Está en la página 1de 131

Tema 1

Puentes y Conmutadores LAN


(versin 2010-2011)

Rogelio Montaana Departamento de Informtica Universidad de Valencia rogelio.montanana@uv.es http://www.uv.es/~montanan/


Universidad de Valencia Redes 1-1 Rogelio Montaana

Sumario
Repaso de Telemtica Repaso de Ethernet Puentes transparentes y conmutadores Microsegmentacin. Full dplex. Ataques en conmutadores Conmutadores gestionables y no gestionables Bucles entre puentes. Spanning Tree Redes locales virtuales (VLANs)
Redes 1-2 Rogelio Montaana

Universidad de Valencia

Modelos de referencia
Capa de Aplicacin Capa de Presentacin Capa de Sesin

Capa de Aplicacin

Capa de Transporte
Capa de Red Capa de Enlace

Capa de Transporte Capa de Red


Capa de Enlace
(capa fsica)

Capa Fsica

Modelo OSI (7 capas)


Universidad de Valencia Redes 1-3

Modelo Internet (4,5 capas)


Rogelio Montaana

La capa fsica
Se ocupa de transmitir los bits Especifica cosas tales como: La forma de los conectores Las seales elctricas u pticas Las caractersticas y longitudes mximas de los cables Los datos se pueden transmitir:
Por medios guiados (cables de cobre o fibra ptica), o Por medios no guiados (ondas de radio o infrarrojos)

Las principales organizaciones de estandarizacin del nivel fsico son el IEEE y la ITU-T
Universidad de Valencia Redes 1-4 Rogelio Montaana

La capa fsica: fibra vs cobre


Caracterstica
Capacidad

Fibra ptica

Cable de cobre

Hasta 1,6 Tb/s Hasta 1 Gb/s

Alcance (sin repetidores)


Tasa de error Atenuacin (distancia para un 50% de prdida de seal) Coste Susceptibilidad a interferencias Seguridad ante intrusiones Instalacin
Universidad de Valencia

Hasta 160 Km Hasta 5 Km


<1 en 1012 15 Km Elevado Inmune Muy alta Compleja
Redes 1-5

<1 en 108 - 1010 20 m Reducido Afectado Muy baja Sencilla


Rogelio Montaana

Capa fsica: ondas de radio


Sistemas fijos (microondas, satlite)
Gran capacidad y fiabilidad Costo de despliegue generalmente menor que los cables Uso de antenas direccionales, a menudo parablicas

Sistemas mviles (mas errores, menos velocidad que con cables)


GSM, GPRS, UMTS: Baja capacidad (hasta 2 Mb/s) gran alcance WiFi: Gran capacidad (hasta 300 Mb/s) corto alcance WiMAX: Gran capacidad (hasta 70 Mb/s) alcance medio Bluetooth: Muy baja capacidad (700 Kb/s) muy corto alcance (10 m)
Universidad de Valencia Redes 1-6 Rogelio Montaana

Tipos de enlaces
Un enlace puede ser:
Simplex: transmisin en un solo sentido. Ej.: emisin de TV Semi-dplex o half-duplex: transmisin en ambos sentidos, pero no a la vez. Ej.: walkie-talkies, redes WiFi (inalmbricas) Dplex o full-duplex: transmisin simultnea en ambos sentidos. Ej.: conversacin telefnica. Ethernet, ADSL

En el caso dplex y semi-dplex el enlace puede ser:


Simtrico (misma velocidad ambos sentidos). Ej.: Ethernet Asimtrico (diferente velocidad). Ej: ADSL

Universidad de Valencia

Redes 1-7

Rogelio Montaana

Velocidad y prefijos mtricos


Al expresar velocidades o caudales en telemtica siempre lo hacemos en bits (no bytes!) por segundo y los prefijos siempre se usan con el significado mtrico, nunca el informtico: Prefijo Significado mtrico Significado informtico

K (Kilo)
G (Giga) T (Tera) P (Peta)

103 = 1.000
109 = 1.000.000.000 1012 = 1.000.000.000.000 1015 = 1.000.000.000.000.000

210 = 1.024
220 = 1.048.576 230 = 1.073.741.824 240 = 1.099.511.627.776 250 = 1.125.899.906.842.624

M (Mega) 106 = 1.000.000

Ejemplo: una conexin ADSL de 320/1024 Kbps (asc./desc.) enva 320.000 bits por segundo y recibe 1.024.000 bits por segundo

Universidad de Valencia

Redes 1-8

Rogelio Montaana

La capa de enlace
La principal funcin de la capa de enlace es comprobar que los datos enviados estan libres de error. Para ello se utiliza el CRC (Cyclic Redundancy Check) Cuando se detecta un error se pueden hacer tres cosas:
Intentar corregirlo (no es posible con el CRC) Descartar el paquete errneo y pedir reenvo Descartar el paquete errneo y no decir nada

En todos los casos habituales se procede de la tercera forma (se descarta y no se dice nada). Ser normalmente la capa de transporte (en el host de destino) la que se encargue de solicitar la retransmisin de los datos al emisor. Pero no siempre es as, a veces la capa de transporte tampoco reenva y el paquete errneo simplemente se pierde
Universidad de Valencia Redes 1-9 Rogelio Montaana

Capa de enlace: las tramas


La capa de enlace transmite la informacin en tramas (frames en ingls). De forma general las tramas suelen tener la estructura siguiente:
Info. de control (cabecera)
Bytes 2-14

Datos
0-9000

CRC
24

El CRC permite al receptor comprobar que la trama no se ha alterado debido a errores de transmisin El CRC no es un mecanismo infalible. Un CRC de 2 bytes tiene una probabilidad de 1 en 216 = 0,0015% de ser correcto por pura casualidad. Con 4 bytes la probabilidad es de 1 en 232 = 0,000000023% Aunque el CRC de 4 bytes supone mayor overhead actualmente se utiliza preferentemente debido a su mayor seguridad
Universidad de Valencia Redes 1-10 Rogelio Montaana

Sumario
Repaso de Telemtica Repaso de Ethernet Puentes transparentes y conmutadores Microsegmentacin. Full dplex. Ataques en conmutadores Conmutadores gestionables y no gestionables Bucles entre puentes. Spanning Tree Redes locales virtuales (VLANs)
Redes 1-11 Rogelio Montaana

Universidad de Valencia

Arquitectura de los estndares IEEE 802

802.10: Seguridad

802.1: Perspectiva y Arquitectura

802.2: LLC (Logical Link Control)

Subcapa LLC

802.1: Gestin

802.1: Puentes Transparentes

802.3: CSMA/CD (Ethernet)

802.5: Token Ring

802.11: LANs Inalmbricas

802.15: Bluetooth

802.16: WiMAX

Subcapa MAC (Media Access Control)

Capa Fsica

Universidad de Valencia

Redes 1-12

Rogelio Montaana

Denominacin de medios en Ethernet


10BASE5
Velocidad (Mb/s)
Alcance (x100 m) Transmisin: BASE = Banda Base (digital) BROAD = Banda Ancha (analgico) Tipo de cable: T: Twisted (UTP) C: Coaxial F: Fiber (Fibra ptica)

10BASE-T

100BASE-TX 1000BASE-SX

Codificacin: X: Normal

Longitud de onda de la luz (fibra ptica):

10GBASE-LR

S (Short): 980 nm L (Long): 1310 nm E (Extended): 1550 nm

Luz infrarroja

Universidad de Valencia

Redes 1-13

Rogelio Montaana

Algunos medios fsicos de Ethernet


Velocidad (Mb/s) 1 Medio (1BASE5) (10BASE5) (10BROAD36) (10BASE2) 10BASE-F 10BASE-T 100BASE-TX 100BASE-FX 1000BASE-SX 1000BASE-LX 1000BASE-T 10GBASE-LR 10GBASE-ER 10GBASE-CX4 10GBASE-T Cable UTP-2 Coax RG8 50 Coaxial 75 Coax RG58 50 F.O. multimodo UTP-3/5 UTP-5 F.O. multimodo F.O. multimodo F.O. monomodo UTP-5e F.O. monomodo F.O. monomodo Coax 4 pares UTP-6/6a Distancia 500m 500 m 3,6 Km 185 m 2 Km 100/150 m 100 m 2 Km 500 m 5 Km 100 m 10 Km 40 Km 15 m 55/100 m Costo Bajo Bajo Alto Bajo Medio Bajo Bajo Alto Medio Alto medio Alto Muy Bajo Alto Fecha estand. 1987 1983 1985 1985 1987 1990 1995 1995 1998 1998 1999 2002 2002 2004 2006

10

100

1000

10000

40000

40GBASE-LR4 40GBASE-CR4
100GBASE-LR4 100GBASE-ER4 100GBASE-CR10

F.O. monomodo Cobre


F.O. monomodo F.O. monomodo Cobre

10 Km 10 m
10 Km 40 Km 10 m

N.D. N.D.
N.D. N.D. N.D.

