecíficasdelared,loconvierteenuna
combinaciónmuchomásampliadefuncionalidadesycapacidadesenlared.
DNACenterasaNetworkManagementPlatform
DNACenterrealizaunprocesodedescubrimientoparaencontrartodoslosdispositivosen
laredyconstruirunatopologíamostrandolosdispositivosdescubiertos.
DNAGUI
LosmecanismosdelDNAGUIsonintuitivosytienenlahabilidaddemostrarmásomenos
detallesdependiendoelrequerimiento.
DNACenterDifferenceswithTraditionalManagement
CiscoDNACentersoportaSDA.
LasfuncionalidadesdeCiscoDNACenterestánenfocadasensimplificareltrabajo
realizadoporlasempresas,reduciendocostosyimplementandocambiosdemaneramás
rápida.
CiscoDNACenterayudaarealizarlasinstalacionesinicialesdeunamaneramuchomás
fácil,simplificaeltrabajodeimplementarfuncionalidadesquetradicionalmenteeranmuy
complejasyutilizaherramientasparapoderserciorarsedeinconvenientesdeunamanera
muchomásrápida.
AlgunasdelasfuncionalidadesúnicasdelCiscoDNACenterincluyen:
■EasyQoS:ImplementacióndeQoSconunossimplespasosenelDNACenter,haciendo
elprocesomuchomassencilloquesucomplejaconfiguraciónmanual.
■Análisisdetráficoencriptado:AlhabilitarCiscoDNA,seutilizanalgoritmosquepermiten
reconoceramenazasdeseguridadinclusoeneltráficoencriptado.
■Dispositivo360yCliente360:Proporcionaunanálisisholístico:360delasaluddel
dispositivo.
■Networktimetravel:Muestraelrendimientoanteriorenunalíneadetiempopara
compararloconelrendimientoactual.
■Pathtrace:Descubrelarutaactualquelospaquetestomaríandesdeunorigenaun
destinobasadoenlastablasforwarding.
CiscoDNAandSDASummary
EnresumenCiscoDNACentervamásalládeserunaaplicacióndeadministración
tradicionaldelared.
Unaaplicacióndeadministracióntradicionaldelaredmuestraunmapadelatopologíadela
redypermitealusuariovalidarlaconfiguraciondecadadispositivo,incluyendo
funcionalidadescomolistasdeaccesoporejemplo.
UnusuarioDNAdesdeelGUIoelAPIespecificaunorigenyundestinoyopcionalmente
puedeespecificarprotocoloypuertosyelDNAmuestraunmapadelarutaquesiguelared,
ysielpaqueteserápermitidoodenegado.
CiscoDigitalNetworkArchitecturefuedesarrolladoparareducircostos,reducirriesgos,
mejorseguridadydesempeñoymásrápidodesplieguedeserviciospormediodela
automatizaciónyprocesossimplificados.
CiscoDNACentercuentaconunrobustonorthboundAPI,consuintent-basednetworking
porpartedeSDAyrepresentaelfuturedelaadministracióndelasredesCisco.
Capítulo43UnderstandingRESTandJSON
Capítulo43UnderstandingRESTandJSON
UnderstandingREST
Paraautomatizaryprogramarlasredes,algunossoftwaresdeautomatizaciónrealizan
múltiplestareas.
Elsoftwareanalizalosdatosenformadevariables,tomadecisionesbasadoenanálisisy
tomaaccionesparamodificarlaconfiguracióndelosdispositivosderedyproporcionar
reportesreferentesalestadodelared.
Lasdiferentesfuncionesdeautomatizaciónresidenendispositivosdistintos:dispositivodel
Administradordelared,unservidor,uncontrolador,ylosdistintosdispositivosdered..
Paraqueelprocesodeautomatizaciónfuncionedelamajormanera,todosestos
componentesdesoftwarerequierenconvencionesbiendefinidasparapermitirla
comunicaciónefectivaentretodosloscomponentes.
Enestecapítulovamosaestudiardosdelasprincipalescomplementosquepermitenque
lossoftwaredeautomatizaciónsecomuniquen.
PrincipalmentelasApplicationProgrammingInterfaces(APIs),específicamenteAPIsque
utilizanelestilollamadoREpresentationalStateTransfer(REST).
LasAPIsdecualquiertiposeencargandecrearunaformaenquelasaplicacionesde
softwaresepuedancomunicar,mientrasquelasRESTfulAPIs(APIsqueutilizan
complementosREST)siguenunconjuntoparticulardereglasdesoftware.
