Académique Documents
Professionnel Documents
Culture Documents
Dispositivos
Medios
Servicios
Intranet
Extranet
La red como plataforma
Red confiable
A medida que las redes evolucionan, descubrimos que existen cuatro características básicas que las
arquitecturas subyacentes necesitan para cumplir con las expectativas de los usuarios:
Escalabilidad (figura 2)
Seguridad (figura 4)
El proveedor de servicios de Internet inalámbrico (WISP, Wireless Internet Service Provider) es un ISP
que conecta a los suscriptores a un punto de acceso designado o una zona activa mediante tecnologías
inalámbricas similares a las que se encuentran en las redes de área local inalámbrica (WLAN, Wireless
Local Area Network). Los WISP se encuentran con mayor frecuencia en entornos rurales donde los
servicios de cable o DSL no están disponibles.
CAPITULO 2
SISTEMA OPERATIVO
Al encender una computadora se carga el SO, por lo general desde una unidad de disco, en la RAM. La
parte del código del SO que interactúa directamente con el hardware de la computadora se conoce como
núcleo. La porción que interactúa con las aplicaciones y el usuario se conoce como “shell”. El usuario
puede interactuar con el shell mediante la interfaz de línea de comandos (CLI, command-line interface) o
la interfaz gráfica de usuario (GUI, graphical user interface).
MODOS
Para proteger el acceso a EXEC privilegiado,
El segundo comando, password cisco, especifica una contraseña para la línea de consola.
El comando login configura el switch para que requiera autenticación al iniciar sesión. Cuando se habilita
el inicio de sesión y se establece una contraseña, se solicita al usuario de la consola que introduzca una
contraseña antes de darle acceso a la CLI.
Un ejemplo del uso de una suite de protocolos en comunicaciones de red es la interacción entre un
servidor Web y un cliente Web.
Protocolo de aplicación
HTTP define el contenido y el formato de las solicitudes y respuestas intercambiadas entre el cliente y el
servidor. Tanto el cliente como el software del servidor Web implementan el HTTP como parte de la
aplicación.
TCP divide los mensajes HTTP en partes más pequeñas, llamadas “segmentos”. TCP también es
responsable de controlar el tamaño y la velocidad a los que se intercambian los mensajes entre el servidor
y el cliente.
Protocolo de Internet: IP es responsable de tomar los segmentos con formato de TCP, encapsularlos en
paquetes, asignarles las direcciones adecuadas y enviarlos a través del mejor camino hacia el host de
destino.’
Funciones
la comunicación a través de un enlace de datos y la transmisión física de datos en los medios de red. Los
protocolos de administración de enlace de datos toman los paquetes IP y los formatean para transmitirlos
por los medios. Los estándares y protocolos de los medios físicos rigen la forma en que se envían las
señales y la forma en que las interpretan los clientes que las reciben. Ethernet constituye un ejemplo de un
protocolo de acceso a la red.
Como se indicó anteriormente, una suite de protocolos es un grupo de protocolos que trabajan en forma
conjunta para proporcionar servicios integrales de comunicación de red.
La suite de protocolos TCP/IP es un estándar abierto, lo que significa que estos protocolos están
disponibles para el público sin cargo, y cualquier proveedor puede implementar estos protocolos en su
hardware o software.
Un protocolo basado en estándares es un proceso o un protocolo que recibió el aval del sector de redes y
fue ratificado, o aprobado, por un organismo de estandarización.
Suites de protocolos
La suite IP es una suite de protocolos necesaria para transmitir y recibir información mediante Internet. Se
conoce comúnmente como TCP/IP, ya que TCP e IP fueron los primeros dos protocolos de red definidos
para este estándar. La suite TCP/IP basada en estándares abiertos reemplazó otras suites de protocolos
exclusivas de proveedores, como AppleTalk de Apple e Internetwork Packet Exchange/Sequenced Packet
Exchange (IPX/SPX) de Novell.
La primera red de conmutación de paquetes, antecesora de Internet actual, fue la red Advanced Research
Projects Agency Network (ARPANET)
3.1. Protocolos de red:
Se define un formato, se establece un conjunto de reglas para poder intercambiar datos entre dispositivos.
Un ejemplo del uso de protocolos en una red es la interacción entre un Servidor Web y un cliente Web,
los diferentes protocolos trabajan en coordinación para que sea entiendan ambas partes.
Tiene como función hacer la traducción del dominio de internet a una dirección IP.
Permite asignar direcciones IP de forma automática al cliente dentro de una red IP.
Reutiliza direcciones cuando estas se dejan de usar en un cliente, este protocolo es más usado en redes
wireless.
Permite que los clientes puedan acceder al servicio de correo electrónico en los servidores, y que los
servidores de correo electrónico envíen correos a los clientes.
POP(Post Office Protocol)
Permite que los clientes accedan al correo electrónico que se encuentra alojado en los servidores.
Protocolo para intercambiar texto, imágenes gráficas, sonido, video y otros archivos en la (www) World
Wide Web
TELNET(Telecommunication NETwork)
Permite acceder remotamente a un dispositivo.
Orientado a la no conexión.
Entrega de datos poco fiable, usado para transmisión de voz y video en tiempo real, en donde se busca
que la latencia sea mínima.
La transmisión de datos es confiable con acuses de recibo que confirman su envió, permitiendo que exista
retransmisión en caso de pérdidas de paquetes.
Orientado a la conexión.
[ 1 ][ 2 ]
Notifica un mensaje de control sobre la entrega de paquetes entre un host destino y un host origen.
Realiza un proceso para determinar una dirección Mac a través de una dirección IP.
PPP(Point-to-Point Protocol)
ETHERNET
Definen aspectos relevantes de la comunicación de red, como son la temporización, el formato, tamaño de
la trama y la codificación.
Cada router elimina y agrega información de enlace de datos nueva antes de reenviar el paquete.
El IAB supervisa la arquitectura para los protocolos y los procedimientos que utiliza Internet.
La misión del IETF es desarrollar, actualizar y mantener Internet y las tecnologías TCP/IP. Una de las
responsabilidades clave del IETF es producir documentos de solicitud de comentarios (RFC), que son un
memorándum que describe protocolos, procesos y tecnologías para Internet.
El Internet Engineering Steering Group (IESG) es responsable de la administración técnica del IETF y el
proceso de los estándares de Internet.
The Internet Research Task Force (IRTF) se centra en la investigación a largo plazo relacionada con los
protocolos, las aplicaciones, la arquitectura y las tecnologías de TCP/IP y de Internet.
ESTANDAR
802.1 Higher Layer LAN Protocols Working Group (Grupo de trabajo de protocolos LAN de capa
superior)
802.3 Ethernet Working Group (Grupo de trabajo de Ethernet)
802.11 Wireless LAN Working Group (Grupo de trabajo de LAN inalámbrica)
802.15 Wireless Personal Area Network (WPAN) Working Group (Grupo de trabajo de red de área
personal inalámbrica [WPAN])
802.16 Broadband Wireless Access Working Group (Grupo de trabajo de acceso inalámbrico de banda
ancha)
802.18 Radio Regulatory TAG (Grupo de asesoría técnica sobre normativas de radio)
802.19 Wireless Coexistence Working Group (Grupo de trabajo de coexistencia inalámbrica)
802.21 Media Independent Handover Services Working Group (Grupo de trabajo de servicios para la
transición independiente del medio)
802.22 Wireless Regional Area Networks (Grupo de trabajo de redes de área regional inalámbricas)
802.24 Smart Grid TAG (Grupo de asesoría técnica sobre redes inteligentes)
beneficios por el uso de un modelo en capas para describir protocolos de red y operaciones. Uso de un
modelo en capas:
Ayuda en el diseño de protocolos, ya que los protocolos que operan en una capa específica
tienen información definida según la cual actúan, y una interfaz definida para las capas
superiores e inferiores.
Modelo de protocolo: este modelo coincide con precisión con la estructura de una suite de
protocolos determinada. El conjunto jerárquico de protocolos relacionados en una suite
representa típicamente toda la funcionalidad requerida para interconectar la red humana con la
red de datos. El modelo TCP/IP es un modelo de protocolo, porque describe las funciones que
tienen lugar en cada capa de protocolos dentro de una suite TCP/IP.
Modelo de referencia: este modelo es coherente con todos los tipos de servicios y protocolos de
red al describir qué es lo que se debe hacer en una capa determinada, pero sin regir la forma en
que se debe lograr. Un modelo de referencia no está pensado para ser una especificación de
implementación ni para proporcionar un nivel de detalle suficiente para definir de forma precisa
los servicios de la arquitectura de red. El objetivo principal de un modelo de referencia es ayudar
a lograr un mejor entendimiento de las funciones y procesos involucrados.
El modelo OSI es el modelo de referencia de internetwork más conocido. Se usa para diseño de redes de
datos, especificaciones de funcionamiento y resolución de problemas.
del protocolo (PDU)”. Durante la encapsulación, cada capa encapsula las PDU que recibe de la capa
inferior de acuerdo con el protocolo que se utiliza. En cada etapa del proceso, una PDU tiene un nombre
distinto para reflejar sus nuevas funciones.
Cuando el emisor y el receptor del paquete IP están en la misma red, la trama de enlace de datos se envía
directamente al dispositivo receptor. En una red Ethernet, las direcciones de enlace de datos se conocen
como direcciones MAC de Ethernet. Las direcciones MAC son direcciones de 48 bits que están
integradas físicamente en la NIC Ethernet. Las direcciones MAC también se conocen como direcciones
físicas (BIA).
FUNCIONAMIENTO DE ARP
El host emisor envía un mensaje de solicitud de ARP a toda la LAN. La solicitud de ARP es un mensaje
de broadcast. La solicitud de ARP contiene la dirección IP del dispositivo de destino. Cada dispositivo en
la LAN examina la solicitud de ARP para ver si contiene su propia dirección IP. Solamente el dispositivo
con la dirección IP contenida en la solicitud de ARP responde con una respuesta de ARP.
Existen tres formatos básicos de medios de red. La capa física produce la representación y las
agrupaciones de bits para cada tipo de medio de la siguiente manera:
Tipos de cables
Conectores
Después de la instalación, se debe utilizar un comprobador de cables UTP para probar los siguientes
parámetros:
Mapa de cableado
Crosstalk
Se recomienda revisar minuciosamente que se cumplan todos los requisitos de instalación de UTP.
Los pulsos de luz que representan los datos transmitidos en forma de bits en los medios son generados por
uno de los siguientes:
Láseres
Los dispositivos electrónicos semiconductores, denominados fotodiodos, detectan los impulsos de luz y
los convierten en voltajes que pueden reconstruirse en tramas de datos.