17/06/2010 17/06/2010
17/06/2010 17/06/2010 17/06/2010

100000

Universidad de Valencia

Redes 1-14

Rogelio Montaana

Desarrollo de Ethernet
1973: Bob Metcalfe (Xerox) realiza las primeras transmisiones sobre una red Ethernet, a 2,94 Mb/s sobre cable coaxial 1979: Las empresas DEC (Digital Equipment Corporation), Intel y Xerox crean una alianza para desarrollar Ethernet 1980: El consorcio DIX publica el libro azul (primera especificacin de Ethernet) 1981: 3Com (fundada en 1979) comercializa las primeras tarjetas Ethernet 10BASE5 para PC 1983: El IEEE aprueba el estndar 802.3, basado en Ethernet 1984: DEC comercializa los primeros puentes transparentes 1989: Se estandariza 10BASE-F, Ethernet sobre fibra ptica 1990: Se estandariza 10BASE-T, Ethernet sobre cable UTP (Unshielded Twisted Pair, pares trenzados no apantallados) 1990: La empresa Kalpana comercializa los primeros conmutadores LAN 1995: Se estandariza Fast Ethernet 1998: Se estandariza Gigabit Ethernet 2002: Se estandariza 10 Gigabit Ethernet 17/06/2010: Se aprueba el estndar 40/100 GE
Redes 1-15 Rogelio Montaana

Universidad de Valencia

Ethernet 10BASE5 (1985-1990)


Medio compartido
Transceiver (transmitter-receiver), realiza la deteccin de colisiones Cable drop

Cable coaxial (grueso) Medio broadcast Longitud mxima 500 m


Universidad de Valencia

Conector vampiro Terminador (resistencia 50 ) Conector barrel (empalme)


Redes 1-16 Rogelio Montaana

CSMA/CD (Carrier Sense Multiple Access /Colision Detect): Analoga


El funcionamiento de CSMA/CD es parecido al de una conversacin informal entre un grupo de amigos: 1. Cada individuo habla cuando quiere decir algo, sin esperar a que alguien le d el turno de palabra y siempre y cuando no haya alguien hablando ya (Carrier Sense) 2. Si causalmente dos personas empiezan a hablar a la vez, en cuanto se dan cuenta (Colision Detect) ambos se callan, esperan un tiempo aleatorio y reintentan ms tarde 3. Si se produce una nueva colisin el proceso se repite ampliando la pausa aleatoria para reducir el riesgo de nuevas colisiones

Universidad de Valencia

Redes 1-17

Rogelio Montaana

Funcionamiento del CSMA/CD


Estacin lista para enviar

Nuevo intento

Esperar tiempo aleatorio con crecimiento exponencial

Escuchar canal (CS)


Canal libre

Canal ocupado

Transmitir datos y Colisin detectada escuchar canal (CD) Colisin no detectada Transmisin completada con xito
Universidad de Valencia Redes 1-18

Transmitir seal de atasco y parar

Rogelio Montaana

Ethernet compartida (1990-1995)


Hub 10BASE-T

Conectores RJ45 Cables UTP-5 (mx. 100m)

10 Mb/s

10 Mb/s

10 Mb/s

10 Mb/s

10 Mb/s

Todos los ordenadores comparten los 10 Mb/s

Todos los ordenadores conectados al hub pueden colisionar, por eso decimos que todos forman un dominio de colisin
Redes 1-19 Rogelio Montaana

Universidad de Valencia

Ethernet conmutada (1995Switch 10/100/1000BASE-T

Conectores RJ45 Cables UTP-5 (mx. 100m)

10 Mb/s

100 Mb/s

10 Mb/s

1000 Mb/s

100 Mb/s

Cada ordenador se conecta segn la velocidad de su tarjeta

Cada ordenador tiene una red ethernet para l solo. No hay colisiones, cada puerto es un dominio de colisin diferente
Redes 1-20 Rogelio Montaana

Universidad de Valencia

Ethernet conmutada/compartida
Switch 10/100BASE-T

100 Mb/s Hub 10 Mb/s Router 10 Mb/s 100 Mb/s Hub 100 Mb/s 100 Mb/s

10 Mb/s

10 Mb/s

10 Mb/s

10 Mb/s

100 Mb/s

100 Mb/s

100 Mb/s

100 Mb/s

Dominio de colisin
Universidad de Valencia Redes 1-21

Dominio de colisin

Rogelio Montaana

Estructura de la Trama Ethernet


La deteccin de colisiones de Ethernet requiere que las tramas tengan una longitud mnima de 64 bytes. La longitud mxima es de 1518 bytes (1500 bytes de datos ms la cabecera y el CRC) El nivel fsico aade 20 bytes a la trama ethernet
El relleno solo est presente cuando es preciso para llegar al mnimo de 64 bytes
Longitud (bytes)

2 Protocolo si > 1536 Longitud si 1536

0-1500

0-46

12

Prembulo

Dir. MAC Destino

Dir. MAC Origen

Datos

Relleno (opcional)

CRC

Silencio

Trama MAC (64-1518 bytes) Trama fsica (84-1538 bytes)

Universidad de Valencia

Redes 1-22

Rogelio Montaana

Tipos de emisiones en una LAN


Unicast: La trama est dirigida a un host de la LAN en particular (en realidad a una interfaz de un host) Multicast: La trama est dirigida a un subconjunto de los hosts de la LAN. El subconjunto puede variar con el tiempo y abarcar todas, una parte o ninguna de las interfaces de la LAN Broadcast (direccin FF:FF:FF:FF:FF:FF): La trama va dirigida a todas las interfaces de la LAN. El broadcast se considera a veces un caso particular de multicast Las direcciones multicast y broadcast no deben aparecer nunca en las tramas como direcciones de origen, solo como direcciones de destino
Universidad de Valencia Redes 1-23 Rogelio Montaana

Direcciones MAC
Parte asignada al fabricante (OUI) Parte especfica del equipo

= 0 Direccin Individual (unicast) = 1 Direccin de Grupo (multicast/broadcast) = 0 Direccin Global (administrada globalmente) = 1 Direccin Local (administrada localmente)
Las direcciones se expresan con doce dgitos hexadecimales. No hay un formato estndar para expresarlas, los ms habituales son: 00:30:A4:3C:0C:F1 00-30-A4-3C-0C-F1 0030.A43C.0CF1
Universidad de Valencia Redes 1-24 Rogelio Montaana

OUIs
Los OUIs (Organizationally Unique Identifiers) los asigna el IEEE a cada fabricante. Cada OUI cuesta actualmente US$ 1650. Puesto que el OUI identifica al fabricante es posible averiguar la marca de una interfaz a partir de su MAC Muchos analizadores de protocolos llevan incorporadas tablas de los OUIs conocidos. Ej.: Wireshark (www.wireshark.org) Tambin se puede consultar por Internet el OUI de una direccin concreta: http://www.8086.net/tools/mac/

Universidad de Valencia

Redes 1-25

Rogelio Montaana

MAC buscada

Respuesta
Universidad de Valencia Redes 1-26 Rogelio Montaana

Conversacin polglota
Imaginemos que un grupo de personas mantiene una conversacin informal en la que emplean varios idiomas indistintamente. Imaginemos adems que todos esos idiomas utilizan las mismas palabras y los mismos fonemas, de modo que no es posible deducir por contexto el idioma utilizado Cada vez que alguien fuera a decir una frase debera primero indicar el idioma que va a utilizar, para evitar malentendidos Podramos hacer una lista de los idiomas asignndole a cada uno un nmero. Cuando alguien fuera a decir una frase dira antes un nmero en ingls indicando el idioma que va a utilizar
Universidad de Valencia Redes 1-27 Rogelio Montaana

Campo Protocolo o Ethertype


En una LAN Ethernet se puede estar hablando diferentes idiomas (protocolos de nivel de red) simultneamente Para evitar ambigedades es preciso identificar a que protocolo de red pertenece cada trama. Esto se consigue con un cdigo de cuatro dgitos hexadecimales (dos bytes) llamado Ethertype que va en la cabecera de la trama. Ejemplos:
IP: 0x0800 ARP: 0x0806 Appletalk: 0x809b

Los Ethertypes los registra el IEEE (cada ethertype cuesta US$ 2.500)
Universidad de Valencia Redes 1-28 Rogelio Montaana

Campo Protocolo/longitud de Ethernet


Por razones histricas este campo tiene dos posibles significados:
Si es mayor que 1536 indica el protocolo de nivel de red al que pertenecen los datos. A este campo se le denomina Ethertype Si es igual o menor que 1536 indica la longitud de la trama ehternet. La longitud realmente no hace falta porque siempre se puede deducir sabiendo el final de la trama (detectado por el silencio)

Cuando este campo indica la longitud el Ethertype est al principio de los datos, en una cabecera adicional llamada cabecera LLC/SNAP (Logical Link Control/SubNetwork Access Protocol)

Universidad de Valencia

Redes 1-29

Rogelio Montaana

Diferentes formatos de la trama Ethernet


Trama Ethernet II (DIX):
Longitud (bytes) 6 Dir. MAC Destino 6 Dir. MAC Origen 2 Ethertype (>1536) 0-1500 0-46 Relleno (opcional) 4 CRC

Datos

Trama Ethernet IEEE 802.3:


Longitud (bytes) 6 Dir. MAC Destino 6 Dir. MAC Origen 2 Longitud (1536) 8 Cab. LLC 0-1492 Datos 0-38 Relleno (opcional) 4 CRC

Ethertype Universidad de Valencia Redes 1-30 Rogelio Montaana

Sumario
Repaso de Telemtica Repaso de Ethernet Puentes transparentes y conmutadores Microsegmentacin. Full dplex. Ataques en conmutadores Conmutadores gestionables y no gestionables Bucles entre puentes. Spanning Tree Redes locales virtuales (VLANs)
Redes 1-31 Rogelio Montaana

Universidad de Valencia

Puentes
Separan redes a nivel MAC Objetivos:
Mejorar rendimiento (separan trfico local) Aumentar seguridad (los sniffers ya no capturan todo el trfico) Aumentar la fiabilidad (actan como puertas cortafuegos, un problema ya no afecta a toda la red) Permitir la interoperabilidad entre redes diferentes (Ethernet-WiFi) Mejorar alcance Permitir un mayor nmero de estaciones
Universidad de Valencia Redes 1-32 Rogelio Montaana

Funcionamiento de un puente transparente


LAN 1 A
AB C A

Interfaces en modo promiscuo

LAN 2 B

Puente Direccin

Interfaz

B A

C
A
C A

B C

1. 2. 3. 4. 5. 6.