MuchasdelasAPIsutilizadasenlaautomatizacióndelaredenlaactualidadutilizanAPIs
basadasenREST.
Adicionalmeteestudiaremosloscomplementosyestándaresparalasvariablesdedata
intercambiadasporAPIsutilizandoJavaScriptObjectNotation(JSON).
SiRESTproporcionaunmétodoestándarddecomodosprogramasde automatizaciónde
softwaredeberíancomunicarseenlared,JSONdefinecomocomunicarlasvariables
utilizadasporunprograma,porejemplo:elnombredelasvariables,susvaloresysu
estructuradedatos.
REST-BasedAPIs
LasaplicacionesutilizanApplicationProgrammingInterfaces(APIs)paracomunicarse.
Deestamaneraunprogramapuedeaprendervariablesyestructurasdedatosdeotros,
tomandodecisioneslógicasbasadasenestosvalores,modificandolosvaloresdeestas
variablesyeliminandovariablestambién.
LasAPIspermitenquelosprogramasqueseejecutanendiferentescomputadoras
funcionendemaneracooperativa,intercambiandodatosparalograrunobjetivo.
EnunmundodesoftwareAPI,algunasaplicacionescreanunAPI,mientrasotras
aplicacionesutilizanyconsumenAPI.
LosdesarrolladoresdesoftwareagreganAPIsasussoftwaresparaqueotrasaplicaciones
desoftwarepuedanutilizarlasfuncionalidadesdeeste.
Cuandoundesarrolladordesoftwareseencuentradesarrollandounaaplicación,escribirá
uncódigo;perotambiénrealizaráuntrabajoextensivoenbuscarAPIsquepuedan
proporcionarlosdatosyfuncionesrequeridas,reduciendolacantidaddecódigoque
necesitaserescrito.
Comoresultado,granpartedeldesarrollodesoftwaremodernosecentraencomprendery
aprendernuevasAPIs,juntoconlasbibliotecasdisponibles(softwarepreconstruidoquese
puedeutilizarpararealizartareasenlugardeescribirelequivalentedesdecero).
ExistenmuchostiposdiferentesdeAPIs,cadaunacondiferentescomplementosparacubrir
diferentesnecesidades.
UnejemplodeAPIsería:REpresentationalStateTransfer(REST),lacualesmuypopular
enlaautomatizacióndeaplicacionesderedes.
REST-Based(RESTful)APIs
LasRESTAPIssiguenunaseriedereglasfundamentalesacercadequehaceaRESTAPIy
queno.
RESTAPIsincluyenlossiguientesatributos:
■Arquitecturacliente/servidor.
■Operaciónstateless.
■Declaraciónclaradecacheable/uncacheable.
■Interfazuniforme.
■Encapas.
■Códigoendemanda.
Client/ServerArchitecture
Asícomomuchasaplicaciones,lasaplicacionesRESTutilizanunmodelodearquitectura
cliente/servidor.
Primeramente,undesarrolladordeaplicacionescreaunRESTAPI,yestaaplicación
cuandoseejecutaactúacomounservidorREST.
CualquierotraaplicaciónpuedehacerunRESTAPIcall(elclienteREST)alejecutarun
códigoquecauseunrequestcliente/servidor.
ElclienteRESTejecutaunaRESTAPIcall,lacualgeneraunmensajeenviadoalservidor
REST.
ElservidorRESTtieneuncódigoAPIqueconsideraelrequestydecidecómoresponder.
ElservidorRESTenvíadevueltaunmensajedereplyconlasvariablesdedatosrequeridas
enelmismo.
StatelessOperation
ElatributostatelessdeRESTAPIssignificaqueRESTnoregistrarániutilizaráinformación
sobreunintercambiodeAPI,debidoacómoseprocesaránlosintercambiosdeAPI
posteriores.
Enotraspalabras,cadaAPIrequestyreplynoutilizaráningúnotrohistorialpasado
consideradoalprocesarlasolicitud.
ElprotocoloTCPutilizaunenfoquestateful,mientrasqueUDPutilizaunaoperación
stateless.
UnaconexiónTCPrequierequelosendpointsinicializanvariablesencadaextremo,con
esasvariablesactualizándosealolargodeltiempo,yconesasvariablesutilizadaspara
mensajesTCPposteriores.
