Publicado por Victor E. Martinez G. el 14 marzo, 2013
Publicado en: Tutoriales. Etiquetado: administrar, archivos, Cisco Systems, como funciona, computadora, free,freetutorial, funcionamiento, futuro, gratis, how to, howto, IP address, MAC address, Network, novedad, nuevo, red,Router, Switch, tutorial, tutoriales, tutorialgratis, tutorialredes, usuario, Virtual LAN, VLAN Trunking Protocol. 5 comentarios El Escenario que utilizaremos en este tutorial sera el siguiente:
El protocolo VTP facilita la configuracin de VLANs en mltiples switches de manera simultanea solo con la configuracin del switch denominado como servidor (server). Inicialmente configuraremos los puertos troncales en los 3 switches, luego procederemos a configurar el resto de los puertos como acceso por motivos de seguridad, luego configuraremos el protocolo VTP en los 3 switches, las VLANs a utilizar las configuraremos en el switch denominado como servidor y por ultimo configuraremos los puertos en sus respectivas VLAN. Las VLAN que utilizaremos sern las siguientes: VLAN 10 (Administracin) VLAN 20 (Ventas) A medida que se haga la configuracin, se explicaran los pasos uno por uno.
1. Procedimiento para configurar VTP 2. Configuracin de puertos troncales y acceso 3. Configuracin de VTP 4. Configuracin de las VLAN en el switch server y verificacin en todos los switches de las VLAN 5. Asignacin de las los puertos a las VLANs 6. Estado en dela red
1. Procedimiento para configurar VTP Para realizar la configuracin de VTP, se debe configurar como troncales (trunk), las interfaces que conectan los switches entre si, para esto debemos ingresar al mtodo de configuracin global (S1(config)#), utilizando el comando interface seguido la interfaz correspondiente ingresamos al modo de configuracin de la interfaz (S1(config-if)#) (interface range si queremos configurar varias interfaces a la vez) y luego utilizando el comando switchport mode trunk configuramos el puerto como troncal, luego de esto por motivos de seguridad configuramos los dems puertos como acceso ingresando al modo de configuracin de interfaces (S1(config-if-range)#) y utilizando el comando switchport mode access. Luego debemos configurar el nombre del dominio VTP desde el modo de configuracin global (S1(config)#) utilizando el comando vtp domain seguido del nombre del dominio (el nombre del dominio es sensible al tipo de letra), Luego asignamos una contrasea al dominio con el comando vtp password seguido de la contrasea que deseamos utilizar, luego debemos especificar el modo en el que el switch funcionara, esto con el comando vtp mode seguido del modo (server, client, transparent). Luego de haber configurado VTP debemos ingresar las VLANs en el switch que esta en modo servidor para que los que estn en modo cliente puedan aprender las VLANs automticamente, esto lo conseguimos desde el modo de configuracin global (S1(config)#) utilizando el comando vlan seguido del numero de la VLAN (1-1005), luego en el modo de configuracin de VLAN (S1(config-vlan)#) asignamos un nombre a la VLAN utilizando el comando name seguido del nombre que deseamos asignar a la VLAN. Por ultimo debemos asignar las VLAN a los puertos, esto lo conseguimos desde el modo de configuracin global (S1(config)#) utilizando el comando interface o interface range seguido de la interfaz que deseamos asignar a una VLAN especifica, luego en el modo de configuracin de interfaz utilizamos el comando switchport access vlan seguido del numero de la VLAN correspondiente. 2. Configuracin de puertos troncales y acceso Configuracin S1 Configuracion de las interfaces de S1: S1(config)#interface range fastEthernet 0/1 2 S1(config-if-range)#switchport mode trunk S1(config-if-range)#exit S1(config)#interface range fastEthernet 0/3 24 S1(config-if-range)#switchport mode access Configuracin S2 Configuracin de las interfaces de S2: S2(config)#interface fastEthernet 0/1 S2(config-if)#switchport mode trunk S2(config-if)#exit S2(config)#interface range fastEthernet 0/2 24 S2(config-if-range)#switchport mode access Configuracin S3 Configuracin de las interfaces de S3: S3(config)#interface fastEthernet 0/1 S3(config-if)#switchport mode trunk S3(config-if)#exit S3(config)#interface range fastEthernet 0/2 24 S3(config-if-range)#switchport mode access
Estado de la red en este punto: En este punto los switches estn preparados para intercambiar informacin de las VLAN, pero debido a que no hemos configurado VTP ni las VLANs no se ha iniciado la transmisin de VLAN. 3. Configuracin de VTP Configuracin de S1 Configuracin del nombre, contrasea y modo del S1: S1(config)#vtp domain Practica S1(config)#vtp password seguro S1(config)#vtp mode server Configuracin de S2 Configuracin del nombre, contrasea y modo del S2: S2(config)#vtp domain Practica S2(config)#vtp password seguro S2(config)#vtp mode client Configuracin de S3 Configuracin del nombre, contrasea y modo del S3: S3(config)#vtp domain Practica S3(config)#vtp password seguro S3(config)#vtp mode client
Estado de la re en este punto: En este punto los switces estn preparados para transmitir las VLAN configuradas en el switch server, pero como no tiene ninguna VLAN configurada no se esta transmitiendo nada. 4. Configuracin de las VLAN en el switch server y verificacin en todos los switches de las VLAN Verificacion de las VLANs en los 3 switches antes de la configuracin VLANs en S1: S1#show vlan brief 1 default 1002 fddi-default 1003 token-ring-default 1004 fddinet-default 1005 trnet-default VLANs en S2 S2#show vlan brief 1 default 1002 fddi-default 1003 token-ring-default 1004 fddinet-default 1005 trnet-default VLANs en S3 S3#show vlan brief 1 default 1002 fddi-default 1003 token-ring-default 1004 fddinet-default 1005 trnet-default Configuracin de las VLAN Configuracin de la VLAN 10: S1(config)#vlan 10 S1(config-vlan)#name Administracion Configuracin de la VLAN 20 S1(config)#vlan 20 S1(config-vlan)#name Ventas Verificacin de las VLANs en los 3 switches despus de la configuracin VLANs en S1: S1#show vlan brief 1 default 10 Administracion 20 Ventas 1002 fddi-default 1003 token-ring-default 1004 fddinet-default 1005 trnet-default VLANs en S2 S2#show vlan brief 1 default 10 Administracion 20 Ventas 1002 fddi-default 1003 token-ring-default 1004 fddinet-default 1005 trnet-default VLANs en S3 S3#show vlan brief 1 default 10 Administracion 20 Ventas 1002 fddi-default 1003 token-ring-default 1004 fddinet-default 1005 trnet-default
Estado de la red en este punto En este punto el switch server (S1) transmiti sus VLANs a los switches clientes (S2 y S3), actualmente las PC tienen comunicacin entre si debido a que no han sido separadas en VLANs. 5. Asignacin de las los puertos a las VLANs Asignacin de la los puertos a la VLAN 10 Configuracin del S2
6. Estado en dela red. En este punto la red tiene comunicacin a travs de las VLAN, es decir, los equipos que se encuentran en una misma red y una misma VLAN ya tienen comunicacin, por ejemplo las PC 1 y 3, tienen comunicacin entre si debido a que estn en la misma red (192.168.1.0/24) y en la misma VLAN (10), lo mismo pasa con las PC 2 y 4. Puede verificar la comunicacin haciendo pruebas con ping. Espero que les haya sido de utilidad este how to, si tienen alguna sugerencia y/o duda sobre algn punto pueden dejar sus comentarios, gracias por su tiempo para leerlo. Introduccin Protocolo Troncal VLAN (VTP) reduce la administracin en una red conmutada. Cuando se configura una nueva VLAN en un servidor VTP, VLAN se distribuye a travs de todos los switches en el dominio. Esto reduce la necesidad de configurar la misma VLAN en todas partes. VTP es un protocolo propietario de Cisco que est disponible en la mayora de los productos de la serie Cisco Catalyst. Nota: Este documento no cubre VTP Versin 3. VTP Versin 3 difiere de VTP Versin 1 (V1) y la versin 2 (V2), y que slo est disponible en el catalizador OS (CatOS) 8.1 (1) o posterior. VTP versin 3 incorpora muchos cambios de VTP V1 y V2. Asegrese de que usted entiende las diferencias entre VTP Versin 3 y versiones anteriores antes de modificar la configuracin de su red.Consulte una de estas secciones de VLAN Trunking Protocol (VTP) para obtener ms informacin: Entender VTP Versin 3 Interaccin VLAN Requisitos previos Requerimientos No hay requisitos especficos para este documento. Componentes utilizados Este documento no est restringido a aplicaciones especficas o versiones de hardware. Convenios Consulte Convenios Cisco consejos tcnicos para obtener ms informacin sobre las convenciones de documentos. Entender VTP Nota: Este documento no cubre VTP Versin 3. VTP Versin 3 se diferencia de VTP V1 y V2 y slo est disponible en CatOS 8.1 (1) o posterior. Consulte una de estas secciones de VLAN Trunking Protocol (VTP) para obtener ms informacin: Entender VTP Versin 3 Interaccin VLAN VTP Mensajes en Detalle Paquetes VTP se envan ya sea en Inter-Switch Link (ISL) cuadros o en IEEE 802.1Q (dot1q) marcos. Estos paquetes se envan a la direccin MAC de destino 01-00-0C-CC-CC-CC con un control de enlace lgico (LLC) cdigo de Protocolo de Acceso de subred (SNAP) (AAAA) y un tipo de 2003 (en la cabecera SNAP) . Este es el formato de un paquete de VTP que est encapsulado en tramas ISL:
Por supuesto, usted puede tener un paquete VTP dentro de los marcos 802.1Q. En ese caso, el encabezado ISL y de comprobacin de redundancia cclica (CRC) se sustituye por el etiquetado dot1q. Ahora considere el detalle de un paquete VTP. El formato de la cabecera del VTP puede variar, basado en el tipo de mensaje del VTP. Pero, todos los paquetes VTP contienen estos campos en la cabecera: VTP versin de protocolo: 1, 2, o 3 VTP tipos de mensajes: o Anuncios Resumen o Subset anuncio o Peticiones Publicidad o VTP unirse mensajes Longitud del dominio de gestin Nombre de dominio de gestin Configuracin Nmero de revisiones El nmero de revisin de configuracin es un nmero de 32 bits que indica el nivel de revisin para un paquete VTP. Cada dispositivo de VTP rastrea el nmero de revisin de configuracin de VTP que se asigna a la misma. La mayora de los paquetes VTP contienen el nmero de revisin de configuracin VTP del remitente. Esta informacin se utiliza con el fin de determinar si la informacin recibida es ms reciente que la versin actual. Cada vez que se realiza un cambio de VLAN en un dispositivo de VTP, la revisin de la configuracin se incrementa en uno. Con el fin de restablecer la revisin de la configuracin de un interruptor, cambiar el nombre de dominio VTP, y luego cambiar el nombre de nuevo al nombre original. Resumen anuncios De forma predeterminada, Catalyst cambia emitir anuncios de resumen en incrementos de cinco minutos. Resumen anuncios informan catalizadores adyacentes del nombre actual de dominio VTP y el nmero de revisin de configuracin. Cuando el switch recibe un resumen anuncio paquete, el switch compara el nombre de dominio VTP a su propio nombre de dominio VTP. Si el nombre es diferente, el cambio simplemente ignora el paquete. Si el nombre es el mismo, el switch compara la revisin de la configuracin de su propia revisin. Si su propia revisin de la configuracin es mayor o igual, se ignora el paquete. Si es inferior, se enva una solicitud de anuncio.
Esta lista aclara lo que significa que los campos en el resumen anuncio de paquetes: El campo Seguidores indica que este paquete es seguido por un paquete Subconjunto Publicidad. El actualizador de identidad es la direccin IP del switch que es el ltimo que ha incrementado la revisin de la configuracin. La actualizacin Timestamp es la fecha y la hora del ltimo incremento de la revisin de la configuracin. Message Digest 5 (MD5) realiza la contrasea de VTP, si MD5 se configura y se utiliza para autenticar la validacin de una actualizacin VTP. Subset anuncios Al agregar, eliminar o cambiar una VLAN en un catalizador, ste servidor donde los cambios se realizan incrementos de la revisin de la configuracin y emite un resumen anuncio. Uno o varios anuncios subconjunto siguen el resumen anuncio. Un subconjunto anuncio contiene una lista de informacin de la VLAN. Si hay varias VLANs, ms de un subconjunto anuncio puede ser necesario con el fin de anunciar todas las VLAN.