A genera una trama con destino B que el puente recibe por El puente busca a B en su tabla de direcciones; como no la encuentra reenva la trama por El puente incluye la direccin de A en su tabla de direcciones asociada a la interfaz Cuando B enva una trama de respuesta el puente incluir la direccin de B en la tabla, asociada a la interfaz Ms tarde C enva una trama hacia A. El puente la recibe por pero no la reenva por pues ya sabe que A est en . Al ver la direccin de origen de esta trama el puente asocia C con . Redes 1-33 Rogelio Montaana

Universidad de Valencia

Formato de una trama MAC 802.x


6 6 4

Prembulo de trama

Direcc. MAC de destino

Direcc. MAC de origen

Datos

CRC

Final de Trama

En muchos casos el protocolo MAC no usa la Direccin de origen para nada

La principal (y en la mayora de los casos la nica) utilidad de la direccin MAC de origen es permitir el funcionamiento de los puentes transparentes

Universidad de Valencia

Redes 1-34

Rogelio Montaana

Puentes transparentes (IEEE 802.1D)


Se pueden utilizar en todo tipo de LANs Funcionan en modo promiscuo (lo oyen todo) El puente averigua que estaciones (direcciones MAC) tiene a cada lado, y solo reenva las tramas que: Van dirigidas a una estacin al otro lado, o Tienen un destino desconocido que no aparece en la tabla, o Tienen una direccin de grupo (broadcast o multicast), ya que estas no figuran nunca como direcciones de origen y por tanto no estn nunca en la tabla de direcciones La trama reenviada es idntica a la original (la direccin MAC de origen no se cambia por la de la interfaz del puente). Aunque las interfaces del puente tengan direcciones MAC propias, estas direcciones no aparecen nunca en las tramas reenviadas.

Universidad de Valencia

Redes 1-35

Rogelio Montaana

Los puentes transparentes en la arquitectura IEEE 802


Puente Homogneo
802.10: Seguridad

Puente Heterogneo

Puente Homogneo
Subcapa LLC

802.1: Perspectiva y Arquitectura

802.2: LLC (Logical Link Control)

802.1: Gestin

802.1: Puentes Transparentes

802.3: CSMA/CD (Ethernet)

802.5: Token Ring

802.11: LANs Inalmbricas

802.15: Bluetooth

802.16: WiMAX

Subcapa MAC (Media Access Control)

Capa Fsica

Universidad de Valencia

Redes 1-36

Rogelio Montaana

Red con dos puentes


C A
10 Mb/s

P1
10 Mb/s

10 Mb/s

P2
100 Mb/s

F
Dir. MAC A B C D E F Interfaz

Dir. MAC A B C D E F

Interfaz

Desde el punto de vista de P1 las estaciones C, D, E y F estn en la misma LAN, ya que cuando P2 reenva por las tramas de E y F no cambia la direccin MAC de origen

Universidad de Valencia

Redes 1-37

Rogelio Montaana

Funcionamiento de los puentes transparentes


(transparent learning bridges)
Trama recibida sin error en puerto x Direccin de destino encontrada en tabla CAM?

No

Reenvo
S

S Puerto de salida = x? No Reenviar trama por puerto de salida

Reenviar trama por todos los puertos excepto x

Direccin de origen encontrada en tabla CAM?

No Aadir direccin de origen a tabla CAM (con nmero de puerto y contador de tiempo)

Aprendizaje

S Actualizar direccin y contador de tiempo

Universidad de Valencia

Terminar Redes 1-38

Rogelio Montaana

Red de campus en los 80


Backbone de campus
10 Mb/s (Coaxial grueso, 10BASE5)

10 Mb/s (Coaxial Fino, 10BASE2)

10 Mb/s (Coaxial Fino, 10BASE2)

10 Mb/s (Coaxial Fino, 10BASE2)

10 Mb/s (Coaxial Fino, 10BASE2)

Fac. Fsica

Fac. Qumica

Fac. Biologa

Serv. Informtica

Universidad de Valencia

Redes 1-39

Rogelio Montaana

Switches (o conmutadores) LAN


Un switch es funcionalmente equivalente a un puente transparente El switch implementa el algoritmo de conmutacin de tramas en hardware, mientras que el puente lo hace en software Para ello utiliza chips diseados especficamente para ello llamados ASICs (Application Specific Integrated Circuit) El switch es mucho ms rpido que el puente, puede funcionar a la velocidad nominal de la interfaz, simultneamente por todas sus interfaces (wire speed) Normalmente los switches tienen muchas ms interfaces (4-500) que los puentes (2-6) Hoy en da los puentes no se utilizan
Universidad de Valencia Redes 1-40 Rogelio Montaana

Switch con cuatro interfaces


LAN 1
A

Dominio de colisin
B
100 Mb/s

LAN 2
C D

10 Mb/s

100 Mb/s

Interfaz

10 Mb/s

LAN 3
E F

G
Dir. MAC

LAN 4 Microsegmentacin

A D B G

C
E

F
Universidad de Valencia


Redes 1-41

Transmisin half duplex Transmisin full dplex

Rogelio Montaana

Tabla de direcciones (tabla CAM)


La tabla de direcciones MAC de los conmutadores LAN se denomina tabla CAM (Content Addressable Memory) Al cabo de un rato de normal funcionamiento de la red la tabla CAM incluye las direcciones de la mayora de las estaciones activas de todas las LANs conectadas directa o indirectamente al puente. Las entradas de las tabla CAM tienen un tiempo de vida limitado para permitir la movilidad. Las entradas inactivas se borran pasado un tiempo (tpicamente 5 min.) La tabla CAM se mantiene en memoria dinmica y tienen un tamao limitado (tpico 1K-16K direcciones) La tabla es exhaustiva. No existe un mecanismo de sumarizacin o agrupacin de direcciones por rangos ya que normalmente stas no guardan ninguna relacin.
Universidad de Valencia Redes 1-42 Rogelio Montaana

Tabla CAM de un conmutador


# show mac-address-table 0004.75EF.4BEB Ethernet 0004.75EF.4B1C Ethernet 0004.75EF.2DA6 Ethernet 0004.75EF.4AD9 Ethernet 0004.75EF.49D6 Ethernet 0004.75EF.49D2 Ethernet 0004.75EF.4B0C Ethernet 0004.75EF.49D3 Ethernet 0004.75EF.472B Ethernet 0004.75EF.4952 Ethernet 0004.75EF.4BF8 Ethernet 0/1 0/2 0/3 0/4 0/5 0/7 0/8 0/9 0/10 0/11 0/12 0004.75EF.4B19 0004.75EF.41DB 0004.75EF.49CF 0004.75EF.494F 0004.75EF.4AD8 0004.75EF.4B30 0004.75EF.3D67 0004.75EF.4753 0004.75EF.49D8 0001.E654.0FF9 0040.3394.95CD Ethernet 0/13 Ethernet 0/16 Ethernet 0/17 Ethernet 0/18 Ethernet 0/19 Ethernet 0/20 Ethernet 0/21 Ethernet 0/22 Ethernet 0/23 Ethernet 0/24 FastEthernet 0/27

Cisco Catalyst 1900

Puertos Ethernet 0/1 a Ethernet 0/24 (10BASE-T) Universidad de Valencia

Puerto FastEthernet 0/26 (en fibra ptica) (100BASE-FX) Redes 1-43

Puerto FastEthernet 0/27 (100BASE-TX) Rogelio Montaana

Sumario
Repaso de Telemtica Repaso de Ethernet Puentes transparentes y switches Microsegmentacin. Full dplex. Ataques en conmutadores Conmutadores gestionables y no gestionables Bucles entre puentes. Spanning Tree Redes locales virtuales (VLANs)
Redes 1-44 Rogelio Montaana

Universidad de Valencia

Microsegmentacin
Si en una LAN se tienen muchos puertos de conmutacin se le puede dedicar uno a cada ordenador. Esto se llama microsegmentacin. La microsegmentacin mejora el rendimiento ya que las tramas van del origen al destino pasando solo por los sitios precisos (salvo posiblemente la primera, que se difundir por inundacin al ser una direccin desconocida) . Tambin mejora la seguridad, pues los sniffers no pueden capturar trfico que no les incumbe. La microsegmentacin ha sido una consecuencia del abaratamiento de los conmutadores en los aos 90. Hoy en da la microsegmentacin es habitual ya que los hubs casi no se comercializan
Universidad de Valencia Redes 1-45 Rogelio Montaana

Evolucin de las redes locales Ethernet


Cable coaxial (10BASE5 10BASE2)

Fase 1 (1988): Medio compartido (10 Mb/s) con cable coaxial en topologa de bus Fase 2 (1992): Medio compartido (10 Mb/s) con cable de pares (cableado estructurado) y concentradores (hubs) en topologa de estrella

Hub 10BASE-T

Cable de pares

Fase 3 (1996): Medio dedicado (10 Mb/s) con cable de pares y conmutadores en topologa de estrella (microsegmentacin)
Universidad de Valencia

Switch 10/100BASE-T Cable de pares

Redes 1-46

Rogelio Montaana

Diagnstico y resolucin de problemas


Una parte fundamental del mantenimiento de una red son las tareas de troubleshooting (diagnstico y resolucin de problemas). Para esto se suelen utilizar programas analizadores de trfico, como wireshark (www.wireshark.org). Estos programas requieren a menudo que un host inspeccione el trfico de otro, monitorizando todo su trfico pero sin interferir. Los hubs son todava muy tiles en esta tarea. Pero los hubs slo van a 10 100 Mb/s Los switches tienen una funcin denominada port mirroring que replica en un puerto el trfico de otro, dando una funcionalidad equivalente a la de un hub. Pero el port mirroring no est disponible en todos los switches, solo en los caros. En el mercado hay switches baratos cuya tabla CAM tiene 0 entradas, de forma que actan siempre por inundacin, como si fueran hubs. Estos switches son muy tiles cuando se utilizan analizadores
Universidad de Valencia Redes 1-47 Rogelio Montaana

Determinacin de problemas con un analizador


1: HUB: En caso de problemas en la comunicacin cliente-servidor el analizador captura todo el trfico de ambos C C C S

S
Cliente

S
Servidor

Analizador (Wireshark) 2: SWITCH: En este caso el analizador solo captura el trfico broadcast/multicast, con lo cual normalmente no es posible diagnosticar el problema C C C S

S
Cliente

S
Servidor

Analizador (Wireshark) 3: SWITCH CON PORT MIRRORING: Al configurar en el switch port mirroring entre el puerto del cliente (o del servidor) y el del analizador, ste recibe todo el trfico de la sesin, siendo equivalente al uso de un hub
Universidad de Valencia