TCPutilizanúmerosdesecuenciaynúmerosdereconocimientoparaadministrarelflujode
datosenunaconexiónTCP.
Cacheable(orNot)
Paraentendercualeselsignificadodecacheable,consideremosquepasacuando
navegamosenunwebsite.
Cuandoelbrowserdespliegaunanuevapáginaweb,lapáginacomotalcontieneuna
variedaddeobjetos(texto,imágenes,videos,audio).
Algunosobjetosraravezsemodifican,porloqueelservidorlosmarcacomocacheable.
Porejemplo,ellogooalgunasimágenesmostradasenmuchaspáginaswebraravezson
modificadasporloquesonconsideradascacheable.
Sinembargo,lalistadeproductosrecibidaenlavisitaaunapáginaweb,porejemplo,no
serácacheableporqueelservidorrequiereactualizarymodificarlalistacadavezquela
páginawebessolicitada.
RESTAPIsrequierenquecualquierrecursosolicitadopormediodeunAPIcall,tenganun
métodoclaropormediodelcualmarcarlosrecursoscomocacheableono.
Elpropósitoesmejorarelrendimientoalrecuperarrecursosconmenosfrecuencia
(cacheable:almacenableencaché).
Debemostomarencuentaquelosrecursosalmacenablesencaché(cacheable),están
marcadosconunmarcodetiempoparaqueelclientesepacuándovolverasolicitaruna
nuevacopiadelrecurso.
DataandVariables
Primeramentedebemosentendercomoellenguajedeprogramaciónutilizavariables.
Todaslasvariablessimplesdeaplicacionesprocesanladatasiguiendolasmismas
accionesgenerales,comenzandoconalgúntipodeinput.
Elprogramanecesitaladataqueprocesar,paraqueelprocesoinputpuedaleerlos
archivos,enviarsolicitudesdebasesdedatosalservidordebasesdedatos,orealizarAPI
callsparaobtenerladatadeotraaplicaciónAPI.
Elpropósitoesobtenerladataqueelprogramarequiereparaprocesarsutrabajo.
Losprogramasprocesanladatahaciendocomparaciones,tomandodecisiones,creando
variablesnuevas.
Porejemplo,unprogramapodríaprocesarladatasiguiendolasiguientelógica:silainterfaz
delrouterG0/0tieneunaconfiguracióndeswitchportmodedynamicauto,entoncesse
podríaobtenermásdataparaasegurarsequelainterfazestuvieraactualmenteoperando
comotrunkenvezdepuertodeacceso.
Enprogramación,unavariableesunnombreoetiquetaquetieneunvalorasignado.
Paraentenderunpocomejorlasvariables,podemospensarenlasvariablescomoel
álgebradelcolegio.
UnejemploquenospuedeayudaraentenderloesPython,queesellenguajemáspopular
hoyendíaparaescribiraplicacionesdeautomatizacióndelared.
Esteprogramacomienzaconuncomentario(lastresprimeraslíneasconcomillassimples
triples)yluegocreacuatrovariables,asignándolesadiferentesvaloreseimprimeunalínea
desalida.
Variables
Lasvariablesmostradasenelsiguienteejemplopuedenserllamadasvariablessimples
debidoaquecadanombredecadavariabletieneunúnicovaloragregadoadichavariable.
Lasvariablessimplestienenunnombreyunvaloragregado,porloquetienenuna
estructurasimple.
Losvaloresdevariablessimplespuedentenerdiferentestiposdeformatoscomose
muestra acontinuación:
■Unsignedintegers(x)
■Signedintegers(y)
■Floating-pointnumbers(z)
■Text(heading)
ListandDictionaryVariables
Aunquelasvariablessimplespuedentenermuchasutilidades,losprogramasrequieren
variablesconestructurasdedatamáscomplejas.
Enprogramación,laestructuradedatadefineunaseriedevariablesyvaloresrelacionados.
Porejemplo,Pythonutilizaunalistadevariablesdemodoqueunnombredevariablees
asignadoaunvalorqueesunalistadevaloresenvezdeunúnicovalor.
Unprogramadeautomatizaciónderedutilizarálistas,porejemplolistasdedispositivosa
administrar, listadeinterfacesenundispositivo,listadefuncionalidadesdeconfiguración
deunainterfaz.
Consideremoselsiguienteejemplo,enlavariablellamadalist1,notemosquelaslíneasque
empiezancon#soncommentlines.