Fibra óptica monomodo: la fibra óptica monomodo (SMF) consta de un núcleo muy pequeño y
emplea tecnología láser costosa para enviar un único haz de luz. Se usa mucho en situaciones de
larga distancia que abarcan cientos de kilómetros, como aplicaciones de TV por cable y telefonía
de larga distancia.
Fibra óptica multimodo: la fibra óptica multimodo (MMF) consta de un núcleo más grande y
utiliza emisores LED para enviar pulsos de luz. Específicamente, la luz de un LED ingresa a la
fibra multimodo en diferentes ángulos. Se usa mucho en las redes LAN, debido a que se puede
alimentar mediante LED de bajo costo. Proporciona un ancho de banda de hasta 10 Gb/s a través
de longitudes de enlace de hasta 550 m.
CONECTORES
Como se muestra en la figura 1, los tres conectores de red de fibra óptica más populares son los
siguientes:
Punta recta (ST): conectores antiguos de estilo bayoneta, ampliamente utilizados con la fibra
óptica multimodo.
Conector Lucent (LC): en ocasiones, denominado conector “pequeño” o “local”, cada vez
adquiere mayor popularidad debido a su tamaño reducido. Se utiliza con la fibra óptica
monomodo y también es compatible con la fibra óptica multimodo.
MEDIOS INALMABRICOS
CAPA DE ENLACE DE DATOS
Control de enlace lógico (LLC): se trata de la subcapa superior, que define los procesos de
software que proporcionan servicios a los protocolos de capa de red. El LLC coloca en la trama
información que identifica qué protocolo de capa de red se utiliza para la trama. Esta
información permite que varios protocolos de la capa 3, tales como IPv4 e IPv6, utilicen la
misma interfaz y los mismos medios de red.
Control de acceso al medio (MAC): se trata de la subcapa inferior, que define los procesos de
acceso al medio que realiza el hardware. Proporciona el direccionamiento de la capa de enlace
de datos y la delimitación de los datos de acuerdo con los requisitos de señalización física del
medio y con el tipo de protocolo de capa de enlace de datos en uso.
Como se muestra en la ilustración, los tipos de campos de trama genéricos incluyen lo siguiente:
Direccionamiento: la subcapa MAC utiliza este campo para identificar los nodos de origen y
destino.
Detección de errores: estos campos de trama, que se incluyen después de los datos para formar
el tráiler, se utilizan para la detección de errores.
Topologías de WAN
Por lo general, las WAN se interconectan mediante las siguientes topologías físicas:
Punto a punto: esta es la topología más simple, que consta de un enlace permanente entre dos
terminales. Por este motivo, es una topología de WAN muy popular.
Malla: esta topología proporciona alta disponibilidad, pero requiere que cada sistema final esté
interconectado con todos los demás sistemas. Por lo tanto, los costos administrativos y físicos
pueden ser importantes. Básicamente, cada enlace es un enlace punto a punto al otro nodo. Las
variantes de esta topología incluyen la topología de malla parcial, en la que se interconectan
algunos dispositivos finales, pero no todos.
Topologías de LAN
Cuando varias entidades comparten los mismos medios, deben estar instalados algunos mecanismos para
controlar el acceso.
Hay dos métodos básicos de control de acceso al medio para medios compartidos:
Acceso por contienda: todos los nodos compiten por el uso del medio, pero tienen un plan si se
producen colisiones. En la figura 1, se muestra el acceso por contienda.
Al utilizar un método de contienda no determinista, los dispositivos de red pueden intentar acceder al
medio cada vez que tengan datos para enviar. Para evitar caos completo en los medios, estos métodos
usan un proceso de Acceso múltiple por detección de portadora (CSMA) para detectar primero si los
medios están transportando una señal.
Generalmente se implementa CSMA junto con un método para resolver la contención del medio. Los dos
métodos comúnmente utilizados son:
Acceso múltiple por detección de portadora con detección de colisiones: con el acceso
múltiple por detección de portadora y detección de colisiones (CSMA/CD), el dispositivo final
supervisa los medios para detectar la presencia de una señal de datos. Si no hay una señal de
datos y, en consecuencia, los medios están libres, el dispositivo transmite los datos. Si luego se
detectan señales que muestran que otro dispositivo estaba transmitiendo al mismo tiempo, todos
los dispositivos dejan de enviar e intentan después. Las formas tradicionales de Ethernet utilizan
este método.
Al utilizar el método de acceso controlado, los dispositivos de red toman turnos en secuencia para acceder
al medio. Si un dispositivo final no necesita acceder al medio, el turno pasa al dispositivo final siguiente.
Este proceso se facilita por medio de un token. Un dispositivo final adquiere el token y coloca una trama
en los medios; ningún otro dispositivo puede hacerlo hasta que la trama se haya recibido y procesado en
el destino, y se libere el token.
Aunque el acceso controlado está bien ordenado y provee rendimiento predecible, los métodos
determinísticos pueden ser ineficientes porque un dispositivo tiene que esperar su turno antes de poder
utilizar el medio.
Ethernet es la tecnología LAN predominante. Se trata de una familia de tecnologías de red que se definen
en los estándares IEEE 802.2 y 802.3.
Otros servicios admitidos por la 802.11 son la autenticación, asociación (conectividad a un dispositivo
inalámbrico) y privacidad (encriptación).
Como se muestra en la ilustración, las tramas 802.11 incluyen los siguientes campos:
Campo Versión de protocolo: la versión de la trama 802.11 en uso.
Campos Tipo y Subtipo: identifican una de las tres funciones y subfunciones de la trama
(control, datos y administración).
Campo A DS: se establece en 1 para las tramas de datos destinadas al sistema de distribución
(dispositivos en la estructura inalámbrica).
Campo Desde DS: se establece en 1 para las tramas de datos que salen del sistema de
distribución.
Campo Más fragmentos: se establece en 1 para las tramas que tienen otro fragmento.
Campo Más datos: se establece en 1 para indicarle a un nodo en el modo de ahorro de energía
que se almacenan más tramas en búfer para ese nodo.
Campo Orden: se establece en 1 en una trama de tipo de datos que utiliza la clase de servicio
Estrictamente ordenada (no requiere reordenamiento).
Campo Dirección de destino (DA): contiene la dirección MAC del nodo de destino final en la
red.
Campo Dirección de origen (SA): contiene la dirección MAC del nodo que inició la trama.
Campo Dirección del receptor (RA): contiene la dirección MAC que identifica al dispositivo
inalámbrico que es el destinatario inmediato de la trama.
Campo Número de secuencia: indica el número de secuencia asignado a la trama. Las tramas
retransmitidas se identifican con números de secuencia duplicados.
Campo Dirección del transmisor (TA): contiene
Campo Cuerpo de la trama: contiene la información que se transporta. En las tramas de datos;
generalmente se trata de un paquete IP.
Campo FCS: contiene una comprobación de redundancia cíclica (CRC) de 32 bits de la trama.
La topología lógica subyacente de Ethernet es de bus de multiacceso; por lo tanto, todos los nodos
(dispositivos) en un mismo segmento de red comparten el medio. Ethernet es un método de red de
contienda.
El IEEE le asigna al proveedor un código de 3 bytes (24 bits), denominado “Identificador único de
organización” (OUI).
Tanto el estándar Ethernet II como el IEEE 802.3 definen el tamaño mínimo de trama en 64 bytes y el
tamaño máximo de trama en 1518 bytes.
El estándar IEEE 802.3ac, publicado en 1998, amplió el tamaño de trama máximo permitido a 1522
bytes. Se aumentó el tamaño de la trama para que se adapte a una tecnología denominada Red de área
local virtual (VLAN).
DIRECCIONES MAC
UNICAST
BROATCAST
MULTICAST
La dirección MAC multicast es un valor especial que comienza con 01-00-5E en hexadecimal.
Las direcciones multicast le permiten a un dispositivo de origen enviar un paquete a un grupo de
dispositivos. Una dirección IP de grupo multicast se asigna a los dispositivos que pertenecen a un grupo
multicast. El rango de direcciones IPv4 multicast va de 224.0.0.0 a 239.255.255.255.
ARP
En algunos casos, el uso del ARP puede ocasionar un riesgo potencial de seguridad. La suplantación o el
envenenamiento ARP es una técnica que utiliza un atacante para introducir una asociación de direcciones
MAC incorrecta en una red emitiendo respuestas ARP falsas. El individuo falsifica la dirección MAC de
un dispositivo y de esta manera las tramas pueden enviarse a la dirección equivocada.
lLa tabla de direcciones MAC se denomina “tabla de memoria de contenido direccionable” (CAM).
Cuando un switch recibe una trama de datos entrantes y la dirección MAC de destino no figura en la
tabla, éste reenvía la trama a todos los puertos excepto al que la recibió en primer lugar. Cuando el nodo
de destino responde, el switch registra la dirección MAC de éste en la tabla de direcciones del campo
dirección de origen de la trama.
Half duplex
Conmutación por envío rápido: este tipo de conmutación ofrece el nivel más bajo de latencia. La
conmutación por envío rápido reenvía el paquete inmediatamente después de leer la dirección de
destino. Como la conmutación por envío rápido comienza a reenviar el paquete antes de haberlo
recibido en forma completa, es probable que a veces los paquetes se entreguen con errores. Esto
ocurre con poca frecuencia y el adaptador de red de destino descarta los paquetes defectuosos en el
momento de su recepción. En el modo de envío rápido, la latencia se mide desde el primer bit
recibido hasta el primer bit transmitido. La conmutación por envío rápido es el típico método de
corte.
Conmutación libre de fragmentos:en este método, el switch almacena los primeros 64 bytes de la
trama antes de hacer el reenvío. Este tipo de conmutación se puede definir como un punto
intermedio entre la conmutación por almacenamiento y envío y la conmutación por método de
corte. El motivo por el cual la conmutación libre de fragmentos almacena sólo los primeros 64
bytes de la trama es que la mayoría de los errores y las colisiones de la red se producen en esos
primeros 64 bytes. El método de conmutación libre de fragmentos intenta mejorar la conmutación
por envío rápido mediante una pequeña verificación de errores en los primeros 64 bytes de la trama,
a fin de asegurar que no se hayan producido colisiones antes de reenviar la trama.
Módulos SFP Fast Ethernet:
Los módulos 40 Gigabit Ethernet y 100 Gigabit Ethernet son compatibles con los dispositivos Cisco de
alta gama, como Catalyst 6500, el router CRS, el router de la serie ASR 9000 y el switch de la serie
Nexus 7000.
Interfaz virtual de switch (SVI): interfaz lógica en un switch asociado a una red de área local virtual
(VLAN).