Este ejemplo muestra el formato que cada campo de informacin de VLAN contiene informacin para una VLAN diferente. Se orden de manera que los ID de VLAN ISL-valorados bajado ocurren primero:
La mayora de los campos en este paquete son fciles de entender. Se trata de dos aclaraciones: Cdigo -El formato de este es 0x02 para subconjunto anuncio. Secuencia nmero -Esta es la secuencia del paquete en el flujo de paquetes que siguen un resumen anuncio. La secuencia comienza con 1. Las solicitudes de propaganda Un interruptor necesita un anuncio de solicitud de VTP en estas situaciones: El interruptor se ha restablecido. El nombre de dominio de VTP se ha cambiado. El interruptor ha recibido un resumen anuncio VTP con una revisin de la configuracin ms alta que la suya. Tras la recepcin de una solicitud de anuncio, un dispositivo de VTP enva un resumen anuncio. Uno o ms anuncios subconjunto siguen el resumen anuncio. Este es un ejemplo:
Cdigo -El formato de este es 0x03 para una solicitud de anuncio. Puesta en Valor -Esto se utiliza en los casos en los que hay varios anuncios de subconjuntos. Si la primera ( n ) subconjunto anuncio ha sido recibido y la siguiente (N 1) no se ha recibido, el catalizador slo pide anuncios de la ( n +1) sima uno. Otras opciones de VTP Modos de VTP Puede configurar un interruptor para operar en cualquiera de estos modos VTP: Servidor-En modo de servidor VTP, puede crear, modificar y eliminar redes VLAN y especificar otros parmetros de configuracin, como la versin de VTP y VTP poda, para todo el dominio VTP. Servidores VTP anuncian su configuracin de VLAN a otros switches en el mismo dominio VTP y sincronizan su configuracin VLAN con otros switches basados en los anuncios recibidos a travs de enlaces troncales. Servidor VTP es el modo predeterminado. Clientes Client-VTP se comportan de la misma manera que los servidores de VTP, pero no se puede crear, cambiar o eliminar las VLAN en un cliente VTP. Transparente-VTP switches transparentes no participan en el VTP. Un switch VTP transparente no hace publicidad de su configuracin de VLAN y no sincroniza su configuracin VLAN basada en los anuncios recibidos, pero los interruptores transparentes hacer avanzar publicaciones VTP que reciben sus puertos troncales en VTP versin 2. Off (configurable slo en interruptores CatOS)-En los tres modos descritos, publicaciones VTP son recibidos y transmitidos tan pronto como el interruptor entra en el estado de dominio de gestin. En el modo VTP apagado, los interruptores se comportan de la misma que en el modo transparente de VTP con la excepcin de que publicaciones VTP no se reenvan. VTP V2 VTP V2 no es muy diferente a VTP V1. La principal diferencia es que VTP V2 introduce soporte para Token Ring VLAN. Si utiliza Token Ring VLAN, debe habilitar VTP V2. De lo contrario, no hay razn para usar VTP V2. Cambio de la versin VTP 1-2 no causar un interruptor para recargar. VTP Contrasea Si configura una contrasea para VTP, debe configurar la contrasea en todos los switches en el dominio VTP. La contrasea debe ser la misma contrasea en todos los switches. La contrasea de VTP que se configure es traducida por el algoritmo en una palabra de 16 bytes (valor MD5) que se realiza en todos los paquetes VTP resumen de publicidad. VTP poda VTP se asegura de que todos los switches en el dominio VTP son conscientes de todas las VLAN. Sin embargo, hay ocasiones en que el VTP puede crear trfico innecesario. Todos los multicasts y emisiones en una VLAN se inundan en toda la VLAN. Todos los switches de la red reciben todas las emisiones, incluso en situaciones en las que unos pocos usuarios estn conectados en esa VLAN. VTP poda es una caracterstica que se utiliza con el fin de eliminar o podar este trfico innecesario. Trfico de difusin en una red conmutada sin poda
Esta figura muestra una red conmutada sin depuracin del VTP habilitada. El puerto 1 en el conmutador A y puerto 2 en el conmutador D se asignan a la VLAN Roja. Si una emisin es enviado desde el host conectado al Switch A, Switch A las inundaciones de la emisin y cada switch en la red lo recibe, aunque Interruptores C, E y F no tienen puertos en la VLAN Roja. Trfico de difusin en una red conmutada con la poda
Esta figura muestra la misma red conmutada con VTP poda habilitado. El trfico de difusin del interruptor A no se reenva a los switches C, E y F ya que el trfico de la VLAN Roja ha sido podado links (Puerto 5 en el conmutador B y 4 del puerto en el interruptor D). Cuando VTP poda est habilitada en el servidor VTP, la poda est habilitada para todo el dominio de gestin. Hacer VLAN-poda-poda elegible o inelegible afecta la elegibilidad de poda para aquellos VLAN en ese tronco (no en todos los switches en el dominio VTP). VTP poda toma efecto varios segundos despus de que la active. VTP poda no podar el trfico de VLAN que est podando-inelegible. VLAN 1 y VLANs 1002- 1005 siempre se poda-inelegible; trfico de estas VLAN no puede ser podado. VLAN de rango extendido (ID de VLAN mayor que 1005) tambin se poda-inelegible. Utilice VTP en una red Por defecto, todos los interruptores estn configurados para ser servidores de VTP. Esta configuracin es adecuada para las redes de pequea escala en la que el tamao de la informacin de la VLAN es pequeo y la informacin se almacena fcilmente en todos los interruptores (en NVRAM). En una red grande, el administrador de la red debe hacer un juicio en algn momento, cuando el almacenamiento NVRAM que es necesario es un despilfarro, ya que se duplica en cada switch. En este punto, el administrador de la red debe seleccionar unas interruptores bien equipadas y mantenerlos como servidores VTP. Todo lo dems que participa en VTP puede convertirse en un cliente. El nmero de servidores de VTP debe elegirse con el fin de proporcionar el grado de redundancia que se desea en la red. Notas: Si un interruptor se configura como servidor VTP y sin un nombre de dominio VTP, no puede configurar una VLAN en el switch. Nota: Slo es aplicable para CatOS. Puede configurar VLAN (s) sin tener el nombre de dominio VTP en el switch que se ejecuta en IOS. Si un nuevo catalizador se adjunta en la frontera de dos dominios de VTP, el nuevo catalizador mantiene el nombre de dominio del primer interruptor que enva un resumen anuncio. La nica manera de conectar este switch a otro dominio VTP es configurar manualmente un nombre de dominio VTP diferente. Protocolo de enlace troncal dinmico (DTP) enva el nombre de dominio VTP en un paquete de autoedicin. Por lo tanto, si usted tiene dos extremos de un enlace que pertenecen a diferentes dominios de VTP, el tronco no aparece si utiliza DTP. En este caso especial, se debe configurar el modo de tronco como en o nonegotiate , en ambos lados, con el fin de permitir que el tronco para llegar sin un acuerdo de negociacin DTP. Si el dominio tiene un nico servidor VTP y se estrella, el mejor y ms fcil manera de restaurar la operacin es cambiar cualquiera de los clientes de VTP en ese dominio a un servidor VTP. La revisin de la configuracin es el mismo en el resto de los clientes, incluso si el servidor se bloquea. Por lo tanto, VTP funciona correctamente en el dominio. Configure VTP Consulte Protocolo Troncal VLAN Configuracin (VTP) para obtener informacin para configurar VTP. Solucionar problemas de VTP Consulte Protocolo Troncal VLAN Solucin de problemas (VTP) para obtener informacin para solucionar problemas de VTP. Conclusin Hay algunas desventajas en el uso de VTP. Debe equilibrar la facilidad de administracin VTP contra el riesgo inherente de un gran dominio STP y la inestabilidad y riesgos de STP potencial. El mayor riesgo es un bucle STP a travs de todo el campus. Cuando se utiliza VTP, hay dos cosas a las que debe prestar mucha atencin: Recuerde la revisin de la configuracin y de cmo restablecer cada vez que se inserta un nuevo interruptor en la red para que usted no trae abajo toda la red. Evitar tanto como sea posible para tener una VLAN que se extiende por toda la red. Protocolo Spanning Tree: STP En una red LAN la redundancia se logra teniendo varios enlaces fsicos entre los switches, de forma que queden varios caminos para llegar a un mismo destino. El resultado de esto es que la red LAN queda con ciclos o bucles. En la figura puede verse una red LAN redundante y cmo se forma un ciclo en ella.
Si bien la red anterior es redundante los ciclos son altamente perjudiciales para la misma dado que producen una serie de problemas que acabarn por dejarla inutilizada. Dentro de dichos problemas podemos encontrarnos con: Tormentas de broadcast: los broadcast en la red son reenviados una y otra vez y permanecen circulando en la misma sin fin, dado que en Ethernet no existe como en IP un campo de TTL. Lgicamente, al no eliminarse la situacin se agrava con cada nuevo broadcast. Mltiples copias de una trama: con la redundancia es muy probable que un host reciba una trama repetida, dado que la misma podra llegar por dos enlaces diferentes. Tabla CAM inconsitente: una trama que proviene de una MAC en particular podra llegar desde enlaces diferentes. Bucles recursivos: un bucle puede generar un nuevo bucle y estos crecer de forma exponencial. En una situacin as la red quedar inusable en pocos segundos. Ante la necesidad de tener una red LAN redundante y dinmica libre de los problemas asociados a la redundancia resulta evidente que es imperioso un protocolo que sea capaz de resolver estas cuestiones. Es aqu donde entra en accin el Protocolo de Spanning Tree (STP). Contenido Terminologa bsica Para comprender el funcionamiento del STP es necesario conocer alguna terminologa indispensable asociada al mismo. Bridge ID: es el identificador de cada bridge. Es el resultado de combinar la prioridad del bridge con su direccin MAC base. Root bridge (puente raz): es el punto focal de la red y el que se toma como referencia para las decisiones del STP. El RB ser aquel switch que tenga el menor bridge ID. BPDU (Bridge Protocol Data Unit): son pequeas unidades de datos que transportan informacin de control del STP. Se las utiliza en primera instancia para escoger el RB y luego para detectar posibles fallos en la red. Bridges no raz: son todos los dems bridges de la topologa. Participan en el intercambio de BPDUs y actualizan a su vez su base de datos del STP. Costo de un puerto: se determina en base al ancho de banda del enlace y ser el valor que se utilice para decidir el camino ms corto al RB. Costo del camino al RB: el costo de un camino al RB es la suma de los costos de cada enlace por el que pasa. El camino elegido por el STP al RB ser aquel cuyo costo sea ms bajo. Puerto raz (designado): es el puerto de cada bridge que se encuentra en el camino mnimo al RB. Slo hay uno por bridge que siempre estar en estado de forwarding. Puerto no designado: todo puerto en un bridge con mayor costo que el puerto designado. Ser puesto en estado de bloqueo. Estado de los puertos Cada puerto que participa del STP puede estar en uno de cinco estados. Estos son: Bloqueado (BLK): no reenva tramas de datos, aunque s recibe y enva BPDUs. Es el estado por defecto de los puertos cuando un switch se enciende y su funcin es la de prevenir ciclos. Escuchando (LST): recibe, analiza y enva BPDUs para asegurarse que no existen bucles. Aprendiendo (LRN): al igual que el estado LST, recibe, analiza y enva BPDUs, aunque aqu tambin comienza a armar la tabla CAM. En este estado an no se reenvan tramas de datos. Reenviando (FWD): enva y recibe todas las tramas de datos. Los puertos designados al final del estado de LRN sern marcados como FWD. Deshabilitado: es un puerto deshabilitado administrativamente y que no participar en el STP. Para el STP un puerto en este estado es como si no existiera.5545 Operacin del STP Editar seccin El protocolo de STP cumple con una serie de pasos antes de alcanzar el estado estable y comenzar a enviar tramas de datos. Los mismos son los que se listan a continuacin. Escoger el RB: Se elige el bridge con prioridad ms baja. Si uno o ms switches tienen la prioridad ms baja se elige entre ellos el que posea la MAC base ms baja. Se eligen los puertos raz: cada bridge encuentra el menor camino hasta el RB y, con l, su puerto designado. Cada uno de los bridges escucha BPDUs en todos sus puertos y, si detecta algn bucle en un puerto, lo bloquea. De lo contrario lo pone en estado FWD. El criterio para decidir qu puerto bloquear en un switch es el siguiente: Si debe escogerse un puerto entre dos switches diferentes se elige para bloquear el de aquel switch con el mayor bridge ID. Si debe escogerse un puerto dentro del mismo switch entonces se escoge aquel que tenga el mayor costo. En caso de coincidir el costo, el puerto que se bloquea es aquel que tenga el identificador ms alto. A continuacin se lista el costo de cada tipo de enlace para el STP (segn IEEE): Ahora bien, para ver lo aprendido hasta aqu vamos a analizar un ejemplo. Se plantea entonces la siguiente topologa:
Se asume que todos los bridges tienen en la topologa anterior la misma prioridad. Entonces, sabemos que el primer paso es escoger el RB. Para ello, al tener todos la misma prioridad vamos a escoger el que tenga menor direccin MAC, que resulta ser el SWA. El prximo paso es encontrar el camino mnimo desde cada switch hasta el RB. Empezando por el SWB vemos que tiene tres puertos que nos permiten alcanzar el RB. Por el puerto 1 el costo total es de 27, resultado de sumar 19 del enlace de 100 mbps y 4 de cada enlace de 1 gbps. Luego, tanto por el puerto 2 como por el puerto 3 el costo total es de 19. En este caso, se escoge el puerto con identificador ms pequeo, que es el 2. De esta manera, el puerto 2 ser el puerto raz y pasar a estado de FWD y el 3 quedar bloqueado. Dejaremos el anlisis del puerto 1 para un poco ms adelante. Para el caso del SWC, el puerto raz es el 1, ya que el costo por all es de 4. Nuevamente dejaremos el anlisis del puerto 2 para ms adelante. Finalmente, el SWD tiene dos posibles caminos al RB. Uno de ellos con costo 8 a travs del puerto 2 y el otro con costo 38 por el puerto 1. Lgicamente ser puerto raz el puerto 2. El ltimo paso es decidir, de los puertos que quedaron sin determinar, cul pasar a estado BLK para romper el bucle. Veamos las posibilidades: Puerto 1 de SWB. Puerto 2 de SWC. Puerto 1 de SWD. De lo anterior, el puerto 2 de SWC no podr ser dado que est en el camino mnimo del SWD al RB. As que ese pasar a estado FWD. La decisin se reduce entonces entre el puerto 1 del SWB y el 1 del SWD. Ante esta situacin se resolva bloqueando el puerto del bridge con mayor MAC, lo que implica que el puerto 1 del SWD quedar en BLK y el puerto 1 del SWB en FWD. Extensiones de Cisco Editar seccin Portfast: un puerto marcado como portfast ser puesto en estado de FWD desde el inicio. Es especialmente til para aquellos puertos donde estemos seguros que va a haber un nico host. Asociado a portfast existen dos tcnicas que permiten impedir un bucle en un puerto en este modo. BPDU guard: su objetivo es el de evitar que se conecte un switch a un puerto de este tipo. Por ello, al recibir una BPDU el puerto se pone en estado de deshabilitado por error. BPDU filter: es menos restrictivo que el anterior y lo que hace es detectar BPDUs en el puerto. Si se recibe alguna se saca al puerto de modo portfast y pasa al estado de bloqueo para cumplir con todos los pasos requeridos por el protocolo. Uplink fast: debera ser habilitado en aquellos switches en donde existe algn puerto en estado de bloqueo. En ese caso, si se detecta una cada en el puerto que est como FWD se habilita rpidamente el puerto bloqueado, sin el delay habitual. Permite una reaccin ms rpida ante un inconveniente en la red. Backbone fast: en este caso, se detecta el fallo en algn otro switch de la red y su objetivo es acelerar la convergencia ante dicho fallo. Rapid Spanning Tree El protocolo RSTP es un estndar que incorpora muchas caractersticas que aceleran el proceso de convergencia inicial y ante un fallo, valindose de varias de las ideas anteriores de Cisco. Es totalmente compatible con STP y de hecho un bridge ejecutando STP y otro RSTP pueden convivir perfectamente en la misma red, aunque utilizando el protocolo STP. Por ello, para que RSTP funcione, todos los switches deben soportarlo. Etherchannel Cuando existen dos enlaces entre dos switches una alternativa es utilizar Etherchannel. Esta tecnologa lo que hace es combinar dos o ms puertos como si fueran uno solo, agregando el ancho de banda a ese nico canal lgico. Un etherchannel provee tambin redundancia, dado que si uno de los links se cae sigue funcionando perfectamente, con un ancho de banda reducido. La ventaja entonces en comparacin con STP es que etherchannel hace uso activo de todos los enlaces, en contraste con STP que de un conjunto utilizara slo uno.