Basadoenlafigura,notesequeelcódigoasignalavariablelist1aunvalorqueesunalista
de3líneasdetexto.
Nótesequelalistaincluyetext,unsignedintegers,signedintegers,yasísucesivamente.
Lavariableseencuentraasignadaalalista,ylalistacontienetreselementosdiferentes.
Dictionaries
PythonsoportaunaestructuradedatallamadaDictionary
SianalizamoselcontenidodeundiccionariodelidiomaInglés,estediccionarionosdará
unaseriedeelementosemparejados:untérminoounadefinición.
ConlenguajesdeprogramacióncomoPython,laestructuradedatosdictionarytambién
enumeraráelementosemparejados:claves(comotérminos)yvalores(comodefiniciones).
Lafiguranosmuestralaestructuradeunvalordictionaryenlavariabledict1.
Notequecadakeyesunvalorllamadokey:valuepair.
DataStructure
Laestructuradeladatastructurespuedesermuchomáscompleja.
Además,lasestructurasdedatossepuedenanidadas.
Porejemplo,elvalordeunasolavariablepuedeserunalista,ycadaelementodeestalista
puedeserundictionary,convaloresenunkey:valuepairsquesonotraslistas,entreotros.
Enresumen,losprogramasutilizanvariablessimples,perotambiénutilizanlistasy
diccionariesparafacilitardiferentestiposdelógicas.
RESTAPIsandHTTP
LafuncionalidaddelasAPIsespermitiralosprogramasintercambiardata.
AlgunasAPIspuedenserdiseñadascomounainterfazentreprogramascorriendoenel
mismocomputador,paraquelacomunicaciónentreprogramassucedaenunmismo
SistemaOperative.
MuchasAPIsnecesitanestardisponiblesalosprogramasqueseejecutanenlas
computadoras,asíqueelAPIdebedefinirlostipodeprotocolosderedsoportados.
MuchasdelasREST-basedAPIsutilizanelprotocolHTTP.
LoscreadoresdeREST-basedAPIsamenudoprefierenHTTPporquelalógicadeHTTPes
equivalenteamuchosdelosconceptosdefinidosgeneralmenteporRESTAPIs.
HTTPutilizalosmismosprincipiosqueREST:operaconunmodelocliente/servidor;utiliza
unmodelooperacionalstateless;incluyeheadersquemarcanlosobjetoscomocacheableo
nocacheable.
Tambiénincluyeverbs—wordsquedictanlaaccióndeseadaparaelparHTTPRequesty
Reply,elcualesequivalenteacomolasaplicacionesfuncionan.
RESTAPIsutilizaUniformResourceIdentifiers(URIs)paraespecificarladatadeseadade
unRESTfulAPIcall.
SoftwareCRUDActionsandHTTPVerbs
Laindustriadesoftwareutilizaelsiguienteacrónimo:CRUD,paralascuatroacciones
primariasrealizadasporunaaplicación:
Create:Permitealclientecrearalgunasinstanciasnuevasdevariablesyestructuradedata
enelservidor,einicializarsusvaloresmantenidosenelservidor.
Read:Permitequeelclienterecupere(read)elvaloractualdelasvariablesqueexistenen
elservidor,almacenandounacopiadelasvariables,estructurasyvaloresenelcliente.
Update:Permitealclientecambiar(update)elvalordelasvariablesqueexistenenel
servidor.
Delete:Permitealclienteeliminardelservidordiferentesinstanciasdevariablesdedatos.
Porejemplo,siutilizamoselnorthboundRESTAPIdelDNAcontroller,esprobableque
queramoscrearunanuevapolíticadeseguridad.
Desdeunaperspectivadeprogramación,lapolíticadeseguridadexistiríacomounconjunto
deconfiguracionesdefuncionalidadesenelcontroladorDNA,internamenterepresentado
porvariables.
Paralograrlo,elclientedeRESTusaríaunaccióncreate,utilizandoelDNACenterRESTful
API,creandovariablesenelcontroladorDNApormediodelDNACenterRESTAPI.
Elconceptodecrearnuevaconfiguraciónenelcontrolador,esrealizadoporelAPI
utilizandounaaccióncreateacrónimogenéricoCRUD.
OtrosejemplosdeaccionesCRUDincluyenelvalidarelestadodeunanuevaconfiguración
(areadaction),elmodificarunafuncionalidadespecíficadeunanuevaconfiguración(an
updateaction),yelremoverunapolíticadeseguridadporcompleto(adeleteaction).