Puerto enrutado: puerto físico en un switch de capa 3 configurado para funcionar como puerto de router.
EtherChannel de capa 3: interfaz lógica en dispositivos Cisco asociada a un conjunto de puertos
enrutados.
PROTOCOLOS DE RED
Sin conexión: no se establece ninguna conexión con el destino antes de enviar los paquetes de
datos.
Independiente de los medios: la operación es independiente del medio que transporta los datos.
Si los paquetes faltantes o que no funcionan generan problemas para la aplicación que usa los datos, los
servicios de las capas superiores, como TCP, deben resolver estos problemas. Esto permite que el
protocolo IP funcione de forma muy eficaz. 4
Si se incluyera la sobrecarga de confiabilidad en IP, las comunicaciones que no requieren conexión o
confiabilidad se cargarían con el consumo de ancho de banda y la demora producidos por esta sobrecarga.
IP funciona con independencia de los medios que transportan los datos en las capas inferiores del stack de
protocolos.
cualquier paquete IP individual puede ser comunicado eléctricamente por cable, como señales ópticas por
fibra, o sin cables como señales de radio.
Es responsabilidad de la capa de enlace de datos del modelo OSI tomar un paquete IP y prepararlo para
transmitirlo a través del medio de comunicación.
Sin embargo, existe una característica importante de los medios que la capa de red tiene en cuenta: el
tamaño máximo de la PDU que cada medio puede transportar. Esta característica se denomina “unidad
máxima de transmisión” (MTU).
. Parte de la comunicación de control entre la capa de enlace de datos y la capa de red consiste en
establecer el tamaño máximo para el paquete.
La capa de enlace de datos pasa el valor de MTU a la capa de red. A continuación, la capa de red
determina cuán grandes pueden ser los paquetes.
Los paquetes IPV4 tienen dos partes:
Contenido: contiene la información del segmento de capa 4 y los datos propiamente dichos.
Como se muestra en la ilustración, los encabezados de paquetes IPV4 constan de campos que contienen
información importante sobre el paquete. Estos campos contienen números binarios que se examinan en
el proceso de capa 3. Los valores binarios de cada campo identifican las distintas configuraciones del
paquete IP.
Versión: contiene un valor binario de 4 bits que identifica la versión del paquete IP. Para los
paquetes IPv4, este campo siempre se establece en 0100.
Tiempo de vida (TTL): contiene un valor binario de 8 bits que se utiliza para limitar la vida útil de
un paquete. Se especifica en segundos, pero comúnmente se denomina “conteo de saltos”. El
emisor del paquete establece el valor inicial de tiempo de vida (TTL), el que disminuye un punto
por cada salto, es decir, cada vez que el paquete es procesado por un router. Si el campo TTL
disminuye a cero, el router descarta el paquete y envía un mensaje del protocolo de mensajes de
control de Internet (ICMP) de Tiempo superado a la dirección IP de origen. El
comandotraceroute utiliza este campo para identificar los routers utilizados entre el origen y el
destino.
Protocolo: este valor binario de 8 bits indica el tipo de contenido de datos que transporta el
paquete, lo que permite que la capa de red pase los datos al protocolo de capa superior
correspondiente. Lo
Longitud del encabezado de Internet (IHL): contiene un valor binario de 4 bits que identifica la
cantidad de palabras de 32 bits en el encabezado. El valor de IHL varía según los campos Opciones
y Relleno. El valor mínimo para este campo es 5 (es decir, 5×32 = 160 bits = 20 bytes), y el valor
máximo es 15 (es decir, 15×32 = 480 bits = 60 bytes).
Longitud total: en ocasiones denominado “Longitud del paquete”, este campo de 16 bits define
el tamaño total del paquete (fragmento), incluidos el encabezado y los datos, en bytes. La
longitud mínima de paquete es de 20 bytes (encabezado de 20 bytes + datos de 0 bytes), y la
máxima es de 65 535 bytes.
Checksum del encabezado: este campo de 16 bits se utiliza para la verificación de errores del
encabezado IP. El checksum del encabezado se vuelve a calcular y se compara con el valor en el
campo checksum. Si los valores no coinciden, se descarta el paquete.
Los campos utilizados para identificar y validar el paquete incluyen los siguientes:
Longitud del encabezado de Internet (IHL): contiene un valor binario de 4 bits que identifica la
cantidad de palabras de 32 bits en el encabezado. El valor de IHL varía según los campos Opciones
y Relleno. El valor mínimo para este campo es 5 (es decir, 5×32 = 160 bits = 20 bytes), y el valor
máximo es 15 (es decir, 15×32 = 480 bits = 60 bytes).
Longitud total: en ocasiones denominado “Longitud del paquete”, este campo de 16 bits define el
tamaño total del paquete (fragmento), incluidos el encabezado y los datos, en bytes. La longitud
mínima de paquete es de 20 bytes (encabezado de 20 bytes + datos de 0 bytes), y la máxima es de
65 535 bytes.
Checksum del encabezado: este campo de 16 bits se utiliza para la verificación de errores del
encabezado IP. El checksum del encabezado se vuelve a calcular y se compara con el valor en el
campo checksum. Si los valores no coinciden, se descarta el paquete.
Es posible que un router deba fragmentar un paquete cuando lo reenvía de un medio a otro que tiene una
MTU más pequeña. Cuando esto sucede, se produce una fragmentación, y el paquete IPV4 utiliza los
siguientes campos para llevar a cabo un seguimiento de los fragmentos:
Indicadores: este campo de 3 bits identifica cómo se fragmenta el paquete. Se utiliza con los
campos Desplazamiento de fragmentos e Identificación para ayudar a reconstruir el paquete original
con el fragmento.
Desplazamiento de fragmentos: este campo de 13 bits identifica el orden en que se debe colocar el
fragmento del paquete en la reconstrucción del paquete original sin fragmentar.
IPV6
Una de las principales mejoras de diseño de IPv6 con respecto a IPv4 es el encabezado de IPv6
simplificado.
Mayor eficacia de enrutamiento para un buen rendimiento y una buena escalabilidad de velocidad
de reenvío.
Un campo Identificador de flujo para procesamiento por flujo, sin necesidad de abrir el paquete
interno de transporte para identificar los distintos flujos de tráfico.
Versión: este campo contiene un valor binario de 4 bits que identifica la versión del paquete IP.
Para los paquetes IPv6, este campo siempre se establece en 0110.
Clase de tráfico: este campo de 8 bits equivale al campo Servicios diferenciados (DS) de IPv4.
También contiene un valor de Punto de código de servicios diferenciados (DSCP) de 6 bits
utilizado para clasificar paquetes y un valor de Notificación explícita de congestión (ECN) de 2 bits
utilizado para controlar la congestión del tráfico.
Identificador de flujo: este campo de 20 bits proporciona un servicio especial para aplicaciones en
tiempo real. Se puede utilizar para indicar a los routers y switches que deben mantener la misma
ruta para el flujo de paquetes, a fin de evitar que estos se reordenen.
Longitud de contenido: este campo de 16 bits equivale al campo Longitud total del encabezado de
IPv4. Define el tamaño total del paquete (fragmento), incluidos el encabezado y las extensiones
optativas.
Siguiente encabezado: este campo de 8 bits equivale al campo Protocolo de IPv4. Indica el tipo de
contenido de datos que transporta el paquete, lo que permite que la capa de red pase los datos al
protocolo de capa superior correspondiente. Este campo también se usa si se agregan encabezados
de extensión optativos al paquete IPv6.
Límite de saltos: este campo de 8 bits reemplaza al campo TTL de IPv4. Cuando cada router
reenvía un paquete, este valor disminuye en un punto. Cuando el contador llega a 0, el paquete se
descarta y se reenvía un mensaje de ICMPv6 al host emisor en el que se indica que el paquete no
llegó a destino.
Dirección de origen: este campo de 128 bits identifica la dirección IPv6 del host emisor.
Dirección de destino: este campo de 128 bits identifica la dirección IPv6 del host receptor.
Los paquetes IPv6 también pueden contener encabezados de extensión (EH), que proporcionan
información optativa de la capa de red. Los encabezados de extensión son optativos y se colocan entre el
encabezado de IPv6 y el contenido. Los EH se utilizan para realizar la fragmentación, aportar seguridad,
admitir la movilidad, y más.
Enrutamiento
Cómo enrutan los hosts
En un host de Windows, se pueden utilizar los comandos route print o netstat -r para ver la tabla de
enrutamiento del host.
Por ejemplo, en la ilustración, se muestra la sección de rutas IPv6 generada mediante el comando
netstat – r para mostrar los siguientes destinos de red:
ff00::/8: direcciones multicast de clase D especiales y reservadas que equivalen a las direcciones
IPv4 224.x.x.x.
En una tabla de enrutamiento de host, solo se incluye información sobre las redes conectadas
directamente. Un host requiere un gateway predeterminado para enviar paquetes a un destino remoto. La
tabla de enrutamiento de un router contiene información similar, pero también puede identificar redes
remotas específicas.
Red de destino
El origen de la ruta se rotula como “A” en la ilustración. Identifica el modo en que se descubrió la ruta.
Las interfaces conectadas directamente tienen dos códigos de origen de la ruta.
C: identifica una red conectada directamente. Las redes conectadas directamente se crean de forma
automática cuando se configura una interfaz con una dirección IP y se activa.
L: identifica que la ruta es link-local. Las redes link-local se crean de forma automática cuando se
configura una interfaz con una dirección IP y se activa.
S: indica que un administrador creó la ruta manualmente para llegar a una red específica. Esto se
conoce como “ruta estática”.
D: indica que la ruta se obtuvo de forma dinámica de otro router mediante el protocolo de
enrutamiento de gateway interior mejorado (EIGRP).
O: indica que la ruta se obtuvo de forma dinámica de otro router mediante el protocolo de
enrutamiento Open Shortest Path First (OSPF).
Routers
Anatomía de un router
Existen muchos tipos de routers de infraestructura. De hecho, los routers Cisco están diseñados para
satisfacer las siguientes necesidades:
De WAN: grandes empresas y organizaciones. Incluye los switches de la serie Cisco Catalyst 6500
y el router de servicios de agregación (ASR) Cisco 1000.
De proveedor de servicios: grandes proveedores de servicios. Incluye los routers Cisco ASR 1000,
Cisco ASR 9000, Cisco XR 12000, Cisco CRS-3 Carrier Routing System y los de la serie 7600.
BOOTSET
El proceso de arranque que se muestra en la figura 1 consta de tres fases principales:
Durante este autodiagnóstico, el router ejecuta desde la ROM diagnósticos de varios componentes de
hardware, incluidos la CPU, la RAM y la NVRAM. Una vez finalizado el POST, el router ejecuta el
programa bootstrap.
la capa de transporte es el enlace entre la capa de aplicación y las capas inferiores que son responsables
de la transmisión a través de la red.