VLAN Trunking Protocol VTP son las siglas de VLAN Trunking Protocol, un protocolo de mensajes de nivel 2 usado para configurar y administrar VLANs en equipos Cisco. Permite centralizar y simplificar la administracin en un domino de VLANs, pudiendo crear, borrar y renombrar las mismas, reduciendo as la necesidad de configurar la misma VLAN en todos los nodos. El protocolo VTP nace como una herramienta de administracin para redes de cierto tamao, donde la gestin manual se vuelve inabordable. VTP opera en 3 modos distintos: Servidor Cliente Transparente
Servidor: Es el modo por defecto. Desde l se pueden crear, eliminar o modificar VLANs. Su cometido es anunciar su configuracin al resto de switches del mismo dominio VTP y sincronizar dicha configuracin con la de otros servidores, basndose en los mensajes VTP recibidos a travs de sus enlaces trunk. Debe haber al menos un servidor. Se recomienda autenticacin MD5. Cliente: En este modo no se pueden crear, eliminar o modificar VLANs, tan slo sincronizar esta informacin basndose en los mensajes VTP recibidos de servidores en el propio dominio. Un cliente VTP slo guarda la informacin de la VLAN para el dominio completo mientras el switch est activado. Un reinicio del switch borra la informacin de la VLAN. Transparente: Desde este modo tampoco se pueden crear, eliminar o modificar VLANs que afecten a los dems switches. La informacin VLAN en los switches que trabajen en este modo slo se puede modificar localmente. Su nombre se debe a que no procesa las actualizaciones VTP recibidas, tan slo las reenva a los switches del mismo dominio. Los administradores cambian la configuracin de las VLANs en el switch en modo servidor. Despus de realizar cambios, estos son distribuidos a todos los dems dispositivos en el dominio VTP a travs de los enlaces permitidos en el trunk (VLAN 1, por defecto), lo que minimiza los problemas causados por las configuraciones incorrectas y las inconsistencias. Los dispositivos que operan en modo transparente no aplican las configuraciones VLAN que reciben, ni envan las suyas a otros dispositivos. Sin embargo, aquellos que usan la versin 2 del protocolo VTP, enviarn la informacin que reciban (publicaciones VTP) a otros dispositivos a los que estn conectados con una frecuencia de 5 minutos. Los dispositivos que operen en modo cliente, automticamente aplicarn la configuracin que reciban del dominio VTP. En este modo no se podrn crear VLANs, sino que slo se podr aplicar la informacin que reciba de las publicaciones VTP. Para que dos equipos que utilizan VTP puedan compartir informacin sobre VLAN, es necesario que pertenezcan al mismo dominio. Los switches descartan mensajes de otro dominio VTP. Las configuraciones VTP en una red son controladas por un nmero de revisin. Si el nmero de revisin de una actualizacin recibida por un switch en modo cliente o servidor es ms alto que la revisin anterior, entonces se aplicar la nueva configuracin. De lo contrario se ignoran los cambios recibidos. Cuando se aaden nuevos dispositivos a un dominio VTP, se deben resetear los nmeros de revisin de todo el dominio VTP para evitar conflictos. Se recomienda tener mucho cuidado al usar VTP cuando haya cambios de topologa, ya sean lgicos o fsicos. Realmente no es necesario resetear todos los nmeros de revisin del dominio. Slo hay que asegurarse de que los switches nuevos que se agregen al dominio VTP tengan nmeros de revisin ms bajos que los que estn configurados en la red. Si no fuese as, bastara con eliminar el nombre del dominio del switch que se agrega. Esa operacin vuelve a poner a cero su contador de revisin. El VTP slo aprende sobre las VLAN de rango normal (ID de VLAN 1 a 1005). Las VLAN de rango extendido (ID mayor a 1005) no son admitidas por el VTP. El VTP guarda las configuraciones de la VLAN en la base de datos de la VLAN, denominada vlan.dat.
IEEE 802.1Q El protocolo IEEE 802.1Q, tambin conocido como dot1Q, fue un proyecto del grupo de trabajo 802 de la IEEE para desarrollar un mecanismo que permita a mltiples redes compartir de forma transparente el mismo medio fsico, sin problemas de interferencia entre ellas (Trunking). Es tambin el nombre actual del estndar establecido en este proyecto y se usa para definir el protocolo de encapsulamiento usado para implementar este mecanismo en redes Ethernet. Todos los dispositivos de interconexin que soportan VLAN deben seguir la norma IEEE 802.1Q que especifica con detalle el funcionamiento y administracin de redes virtuales. Formato de la trama 802.1Q en realidad no encapsula la trama original sino que aade 4 bytes al encabezado Ethernet original. El valor del campo EtherType se cambia a 0x8100 para sealar el cambio en el formato de la trama. Debido a que con el cambio del encabezado se cambia la trama, 802.1Q fuerza a un recalculo del campo "FCS".
IEEE 802.1Q es la creacin de redes estndar que es compatible con las redes LAN virtuales (VLAN) en un Ethernetde red. La norma define un sistema de etiquetado VLAN para las tramas Ethernet y los procedimientos que se acompaan para ser utilizados por los puentes y los interruptores en el manejo de este tipo de marcos. La norma tambin contiene disposiciones para una calidad de servicio esquema de priorizacin comnmente conocido comoIEEE 802.1p y define la Generic Attribute Registration Protocol . Algunas partes de la red que son compatibles con VLAN (es decir, IEEE 802.1Q conformes) pueden incluir etiquetas VLAN. El trfico en una VLAN no reconocida (por ejemplo, IEEE 802.1D conformant) parte de la red no contendr etiquetas VLAN. Cuando una trama entra en la parte que detecta la VLAN de la red, se agrega una etiqueta para representar la pertenencia a la VLAN del puerto de la trama o de la combinacin de puerto / protocolo, dependiendo de si la clasificacin VLAN basadas en puertos o basado en puerto y protocolo es siendo utilizado. Cada cuadro debe ser distinguible como dentro de exactamente una VLAN. Un marco en la parte de la VLAN de la red que no contiene una etiqueta de VLAN se supone que est fluyendo en la nativa (o defecto) de la VLAN. El estndar fue desarrollado por el IEEE 802.1 , un grupo de trabajo del IEEE 802 comit de estndares, y contina siendo revisada de forma activa con las revisiones notables incluyendo IEEE 802.1ak , IEEE 802.1Qat y IEEE
Segmento CCPA Vlan ID Red IP Mascara IP Hosts Default GW SW1 SW1 L2 Informatica 11 172.19.1.0 255.255.255.0 255 172.19.2.1 .1 Red de Switches 14 172.19.5.0 255.255.255.0 255 172.19.5.1 5.1 Empleados 15 172.19.6.0 255.255.254.0 510 172.19.6.1 .1 Seguridad 18 172.19.14 255.255.255.0 255 172.19.14.1 .1 TelefoniaIP 50 172.19.32.0 255.255.254.0 512 172.19.32.1 .1 Mobile 55 172.19.60 255.255.252.0 1024 172.16.60.1 .1 Visitas 100 172.20.16 255.255.254.0 309 172.16.17.1 .1
172.18.0.0/30 IT - ADMINISTRACION
172.18.0.4/30 MANTENIMIENTO - ADMINISTRACION
172.18.0.8/30 MANTENIMIENTO - CCPA
172.18.0.12/30 IT - CCPA
172.18.0.16/30 IT - MANTENIMIENTO
802.11 legacy[editar] La versin original del estndar IEEE (Instituto de Ingenieros Elctricos y Electrnicos) 802.11 publicada en1997 especifica dos velocidades de transmisin tericas de 1 y 2 megabits por segundo (Mbit/s) que se transmiten por seales infrarrojas (IR). IR sigue siendo parte del estndar, si bien no hay implementaciones disponibles. El estndar original tambin define el protocolo CSMA/CA (Mltiple acceso por deteccin de portadora evitando colisiones) como mtodo de acceso. Una parte importante de la velocidad de transmisin terica se utiliza en las necesidades de esta codificacin para mejorar la calidad de la transmisin bajo condiciones ambientales diversas, lo cual se tradujo en dificultades de interoperabilidad entre equipos de diferentes marcas. Estas y otras debilidades fueron corregidas en el estndar 802.11b, que fue el primero de esta familia en alcanzar amplia aceptacin entre los consumidores. VLAN Nombre de VLAN Direccion de ReD VLAN Nombre de VLAN Direccion de ReD 10 Servidores 172.16.0.0/24 11 informatica 172.17.1.0/24 11 Informatica 172.16.1.0/24 14 Switches 172.17.5.0/24 12 Capacitacion 172.16.2.0/23 15 Empleados 172.17.6.0/23 13 Acceso Remoto 172.16.4.0/24 16 Estudiantes 172.17.8.0/22 14 Switches 172.16.5.0/24 50 Telefonia 172.17.32.0/23 15 Empleados 172.16.6.0/23 54 Residencias 172.17.16.0/24 16 Estudiantes 172.16.8.0/22 55 Mobile 172.17.60.0/23 17 ENLACE de REDUANDANCIA 172.16.40.0/24 100 Visitas 172.20.16.0/24 18 Telefonia Siemens 172.16.41.0/24 302 Enlace Mantenimiento-CCPA 172.18.0.5/30 50 Telefonia 172.16.32.0/23 54 Residencias 172.16.52.0/24 55 Mobile 172.16.60.0/23 100 Visitas 172.20.16.0/24 VLAN Nombre de VLAN Direccion de ReD 300 Enlace Informatica-CCPA 172.18.0.14/30 11 Informatica 172.18.1.0/24 12 Capacitacion 172.18.2.0/24 14 Switches 172.18.5.0/24 Lan Zamorano TGU 10.172.1.0/24 15 Empleados 172.18.6.0/23 Admon switch publico 1 172.30.99.68/30 16 Estudiantes 172.18.8.0/22 Admon switch publico 2 172.30.99.72/30 50 Telefonia 172.18.32.0/23 RED VPN ZAMO 172.31.254.0/24 54 Residencias 172.18.16.0/24 55 Mobile 172.18.60.0/23 100 Visitas 172.20.16.0/24 301 Enlace CCPA-Mantenimiento 172.18.0.9/30 202 Enlace Manteniemiento-Administracion 172.18.0.6/30 CORE CCPA 172.19.X.X VLAN Nombre de VLAN Direccion de ReD 11 Informatica 172.19.1.0/24 14 Switches 172.19.5.0/24 15 Empleados 172.19.6.0/23 16 Estudiantes 172.19.8.0/22 50 Telefonia 172.19.32.0/23 55 Mobile 172.19.60.0/23 100 Visitas 172.20.16.0/24 300 Enlace Informatica-CCPA 172.18.0.13/30 301 Enlace CCPA-Mantenimiento 172.18.0.10/30 CORE INFORMATICA 172.16.X.X CORE ADMINISTRACION 172.17.X.X CORE MANTENIMIENTO 172.18.X.X OTROS DIRECCIONAMIENTOS EN USO 802.11a[editar] La revisin 802.11a fue aprobada en 1999. El estndar 802.11a utiliza el mismo juego de protocolos de base que el estndar original, opera en la banda de 5 GHz y utiliza 52 subportadoras orthogonal frequency-division multiplexing(OFDM) con una velocidad mxima de 54 Mbit/s, lo que lo hace un estndar prctico para redes inalmbricas con velocidades reales de aproximadamente 20 Mbit/s. La velocidad de datos se reduce a 48, 36, 24, 18, 12, 9 o 6 Mbit/s en caso necesario. 802.11a tiene 12 canales sin solapa, 8 para red inalmbrica y 4 para conexiones punto a punto. No puede interoperar con equipos del estndar 802.11b, excepto si se dispone de equipos que implementen ambos estndares. 802.11b[editar] Artculo principal: IEEE 802.11b La revisin 802.11b del estndar original fue ratificada en 1999. 802.11b tiene una velocidad mxima de transmisin de 11 Mbps y utiliza el mismo mtodo de acceso definido en el estndar original CSMA/CA. El estndar 802.11b funciona en la banda de 2,4 GHz. Debido al espacio ocupado por la codificacin del protocolo CSMA/CA, en la prctica, la velocidad mxima de transmisin con este estndar es de aproximadamente 5,9 Mbits sobre TCP y 7,1 Mbit/s sobre UDP.
