Estudi Ar

Configuracin de VTP (VLAN Trunking Protocol)
Publicado por Victor E. Martinez G. el 14 marzo, 2013

Publicado en: Tutoriales. Etiquetado: administrar, archivos, Cisco Systems, como
funciona, computadora, free,freetutorial, funcionamiento, futuro, gratis, how to, howto, IP address, MAC
address, Network, novedad, nuevo, red,Router, Switch, tutorial, tutoriales, tutorialgratis, tutorialredes, usuario,
Virtual LAN, VLAN Trunking Protocol. 5 comentarios
El Escenario que utilizaremos en este tutorial sera el siguiente:

El protocolo VTP facilita la configuracin de VLANs en mltiples switches de manera
simultanea solo con la configuracin del switch denominado como servidor (server).
Inicialmente configuraremos los puertos troncales en los 3 switches, luego procederemos a
configurar el resto de los puertos como acceso por motivos de seguridad, luego
configuraremos el protocolo VTP en los 3 switches, las VLANs a utilizar las configuraremos en
el switch denominado como servidor y por ultimo configuraremos los puertos en sus
respectivas VLAN.
Las VLAN que utilizaremos sern las siguientes:
VLAN 10 (Administracin)
VLAN 20 (Ventas)
A medida que se haga la configuracin, se explicaran los pasos uno por uno.

1. Procedimiento para configurar VTP
2. Configuracin de puertos troncales y acceso
3. Configuracin de VTP
4. Configuracin de las VLAN en el switch server y verificacin en todos los switches de
las VLAN
5. Asignacin de las los puertos a las VLANs
6. Estado en dela red

1. Procedimiento para configurar VTP
Para realizar la configuracin de VTP, se debe configurar como troncales (trunk), las interfaces
que conectan los switches entre si, para esto debemos ingresar al mtodo de configuracin
global (S1(config)#), utilizando el comando interface seguido la interfaz
correspondiente ingresamos al modo de configuracin de la interfaz (S1(config-if)#)
(interface range si queremos configurar varias interfaces a la vez) y luego utilizando el
comando switchport mode trunk configuramos el puerto como troncal, luego de esto
por motivos de seguridad configuramos los dems puertos como acceso ingresando al modo
de configuracin de interfaces (S1(config-if-range)#) y utilizando el comando
switchport mode access.
Luego debemos configurar el nombre del dominio VTP desde el modo de configuracin global
(S1(config)#) utilizando el comando vtp domain seguido del nombre del dominio (el
nombre del dominio es sensible al tipo de letra), Luego asignamos una contrasea al dominio
con el comando vtp password seguido de la contrasea que deseamos utilizar, luego
debemos especificar el modo en el que el switch funcionara, esto con el comando vtp mode
seguido del modo (server, client, transparent).
Luego de haber configurado VTP debemos ingresar las VLANs en el switch que esta en modo
servidor para que los que estn en modo cliente puedan aprender las VLANs
automticamente, esto lo conseguimos desde el modo de configuracin global
(S1(config)#) utilizando el comando vlan seguido del numero de la VLAN (1-1005), luego
en el modo de configuracin de VLAN (S1(config-vlan)#) asignamos un nombre a la
VLAN utilizando el comando name seguido del nombre que deseamos asignar a la VLAN.
Por ultimo debemos asignar las VLAN a los puertos, esto lo conseguimos desde el modo de
configuracin global (S1(config)#) utilizando el comando interface o interface
range seguido de la interfaz que deseamos asignar a una VLAN especifica, luego en el
modo de configuracin de interfaz utilizamos el comando switchport access vlan
seguido del numero de la VLAN correspondiente.
2. Configuracin de puertos troncales y acceso
Configuracin S1
Configuracion de las interfaces de S1:
S1(config)#interface range fastEthernet 0/1 2
S1(config-if-range)#switchport mode trunk
S1(config-if-range)#exit
S1(config-if-range)#switchport mode access
Configuracin S2
Configuracin de las interfaces de S2:
S2(config)#interface fastEthernet 0/1
S2(config-if)#switchport mode trunk
S2(config-if)#exit
Configuracin S3
Configuracin de las interfaces de S3:
S3(config-if)#switchport mode trunk
S3(config-if)#exit

Estado de la red en este punto:
En este punto los switches estn preparados para intercambiar informacin de las VLAN, pero
debido a que no hemos configurado VTP ni las VLANs no se ha iniciado la transmisin de
VLAN.
3. Configuracin de VTP
Configuracin de S1
Configuracin del nombre, contrasea y modo del S1:
S1(config)#vtp domain Practica
S1(config)#vtp password seguro
S1(config)#vtp mode server
Configuracin de S2
S2(config)#vtp mode client
Configuracin de S3
S3(config)#vtp mode client

Estado de la re en este punto:
En este punto los switces estn preparados para transmitir las VLAN configuradas en el switch
server, pero como no tiene ninguna VLAN configurada no se esta transmitiendo nada.
4. Configuracin de las VLAN en el switch server y verificacin en todos los switches de
las VLAN
Verificacion de las VLANs en los 3 switches antes de la configuracin
VLANs en S1:
S1#show vlan brief
1 default
1002 fddi-default
1003 token-ring-default
1004 fddinet-default
1005 trnet-default
VLANs en S2
S2#show vlan brief
1 default
1002 fddi-default
1005 trnet-default
VLANs en S3
S3#show vlan brief
1 default
1002 fddi-default
1005 trnet-default
Configuracin de las VLAN
Configuracin de la VLAN 10:
S1(config)#vlan 10
S1(config-vlan)#name Administracion
Configuracin de la VLAN 20
S1(config)#vlan 20
S1(config-vlan)#name Ventas
Verificacin de las VLANs en los 3 switches despus de la configuracin
VLANs en S1:
S1#show vlan brief
1 default
10 Administracion
20 Ventas
1002 fddi-default
1005 trnet-default
VLANs en S2
S2#show vlan brief
1 default
10 Administracion
20 Ventas
1002 fddi-default
1005 trnet-default
VLANs en S3
S3#show vlan brief
1 default
10 Administracion
20 Ventas
1002 fddi-default
1005 trnet-default

Estado de la red en este punto
En este punto el switch server (S1) transmiti sus VLANs a los switches clientes (S2 y S3),
actualmente las PC tienen comunicacin entre si debido a que no han sido separadas en
VLANs.
5. Asignacin de las los puertos a las VLANs
Asignacin de la los puertos a la VLAN 10
Configuracin del S2

S2(config-if)#switchport access vlan 10
S2(config-if)#exit
Configuracin del S3
S3(config-if)#exit

6. Estado en dela red.
En este punto la red tiene comunicacin a travs de las VLAN, es decir, los equipos que se
encuentran en una misma red y una misma VLAN ya tienen comunicacin, por ejemplo las PC
1 y 3, tienen comunicacin entre si debido a que estn en la misma red (192.168.1.0/24) y en
la misma VLAN (10), lo mismo pasa con las PC 2 y 4. Puede verificar la comunicacin
haciendo pruebas con ping.
Espero que les haya sido de utilidad este how to, si tienen alguna sugerencia y/o duda sobre
algn punto pueden dejar sus comentarios, gracias por su tiempo para leerlo.
Introduccin
Protocolo Troncal VLAN (VTP) reduce la administracin en una red conmutada. Cuando se configura una
nueva VLAN en un servidor VTP, VLAN se distribuye a travs de todos los switches en el dominio. Esto
reduce la necesidad de configurar la misma VLAN en todas partes. VTP es un protocolo propietario de Cisco
que est disponible en la mayora de los productos de la serie Cisco Catalyst.
Nota: Este documento no cubre VTP Versin 3. VTP Versin 3 difiere de VTP Versin 1 (V1) y la versin 2
(V2), y que slo est disponible en el catalizador OS (CatOS) 8.1 (1) o posterior. VTP versin 3 incorpora
muchos cambios de VTP V1 y V2. Asegrese de que usted entiende las diferencias entre VTP Versin 3 y
versiones anteriores antes de modificar la configuracin de su red.Consulte una de estas secciones de VLAN
Trunking Protocol (VTP) para obtener ms informacin:
Entender VTP Versin 3
Interaccin VLAN
Requisitos previos
Requerimientos
No hay requisitos especficos para este documento.
Componentes utilizados
Este documento no est restringido a aplicaciones especficas o versiones de hardware.
Convenios
Consulte Convenios Cisco consejos tcnicos para obtener ms informacin sobre las convenciones de
documentos.
Entender VTP
Nota: Este documento no cubre VTP Versin 3. VTP Versin 3 se diferencia de VTP V1 y V2 y slo est
disponible en CatOS 8.1 (1) o posterior. Consulte una de estas secciones de VLAN Trunking Protocol
(VTP) para obtener ms informacin:
Entender VTP Versin 3
Interaccin VLAN
VTP Mensajes en Detalle
Paquetes VTP se envan ya sea en Inter-Switch Link (ISL) cuadros o en IEEE 802.1Q (dot1q) marcos. Estos
paquetes se envan a la direccin MAC de destino 01-00-0C-CC-CC-CC con un control de enlace lgico (LLC)
cdigo de Protocolo de Acceso de subred (SNAP) (AAAA) y un tipo de 2003 (en la cabecera SNAP) . Este es
el formato de un paquete de VTP que est encapsulado en tramas ISL:

Por supuesto, usted puede tener un paquete VTP dentro de los marcos 802.1Q. En ese caso, el encabezado
ISL y de comprobacin de redundancia cclica (CRC) se sustituye por el etiquetado dot1q.
Ahora considere el detalle de un paquete VTP. El formato de la cabecera del VTP puede variar, basado en el
tipo de mensaje del VTP. Pero, todos los paquetes VTP contienen estos campos en la cabecera:
VTP versin de protocolo: 1, 2, o 3
VTP tipos de mensajes:
o Anuncios Resumen
o Subset anuncio
o Peticiones Publicidad
o VTP unirse mensajes
Longitud del dominio de gestin
Nombre de dominio de gestin
Configuracin Nmero de revisiones
El nmero de revisin de configuracin es un nmero de 32 bits que indica el nivel de revisin para un
paquete VTP. Cada dispositivo de VTP rastrea el nmero de revisin de configuracin de VTP que se asigna
a la misma. La mayora de los paquetes VTP contienen el nmero de revisin de configuracin VTP del
remitente.
Esta informacin se utiliza con el fin de determinar si la informacin recibida es ms reciente que la versin
actual. Cada vez que se realiza un cambio de VLAN en un dispositivo de VTP, la revisin de la configuracin
se incrementa en uno. Con el fin de restablecer la revisin de la configuracin de un interruptor, cambiar el
nombre de dominio VTP, y luego cambiar el nombre de nuevo al nombre original.
Resumen anuncios
De forma predeterminada, Catalyst cambia emitir anuncios de resumen en incrementos de cinco
minutos. Resumen anuncios informan catalizadores adyacentes del nombre actual de dominio VTP y el
nmero de revisin de configuracin.
Cuando el switch recibe un resumen anuncio paquete, el switch compara el nombre de dominio VTP a su
propio nombre de dominio VTP. Si el nombre es diferente, el cambio simplemente ignora el paquete. Si el
nombre es el mismo, el switch compara la revisin de la configuracin de su propia revisin. Si su propia
revisin de la configuracin es mayor o igual, se ignora el paquete. Si es inferior, se enva una solicitud de
anuncio.

Esta lista aclara lo que significa que los campos en el resumen anuncio de paquetes:
El campo Seguidores indica que este paquete es seguido por un paquete Subconjunto Publicidad.
El actualizador de identidad es la direccin IP del switch que es el ltimo que ha incrementado la
revisin de la configuracin.
La actualizacin Timestamp es la fecha y la hora del ltimo incremento de la revisin de la
configuracin.
Message Digest 5 (MD5) realiza la contrasea de VTP, si MD5 se configura y se utiliza para
autenticar la validacin de una actualizacin VTP.
Subset anuncios
Al agregar, eliminar o cambiar una VLAN en un catalizador, ste servidor donde los cambios se realizan
incrementos de la revisin de la configuracin y emite un resumen anuncio. Uno o varios anuncios
subconjunto siguen el resumen anuncio. Un subconjunto anuncio contiene una lista de informacin de la
VLAN. Si hay varias VLANs, ms de un subconjunto anuncio puede ser necesario con el fin de anunciar todas
las VLAN.