La capa de transporte permite la segmentación de datos y proporciona el control necesario para rearmar
estos segmentos en los distintos streams de comunicación.
Las principales responsabilidades de los protocolos de la capa de transporte son las siguientes:
División de los datos en segmentos para su administración y reunificación de los datos segmentados
en streams de datos de aplicación en el destino
TCP de hacer un seguimiento de conversaciones reales, se lo considera un protocolo con estado.
Bits de control (6 bits): incluye códigos de bit, o indicadores, que indican el propósito y la función
del segmento TCP.
Tamaño de la ventana (16 bits):indica la cantidad de segmentos que se puedan aceptar por vez.
Checksum (16 bits): se utiliza para la verificación de errores en el encabezado y los datos del
segmento.
UDP es un protocolo de transporte liviano que ofrece la misma segmentación y rearmado de datos que
TCP, pero sin la confiabilidad y el control del flujo de TCP.
UDP es un protocolo sin estado, lo cual significa que ni el cliente ni el servidor están obligados a hacer un
seguimiento del estado de la sesión de comunicación. \
Si se requiere confiabilidad al utilizar UDP como protocolo de transporte, esta la debe administrar la
aplicación.
Puerto de destino
El cliente coloca un número de puerto de destino en el segmento para informar al servidor de destino el
servicio solicitado. Por ejemplo: el puerto 80 se refiere a HTTP
Puerto de origen
El número de puerto de origen es generado de manera aleatoria por el dispositivo emisor para identificar
una conversación entre dos dispositivos
socket
Un socket de cliente puede ser parecido a esto, donde 1099 representa el número de puerto de origen:
192.168.1.5:1099
Juntos, estos dos sockets se combinan para formar un par de sockets: 192.168.1.5:1099, 192.168.1.7:80
Los sockets permiten que los procesos múltiples que se ejecutan en un cliente se distingan entre sí.
También permiten la diferenciación de múltiples conexiones a un proceso de servidor.
Puertos bien conocidos (números del 0 al 1023): estos números se reservan para servicios y
aplicaciones. Se utilizan comúnmente para aplicaciones como HTTP (servidor Web), protocolo de acceso
a mensajes de Internet (IMAP) o protocolo simple de transferencia de
correo (SMTP) (servidor de correo electrónico) y Telnet.
Puertos registrados (números del 1024 al 49151): estos números de puerto se asignan a procesos
o aplicaciones del usuario. Principalmente, estos procesos son aplicaciones individuales que el
usuario elige instalar en lugar de aplicaciones comunes que recibiría un número de puerto bien
conocido. Cuando no se utilizan para un recurso del servidor, un cliente puede seleccionar estos
puertos de forma dinámica como su puerto de origen.
Puertos dinámicos o privados (números 49152 a 65535): también conocidos como puertos efímeros,
generalmente se los asigna de forma dinámica a las aplicaciones cliente cuando el cliente inicia una
conexión a un servicio. El puerto dinámico suele utilizarse para identificar la aplicación cliente durante la
comunicación, mientras que el cliente utiliza el puerto bien conocido para identificar el servicio que se
solicita en el servidor y conectarse a dicho servicio.
Netstat:
Conocer las conexiones TCP activas
TCP innecesarias pueden consumir recursos valiosos del sistema y, por lo tanto, enlentecer el
rendimiento del host.
Como se muestra en la ilustración, cada encabezado del segmento TCP contiene un número de secuencia
que permite que las funciones de la capa de transporte en el host de destino vuelvan a armar segmentos en
el orden en que se transmitieron
Verifica que el dispositivo de destino tenga un servicio activo y que acepte solicitudes en el número
de puerto de destino que el cliente de origen intenta utilizar para la sesión
Informa al dispositivo de destino que el cliente de origen intenta establecer una sesión de
comunicación en dicho número de puerto
ORDENAR SEGMENTOS TCP
Durante la configuración de la sesión, se establece un número de secuencia inicial (ISN). Este ISN
representa el valor inicial para los bytes para esta sesión que se transmite a la aplicación receptora.
Cuando el TCP en el host de origen no recibe un acuse de recibo después de una cantidad de tiempo
predeterminada, este vuelve al último número de ACK recibido y vuelve a transmitir los datos desde ese
punto en adelante.
Control de flujo
TCP también proporciona mecanismos para el control del flujo. El control del flujo permite mantener la
confiabilidad de la transmisión de TCP mediante el ajuste de la velocidad del flujo de datos entre el
origen y el destino para una sesión dada.
Para lograr el control del flujo, lo primero que determina TCP es la cantidad de segmentos de datos que
puede aceptar el dispositivo de destino. El encabezado TCP incluye un campo de 16 bits llamado “tamaño
de la ventana”. Esta es la cantidad de bytes que el dispositivo de destino de una sesión TCP puede aceptar
y procesar al mismo tiempo.
TCP utiliza tamaños de ventana para tratar de aumentar la velocidad de transmisión hasta el flujo máximo
que la red y el dispositivo de destino pueden admitir y, al mismo tiempo, minimizar las pérdidas y las
retransmisiones.
capa de aplicación que utilizan UDP incluyen lo siguiente:
Juegos en línea
DIRECCIONES IPV4
DIRECCIONES;
Direcciones multicast
IPv4 tiene un bloque de direcciones reservadas para direccionar grupos multicast. Este rango de
direcciones va de 224.0.0.0 a 239.255.255.255.
Las direcciones IPv4 multicast de 224.0.0.0 a 224.0.0.255 son direcciones de enlace local reservadas.
Las direcciones agrupadas globalmente son de 224.0.1.0 a 238.255.255.255. Se les puede usar para
transmitir datos en Internet mediante multicast. Por ejemplo, se reservó 224.0.1.1 para que el protocolo de
hora de red (NTP) sincronice los relojes con la hora del día de los dispositivos de red.
Direcciones privadas
Loopback
Una de estas direcciones reservadas es la dirección de loopback IPv4 127.0.0.1. La dirección de loopback
es una dirección especial que los hosts utilizan para dirigir el tráfico hacia ellos mismos. La dirección de
loopback crea un método de acceso directo para las aplicaciones y servicios TCP/IP que se ejecutan en el
mismo dispositivo para comunicarse entre sí.
127.0.0.0 a 127.255.255.255. Cualquier dirección dentro de este bloque producirá un loop back al host
local. Las direcciones dentro de este bloque no deben figurar en ninguna red.
Direcciones link-local
Direcciones TEST-NET
Direcciones experimentales
Las direcciones del bloque que va de 240.0.0.0 a 255.255.255.254 se indican como reservadas para uso
futuro (RFC 3330).
CLASES DE DIRECCIONES
IANA y RIR
ARIN (American Registry for Internet Numbers), región América del Norte http://www.arin.net
LACNIC (Regional Latin-American and Caribbean IP Address Registry), América Latina y algunas
islas del Caribe http://www.lacnic.net
DIRECCIONES IPV6
El IETF creó diversos protocolos y herramientas para ayudar a los administradores de red a migrar las
redes a IPv6. Las técnicas de migración pueden dividirse en tres categorías:
Dual-stack: como se muestra en la figura 1, la técnica dual-stack permite que IPv4 e IPv6
coexistan en la misma red. Los dispositivos dual-stack ejecutan stacks de protocolos IPv4 e IPv6 de
manera simultánea.
Tunneling: como se muestra en la figura 2, tunneling es un método para transportar paquetes IPv6
a través de redes IPv4. El paquete IPv6 se encapsula dentro de un paquete IPV4, de manera similar
a lo que sucede con otros tipos de datos.
Unicast: las direcciones IPv6 unicast identifican de forma exclusiva una interfaz en un dispositivo
con IPv6 habilitado. Como se muestra en la ilustración, las direcciones IPv6 de origen deben ser
direcciones unicast.
Multicast: las direcciones IPv6 multicast se utilizan para enviar un único paquete IPv6 a varios
destinos.
Anycast: las direcciones IPv6 anycast son direcciones IPv6 unicast que se pueden asignar a varios
dispositivos. Los paquetes enviados a una dirección anycast se enrutan al dispositivo más cercano
que tenga esa dirección. En este curso, no se analizan las direcciones anycast.
Las direcciones IPv6 link-local están en el rango de FE80::/10. /10 indica que los primeros 10 bits son
1111 1110 10xx xxxx. El primer hexteto tiene un rango de 1111 1110 1000 0000 (FE80) a
1111 1110 1011 1111(FEBF).
Los protocolos de enrutamiento IPv6 también utilizan direcciones IPv6 link-local para intercambiar
mensajes y como la dirección del siguiente salto en la tabla de enrutamiento IPv6. Las direcciones link-
local se analizan más detalladamente en un curso posterior.
Nota: por lo general, la dirección que se utiliza como gateway predeterminado para los otros dispositivos
en el enlace es la dirección link-local del router, y no la dirección unicast global.
Las direcciones IPv6 unicast globales son globalmente únicas y enrutables en Internet IPv6. Estas
direcciones son equivalentes a las direcciones IPv4 públicas. La Internet Corporation for Assigned Names
and Numbers (ICANN), el operador de la Internet Assigned Numbers Authority (IANA), asigna bloques
de direcciones IPv6 a los cinco RIR. Actualmente, solo se asignan direcciones unicast globales con los
tres primeros bits de 001 o 2000::/3. Esto solo constituye un octavo del espacio total disponible de
direcciones IPv6, sin incluir solamente una parte muy pequeña para otros tipos de direcciones unicast y
multicast.
ID de interfaz
La ID de interfaz IPv6 equivale a la porción de host de una dirección IPv4. Se utiliza el término “ID de
interfaz” debido a que un único host puede tener varias interfaces, cada una con una o más direcciones
IPv6.
Configuración
automática de dirección sin estado (SLAAC)
La configuración automática de dirección sin estado (SLAAC) es un método que permite que un
dispositivo obtenga su prefijo, duración de prefijo e información de la dirección de gateway
predeterminado de un router IPv6 sin utilizar un servidor de DHCPv6. Mediante SLAAC, los dispositivos
dependen de los mensajes de anuncio de router (RA) de ICMPv6 del router local para obtener la
información necesaria.
Proceso EUI-64
El IEEE definió el identificador único extendido (EUI) o proceso EUI-64 modificado. Este proceso utiliza
la dirección MAC de Ethernet de 48 bits de un cliente e introduce otros 16 bits en medio de la dirección
MAC de 48 bits para crear una ID de interfaz de 64 bits.
Nota: las direcciones multicast solo pueden ser direcciones de destino, no de origen.