URIs
HTTPutilizaverbsquereflejanaccionesCRUD.
HTTPdefineelconceptodeHTTPrequestyreply,conelclienteenviandorequestyel
servidorrespondiendoconunreply.
Cadarequest/replyenumeraunaacciónverbenelHTTPrequestheader,quedefinela
acciónHTTP.
Elmensaje HTTPtambiénincluyeunURI,queidentificaelrecursoqueseestá
manipulandoparaestasolicitud.
ElmensajeHTTPsetransportaenIPyTCP,conencabezadosydatos.
HTTPFunctionality
ParaentenderunpocomejorHTTP,podemosobservarquecuandoabrimosunbrowsery
hacemosclickenunlink,elbrowsergeneraunHTTPGETrequestmessage
EstemensajeincluyeunHTTPconelGETverbyelURI.
Losrecursosqueretornanenelreplysonloscomponentsdelapáginawebcomoarchivos
detexto,archivosdeimágenesyarchivosdevideo.
ComparingCRUDactionstoRESTverbs
HTTPfuncionamuybienconRESTdebidoaqueHTTPtieneverbsquecoincidenconlas
accionesdelparadigmaCRUD
EnlaimagenpodemosobservarlosverbsHTTPytérminosCRUDparasufácilreferenciay
estudio.
UsingURIswithHTTPtoSpecifytheResource
AdicionalautilizarlosverbsHTTPpararealizarlasfuncionesCRUDparaunaaplicación,
RESTutilizarURIsparaidentificarsobrequérecursoactuaráelHTTPrequest.
ParalasAPIsREST,losrecursospuedensercualquieradefinidoporelAPI.
Cadarecursocontieneunaseriedevariables,definidasporelAPIeidentificadasporelURI
RESTFunctionality
Porejemplo,unusuariocreandounaREST-basedAPI:
Mientrasrealizaelproceso,creaunaseriederecursosquequierequeesténdisponiblespor
mediodelAPIyadicionalmenteasignaunaURIacadarecurso.
Enotraspalabras,elcreadordelAPI,creaunURI creatorcreatesaURIyunconjuntode
variablesquecoincidan,ydefinelasaccionesquesepuedenrealizaraesasvariables
(read,update,etc).
ElcreadordelAPItambiéncrealadocumentaciónqueenumeralosrecursosylasURIsque
identificanacadarecurso,entreotrosdetalles.
ElprogramadordelaaplicaciónRESTpuedeleerladocumentaciónAPI,construirun
requestRESTAPIysolicitarporelrecursoespecífico.
URIStructureforRESTGETRequest
HTTPS:Lasletrasantesde://identificanelprotocolutilizado,enestecaso:HTTPSecure
(queutilizaHTTPconencriptaciónSSL).
HostnameorIPAddress:Esteeselvalorqueseencuentraentre://y/,eidentificaelhost;
siseutilizaunhostname,elclienteRESTdeberárealizarlaresolucióndenombrespara
aprenderlasdireccionesipdelservidorREST.
Path(Resource):Estevaloreselqueseencuentradespuésdel/yterminaalfinalizarel
URIoantesdecualquierparámetroadicional(comoelparámetroqueryfield).HTTPllama
aestefieldelpath,peroparautilizaciónconREST,elfieldidentificaelresourcedefinidopor
elAPI.
DNACenterAPIDocPagefortheNetworkDevice(List)Resource
ParaentendercómointeractúanelAPI,URI,elresourcepartedelAPI,podemosvalidarla
documentacióndelAPIparalasREST-basedAPI.
PorejemplocuandoCiscodesarrollóelDNACenter,creólainterfazREST-based
northboundyeligióunURIcomosemostróenlafigura.
Adicionalsepuedenavegarporhttps://developer.cisco.comybuscarpor“CiscoDNACenter
APIdocumentation.”,paravalidarmásejemplosderecursosdefinidosporelCiscoDNA
CenterAPI
ComponentsofaURIUsedinaRESTAPICall
● MuchosdelosHTTPrequestsrequierenpasarinformaciónalservidorRESTmas
alládelAPI.
● Algunadeestadatapuedeserpasadaenheaderfields.
● Porejemplo,RESTAPIsutilizanHTTPparacodificargranpartedelainformaciónde
autenticaciónparalasRESTcalls.