802.11g[editar] En junio de 2003, se ratific un tercer estndar de modulacin: 802.11g, que es la evolucin de 802.11b. Este utiliza la banda de 2,4 Ghz (al igual que 802.11b) pero opera a una velocidad terica mxima de 54 Mbit/s, que en promedio es de 22,0 Mbit/s de velocidad real de transferencia, similar a la del estndar 802.11a. Es compatible con el estndar b y utiliza las mismas frecuencias. Buena parte del proceso de diseo del nuevo estndar lo tom el hacer compatibles ambos modelos. Sin embargo, en redes bajo el estndar g la presencia de nodos bajo el estndar b reduce significativamente la velocidad de transmisin. Los equipos que trabajan bajo el estndar 802.11g llegaron al mercado muy rpidamente, incluso antes de su ratificacin que fue dada aprox. el 20 de junio del 2003. Esto se debi en parte a que para construir equipos bajo este nuevo estndar se podan adaptar los ya diseados para el estndar b. Actualmente se venden equipos con esta especificacin, con potencias de hasta medio vatio, que permite hacer comunicaciones de hasta 50 km con antenas parablicas o equipos de radio apropiados. Existe una variante llamada 802.11g+ capaz de alcanzar los 108Mbps de tasa de transferencia. Generalmente slo funciona en equipos del mismo fabricante ya que utiliza protocolos propietarios. Interaccin de 802.11g y 802.11b. 802.11g tiene la ventaja de poder coexistir con los estndares 802.11a y 802.11b, esto debido a que puede operar con las Tecnologas RF DSSS y OFDM. Sin embargo, si se utiliza para implementar usuarios que trabajen con el estndar 802.11b, el rendimiento de la celda inalmbrica se ver afectado por ellos, permitiendo solo una velocidad de transmisin de 22 Mbps. Esta degradacin se debe a que los clientes 802.11b no comprenden OFDM. Suponiendo que se tiene un punto de acceso que trabaja con 802.11g, y actualmente se encuentran conectados un cliente con 802.11b y otro 802.11g, como el cliente 802.11b no comprende los mecanismos de envo de OFDM, el cual es utilizados por 802.11g, se presentarn colisiones, lo cual har que la informacin sea reenviada, degradando an ms nuestro ancho de banda. Suponiendo que el cliente 802.11b no se encuentra conectado actualmente, el Punto de acceso enva tramas que brindan informacin acerca del Punto de acceso y la celda inalmbrica. Sin el cliente 802.11b, en las tramas se veran la siguiente informacin: NON_ERP present: no Use Protection: no ERP (Extended Rate Physical), esto hace referencia a dispositivos que utilizan tasas de transferencia de datos extendidos, en otras palabras, NON_ERP hace referencia a 802.11b. Si fueran ERP, soportaran las altas tasas de transferencia que soportan 802.11g. Cuando un cliente 802.11b se asocia con el AP (Punto de acceso), ste ltimo alerta al resto de la red acerca de la presencia de un cliente NON_ERP. Cambiando sus tramas de la siguiente forma: NON_ERP present: yes Use Protection: yes Ahora que la celda inalmbrica sabe acerca del cliente 802.11b, la forma en la que se enva la informacin dentro de la celda cambia. Ahora cuando un cliente 802.11g quiere enviar una trama, debe advertir primero al cliente 802.11b envindole un mensaje RTS (Request to Send) a una velocidad de 802.11b para que el cliente 802.11b pueda comprenderlo. El mensaje RTS es enviado en forma de unicast. El receptor 802.11b responde con un mensaje CTS (Clear to Send). Ahora que el canal est libre para enviar, el cliente 802.11g realiza el envo de su informacin a velocidades segn su estndar. El cliente 802.11b percibe la informacin enviada por el cliente 802.11g como ruido. La intervencin de un cliente 802.11b en una red de tipo 802.11g, no se limita solamente a la celda del Punto de acceso en la que se encuentra conectado, si se encuentra trabajando en un ambiente con mltiples AP en Roaming, los AP en los que no se encuentra conectado el cliente 802.11b se transmitirn entre s tramas con la siguiente informacin: NON_ERP present: no Use Protection: yes La trama anterior les dice que hay un cliente NON_ERP conectado en uno de los AP, sin embargo, al tenerse habilitado Roaming, es posible que ste cliente 802.11b se conecte en alguno de ellos en cualquier momento, por lo cual deben utilizar los mecanismo de seguridad en toda la red inalmbrica, degradando de esta forma el rendimiento de toda la celda. Es por esto que los clientes deben conectarse preferentemente utilizando el estndar 802.11g. Wi-Fi (802.11b / g)
802.11n[editar] En enero de 2004, el IEEE anunci la formacin de un grupo de trabajo 802.11 (Tgn) para desarrollar una nueva revisin del estndar 802.11. La velocidad real de transmisin podra llegar a los 300 Mbps (lo que significa que las velocidades tericas de transmisin seran an mayores), y debera ser hasta 10 veces ms rpida que una red bajo los estndares 802.11a y 802.11g, y unas 40 veces ms rpida que una red bajo el estndar 802.11b. Tambin se espera que el alcance de operacin de las redes sea mayor con este nuevo estndar gracias a la tecnologa MIMO Multiple Input Multiple Output, que permite utilizar varios canales a la vez para enviar y recibir datos gracias a la incorporacin de varias antenas (3). Existen tambin otras propuestas alternativas que podrn ser consideradas. El estndar ya est redactado, y se viene implantando desde 2008. A principios de 2007 se aprob el segundo boceto del estndar. Anteriormente ya haba dispositivos adelantados al protocolo y que ofrecan de forma no oficial este estndar (con la promesa de actualizaciones para cumplir el estndar cuando el definitivo estuviera implantado). Ha sufrido una serie de retrasos y el ltimo lo lleva hasta noviembre de 2009. Habindose aprobado en enero de 2009 el proyecto 7.0 y que va por buen camino para cumplir las fechas sealadas. 1 A diferencia de las otras versiones de Wi-Fi, 802.11n puede trabajar en dos bandas de frecuencias: 2,4 GHz (la que emplean 802.11b y 802.11g) y 5 GHz (la que usa 802.11a). Gracias a ello, 802.11n es compatible con dispositivos basados en todas las ediciones anteriores de Wi-Fi. Adems, es til que trabaje en la banda de 5 GHz, ya que est menos congestionada y en 802.11n permite alcanzar un mayor rendimiento. El estndar 802.11n fue ratificado por la organizacin IEEE el 11 de septiembre de 2009 con una velocidad de 600 Mbps en capa fsica. 2
3
En la actualidad la mayora de productos son de la especificacin b o g , sin embargo ya se ha ratificado el estndar802.11n que sube el lmite terico hasta los 600 Mbps. Actualmente ya existen varios productos que cumplen el estndar N con un mximo de 300 Mbps (80-100 estables). El estndar 802.11n hace uso simultneo de ambas bandas, 2,4 Ghz y 5 Ghz. Las redes que trabajan bajo los estndares 802.11b y 802.11g, tras la reciente ratificacin del estndar, se empiezan a fabricar de forma masiva y es objeto de promociones por parte de los distintos ISP, de forma que la masificacin de la citada tecnologa parece estar en camino. Todas las versiones de 802.11xx, aportan la ventaja de ser compatibles entre s, de forma que el usuario no necesitar nada ms que su adaptador wifi integrado, para poder conectarse a la red. Sin duda esta es la principal ventaja que diferencia wifi de otras tecnologas propietarias, como LTE, UMTS y Wimax, las tres tecnologas mencionadas, nicamente estn accesibles a los usuarios mediante la suscripcin a los servicios de un operador que est autorizado para uso de espectro radioelctrico, mediante concesin de mbito nacional. La mayor parte de los fabricantes ya incorpora a sus lneas de produccin equipos wifi 802.11n, por este motivo la oferta ADSL, ya suele venir acompaada de wifi 802.11n, como novedad en el mercado de usuario domstico. Se conoce que el futuro estndar sustituto de 802.11n ser 802.11ac con tasas de transferencia superiores a 1 Gb/s. 4
802.11n puede manejar las necesidades inalmbricas de misin crtica Modernizar la red con hasta seis veces ms rendimiento que las redes 802.11a/b/g, y aadir la capacidad y fiabilidad necesarias para multimedia y aplicaciones crticas para el negocio. El estndar 802.11n puede aumentar de su red inalmbrica el rendimiento, la fiabilidad y la previsibilidad. Por qu actualizar a 802.11n Smartphones utilizan todo el ancho de 200 dispositivos de legado y estn poniendo demandas cada vez mayores en las redes inalmbricas. Prepare la red para soportar la afluencia de los nuevos dispositivos mviles. La implementacin de 802.11n puede permitir a las organizaciones a reducir el coste total de propiedad mediante la entrega de una red inalmbrica fiable que soporta una amplia gama de aplicaciones de movilidad sin comprometer el rendimiento total de la red. Por qu debera actualizar con Cisco Cisco ofrece los componentes necesarios para crear de manera eficiente una experiencia de usuario altamente segura y sin problemas en todos los escenarios. La tecnologa de Cisco puede potenciar la TI para proporcionar una mayor libertad comercial con alto rendimiento, soluciones de red sensibles al contexto para abordar plenamente muchos tipos de usuarios con diferentes dispositivos, la seguridad y los requerimientos del negocio. Redes inalmbricas Cisco 802.11n se han mejorado con las siguientes caractersticas: La tecnologa Cisco Clean Air - Crear una auto-sanacin, red inalmbrica auto-optimizacin que mitiga el impacto de la interferencia inalmbrica Cisco VideoStream - Proporcionar, imgenes de vdeo claras y precisas de todo el mundo mediante la entrega eficiente de vdeo de multidifusin desde el cable a la red inalmbrica Cisco ClientLink - Permitir a los puntos de acceso para rellenar los agujeros de cobertura, aumentar el acceso a tanto 802.11a / g legado y clientes 802.11n, y proporcionan una mejor cobertura de la seal incluso en entornos de RF difciles Introduccin al 802.1X El estndar 802.1x es una solucin de seguridad ratificada por el IEEE en junio de 2001 que puede autenticar (identificar) a un usuario que quiere acceder a la red (ya sea por cable o inalmbrica). Esto se hace a travs del uso de un servidor de autenticacin. El 802.1x se basa en el protocolo EAP (Protocolo de autenticacin extensible), definido por el IETF. Este protocolo se usa para transportar la informacin de identificacin del usuario.
EAP La forma en que opera el protocolo EAP se basa en el uso de un controlador de acceso llamado autenticador, que le otorga o deniega a un usuario el acceso a lared. El usuario en este sistema se llama solicitante. El controlador de acceso es un firewall bsico que acta como intermediario entre el usuario y el servidor de autenticacin, y que necesita muy pocos recursos para funcionar. Cuando se trata de una red inalmbrica, el punto de acceso acta como autenticador. El servidor de autenticacin (a veces llamado NAS, que significa Servicio de autenticacin de red o Servicio de acceso a la red) puede aprobar la identidad del usuario transmitida por el controlador de la red y otorgarle acceso segn sus credenciales. Adems, este tipo de servidor puede almacenar y hacer un seguimiento de la informacin relacionada con los usuarios. En el caso de un proveedor de servicio, por ejemplo, estas caractersticas le permiten al servidor facturarles en base a cunto tiempo estuvieron conectados o cuntos datos transfirieron. Generalmente el servidor de autenticacin es un servidor RADIUS (Servicio de usuario de acceso telefnico de autenticacin remota), un servidor de autenticacin estndar definido por la RFC 2865 y 2866, pero puede utilizarse cualquier otro servicio de autenticacin en su lugar. A continuacin encontrar un resumen sobre cmo funciona una red segura que usa el estndar 802.1x: 1. El controlador de acceso, despus de recibir la solicitud de conexin del usuario, enva una solicitud de autenticacin. 2. El usuario enva una respuesta al controlador de acceso, quien enruta la respuesta al servidor de autenticacin. 3. El servidor de autenticacin enva un "challenge" al controlador de acceso, quien lo transmite al usuario. El challenge es un mtodo para establecer la identificacin. Si el cliente no puede evaluar el challenge, el servidor prueba con otro y as sucesivamente. 4. El usuario responde al challenge. Si la identidad del usuario es correcta, el servidor de autenticacin enva la aprobacin al controlador de acceso, quien le permite al usuario ingresar a la red o a parte de ella, segn los derechos otorgados. Si no se pudo verificar la identidad del usuario, el servidor de autenticacin enva un mensaje de denegacin y el controlador de acceso le deniega al usuario el acceso a la red. Intercambio de claves de cifrado Adems de autenticar usuarios, el estndar 802.1x les proporciona una manera segura de intercambiar claves de cifrado para mejorar la seguridad en general.