Grupo multicast de todos los nodos FF02::1: grupo multicast al que se unen todos los
dispositivos con IPv6 habilitado. Los paquetes que se envían a este grupo son recibidos y
procesados por todas las interfaces IPv6 en el enlace o en la red. Esto tiene el mismo efecto que una
dirección de broadcast en IPv4.
Grupo multicast de todos los routers FF02::2:grupo multicast al que se unen todos los routers
con IPv6 habilitado. Un router se convierte en un miembro de este grupo cuando se habilita como
router IPv6 mediante el comando de configuración global ipv6 unicast-routing. Los paquetes que
se envían a este grupo son recibidos y procesados por todos los routers IPv6 en el enlace o en la red.
Resolución de direcciones
Cuando se asigna una dirección unicast global o una dirección unicast link-local a un dispositivo,
se recomienda llevar a cabo la detección de direcciones duplicadas (DAD) en la dirección para
asegurarse de que sea única. Para revisar si una dirección es única, el dispositivo envía un
mensaje de NS con su propia dirección IPv6 como la dirección IPv6 objetivo. Si otro dispositivo
en la red tiene esta dirección, responde con un mensaje de NA. Este mensaje de NA notifica al
dispositivo emisor que la dirección está en uso. Si no se devuelve un mensaje de NA
correspondiente dentro de determinado período, la dirección unicast es única y su uso es
aceptable.
Nota: la DAD no es obligatoria, pero en RFC 4861 se recomienda que se realice la DAD en
direcciones unicast.
CCNA 2
Diseño de la LAN
Redes convergentes
La creación de una red conmutada sin fronteras requiere el uso de principios de diseño de red sólidos para
asegurar la máxima disponibilidad, flexibilidad, seguridad y facilidad de administración.
Resistencia: satisface las expectativas del usuario al mantener la red siempre activa.
Flexibilidad: permite compartir la carga de tráfico de forma inteligente mediante el uso de todos
los recursos de red.
TABLA CAM EN LOS SWITCH
A medida que el switch descubre la relación entre puertos y dispositivos, crea una tabla denominada
“tabla de direcciones MAC” o “tabla de memoria de contenido direccionable” (CAM). CAM es un tipo de
memoria especial que se usa en las aplicaciones de búsqueda de alta velocidad.
El switch completa la tabla de direcciones MAC según las direcciones MAC de origen.
Cuando el dispositivo de destino responde, el switch agrega la dirección MAC de origen de la trama y el
puerto por donde se recibió la trama a la tabla de direcciones MAC.
Los ASIC reducen el tiempo de manejo de paquetes dentro del dispositivo y permiten que el dispositivo
pueda manejar una mayor cantidad de puertos sin disminuir el rendimiento. Este método de reenvío de
tramas de datos en la capa 2 se denominaba “switching por almacenamiento y envío”. Este término lo
diferenciaba del switching por método de corte.
Por el contrario, el método de corte, como se muestra en la figura 2, inicia el proceso de reenvío una vez
que se determinó la dirección MAC de destino de una trama entrante y se estableció el puerto de salida.
Por ejemplo, el manejo de una trama entrante que se traslada a un puerto Ethernet de 100 Mb/s y que se
debe enviar por una interfaz de 1 Gb/s requiere el uso del método de almacenamiento y envío. Ante
cualquier incompatibilidad de las velocidades de los puertos de entrada y salida, el switch almacena la
trama completa en un buffer, calcula la verificación de FCS, la reenvía al buffer del puerto de salida y
después la envía.
Una vez que se enciende el switch Cisco, lleva a cabo la siguiente secuencia de arranque:
3. El cargador de arranque lleva a cabo la inicialización de la CPU de bajo nivel. Inicializa los registros de
la CPU, que controlan dónde está asignada la memoria física, la cantidad de memoria y su velocidad.
5. Por último, el cargador de arranque ubica y carga en la memoria una imagen del software del sistema
operativo IOS predeterminado y le cede el control del switch al IOS.
El cargador de arranque busca la imagen de Cisco IOS en el switch de la siguiente manera: el switch
intenta arrancar automáticamente mediante la información de la variable de entorno BOOT.
Si no se establece esta variable, el switch intenta cargar y ejecutar el primer archivo ejecutable que puede
mediante una búsqueda recursiva y en profundidad en todo el sistema de archivos flash. Cuando se realiza
una búsqueda en profundidad de un directorio, se analiza por completo cada subdirectorio que se
encuentra antes de continuar la búsqueda en el directorio original. En los switches de la serie Catalyst
2960, el archivo de imagen generalmente se encuentra en un directorio que tiene el mismo nombre que el
archivo de imagen (excepto la extensión de archivo .bin).
Luego, el sistema operativo IOS inicia las interfaces mediante los comandos del IOS de Cisco que se
encuentran en el archivo de configuración, startup-config, que está almacenado en NVRAM.
El cargador de arranque proporciona acceso al switch si este no se puede usar el S.O debido a la falta de
archivos o porque algunos de estos se dañaron
Se puede acceder al cargador de arranque mediante una conexión de consola con los siguientes pasos:
Paso 1. Conecte una computadora al puerto de consola del switch con un cable de consola. Configure el
software de emulación de terminal para conectarse al switch.
Paso 4. Continúe oprimiendo el botón Modo hasta que el LED del sistema se torne ámbar por un breve
instante y luego verde, después suelte el botón Modo.
Paso 5. Aparece la petición de entrada switch: del cargador de arranque en el software de emulación de
terminal en la computadora.
La línea de comandos de boot loader admite comandos para formatear el sistema de archivos flash,
volver a instalar el software del sistema operativo y recuperarse de la pérdida o el olvido de una
contraseña. Por ejemplo, el comando dir se puede usar para ver una lista de archivos dentro de un
directorio específico, como se muestra en la ilustración.
Nota: observe que, en este ejemplo, el IOS se ubica en la raíz de la carpeta de la memoria flash.
La configuración predeterminada de dúplex y velocidad para los puertos de switch en los switches Cisco
Catalyst 2960 y 3560 es automática. Los puertos 10/100/1000 funcionan en el modo half-duplex o full-
duplex cuando se establecen en 10 Mb/s o 100 Mb/s, pero solo funcionan en el modo full-duplex cuando
se establecen en 1000 Mb/s
SEGURIDAD EN SWITCH
El comportamiento de un switch de saturar direcciones MAC para las direcciones desconocidas se puede
usar para atacar un switch. Este tipo de ataque se denomina “ataque de desbordamiento de la tabla de
direcciones MAC”. En ocasiones, los ataques de desbordamiento de la tabla de direcciones MAC se
denominan “ataques de saturación MAC” y “ataques de desbordamiento de la tabla CAM”. En las
ilustraciones, se muestra cómo funciona este tipo de ataque.
Cuando la tabla de direcciones MAC está llena de direcciones MAC falsas, el switch entra en un modo
que se conoce como modo “fail-open”. En este modo, el switch transmite todas las tramas a todas las
máquinas en la red. Como resultado, el atacante puede ver todas las tramas.
Una forma de mitigar los ataques de desbordamiento de la tabla de direcciones MAC es configurar
la seguridad de puertos.
DHCP es el protocolo que asigna automáticamente una dirección IP válida de un pool de DHCP a
un host. En esta industria, el protocolo DHCP se usa hace casi tanto tiempo como TCP/IP como
protocolo principal para asignar direcciones IP a los clientes. Se pueden realizar dos tipos de
ataques DHCP a una red conmutada: los ataques de agotamiento de DHCP y los de suplantación de
identidad de DHCP.
Para mitigar los ataques de DHCP, se usan las características de detección de DHCP y de seguridad de
puertos de los switches Cisco Catalyst.
CDP
CDP contiene información sobre el dispositivo, como la dirección IP, la versión de software del IOS, la
plataforma, las capacidades y la VLAN nativa. Los atacantes pueden usar esta información para encontrar
la forma de atacar la red, generalmente mediante ataques por denegación de servicio (DoS).
Se recomienda inhabilitar el uso de CDP en los dispositivos o los puertos que no necesitan usarlo
mediante el comando no cdp run del modo de configuración global. CDP se puede inhabilitar por puerto.
Ataques de Telnet
Para mitigar los ataques de contraseña de fuerza bruta, use contraseñas seguras y cámbielas con
frecuencia. Una contraseña segura debe tener una combinación de mayúsculas y minúsculas, y debe
incluir números y símbolos (caracteres especiales). El acceso a las líneas vty también se puede limitar
mediante una lista de control de acceso (ACL).
Se deben proteger todos los puertos (interfaces) del switch antes de implementar el dispositivo para la
producción. Una forma de proteger los puertos es mediante la implementación de una característica
denominada “seguridad de puertos”. La seguridad de puerto limita la cantidad de direcciones MAC
válidas permitidas en el puerto. Se permite el acceso a las direcciones MAC de los dispositivos legítimos,
mientras que otras direcciones MAC se rechazan.
La seguridad de puertos se puede configurar para permitir una o más direcciones MAC. Si la cantidad de
direcciones MAC permitidas en el puerto se limita a una, solo el dispositivo con esa dirección MAC
específica puede conectarse correctamente al puerto.
Si se configura un puerto como seguro y se alcanza la cantidad máxima de direcciones MAC, cualquier
intento adicional de conexión de las direcciones MAC desconocidas genera una violación de seguridad.
En la figura 1, se resumen estos puntos.
Existen varias maneras de configurar la seguridad de puerto. El tipo de dirección segura se basa en la
configuración e incluye lo siguiente:
Direcciones MAC seguras estáticas: son direcciones MAC que se configuran manualmente en un
puerto mediante el comando switchport port-security mac-address dirección-mac del modo de
configuración de interfaz. Las direcciones MAC configuradas de esta forma se almacenan en la
tabla de direcciones y se agregan a la configuración en ejecución del switch.
Direcciones MAC seguras persistentes: son direcciones MAC que pueden detectarse de forma
dinámica o configurarse de forma manual, y que después se almacenan en la tabla de direcciones y
se agregan a la configuración en ejecución.
Cuando se introduce este comando, el switch convierte todas las direcciones MAC detectadas
dinámicamente en direcciones MAC seguras persistentes, incluso las que se detectaron dinámicamente
antes de que se habilitara el aprendizaje por persistencia. Todas las direcciones MAC seguras persistentes
se agregan a la tabla de direcciones y a la configuración en ejecución.
Las direcciones MAC seguras persistentes también se pueden definir manualmente. Cuando se configuran
direcciones MAC seguras persistentes mediante el comando switchport port-security mac-address
sticky dirección-mac del modo de configuración de interfaz, todas las direcciones especificadas se
agregan a la tabla de direcciones y a la configuración en ejecución.