Este ejemplo muestra el formato que cada campo de informacin de VLAN contiene informacin para una
VLAN diferente. Se orden de manera que los ID de VLAN ISL-valorados bajado ocurren primero:

La mayora de los campos en este paquete son fciles de entender. Se trata de dos aclaraciones:
Cdigo -El formato de este es 0x02 para subconjunto anuncio.
Secuencia nmero -Esta es la secuencia del paquete en el flujo de paquetes que siguen un
resumen anuncio. La secuencia comienza con 1.
Las solicitudes de propaganda
Un interruptor necesita un anuncio de solicitud de VTP en estas situaciones:
El interruptor se ha restablecido.
El nombre de dominio de VTP se ha cambiado.
El interruptor ha recibido un resumen anuncio VTP con una revisin de la configuracin ms alta que
la suya.
Tras la recepcin de una solicitud de anuncio, un dispositivo de VTP enva un resumen anuncio. Uno o ms
anuncios subconjunto siguen el resumen anuncio. Este es un ejemplo:

Cdigo -El formato de este es 0x03 para una solicitud de anuncio.
Puesta en Valor -Esto se utiliza en los casos en los que hay varios anuncios de subconjuntos. Si la
primera ( n ) subconjunto anuncio ha sido recibido y la siguiente (N 1) no se ha recibido, el
catalizador slo pide anuncios de la ( n +1) sima uno.
Otras opciones de VTP
Modos de VTP
Puede configurar un interruptor para operar en cualquiera de estos modos VTP:
Servidor-En modo de servidor VTP, puede crear, modificar y eliminar redes VLAN y especificar otros
parmetros de configuracin, como la versin de VTP y VTP poda, para todo el dominio
VTP. Servidores VTP anuncian su configuracin de VLAN a otros switches en el mismo dominio VTP
y sincronizan su configuracin VLAN con otros switches basados en los anuncios recibidos a travs
de enlaces troncales. Servidor VTP es el modo predeterminado.
Clientes Client-VTP se comportan de la misma manera que los servidores de VTP, pero no se puede
crear, cambiar o eliminar las VLAN en un cliente VTP.
Transparente-VTP switches transparentes no participan en el VTP. Un switch VTP transparente no
hace publicidad de su configuracin de VLAN y no sincroniza su configuracin VLAN basada en los
anuncios recibidos, pero los interruptores transparentes hacer avanzar publicaciones VTP que
reciben sus puertos troncales en VTP versin 2.
Off (configurable slo en interruptores CatOS)-En los tres modos descritos, publicaciones VTP son
recibidos y transmitidos tan pronto como el interruptor entra en el estado de dominio de gestin. En el
modo VTP apagado, los interruptores se comportan de la misma que en el modo transparente de
VTP con la excepcin de que publicaciones VTP no se reenvan.
VTP V2
VTP V2 no es muy diferente a VTP V1. La principal diferencia es que VTP V2 introduce soporte para Token
Ring VLAN. Si utiliza Token Ring VLAN, debe habilitar VTP V2. De lo contrario, no hay razn para usar VTP
V2. Cambio de la versin VTP 1-2 no causar un interruptor para recargar.
VTP Contrasea
Si configura una contrasea para VTP, debe configurar la contrasea en todos los switches en el dominio
VTP. La contrasea debe ser la misma contrasea en todos los switches. La contrasea de VTP que se
configure es traducida por el algoritmo en una palabra de 16 bytes (valor MD5) que se realiza en todos los
paquetes VTP resumen de publicidad.
VTP poda
VTP se asegura de que todos los switches en el dominio VTP son conscientes de todas las VLAN. Sin
embargo, hay ocasiones en que el VTP puede crear trfico innecesario. Todos los multicasts y emisiones en
una VLAN se inundan en toda la VLAN. Todos los switches de la red reciben todas las emisiones, incluso en
situaciones en las que unos pocos usuarios estn conectados en esa VLAN. VTP poda es una caracterstica
que se utiliza con el fin de eliminar o podar este trfico innecesario.
Trfico de difusin en una red conmutada sin poda

Esta figura muestra una red conmutada sin depuracin del VTP habilitada. El puerto 1 en el conmutador A y
puerto 2 en el conmutador D se asignan a la VLAN Roja. Si una emisin es enviado desde el host conectado
al Switch A, Switch A las inundaciones de la emisin y cada switch en la red lo recibe, aunque Interruptores C,
E y F no tienen puertos en la VLAN Roja.
Trfico de difusin en una red conmutada con la poda

Esta figura muestra la misma red conmutada con VTP poda habilitado. El trfico de difusin del interruptor A
no se reenva a los switches C, E y F ya que el trfico de la VLAN Roja ha sido podado links (Puerto 5 en el
conmutador B y 4 del puerto en el interruptor D).
Cuando VTP poda est habilitada en el servidor VTP, la poda est habilitada para todo el dominio de
gestin. Hacer VLAN-poda-poda elegible o inelegible afecta la elegibilidad de poda para aquellos VLAN en
ese tronco (no en todos los switches en el dominio VTP). VTP poda toma efecto varios segundos despus de
que la active. VTP poda no podar el trfico de VLAN que est podando-inelegible. VLAN 1 y VLANs 1002-
1005 siempre se poda-inelegible; trfico de estas VLAN no puede ser podado. VLAN de rango extendido (ID
de VLAN mayor que 1005) tambin se poda-inelegible.
Utilice VTP en una red
Por defecto, todos los interruptores estn configurados para ser servidores de VTP. Esta configuracin es
adecuada para las redes de pequea escala en la que el tamao de la informacin de la VLAN es pequeo y
la informacin se almacena fcilmente en todos los interruptores (en NVRAM). En una red grande, el
administrador de la red debe hacer un juicio en algn momento, cuando el almacenamiento NVRAM que es
necesario es un despilfarro, ya que se duplica en cada switch. En este punto, el administrador de la red debe
seleccionar unas interruptores bien equipadas y mantenerlos como servidores VTP. Todo lo dems que
participa en VTP puede convertirse en un cliente. El nmero de servidores de VTP debe elegirse con el fin de
proporcionar el grado de redundancia que se desea en la red.
Notas:
Si un interruptor se configura como servidor VTP y sin un nombre de dominio VTP, no puede
configurar una VLAN en el switch.
Nota: Slo es aplicable para CatOS. Puede configurar VLAN (s) sin tener el nombre de dominio VTP
en el switch que se ejecuta en IOS.
Si un nuevo catalizador se adjunta en la frontera de dos dominios de VTP, el nuevo catalizador
mantiene el nombre de dominio del primer interruptor que enva un resumen anuncio. La nica
manera de conectar este switch a otro dominio VTP es configurar manualmente un nombre de
dominio VTP diferente.
Protocolo de enlace troncal dinmico (DTP) enva el nombre de dominio VTP en un paquete de
autoedicin. Por lo tanto, si usted tiene dos extremos de un enlace que pertenecen a diferentes
dominios de VTP, el tronco no aparece si utiliza DTP. En este caso especial, se debe configurar el
modo de tronco como en o nonegotiate , en ambos lados, con el fin de permitir que el tronco
para llegar sin un acuerdo de negociacin DTP.
Si el dominio tiene un nico servidor VTP y se estrella, el mejor y ms fcil manera de restaurar la
operacin es cambiar cualquiera de los clientes de VTP en ese dominio a un servidor VTP. La
revisin de la configuracin es el mismo en el resto de los clientes, incluso si el servidor se
bloquea. Por lo tanto, VTP funciona correctamente en el dominio.
Configure VTP
Consulte Protocolo Troncal VLAN Configuracin (VTP) para obtener informacin para configurar VTP.
Solucionar problemas de VTP
Consulte Protocolo Troncal VLAN Solucin de problemas (VTP) para obtener informacin para solucionar
problemas de VTP.
Conclusin
Hay algunas desventajas en el uso de VTP. Debe equilibrar la facilidad de administracin VTP contra el riesgo
inherente de un gran dominio STP y la inestabilidad y riesgos de STP potencial. El mayor riesgo es un bucle
STP a travs de todo el campus. Cuando se utiliza VTP, hay dos cosas a las que debe prestar mucha
atencin:
Recuerde la revisin de la configuracin y de cmo restablecer cada vez que se inserta un nuevo
interruptor en la red para que usted no trae abajo toda la red.
Evitar tanto como sea posible para tener una VLAN que se extiende por toda la red.
Protocolo Spanning Tree: STP
En una red LAN la redundancia se logra teniendo varios enlaces fsicos entre los switches, de forma
que queden varios caminos para llegar a un mismo destino. El resultado de esto es que la red LAN
queda con ciclos o bucles. En la figura puede verse una red LAN redundante y cmo se forma un
ciclo en ella.

Si bien la red anterior es redundante los ciclos son altamente perjudiciales para la misma dado que
producen una serie de problemas que acabarn por dejarla inutilizada. Dentro de dichos
problemas podemos encontrarnos con:
Tormentas de broadcast: los broadcast en la red son reenviados una y otra vez y permanecen
circulando en la misma sin fin, dado que en Ethernet no existe como en IP un campo de TTL.
Lgicamente, al no eliminarse la situacin se agrava con cada nuevo broadcast.
Mltiples copias de una trama: con la redundancia es muy probable que un host reciba una trama
repetida, dado que la misma podra llegar por dos enlaces diferentes.
Tabla CAM inconsitente: una trama que proviene de una MAC en particular podra llegar desde
enlaces diferentes.
Bucles recursivos: un bucle puede generar un nuevo bucle y estos crecer de forma exponencial. En
una situacin as la red quedar inusable en pocos segundos.
Ante la necesidad de tener una red LAN redundante y dinmica libre de los problemas asociados a
la redundancia resulta evidente que es imperioso un protocolo que sea capaz de resolver estas
cuestiones. Es aqu donde entra en accin el Protocolo de Spanning Tree (STP).
Contenido
Terminologa bsica
Para comprender el funcionamiento del STP es necesario conocer alguna terminologa
indispensable asociada al mismo.
Bridge ID: es el identificador de cada bridge. Es el resultado de combinar la prioridad del bridge
con su direccin MAC base.
Root bridge (puente raz): es el punto focal de la red y el que se toma como referencia para las
decisiones del STP. El RB ser aquel switch que tenga el menor bridge ID.
BPDU (Bridge Protocol Data Unit): son pequeas unidades de datos que transportan informacin
de control del STP. Se las utiliza en primera instancia para escoger el RB y luego para detectar
posibles fallos en la red.
Bridges no raz: son todos los dems bridges de la topologa. Participan en el intercambio de
BPDUs y actualizan a su vez su base de datos del STP.
Costo de un puerto: se determina en base al ancho de banda del enlace y ser el valor que se
utilice para decidir el camino ms corto al RB.
Costo del camino al RB: el costo de un camino al RB es la suma de los costos de cada enlace por el
que pasa. El camino elegido por el STP al RB ser aquel cuyo costo sea ms bajo.
Puerto raz (designado): es el puerto de cada bridge que se encuentra en el camino mnimo al RB.
Slo hay uno por bridge que siempre estar en estado de forwarding.
Puerto no designado: todo puerto en un bridge con mayor costo que el puerto designado. Ser
puesto en estado de bloqueo.
Estado de los puertos
Cada puerto que participa del STP puede estar en uno de cinco estados. Estos son:
Bloqueado (BLK): no reenva tramas de datos, aunque s recibe y enva BPDUs. Es el estado por
defecto de los puertos cuando un switch se enciende y su funcin es la de prevenir ciclos.
Escuchando (LST): recibe, analiza y enva BPDUs para asegurarse que no existen bucles.
Aprendiendo (LRN): al igual que el estado LST, recibe, analiza y enva BPDUs, aunque aqu tambin
comienza a armar la tabla CAM. En este estado an no se reenvan tramas de datos.
Reenviando (FWD): enva y recibe todas las tramas de datos. Los puertos designados al final del
estado de LRN sern marcados como FWD.
Deshabilitado: es un puerto deshabilitado administrativamente y que no participar en el STP.
Para el STP un puerto en este estado es como si no existiera.5545
Operacin del STP Editar seccin
El protocolo de STP cumple con una serie de pasos antes de alcanzar el estado estable y comenzar
a enviar tramas de datos. Los mismos son los que se listan a continuacin.
Escoger el RB:
Se elige el bridge con prioridad ms baja.
Si uno o ms switches tienen la prioridad ms baja se elige entre ellos el que posea la MAC base
ms baja.
Se eligen los puertos raz: cada bridge encuentra el menor camino hasta el RB y, con l, su puerto
designado.
Cada uno de los bridges escucha BPDUs en todos sus puertos y, si detecta algn bucle en un
puerto, lo bloquea. De lo contrario lo pone en estado FWD. El criterio para decidir qu puerto
bloquear en un switch es el siguiente:
Si debe escogerse un puerto entre dos switches diferentes se elige para bloquear el de aquel
switch con el mayor bridge ID.
Si debe escogerse un puerto dentro del mismo switch entonces se escoge aquel que tenga el
mayor costo. En caso de coincidir el costo, el puerto que se bloquea es aquel que tenga el
identificador ms alto.
A continuacin se lista el costo de cada tipo de enlace para el STP (segn IEEE):
Ahora bien, para ver lo aprendido hasta aqu vamos a analizar un ejemplo. Se plantea entonces la
siguiente topologa:

Se asume que todos los bridges tienen en la topologa anterior la misma prioridad. Entonces,
sabemos que el primer paso es escoger el RB. Para ello, al tener todos la misma prioridad vamos a
escoger el que tenga menor direccin MAC, que resulta ser el SWA.
El prximo paso es encontrar el camino mnimo desde cada switch hasta el RB. Empezando por el
SWB vemos que tiene tres puertos que nos permiten alcanzar el RB. Por el puerto 1 el costo total
es de 27, resultado de sumar 19 del enlace de 100 mbps y 4 de cada enlace de 1 gbps. Luego,
tanto por el puerto 2 como por el puerto 3 el costo total es de 19. En este caso, se escoge el
puerto con identificador ms pequeo, que es el 2. De esta manera, el puerto 2 ser el puerto raz
y pasar a estado de FWD y el 3 quedar bloqueado. Dejaremos el anlisis del puerto 1 para un
poco ms adelante.
Para el caso del SWC, el puerto raz es el 1, ya que el costo por all es de 4. Nuevamente dejaremos
el anlisis del puerto 2 para ms adelante.
Finalmente, el SWD tiene dos posibles caminos al RB. Uno de ellos con costo 8 a travs del puerto
2 y el otro con costo 38 por el puerto 1. Lgicamente ser puerto raz el puerto 2.
El ltimo paso es decidir, de los puertos que quedaron sin determinar, cul pasar a estado BLK
para romper el bucle. Veamos las posibilidades:
Puerto 1 de SWB.
Puerto 2 de SWC.
Puerto 1 de SWD.
De lo anterior, el puerto 2 de SWC no podr ser dado que est en el camino mnimo del SWD al RB.
As que ese pasar a estado FWD. La decisin se reduce entonces entre el puerto 1 del SWB y el 1
del SWD. Ante esta situacin se resolva bloqueando el puerto del bridge con mayor MAC, lo que
implica que el puerto 1 del SWD quedar en BLK y el puerto 1 del SWB en FWD.
Extensiones de Cisco Editar seccin
Portfast: un puerto marcado como portfast ser puesto en estado de FWD desde el inicio. Es
especialmente til para aquellos puertos donde estemos seguros que va a haber un nico host.
Asociado a portfast existen dos tcnicas que permiten impedir un bucle en un puerto en este
modo.
BPDU guard: su objetivo es el de evitar que se conecte un switch a un puerto de este tipo. Por ello,
al recibir una BPDU el puerto se pone en estado de deshabilitado por error.
BPDU filter: es menos restrictivo que el anterior y lo que hace es detectar BPDUs en el puerto. Si
se recibe alguna se saca al puerto de modo portfast y pasa al estado de bloqueo para cumplir con
todos los pasos requeridos por el protocolo.
Uplink fast: debera ser habilitado en aquellos switches en donde existe algn puerto en estado de
bloqueo. En ese caso, si se detecta una cada en el puerto que est como FWD se habilita
rpidamente el puerto bloqueado, sin el delay habitual. Permite una reaccin ms rpida ante un
inconveniente en la red.
Backbone fast: en este caso, se detecta el fallo en algn otro switch de la red y su objetivo es
acelerar la convergencia ante dicho fallo.
Rapid Spanning Tree
El protocolo RSTP es un estndar que incorpora muchas caractersticas que aceleran el proceso de
convergencia inicial y ante un fallo, valindose de varias de las ideas anteriores de Cisco. Es
totalmente compatible con STP y de hecho un bridge ejecutando STP y otro RSTP pueden convivir
perfectamente en la misma red, aunque utilizando el protocolo STP. Por ello, para que RSTP
funcione, todos los switches deben soportarlo.
Etherchannel
Cuando existen dos enlaces entre dos switches una alternativa es utilizar Etherchannel. Esta
tecnologa lo que hace es combinar dos o ms puertos como si fueran uno solo, agregando el
ancho de banda a ese nico canal lgico.
Un etherchannel provee tambin redundancia, dado que si uno de los links se cae sigue
funcionando perfectamente, con un ancho de banda reducido. La ventaja entonces en
comparacin con STP es que etherchannel hace uso activo de todos los enlaces, en contraste con
STP que de un conjunto utilizara slo uno.