Implementando port-security en los switches de acceso
Fundamentos:
Conjunto de medidas de seguridad a nivel de puertos disponibles en la mayora de los switchs de gama media y alta, la funciones provistas dependen de la marca, el modelo y la versin de firmware del switch en cuestin.
Es as que Port Security es un feature (rasgo) de los switches Cisco que nos permite retener las direcciones MAC conectadas a cada puerto del dispositivo o switch y permitir solamente a esas direcciones MAC registradas comunicarse a travs de ese puerto del switch.
Que nos permite restringir entre otras cosas? Restringir el acceso a los puertos del switch segn la MAC. Restringir el numero de MACs por puerto en el switch. Reaccionar de diferentes maneras a violaciones de las restricciones anteriores. Establecer la duracin de las asociaciones MAC-Puerto. Si un dispositivo con otra direccin MAC intenta comunicarse a travs de un puerto de la LAN, port-security deshabilitar el puerto. Incluso se puede implementar SNMP(ver definiciones) para recibir al momento en el sistema de monitoreo la notificacin correspondiente al bloqueo del puerto. Configuracin de Port-Security: El proceso de configuracin requiere ingresar a la configuracin de la interfaz en cuestin e ingresar el comando port-security. Ejemplo (para nuestros ejemplos vamos a tomar el puerto 15 del switch:
Switch)#config ter Switch(config)#int fa0/15 Switch(config-if)#switchport port-security ? ..aging.........Port-security aging commands ..mac-address...Secure mac address ..maximum.......Max secure addresses ..violation.....Security violation mode Switch(config-if)# switchport port-security Si se ingresa solamente el comando bsico, se asumen los valores por defecto: solo permite una direccin MAC en el puerto, que ser la primera que se conecte al mismo, en caso de que otra direccin MAC intente conectarse utilizando el mismo puerto, este ser deshabilitado o bloqueado. Claro esta que todos estos parmetros son modificables: Switch(config-ig)#switchport port-security maximum [cantidad de MAC permitidas] Esta opcin permite definir el nmero de direcciones MAC que est permitido que se conecten a travs de la interfaz del swtich. El nmero mximo de direcciones permitidas por puerto va desde 1 a 132. Es importante tener presente que este feature (rasgo) tambin limita la posibilidad de un ataque de seguridad por inundacin de la tabla CAM (ver definiciones) del switch. El siguiente ejemplo ilustra la configuracin del puerto 15 y que solo acepte hasta 10 direcciones MAC mximas posibles: Switch(config)#interface FastEthernet 0/15 (Dentro del modo configuracin de interface del puerto a configurar) Switch(config-if)# switchport mode access Switch(config-if)# switchport port-securitySwitch(config-if)#switchport port-security maximum 10 Switch(config-if)# switchport port-security violation [shutdown restrict protect] Este comando establece la accin que tomar el switch en caso de que se supere el nmero de direcciones MAC que se establece con el comando anterior. Las opciones son deshabilitar el puerto, alertar al Administrador de la Red o permitir exclusivamente el trfico de la MAC que se registr inicialmente. En el siguiente ejemplo trabajando con el puerto 15 del switch, podemos especificar qu hacer si ese nmero de direcciones MAC es superado (por default deshabilitar el puerto Switch(config)#interface FastEthernet 0/15 Que deje de prender: Switch(config-if)# switchport port-security violation protect Que enve una alerta administrativa: Switch(config-if)# switchport port-security violation restrict Que desabilite el Puerto del switch: Switch(config-if)# switchport port-security violation shutdown Posterior al haber deshabilitado el puerto del switch, este se puede volver habilitar con el siguiente comando previa autorizacin del Administrador de la Red: Switch(config-if)# switchport port-security mac-address Switch(config-if)# shutdown Switch(config-if)# no shutdown switchport port-security mac-address [MAC address] Esta opcin permite definir manualmente la direccin MAC que se permite conectar a travs de ese puerto, o dejar que la aprenda dinmicamente varias direcciones MAC. Ejemplo: Switch(config)#interface FastEthernet 0/15 (Dentro del modo configuracin de interface del puerto a configurar) Switch(config-if)# switchport port-security mac-address sticky (esta opcion leera y aprendera la primera mac-address que se conecte)
Switch(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx(este comando te permitira definir una mac-address estatica) es decir: Con la primera lnea de comando le digo que agregue las MACs que va aprendiendo a la lista de MACs seguras. Con la segunda linea de comando, que agregue la MAC 00:0a:5e:5a:18:1b a la lista de MACs seguras. Si no agrego una segunda MAC, la primera MAC que escuche distinta a 00:0a:5e:5a:18:1b ser agregada a la lista de MACs seguras.
Atencin..! Este comando no debe ser configurado en un puerto troncal o de backbone, ya que por estos puertos circulan tramas con mltiples direcciones MAC, diferentes de origen. Esto dara como resultara el bloqueo del puerto.
El monitoreo de este feature (rasgo): Hay comandos especficos que permiten monitorear el estado de los puertos que tienen implementado port-security, Ejemplo: Switch# show port-security address ......Secure Mac Address Table --------------------------------------------------------- Vlan..Mac Address....Type..........Ports..Remaining Age ..............................................(mins) ----..-----------....----..........-----..------------- 1....xxxx.xxxx.xxxx..SecureDynamic Fa0/15....... ----------------------------------------------------------- Total Addresses in System (excluding one mac per port).....:.0 Max Addresses limit in System (excluding one mac per port) : 1024 Switch# show port-security interface fa0/15 Port Security.....................: EnabledPort Status.......................: Secure-up Violation Mode....................: Shutdown Aging Time........................: 0 mins Aging Type........................: Absolute SecureStatic Address Aging........: Disabled Maximum MAC Addresses.............: 1 Total MAC Addresses...............: 1 Configured MAC Addresses..........: 0 Sticky MAC Addresses..............: 0 Last Source Address...............: xxxx.xxxx.xxxx Security Violation Count..........: 0 Switch#
Deficiones Complementarias
Tabla CAM: Los switchs guardan las asociaciones MAC e informacin de VLAN en un tabla llamada tabla CAM. La tabla CAM de un switch tiene un tamao fijo y finito. Cuando la tabla CAM no tiene espacio para almacenar ms asociaciones MAC, enva a todos los puertos las tramas que tengan una direccin MAC destino no almacenada en la tabla CAM. (Acta como un HUB para cualquier MAC que no haya aprendido). Existe un ataque que se basa en el tamao limitado de la tabla CAM. Para realizar el ataque slo hace falta enviar gran nmero de tramas con direcciones MAC distintas (usualmente generadas al azar) a cualquier puerto del switch hasta que se llene la tabla CAM.
Port Security: Port Security es un conjunto de medidas de seguridad a nivel de puertos disponibles. Permite entre otras cosas: restringir el acceso a los puertos segn la MAC, restringir el nmero de MACs por puerto, reaccionar de diferentes maneras a violaciones de las restricciones anteriores, establecer la duracin de las asociaciones MAC. Tomar en cuenta que: No se puede activar port security en puertos dynamic access o trunk, por defecto Port Security est desactivado y slo almacena una MAC por puerto. Simple Network Management Protocol - SNMP El Protocolo Simple de Administracin de Red o SNMP es un protocolo de la capa de aplicacin que facilita el intercambio de informacin de administracin entre dispositivos de red. Es parte de la familia de protocolos TCP/IP. SNMP permite a los administradores supervisar el desempeo de la red, buscar y resolver sus problemas, y planear su crecimiento. Las versiones de SNMP ms utilizadas son dos: SNMP versin 1 (SNMPv1) y SNMP versin 2 (SNMPv2). Ambas versiones tienen un nmero de caractersticas en comn, pero SNMPv2 ofrece mejoras, como por ejemplo, operaciones adicionales. SNMP en su ltima versin (SNMPv3) posee cambios significativos con relacin a sus predecesores, sobre todo en aspectos de seguridad, sin embargo no ha sido mayoritariamente aceptado en la industria. Saludos cordiales,
Configuring Port Security on an Interface To restrict traffic through a port by limiting and identifying MAC addresses of the stations allowed to access the port, perform this task: Command Purpose Step 1 Switch(config)# interface interface_id Enters interface configuration mode and enters the physical interface to configure, for example gigabitethernet 3/1. Step 2 Switch(config-if)# switchport mode access Sets the interface mode as access; an interface in the default mode (dynamic desirable) cannot be configured as a secure port. Step 3 Switch(config-if)# switchport port- security Enables port security on the interface. Step 4 Switch(config-if)# switchport port- security maximum value (Optional) Sets the maximum number of secure MAC addresses for the interface. The range is 1 to 3072; the default is 1. Step 5 Switch(config-if)# switchport port- (Optional) Sets the violation mode, the action to be security violation {restrict | shutdown} taken when a security violation is detected, as one of these: restrictA port security violation restricts data and causes the SecurityViolation counter to increment and send an SNMP trap notification. shutdownThe interface is error-disabled when a security violation occurs. Note When a secure port is in the error-disabled state, you can bring it out of this state by entering the errdisable recovery cause psecure-violationglobal configuration command or you can manually reenable it by entering the shutdown and no shut downinterface configuration commands. Step 6 Switch(config-if)# switchport port- security limit rate invalid- source-mac Sets the rate limit for bad packets. Step 7 Switch(config-if)# switchport port- security mac-address mac_address (Optional) Enters a secure MAC address for the interface. You can use this command to enter the maximum number of secure MAC addresses. If you configure fewer secure MAC addresses than the maximum, the remaining MAC addresses are dynamically learned. Step 8 Switch(config-if)# switchport port- security mac-address sticky (Optional) Enable sticky learning on the interface. Step 9 Switch(config-if)# end Returns to privileged EXEC mode. Step 10 Switch# show port- security address interface interface_id Switch# show port- security address Verifies your entries. To return the interface to the default condition as not a secure port, use the no switchport port- security interface configuration command. To return the interface to the default number of secure MAC addresses, use the no switchport port- security maximum value. To delete a MAC address from the address table, use the no switchport port-security mac- address mac_address command. To return the violation mode to the default condition (shutdown mode), use the no switchport port- security violation {restrict | shutdown} command. To disable sticky learning on an interface, use the no switchport port-security mac-address sticky command. The interface converts the sticky secure MAC addresses to dynamic secure addresses. To delete a sticky secure MAC addresses from the address table, use the no switchport port-security sticky mac-address mac_address command. To delete all the sticky addresses on an interface or a VLAN, use the no switchport port-security sticky interface interface-id command. To clear dynamically learned port security MAC in the CAM table, use the clear port-security dynamic command. The address keyword enables you to clear a secure MAC addresses. The interface keyword enables you to clear all secure addresses on an interface. This example shows how to enable port security on Fast Ethernet port 12 and how to set the maximum number of secure addresses to 5. The violation mode is the default, and no secure MAC addresses are configured. Switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# interface fastethernet 3/12 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 5 Switch(config-if)# switchport port-security mac-address sticky Switch(config-if)# end Switch# show port-security interface fastethernet 3/12 Port Security :Enabled Port Status :Secure-up Violation Mode :Shutdown Aging Time :0 Aging Type :Absolute SecureStatic Address Aging :Enabled Maximum MAC Addresses :5 Total MAC Addresses :0 Configured MAC Addresses :0 Sticky MAC Addresses :11 Last Source Address :0000.0000.0401 Security Violation Count :0
This example shows how to configure a secure MAC address on Fast Ethernet port 5/1 and verify the configuration: Switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# interface fastethernet 5/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 10 Switch(config-if)# switchport port-security mac-address 0000.0000.0003 (Static secure MAC) Switch(config-if)# switchport port-security mac-address sticky Switch(config-if)# switchport port-security mac-address sticky 0000.0000.0001 (Sticky static MAC) Switch(config-if)# switchport port-security mac-address sticky 0000.0000.0002 Switch(config-if)# end Switch#show port address Secure Mac Address Table ------------------------------------------------------------------------ Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 0000.0000.0001 SecureSticky Fa5/1 - 1 0000.0000.0002 SecureSticky Fa5/1 - 1 0000.0000.0003 SecureConfigured Fa5/1 -
------------------------------------------------------------------------ Total Addresses in System (excluding one mac per port) : 2 Max Addresses limit in System (excluding one mac per port) : 1024 Configuring Port Security Aging You can use port security aging to set the aging time and aging type for all secure addresses on a port. Use this feature to remove and add PCs on a secure port without manually deleting the existing secure MAC addresses while still limiting the number of secure addresses on a port. To configure port security aging, perform this task: Command Purpose Step 1 Switch(config)# interface interface_id Enters interface configuration mode for the port on which you want to enable port security aging. Step 2 Switch(config-if)# switchport port- security [ aging {static | time aging_time | type {absolute | Sets the aging time for the secure port. The static keyword enables aging for statically configured secure addresses on this port. The time aging_time keyword specifies the aging time for this port. Valid range for aging_time is from 0 to inactivity} ] 1440 minutes. If the time is equal to 0, aging is disabled for this port. The type keyword sets the aging type as absolute or inactive. For absolute aging, all the secure addresses on this port ago out exactly after the time (minutes) specified and are removed from the secure address list. For inactive aging, the secure addresses on this port ago out only if there is no data traffic from the secure source address for the specified time period. Step 3 Switch(config-if)# end Returns to privileged EXEC mode. Step 4 Switch# show port security [interface interface_id] [address] Verifies your entries. To disable port security aging for all secure addresses on a port, use the no switchport port- security aging time interface configuration command. This example shows how to set the aging time as 2 hours for the secure addresses on the Fast Ethernet interface 5/1: Switch(config)# interface fastethernet 5/1 Switch(config-if)# switchport port-security aging time 120
This example shows how to set the aging time as 2 minutes: Switch(config-if)# switchport port-security aging time 2
You can verify the previous commands by entering the show port-security interface interface_id command. Displaying Port Security Settings Use the show port-security command to display port-security settings for an interface or for the switch. To display traffic control information, perform one or more of these tasks: Command Purpose Switch# show port- security[interfaceinterface_id] Displays port security settings for the switch or for the specified interface, including the maximum allowed number of secure MAC addresses for each interface, the number of secure MAC addresses on the interface, the number of security violations that have occurred, and the violation mode. Switch# show port- security[interfaceinterface_id]address Displays all secure MAC addresses configured on all switch interfaces or on a specified interface with aging information for each address. This example displays output from the show port-security command when you do not enter an interface: Switch# show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) --------------------------------------------------------------------------- Fa3/1 2 2 0 Restrict Fa3/2 2 2 0 Restrict Fa3/3 2 2 0 Shutdown Fa3/4 2 2 0 Shutdown Fa3/5 2 2 0 Shutdown Fa3/6 2 2 0 Shutdown Fa3/7 2 2 0 Shutdown Fa3/8 2 2 0 Shutdown Fa3/10 1 0 0 Shutdown Fa3/11 1 0 0 Shutdown Fa3/12 1 0 0 Restrict Fa3/13 1 0 0 Shutdown Fa3/14 1 0 0 Shutdown Fa3/15 1 0 0 Shutdown Fa3/16 1 0 0 Shutdown --------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) :8 Max Addresses limit in System (excluding one mac per port) :1024 Global SNMP trap control for port-security :20 (traps per second)
This example displays output from the show port-security command for a specified interface: Switch# show port-security interface fastethernet 5/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 1 Last Source Address : 0000.0001.001a Security Violation Count : 0
This example displays output from the show port-security address command: Switch#sh port-security address Secure Mac Address Table ------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 0000.0001.0000 SecureConfigured Fa3/1 15 (I) 1 0000.0001.0001 SecureConfigured Fa3/1 14 (I) 1 0000.0001.0100 SecureConfigured Fa3/2 - 1 0000.0001.0101 SecureConfigured Fa3/2 - 1 0000.0001.0200 SecureConfigured Fa3/3 - 1 0000.0001.0201 SecureConfigured Fa3/3 - 1 0000.0001.0300 SecureConfigured Fa3/4 - 1 0000.0001.0301 SecureConfigured Fa3/4 - 1 0000.0001.1000 SecureDynamic Fa3/5 - 1 0000.0001.1001 SecureDynamic Fa3/5 - 1 0000.0001.1100 SecureDynamic Fa3/6 - 1 0000.0001.1101 SecureDynamic Fa3/6 - 1 0000.0001.1200 SecureSticky Fa3/7 - 1 0000.0001.1201 SecureSticky Fa3/7 - 1 0000.0001.1300 SecureSticky Fa3/8 - 1 0000.0001.1301 SecureSticky Fa3/8 - ------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) :8 Max Addresses limit in System (excluding one mac per port) :1024
Estructura del Modelo OSI de ISO
El objetivo perseguido por OSI establece una estructura que presenta las siguientes particularidades:
Estructura multinivel: Se dise una estructura multinivel con la idea de que cada nivel se dedique a resolver una parte del problema de comunicacin. Esto es, cada nivel ejecuta funciones especificas.