C S Cliente

PM

C S S Servidor

Analizador (Wireshark)
Redes 1-48 Rogelio Montaana

Conexin de ordenadores mediante un hub


A Tx Rx

Hub

B Tx Rx

Tx C

Rx

El hub se encarga de cruzar el cable Tx de cada ordenador con el Rx de los dems. Los cables son paralelos, el cruce se hace internamente. Cuando A transmite algo por su cable Tx el hub lo reenva a B y C por los cables Rx de stos Protocolo CSMA/CD: Si mientras A est transmitiendo le llega algo por su cable Rx entiende que se ha producido una colisin, deja de transmitir inmediatamente y enva por su cable Tx una seal de colisin
Universidad de Valencia Redes 1-49 Rogelio Montaana

Conexin directa de dos ordenadores


A Tx Rx Tx Rx B

Cuando solo se conectan dos ordenadores no es necesario usar un hub. Basta con un cable cruzado, es decir un cable que conecta el Tx de un extremo con el Rx del otro. El protocolo CSMA/CD funciona igual que si hubiera un hub: Si A est transmitiendo y mientras recibe algo de B entonces deja de transmitir y enva la seal de colisin. B acta de la misma manera. El protocolo CSMA/CD obliga a una comunicacin half-duplex, aun cuando en este caso el medio fsico (el cable UTP) permitira funcionar en full-duplex, al haber solo dos ordenadores

Universidad de Valencia

Redes 1-50

Rogelio Montaana

Funcionamiento full-duplex
La transmisin full-dplex requiere desactivar el protocolo CSMA/CD, y por tanto suprime la limitacin de alcance que esto impona (4 km a 10 Mb/s, 400 m a 100 Mb/s). El protocolo MAC simplificado es ms sencillo de implementar y ms barato que Half Dplex. El modo full-duplex esta disponible en todos los switches, incluso en los de bajo costo A partir de Gb Ethernet no hay hubs, todo es necesariamente full-dplex Cuando a un switch le conectamos directamente un ordenador (microsegmentacin) funcionan ambos en modo full, si lo conectamos mediante un hub se ponen en modo half (aunque el hub solo tenga conectado un ordenador)

Universidad de Valencia

Redes 1-51

Rogelio Montaana

Autonegociacin
Permite ajustar el funcionamiento de forma automtica para utilizar la mejor opcin posible. Es similar a la negociacin de velocidad en mdems. Al enchufarse los equipos negocian la comunicacin siguiendo una prioridad La autonegociacin en velocidad solo se utiliza en interfaces BASE-T (cable UTP). En las de fibra lo nico negociable es el modo dplex.
Prioridad 1 2 3 4 5 6 7 8 9 10 11 12 10 Mb/s Half Full 100 Mb/s Half Full 1000 Mb/s Half Velocidad Duplex Full

La autonegociacin es opcional, puede estar o no.

Universidad de Valencia

Redes 1-52

Rogelio Montaana

Agregacin de enlaces (802.3ad)


Consiste en repartir el trfico entre varios enlaces para conseguir mayor capacidad. Ej.: 4 x GE = 4 Gb/s. Tambin se denomina Ethernet trunking, Etherchannel o Port trunking. Permite aumentar la capacidad y ofrece un crecimiento escalable. Tambin mejora la fiabilidad (si falla una interfaz o un cable el trfico se enva por el resto) Se suele usar entre conmutadores o en conexiones servidor-conmutador Los enlaces agrupados forman un grupo que se ve como un nico enlace. Todos deben ser de la misma velocidad Normalmente no resulta interesante ms all de 4 enlaces (mejor pasar a la siguiente velocidad). No est soportada por los switches baratos
Universidad de Valencia Redes 1-53 Rogelio Montaana

Ejemplo de agregacin de enlaces


Conexin a RedIRIS de la Universidad de Valencia

Red UV

RedIRIS

2 Enlaces 1000BASE-T

Internet

El router principal de conexin a Internet de la UV se une con el POP (Point of Presence) de RedIRIS en la Comunidad Valenciana mediante dos enlaces Gigabit Ethernet

Universidad de Valencia

Redes 1-54

Rogelio Montaana

Sumario
Repaso de Telemtica Repaso de Ethernet Puentes transparentes y switches Microsegmentacin. Full dplex. Ataques en conmutadores Conmutadores gestionables y no gestionables Bucles entre puentes. Spanning Tree Redes locales virtuales (VLANs)
Redes 1-55 Rogelio Montaana

Universidad de Valencia

Ataques de nivel 2
Los ordenadores que se conectan a la misma LAN son como personas que viven en la misma casa Es muy difcil protegerse de ataques que provienen de una persona con la que convivimos Del mismo modo es muy difcil conseguir una proteccin efectiva entre ordenadores que se comunican a nivel 2 Cuando un ordenador en una LAN ha sido atacado hay ms posibilidades de que otros ordenadores en esa misma LAN sean atacados a travs de l, aunque hayan resistido con xito el ataque del exterior El ataque que veremos a continuacin supone una LAN conmutada. Si la LAN usa hubs los ataques son todava ms fciles
Universidad de Valencia Redes 1-56 Rogelio Montaana

Tabla CAM (Content Addressable Memory)


La tabla CAM se llena a partir de las direcciones de origen de los paquetes. Su capacidad depende del modelo concreto del conmutador, pero suele estar entre 1K y 16K y siempre es limitada. Cuando la tabla CAM se llena el conmutador empieza a descartar direcciones, normalmente empezando por las ms antiguas Cuando el conmutador recibe una trama cuya direccin de destino no est en la tabla CAM la difunde por inundacin En condiciones normales la tabla CAM no debera llenarse nunca, ya que nunca deberan desplegarse LANs tan grandes que desbordaran la tabla CAM de los conmutadores.
Universidad de Valencia Redes 1-57 Rogelio Montaana

Funcionamiento normal de un conmutador


B
Trfico

A-B

1
Tabla CAM MAC A B C
Universidad de Valencia

C
Puerto 1 2 3
Redes 1-58

C no ve el trfico A-B
Rogelio Montaana

Ataque de desbordamiento de MACs


Cuando un host enva una trama en una LAN no hay nada que le impida poner la direccin MAC de origen que desee Incluso puede poner una direccin diferente en cada trama. Con un sencillo programa un host puede enviar miles de tramas por segundo con direcciones MAC diferentes, todas falsas De ese modo rpidamente desbordar la tabla CAM de cualquier conmutador A partir de ese momento el conmutador difundir todo el trfico por inundacin, actuando como si fuera un hub Con un programa de anlisis de trfico (sniffer o similar) el ordenador atacante, o cualquier otro de la red, podr a partir de ese momento capturar el trfico de otros ordenadores, incluidas las combinaciones usuario/contrasea utilizadas por los usuarios para acceder a los servicios (por ejemplo para leer el correo)
Universidad de Valencia Redes 1-59 Rogelio Montaana

Desbordamiento de la CAM, 1/2


B
Trfico

A-B

1
Tabla CAM MAC A C B
Universidad de Valencia

Puerto 1 3 2
Rogelio Montaana

Redes 1-60

Desbordamiento de la CAM, 2/2


El switch se comporta como un hub
Trfico A-B

1 Tabla CAM
MAC Puerto X 3 Y 3 Z 3
Universidad de Valencia

Tabla CAM desbordada

C captura todo el trfico entre A y B

Redes 1-61

Rogelio Montaana

Ataque en toda la LAN


Si las tramas envenenadas (con direcciones de origen falsas) llevan como destino la direccin broadcast o cualquier direccin inexistente se distribuyen por toda la LAN, con lo que un solo host puede desbordar las tablas CAM de todos los conmutadores El host atacante puede husmear el trfico de cualquier otro host en la LAN Adems el rendimiento de la red disminuye considerablemente, pues todos los puertos reciben todo el trfico. La red funciona como un medio compartido.

Universidad de Valencia

Redes 1-62

Rogelio Montaana

Solucin al ataque de desbordamiento de la CAM


Algunos conmutadores permiten limitar por configuracin el nmero de direcciones MAC asociadas a cada puerto En ese caso cuando el conmutador recibe por un puerto mas MACs diferentes que las permitidas deshabilita el puerto (lo pone en modo shutdown) En una LAN conmutada (sin hubs) se deberan limitar los puertos de usuario a 1 MAC por puerto. Tambin se pueden configurar en el conmutador las MACs que se permiten en cada puerto, es decir construir de forma esttica la tabla CAM. Esto es lo ms seguro, pero impide la movilidad de equipos por lo que no suele hacerse

Universidad de Valencia

Redes 1-63

Rogelio Montaana

Desbordamiento de la CAM, ataque fallido


Mximo una MAC por puerto switch(config)# interface 3 switch(config-if)# switchport port-security maximum 1

2
1
Tabla CAM MAC A B Puerto 1 2
Redes 1-64 Rogelio Montaana

3 shutdown

Universidad de Valencia

Sumario
Repaso de Telemtica Repaso de Ethernet Puentes transparentes y switches Microsegmentacin. Full dplex. Ataques en conmutadores Conmutadores gestionables y no gestionables Bucles entre puentes. Spanning Tree Redes locales virtuales (VLANs)
Redes 1-65 Rogelio Montaana

Universidad de Valencia

Conmutadores no gestionables
No permiten ningn tipo de interaccin, ni suministran ningn tipo de informacin sobre su funcionamiento ms all de la que ofrecen algunos LEDs . No pueden configurarse por software, a lo sumo se puede modificar alguna caracterstica mediante jumpers o interruptores, siempre localmente. Nunca envan una trama propia, se limitan a reenviar las que reciben. Por tanto no necesitan y no tienen asignada ninguna direccin MAC Aunque son los ms baratos y sus funcionalidades son muy bsicas, su rendimiento y prestaciones no son generalmente inferiores a las de otros equipos ms caros Normalmente solo se consideran adecuados para redes pequeas, debido a su limitada funcionalidad
Universidad de Valencia Redes 1-66 Rogelio Montaana