VLAN Trunking Protocol
VTP son las siglas de VLAN Trunking Protocol, un protocolo de mensajes de nivel 2 usado
para configurar y administrar VLANs en equipos Cisco. Permite centralizar y simplificar la
administracin en un domino de VLANs, pudiendo crear, borrar y renombrar las mismas,
reduciendo as la necesidad de configurar la misma VLAN en todos los nodos. El protocolo
VTP nace como una herramienta de administracin para redes de cierto tamao, donde la
gestin manual se vuelve inabordable.
VTP opera en 3 modos distintos:
Servidor
Cliente
Transparente

Servidor:
Es el modo por defecto. Desde l se pueden crear, eliminar o modificar VLANs. Su
cometido es anunciar su configuracin al resto de switches del mismo dominio VTP y
sincronizar dicha configuracin con la de otros servidores, basndose en los mensajes
VTP recibidos a travs de sus enlaces trunk. Debe haber al menos un servidor. Se
recomienda autenticacin MD5.
Cliente:
En este modo no se pueden crear, eliminar o modificar VLANs, tan slo sincronizar
esta informacin basndose en los mensajes VTP recibidos de servidores en el propio
dominio. Un cliente VTP slo guarda la informacin de la VLAN para el dominio
completo mientras el switch est activado. Un reinicio del switch borra la informacin
de la VLAN.
Transparente:
Desde este modo tampoco se pueden crear, eliminar o modificar VLANs que afecten a
los dems switches. La informacin VLAN en los switches que trabajen en este modo
slo se puede modificar localmente. Su nombre se debe a que no procesa las
actualizaciones VTP recibidas, tan slo las reenva a los switches del mismo dominio.
Los administradores cambian la configuracin de las VLANs en el switch en modo
servidor. Despus de realizar cambios, estos son distribuidos a todos los dems
dispositivos en el dominio VTP a travs de los enlaces permitidos en
el trunk (VLAN 1, por defecto), lo que minimiza los problemas causados por las
configuraciones incorrectas y las inconsistencias. Los dispositivos que operan en
modo transparente no aplican las configuraciones VLAN que reciben, ni envan
las suyas a otros dispositivos. Sin embargo, aquellos que usan la versin 2 del
protocolo VTP, enviarn la informacin que reciban (publicaciones VTP) a otros
dispositivos a los que estn conectados con una frecuencia de 5 minutos. Los
dispositivos que operen en modo cliente, automticamente aplicarn la
configuracin que reciban del dominio VTP. En este modo no se podrn crear
VLANs, sino que slo se podr aplicar la informacin que reciba de las
publicaciones VTP.
Para que dos equipos que utilizan VTP puedan compartir informacin sobre
VLAN, es necesario que pertenezcan al mismo dominio. Los switches descartan
mensajes de otro dominio VTP.
Las configuraciones VTP en una red son controladas por un nmero de revisin.
Si el nmero de revisin de una actualizacin recibida por un switch en modo
cliente o servidor es ms alto que la revisin anterior, entonces se aplicar la
nueva configuracin. De lo contrario se ignoran los cambios recibidos. Cuando se
aaden nuevos dispositivos a un dominio VTP, se deben resetear los nmeros de
revisin de todo el dominio VTP para evitar conflictos. Se recomienda tener
mucho cuidado al usar VTP cuando haya cambios de topologa, ya sean lgicos o
fsicos. Realmente no es necesario resetear todos los nmeros de revisin del
dominio. Slo hay que asegurarse de que los switches nuevos que se agregen al
dominio VTP tengan nmeros de revisin ms bajos que los que estn
configurados en la red. Si no fuese as, bastara con eliminar el nombre del
dominio del switch que se agrega. Esa operacin vuelve a poner a cero su
contador de revisin.
El VTP slo aprende sobre las VLAN de rango normal (ID de VLAN 1 a 1005). Las
VLAN de rango extendido (ID mayor a 1005) no son admitidas por el VTP. El VTP
guarda las configuraciones de la VLAN en la base de datos de la VLAN,
denominada vlan.dat.

IEEE 802.1Q
El protocolo IEEE 802.1Q, tambin conocido como dot1Q, fue un proyecto del grupo de
trabajo 802 de la IEEE para desarrollar un mecanismo que permita a mltiples redes compartir
de forma transparente el mismo medio fsico, sin problemas de interferencia entre ellas
(Trunking). Es tambin el nombre actual del estndar establecido en este proyecto y se usa
para definir el protocolo de encapsulamiento usado para implementar este mecanismo en
redes Ethernet. Todos los dispositivos de interconexin que soportan VLAN deben seguir la
norma IEEE 802.1Q que especifica con detalle el funcionamiento y administracin de redes
virtuales.
Formato de la trama
802.1Q en realidad no encapsula la trama original sino que aade 4 bytes al encabezado
Ethernet original. El valor del campo EtherType se cambia a 0x8100 para sealar el cambio en
el formato de la trama.
Debido a que con el cambio del encabezado se cambia la trama, 802.1Q fuerza a un recalculo
del campo "FCS".

IEEE 802.1Q es la creacin de redes estndar que es compatible con las redes LAN
virtuales (VLAN) en un Ethernetde red. La norma define un sistema de etiquetado
VLAN para las tramas Ethernet y los procedimientos que se acompaan para ser utilizados
por los puentes y los interruptores en el manejo de este tipo de marcos. La norma tambin
contiene disposiciones para una calidad de servicio esquema de priorizacin comnmente
conocido comoIEEE 802.1p y define la Generic Attribute Registration Protocol .
Algunas partes de la red que son compatibles con VLAN (es decir, IEEE 802.1Q conformes)
pueden incluir etiquetas VLAN. El trfico en una VLAN no reconocida (por ejemplo, IEEE
802.1D conformant) parte de la red no contendr etiquetas VLAN. Cuando una trama entra en
la parte que detecta la VLAN de la red, se agrega una etiqueta para representar la pertenencia
a la VLAN del puerto de la trama o de la combinacin de puerto / protocolo, dependiendo de si
la clasificacin VLAN basadas en puertos o basado en puerto y protocolo es siendo
utilizado. Cada cuadro debe ser distinguible como dentro de exactamente una VLAN. Un
marco en la parte de la VLAN de la red que no contiene una etiqueta de VLAN se supone que
est fluyendo en la nativa (o defecto) de la VLAN.
El estndar fue desarrollado por el IEEE 802.1 , un grupo de trabajo del IEEE 802 comit de
estndares, y contina siendo revisada de forma activa con las revisiones notables
incluyendo IEEE 802.1ak , IEEE 802.1Qat y IEEE

Segmento IT Vlan ID Red IP Mascara IP Hosts Default GW SW1 SW1 L2
Servidores 10 172.16.0 255.255.255.0 255 172.16.0.254 .254
Informatica 11 172.16.1 255.255.255.0 255 172.16.1.1 .1
Capacitacion 12 172.16.2 255.255.254.0 512 172.16.2.1 .1
AccesoRemoto 13 172.16.4 255.255.255.0 255 172.16.4.1 .1
Red de Switches 14 172.16.5 255.255.255.0 255 172.16.5.1 5.1
Empleados 15 172.16.6 255.255.254.0 510 172.16.6.1 .1
Estudiantes 16 172.16.8 255.255.252.0 1024 172.16.8.1 .1
Antes casas 17 172.16.40 255.255.255.0 255 172.16.40.1 .1
Seguridad 18 172.16.14 255.255.255.0 255 172.16.14.1 .1
TelefoniaIP 50 172.16.32 255.255.254.0 512 172.16.32.1 .1
Residencias 54 172.16.52 255.255.254.0 254 172.16.52.1 .1
Mobile 55 172.16.60 255.255.252.0 1024 172.16.60.1 .1
Visitas 100 172.20.16 255.255.254.0 309 172.16.17.1 .1

Segmento Administracion Vlan ID Red IP Mascara IP Hosts Default GW SW1 SW1 L2
Informatica 11 172.17.1.0 255.255.255.0 255 172.17.2.1 .1
Red de Switches 14 172.17.5.0 255.255.255.0 255 172.17.5.1 5.1
Empleados 15 172.17.6.0 255.255.254.0 510 172.17.6.1 .1
Estudiantes 16 172.17.8.0 255.255.252.0 1024 172.17.8.1 .1
Seguridad 18 172.17.14 255.255.255.0 255 172.17.14.1 .1
TelefoniaIP 50 172.17.32.0 255.255.254.0 512 172.17.32.1 .1
Residencias 54 172.17.16 255.255.254.0 254 172.16.52.1 .1
Mobile 55 172.17.60 255.255.252.0 1024 172.16.60.1 .1
Visitas 100 172.20.16 255.255.254.0 309 172.16.17.1 .1

Segmento Mantenimiento Vlan ID Red IP Mascara IP Hosts Default GW SW1 SW1 L2
Informatica 11 172.18.1.0 255.255.255.0 255 172.18.2.1 .1
Red de Switches 14 172.18.5.0 255.255.255.0 255 172.18.5.1 5.1
Empleados 15 172.18.6.0 255.255.254.0 510 172.18.6.1 .1
Estudiantes 16 172.18.8.0 255.255.252.0 1024 172.18.8.1 .1
Seguridad 18 172.18.14 255.255.255.0 255 172.18.14.1 .1
Residencias 54 172.18.16.0 255.255.255.0 255 172.18.16.1 .1
Mobile 55 172.18.60 255.255.252.0 1024 172.16.60.1 .1
Visitas 100 172.20.16 255.255.254.0 309 172.16.17.1 .1

Segmento CCPA Vlan ID Red IP Mascara IP Hosts Default GW SW1 SW1 L2
Informatica 11 172.19.1.0 255.255.255.0 255 172.19.2.1 .1
Red de Switches 14 172.19.5.0 255.255.255.0 255 172.19.5.1 5.1
Empleados 15 172.19.6.0 255.255.254.0 510 172.19.6.1 .1
Seguridad 18 172.19.14 255.255.255.0 255 172.19.14.1 .1
TelefoniaIP 50 172.19.32.0 255.255.254.0 512 172.19.32.1 .1
Mobile 55 172.19.60 255.255.252.0 1024 172.16.60.1 .1
Visitas 100 172.20.16 255.255.254.0 309 172.16.17.1 .1