El nivel superior utiliza los servicios de los niveles inferiores: Cada nivel se comunica con su similar en otras computadoras, pero debe hacerlo enviando un mensaje a travs de los niveles inferiores en la misma computadora. La comunicacin internivel est bien definida. El nivel N utiliza los servicios del nivel N-1 y proporciona servicios al nivel N+1.
Puntos de acceso: Entre los diferentes niveles existen interfaces llamadas "puntos de acceso" a los servicios.
Dependencias de Niveles: Cada nivel es dependiente del nivel inferior y tambin del superior.
Encabezados: En cada nivel, se incorpora al mensaje un formato de control. Este elemento de control permite que un nivel en la computadora receptora se entere de que su similar en la computadora emisora esta envindole informacin. Cualquier nivel dado, puede incorporar un encabezado al mensaje. Por esta razn, se considera que un mensaje esta constituido de dos partes: Encabezado e Informacin. Entonces, la incorporacin de encabezados es necesaria aunque representa un lote extra de informacin, lo que implica que un mensaje corto pueda ser voluminoso. Sin embargo, como la computadora destino retira los encabezados en orden inverso a como fueron incorporados en la computadora origen, finalmente el usuario slo recibe el mensaje original.
Unidades de informacin: En cada nivel, la unidad de informacin tiene diferente nombre y estructura.
En el modelo OSI se consideran siete niveles, en cada uno de ellos se procesan unidades de informacin denominadas PDU (Unidad de datos de protocolo). En las computadoras emisoras las PDU se transmiten del nivel superior al inferior, y en cada uno de ellos se aade informacin de control (encabezados, AH, PH, SH, TH, NH, DH, o terminales DT). En las computadoras receptoras la informacin se procesa desde el nivel inferior, comprobando y eliminando en cada nivel los encabezados o terminales de cada PDU correspondiente a dicho nivel.
Capas del modelo OSI
Capa Fsica (Capa 1)
La Capa Fsica del modelo de referencia OSI es la que se encarga de las conexiones fsicas de la computadora hacia la red, tanto en lo que se refiere al medio fsico (cable coaxial, cable de par trenzado, fibra ptica, radio, microondas); caractersticas del medio (p.e. tipo de cable o calidad del mismo; tipo de conectores normalizados o en su caso tipo de antena; etc.) y la forma en la que se transmite la informacin (codificacin de seal, niveles de tensin/intensidad de corriente elctrica, modulacin, tasa binaria, etc.)
Sus principales funciones se pueden resumir como:
Definir el medio o medios fsicos por los que va a viajar la comunicacin: cable de pares trenzados, coaxial, guas de onda, aire, fibra ptica. Definir las caractersticas materiales (componentes y conectores mecnicos) y elctricas (niveles de tensin) que se van a usar en la transmisin de los datos por los medios fsicos. Definir las caractersticas funcionales de la interfaz (establecimiento, mantenimiento y liberacin del enlace fsico). Transmitir el flujo de bits a travs del medio. Manejar las seales elctricas/electromagnticas Especificar cables, conectores y componentes de interfaz con el medio de transmisin, polos en un enchufe, etc. Garantizar la conexin (aunque no la fiabilidad de sta).
Codificacin de la seal
El nivel fsico recibe una trama binaria que debe convertir a una seal elctrica, electromagntica u otra dependiendo del medio, de tal forma que a pesar de la degradacin que pueda sufrir en el medio de transmisin vuelva a ser interpretable correctamente en el receptor.
En el caso ms sencillo el medio es directamente digital, como en el caso de las fibras pticas, dado que por ellas se transmiten pulsos de luz. Cuando el medio no es digital hay que codificar la seal, en los casos ms sencillos la codificacin puede ser por pulsos de tensin, es lo que se llaman codificacin unipolar RZ. Otros medios se codifican mediante presencia o ausencia de corriente. En los casos ms complejos, como suelen ser las comunicaciones inalmbricas, se pueden dar modulaciones muy sofisticadas, este es el caso de los estndares Wi-Fi, en el que se utiliza codificacin OFDM.
Topologa y medios compartidos
Indirectamente, el tipo de conexin que se haga en la capa fsica puede influir en el diseo de la capa de Enlace. Atendiendo al nmero de equipos que comparten un medio hay dos posibilidades:
Conexiones punto a punto: que se establecen entre dos equipos y que no admiten ser compartidas por terceros Conexiones multipunto: en la que ms de dos equipos pueden usar el medio.
As por ejemplo la fibra ptica no permite fcilmente conexiones multipunto y por el contrario las conexiones inalmbricas son inherentemente multipunto. Hay topologas como el anillo, que permiten conectar muchas mquinas a partir de una serie de conexiones punto a punto.
Capa de enlace de datos (Capa 2)
Es la responsable de la transferencia fiable de informacin a travs de un circuito de transmisin de datos.
El objetivo del nivel de enlace es conseguir que la informacin fluya, libre de errores, entre dos mquinas que estn conectadas directamente (servicio orientado a conexin). Para lograr este objetivo tiene que montar bloques de informacin (llamados tramas en este nivel), dotarles de una direccin de nivel de enlace, gestionar la deteccin o correccin de errores, y ocuparse del control de flujo entre equipos (para evitar que un equipo ms rpido desborde a uno ms lento).
Cuando el medio de comunicacin est compartido entre ms de dos equipos es necesario arbitrar el uso del mismo. Esta tarea se realiza en el subnivel de acceso al medio.
Capa de red (Capa 3)
Es una capa que proporciona conectividad y seleccin de ruta entre dos sistemas de hosts que pueden estar ubicados en redes geogrficamente distintas. Su misin es conseguir que los datos lleguen desde el origen al destino aunque no tengan conexin directa. Ofrece servicios al nivel superior (nivel de transporte) y se apoya en el nivel de enlace, es decir, utiliza sus funciones.
Hay dos formas en las que el nivel de red puede funcionar internamente, pero independientemente de que la red funcione internamente con datagramas o con circuitos virtuales puede dar hacia el nivel de transporte un servicio orientado a conexin:
Datagramas: Cada paquete se encamina independientemente, sin que el origen y el destino tengan que pasar por un establecimiento de comunicacin previo. Circuitos virtuales: En una red de circuitos virtuales dos equipos que quieran comunicarse tienen que empezar por establecer una conexin. Durante este estableciemiento de conexin, todos los routers que hayan por el camino elegido reservarn recursos para ese circuito virtual especfico.
Hay dos tipos de servicio:
Servicios Orientados: Slo el primer paquete de cada mensaje tiene que llevar la direccin destino. Con este paquete se establece la ruta que debern seguir todos los paquetes pertenecientes a esta conexin. Cuando llega un paquete que no es el primero se identifica a que conexin pertenece y se enva por el enlace de salida adecuado, segn la informacin que se gener con el primer paquete y que permanece almacenada en cada conmutador o nodo. Servicios no orientados: Cada paquete debe llevar la direccin destino, y con cada uno, los nodos de la red deciden el camino que se debe seguir. Existen muchas tcnicas para realizar esta decisin, como por ejemplo comparar el retardo que sufrira en ese momento el paquete que se pretende transmitir segn el enlace que se escoja.
Encaminamiento
Las tcnicas de encaminamiento suelen basarse en el estado de la red, que es dinmico, por lo que las decisiones tomadas respecto a los paquetes de la misma conexin pueden variar segn el instante de manera que stos pueden seguir distintas rutas. El problema, sin embargo, consiste en encontrar un camino ptimo entre un origen y un destino. La bondad de este camino puede tener diferentes criterios: velocidad, retardo, seguridad, regularidad, distancia, longitud media de las colas, costos de comunicacin, etc.
Los equipos encargados de esta labor se denominan encaminadores (router en ingls), aunque tambin realizan labores de encaminamiento los conmutadores (switch en ingls) "multicapa" o "de nivel 3", si bien estos ltimos realizan tambin labores de nivel de enlace.
Algunos protocolos de la capa de red son:
ARP, IP, IGMP, IPX.
Ejemplo IP:
El Protocolo de Internet (IP, de sus siglas en ingls Internet Protocol) es un protocolo no orientado a conexin usado tanto por el origen como por el destino para la comunicacin de datos a travs de una red de paquetes conmutados. Los datos en una red basada en IP son enviados en bloques conocidos como paquetes o datagramas. Si la informacin a transmitir ("datagramas" ) supera el tamao mximo "negociado" (MTU) en el tramo de red por el que va a circular podr ser dividida en paquetes ms pequeos, y reensamblada luego cuando sea necesario. Estos fragmentos podrn ir cada uno por un camino diferente dependiendo de como estn de congestionadas las rutas en cada momento.
Las cabeceras IP contienen las direcciones de las mquinas de origen y destino (direcciones IP), direcciones que sern usadas por los conmutadores de paquetes (switches) y los enrutadores (routers) para decidir el tramo de red por el que reenviarn los paquetes.
Direccin IP
Una direccin IP es un nmero que identifica de manera lgica y jerrquicamente a una interfaz de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo de Internet (Internet Protocol), que corresponde al nivel de red o nivel 3 del modelo de referencia OSI. Dicho nmero no se ha de confundir con la direccin MAC que es un nmero fsico que es asignado a la tarjeta o dispositivo de red (viene impuesta por el fabricante), mientras que la direccin IP se puede cambiar.
Es habitual que un usuario que se conecta desde su hogar a Internet utilice una direccin IP. Esta direccin puede cambiar al reconectar; y a esta forma de asignacin de direccin IP se denomina una direccin IP dinmica (normalmente se abrevia como IP dinmica). Los sitios de Internet que por su naturaleza necesitan estar permanentemente conectados, generalmente tienen una direccin IP fija (se aplica la misma reduccin por IP fija o IP esttica), es decir, no cambia con el tiempo. Los servidores de correo, dns, ftp pblicos, servidores web necesariamente deben contar con una direccin IP fija o esttica, ya que de esta forma se facilita su ubicacin.