Ejemplo de conmutador no gestionable

Conmutador Conceptronic CGIGA8A

Rendimiento mximo de un puerto Gigabit Ethernet

8 puertos autonegociables 10/100/1000BASE-T Negociacin half / full dplex (slo a 10 y 100 Mb/s) Velocidad de transferencia por puerto: hasta 2.000 Mb/s (full duplex) Filtrado/reenvo de paquetes por puerto: hasta 1.488.095 pps Tabla CAM: 4096 Buffer de paquetes: 128 KBytes Precio: 47,60
Tamao mnimo en ethernet: 64+20 = 84 bytes = 672 bits 1.000.000.000 bits/s / 672 bits/paq. = 1.488.095 paq/s
Universidad de Valencia Redes 1-67 Rogelio Montaana

Conmutadores gestionables
Disponen de una CPU y un software (sistema operativo) que permite la gestin y configuracin del equipo. El acceso puede ser:
Por HTTP desde un web browser conectado por ethernet Por intrprete de comandos: Va telnet desde un host conectado por ethernet Va emulador de terminal por puerto de consola RS-232 (COM1)

Responden a los mensajes del protocolo de gestin SNMP (Simple Network Management Protocol) Disponen de mltiples opciones de configuracin, control y monitorizacin del trfico Tienen un conjunto de direcciones MAC propias que utilizan como direcciones de origen en las tramas que envan. Son los utilizados habitualmente en grandes redes

Universidad de Valencia

Redes 1-68

Rogelio Montaana

Conmutador gestionable Cisco Catalyst 3524-XL


24 puertos 10/100 BASE-T, 2 puertos 1000 BASE-X 5,4 Gb/s, 6,5 Mpps (millones de paquetes por seg.)
Fuente de alimentacin CPU (PowerPC)

ASICs

24 Puertos 10/100 Mb/s

2 Puertos 1000 Mb/s


Universidad de Valencia Redes 1-69 Rogelio Montaana

Direcciones MAC de los conmutadores gestionables


Los conmutadores gestionables tienen una direccin MAC asociada a cada puerto, ms una direccin asociada al equipo en su conjunto que llamamos direccin cannica. Todas ellas son globalmente nicas y normalmente consecutivas. Cuando un conmutador quiere asociar el envo de una trama al puerto por el que la manda utiliza la direccin MAC del puerto. Si el envo no se quiere asociar a ningn puerto en particular se utiliza la direccin MAC cannica. Las direcciones MAC del conmutador no aparecen nunca en las tramas reenviadas por ste, solo en las propias
Direccin cannica: 0030.9432.0C00

Puerto Ethernet 0/25 Dir. 0030.9432.0C19 Puertos Ethernet 0/1 a Ethernet 0/24 Dir. 0030.9432.0C01 a 0030.9432.0C18 Puerto FastEthernet 0/26 Dir. 0030.9432.0C1A Puerto FastEthernet 0/27 Dir. 0030.9432.0C1B

Universidad de Valencia

Redes 1-70

Rogelio Montaana

Tipos de conmutadores, comparativa


Funcionalidad Rendimiento wire speed Modo full-dplex Control de flujo Autonegociacin Prioridades VLANs Agregacin de enlaces Spanning Tree Port Mirroring Soporte de SNMP Supresin de tormentas broadcast No gestionable S S S S S NO NO NO NO NO NO Gestionable S S S S S S S S S S S

Autenticacin por puerto


Interfaz Web Direcciones MAC e IP en el switch ACLs (Access Control Lists) Control de ancho de banda RMON TFTP SYSLOG Interfaz de lnea de comandos Puerto de consola RS-232

NO
NO NO NO NO NO NO NO NO NO

S
S S Posible Posible Posible Posible Posible Posible Posible

Universidad de Valencia

Redes 1-71

Rogelio Montaana

Ventajas de los conmutadores con SNMP


El protocolo SNMP (Simple Network Management Protocol) permite obtener de un conmutador informacin tal como:
Tablas CAM Trfico cursado: nmero de tramas y de bytes por interfaz Errores de transmisin, por interfaz Tiempo que lleva encendido el equipo

Tambin permite ejecutar rdenes en un conmutador, tales como:


Activar o desactivar interfaces Realizar cambios en la configuracin

Esto unido a herramientas de gestin de red permite una gran flexibilidad y control, fundamental en redes grandes
Universidad de Valencia Redes 1-72 Rogelio Montaana

Grficas de trfico obtenidas por mensajes SNMP mediante el programa MRTG

Trfico originado por la red IP de telefona en el campus de Paterna

Universidad de Valencia

Redes 1-73

Rogelio Montaana

Sumario
Repaso de Telemtica Repaso de Ethernet Puentes transparentes y switches Microsegmentacin. Full dplex. Ataques en conmutadores Conmutadores gestionables y no gestionables Bucles entre conmutadores. Spanning Tree Redes locales virtuales (VLANs)
Redes 1-74 Rogelio Montaana

Universidad de Valencia

Bucles entre conmutadores


A veces al interconectar conmutadores se producen bucles, es decir hay ms de un camino posible entre dos redes. Estos bucles pueden hacerse por error o porque se quiere disponer de varios caminos para tener mayor fiabilidad y tolerancia a fallos. Debido a la forma como funcionan los puentes transparentes cuando se produce un bucle la red se bloquea.

Universidad de Valencia

Redes 1-75

Rogelio Montaana

Bucle entre dos LANs: el problema


LAN X
LAN Y

t4
A

SW 1

t1
B

t0

t3

SW 2

t2

1. 2. 3. 4.

A enva trama t0 a LAN X SW1 retransmite t0 en LAN Y como t1 SW2 retransmite t0 en LAN Y como t2 SW2 retransmite t1 en LAN X como t3

5.
6.

SW1 retransmite t2 en LAN X como t4


... y as sucesivamente.

Enviando una sola trama la red se satura

Universidad de Valencia

Redes 1-76

Rogelio Montaana

Bucles entre conmutadores


Si en una red de conmutadores se produce un bucle la red queda fuera de servicio en cuanto se enva la primera trama broadcast o a un destino desconocido. Esto ocurre en cualquier red a los pocos segundos de entrar en funcionamiento. Esto se debe a dos caractersticas de los puentes transparentes
Proceden por inundacin cuando la direccin de destino no est en su tabla de direcciones Cuando reenvan una trama la copia es indistinguible del original. No existe ningn campo (p. ej. un contador de saltos) que permita diferenciar las sucesivas copias

Universidad de Valencia

Redes 1-77

Rogelio Montaana

Solucin al problema de los bucles


Existen dos posibles estrategias
Se prohbe taxativamente la creacin de redes con bucles Se habilita algn mecanismo, por software, que permita a los conmutadores detectar la presencia de bucles en la topologa para que en ese caso desactiven las interfaces necesarias para que no haya bucles

Universidad de Valencia

Redes 1-78

Rogelio Montaana

Red con bucles


En esta red hay tres bucles: B
H1

B-H1-H2-C A-H3-F-H2-H1 D-E-F-H3 C (Al contar bucles solo hay que tomar en cuenta los elementales, no los compuestos)

A
H2

H3

Desconectando por ejemplo estas tres interfaces se suprimen los tres bucles

El nmero de interfaces a desconectar es siempre igual al nmero de bucles de la red

Universidad de Valencia

Redes 1-79

Rogelio Montaana

Spanning Tree
Un Spanning Tree, o rbol de expansin, es un grafo en el que hay uno y solo un camino posible entre cualquier par de nodos (un rbol sin bucles).
Raz

Si podemos pintar una red de conmutadores interconectados como un spanning tree, entonces podemos asegurar que no hay bucles. El objetivo del protocolo Spanning Tree es desactivar lgicamente interfaces para conseguir siempre un spanning tree.

Universidad de Valencia

Redes 1-80

Rogelio Montaana

Funcionamiento del spanning tree (I)


Los conmutadores intercambian regularmente informacin sobre la topologa de la red. Los mensajes que utilizan se denominan BPDUs (Bridge Protocol Data Units). Las BPDUs emplean un Ethertype propio y se envan a una direccin multicast reservada, la 01-80-C2-00-00-00. As se asegura que se identifican fcilmente y que los conmutadores sin ST los propagarn de forma transparente. Cada conmutador dispone de un identificador nico (ID) que crea a partir de una direccin MAC globalmente nica que le ha asignado el fabricante Adems cada puerto del conmutador recibe un identificador y tiene asociado un costo. Cada conmutador calcula el grafo de la red y observa si existe algn bucle; en ese caso se van desactivando interfaces siguiendo unas reglas claras hasta cortar todos los bucles y construir un spanning tree.
Universidad de Valencia Redes 1-81 Rogelio Montaana

Funcionamiento del spanning tree (II)


Los conmutadores eligen como raz del rbol a aquel que tiene el ID ms bajo. Todos eligen al mismo. Cada conmutador enva BPDUs por sus interfaces indicando su ID, el ID del conmutador raz y el costo de llegar a l; los mensajes se van propagando por toda la red; cada conmutador al reenviar los mensajes de otros les suma el costo de la interfaz por la que los emite. Con las BPDUs recibidas cada conmutador calcula por que puerto puede llegar l al raz al mnimo costo. Ese es su puerto raz. En caso de empate elige el puerto de ID ms bajo. Cada LAN tiene un puerto designado, que es aquel por el que esa LAN accede al conmutador raz al mnimo costo. Los puertos que no son ni raz ni designados son puertos bloqueados. Esos puertos son innecesarios para la comunicacin y si se les deja funcionar provocan bucles
Universidad de Valencia Redes 1-82 Rogelio Montaana

Ejemplo de red con bucles


Puerto Raz de puente 45 (coste 19)

LAN 2 (100 Mb/s)


Coste 19
P1 Puerto designado de LAN 2, coste 19

Coste 19
P1

Puerto Raz de puente 44 (coste 19)