Si se guardan las direcciones MAC seguras persistentes en el archivo de configuración de inicio, cuando
el switch se reinicia o la interfaz se desactiva, la interfaz no necesita volver a aprender las direcciones. Si
no se guardan las direcciones seguras persistentes, estas se pierden.
Observe que la característica de seguridad de puertos no funciona hasta que se habilita la seguridad de
puertos en la interfaz mediante el comando switchport port-security.
Se agregó la cantidad máxima de direcciones MAC seguras a la tabla de direcciones para esa
interfaz, y una estación cuya dirección MAC no figura en la tabla de direcciones intenta acceder a la
interfaz.
Una dirección aprendida o configurada en una interfaz segura puede verse en otra interfaz segura de
la misma VLAN.
Para cambiar el modo de violación en un puerto de switch, use el comando del modo de configuración de
interfazswitchport port-security violation{protect | restrict | shutdown}.
Verificar las direcciones MAC seguras
NTP
Además, la sincronización de relojes es fundamental para la interpretación correcta de los eventos dentro
de los archivos de datos syslog, así como para los certificados digitales
. Para mostrar el estado de las asociaciones NTP, use el comando show ntp associations del modo EXEC
privilegiado. Este comando indica la dirección IP de cualquier dispositivo peer sincronizado a este peer,
los peers configurados de forma estática y el número de capa. El comando show ntp status
VLAN nativa
Una VLAN nativa está asignada a un puerto troncal 802.1Q. Los puertos de enlace troncal son los enlaces
entre switches que admiten la transmisión de tráfico asociado a más de una VLAN.
Los puertos de enlace troncal 802.1Q admiten el tráfico proveniente de muchas VLAN (tráfico con
etiquetas), así como el tráfico que no proviene de una VLAN (tráfico sin etiquetar). El tráfico con
etiquetas hace referencia al tráfico que tiene una etiqueta de 4 bytes insertada en el encabezado de la
trama de Ethernet original, que especifica la VLAN a la que pertenece la trama. El puerto de enlace
troncal 802.1Q coloca el tráfico sin etiquetar en la VLAN nativa, que es la VLAN 1 de manera
predeterminada.
VLAN de administración
Una VLAN de administración es cualquier VLAN que se configura para acceder a las capacidades de
administración de un switch. La VLAN 1 es la VLAN de administración de manera predeterminada. Para
crear la VLAN de administración, se asigna una dirección IP y una máscara de subred a la interfaz virtual
de switch (SVI) de esa VLAN
Vlan de datos
VLan de voz
El encabezado de las tramas de Ethernet estándar no contiene información sobre la VLAN a la que
pertenece la trama; por lo tanto, cuando las tramas de Ethernet se colocan en un enlace troncal, se debe
agregar la información sobre las VLAN a las que pertenecen. Este proceso, denominado “etiquetado”, se
logra mediante el uso del encabezado IEEE 802.1Q,
Tipo: es un valor de 2 bytes denominado “ID de protocolo de etiqueta” (TPID). Para Ethernet, este
valor se establece en 0x8100 hexadecimal.
Identificador de formato canónico (CFI): es un identificador de 1 bit que habilita las tramas
Token Ring que se van a transportar a través de los enlaces Ethernet.
ID de VLAN (VID): es un número de identificación de VLAN de 12 bits que admite hasta 4096 ID
de VLAN.
Switching rápido: este es un mecanismo frecuente de reenvío de paquetes que usa una memoria caché de
switching rápido para almacenar la información de siguiente salto.
Switching de procesos: es un mecanismo de reenvío de paquetes más antiguo que todavía está
disponible para los routers Cisco. Cuando un paquete llega a una interfaz, se reenvía al plano de
control, donde la CPU hace coincidir la dirección de destino con una entrada de la tabla de routing
y, a continuación, determina la interfaz de salida y reenvía el paquete. Es importante comprender
que el router hace esto con cada paquete, incluso si el destino es el mismo para un flujo de
paquetes. Este mecanismo de switching de procesos es muy lento y rara vez se implementa en las
redes modernas.
Switching rápido: este es un mecanismo frecuente de reenvío de paquetes que usa una memoria
caché de switching rápido para almacenar la información de siguiente salto.
¿Qué hace un router cuando recibe un paquete desde una red que está destinado a otra red? El router
ejecuta los siguientes tres pasos principales:
Paso 2. Examina la dirección IP de destino del paquete IP para encontrar el mejor camino en la tabla de
enrutamiento.
Paso 3. Si el router encuentra una ruta hacia el destino, encapsula el paquete de capa 3 en una nueva
trama de capa 2 y reenvía la trama por la interfaz de salida.
ipv6 enable. Recuerde que el comando de interfaz ipv6 enable se usa para crear de forma automática una
dirección link-local de IPv6, así se haya asignado una dirección de unidifusión global de IPv6 o no.
Cuando el router se configura con el comando de configuración global ipv6 unicast-routing, el router
comienza a enviar mensajes de anuncio de router ICMPv6 por la interfaz
Rutas conectadas directamente: estas rutas provienen de las interfaces activas del router. Los
routers agregan una ruta conectada directamente cuando se configura una interfaz con una dirección
IP y se activa.
Rutas remotas: estas son redes remotas conectadas a otros routers. Las rutas que van a estas redes
se pueden configurar de forma estática o dinámica mediante protocolos de routing dinámico.
Interfaces de ruta local: se agregan cuando la interfaz está configurada y activa. Esta entrada solo
se muestra en la versión IOS 15 o más reciente para las rutas IPv4, y en todas las versiones de IOS
para las rutas IPv6.
Rutas estáticas: se agregan cuando una ruta se configura manualmente y la interfaz de salida está
activa.
L: identifica la dirección asignada a la interfaz de un router. Esto permite que el router determine de
forma eficaz si recibe un paquete para la interfaz o para reenviar.
S: identifica una ruta estática creada para llegar a una red específica.
D: identifica una red que se descubre de forma dinámica de otro router con EIGRP.
O: indica una red que se descubre de forma dinámica de otro router con el protocolo de routing
OSPF
las redes IPv6 y las direcciones específicas de interfaz IPv6 en la tabla de routing IPv6. Como en
IPv4, una “C” junto a una ruta indica que se trata de una red conectada directamente. Una “L”
indica la ruta local. En una red IPv6, la ruta local tiene un prefijo /128.
Los routers ISR Cisco admiten diversos protocolos de routing dinámico IPv4, incluidos los siguientes:
Para determinar qué protocolos de routing admite IOS, use el comando router ? en el modo de
configuración global
La entrada que comienza con “D*EX” identifica que el origen de esta entrada fue EIGRP (“D"). La
ruta es candidata a ser una ruta predeterminada(“*”) y es una ruta externa (“*EX”) reenviada por
EIGRP.
ROUTING ENTRE VLAN
OTRO TIPO DE ROUTING ES ROUTER-ON-A-STICK, en la cual se utiliza una sola interfaz física
con múltiples subinterfaces virtuales.
Pasos
1. Cada interfaz se configura con una dirección IP para la subred asociada con la VLAN
específica a la cual está conectada.
2. Los dispositivos finales utilizan a la interfaz del router como Gateway.
SWITCHING LAYER 3
Los switches de capa 3 suelen tener un rendimiento de switching de paquetes en el orden de los millones
de paquetes por segundo (pps), mientras que los routers tradicionales proporcionan switching de paquetes
en el orden de 100 000 a más de 1 millón de pps.
Todos los switches multicapa Catalyst admiten los siguientes tipos de interfaces de capa 3:
Puerto enrutado: una interfaz puramente de capa 3 similar a la interfaz física de un router IOS de
Cisco.
Interfaz virtual del switch (SVI): una interfaz VLAN virtual para routing entre VLAN. En otras
palabras, las SVI son las interfaces VLAN enrutadas de manera virtual.
Los switches de alto rendimiento, como el Catalyst 6500 y el Catalyst 4500, realizan casi todas las
funciones que incluyen a las capas 3 y superiores del modelo OSI con switching basado en hardware y en
Cisco Express Forwarding.
A diferencia de los routers IOS de Cisco, los puertos enrutados en un switch IOS de Cisco no admiten
subinterfaces
A continuación, se detallan algunas de las ventajas de los puertos enrutados:
Los switches multicapa puede tener tanto una SVI como puertos enrutados en un mismo switch.
Los switches multicapa reenvían el tráfico de capa 2 o capa 3 mediante hardware, lo que contribuye
a un routing más veloz.
SDM
Utilizado para habilitar funciones específicas en un switch layer 3, La plantilla predeterminada no admite
routing estático.
Los problemas comunes al routing entre VLAN antiguo y con router-on-a-stick también se manifiestan en
el contexto de switching de capa 3. Para resolver problemas de switching de capa 3, se debe revisar la
corrección de los siguientes elementos:
VLAN: las VLAN deben estar definidas en todos los switches. Las VLAN deben estar habilitadas
en los puertos de enlace troncal. Los puertos deben estar en las VLAN correctas.
SVI: la SVI debe tener la dirección IP o la máscara de subred correcta. La SVI debe estar activada.
La SVI debe coincidir con el número de VLAN.
Routing: el routing debe estar habilitado. Cada interfaz o red debe estar agregada al protocolo de
routing.
El routing estático proporciona algunas ventajas en comparación con el routing dinámico, por ejemplo:
Las rutas estáticas consumen menos ancho de banda que los protocolos de routing dinámico. No se
utiliza ningún ciclo de CPU para calcular y comunicar las rutas.
La ruta que usa una ruta estática para enviar datos es conocida.
El routing estático tiene las siguientes desventajas:
No se adapta bien a las redes en crecimiento; el mantenimiento se torna cada vez más complicado.
Reducir el número de rutas anunciadas mediante el resumen de varias redes contiguas como una
sola ruta estática.
Crear una ruta de respaldo en caso de que falle un enlace de la ruta principal.
Otro tipo de ruta estática es una ruta estática flotante. Las rutas estáticas flotantes son rutas estáticas que
se utilizan para proporcionar una ruta de respaldo a una ruta estática o dinámica principal, en el caso de
una falla del enlace. La ruta estática flotante se utiliza únicamente cuando la ruta principal no está
disponible.
Para lograrlo, la ruta estática flotante se configura con una distancia administrativa mayor que la ruta
principal.
Una ruta estática predeterminada es aquella que coincide con todos los paquetes.
Para reducir el número de entradas en la tabla de routing, se pueden resumir varias rutas estáticas en una
única ruta estática si se presentan las siguientes condiciones:
Las redes de destino son contiguas y se pueden resumir en una única dirección de red.