Capa de aplicacin (Capa 7)
Ofrece a las aplicaciones (de usuario o no) la posibilidad de acceder a los servicios de las dems capas y define los protocolos que utilizan las aplicaciones para intercambiar datos, como correo electrnico (POP y SMTP), gestores de bases de datos y servidor de ficheros (FTP). Hay tantos protocolos como aplicaciones distintas y puesto que continuamente se desarrollan nuevas aplicaciones el nmero de protocolos crece sin parar.
Cabe aclarar que el usuario normalmente no interacta directamente con el nivel de aplicacin. Suele interactuar con programas que a su vez interactan con el nivel de aplicacin pero ocultando la complejidad subyacente. As por ejemplo un usuario no manda una peticin "HTTP/1.0 GET index.html" para conseguir una pgina en html, ni lee directamente el cdigo html/xml.
Entre los protocolos (refirindose a protocolos genricos, no a protocolos de la capa de aplicacin de OSI) ms conocidos destacan:
HTTP (HyperText Transfer Protocol) el protocolo bajo la www FTP (File Transfer Protocol) ( FTAM, fuera de TCP/IP) transferencia de ficheros SMTP (Simple Mail Transfer Protocol) (X.400 fuera de tcp/ip) envo y distribucin de correo electrnico POP (Post Office Protocol)/IMAP: reparto de correo al usuario final SSH (Secure SHell) principalmente terminal remoto, aunque en realidad cifra casi cualquier tipo de transmisin. Telnet otro terminal remoto, ha cado en desuso por su inseguridad intrnseca, ya que las claves viajan sin cifrar por la red.
Hay otros protocolos de nivel de aplicacin que facilitan el uso y administracin de la red:
SNMP (Simple Network Management Protocol) DNS (Domain Name System)
Capa 1 - Fsica
La capa fsica no entiende nada, pero bits: La seal llega a ella en forma de impulsos y se transforma en 0's y 1's. En el caso de las seales elctricas, por ejemplo, si la seal tiene un voltaje negativo, se identifica como 0. Y si usted tiene una voltaje positiva, se identifica como 1.
En esta capa se define a continuacin, los usos de los cables y conectores, as como el tipo de seal (pulsos elctricos - coaxiales; pulsos de luz - ptica). Funcin: recibir los datos e iniciar el proceso (o lo contrario, introducir datos y completar el proceso). Dispositivos: cables, conectores, concentradores, transceiver (traduccin entre las seales pticas y elctricas - que se desplaza en cables diferentes). PDU: bits.
Capa 2 - Enlace
Continuando con el flujo, la capa de enlace de datos recibe el formato de la capa fsica, los bits, y los trata, convirtiendo los datos en el disco que se remitir a la siguiente capa. Un concepto importante, la direccin fsica (MAC address - Media Access Control) es en esa capa. La capa siguiente (3 de la red) que se ocupar de la direccin IP conocida, pero vamos a hablar cuando lo discutimos. Funcin: enlace de datos de un host a otro, por lo que es a travs de los protocolos definidos para cada medio especfico por el cual se envan los datos. Protocolos: PPP, Ethernet, FDDI, ATM, Token Ring. Dispositivos: Interruptores, Tarjeta de red, interfaces. PDU: Frame.
Capa 3 - Red
En la tabla a continuacin, llega a la capa de red, responsables de trfico de datos. Para ello, cuenta con dispositivos que identifican el mejor camino posible a seguir, y que establecen dichas rutas. Esta capa tiene la direccin fsica MAC (nivel 2-Link) y la convierte en la direccin lgica (direccin IP). Y cmo es la direccin IP? Bueno, el protocolo IP es una direccin lgica. Cuando la unidad de capa de red recibe la capa de enlace de datos (Cuadro recuerdas?) Se convierte en su propio PDU con la direccin lgica, que es utilizado por los routers, por ejemplo - en sus tablas de enrutamiento y algoritmos - para encontrar los caminos mejores datos. Esta unidad de datos que ahora se llama paquetes. Funcin: direccionamiento, enrutamiento y definir las mejores rutas posibles. Protocolos: ICMP, IP, IPX, ARP, IPSEC. Dispositivos: Routers. PDU: paquetes. Capa 7 - Aplicacin
En esta capa tenemos las interfaces de usuario, que son creados por los propios datos (correo electrnico, transferencia de archivos, etc.) Aqu es donde los datos son enviados y recibidos por los usuarios. Estas peticiones se realizan por las aplicaciones de acuerdo a los protocolos utilizados. As como la capa fsica, que est en el borde del modelo, por lo que tambin se inicia y se detiene todo el proceso. Esta capa es probablemente que estn ms acostumbrados a. Que interactan directamente con l, por ejemplo, cuando se utiliza un programa para leer o enviar correo electrnico, o comunicarse a travs de mensajera instantnea. Funcin: hacer que la interfaz entre los usuarios finales y los programas de comunicacin.
Todas las capas Juntos Bueno hasta ahora? Debemos concluir, como ya se ha extendido demasiado por ahora con el - breve - Descripcin de las capas del modelo OSI. A medida que la informacin final, darse cuenta de que cada uno de ellos siempre preparar (o formato) de datos para entender la siguiente capa. Esto ocurre en todas las etapas de una comunicacin en ambas direcciones. En conclusin, tenemos una cifra que nos da una buena idea de este proceso.
Modelo TCP/IP
Encapsulacin de una aplicacin de datos a travs da capas del modelo TCP/IP. El modelo TCP/IP es un modelo de descripcin de protocolos de reddesarrollado en los aos 70 por Vinton Cerf y Robert E. Kahn. Fue implantado en la red ARPANET, la primera red de rea amplia, desarrollada por encargo de DARPA, una agencia del Departamento de Defensa de los Estados Unidos, y predecesora de la actual red Internet. EL modelo TCP/IP se denomina a veces como Internet Model, ModeloDoD o Modelo DARPA.
El modelo TCP/IP, describe un conjunto de guas generales de diseo e implementacin de protocolos de red especficos para permitir que un equipo pueda comunicarse en una red. TCP/IP provee conectividad de extremo a extremo especificando cmo los datos deberan ser formateados, direccionados, transmitidos, enrutadosy recibidos por el destinatario. Existen protocolos para los diferentes tipos de servicios de comunicacin entre equipos. TCP/IP tiene cuatro capas de abstraccin segn se define en el RFC 1122. Esta arquitectura de capas a menudo es comparada con el Modelo OSI de siete capas. El modelo TCP/IP y los protocolos relacionados son mantenidos por la Internet Engineering Task Force (IETF).
Para conseguir un intercambio fiable de datos entre dos equipos, se deben llevar a cabo muchos procedimientos separados. El resultado es que el software de comunicaciones es complejo. Con un modelo en capas o niveles resulta ms sencillo agrupar funciones relacionadas e implementar el software de comunicaciones modular. Las capas estn jerarquizadas. Cada capa se construye sobre su predecesora. El nmero de capas y, en cada una de ellas, sus servicios y funciones son variables con cada tipo de red. Sin embargo, en cualquier red, la misin de cada capa es proveer servicios a las capas superiores hacindoles transparentes el modo en que esos servicios se llevan a cabo. De esta manera, cada capa debe ocuparse exclusivamente de su nivel inmediatamente inferior, a quien solicita servicios, y del nivel inmediatamente superior, a quien devuelve resultados.
Capa 4 o capa de aplicacin: Aplicacin, asimilable a las capas 5 (sesin), 6 (presentacin) y 7 (aplicacin) del modelo OSI. La capa de aplicacin deba incluir los detalles de las capas de sesin y presentacin OSI. Crearon una capa de aplicacin que maneja aspectos de representacin, codificacin y control de dilogo. Capa 3 o capa de transporte: Transporte, asimilable a la capa 4 (transporte) del modelo OSI. Capa 2 o capa de internet: Internet, asimilable a la capa 3 (red) del modelo OSI. Capa 1 o capa de acceso al medio: Acceso al Medio, asimilable a la capa 2 (enlace de datos) y a la capa 1 (fsica) del modelo OSI.
User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de datagramas (Encapsulado de capa 4 Modelo OSI). Permite el envo de datagramas a travs de la red sin que se haya establecido previamente una conexin, ya que el propio datagrama incorpora suficiente informacin de direccionamiento en su cabecera. Tampoco tiene confirmacin ni control de flujo, por lo que los paquetes pueden adelantarse unos a otros; y tampoco se sabe si ha llegado correctamente, ya que no hay confirmacin de entrega o recepcin. Su uso principal es para protocolos como DHCP, BOOTP, DNS y dems protocolos en los que el intercambio de paquetes de la conexin/desconexin son mayores, o no son rentables con respecto a la informacin transmitida, as como para la transmisin de audio y vdeo en tiempo real, donde no es posible realizar retransmisiones por los estrictos requisitos de retardo que se tiene en estos casos.
FTP (siglas en ingls de File Transfer Protocol, 'Protocolo de Transferencia de Archivos') en informtica, es un protocolo de redpara la transferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol), basado en la arquitecturacliente-servidor. Desde un equipo cliente se puede conectar a un servidor para descargar archivos desde l o para enviarle archivos, independientemente del sistema operativo utilizado en cada equipo. El servicio FTP es ofrecido por la capa de aplicacin del modelo de capas de red TCP/IP al usuario, utilizando normalmente el puerto de red 20 y el 21. Un problema bsico de FTP es que est pensado para ofrecer la mxima velocidad en la conexin, pero no la mxima seguridad, ya que todo el intercambio de informacin, desde el login y password del usuario en el servidor hasta la transferencia de cualquier archivo, se realiza en texto plano sin ningn tipo de cifrado, con lo que un posible atacante puede capturar este trfico, acceder al servidor y/o apropiarse de los archivos transferidos. Para solucionar este problema son de gran utilidad aplicaciones como scp y sftp, incluidas en el paquete SSH, que permiten transferir archivos pero cifrando todo el trfico. Modos de conexin del cliente FTP FTP admite dos modos de conexin del cliente. Estos modos se denominan activo (o Estndar, o PORT, debido a que el cliente enva comandos tipo PORT al servidor por el canal de control al establecer la conexin) y pasivo (o PASV, porque en este caso enva comandos tipo PASV). Tanto en el modo Activo como en el modo Pasivo, el cliente establece una conexin con el servidor mediante el puerto 21, que establece el canal de control.
Trivial File Transfer Protocol ( TFTP ) es un archivo de transferencia de protocolo destaca por su sencillez. Se utiliza generalmente para la transferencia automatizada de configuracin o archivos de arranque entre las mquinas en un entorno local. En comparacin con FTP , TFTP es extremadamente limitado, siempre y cuando no la autenticacin, y rara vez se utiliza de forma interactiva por el usuario. Debido a su diseo simple, TFTP puede ser implementado usando una cantidad muy pequea de memoria . Por tanto, es til para arrancar las computadoras tales como routers que pueden no tener ningn dispositivo de almacenamiento de datos . Es un elemento del entorno de ejecucin de prearranque (PXE) Protocolo de inicio de red, en el que se implementa en el firmware ROM / NVRAM de la tarjeta de red del host. Tambin se utiliza para transferir pequeas cantidades de datos entre hosts en una red , como telfonos IP de firmware o sistema operativo imgenes cuando un control remoto del sistema X Window de terminal o cualquier otrocliente ligero arranca desde un host de red o servidor . Las etapas iniciales de algunos sistemas de instalacin basados en red (como Solaris Jumpstart , Red Hat Kickstart , Symantec Ghost y de Windows NT 's servicios de instalacin remota ) usan TFTP para cargar una base del ncleo que lleva a cabo la instalacin real. Se usaba para guardar las configuraciones del router en los routers Cisco, pero ms tarde se ampli con otros protocolos. [ 1 ]
TFTP se defini por primera vez en 1980 por el IEN 133. [ 2 ] Desde 1992, ha sido definido por el RFC 1350 . Ha habido algunas extensiones al protocolo TFTP documentado en RFC posteriores (vase la seccin sobre las extensiones, a continuacin). TFTP se basa en parte en el protocolo anterior EFTP , que formaba parte de la PUPconjunto de protocolos . Soporte TFTP apareci por primera vez como parte de 4.3 BSD . Debido a la falta de seguridad, es peligroso utilizar a travs de Internet. Por lo tanto, TFTP es generalmente utilizado en las redes privadas, locales.
Simple Network Management Protocol El Protocolo Simple de Administracin de Red o SNMP (delingls Simple Network Management Protocol) es un protocolo de la capa de aplicacin que facilita el intercambio de informacin de administracin entre dispositivos de red. Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento. Las versiones de SNMP ms utilizadas son SNMP versin 1 (SNMPv1) y SNMP versin 2 (SNMPv2). SNMP en su ltima versin (SNMPv3) posee cambios significativos con relacin a sus predecesores, sobre todo en aspectos de seguridad; sin embargo no ha sido mayoritariamente aceptado en la industria.
Simple Mail Transfer Protocol El Simple Mail Transfer Protocol (SMTP) (Protocolo para la transferencia simple de correo electrnico), es un protocolo de redutilizado para el intercambio de mensajes de correo electrnicoentre computadoras u otros dispositivos (PDA, telfonos mviles, etc.). Fue definido en el RFC 2821 y es un estndar oficial de Internet. 1
El funcionamiento de este protocolo se da en lnea, de manera que opera en los servicios de correo electrnico. Sin embargo, este protocolo posee algunas limitaciones en cuanto a la recepcin de mensajes en el servidor de destino (cola de mensajes recibidos). Como alternativa a esta limitacin se asocia normalmente a este protocolo con otros, como el POP o IMAP, otorgando a SMTP la tarea especfica de enviar correo, y recibirlos empleando los otros protocolos antes mencionados (POP O IMAP).