172.18.0.0/30 IT - ADMINISTRACION

172.18.0.4/30 MANTENIMIENTO - ADMINISTRACION

172.18.0.8/30 MANTENIMIENTO - CCPA

172.18.0.12/30 IT - CCPA

172.18.0.16/30 IT - MANTENIMIENTO

802.11 legacy[editar]
La versin original del estndar IEEE (Instituto de Ingenieros Elctricos y Electrnicos)
802.11 publicada en1997 especifica dos velocidades de transmisin tericas de 1 y 2
megabits por segundo (Mbit/s) que se transmiten por seales infrarrojas (IR). IR sigue siendo
parte del estndar, si bien no hay implementaciones disponibles.
El estndar original tambin define el protocolo CSMA/CA (Mltiple acceso por deteccin de
portadora evitando colisiones) como mtodo de acceso. Una parte importante de la velocidad
de transmisin terica se utiliza en las necesidades de esta codificacin para mejorar la
calidad de la transmisin bajo condiciones ambientales diversas, lo cual se tradujo en
dificultades de interoperabilidad entre equipos de diferentes marcas. Estas y otras debilidades
fueron corregidas en el estndar 802.11b, que fue el primero de esta familia en alcanzar
amplia aceptacin entre los consumidores.
VLAN Nombre de VLAN Direccion de ReD VLAN Nombre de VLAN Direccion de ReD
10 Servidores 172.16.0.0/24 11 informatica 172.17.1.0/24
11 Informatica 172.16.1.0/24 14 Switches 172.17.5.0/24
12 Capacitacion 172.16.2.0/23 15 Empleados 172.17.6.0/23
13 Acceso Remoto 172.16.4.0/24 16 Estudiantes 172.17.8.0/22
14 Switches 172.16.5.0/24 50 Telefonia 172.17.32.0/23
15 Empleados 172.16.6.0/23 54 Residencias 172.17.16.0/24
16 Estudiantes 172.16.8.0/22 55 Mobile 172.17.60.0/23
17 ENLACE de REDUANDANCIA 172.16.40.0/24 100 Visitas 172.20.16.0/24
18 Telefonia Siemens 172.16.41.0/24 302 Enlace Mantenimiento-CCPA 172.18.0.5/30
50 Telefonia 172.16.32.0/23
54 Residencias 172.16.52.0/24
55 Mobile 172.16.60.0/23
100 Visitas 172.20.16.0/24 VLAN Nombre de VLAN Direccion de ReD
300 Enlace Informatica-CCPA 172.18.0.14/30 11 Informatica 172.18.1.0/24
12 Capacitacion 172.18.2.0/24
14 Switches 172.18.5.0/24
Lan Zamorano TGU 10.172.1.0/24 15 Empleados 172.18.6.0/23
Admon switch publico 1 172.30.99.68/30 16 Estudiantes 172.18.8.0/22
Admon switch publico 2 172.30.99.72/30 50 Telefonia 172.18.32.0/23
RED VPN ZAMO 172.31.254.0/24 54 Residencias 172.18.16.0/24
55 Mobile 172.18.60.0/23
100 Visitas 172.20.16.0/24
301 Enlace CCPA-Mantenimiento 172.18.0.9/30
202 Enlace Manteniemiento-Administracion 172.18.0.6/30
CORE CCPA 172.19.X.X
VLAN Nombre de VLAN Direccion de ReD
11 Informatica 172.19.1.0/24
14 Switches 172.19.5.0/24
15 Empleados 172.19.6.0/23
16 Estudiantes 172.19.8.0/22
50 Telefonia 172.19.32.0/23
55 Mobile 172.19.60.0/23
100 Visitas 172.20.16.0/24
300 Enlace Informatica-CCPA 172.18.0.13/30
301 Enlace CCPA-Mantenimiento 172.18.0.10/30
CORE INFORMATICA 172.16.X.X CORE ADMINISTRACION 172.17.X.X
CORE MANTENIMIENTO 172.18.X.X
OTROS DIRECCIONAMIENTOS EN USO
802.11a[editar]
La revisin 802.11a fue aprobada en 1999. El estndar 802.11a utiliza el mismo juego de
protocolos de base que el estndar original, opera en la banda de 5 GHz y utiliza 52
subportadoras orthogonal frequency-division multiplexing(OFDM) con una velocidad mxima
de 54 Mbit/s, lo que lo hace un estndar prctico para redes inalmbricas con velocidades
reales de aproximadamente 20 Mbit/s. La velocidad de datos se reduce a 48, 36, 24, 18, 12, 9
o 6 Mbit/s en caso necesario. 802.11a tiene 12 canales sin solapa, 8 para red inalmbrica y 4
para conexiones punto a punto. No puede interoperar con equipos del estndar 802.11b,
excepto si se dispone de equipos que implementen ambos estndares.
802.11b[editar]
Artculo principal: IEEE 802.11b
La revisin 802.11b del estndar original fue ratificada en 1999. 802.11b tiene una velocidad
mxima de transmisin de 11 Mbps y utiliza el mismo mtodo de acceso definido en el
estndar original CSMA/CA. El estndar 802.11b funciona en la banda de 2,4 GHz. Debido al
espacio ocupado por la codificacin del protocolo CSMA/CA, en la prctica, la velocidad
mxima de transmisin con este estndar es de aproximadamente 5,9 Mbits sobre TCP y 7,1
Mbit/s sobre UDP.

802.11g[editar]
En junio de 2003, se ratific un tercer estndar de modulacin: 802.11g, que es la evolucin
de 802.11b. Este utiliza la banda de 2,4 Ghz (al igual que 802.11b) pero opera a una velocidad
terica mxima de 54 Mbit/s, que en promedio es de 22,0 Mbit/s de velocidad real de
transferencia, similar a la del estndar 802.11a. Es compatible con el estndar b y utiliza las
mismas frecuencias. Buena parte del proceso de diseo del nuevo estndar lo tom el hacer
compatibles ambos modelos. Sin embargo, en redes bajo el estndar g la presencia de nodos
bajo el estndar b reduce significativamente la velocidad de transmisin.
Los equipos que trabajan bajo el estndar 802.11g llegaron al mercado muy rpidamente,
incluso antes de su ratificacin que fue dada aprox. el 20 de junio del 2003. Esto se debi en
parte a que para construir equipos bajo este nuevo estndar se podan adaptar los ya
diseados para el estndar b.
Actualmente se venden equipos con esta especificacin, con potencias de hasta medio vatio,
que permite hacer comunicaciones de hasta 50 km con antenas parablicas o equipos de
radio apropiados.
Existe una variante llamada 802.11g+ capaz de alcanzar los 108Mbps de tasa de
transferencia. Generalmente slo funciona en equipos del mismo fabricante ya que utiliza
protocolos propietarios.
Interaccin de 802.11g y 802.11b.
802.11g tiene la ventaja de poder coexistir con los estndares 802.11a y 802.11b, esto debido
a que puede operar con las Tecnologas RF DSSS y OFDM. Sin embargo, si se utiliza para
implementar usuarios que trabajen con el estndar 802.11b, el rendimiento de la celda
inalmbrica se ver afectado por ellos, permitiendo solo una velocidad de transmisin de 22
Mbps. Esta degradacin se debe a que los clientes 802.11b no comprenden OFDM.
Suponiendo que se tiene un punto de acceso que trabaja con 802.11g, y actualmente se
encuentran conectados un cliente con 802.11b y otro 802.11g, como el cliente 802.11b no
comprende los mecanismos de envo de OFDM, el cual es utilizados por 802.11g, se
presentarn colisiones, lo cual har que la informacin sea reenviada, degradando an ms
nuestro ancho de banda.
Suponiendo que el cliente 802.11b no se encuentra conectado actualmente, el Punto de
acceso enva tramas que brindan informacin acerca del Punto de acceso y la celda
inalmbrica. Sin el cliente 802.11b, en las tramas se veran la siguiente informacin:
NON_ERP present: no
Use Protection: no
ERP (Extended Rate Physical), esto hace referencia a dispositivos que utilizan tasas de
transferencia de datos extendidos, en otras palabras, NON_ERP hace referencia a 802.11b. Si
fueran ERP, soportaran las altas tasas de transferencia que soportan 802.11g.
Cuando un cliente 802.11b se asocia con el AP (Punto de acceso), ste ltimo alerta al resto
de la red acerca de la presencia de un cliente NON_ERP. Cambiando sus tramas de la
siguiente forma:
NON_ERP present: yes
Use Protection: yes
Ahora que la celda inalmbrica sabe acerca del cliente 802.11b, la forma en la que se enva la
informacin dentro de la celda cambia. Ahora cuando un cliente 802.11g quiere enviar una
trama, debe advertir primero al cliente 802.11b envindole un mensaje RTS (Request to Send)
a una velocidad de 802.11b para que el cliente 802.11b pueda comprenderlo. El mensaje RTS
es enviado en forma de unicast. El receptor 802.11b responde con un mensaje CTS (Clear to
Send).
Ahora que el canal est libre para enviar, el cliente 802.11g realiza el envo de su informacin
a velocidades segn su estndar. El cliente 802.11b percibe la informacin enviada por el
cliente 802.11g como ruido.
La intervencin de un cliente 802.11b en una red de tipo 802.11g, no se limita solamente a la
celda del Punto de acceso en la que se encuentra conectado, si se encuentra trabajando en
un ambiente con mltiples AP en Roaming, los AP en los que no se encuentra conectado el
cliente 802.11b se transmitirn entre s tramas con la siguiente informacin:
NON_ERP present: no
Use Protection: yes
La trama anterior les dice que hay un cliente NON_ERP conectado en uno de los AP, sin
embargo, al tenerse habilitado Roaming, es posible que ste cliente 802.11b se conecte en
alguno de ellos en cualquier momento, por lo cual deben utilizar los mecanismo de seguridad
en toda la red inalmbrica, degradando de esta forma el rendimiento de toda la celda. Es por
esto que los clientes deben conectarse preferentemente utilizando el estndar 802.11g. Wi-Fi
(802.11b / g)

802.11n[editar]
En enero de 2004, el IEEE anunci la formacin de un grupo de trabajo 802.11 (Tgn) para
desarrollar una nueva revisin del estndar 802.11. La velocidad real de transmisin podra
llegar a los 300 Mbps (lo que significa que las velocidades tericas de transmisin seran an
mayores), y debera ser hasta 10 veces ms rpida que una red bajo los estndares 802.11a y
802.11g, y unas 40 veces ms rpida que una red bajo el estndar 802.11b. Tambin se
espera que el alcance de operacin de las redes sea mayor con este nuevo estndar gracias a
la tecnologa MIMO Multiple Input Multiple Output, que permite utilizar varios canales a la
vez para enviar y recibir datos gracias a la incorporacin de varias antenas (3). Existen
tambin otras propuestas alternativas que podrn ser consideradas. El estndar ya est
redactado, y se viene implantando desde 2008. A principios de 2007 se aprob el segundo
boceto del estndar. Anteriormente ya haba dispositivos adelantados al protocolo y que
ofrecan de forma no oficial este estndar (con la promesa de actualizaciones para cumplir el
estndar cuando el definitivo estuviera implantado). Ha sufrido una serie de retrasos y el
ltimo lo lleva hasta noviembre de 2009. Habindose aprobado en enero de 2009 el proyecto
7.0 y que va por buen camino para cumplir las fechas sealadas.
1
A diferencia de las otras
versiones de Wi-Fi, 802.11n puede trabajar en dos bandas de frecuencias: 2,4 GHz (la que
emplean 802.11b y 802.11g) y 5 GHz (la que usa 802.11a). Gracias a ello, 802.11n es
compatible con dispositivos basados en todas las ediciones anteriores de Wi-Fi. Adems, es
til que trabaje en la banda de 5 GHz, ya que est menos congestionada y en 802.11n permite
alcanzar un mayor rendimiento.
El estndar 802.11n fue ratificado por la organizacin IEEE el 11 de septiembre de 2009 con
una velocidad de 600 Mbps en capa fsica.
2

3

En la actualidad la mayora de productos son de la especificacin b o g , sin embargo ya se ha
ratificado el estndar802.11n que sube el lmite terico hasta los 600 Mbps. Actualmente ya
existen varios productos que cumplen el estndar N con un mximo de 300 Mbps (80-100
estables).
El estndar 802.11n hace uso simultneo de ambas bandas, 2,4 Ghz y 5 Ghz. Las redes
que trabajan bajo los estndares 802.11b y 802.11g, tras la reciente ratificacin del estndar,
se empiezan a fabricar de forma masiva y es objeto de promociones por parte de los
distintos ISP, de forma que la masificacin de la citada tecnologa parece estar en camino.
Todas las versiones de 802.11xx, aportan la ventaja de ser compatibles entre s, de forma que
el usuario no necesitar nada ms que su adaptador wifi integrado, para poder conectarse a la
red.
Sin duda esta es la principal ventaja que diferencia wifi de otras tecnologas propietarias,
como LTE, UMTS y Wimax, las tres tecnologas mencionadas, nicamente estn accesibles a
los usuarios mediante la suscripcin a los servicios de un operador que est autorizado para
uso de espectro radioelctrico, mediante concesin de mbito nacional.
La mayor parte de los fabricantes ya incorpora a sus lneas de produccin equipos wifi
802.11n, por este motivo la oferta ADSL, ya suele venir acompaada de wifi 802.11n, como
novedad en el mercado de usuario domstico.
Se conoce que el futuro estndar sustituto de 802.11n ser 802.11ac con tasas de
transferencia superiores a 1 Gb/s.
4

802.11n puede manejar las necesidades inalmbricas de misin crtica
Modernizar la red con hasta seis veces ms rendimiento que las redes 802.11a/b/g, y aadir la capacidad y
fiabilidad necesarias para multimedia y aplicaciones crticas para el negocio. El estndar 802.11n puede
aumentar de su red inalmbrica el rendimiento, la fiabilidad y la previsibilidad.
Por qu actualizar a 802.11n
Smartphones utilizan todo el ancho de 200 dispositivos de legado y estn poniendo demandas cada vez
mayores en las redes inalmbricas. Prepare la red para soportar la afluencia de los nuevos dispositivos
mviles. La implementacin de 802.11n puede permitir a las organizaciones a reducir el coste total de
propiedad mediante la entrega de una red inalmbrica fiable que soporta una amplia gama de aplicaciones de
movilidad sin comprometer el rendimiento total de la red.
Por qu debera actualizar con Cisco
Cisco ofrece los componentes necesarios para crear de manera eficiente una experiencia de usuario
altamente segura y sin problemas en todos los escenarios. La tecnologa de Cisco puede potenciar la TI para
proporcionar una mayor libertad comercial con alto rendimiento, soluciones de red sensibles al contexto para
abordar plenamente muchos tipos de usuarios con diferentes dispositivos, la seguridad y los requerimientos
del negocio.
Redes inalmbricas Cisco 802.11n se han mejorado con las siguientes caractersticas:
La tecnologa Cisco Clean Air - Crear una auto-sanacin, red inalmbrica auto-optimizacin que mitiga el
impacto de la interferencia inalmbrica
Cisco VideoStream - Proporcionar, imgenes de vdeo claras y precisas de todo el mundo mediante la
entrega eficiente de vdeo de multidifusin desde el cable a la red inalmbrica
Cisco ClientLink - Permitir a los puntos de acceso para rellenar los agujeros de cobertura, aumentar el
acceso a tanto 802.11a / g legado y clientes 802.11n, y proporcionan una mejor cobertura de la seal
incluso en entornos de RF difciles
Introduccin al 802.1X
El estndar 802.1x es una solucin de seguridad ratificada por el IEEE en junio de 2001 que puede
autenticar (identificar) a un usuario que quiere acceder a la red (ya sea por cable o inalmbrica).
Esto se hace a travs del uso de un servidor de autenticacin.
El 802.1x se basa en el protocolo EAP (Protocolo de autenticacin extensible), definido por
el IETF. Este protocolo se usa para transportar la informacin de identificacin del usuario.