Todas las rutas estáticas utilizan la misma interfaz de salida o la dirección IP del siguiente salto.
El comando de configuración global ipv6 unicast-routing debe configurarse para que habilite al router
para que reenvíe paquetes IPv6. En la figura 2, se muestra la habilitación del routing de unidifusión IPv6.
La propagación de las rutas VLSM y de superred requiere un protocolo de routing sin clase, como RIPv2,
OSPF o EIGRP.
Nota: cuando una ruta de superred se encuentra en una tabla de routing, por ejemplo, como una ruta
estática, un protocolo de routing con clase no incluye esa ruta en las actualizaciones.
Varias rutas estáticas IPv6 se pueden resumir en una única ruta estática IPv6 si:
Las redes de destino son contiguas y se pueden resumir en una única dirección de red.
Todas las rutas estáticas utilizan la misma interfaz de salida o la dirección IPv6 del siguiente salto.
DISTANCIA ADMINISTRATIVA
De manera predeterminada, las rutas estáticas tienen una distancia administrativa de 1, lo que las hace
preferibles a las rutas descubiertas mediante protocolos de routing dinámico. Por ejemplo, las distancias
administrativas de algunos protocolos de routing dinámico comunes son las siguientes:
EIGRP = 90
IGRP = 100
OSPF = 110
IS-IS = 115
RIP = 120
Poder encontrar un mejor camino nuevo si la ruta actual deja de estar disponible
Según su propósito: IGP, EGP
SISTEMA AUTÓNOMO
Un sistema autónomo (AS) es un conjunto de routers bajo una administración común, como una empresa
o una organización. Los AS también se conocen como “dominios de routing”. Los ejemplos típicos de AS
son la red interna de una empresa y la red de un ISP.
Protocolos de enrutamiento dinámico
Tipos de protocolos de routing
“Vector distancia” significa que las rutas se anuncian proporcionando dos características:
Distancia: identifica la distancia hasta la red de destino. Se basa en una métrica como el conteo de
saltos, el costo, el ancho de banda y el retraso, entre otros.
Vector: especifica el sentido en que se encuentra el router de siguiente salto o la interfaz de salida
para llegar al destino.
Por ejemplo, en la ilustración, el R1 tiene información de que la distancia para llegar a la red
172.16.3.0/24 es de un salto y de que el sentido es a través de la interfaz S0/0/0 hacia el R2.
Un router que utiliza un protocolo de enrutamiento vector distancia no tiene la información de la ruta
completa hasta la red de destino. Los protocolos vector distancia utilizan routers como letreros a lo largo
de la ruta hacia el destino final. La única información que conoce el router sobre una red remota es la
distancia o métrica para llegar a esa red y qué ruta o interfaz usar para alcanzarla.
IGRP: protocolo exclusivo de Cisco de primera generación (obsoleto y reemplazado por EIGRP)
Los routers con RIP habilitado envían actualizaciones periódicas de su información de routing a sus
vecinos. Los protocolos de enrutamiento de link-state no usan actualizaciones periódicas. Una vez que se
produjo la convergencia de la red, la actualización del estado de enlace solo se envía cuando se produce
un cambio en la topología
Una métrica es un valor mensurable que el protocolo de routing asigna a distintas rutas según la utilidad
que tengan.
las métricas de routing se utilizan para determinar el “costo” total de una ruta de origen a destino. Los
protocolos de routing determinan la mejor ruta sobre la base del costo más bajo.
Los diferentes protocolos de enrutamiento pueden usar diferentes métricas. La métrica utilizada por un
protocolo de enrutamiento no es comparable con la métrica utilizada por otro protocolo de enrutamiento.
Dos protocolos de routing distintos pueden elegir diferentes rutas hacia el mismo destino.
El router sólo conoce las direcciones de red de sus propias interfaces y las direcciones de red remota que
puede alcanzar a través de sus vecinos. Los routers que utilizan el enrutamiento vector distancia no tienen
información sobre la topología de la red.
Los diferentes protocolos de enrutamiento utilizan diversos algoritmos para instalar rutas en la tabla de
enrutamiento, enviar actualizaciones a los vecinos y determinar las rutas. Por ejemplo:
RIP utiliza el algoritmo de Bellman-Ford como algoritmo de routing. Se basa en dos algoritmos
desarrollados por Richard Bellman y Lester Ford júnior en 1958 y 1956.
IGRP y EIGRP utilizan el algoritmo de actualización por difusión (DUAL) como algoritmo de
routing, desarrollado por el Dr. J. J. Garcia-Luna-Aceves en SRI International.
EIGRP también introdujo lo siguiente:
Mantenimiento de una tabla de topología: se mantienen todas las rutas recibidas de los vecinos
(no sólo las mejores rutas) en una tabla de topología. DUAL puede insertar rutas de respaldo en la
tabla de topología de EIGRP.
Convergencia rápida: en la mayoría de los casos, se trata del IGP más rápido para realizar la
convergencia debido a que mantiene rutas alternativas, lo que permite una convergencia casi
instantánea. Si una ruta principal falla, el router puede utilizar la ruta alternativa identificada. El
cambio a la ruta alternativa es inmediato y no implica interacción con otros routers.
Compatibilidad con varios protocolos de capa de red: EIGRP utiliza módulos dependientes de
protocolo (PDM), lo que significa que es el único protocolo compatible con otros protocolos
además de IPv4 e IPv6, como el IPX antiguo y AppleTalk.
A los protocolos de enrutamiento de link-state también se les conoce como protocolos shortest path first y
se desarrollan en torno al algoritmo shortest path first (SPF) de Edsger Dijkstra. El algoritmo SPF
Nota: el objetivo central de esta sección es analizar el costo, el cual está determinado por el árbol SPF.
Por este motivo, en los gráficos de esta sección se muestran las conexiones del árbol SPF y no la
topología. Todos los enlaces se representan mediante una línea negra continua.
Cuando dos routers de estado de enlace descubren que son vecinos, forman una adyacencia.
y cumplen la función de keepalive para monitorear el estado del vecino. Si un router deja de recibir
paquetes de saludo por parte de un vecino, dicho vecino se considera inalcanzable y se rompe la
adyacencia.
Recuerde que los LSP no necesitan enviarse periódicamente. Un LSP sólo necesita enviarse:
Durante el arranque inicial del proceso del protocolo de routing (por ejemplo, en el reinicio del
router)
Cuando hay un cambio en la topología (por ejemplo, un enlace que se desactiva o activa, o una
adyacencia de vecinos que se establece o se rompe)
Además de la información de estado de enlace, se incluye información adicional en el LSP, como los
números de secuencia y la información de vencimiento, para ayudar a administrar el proceso de
saturación.
Con una base de datos de estado de enlace completa, el R1 ahora puede utilizar la base de datos y el
algoritmo SPF (Shortest Path First) para calcular la ruta preferida o la ruta más corta a cada red, lo que da
como resultado el árbol SPF.
Cada router construye su propio árbol SPF independientemente de los otros routers. Para garantizar el
enrutamiento adecuado, las bases de datos de link-state utilizadas para construir dichos árboles deben ser
idénticas en todos los routers.
Actualizaciones desencadenadas por eventos:después de la saturación inicial con LSP, los protocolos
de routing de estado de enlace solo envían un LSP cuando se produce un cambio en la topología. El LSP
sólo incluye la información relacionada con el enlace afectado. \
Cuando hay un cambio en la topología, solo los routers del área afectada reciben el LSP y ejecutan el
algoritmo SPF. Esto puede ayudar a aislar un enlace inestable en un área específica en el dominio de
enrutamiento.
Las rutas se analizan en términos de lo siguiente:
Ruta final
Una ruta final es una entrada de la tabla de routing que contiene una dirección IPv4 del siguiente
salto o una interfaz de salida.
Ruta de Nivel 1
Ruta de red: una ruta de red que tiene una máscara de subred igual a la de la máscara con clase.
Ruta de superred: una dirección de red con una máscara menor que la máscara con clase, por
ejemplo, una dirección de resumen.
una ruta principal de nivel 1 es una ruta de red de nivel 1 que está dividida en subredes. Una ruta
principal nunca puede ser una ruta final.
Una ruta secundaria de nivel 2 es una ruta que constituye una subred de una dirección de red con clase
La mejor coincidencia es la ruta de la tabla de routing que contiene la mayor cantidad de bits del extremo
izquierdo coincidentes con la dirección IPv4 de destino del paquete.
OSPF
Dijkstra creó el algoritmo SPF (Shortest Path First) para el routing de red.
Sin clase: por su diseño, es un protocolo sin clase, de modo que admite VLSM y CIDR.
Eficaz: los cambios de routing dirigen actualizaciones de routing (no hay actualizaciones
periódicas). Usa el algoritmo SPF para elegir la mejor ruta.
Escalable: funciona bien en tamaños de redes pequeños y grandes. Se pueden agrupar los routers
en áreas para admitir un sistema jerárquico.
Seguro: admite la autenticación de síntesis del mensaje 5 (MD5). Cuando están habilitados, los
routers OSPF solo aceptan actualizaciones de routing cifradas de peers con la misma contraseña
compartida previamente.
La distancia administrativa (AD) es la confiabilidad (o preferencia) del origen de la ruta. OSPF tiene una
distancia administrativa predeterminada de 110.
Todos los protocolos de routing comparten componentes similares. Todos usan mensajes de protocolo de
routing para intercambiar información de la ruta. Los mensajes contribuyen a armar estructuras de datos,
que luego se procesan con un algoritmo de routing.
Los tres componentes principales del protocolo de routing OSPF incluyen lo siguiente:
El paquete OSPF de tipo 1 es el paquete de saludo. Los paquetes de saludo se utilizan para:
Publicar parámetros en los que dos routers deben acordar convertirse en vecinos.
Elegir el Router designado (DR) y el Router designado de respaldo (BDR) en redes de accesos
múltiples, como Ethernet y Frame Relay. Los enlaces punto a punto no requieren DR o BDR.
Tipo: identifica el tipo de paquete. Un uno (1) indica un paquete de saludo. Un valor de 2 identifica
un paquete DBD, un valor de 3 identifica un paquete LSR, un valor de 4 identifica un paquete LSU,
y un valor de 5 identifica un paquete LSAck.
ID del router: un valor de 32 bits expresado en notación decimal con puntos (una dirección IPv4)
que se utiliza para identificar exclusivamente el router de origen.
Prioridad del router: se utiliza en una elección de DR/BDR. La prioridad predeterminada para
todos los routers OSPF es 1, pero se puede modificar manualmente desde 0 hasta 255. Cuanto
mayor es el valor, mayor es la probabilidad de que el router sea el DR en el enlace.