● Adicionalmente,losparametrosrelacionadosaRESTcallpuedenserpasadoscomo
parámetrosdelURI.
● Porejemplo,elURIpreguntaalCiscoDNACenterporunalistadedispositivos
conocidos,conCiscoDNACenterproporcionandoundiccionariodevalorespara
cadadispositivo.
● Tambiénsepodríarequerirundiccionariodevaloresparacadadispositivoindividual.
● ElCiscoDNACenterAPIpermitejustamenteesoañadiendoelURIrequerido.
ExampleofRESTAPICalltoDNACenter
LasAPIcallsutilizanunaaplicacióndesoftwarellamadaAPIdevelopmentenvironmenttool.
Desdelaperspectivadelosdesarrolladores,cuandosetrabajaenautomatizargranparte
lastareasoperativasdelared,sedeberáutilizarunprogramaquerealizelasAPIcalls.
Sinembargo,enelprocesotempranodedesarrollarunaaplicación,primeroesnecesario
enfocarnosenladatadisponibledesdeelAPIynotantotomarencuentatodoslosdetalles
deprogramaciónenesafaseinicial.
LosentornosdedesarrollodeAPIpermitenenfocarnosenlasAPIcalls.
Posteriormente,esamismaferramentapuedegenerarelcódigocorrectoquesepuede
pegarenelprogramadeprogramaciónpararealizarlasAPIcalls.
ComoejemplosepuedeutilizarunappllamadaPostman.Postmanpuedeserdescargado
gratuitamenteenwww.postman.co.
URIStructureforRESTGETRequest
SemuestraacontinuaciónlaappPostmanappdespuésdequeenvíaunRESTclientGET
requestalDNACenterRESTAPI.
■TheURI,enlapartedearriba,muestraelhostnamedesandboxdnac2.cisco.com,que
siempresemuestraenlainstanciadeDNACenter.
■ElresourcepartdelURImuestraelresourcesolicitandolalistadedispositivos.
■ElcentroinferiordelaventanamuestralosdatosproporcionadosporelDNACenter
RESTHTTPGETresponse.
■Enelcentroaladerecha,enumeraloscódigosdestatus200deGETresponsesque
significan“OK.”
UnderstandingJSON
JavaScriptObjectNotation(JSON)esunformatodedatosmuycomúnhoyendía,quetiene
muchosusospotenciales.
DesdealimentarcomandosadispositivosCiscohastacrearinfraestructurascompletasenla
nube,JSONesversátilymuyfácildeleerytrabajar.
JSONamenudosecomparaconXML.Estaesunacomparaciónmuyválida.
Sinembargo,elscriptJSONesmucho,muchomásfácildeleerqueXML.
JSONtienemuchosusospotenciales.
Estossonsoloalgunosejemplos:
▸Seusaconmuchastecnologíaswebcomolanubepública
▸Sepuedeusarparaproporcionarlosdetallesnecesariosparaconstruirunainfraestructura
denubeatravésdelcódigo
▸Puedeproporcionarlosdetallesnecesariosparaconfigurardatosparaproyectoslocales
▸Sepuedeutilizarparaalimentarsoftwaredeautomatización
▸SepuedeusarconAnsibleparalaconfiguracióndedispositivos
JSONnoesuncódigoejecutablequehacequelamagiasuceda.
Essolounformatodedatosestandarizadoparaalimentarlosdatosrequeridosenuna
aplicación.
EstructuraJSON
● JSONesamenudoelformatodedatosutilizadoalextraerdatosdeunaaplicación.
● ObservequeelcódigoJSONcomienzayterminaconlasllaves.Estodenotaun
objetoJSON.
● TengaencuentaqueelJSONtambiénconstadeparesclave/valorsimples(por
ejemplolaversiónclaveyelvalor0.0).
● Tengaencuentaquelosvalorespuedenserobjetos,cadenas,números,valores
booleanosymás.
● TengaencuentaquelasangríaenJSONnoesnecesaria,peroserecomiendaya
quehacequelosdatosseanmuchomáslegibles.
Capítulo44Ansible,ChefandPuppet
Capítulo44Ansible,ChefandPuppet
Lacreacióndemástecnologíasdevirtualizaciónylanubefomentaroneldesarrollode
nuevastecnologíaseneláreadecontrolygestióndelaconfiguración.Trescompañías
pioneras(ypaquetesdesoftware)llegaronalacimaenestaárea:Puppet,ChefyAnsible.