EAP
La forma en que opera el protocolo EAP se basa en el uso de un controlador de acceso
llamado autenticador, que le otorga o deniega a un usuario el acceso a lared. El usuario en este
sistema se llama solicitante. El controlador de acceso es un firewall bsico que acta como
intermediario entre el usuario y el servidor de autenticacin, y que necesita muy pocos recursos
para funcionar. Cuando se trata de una red inalmbrica, el punto de acceso acta como
autenticador.
El servidor de autenticacin (a veces llamado NAS, que significa Servicio de autenticacin de
red o Servicio de acceso a la red) puede aprobar la identidad del usuario transmitida por el
controlador de la red y otorgarle acceso segn sus credenciales. Adems, este tipo de servidor
puede almacenar y hacer un seguimiento de la informacin relacionada con los usuarios. En el
caso de un proveedor de servicio, por ejemplo, estas caractersticas le permiten al servidor
facturarles en base a cunto tiempo estuvieron conectados o cuntos datos transfirieron.
Generalmente el servidor de autenticacin es un servidor RADIUS (Servicio de usuario de acceso
telefnico de autenticacin remota), un servidor de autenticacin estndar definido por la RFC
2865 y 2866, pero puede utilizarse cualquier otro servicio de autenticacin en su lugar.
A continuacin encontrar un resumen sobre cmo funciona una red segura que usa el estndar
802.1x:
1. El controlador de acceso, despus de recibir la solicitud de conexin del usuario, enva una
solicitud de autenticacin.
2. El usuario enva una respuesta al controlador de acceso, quien enruta la respuesta al servidor de
autenticacin.
3. El servidor de autenticacin enva un "challenge" al controlador de acceso, quien lo transmite al
usuario. El challenge es un mtodo para establecer la identificacin. Si el cliente no puede evaluar
el challenge, el servidor prueba con otro y as sucesivamente.
4. El usuario responde al challenge. Si la identidad del usuario es correcta, el servidor de
autenticacin enva la aprobacin al controlador de acceso, quien le permite al usuario ingresar a la
red o a parte de ella, segn los derechos otorgados. Si no se pudo verificar la identidad del usuario,
el servidor de autenticacin enva un mensaje de denegacin y el controlador de acceso le deniega
al usuario el acceso a la red.
Intercambio de claves de cifrado
Adems de autenticar usuarios, el estndar 802.1x les proporciona una manera segura de
intercambiar claves de cifrado para mejorar la seguridad en general.

Implementando port-security en los switches de acceso

Fundamentos:

Conjunto de medidas de seguridad a nivel de puertos disponibles en la mayora de los switchs de gama media y alta, la
funciones provistas dependen de la marca, el modelo y la versin de firmware del switch en cuestin.

Es as que Port Security es un feature (rasgo) de los switches Cisco que nos permite retener las direcciones MAC conectadas a
cada puerto del dispositivo o switch y permitir solamente a esas direcciones MAC registradas comunicarse a travs de ese
puerto del switch.

Que nos permite restringir entre otras cosas?
Restringir el acceso a los puertos del switch segn la MAC.
Restringir el numero de MACs por puerto en el switch.
Reaccionar de diferentes maneras a violaciones de las restricciones anteriores.
Establecer la duracin de las asociaciones MAC-Puerto.
Si un dispositivo con otra direccin MAC intenta comunicarse a travs de un puerto de la LAN, port-security deshabilitar el
puerto. Incluso se puede implementar SNMP(ver definiciones) para recibir al momento en el sistema de monitoreo la
notificacin correspondiente al bloqueo del puerto.
Configuracin de Port-Security:
El proceso de configuracin requiere ingresar a la configuracin de la interfaz en cuestin e ingresar el comando port-security.
Ejemplo (para nuestros ejemplos vamos a tomar el puerto 15 del switch:

Switch)#config ter
Switch(config)#int fa0/15
Switch(config-if)#switchport port-security ?
..aging.........Port-security aging commands
..mac-address...Secure mac address
..maximum.......Max secure addresses
..violation.....Security violation mode
Switch(config-if)# switchport port-security
Si se ingresa solamente el comando bsico, se asumen los valores por defecto: solo permite una direccin MAC en el puerto,
que ser la primera que se conecte al mismo, en caso de que otra direccin MAC intente conectarse utilizando el mismo
puerto, este ser deshabilitado o bloqueado. Claro esta que todos estos parmetros son modificables:
Switch(config-ig)#switchport port-security maximum [cantidad de MAC permitidas]
Esta opcin permite definir el nmero de direcciones MAC que est permitido que se conecten a travs de la interfaz del
swtich. El nmero mximo de direcciones permitidas por puerto va desde 1 a 132. Es importante tener presente que este
feature (rasgo) tambin limita la posibilidad de un ataque de seguridad por inundacin de la tabla CAM (ver definiciones) del
switch. El siguiente ejemplo ilustra la configuracin del puerto 15 y que solo acepte hasta 10 direcciones MAC mximas
posibles:
Switch(config)#interface FastEthernet 0/15
(Dentro del modo configuracin de interface del puerto a configurar)
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-securitySwitch(config-if)#switchport port-security maximum 10
Switch(config-if)# switchport port-security violation [shutdown restrict protect]
Este comando establece la accin que tomar el switch en caso de que se supere el nmero de direcciones MAC que se
establece con el comando anterior. Las opciones son deshabilitar el puerto, alertar al Administrador de la Red o permitir
exclusivamente el trfico de la MAC que se registr inicialmente.
En el siguiente ejemplo trabajando con el puerto 15 del switch, podemos especificar qu hacer si ese nmero de direcciones
MAC es superado (por default deshabilitar el puerto
Que deje de prender:
Switch(config-if)# switchport port-security violation protect
Que enve una alerta administrativa:
Switch(config-if)# switchport port-security violation restrict
Que desabilite el Puerto del switch:
Switch(config-if)# switchport port-security violation shutdown
Posterior al haber deshabilitado el puerto del switch, este se puede volver habilitar con el siguiente comando previa
autorizacin del Administrador de la Red:
Switch(config-if)# switchport port-security mac-address
Switch(config-if)# shutdown
Switch(config-if)# no shutdown
switchport port-security mac-address [MAC address]
Esta opcin permite definir manualmente la direccin MAC que se permite conectar a travs de ese puerto, o dejar que la
aprenda dinmicamente varias direcciones MAC. Ejemplo:
(Dentro del modo configuracin de interface del puerto a configurar)
Switch(config-if)# switchport port-security mac-address sticky (esta opcion leera y aprendera la primera mac-address que se
conecte)

Switch(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx(este comando te permitira definir una mac-address
estatica) es decir:
Con la primera lnea de comando le digo que agregue las MACs que va aprendiendo a la lista de MACs seguras.
Con la segunda linea de comando, que agregue la MAC 00:0a:5e:5a:18:1b a la lista de MACs seguras.
Si no agrego una segunda MAC, la primera MAC que escuche distinta a 00:0a:5e:5a:18:1b ser agregada a la lista de MACs
seguras.

Atencin..! Este comando no debe ser configurado en un puerto troncal o de backbone, ya que por estos puertos circulan
tramas con mltiples direcciones MAC, diferentes de origen. Esto dara como resultara el bloqueo del puerto.

El monitoreo de este feature (rasgo):
Hay comandos especficos que permiten monitorear el estado de los puertos que tienen implementado port-security, Ejemplo:
Switch# show port-security address
......Secure Mac Address Table
---------------------------------------------------------
Vlan..Mac Address....Type..........Ports..Remaining Age
..............................................(mins)
----..-----------....----..........-----..-------------
1....xxxx.xxxx.xxxx..SecureDynamic Fa0/15.......
-----------------------------------------------------------
Total Addresses in System (excluding one mac per port).....:.0
Max Addresses limit in System (excluding one mac per port) : 1024
Switch# show port-security interface fa0/15
Port Security.....................: EnabledPort
Status.......................: Secure-up
Violation Mode....................: Shutdown
Aging Time........................: 0 mins
Aging Type........................: Absolute
SecureStatic Address Aging........: Disabled
Maximum MAC Addresses.............: 1
Total MAC Addresses...............: 1
Configured MAC Addresses..........: 0
Sticky MAC Addresses..............: 0
Last Source Address...............: xxxx.xxxx.xxxx
Security Violation Count..........: 0
Switch#

Deficiones Complementarias

Tabla CAM:
Los switchs guardan las asociaciones MAC e informacin de VLAN en un tabla llamada tabla CAM.
La tabla CAM de un switch tiene un tamao fijo y finito.
Cuando la tabla CAM no tiene espacio para almacenar ms asociaciones MAC, enva a todos los puertos las tramas que tengan
una direccin MAC destino no almacenada en la tabla CAM. (Acta como un HUB para cualquier MAC que no haya aprendido).
Existe un ataque que se basa en el tamao limitado de la tabla CAM.
Para realizar el ataque slo hace falta enviar gran nmero de tramas con direcciones MAC distintas (usualmente generadas al
azar) a cualquier puerto del switch hasta que se llene la tabla CAM.

Port Security:
Port Security es un conjunto de medidas de seguridad a nivel de puertos disponibles.
Permite entre otras cosas: restringir el acceso a los puertos segn la MAC, restringir el nmero de MACs por puerto, reaccionar
de diferentes maneras a violaciones de las restricciones anteriores, establecer la duracin de las asociaciones MAC.
Tomar en cuenta que: No se puede activar port security en puertos dynamic access o trunk, por defecto Port Security est
desactivado y slo almacena una MAC por puerto.
Simple Network Management Protocol - SNMP
El Protocolo Simple de Administracin de Red o SNMP es un protocolo de la capa de aplicacin que facilita el intercambio
de informacin de administracin entre dispositivos de red. Es parte de la familia de protocolos TCP/IP. SNMP permite a los
administradores supervisar el desempeo de la red, buscar y resolver sus problemas, y planear su crecimiento.
Las versiones de SNMP ms utilizadas son dos: SNMP versin 1 (SNMPv1) y SNMP versin 2 (SNMPv2). Ambas versiones tienen
un nmero de caractersticas en comn, pero SNMPv2 ofrece mejoras, como por ejemplo, operaciones adicionales.
SNMP en su ltima versin (SNMPv3) posee cambios significativos con relacin a sus predecesores, sobre todo en aspectos de
seguridad, sin embargo no ha sido mayoritariamente aceptado en la industria.
Saludos cordiales,

Configuring Port Security on an Interface
To restrict traffic through a port by limiting and identifying MAC addresses of the stations allowed to access the
port, perform this task:
Command Purpose
Step 1
Switch(config)#
interface
interface_id
Enters interface configuration mode and enters the
physical interface to configure, for
example gigabitethernet 3/1.
Step 2
Switch(config-if)#
switchport mode
access
Sets the interface mode as access; an interface in the
default mode (dynamic desirable) cannot be
configured as a secure port.
Step 3
Switch(config-if)#
switchport port-
security
Enables port security on the interface.
Step 4
Switch(config-if)#
switchport port-
security
maximum value
(Optional) Sets the maximum number of secure MAC
addresses for the interface. The range is 1 to 3072;
the default is 1.
Step 5
Switch(config-if)#
switchport port-
(Optional) Sets the violation mode, the action to be
security
violation
{restrict |
shutdown}
taken when a security violation is detected, as one of
these:
restrictA port security violation restricts data
and causes the SecurityViolation counter to
increment and send an SNMP trap notification.
shutdownThe interface is error-disabled when
a security violation occurs.
Note When a secure port is in the error-disabled
state, you can bring it out of this state by
entering the errdisable recovery
cause psecure-violationglobal configuration
command or you can manually reenable it by
entering the shutdown and no shut
downinterface configuration commands.
Step 6
Switch(config-if)#
switchport port-
security limit
rate invalid-
source-mac
Sets the rate limit for bad packets.
Step 7
Switch(config-if)#
switchport port-
security
mac-address
mac_address
(Optional) Enters a secure MAC address for the
interface. You can use this command to enter the
maximum number of secure MAC addresses. If you
configure fewer secure MAC addresses than the
maximum, the remaining MAC addresses are
dynamically learned.
Step 8
Switch(config-if)#
switchport port-
security
mac-address sticky
(Optional) Enable sticky learning on the interface.
Step 9
Switch(config-if)#
end
Returns to privileged EXEC mode.
Step 10
Switch# show port-
security address
interface
interface_id
Switch# show port-
security address
Verifies your entries.
To return the interface to the default condition as not a secure port, use the no switchport port-
security interface configuration command.
To return the interface to the default number of secure MAC addresses, use the no switchport port-
security maximum value.
To delete a MAC address from the address table, use the no switchport port-security mac-
address mac_address command.
To return the violation mode to the default condition (shutdown mode), use the no switchport port-
security violation {restrict | shutdown} command.
To disable sticky learning on an interface, use the no switchport port-security mac-address
sticky command. The interface converts the sticky secure MAC addresses to dynamic secure addresses.
To delete a sticky secure MAC addresses from the address table, use the no switchport port-security
sticky mac-address mac_address command. To delete all the sticky addresses on an interface or a
VLAN, use the no switchport port-security sticky interface interface-id command.
To clear dynamically learned port security MAC in the CAM table, use the clear port-security dynamic
command. The address keyword enables you to clear a secure MAC addresses. The interface keyword
enables you to clear all secure addresses on an interface.
This example shows how to enable port security on Fast Ethernet port 12 and how to set the maximum number
of secure addresses to 5. The violation mode is the default, and no secure MAC addresses are configured.
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fastethernet 3/12
Switch(config-if)# switchport port-security maximum 5
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# end
Switch# show port-security interface fastethernet 3/12
Port Security :Enabled
Port Status :Secure-up
Violation Mode :Shutdown
Aging Time :0
Aging Type :Absolute
SecureStatic Address Aging :Enabled
Maximum MAC Addresses :5
Total MAC Addresses :0
Configured MAC Addresses :0
Sticky MAC Addresses :11
Last Source Address :0000.0000.0401
Security Violation Count :0

This example shows how to configure a secure MAC address on Fast Ethernet port 5/1 and verify the
configuration:
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config-if)# switchport port-security maximum 10
Switch(config-if)# switchport port-security mac-address 0000.0000.0003 (Static secure MAC)
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)#
switchport port-security mac-address sticky 0000.0000.0001 (Sticky static MAC)
Switch(config-if)# switchport port-security mac-address sticky 0000.0000.0002
Switch(config-if)# end
Switch#show port address
Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0000.0000.0001 SecureSticky Fa5/1 -
1 0000.0000.0002 SecureSticky Fa5/1 -
1 0000.0000.0003 SecureConfigured Fa5/1 -