RADIUS (acrnimo en ingls de Remote Authentication Dial-In User Service). Es un protocolo de autenticacin y autorizacin para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones. Cuando se realiza la conexin con un ISP mediante mdem, DSL, cablemdem, Ethernet o Wi-Fi, se enva una informacin que generalmente es un nombre de usuario y una contrasea. Esta informacin se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige la peticin a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la informacin es correcta utilizando esquemas de autenticacin como PAP, CHAP o EAP. Si es aceptado, el servidor autorizar el acceso al sistema del ISP y le asigna los recursos de red como una direccin IP, y otros parmetros como L2TP, etc. Una de las caractersticas ms importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexin, as que al usuario se le podr determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propsitos estadsticos. RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidores de Acceso a la Red(NAS), ms tarde se public como RFC 2138 y RFC 2139. Actualmente existen muchos servidores RADIUS, tanto comerciales como de cdigo abierto. Las prestaciones pueden variar, pero la mayora pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para monitorear remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una administracin centralizada y pueden reescribir paquetes RADIUS al vuelo (por razones de seguridad, o hacer conversiones entre dialectos de diferentes fabricantes).... RADIUS es extensible; la mayora de fabricantes de software y hardware RADIUS implementan sus propios dialectos Protocolo AAA En seguridad informtica, el acrnimo AAA corresponde a un tipo de protocolos que realizan tres funciones: Autenticacin, Autorizacin y Contabilizacin (Authentication, Authorization and Accounting en ingls). La expresinprotocolo AAA no se refiere pues a un protocolo en particular, sino a una familia de protocolos que ofrecen los tres servicios citados. AAA se combina a veces con auditoria, convirtindose entonces en AAAA. Autenticacin La Autenticacin es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la primera entidad es un cliente (usuario, ordenador, etc) y la segunda un servidor (ordenador). La Autenticacin se consigue mediante la presentacin de una propuesta de identidad (vg. un nombre de usuario) y la demostracin de estar en posesin de las credenciales que permiten comprobarla. Ejemplos posibles de estas credenciales son las contraseas, los testigos de un slo uso (one-time tokens), los Certificados Digitales, los nmeros de telfono en la identificacin de llamadas. Viene al caso mencionar que los protocolos de autenticacin digital modernos permiten demostrar la posesin de las credenciales requeridas sin necesidad de transmitirlas por la red (vanse por ejemplo los protocolos de desafo-respuesta). Autorizacin Autorizacin se refiere a la concesin de privilegios especficos (incluyendo "ninguno") a una entidad o usuario basndose en su identidad (autenticada), los privilegios que solicita, y el estado actual del sistema. Las autorizaciones pueden tambin estar basadas en restricciones, tales como restricciones horarias, sobre la localizacin de la entidad solicitante, la prohibicin de realizar logins mltiples simultneos del mismo usuario, etc. La mayor parte de las veces el privilegio concedido consiste en el uso de un determinado tipo de servicio. Ejemplos de tipos de servicio son, pero sin estar limitado a: filtrado de direcciones IP, asignacin de direcciones, asignacin de rutas, asignacin de parmetros de Calidad de Servicio, asignacin de Ancho de banda, yCifrado. Contabilizacin La Contabilizacin se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta informacin puede usarse posteriormente para la administracin, planificacin, facturacin, u otros propsitos. La contabilizacin en tiempo real es aquella en la que los datos generados se entregan al mismo tiempo que se produce el consumo de los recursos. En contraposicin la contabilizacin por lotes (en ingls "batch accounting") consiste en la grabacin de los datos de consumo para su entrega en algn momento posterior. La informacin tpica que un proceso de contabilizacin registra es la identidad del usuario, el tipo de servicio que se le proporciona, cuando comenz a usarlo, y cuando termin.
Internet Authentication Service El Servicio de autentificacin de Internet o IAS (en ingles Internet Authentication Service) es un componente del sistema operativo Windows Server que proporciona autenticaciones de usuario, autorizaciones, contabilidad y auditora.
Protocolo de autenticacin extensible (EAP) El Protocolo de autenticacin extensible (EAP, Extensible Authentication Protocol) es una extensin del Protocolo punto a punto (PPP) que admite mtodos de autenticacin arbitrarios que utilizan intercambios de credenciales e informacin de longitudes arbitrarias. EAP se ha desarrollado como respuesta a la creciente demanda de mtodos de autenticacin que utilizan dispositivos de seguridad, como las tarjetas inteligentes, tarjetas de identificacin y calculadoras de cifrado. EAP proporciona una arquitectura estndar para aceptar mtodos de autenticacin adicionales junto con PPP. Mediante EAP, se pueden admitir esquemas de autenticacin adicionales, conocidos como tipos EAP. Entre estos esquemas se incluyen las tarjetas de identificacin, contraseas de un solo uso, autenticacin por clave pblica mediante tarjetas inteligentes y certificados. EAP, junto con los tipos de EAP seguros, es un componente tecnolgico crtico para las conexiones de red privada virtual (VPN) seguras. Los tipos EAP seguros, como los basados en certificados, ofrecen mayor seguridad frente a ataques fsicos o de diccionario, y de investigacin de contraseas, que otros mtodos de autenticacin basados en contrasea, como CHAP o MS-CHAP. Para averiguar si se est utilizando un tipo de EAP en su organizacin, pngase en contacto con el administrador de la red. Para configurar una conexin con EAP, vea Configurar la autenticacin de la identidad y el cifrado de datos. La familia Windows Server 2003 admite dos tipos de EAP: EAP-MD5 CHAP (equivalente al protocolo de autenticacin CHAP) EAP-TLS (utilizado para autenticacin basada en certificados de usuario). EAP-TLS es un mtodo de autenticacin mutua, lo que significa que tanto el cliente como el servidor deben demostrar sus identidades uno a otro. Durante el proceso de autenticacin, el cliente de acceso remoto enva su certificado de usuario y el servidor de acceso remoto enva su certificado de equipo. Si el certificado no se enva o no es vlido, se termina la conexin. Wi-Fi Protected Access, llamado tambin WPA (en espaol Acceso Wi-Fi protegido) es un sistema para proteger las redes inalmbricas (Wi-Fi) . Creado para corregir las deficiencias del sistema previo, Wired Equivalent Privacy (WEP). 1 Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la reutilizacin del vector de inicializacin (IV), del cual se derivan ataques estadsticos que permiten recuperar la clave WEP, entre otros). WPA implementa la mayora del estndar IEEE 802.11i, y fue creado como una medida intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado. WPA fue creado por la Wi-Fi Alliance(Alianza Wi-Fi). WPA adopta la autenticacin de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autenticacin mediante una clave precompartida, que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red. Un inconveniente encontrado en la caracterstica agregada al Wi-Fi llamada Wi-Fi Protected Setup (tambin bajo el nombre de QSS) permite eludir la seguridad e infiltrarse en las redes que usan los protocolos WPA y WPA2. WPA2[editar] Artculo principal: WPA2 Una vez finalizado el nuevo estndar 802.11ie se crea el WPA2 basado en este. WPA se podra considerar de migracin, mientras que WPA2 es la versin certificada del estndar de la IEEE. 5
6
El estndar 802.11i fue ratificado en junio de 2004. La Wi-Fi Alliance llama a la versin de clave pre-compartida WPA-Personal y WPA2-Personal y a la versin con autenticacin 802.1x/EAP como WPA-Enterprise y WPA2-Enterprise. Los fabricantes comenzaron a producir la nueva generacin de puntos de acceso apoyados en el protocolo WPA2 que utiliza el algoritmo de cifrado AES (Advanced Encryption Standard). 7 Con este algoritmo ser posible cumplir con los requerimientos de seguridad del gobierno de USA - FIPS140-2. "WPA2 est idealmente pensado para empresas tanto del sector privado cmo del pblico. Los productos que son certificados para WPA2 le dan a los gerentes de TI la seguridad de que la tecnologa cumple con estndares de interoperatividad" declar Frank Hazlik Managing Director de la Wi-Fi Alliance. Si bien parte de las organizaciones estaban aguardando esta nueva generacin de productos basados en AES es importante resaltar que los productos certificados para WPA siguen siendo seguros de acuerdo a lo establecido en el estndar 802.11i Seguridad ataques WPA2[editar] Tanto la versin 1 de WPA, como la denominada versin 2, se basan en la transmisin de las autenticaciones soportadas en el elemento de informacin correspondiente. En el caso de WPA 1, en el tag propietario de Microsoft, y en el caso de WPA2 en el tag estndar 802.11i RSN. Durante el intercambio de informacin en el proceso de conexin RSN, si el cliente no soporta las autenticaciones que especifica el AP (access point, punto de acceso), ser desconectado pudiendo sufrir de esta manera un ataque DoS especfico a WPA. Adems, tambin existe la posibilidad de capturar el 4-way handshake que se intercambia durante el proceso de autenticacin en una red con seguridad robusta. Las claves PSK (precompartidas) son vulnerables a ataques de diccionario (no as las empresariales, ya que el servidor RADIUS generar de manera aleatoria dichas claves), existen proyectos libres que utilizan GPU con lenguajes especficos como CUDA (NVIDIA) y Stream (AMD) para realizar ataques de fuerza bruta hasta cien veces ms rpido que con computadoras ordinarias.
Wired Equivalent Privacy Para WEP en aviacin, vase Potencia de emergencia. WEP, acrnimo de Wired Equivalent Privacy o "Privacidad Equivalente a Cableado", es el sistema de cifrado incluido en el estndar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la informacin que se transmite. Proporciona un cifrado a nivel 2, basado en el algoritmo de cifrado RC4 que utiliza claves de 64 bits (40 bits ms 24 bits del vector de iniciacin IV) o de 128 bits (104 bits ms 24 bits del IV). Los mensajes de difusin de las redes inalmbricas se transmiten por ondas de radio, lo que los hace ms susceptibles, frente a las redes cableadas, de ser captados con relativa facilidad. Presentado en 1999, el sistema WEP fue pensado para proporcionar una confidencialidad comparable a la de una red tradicional cableada. Comenzando en 2001, varias debilidades serias fueron identificadas por analistas criptogrficos. Como consecuencia, hoy en da una proteccin WEP puede ser violada con software fcilmente accesible en pocos minutos. Unos meses ms tarde el IEEE cre la nueva correccin de seguridad 802.11i para neutralizar los problemas. Hacia 2003, la Wi-Fi Alliance anunci que WEP haba sido reemplazado por Wi-Fi Protected Access (WPA). Finalmente en 2004, con la ratificacin del estndar completo 802.11i (conocido como WPA2), el IEEE declar que tanto WEP-40 como WEP-104 fueron revocados por presentar fallos en su propsito de ofrecer seguridad. A pesar de sus debilidades, WEP sigue siendo utilizado, ya que es a menudo la primera opcin de seguridad que se presenta a los usuarios por las herramientas de configuracin de los routers an cuando slo proporciona un nivel de seguridad que puede disuadir del uso sin autorizacin de una red privada, pero sin proporcionar verdadera proteccin. Fue desaprobado como un mecanismo de privacidad inalmbrico en 2004, pero todava est documentado en el estndar actual. WEP es a veces interpretado errneamente como Wireless Encryption Protocol.
Autenticacin En el sistema WEP se pueden utilizar dos mtodos de autenticacin: Sistema Abierto y Clave Compartida. Para ms claridad hablaremos de la autenticacin WEP en el modo de Infraestructura (por ejemplo, entre un cliente WLAN y un Punto de Acceso), pero se puede aplicar tambin al modo Ad-Hoc. Autenticacin de Sistema Abierto: el cliente WLAN no se tiene que identificar en el Punto de Acceso durante la autenticacin. As, cualquier cliente, independientemente de su clave WEP, puede verificarse en el Punto de Acceso y luego intentar conectarse. En efecto, la no autenticacin (en el sentido estricto del trmino) ocurre. Despus de la autenticacin y la asociacin, el sistema WEP puede ser usado para cifrar los paquetes de datos. En este punto, el cliente tiene que tener las claves correctas. Autenticacin mediante Clave Compartida: WEP es usado para la autenticacin. Este mtodo se puede dividir en cuatro fases: I) La estacin cliente enva una peticin de autenticacin al Punto de Acceso. II) El punto de acceso enva de vuelta un texto modelo. III) El cliente tiene que cifrar el texto modelo usando la clave WEP ya configurada, y reenviarlo al Punto de Acceso en otra peticin de autenticacin. IV) El Punto de Acceso descifra el texto codificado y lo compara con el texto modelo que haba enviado. Dependiendo del xito de esta comparacin, el Punto de Acceso enva una confirmacin o una denegacin. Despus de la autenticacin y la asociacin, WEP puede ser usado para cifrar los paquetes de datos. A primera vista podra parecer que la autenticacin por Clave Compartida es ms segura que la autenticacin por Sistema Abierto, ya que ste no ofrece ninguna autenticacin real. Sin embargo, es posible averiguar la clave WEP esttica interceptando los cuatro paquetes de cada una de las fases de la autenticacin con Clave Compartida. Por lo tanto es aconsejable usar la autenticacin de Sistema Abierto para la autenticacin WEP (ntese que ambos mecanismos de autenticacin son dbiles).