ID 45 Coste 19
P2

ID 44 Coste 100
P2

Coste 100

P2

Puente raz

ID 42
P1 Interfaces bloqueadas por Spanning Tree

LAN 5 (10 Mb/s)


Coste 100
P2

Puerto designado de LAN 5, coste 119 (en caso de empate cogemos el puente con ID ms bajo)

Puerto designado de LAN 1, coste 19

Coste 19

ID 83 Coste 19
P1 Puerto Raz de puente 83 (coste 19)

LAN 1 (100 Mb/s)


Coste 19
Puerto designado de LAN 3, coste 119 P2 Puerto raz de puente 97 (coste 19) Puerto designado de LAN 4, coste 119

Coste 100 P1 ID 97

P3 Coste 100

LAN 3 (10 Mb/s)


Universidad de Valencia Redes 1-83

LAN 4 (10 Mb/s)


Rogelio Montaana

Spanning tree de la red anterior


Bridge ID 42 Costo a raz 0
Port ID 1 Costo 19 Puerto designado Port ID 2 Costo 19 Puerto designado

LAN 1 (100 Mb/s)


Puerto raz Port ID 2 Costo 10
Puerto raz

LAN 2 (100 Mb/s)


Puerto raz

Puerto raz
Port ID 1 Costo 10

Port ID 1 Costo 10

Port ID 1 Costo 10

Bridge ID 97 Costo a raz 19


Port ID 1 Costo 100 Puerto designado Port ID 3 Costo 100

Bridge ID 83 Costo a raz 19


Port ID 2 Costo 100

Bridge ID 45 Costo a raz 19


Port ID 2 Costo 100

Bridge ID 44 Costo a raz 19


Port ID 2 Costo100 Puerto designado

Puerto designado

LAN 3(10 Mb/s)

LAN 4(10 Mb/s)

Puertos bloqueados

LAN 5(10 Mb/s)

Universidad de Valencia

Redes 1-84

Rogelio Montaana

Algorhyme

Algorima

I think that I shall never see A graph more lovely than a tree. A tree whose crucial property Is loop-free connectivity. A tree that must be sure to span So packets can reach every LAN. First, the root must be selected. By ID, it is elected. Least cost paths from root are traced. In the tree, these paths are placed. A mesh is made by folks like me, Then bridges find a spanning tree.

Creo que nunca ver Un grafo ms adorable que un rbol. Un rbol cuya caracterstica principal Es la conectividad libre de bucles. Un rbol que debe estar seguro de extenderse De forma que los paquetes puedan llegar a cada LAN. Primero, la raz debe ser seleccionada. Por identificador, es elegida. Caminos de costo mnimo desde la raz se trazan. En el rbol, estos caminos se incluyen. Una malla es hecha por gente como yo, Entonces los puentes encuentran un rbol de expansin.
- Radia Perlman

Universidad de Valencia

Redes 1-85

Rogelio Montaana

Identificadores de ST
El ID se construye a partir de una prioridad (configurable) y de la direccin MAC cannica del conmutador (fija) La prioridad puede valer entre 0 y 65535. Por defecto es 32768 Si se usa siempre la prioridad por defecto el conmutador con la MAC ms baja es elegido raz La prioridad forma la parte ms significativa del identificador y por tanto tiene precedencia sobre la MAC. Cualquier cambio en la prioridad altera el orden de los ID Si a un conmutador le ponemos prioridad 32767 y dejamos el valor por defecto en el resto ese ser seguro el de ID ms bajo, y por tanto ser elegido raz
Universidad de Valencia Redes 1-86 Rogelio Montaana

Identificador: prioridad + MAC


Prioridad 32768 MAC 00:30:94:32:0C:00

80 00

00 30 94 32 0C 00

Identificador (8 bytes)

80 00 00 30 94 32 0C 00

La prioridad es la parte ms significativa del identificador

Universidad de Valencia

Redes 1-87

Rogelio Montaana

Eleccin del conmutador raz


Dada una topologa de red el conmutador raz es siempre el mismo, independientemente del orden como se enciendan los equipos o como se conecten los cables Si se utiliza la prioridad por defecto el conmutador raz es el de la MAC ms baja, que puede ser cualquier conmutador, probablemente uno perifrico o poco importante. Si el conmutador raz se apaga los dems han de elegir de entre ellos un nuevo raz y recalcular el rbol, esto consume CPU y puede provocar inestabilidad si se tarda en llegar a la convergencia. La prioridad permite controlar la seleccin del conmutador raz asegurando que esa funcin recaiga por ejemplo en uno que est siempre encendido, evitando as problemas de convergencia.
Universidad de Valencia Redes 1-88 Rogelio Montaana

Prioridad de las interfaces


Cada interfaz de cada conmutador tiene asociado un nmero identificativo y una prioridad, que por defecto vale 128. El nmero identificativo es fijo pero la prioridad es configurable en un rango de 0 a 255. El identificador (ID) de una interfaz se forma concatenando la prioridad y el nmero identificativo. Cuando un conmutador elige su interfaz raz siempre toma el camino de mnimo costo. Si dos interfaces tienen el mismo costo usa la que tiene el ID ms bajo. Si queremos que una determinada interfaz sea elegida como raz le debemos bajar la prioridad, por ejemplo a 127. Pero la prioridad solo sirve cuando el costo es igual, si otra interfaz tiene costo menor ser elegida siempre antes, cualquiera que sea su prioridad
Universidad de Valencia Redes 1-89 Rogelio Montaana

Costos en spanning tree


Antes Velocidad 1 Mb/s 10 Mb/s 100 Mb/s 155 Mb/s Costo 1000 100 10 6

Ahora
Costo = 1000 / Vel (Mb/s) Velocidad 4 Mb/s 10 Mb/s 16 Mb/s 45 Mb/s 100 Mb/s 155 Mb/s 200 Mb/s Costo 250 100 62 39 19 14 12

622 Mb/s
1 Gb/s

2
1

Antiguamente el costo era inversamente proporcional a la velocidad, de forma lineal. Con la aparicin de Gigabit Ethernet se tuvo que cambiar la escala por otra no lineal

622 Mb/s
1 Gb/s 2 Gb/s 10 Gb/s

6
4 3 2

Los costos se pueden modificar por configuracin, aunque raramente se cambian


Universidad de Valencia Redes 1-90 Rogelio Montaana

5 pasos para averiguar la topologa con spanning tree


1. 2. 3.
4. 5.

Asignar costos a todas las interfaces Elegir el conmutador raz (el de ID ms bajo) Elegir el puerto raz de los dems conmutadores (el que les lleva al menor costo al puente raz). En caso de empate elegir el puerto con ID ms bajo Elegir el puerto designado para cada LAN (el que le lleva al menor costo al puente raz). En caso de empate elegir el conmutador con ID ms bajo Los puertos que no han sido elegidos como raz ni como designados deben bloquearse En Spanning Tree todo sigue reglas deterministas, ninguna eleccin se hace al azar. En caso de empate siempre hay una regla que dice que opcin tomar. Dada una misma topologa siempre se tomarn las mismas decisiones y siempre se llegar al mismo resultado
Redes 1-91 Rogelio Montaana

Universidad de Valencia

Ejemplo de Spanning Tree


LAN W 10 Mb/s
D C 100 R C 100 C 19 D

C 100
D

D ID 23

ID 37

Raz LAN Y 100 Mb/s

LAN X 10 Mb/s C 100


R

C 19

ID 41
D C 100

ID 29 B C 100

LAN Z 10 Mb/s

C: Costo del puerto R: Puerto raz (uno por puente) D: Puerto designado (uno por LAN) B: Puerto bloqueado
Rogelio Montaana

Universidad de Valencia

Redes 1-92

Pasando la LAN X a 100 Mb/s el rbol no cambia


LAN W 10 Mb/s
C 100 C 19 D D R C 100 C 19 D

ID 23
Raz

ID 37

LAN X 100 Mb/s


R C 19 ID 41 D C 100 ID 29 B C 100

C 19 R

LAN Y 100 Mb/s

LAN Z 10 Mb/s
Universidad de Valencia Redes 1-93 Rogelio Montaana

Pero si adems pasamos la LAN Z a 100 Mb/s s cambia:


LAN W 10 Mb/s
C 100 C 19 C 100

D ID 23
Raz

B ID 37

C 19 R

LAN X 100 Mb/s


C 19 R ID 41 D C 19 ID 29 R C 19 C 19

LAN Y 100 Mb/s


D

LAN Z 100 Mb/s


Universidad de Valencia Redes 1-94 Rogelio Montaana

Cmputo de puertos
Si tenemos una red con:
m puentes (o switches) n puertos (en total) p bucles (contando solo bucles elementales)

Entonces deber haber:


1 Puente raz m-1 puertos raz (uno por cada puente que no es raz) p puertos bloqueados (uno por cada bulce) n- (m-1) p puertos designados (todos los que quedan)

En el ejemplo anterior: m = 4, n= 8, p = 1
Universidad de Valencia Redes 1-95 Rogelio Montaana

Redes mixtas (ST y no ST)


Cuando se produce un bucle en una red en la que algunos conmutadores soportan spanning tree y otros no, basta que al menos uno de los que intervienen en el bucle soporte spanning tree para que el bucle se corte
ST A 2 10 Mb/s 1 No ST ST A 2
B

1
D

10 Mb/s

D
100 Mb/s

100 Mb/s

100 Mb/s

B
No ST

100 Mb/s

C
No ST

Red mixta

Topologa equivalente a efectos de ST

En esta red A ser el raz de un rbol formado por l solo. El puerto 1 ser elegido como designado para la nica LAN (los otros conmutadores son transparentes para ST) y el puerto 2 ser bloqueado. Al ser A el raz los costos son todos cero y se elige el identificador ms bajo, aunque sea de menor velocidad. Las BPDUs que A enva por el puerto 1( el 2) le llegan por el puerto 2( el 1) pues van dirigidas a la direccin multicast 01:80:C2:00:00:00 que B, C y D propagan por inundacin
Universidad de Valencia Redes 1-96 Rogelio Montaana

Rapid Spanning Tree


El Spanning Tree inicial tena problemas de convergencia ya que ante cambios de topologa poda tardar entre 30 segundos y algunos minutos. Esto en algunos casos es excesivo. En 1998 se estandariz el Rapid Spanning Tree (RST, IEEE 802.1w) una variante del protocolo original que reduce el tiempo de convergencia a unos 6 seg. Actualmente el ST tradicional esta declarado obsoleto. Entre otras mejoras en RST los conmutadores mantienen informacin sobre la segunda ruta de menor costo al raz, con lo que la conmutacin a la nueva topologa en caso de fallo de la actual es mucho ms rpida.