------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 2
Max Addresses limit in System (excluding one mac per port) : 1024
Configuring Port Security Aging
You can use port security aging to set the aging time and aging type for all secure addresses on a port.
Use this feature to remove and add PCs on a secure port without manually deleting the existing secure MAC
addresses while still limiting the number of secure addresses on a port.
To configure port security aging, perform this task:
Command Purpose
Step 1
Switch(config)#
interface
interface_id
Enters interface configuration mode for the port on
which you want to enable port security aging.
Step 2
Switch(config-if)#
switchport port-
security
[ aging {static |
time aging_time |
type
{absolute |
Sets the aging time for the secure port.
The static keyword enables aging for statically
configured secure addresses on this port.
The time aging_time keyword specifies the aging time
for this port. Valid range for aging_time is from 0 to
inactivity} ]
1440 minutes. If the time is equal to 0, aging is disabled
for this port.
The type keyword sets the aging type as absolute or
inactive. For absolute aging, all the secure addresses
on this port ago out exactly after the time (minutes)
specified and are removed from the secure address list.
For inactive aging, the secure addresses on this port
ago out only if there is no data traffic from the secure
source address for the specified time period.
Step 3
Switch(config-if)#
end
Returns to privileged EXEC mode.
Step 4
Switch# show port
security
[interface
interface_id]
[address]
Verifies your entries.
To disable port security aging for all secure addresses on a port, use the no switchport port-
security aging time interface configuration command.
This example shows how to set the aging time as 2 hours for the secure addresses on the Fast Ethernet
interface 5/1:
Switch(config-if)# switchport port-security aging time 120

This example shows how to set the aging time as 2 minutes:
Switch(config-if)# switchport port-security aging time 2

You can verify the previous commands by entering the show port-security interface interface_id command.
Displaying Port Security Settings
Use the show port-security command to display port-security settings for an interface or for the switch.
To display traffic control information, perform one or more of these tasks:
Command Purpose
Switch# show port-
security[interfaceinterface_id]
Displays port security settings for
the switch or for the specified
interface, including the maximum
allowed number of secure MAC
addresses for each interface, the
number of secure MAC addresses
on the interface, the number of
security violations that have
occurred, and the violation mode.
Switch# show port-
security[interfaceinterface_id]address
Displays all secure MAC addresses
configured on all switch interfaces
or on a specified interface with
aging information for each address.
This example displays output from the show port-security command when you do not enter an interface:
Switch# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa3/1 2 2 0 Restrict
Fa3/3 2 2 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) :8
Max Addresses limit in System (excluding one mac per port) :1024
Global SNMP trap control for port-security :20 (traps per second)

This example displays output from the show port-security command for a specified interface:
Switch# show port-security interface fastethernet 5/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address : 0000.0001.001a
Security Violation Count : 0

This example displays output from the show port-security address command:
Switch#sh port-security address
Secure Mac Address Table
-------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0000.0001.0000 SecureConfigured Fa3/1 15 (I)
1 0000.0001.0001 SecureConfigured Fa3/1 14 (I)
1 0000.0001.1000 SecureDynamic Fa3/5 -
1 0000.0001.1200 SecureSticky Fa3/7 -
1 0000.0001.1201 SecureSticky Fa3/7 -
1 0000.0001.1300 SecureSticky Fa3/8 -
1 0000.0001.1301 SecureSticky Fa3/8 -
-------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) :8
Max Addresses limit in System (excluding one mac per port) :1024

Estructura del Modelo OSI de ISO

El objetivo perseguido por OSI establece una estructura que presenta las siguientes
particularidades:

Estructura multinivel: Se dise una estructura multinivel con la idea de que cada nivel se
dedique a resolver una parte del problema de comunicacin. Esto es, cada nivel ejecuta funciones
especificas.

El nivel superior utiliza los servicios de los niveles inferiores: Cada nivel se comunica con su
similar en otras computadoras, pero debe hacerlo enviando un mensaje a travs de los niveles
inferiores en la misma computadora. La comunicacin internivel est bien definida. El nivel N utiliza
los servicios del nivel N-1 y proporciona servicios al nivel N+1.

Puntos de acceso: Entre los diferentes niveles existen interfaces llamadas "puntos de acceso" a
los servicios.

Dependencias de Niveles: Cada nivel es dependiente del nivel inferior y tambin del superior.

Encabezados: En cada nivel, se incorpora al mensaje un formato de control. Este elemento de
control permite que un nivel en la computadora receptora se entere de que su similar en la
computadora emisora esta envindole informacin. Cualquier nivel dado, puede incorporar un
encabezado al mensaje. Por esta razn, se considera que un mensaje esta constituido de dos
partes: Encabezado e Informacin. Entonces, la incorporacin de encabezados es necesaria
aunque representa un lote extra de informacin, lo que implica que un mensaje corto pueda ser
voluminoso. Sin embargo, como la computadora destino retira los encabezados en orden inverso a
como fueron incorporados en la computadora origen, finalmente el usuario slo recibe el mensaje
original.

Unidades de informacin: En cada nivel, la unidad de informacin tiene diferente nombre y
estructura.

En el modelo OSI se consideran siete niveles, en cada uno de ellos se procesan unidades de
informacin denominadas PDU (Unidad de datos de protocolo). En las computadoras emisoras las
PDU se transmiten del nivel superior al inferior, y en cada uno de ellos se aade informacin de
control (encabezados, AH, PH, SH, TH, NH, DH, o terminales DT). En las computadoras receptoras
la informacin se procesa desde el nivel inferior, comprobando y eliminando en cada nivel los
encabezados o terminales de cada PDU correspondiente a dicho nivel.

Capas del modelo OSI

Capa Fsica (Capa 1)

La Capa Fsica del modelo de referencia OSI es la que se encarga de las conexiones fsicas de la
computadora hacia la red, tanto en lo que se refiere al medio fsico (cable coaxial, cable de par
trenzado, fibra ptica, radio, microondas); caractersticas del medio (p.e. tipo de cable o calidad del
mismo; tipo de conectores normalizados o en su caso tipo de antena; etc.) y la forma en la que se
transmite la informacin (codificacin de seal, niveles de tensin/intensidad de corriente elctrica,
modulacin, tasa binaria, etc.)

Sus principales funciones se pueden resumir como:

Definir el medio o medios fsicos por los que va a viajar la comunicacin: cable de pares
trenzados, coaxial, guas de onda, aire, fibra ptica.
Definir las caractersticas materiales (componentes y conectores mecnicos) y elctricas
(niveles de tensin) que se van a usar en la transmisin de los datos por los medios fsicos.
Definir las caractersticas funcionales de la interfaz (establecimiento, mantenimiento y liberacin
del enlace fsico).
Transmitir el flujo de bits a travs del medio.
Manejar las seales elctricas/electromagnticas
Especificar cables, conectores y componentes de interfaz con el medio de transmisin, polos en
un enchufe, etc.
Garantizar la conexin (aunque no la fiabilidad de sta).

Codificacin de la seal

El nivel fsico recibe una trama binaria que debe convertir a una seal elctrica, electromagntica u
otra dependiendo del medio, de tal forma que a pesar de la degradacin que pueda sufrir en el
medio de transmisin vuelva a ser interpretable correctamente en el receptor.

En el caso ms sencillo el medio es directamente digital, como en el caso de las fibras pticas,
dado que por ellas se transmiten pulsos de luz. Cuando el medio no es digital hay que codificar la
seal, en los casos ms sencillos la codificacin puede ser por pulsos de tensin, es lo que se
llaman codificacin unipolar RZ. Otros medios se codifican mediante presencia o ausencia de
corriente. En los casos ms complejos, como suelen ser las comunicaciones inalmbricas, se
pueden dar modulaciones muy sofisticadas, este es el caso de los estndares Wi-Fi, en el que se
utiliza codificacin OFDM.

Topologa y medios compartidos

Indirectamente, el tipo de conexin que se haga en la capa fsica puede influir en el diseo de la
capa de Enlace. Atendiendo al nmero de equipos que comparten un medio hay dos posibilidades:

Conexiones punto a punto: que se establecen entre dos equipos y que no admiten ser
compartidas por terceros
Conexiones multipunto: en la que ms de dos equipos pueden usar el medio.

As por ejemplo la fibra ptica no permite fcilmente conexiones multipunto y por el contrario las
conexiones inalmbricas son inherentemente multipunto. Hay topologas como el anillo, que
permiten conectar muchas mquinas a partir de una serie de conexiones punto a punto.

Capa de enlace de datos (Capa 2)

Es la responsable de la transferencia fiable de informacin a travs de un circuito de transmisin
de datos.

El objetivo del nivel de enlace es conseguir que la informacin fluya, libre de errores, entre dos
mquinas que estn conectadas directamente (servicio orientado a conexin). Para lograr este
objetivo tiene que montar bloques de informacin (llamados tramas en este nivel), dotarles de una
direccin de nivel de enlace, gestionar la deteccin o correccin de errores, y ocuparse del control
de flujo entre equipos (para evitar que un equipo ms rpido desborde a uno ms lento).

Cuando el medio de comunicacin est compartido entre ms de dos equipos es necesario arbitrar
el uso del mismo. Esta tarea se realiza en el subnivel de acceso al medio.

Capa de red (Capa 3)

Es una capa que proporciona conectividad y seleccin de ruta entre dos sistemas de hosts que
pueden estar ubicados en redes geogrficamente distintas. Su misin es conseguir que los datos
lleguen desde el origen al destino aunque no tengan conexin directa. Ofrece servicios al nivel
superior (nivel de transporte) y se apoya en el nivel de enlace, es decir, utiliza sus funciones.

Hay dos formas en las que el nivel de red puede funcionar internamente, pero independientemente
de que la red funcione internamente con datagramas o con circuitos virtuales puede dar hacia el
nivel de transporte un servicio orientado a conexin:

Datagramas: Cada paquete se encamina independientemente, sin que el origen y el destino
tengan que pasar por un establecimiento de comunicacin previo.
Circuitos virtuales: En una red de circuitos virtuales dos equipos que quieran comunicarse
tienen que empezar por establecer una conexin. Durante este estableciemiento de conexin,
todos los routers que hayan por el camino elegido reservarn recursos para ese circuito virtual
especfico.

Hay dos tipos de servicio:

Servicios Orientados: Slo el primer paquete de cada mensaje tiene que llevar la direccin
destino. Con este paquete se establece la ruta que debern seguir todos los paquetes
pertenecientes a esta conexin. Cuando llega un paquete que no es el primero se identifica a que
conexin pertenece y se enva por el enlace de salida adecuado, segn la informacin que se
gener con el primer paquete y que permanece almacenada en cada conmutador o nodo.
Servicios no orientados: Cada paquete debe llevar la direccin destino, y con cada uno, los
nodos de la red deciden el camino que se debe seguir. Existen muchas tcnicas para realizar esta
decisin, como por ejemplo comparar el retardo que sufrira en ese momento el paquete que se
pretende transmitir segn el enlace que se escoja.

Encaminamiento

Las tcnicas de encaminamiento suelen basarse en el estado de la red, que es dinmico, por lo
que las decisiones tomadas respecto a los paquetes de la misma conexin pueden variar segn el
instante de manera que stos pueden seguir distintas rutas. El problema, sin embargo, consiste en
encontrar un camino ptimo entre un origen y un destino. La bondad de este camino puede tener
diferentes criterios: velocidad, retardo, seguridad, regularidad, distancia, longitud media de las
colas, costos de comunicacin, etc.

Los equipos encargados de esta labor se denominan encaminadores (router en ingls), aunque
tambin realizan labores de encaminamiento los conmutadores (switch en ingls) "multicapa" o "de
nivel 3", si bien estos ltimos realizan tambin labores de nivel de enlace.

Algunos protocolos de la capa de red son:

ARP, IP, IGMP, IPX.

Ejemplo IP:

El Protocolo de Internet (IP, de sus siglas en ingls Internet Protocol) es un protocolo no orientado
a conexin usado tanto por el origen como por el destino para la comunicacin de datos a travs
de una red de paquetes conmutados. Los datos en una red basada en IP son enviados en bloques
conocidos como paquetes o datagramas. Si la informacin a transmitir ("datagramas" ) supera el
tamao mximo "negociado" (MTU) en el tramo de red por el que va a circular podr ser dividida en
paquetes ms pequeos, y reensamblada luego cuando sea necesario. Estos fragmentos podrn ir
cada uno por un camino diferente dependiendo de como estn de congestionadas las rutas en
cada momento.

Las cabeceras IP contienen las direcciones de las mquinas de origen y destino (direcciones IP),
direcciones que sern usadas por los conmutadores de paquetes (switches) y los enrutadores
(routers) para decidir el tramo de red por el que reenviarn los paquetes.

Direccin IP

Una direccin IP es un nmero que identifica de manera lgica y jerrquicamente a una interfaz de
un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo de
Internet (Internet Protocol), que corresponde al nivel de red o nivel 3 del modelo de referencia OSI.
Dicho nmero no se ha de confundir con la direccin MAC que es un nmero fsico que es
asignado a la tarjeta o dispositivo de red (viene impuesta por el fabricante), mientras que la
direccin IP se puede cambiar.

Es habitual que un usuario que se conecta desde su hogar a Internet utilice una direccin IP. Esta
direccin puede cambiar al reconectar; y a esta forma de asignacin de direccin IP se denomina
una direccin IP dinmica (normalmente se abrevia como IP dinmica). Los sitios de Internet que
por su naturaleza necesitan estar permanentemente conectados, generalmente tienen una
direccin IP fija (se aplica la misma reduccin por IP fija o IP esttica), es decir, no cambia con el
tiempo. Los servidores de correo, dns, ftp pblicos, servidores web necesariamente deben contar
con una direccin IP fija o esttica, ya que de esta forma se facilita su ubicacin.

Capa de aplicacin (Capa 7)

Ofrece a las aplicaciones (de usuario o no) la posibilidad de acceder a los servicios de las dems
capas y define los protocolos que utilizan las aplicaciones para intercambiar datos, como correo
electrnico (POP y SMTP), gestores de bases de datos y servidor de ficheros (FTP). Hay tantos
protocolos como aplicaciones distintas y puesto que continuamente se desarrollan nuevas
aplicaciones el nmero de protocolos crece sin parar.