Ansible
Ansible,queseinstalaenunsistemaLinux,puedeconfiguraryadministrardispositivossin
queseanecesarioinstalarunpaquetedesoftware"agente"enlossistemasqueestá
controlando.
Estaesunagranventajaporqueinstalarsoftwaredeagenteentodoslossistemasque
deseacontrolarpuedeserunagrantareaensímisma.
¿CómocontrolaelsistemaAnsibleunnodosinoinstalaelsoftwareenesesistema?
UtilizaunaconexiónSSHparapasarlasinstruccionesrequeridas.
Ansibleseejecutautilizandocomponentessimples(comoarchivosdetexto)quecontrolan
sucomportamientoyhabilidades.
Estossonloscomponentesprincipales:
▸Inventario:unalistadenodosqueAnsibleestáconfiguradoparaadministrar.
▸Módulos:lasunidadesdecódigoqueAnsibleejecuta.
▸Tareas:lasunidadesdeacciónenAnsible.
▸Playbooks:listasordenadasdetareasquepermitenlaejecuciónfuturadelasecuencia.
Ansible,PuppetandChef
AunquelasherramientassimilaresPuppetyCheffueroncreadasprincipalmenteatravés
delusodellenguajedeprogramaciónRuby,
AnsibledependeengranmedidadePython.
ElaumentodepopularidadenPythonesotrofuertepuntodeventaparaquienesconsideran
lasdiversasherramientasdeautomatización.
Puppet
Puppetadoptaunenfoquediferenteparalaconfiguracióndelosdispositivosqueadministra.
Tieneunarelacióncliente/servidormásdefinida.
Elclienteesunsoftwaredeagenteinstaladoenelnodoquesevaaadministrar,yel
servidor PuppetseinstalaenunsistemaUNIXoWindows.
Puppetutilizaunlenguajedeclarativopersonalizadopara definirlaconfiguraciónrequerida
delnodogestionado.
Estaconfiguraciónseaplicadirectamentealdispositivoadministradoosecompilaenun
catálogoysedistribuye alsistemadedestinomedianteunaAPIREST.
AligualqueAnsible,Puppetesfamosoporsufacilidaddeusoyelhechodequeprotegea
losadministradoresdereddelrequisitedesaberprogramarsistemas.
ParalosqueprefierenAnsible,unargumentogeneralmenteutilizadoesqueelenfoquede
Puppetrequierequeseinstaleunsoftwaredeagenteenlosnodosquesevana
administrar.
AlgunasplataformasNexuseIOS-XRadmitenlainstalacióndeunagentePuppet.Sin
embargo,lasplataformasIOSeIOSXEnoadmitenlainstalacióndelagente,porloquese
utilizaunasoluciónalternativaparaadministrardispositivosIOSatravésdePuppet:un
móduloproxyqueactúacomoagentePuppetseejecutaenunservidorLinuxque
esencialmentetraduceelcatálogoencomandosIOSCLI.
ElmóduloproxyluegousaSSHparallegaralosdiversosdispositivosIOSyejecutarlos
comandosnecesarios.EstemóduloproxyhacequePuppetforIOSsea"sinagente".
Chef
ChefesmuysimilaraPuppet.
EstaherramientadegestióndeconfiguraciónestáescritaenRubyygestionanodos
mediantemanifiestosdeconfiguraciónllamadosrecipes.
Losrecipessepuedenagruparencookbooksparaunaadministraciónmásfácilyparala
automatizacióndetareasmáscomplejasparalosnodosadministrados.
AligualquePuppet,Chefpuedeejecutarseenmodocliente/servidor.
Curiosamente,elsoftwaretambiénpuedeejecutarseenunaconfiguraciónindependiente
llamadaChefSolo.
Enmodocliente/servidor,elclienteChefenvíavariosatributossobreelnodoalservidor
Chef.ElservidorusaElasticsearchparaindexarestosatributosyproporcionaunaAPIpara
quelosclientesconsultenestainformación.
LasrecipesdeChefpuedenconsultarestosatributosyusarlosdatosresultantespara
ayudaraconfigurarelnodo.
Aligualquelasotrasherramientascubiertasaquí,Chefseusóoriginalmenteparasoportar
elsistemaLinuxexclusivamente,perolasversionesposteriorestambiénsoncompatibles
conMicrosoftWindows.