Universidad de Valencia

Redes 1-97

Rogelio Montaana

Ataques de Spanning Tree


El protocolo Spanning Tree (ST) no incorpora ningn mecanismo de proteccin frente a ataques. Los mensajes se envan de forma no segura, sin autentificar ni encriptar. Cualquier equipo (un host por ejemplo) puede enviar BPDUs. ST se basa en elegir un puente raz y fijar un nico camino para llegar a l desde cualquier punto Como ya hemos visto el puente de menor prioridad es siempre elegido como raz.
Universidad de Valencia Redes 1-98 Rogelio Montaana

Ataque de Spanning Tree, fase 1


Prioridad: 32767 MAC: 00:40:9A:32:C2:E4

RAZ

B
BPDU

Prioridad: 32768 MAC: 00:40:9A:2A:C2:E4

Puerto bloqueado Prioridad: 32768 MAC: 00:40:9A:4B:C2:E4

BPDU X

Universidad de Valencia

Redes 1-99

Rogelio Montaana

Ataque de Spanning Tree, fase 2


Prioridad: 32767 MAC: 00:40:9A:32:C2:E4

RAZ

X
Prioridad: 32768 MAC: 00:40:9A:2A:C2:E4 C es un host con dos interfaces que acta como puente con ST y enva BPDUs, pero se ha puesto prioridad 1
Universidad de Valencia

Prioridad: 32768 MAC: 00:40:9A:4B:C2:E4 C puede inspeccionar todo el trfico entre A y B, e incluso alterar su contenido (atauqe de man in the middle)
Rogelio Montaana

Prioridad: 1 MAC: 00:90:BA:73:C2:E4


RAZ Redes 1-100

Solucin al ataque de ST
No hay ningn motivo razonable que justifique el envo de BPDUs por parte de un host En los conmutadores podemos activar la funcin BPDU Guard en los puertos donde se conectan hosts. As si se recibe por ellos una BPDU el puerto se desactiva (estado shutdown) Alternativamente se puede activar el Root Guard. En este caso no se bloquean todas las BPDUs, solo las que pretendan cambiar el raz Lo normal sera activar estas protecciones en todos los puertos, excepto aquellos en que se vayan a conectar conmutadores
Universidad de Valencia Redes 1-101 Rogelio Montaana

BPDU Guard en accin


sw(config)# spanning-tree portfast bpdu-guard enable sw(config)# interface 1 sw(config-if)# spanning-tree portfast sw(config)# spanning-tree portfast bpdu-guard enable sw(config-if)# interface 4 sw(config)# interface 3 sw(config-if)# spanning-tree portfast sw(config-if)# spanning-tree portfast Impide la recepcin de BPDUs por los puertos 1 y 4 sw(config-if)# interface 4 sw(config-if)# spanning-tree portfast Impide la recepcin de BPDUs por los puertos 3 y 4

RAZ 2 A 1 4
shutdown

2 3

B
3

shutdown

Universidad de Valencia

Redes 1-102

Rogelio Montaana

Sumario
Repaso de Telemtica Repaso de Ethernet Puentes transparentes y switches Microsegmentacin. Full dplex. Ataques en conmutadores Conmutadores gestionables y no gestionables Bucles entre puentes. Spanning Tree. Redes locales virtuales (VLANs)
Redes 1-103 Rogelio Montaana

Universidad de Valencia

Consumo de CPU por trfico broadcast


El consumo de CPU por trfico unicast en una red, aunque estemos en un medio compartido (hubs), es mnimo pues la tarjeta de red descarta el que no es para nosotros, sin pasarlo a la CPU Los paquetes broadcast en cambio han de ser tratados siempre por la CPU, pues en principio su contenido puede ser relevante Los conmutadores no filtran el trfico broadcast, de modo que ste se transmite hasta los ltimos rincones de la LAN Adems los paquetes broadcast suelen ser pequeos (64 bytes), lo cual agrava el problema cuando el caudal es elevado 5000 pps (paquetes por segundo) de trfico broadcast consumen en torno a un 10% de CPU en un Intel T2400 a 1,83 GHz
Universidad de Valencia Redes 1-104 Rogelio Montaana

Envo unicast en una LAN


MAC de las tarjetas de red (NIC: Network Interface Card) 0000.E85A.CA6D
CPU NIC

0001.02CD.8397
CPU

0001.02CC.4DD5
CPU NIC

NIC

1: El hub copia y reenva la trama a los tres hosts. 2: Las NICs de A y B descartan la trama porque ven que no es para ellos. Sus CPUs ni se enteran 3: La NIC de C ve que la trama va dirigida a l y la pasa a su CPU para que la procese

HUB U

Si en vez de hub ponemos un switch la trama ni siquiera llegar a las NICs de A y B, solo a C

Trama unicast destino C (MAC: 0001.02CC.4DD5) Rogelio Montaana

Universidad de Valencia

Redes 1-105

Envo broadcast en una LAN


MAC de las tarjetas de red (NIC: Network Interface Card) 0000.E85A.CA6D
CPU NIC

0001.02CD.8397
CPU

0001.02CC.4DD5
CPU NIC

NIC

1: El hub copia y reenva la trama a los tres hosts. 2: Todas las NICs pasan la trama a su CPU para que la procese, pues es una trama broadcast

HUB B B

Si en vez de un hub ponemos un switch la situacin es idntica pues el trfico broadcast no es filtrado por los switches

Trama broadcast (MAC: FFFF.FFFF.FFFF) Rogelio Montaana

Universidad de Valencia

Redes 1-106

Trfico broadcast en la LAN


En cualquier LAN hay normalmente diversos protocolos que necesitan enviar regularmente mensajes broadcast. Dados unos protocolos y servicios en una LAN la cantidad de trfico broadcast suele ser proporcional al nmero de equipos Cuando la LAN crece el trfico broadcast aumenta y puede degradar de forma apreciable el rendimiento de los ordenadores conectados Cuando el trfico broadcast en una LAN supera de media los 50-100 pps debera investigarse su origen, ya que o bien: Hay un nmero excesivo de ordenadores en esa LAN, o Se est utilizando algn protocolo muy charlatn (que hace muchos envos broadcast), o Hay algn problema en la red (por ejemplo un ordenador infectado por virus)

Universidad de Valencia

Redes 1-107

Rogelio Montaana

Efecto del nmero de hosts en el trfico broadcast


Supongamos que en una LAN con 100 ordenadores hay una media de 100 pps broadcast (1pps por ordenador), y que esto consume el 0,2% de la CPU de cada ordenador Si la LAN crece a 1000 ordenadores y se mantienen los mismos protocolos y servicios tendremos 1000 pps de broadcast, con un consumo de CPU del 2% en cada uno de los ordenadores Si en vez de eso creamos 10 LANs, cada una con 100 ordenadores, mantendremos el consumo de CPU en el 0,2% La solucin es hacer LANs pequeas y conectarlas a nivel de red con routers Las recomendaciones oscilan entre 256 y 1024 equipos por LAN como mximo, aunque esto depende mucho de los protocolos y servicios utilizados
Universidad de Valencia Redes 1-108 Rogelio Montaana

Los routers actan como cortafuegos, aslan el trfico broadcast


40 80 Tramas/s 0

Broadcastmetro

Una LAN
40 80 0
ARP RIP ST OSPF ARP RIP ST OSPF

Tramas/s

Broadcastmetro

Dos LANs
Universidad de Valencia Redes 1-109 Rogelio Montaana

Red de campus con una sola LAN


Gestin Docencia Investigacin

Todos reciben el trfico broadcast de todos Todos son susceptibles de ser atacados por cualquiera

Servicio de Informtica

Universidad de Valencia

Redes 1-110

Rogelio Montaana

Red de campus con tres LANs


LAN gestin LAN docencia LAN investigacin

El trfico broadcast de los tres colectivos se ha separado. La red compartimentada funciona mejor, es ms difcil que haya ataques entre colectivos
Router

Servicio de Informtica

Universidad de Valencia

Redes 1-111

Rogelio Montaana

Problemas de la divisin de una LAN en varias LANs fsicas


La separacin en varias LANs obliga a tener mltiples conmutadores por edificio, incluso por armario. Tambin es preciso tender cables independientes entre los conmutadores de cada LAN, entre armarios y entre edificios La red es poco flexible, pues para cambiar un ordenador de LAN hay que ir fsicamente al armario y cambiar la conexin a otro conmutador Se puede dar la circunstancia de que un conmutador tenga puertos sobrantes, mientras que otro est lleno y no tiene sitio para ampliaciones Para resolver todos estos problemas se inventaron las VLANs (Virtual LANs)
Universidad de Valencia Redes 1-112 Rogelio Montaana

Redes Locales Virtuales o VLANs


Equivalen a dividir o partir lgicamente un conmutador en otros ms pequeos. Objetivos: Rendimiento: reducir el trfico broadcast Seguridad: dentro de la misma LAN es muy difcil protegerse Flexibilidad: Se puede reconfigurar la red por software asignando puertos a una u otra VLAN de forma dinmica o remotamente La interconexin entre VLANs se hace con routers nivel de red o nivel 3) Las VLANs estn soportadas por los conmutadores gestionables
Universidad de Valencia Redes 1-113 Rogelio Montaana