Cabe aclarar que el usuario normalmente no interacta directamente con el nivel de aplicacin.
Suele interactuar con programas que a su vez interactan con el nivel de aplicacin pero ocultando
la complejidad subyacente. As por ejemplo un usuario no manda una peticin "HTTP/1.0 GET
index.html" para conseguir una pgina en html, ni lee directamente el cdigo html/xml.

Entre los protocolos (refirindose a protocolos genricos, no a protocolos de la capa de aplicacin
de OSI) ms conocidos destacan:

HTTP (HyperText Transfer Protocol) el protocolo bajo la www
FTP (File Transfer Protocol) ( FTAM, fuera de TCP/IP) transferencia de ficheros
SMTP (Simple Mail Transfer Protocol) (X.400 fuera de tcp/ip) envo y distribucin de correo
electrnico
POP (Post Office Protocol)/IMAP: reparto de correo al usuario final
SSH (Secure SHell) principalmente terminal remoto, aunque en realidad cifra casi cualquier tipo
de transmisin.
Telnet otro terminal remoto, ha cado en desuso por su inseguridad intrnseca, ya que las claves
viajan sin cifrar por la red.

Hay otros protocolos de nivel de aplicacin que facilitan el uso y administracin de la red:

SNMP (Simple Network Management Protocol)
DNS (Domain Name System)

Capa 1 - Fsica

La capa fsica no entiende nada, pero bits: La seal llega a ella en forma de impulsos y
se transforma en 0's y 1's.
En el caso de las seales elctricas, por ejemplo, si la seal tiene un voltaje negativo,
se identifica como 0. Y si usted tiene una voltaje positiva, se identifica como 1.

En esta capa se define a continuacin, los usos de los cables y conectores, as como el
tipo de seal (pulsos elctricos - coaxiales; pulsos de luz - ptica).
Funcin: recibir los datos e iniciar el proceso (o lo contrario, introducir datos y
completar el proceso).
Dispositivos: cables, conectores, concentradores, transceiver (traduccin entre las
seales pticas y elctricas - que se desplaza en cables diferentes).
PDU: bits.

Capa 2 - Enlace

Continuando con el flujo, la capa de enlace de datos recibe el formato de la capa fsica,
los bits, y los trata, convirtiendo los datos en el disco que se remitir a la siguiente
capa.
Un concepto importante, la direccin fsica (MAC address - Media Access Control) es en
esa capa. La capa siguiente (3 de la red) que se ocupar de la direccin IP conocida,
pero vamos a hablar cuando lo discutimos.
Funcin: enlace de datos de un host a otro, por lo que es a travs de los protocolos
definidos para cada medio especfico por el cual se envan los datos.
Protocolos: PPP, Ethernet, FDDI, ATM, Token Ring.
Dispositivos: Interruptores, Tarjeta de red, interfaces.
PDU: Frame.

Capa 3 - Red

En la tabla a continuacin, llega a la capa de red, responsables de trfico de datos.
Para ello, cuenta con dispositivos que identifican el mejor camino posible a seguir, y
que establecen dichas rutas.
Esta capa tiene la direccin fsica MAC (nivel 2-Link) y la convierte en la direccin
lgica (direccin IP).
Y cmo es la direccin IP? Bueno, el protocolo IP es una direccin lgica. Cuando la
unidad de capa de red recibe la capa de enlace de datos (Cuadro recuerdas?) Se
convierte en su propio PDU con la direccin lgica, que es utilizado por los routers, por
ejemplo - en sus tablas de enrutamiento y algoritmos - para encontrar los caminos
mejores datos. Esta unidad de datos que ahora se llama paquetes.
Funcin: direccionamiento, enrutamiento y definir las mejores rutas posibles.
Protocolos: ICMP, IP, IPX, ARP, IPSEC.
Dispositivos: Routers.
PDU: paquetes.
Capa 7 - Aplicacin

En esta capa tenemos las interfaces de usuario, que son creados por los propios datos
(correo electrnico, transferencia de archivos, etc.)
Aqu es donde los datos son enviados y recibidos por los usuarios. Estas peticiones se
realizan por las aplicaciones de acuerdo a los protocolos utilizados.
As como la capa fsica, que est en el borde del modelo, por lo que tambin se inicia y
se detiene todo el proceso.
Esta capa es probablemente que estn ms acostumbrados a. Que interactan
directamente con l, por ejemplo, cuando se utiliza un programa para leer o enviar
correo electrnico, o comunicarse a travs de mensajera instantnea.
Funcin: hacer que la interfaz entre los usuarios finales y los programas de
comunicacin.

Todas las capas Juntos
Bueno hasta ahora?
Debemos concluir, como ya se ha extendido demasiado por ahora con el - breve -
Descripcin de las capas del modelo OSI.
A medida que la informacin final, darse cuenta de que cada uno de ellos siempre
preparar (o formato) de datos para entender la siguiente capa. Esto ocurre en todas
las etapas de una comunicacin en ambas direcciones.
En conclusin, tenemos una cifra que nos da una buena idea de este proceso.

Modelo TCP/IP

Encapsulacin de una aplicacin de datos a travs da capas del modelo TCP/IP.
El modelo TCP/IP es un modelo de descripcin de protocolos de reddesarrollado en los aos
70 por Vinton Cerf y Robert E. Kahn. Fue implantado en la red ARPANET, la primera red de
rea amplia, desarrollada por encargo de DARPA, una agencia del Departamento de Defensa
de los Estados Unidos, y predecesora de la actual red Internet. EL modelo TCP/IP se
denomina a veces como Internet Model, ModeloDoD o Modelo DARPA.

El modelo TCP/IP, describe un conjunto de guas generales de diseo e implementacin de
protocolos de red especficos para permitir que un equipo pueda comunicarse en una red.
TCP/IP provee conectividad de extremo a extremo especificando cmo los datos deberan ser
formateados, direccionados, transmitidos, enrutadosy recibidos por el destinatario. Existen
protocolos para los diferentes tipos de servicios de comunicacin entre equipos.
TCP/IP tiene cuatro capas de abstraccin segn se define en el RFC 1122. Esta arquitectura
de capas a menudo es comparada con el Modelo OSI de siete capas.
El modelo TCP/IP y los protocolos relacionados son mantenidos por la Internet Engineering
Task Force (IETF).

Para conseguir un intercambio fiable de datos entre dos equipos, se deben llevar a cabo
muchos procedimientos separados.
El resultado es que el software de comunicaciones es complejo. Con un modelo en capas o
niveles resulta ms sencillo agrupar funciones relacionadas e implementar el software de
comunicaciones modular.
Las capas estn jerarquizadas. Cada capa se construye sobre su predecesora. El nmero de
capas y, en cada una de ellas, sus servicios y funciones son variables con cada tipo de red.
Sin embargo, en cualquier red, la misin de cada capa es proveer servicios a las capas
superiores hacindoles transparentes el modo en que esos servicios se llevan a cabo. De esta
manera, cada capa debe ocuparse exclusivamente de su nivel inmediatamente inferior, a
quien solicita servicios, y del nivel inmediatamente superior, a quien devuelve resultados.

Capa 4 o capa de aplicacin: Aplicacin, asimilable a las capas 5 (sesin), 6
(presentacin) y 7 (aplicacin) del modelo OSI. La capa de aplicacin deba incluir los
detalles de las capas de sesin y presentacin OSI. Crearon una capa de aplicacin que
maneja aspectos de representacin, codificacin y control de dilogo.
Capa 3 o capa de transporte: Transporte, asimilable a la capa 4 (transporte) del modelo
OSI.
Capa 2 o capa de internet: Internet, asimilable a la capa 3 (red) del modelo OSI.
Capa 1 o capa de acceso al medio: Acceso al Medio, asimilable a la capa 2 (enlace de
datos) y a la capa 1 (fsica) del modelo OSI.

User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el
intercambio de datagramas (Encapsulado de capa 4 Modelo OSI). Permite el envo de
datagramas a travs de la red sin que se haya establecido previamente una conexin, ya que
el propio datagrama incorpora suficiente informacin de direccionamiento en su cabecera.
Tampoco tiene confirmacin ni control de flujo, por lo que los paquetes pueden adelantarse
unos a otros; y tampoco se sabe si ha llegado correctamente, ya que no hay confirmacin de
entrega o recepcin. Su uso principal es para protocolos como DHCP, BOOTP, DNS y dems
protocolos en los que el intercambio de paquetes de la conexin/desconexin son mayores, o
no son rentables con respecto a la informacin transmitida, as como para la transmisin de
audio y vdeo en tiempo real, donde no es posible realizar retransmisiones por los estrictos
requisitos de retardo que se tiene en estos casos.

FTP (siglas en ingls de File Transfer Protocol, 'Protocolo de Transferencia de Archivos') en
informtica, es un protocolo de redpara la transferencia de archivos entre sistemas conectados
a una red TCP (Transmission Control Protocol), basado en la arquitecturacliente-servidor.
Desde un equipo cliente se puede conectar a un servidor para descargar archivos desde l o
para enviarle archivos, independientemente del sistema operativo utilizado en cada equipo.
El servicio FTP es ofrecido por la capa de aplicacin del modelo de capas de red TCP/IP al
usuario, utilizando normalmente el puerto de red 20 y el 21. Un problema bsico de FTP es
que est pensado para ofrecer la mxima velocidad en la conexin, pero no la mxima
seguridad, ya que todo el intercambio de informacin, desde el login y password del usuario
en el servidor hasta la transferencia de cualquier archivo, se realiza en texto plano sin ningn
tipo de cifrado, con lo que un posible atacante puede capturar este trfico, acceder al servidor
y/o apropiarse de los archivos transferidos.
Para solucionar este problema son de gran utilidad aplicaciones como scp y sftp, incluidas en
el paquete SSH, que permiten transferir archivos pero cifrando todo el trfico.
Modos de conexin del cliente FTP
FTP admite dos modos de conexin del cliente. Estos modos se denominan activo (o
Estndar, o PORT, debido a que el cliente enva comandos tipo PORT al servidor por el canal
de control al establecer la conexin) y pasivo (o PASV, porque en este caso enva comandos
tipo PASV). Tanto en el modo Activo como en el modo Pasivo, el cliente establece una
conexin con el servidor mediante el puerto 21, que establece el canal de control.

Trivial File Transfer Protocol ( TFTP ) es un archivo de transferencia de protocolo destaca
por su sencillez. Se utiliza generalmente para la transferencia automatizada de configuracin o
archivos de arranque entre las mquinas en un entorno local. En comparacin con FTP , TFTP
es extremadamente limitado, siempre y cuando no la autenticacin, y rara vez se utiliza de
forma interactiva por el usuario.
Debido a su diseo simple, TFTP puede ser implementado usando una cantidad muy pequea
de memoria . Por tanto, es til para arrancar las computadoras tales como routers que pueden
no tener ningn dispositivo de almacenamiento de datos . Es un elemento del entorno de
ejecucin de prearranque (PXE) Protocolo de inicio de red, en el que se implementa en el
firmware ROM / NVRAM de la tarjeta de red del host.
Tambin se utiliza para transferir pequeas cantidades de datos entre hosts en una red ,
como telfonos IP de firmware o sistema operativo imgenes cuando un control remoto del
sistema X Window de terminal o cualquier otrocliente ligero arranca desde un host de red
o servidor . Las etapas iniciales de algunos sistemas de instalacin basados en red
(como Solaris Jumpstart , Red Hat Kickstart , Symantec Ghost y de Windows NT 's servicios
de instalacin remota ) usan TFTP para cargar una base del ncleo que lleva a cabo la
instalacin real. Se usaba para guardar las configuraciones del router en los routers Cisco,
pero ms tarde se ampli con otros protocolos.
[ 1 ]

TFTP se defini por primera vez en 1980 por el IEN 133.
[ 2 ]
Desde 1992, ha sido definido
por el RFC 1350 . Ha habido algunas extensiones al protocolo TFTP documentado en RFC
posteriores (vase la seccin sobre las extensiones, a continuacin). TFTP se basa en parte
en el protocolo anterior EFTP , que formaba parte de la PUPconjunto de protocolos . Soporte
TFTP apareci por primera vez como parte de 4.3 BSD .
Debido a la falta de seguridad, es peligroso utilizar a travs de Internet. Por lo tanto, TFTP es
generalmente utilizado en las redes privadas, locales.

Simple Network Management Protocol
El Protocolo Simple de Administracin de Red o SNMP (delingls Simple Network
Management Protocol) es un protocolo de la capa de aplicacin que facilita el intercambio de
informacin de administracin entre dispositivos de red. Permite a los administradores
supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su
crecimiento.
Las versiones de SNMP ms utilizadas son SNMP versin 1 (SNMPv1) y SNMP versin 2
(SNMPv2).
SNMP en su ltima versin (SNMPv3) posee cambios significativos con relacin a sus
predecesores, sobre todo en aspectos de seguridad; sin embargo no ha sido mayoritariamente
aceptado en la industria.

Simple Mail Transfer Protocol
El Simple Mail Transfer Protocol (SMTP) (Protocolo para la transferencia simple de correo
electrnico), es un protocolo de redutilizado para el intercambio de mensajes de correo
electrnicoentre computadoras u otros dispositivos (PDA, telfonos mviles, etc.). Fue definido
en el RFC 2821 y es un estndar oficial de Internet.
1

El funcionamiento de este protocolo se da en lnea, de manera que opera en los servicios de
correo electrnico. Sin embargo, este protocolo posee algunas limitaciones en cuanto a la
recepcin de mensajes en el servidor de destino (cola de mensajes recibidos). Como
alternativa a esta limitacin se asocia normalmente a este protocolo con otros, como el POP o
IMAP, otorgando a SMTP la tarea especfica de enviar correo, y recibirlos empleando los otros
protocolos antes mencionados (POP O IMAP).

RADIUS (acrnimo en ingls de Remote Authentication Dial-In User Service). Es un protocolo
de autenticacin y autorizacin para aplicaciones de acceso a la red o movilidad IP. Utiliza el
puerto 1812 UDP para establecer sus conexiones.
Cuando se realiza la conexin con
un ISP mediante mdem, DSL, cablemdem, Ethernet o Wi-Fi, se enva una informacin que
generalmente es un nombre de usuario y una contrasea. Esta informacin se transfiere a un
dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige la peticin a
un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la
informacin es correcta utilizando esquemas de autenticacin como PAP, CHAP o EAP. Si es
aceptado, el servidor autorizar el acceso al sistema del ISP y le asigna los recursos de red
como una direccin IP, y otros parmetros como L2TP, etc.
Una de las caractersticas ms importantes del protocolo RADIUS es su capacidad de manejar
sesiones, notificando cuando comienza y termina una conexin, as que al usuario se le podr
determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con
propsitos estadsticos.
RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de
sus Servidores de Acceso a la Red(NAS), ms tarde se public como RFC 2138 y RFC 2139.
Actualmente existen muchos servidores RADIUS, tanto comerciales como de cdigo abierto.
Las prestaciones pueden variar, pero la mayora pueden gestionar los usuarios en archivos de
texto, servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para
monitorear remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una
administracin centralizada y pueden reescribir paquetes RADIUS al vuelo (por razones de
seguridad, o hacer conversiones entre dialectos de diferentes fabricantes)....
RADIUS es extensible; la mayora de fabricantes de software y hardware RADIUS
implementan sus propios dialectos
Protocolo AAA
En seguridad informtica, el acrnimo AAA corresponde a un tipo de protocolos que realizan
tres funciones: Autenticacin, Autorizacin y Contabilizacin (Authentication, Authorization and
Accounting en ingls). La expresinprotocolo AAA no se refiere pues a un protocolo en
particular, sino a una familia de protocolos que ofrecen los tres servicios citados.
AAA se combina a veces con auditoria, convirtindose entonces en AAAA.
Autenticacin
La Autenticacin es el proceso por el que una entidad prueba su identidad ante otra.
Normalmente la primera entidad es un cliente (usuario, ordenador, etc) y la segunda
un servidor (ordenador). La Autenticacin se consigue mediante la presentacin de
una propuesta de identidad (vg. un nombre de usuario) y la demostracin de estar en
posesin de las credenciales que permiten comprobarla. Ejemplos posibles de estas
credenciales son las contraseas, los testigos de un slo uso (one-time tokens),
los Certificados Digitales, los nmeros de telfono en la identificacin de llamadas.
Viene al caso mencionar que los protocolos de autenticacin digital modernos
permiten demostrar la posesin de las credenciales requeridas sin necesidad de
transmitirlas por la red (vanse por ejemplo los protocolos de desafo-respuesta).
Autorizacin
Autorizacin se refiere a la concesin de privilegios especficos (incluyendo "ninguno")
a una entidad o usuario basndose en su identidad (autenticada), los privilegios que
solicita, y el estado actual del sistema. Las autorizaciones pueden tambin estar
basadas en restricciones, tales como restricciones horarias, sobre la localizacin de la
entidad solicitante, la prohibicin de realizar logins mltiples simultneos del mismo
usuario, etc. La mayor parte de las veces el privilegio concedido consiste en el uso de
un determinado tipo de servicio. Ejemplos de tipos de servicio son, pero sin estar
limitado a: filtrado de direcciones IP, asignacin de direcciones, asignacin de rutas,
asignacin de parmetros de Calidad de Servicio, asignacin de Ancho de banda,
yCifrado.
Contabilizacin
La Contabilizacin se refiere al seguimiento del consumo de los recursos de red por
los usuarios. Esta informacin puede usarse posteriormente para la administracin,
planificacin, facturacin, u otros propsitos. La contabilizacin en tiempo real es
aquella en la que los datos generados se entregan al mismo tiempo que se produce el
consumo de los recursos. En contraposicin la contabilizacin por lotes (en ingls
"batch accounting") consiste en la grabacin de los datos de consumo para su entrega
en algn momento posterior. La informacin tpica que un proceso de contabilizacin
registra es la identidad del usuario, el tipo de servicio que se le proporciona, cuando
comenz a usarlo, y cuando termin.

Internet Authentication Service
El Servicio de autentificacin de Internet o IAS (en ingles Internet Authentication Service)
es un componente del sistema operativo Windows Server que proporciona autenticaciones de
usuario, autorizaciones, contabilidad y auditora.

Protocolo de autenticacin extensible (EAP)
El Protocolo de autenticacin extensible (EAP, Extensible Authentication Protocol) es una extensin
del Protocolo punto a punto (PPP) que admite mtodos de autenticacin arbitrarios que utilizan
intercambios de credenciales e informacin de longitudes arbitrarias. EAP se ha desarrollado como
respuesta a la creciente demanda de mtodos de autenticacin que utilizan dispositivos de
seguridad, como las tarjetas inteligentes, tarjetas de identificacin y calculadoras de cifrado. EAP
proporciona una arquitectura estndar para aceptar mtodos de autenticacin adicionales junto con
PPP.
Mediante EAP, se pueden admitir esquemas de autenticacin adicionales, conocidos como tipos
EAP. Entre estos esquemas se incluyen las tarjetas de identificacin, contraseas de un solo uso,
autenticacin por clave pblica mediante tarjetas inteligentes y certificados. EAP, junto con los tipos
de EAP seguros, es un componente tecnolgico crtico para las conexiones de red privada virtual
(VPN) seguras. Los tipos EAP seguros, como los basados en certificados, ofrecen mayor seguridad
frente a ataques fsicos o de diccionario, y de investigacin de contraseas, que otros mtodos de
autenticacin basados en contrasea, como CHAP o MS-CHAP.
Para averiguar si se est utilizando un tipo de EAP en su organizacin, pngase en contacto con el
administrador de la red.
Para configurar una conexin con EAP, vea Configurar la autenticacin de la identidad y el cifrado
de datos.
La familia Windows Server 2003 admite dos tipos de EAP:
EAP-MD5 CHAP (equivalente al protocolo de autenticacin CHAP)
EAP-TLS (utilizado para autenticacin basada en certificados de usuario).
EAP-TLS es un mtodo de autenticacin mutua, lo que significa que tanto el cliente como el
servidor deben demostrar sus identidades uno a otro. Durante el proceso de autenticacin, el
cliente de acceso remoto enva su certificado de usuario y el servidor de acceso remoto enva su
certificado de equipo. Si el certificado no se enva o no es vlido, se termina la conexin.
Wi-Fi Protected Access, llamado tambin WPA (en espaol Acceso Wi-Fi protegido) es un
sistema para proteger las redes inalmbricas (Wi-Fi) . Creado para corregir las deficiencias del
sistema previo, Wired Equivalent Privacy (WEP).
1
Los investigadores han encontrado varias
debilidades en el algoritmo WEP (tales como la reutilizacin del vector de inicializacin (IV),
del cual se derivan ataques estadsticos que permiten recuperar la clave WEP, entre otros).
WPA implementa la mayora del estndar IEEE 802.11i, y fue creado como una medida
intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado. WPA fue creado por
la Wi-Fi Alliance(Alianza Wi-Fi).
WPA adopta la autenticacin de usuarios mediante el uso de un servidor, donde se almacenan
las credenciales y contraseas de los usuarios de la red. Para no obligar al uso de tal servidor
para el despliegue de redes, WPA permite la autenticacin mediante una clave precompartida,
que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la
red.
Un inconveniente encontrado en la caracterstica agregada al Wi-Fi llamada Wi-Fi Protected
Setup (tambin bajo el nombre de QSS) permite eludir la seguridad e infiltrarse en las redes
que usan los protocolos WPA y WPA2.
WPA2[editar]
Artculo principal: WPA2
Una vez finalizado el nuevo estndar 802.11ie se crea el WPA2 basado en este. WPA se
podra considerar de migracin, mientras que WPA2 es la versin certificada del estndar
de la IEEE.
5

6

El estndar 802.11i fue ratificado en junio de 2004.
La Wi-Fi Alliance llama a la versin de clave pre-compartida WPA-Personal y WPA2-Personal
y a la versin con autenticacin 802.1x/EAP como WPA-Enterprise y WPA2-Enterprise.
Los fabricantes comenzaron a producir la nueva generacin de puntos de acceso apoyados en
el protocolo WPA2 que utiliza el algoritmo de cifrado AES (Advanced Encryption
Standard).
7
Con este algoritmo ser posible cumplir con los requerimientos de seguridad del
gobierno de USA - FIPS140-2. "WPA2 est idealmente pensado para empresas tanto del
sector privado cmo del pblico. Los productos que son certificados para WPA2 le dan a los
gerentes de TI la seguridad de que la tecnologa cumple con estndares de interoperatividad"
declar Frank Hazlik Managing Director de la Wi-Fi Alliance. Si bien parte de las
organizaciones estaban aguardando esta nueva generacin de productos basados en AES es
importante resaltar que los productos certificados para WPA siguen siendo seguros de
acuerdo a lo establecido en el estndar 802.11i
Seguridad ataques WPA2[editar]
Tanto la versin 1 de WPA, como la denominada versin 2, se basan en la transmisin de las
autenticaciones soportadas en el elemento de informacin correspondiente. En el caso de
WPA 1, en el tag propietario de Microsoft, y en el caso de WPA2 en el tag
estndar 802.11i RSN.
Durante el intercambio de informacin en el proceso de conexin RSN, si el cliente no soporta
las autenticaciones que especifica el AP (access point, punto de acceso), ser desconectado
pudiendo sufrir de esta manera un ataque DoS especfico a WPA.
Adems, tambin existe la posibilidad de capturar el 4-way handshake que se intercambia
durante el proceso de autenticacin en una red con seguridad robusta. Las claves PSK
(precompartidas) son vulnerables a ataques de diccionario (no as las empresariales, ya que el
servidor RADIUS generar de manera aleatoria dichas claves), existen proyectos libres que
utilizan GPU con lenguajes especficos como CUDA (NVIDIA) y Stream (AMD) para realizar
ataques de fuerza bruta hasta cien veces ms rpido que con computadoras ordinarias.

Wired Equivalent Privacy
Para WEP en aviacin, vase Potencia de emergencia.
WEP, acrnimo de Wired Equivalent Privacy o "Privacidad Equivalente a Cableado", es el
sistema de cifrado incluido en el estndar IEEE 802.11 como protocolo para
redes Wireless que permite cifrar la informacin que se transmite. Proporciona un cifrado a
nivel 2, basado en el algoritmo de cifrado RC4 que utiliza claves de 64 bits (40 bits ms 24 bits
del vector de iniciacin IV) o de 128 bits (104 bits ms 24 bits del IV). Los mensajes de
difusin de las redes inalmbricas se transmiten por ondas de radio, lo que los hace ms
susceptibles, frente a las redes cableadas, de ser captados con relativa facilidad. Presentado
en 1999, el sistema WEP fue pensado para proporcionar una confidencialidad comparable a la
de una red tradicional cableada.
Comenzando en 2001, varias debilidades serias fueron identificadas por analistas
criptogrficos. Como consecuencia, hoy en da una proteccin WEP puede ser violada con
software fcilmente accesible en pocos minutos. Unos meses ms tarde el IEEE cre la nueva
correccin de seguridad 802.11i para neutralizar los problemas. Hacia 2003, la Wi-Fi
Alliance anunci que WEP haba sido reemplazado por Wi-Fi Protected Access (WPA).
Finalmente en 2004, con la ratificacin del estndar completo 802.11i (conocido como WPA2),
el IEEE declar que tanto WEP-40 como WEP-104 fueron revocados por presentar fallos en
su propsito de ofrecer seguridad. A pesar de sus debilidades, WEP sigue siendo utilizado, ya
que es a menudo la primera opcin de seguridad que se presenta a los usuarios por las
herramientas de configuracin de los routers an cuando slo proporciona un nivel de
seguridad que puede disuadir del uso sin autorizacin de una red privada, pero sin
proporcionar verdadera proteccin. Fue desaprobado como un mecanismo de privacidad
inalmbrico en 2004, pero todava est documentado en el estndar actual.
WEP es a veces interpretado errneamente como Wireless Encryption Protocol.

Autenticacin
En el sistema WEP se pueden utilizar dos mtodos de autenticacin: Sistema Abierto y Clave
Compartida.
Para ms claridad hablaremos de la autenticacin WEP en el modo de Infraestructura (por
ejemplo, entre un cliente WLAN y un Punto de Acceso), pero se puede aplicar tambin al
modo Ad-Hoc.
Autenticacin de Sistema Abierto: el cliente WLAN no se tiene que identificar en el Punto de
Acceso durante la autenticacin. As, cualquier cliente, independientemente de su clave WEP,
puede verificarse en el Punto de Acceso y luego intentar conectarse. En efecto, la no
autenticacin (en el sentido estricto del trmino) ocurre. Despus de la autenticacin y la
asociacin, el sistema WEP puede ser usado para cifrar los paquetes de datos. En este punto,
el cliente tiene que tener las claves correctas.
Autenticacin mediante Clave Compartida: WEP es usado para la autenticacin. Este
mtodo se puede dividir en cuatro fases: I) La estacin cliente enva una peticin de
autenticacin al Punto de Acceso. II) El punto de acceso enva de vuelta un texto modelo. III)
El cliente tiene que cifrar el texto modelo usando la clave WEP ya configurada, y reenviarlo al
Punto de Acceso en otra peticin de autenticacin. IV) El Punto de Acceso descifra el texto
codificado y lo compara con el texto modelo que haba enviado. Dependiendo del xito de esta
comparacin, el Punto de Acceso enva una confirmacin o una denegacin. Despus de la
autenticacin y la asociacin, WEP puede ser usado para cifrar los paquetes de datos.
A primera vista podra parecer que la autenticacin por Clave Compartida es ms segura que
la autenticacin por Sistema Abierto, ya que ste no ofrece ninguna autenticacin real. Sin
embargo, es posible averiguar la clave WEP esttica interceptando los cuatro paquetes de
cada una de las fases de la autenticacin con Clave Compartida. Por lo tanto es aconsejable
usar la autenticacin de Sistema Abierto para la autenticacin WEP (ntese que ambos
mecanismos de autenticacin son dbiles).

Estudi Ar

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Estudi Ar

Transféré par

Droits d'auteur :

Formats disponibles

Configuracin de VTP (VLAN Trunking Protocol)

Publicado por Victor E. Martinez G. el 14 marzo, 2013

Vous aimerez peut-être aussi