Conmutador con tres VLANs

CISCO SYSTEMS 10BaseT SYSTEM RPS 1x 2x 3x 4x 5x 6x 7x 8x 9x 10x 11x 12x 13x 14x 15x 16x 17x 18x 19x 20x 21x 22x 23x 24x

Catalyst 1900 Series SD


100BaseTX Ax Bx

STAT UTL FDUP MODE

VLAN 2 (roja)

VLAN 3 (azul)

VLAN 1 (default) Puertos no asignados

Universidad de Valencia

Redes 1-114

Rogelio Montaana

Red de campus con tres VLANs


Router Los puertos del switch se pueden asignar a la VLAN que ms interese en cada momento

VLAN gestin

VLAN VLAN docencia investigacin

Servicio de Informtica

Universidad de Valencia

Redes 1-115

Rogelio Montaana

Las VLANs como mecanismo de seguridad


Podemos imaginar que la LAN es nuestra casa y que el router es la puerta blindada que nos protege del exterior Es muy difcil protegerse de un ataque cuando el atacante est en la misma LAN que la vctima Al dividir una LAN en otras ms pequeas mejoramos la seguridad de todos los usuarios. Es como poner puertas blindadas en las habitaciones

Universidad de Valencia

Redes 1-116

Rogelio Montaana

2 conmutadores, 2 VLANs
Configuracin equivalente:

A
1 7 8 9 10 16

A1

A2

Conexin A-B roja

Conexin A-B azul

B1

B2

7 8

9 10

16

Conexin inter-VLANs

Universidad de Valencia

Redes 1-117

Rogelio Montaana

Interconexin de VLANs y enlaces trunk


Cuando se configuran VLANs en un conmutador los puertos asignados a cada VLAN se comportan como un conmutador independiente Si se interconectan dos conmutadores por un puerto solo se comunica la VLAN a las que estos puertos pertenecen Si tenemos varias VLANs y las queremos conectar todas hemos de establecer un enlace diferente para cada una. Esto puede consumir muchos puertos en los conmutadores y muchos cables en la red Para evitarlo se pueden configurar puertos que conectan todas las VLANs automticamente; se les llama puertos trunk
Universidad de Valencia Redes 1-118 Rogelio Montaana

2 conmutadores, 2 VLANs y un enlace trunk


A
1 7 8 9 10 16

Enlace trunk

Las tramas Ethernet de ambas VLANs (roja y azul) pasan mezcladas por el cable. Se han de etiquetar de alguna forma para que se puedan separar al recibirlas. La forma habitual de etiquetarlas es segn el estndar 802.1Q

7 8

9 10

16

Conexin inter-VLANs

Universidad de Valencia

Redes 1-119

Rogelio Montaana

Estndar 802.1Q
En un enlace trunk viajan mezcladas tramas de diferentes VLANs. Para separarlas correctamente en destino hay que marcarlas antes de enviarlas por el enlace trunk Al principio cada fabricante estableci su sistema de marcado propietario. Esto impeda establecer enlaces trunk entre conmutadores de diferentes fabricantes En 1997 el IEEE aprob 802.1Q, un estndar que estableca una forma de marcado de VLANs independiente de fabricante Para ello hubo que insertar un campo nuevo en la estructura de la trama Ethernet

Universidad de Valencia

Redes 1-120

Rogelio Montaana

Etiquetado de tramas segn 802.1Q


Trama 802.3
Dir. MAC Destino Dir. MAC Origen Ethertype/ Longitud Datos Relleno (opcional)

CRC

Trama 802.1Q

Dir. MAC Destino

Dir. MAC Origen

X8100

Tag

Ethertype/ Longitud Datos

Relleno (opcional)

CRC

El Ethertype X8100 indica protocolo VLAN

Pri

CFI

VLAN Ident.
12

Bits

Pri: Prioridad (8 niveles posibles) CFI: Canonical Format Indicator (solo se usa en Token Ring) VLAN Ident.: Identificador VLAN (mximo 4096 en una misma red)

Universidad de Valencia

Redes 1-121

Rogelio Montaana

Red de un campus con tres VLANs


Router con interfaz trunk para la conexin inter-VLANs

VLAN gestin

VLAN docencia

VLAN investigacin

Enlaces trunk (un solo cable)

Enlaces de VLANs Servicio de Informtica

Universidad de Valencia

Redes 1-122

Rogelio Montaana

Asignacin de puertos a VLANs


Hay bsicamente tres mecansimos de asignacin de puertos de switch a VLANs:
Esttico, por configuracin: se especifica en la configuracin a que VLAN pertenece cada puerto Dinmico, por direccin MAC: el switch asigna el puerto a la VLAN correspondiente de acuerdo con una asignacin MACVLAN previamente almacenada en una base de datos Dinmico, por autentificacin usuario/password (protocolo 802.1x): el switch, despus de validar al usuario, asigna el puerto a la VLAN que le corresponde, de acuerdo con la informacin contenida en una base de datos que relaciona usuarios y VLANs

La asignacin dinmica es ms verstil, pero no est disponible en todos los equipos

Universidad de Valencia

Redes 1-123

Rogelio Montaana

VLANs y Spanning tree


En principio cuando hay VLANs configuradas en un conmutador este ejecuta una instancia independiente de Spanning Tree para cada VLAN Todos los parmetros caractersticos de Spanning Tree (prioridad, costo, etc.) se configuran independientemente para cada VLAN Si se hace un bucle entre puertos asignados a diferentes VLANs no se bloquear ningn puerto ya que en la topologa de Spanning Tree no hay ningn bucle

Universidad de Valencia

Redes 1-124

Rogelio Montaana

Spanning Tree con VLANs


Cuando hay varias VLANs cada una construye su Spanning Tree de forma independiente
La segunda conexin no se bloquea pues se trata de una VLAN diferente, no hay bucle

X ID 20
4 3 2 1

Y ID 30
1 2 3 4

La tercera conexin bloquea el puerto 3 en Y, pues hay bucle en la VLAN verde

La cuarta conexin se bloquea en Y por bucle de la VLAN roja

Para ambas VLANs el puente raz es X. Por tanto es Y quien debe evitar los caminos redundantes hacia X boqueando puertos. A igual costo bloquear el puerto que tenga un identificador ms alto

Universidad de Valencia

Redes 1-125

Rogelio Montaana

Spanning Tree con VLANs y enlaces trunk


Configuracin por defecto
100BASE-TX 100BASE-TX 2

X ID 20

1 2

Y ID 30

Al producirse el bucle el puerto 2 se desactiva para ambas VLANs

VLAN Roja Dado un mismo costo y prioridad se elige como raz el puerto de nmero menor, y por tanto se bloquea el de nmero mayor. La prioridad por defecto es 128. Universidad de Valencia Redes 1-126 Verde

Puerto 1 2 1 2

Costo 19 19 19 19

Prioridad 128 128 128 128 Rogelio Montaana

Spanning Tree con VLANs y enlaces trunk


Configuracin modificada
En este caso se bloquea el puerto 1 para ambas VLANs
X ID 20 1 2 100BASE-TX 100BASE-TX 2 1 Y ID 30

VLAN

Puerto 1 2 1 2

Costo 19 19 19 19

Prioridad 128 127 128 127

Modificando la prioridad se puede alterar la eleccin del spanning tree. Si se le da una prioridad menor al puerto 2 se le sita por delante del 1 y se le elige como puerto raz, bloqueando entonces el 1.

Roja Verde

Universidad de Valencia

Redes 1-127

Rogelio Montaana

Spanning Tree con VLANs y enlaces trunk


Configuracin con balanceo de trfico
La VLAN verde tiene prioridad ms baja en el puerto 2 por lo que se bloquea el 1
X ID 20 1 2 100BASE-TX 100BASE-TX 2 1 Y ID 30

La VLAN roja tiene las prioridades por defecto y por tanto bloquea el puerto 2 Si modificamos la prioridad en una VLAN y a la otra le dejamos los valores por defecto el puerto bloqueado ser diferente en cada VLAN El resultado es que la VLAN roja usa el enlace 1-1 y la verde el 2-2. Se consigue balancear trfico entre ambos enlaces. Universidad de Valencia Redes 1-128 VLAN Roja Verde Puerto 1 2 1 2 Costo 10 10 10 10 Prioridad 128 128 128 127 Rogelio Montaana

Ejercicios

Universidad de Valencia

Redes 1-129

Rogelio Montaana

Problema examen sept. 2003


5 clientes y un servidor conectados a un hub
Trfico total: 1 Mb/s 90% unicast, resto broadcast Solo los clientes generan broadcast El trfico cliente-servidor es simtrico e igual para todos

Indicar el trfico entrante en cada puerto si el hub se reemplaza por un switch de 6 puertos Decir si el cambio merece la pena.

Universidad de Valencia

Redes 1-130

Rogelio Montaana

Problema examen sept. 2003


90% de Trfico unicast = 900 Kb/s. = 180 Kb/s por dilogo unicast. Cada dilogo: 90 Kb/s de cliente y 90 Kb/s de servidor. Trfico broadcast: 100 Kb/s. Cada cliente genera 20 Kb/s de broadcast. El unicast se enva solo al destinatario. El broadcast se enva a todos los puertos, excepto por el que se recibe.

Cada cliente enva: 90 Kb/s unicast y 20 broadcast y recibe: 90 Kb/s unicast y 80 broadcast
El servidor enva: 450 de unicast y recibe: 450 unicast y 100 broadcast 90+80 Kb/s

90+20 Kb/s 90+20 Kb/s 90+80 Kb/s

90+20 Kb/s 4 Puerto 1 2 3 4 5 6 Entrante 450 Kb/s 110 Kb/s 110 Kb/s 110 Kb/s 110 Kb/s 110 Kb/s Saliente 550 Kb/s 170 Kb/s 170 Kb/s 170 Kb/s 170 Kb/s 170 Kb/s 90+20 Kb/s 90+80 Kb/s 5

450 + 0 Kb/s 1 450 + 100 Kb/s

6 90+20 Kb/s

90+80 Kb/s 90+80 Kb/s

Universidad de Valencia

Redes 1-131

Rogelio Montaana