Intervalo muerto: es el tiempo en segundos que espera un router para establecer comunicación con
un vecino antes de declarar que el router vecino no funciona. De manera predeterminada, el
intervalo muerto del router es cuatro veces el intervalo de saludo. Este temporizador debe ser el
mismo en los routers vecinos; de lo contrario, no se establece ninguna adyacencia.
Lista de vecinos: la lista en la que se identifican las ID del router de todos los routers adyacentes.
los paquetes de saludo OSPF se transmiten a la dirección de multidifusión 224.0.0.5 en IPv4 y FF02::5
en IPv6 (todos los routers OSPF) cada:
30 segundos (intervalo predeterminado en redes multiacceso sin difusión [NBMA], por ejemplo,
Frame Relay)
Si el intervalo muerto caduca antes de que los routers reciban un paquete de saludo, OSPF elimina ese
vecino de su LSDB. El router satura la LSDB con información acerca del vecino inactivo por todas las
interfaces con OSPF habilitado.
120 segundos (intervalo predeterminado en redes NBMA, por ejemplo, Frame Relay)
Los routers inicialmente intercambian paquetes DBD de tipo 2, que son una lista abreviada de la
LSDB del router emisor que los routers receptores usan para compararla con la LSDB local.
Los routers receptores usan paquetes LSR de tipo 3 para solicitar más información acerca de una entrada
de la DBD.
En el estado Init
- El router responde con un hellow enviando su ID y una lista con los OD de los vecinos
a través de la dirección de unidifusión 172.16.5.1
Estado Tw0-Way
Elección de un DR y un BDR
La solución para administrar la cantidad de adyacencias y la saturación con LSA en una red de accesos
múltiples es el DR.
En las redes de múltiple acceso se elige un DR para que funcióne como punto de recolección y
distribución de las LSA.
COSTO
- Cuanto más sobrecarga y retraso, mayor es el costo. Por lo tanto, una línea Ethernet de
10 Mb/s tiene un costo mayor que una línea Ethernet de 100 Mb/s.
Usa como referencia un BW de referencia =100000000
Si una interfaz 10 Gigabit
Se tiene (BW de referencia)/(BW de interfaz)=1
EL mínimo valor dl costo OSPF es 1 por lo cual si se tiene una interfaz de 100 Gbps se redondea
a 1 por lo cual se debe cambia el BW de referencia para compensar esto.
Para volver al ancho de banda de referencia predeterminado, use el comando auto-cost reference-
bandwidth 100.
costo de forma manual en una interfaz con el comando de configuración de interfaz ip ospf costvalor.
Una ventaja de configurar un costo en lugar del ancho de banda de la interfaz es que, cuando se configura
el costo manualmente, el router no necesita calcular la métrica.
Nota:un concepto erróneo habitual de los estudiantes nuevos en la tecnología de redes y en IOS
de Cisco es suponer que el comando bandwidth cambia el ancho de banda físico del enlace.
Este comando solo modifica la métrica de ancho de banda que usan EIGRP y OSPF. El comando
no modifica el ancho de banda real en el enlace.
Verificación de OSPF
Utilice el comando show ip ospf neighbor para verificar que el router haya formado una adyacencia con
los routers vecinos. Si no se muestra la ID del router vecino o este no se muestra en el estado FULL, los
dos routers no formaron una adyacencia OSPF
Dead time: intervalo de tiempo en el cual espera el router recibir un Hellow antes de decláralo como
inactivo.
Address: dirección IPv4 de la interfaz del vecino que esta conectado directamente.
Dirección IPv6 de destino: se pueden enviar los paquetes OSPFv3 a una dirección de unidifusión
mediante la dirección IPv6 link-local del vecino. También es posible enviarlos utilizando una
dirección de multidifusión. La dirección FF02::5 es la dirección de todos los routers OSPF,
mientras que FF02::6 es la dirección de multidifusión del DR/BDR.
Las direcciones link-local creadas con el formato EUI-64 o, en algunos casos, con ID de interfaz
aleatorias hacen que resulte difícil reconocer y recordar esas direcciones. Debido a que los protocolos de
routing IPv6 utilizan direcciones IPv6 link-local para el direccionamiento de unidifusión y la información
de dirección de siguiente salto en la tabla de routing, es habitual hacer que sea una dirección fácil de
reconocer.
Una dirección link-local tiene un prefijo dentro del rango FE80 a FEBF.
ACL
Nota: las ACL no deben configurarse en ambos sentidos. La cantidad de ACL y el sentido aplicado a la
interfaz dependen de los requisitos que se implementen.
Utilice las ACL en los routers de firewall ubicados entre su red interna y una red externa, como
Internet.
Utilice las ACL en un router ubicado entre dos partes de la red para controlar el tráfico que entra a
una parte específica de su red interna o que sale de esta.
Configure las ACL en los routers de frontera, es decir, los routers ubicados en los límites de las
redes. Esto proporciona una separación muy básica de la red externa o entre un área menos
controlada y un área más importante de su propia red.
Configure las ACL para cada protocolo de red configurado en las interfaces del router de frontera.
ACL estándar: debido a que en las ACL estándar no se especifican las direcciones de destino, colóquelas
tan cerca del destino como sea posible.
Las ACL estándar solo pueden filtrar tráfico según la dirección de origen. La regla básica para la
colocación de una ACL estándar es colocar la ACL lo más cerca posible de la red de destino. Esto
permite que el tráfico llegue a todas las demás redes, excepto la red que filtra los paquetes
Ejemplos:
ACL extendidas: coloque las ACL extendidas lo más cerca posible del origen del tráfico que se filtrará.
Nota: para la certificación CCNA, la regla general es que las ACL extendidas se coloquen lo más cerca
posible del origen y que las ACL estándar se coloquen lo más cerca posible del destino.
Si se puede:
Nota: la lógica interna aplicada al ordenamiento de las instrucciones de las ACL estándar no se aplica a
las ACL extendidas. El orden en que se introducen las instrucciones durante la configuración es el orden
en que se muestran y se procesan.
NAT
ESCALAMIENTO DE REDES
REDUNDANCIA EN LAN
Los protocolos de redundancia de primer salto se utilizan para administrar la forma en que se asigna un
gateway predeterminado a un cliente y permitir el uso de un gateway predeterminado alternativo en caso
de que falle el principal.
Esta propagación continua entre switches puede provocar la inestabilidad de la base de datos MAC.
Tormenta de difusión
Una tormenta de difusión se produce cuando existen tantas tramas de difusión atrapadas en un bucle de
Capa 2, que se consume todo el ancho de banda disponible. Como consecuencia, no hay ancho de banda
disponible para el tráfico legítimo y la red deja de estar disponible para la comunicación de datos. Esto es
una denegación de servicio eficaz.
Las tramas de difusión no son el único tipo de tramas que son afectadas por los bucles. Las tramas de
unicast enviadas a una red con bucles pueden generar tramas duplicadas que llegan al dispositivo de
destino.
STP asegura que exista sólo una ruta lógica entre todos los destinos de la red, al realizar un bloqueo de
forma intencional a aquellas rutas redundantes que puedan ocasionar un bucle.
Se considera que un puerto está bloqueado cuando no se permite que entren o salgan datos de usuario por
ese puerto. Esto no incluye las tramas de unidad de datos de protocolo puente (BPDU) utilizadas por STP
para evitar bucles.
El puente raíz sirve como punto de referencia para todos los cálculos de árbol de expansión para
determinar las rutas redundantes que deben bloquearse.
Una vez que el switch arranca, comienza a enviar tramas BPDU cada dos segundos. Estas BPDU
contienen el BID del switch y la ID de raíz.
A medida que los switches reenvían sus tramas BPDU, los switches adyacentes en el dominio de difusión
leen la información de la ID de raíz de las tramas BPDU. Es posible tener varios puentes raíz diferentes.
Si todos los puertos de todos los switches pertenecen a la VLAN 1, solo se da una instancia de árbol de
expansión.
La información de ruta se determina mediante la suma de los costos individuales de los puertos que
atraviesa la ruta desde el destino al puente raíz. Cada “destino” es, en realidad, un puerto de switch.
El costo de la ruta es igual a la suma de todos los costos de puerto a lo largo de la ruta hacia el puente raíz
(figura 3).
Las rutas con el costo más bajo se convierten en las preferidas, y el resto de las rutas redundantes se
bloquean.
Cuando los switches adyacentes reciben una trama BPDU, comparan la ID de raíz de la trama
BPDU con la ID de raíz local. Si la ID de raíz en la BPDU es inferior a la local, el switch actualiza la
ID de raíz local y la ID en sus mensajes de BPDU.
El valor de prioridad predeterminado para todos los switches Cisco es 32768.
ID de sistema extendido
Las primeras implementaciones de IEEE 802.1D estaban diseñadas para redes que no utilizaban VLAN.
A medida que las VLAN se volvieron más comunes en la segmentación de la infraestructura de red, se
fue mejorando 802.1D para incluir a las VLAN, con e
Si los bits del extremo izquierdo son 0001, la prioridad del puente es 4096; si los bits del extremo derecho
son 1111, la prioridad del puente es 61440 (= 15 x 4096).
STP: es la versión original de IEEE 802.1D (802.1D-1998 y anterior), que proporciona una
topología sin bucles en una red con enlaces redundantes. El árbol de expansión común (CTS) asume
una instancia de árbol de expansión para toda la red enlazada, independientemente de la cantidad de
VLAN.
PVST+: esta es una mejora de Cisco de STP que proporciona una instancia de árbol de expansión
802.1D para cada VLAN configurada en la red. La instancia aparte admite PortFast, UplinkFast,
BackboneFast, la protección BPDU, el filtro BPDU, la protección de raíz y la protección de bucle.
802.1D-2004: esta es una versión actualizada del estándar STP que incorpora IEEE 802.1w.
Protocolo de árbol de expansión rápido (RSTP) o IEEE 802.1w: esta es una evolución de STP
que proporciona una convergencia más veloz que STP.
PVST+ rápido: esta es una mejora de Cisco de RSTP que utiliza PVST+. PVST+ rápido
proporciona una instancia de 802.1w distinta por VLAN. La instancia aparte admite PortFast, la
protección BPDU, el filtro BPDU, la protección de raíz y la protección de bucle.
A continuación, se detallan características de los diversos protocolos de árbol de expansión. Las palabras
en cursiva indican si ese protocolo de árbol de expansión en particular es exclusivo de Cisco o una
implementación del estándar IEEE.
STP: asume una instancia de árbol de expansión IEEE 802.1D para toda la red enlazada,
independientemente de la cantidad de VLAN. Debido a que solo hay una instancia, los requisitos de
CPU y de memoria para esta versión son menos que para el resto de los protocolos. Sin embargo,
dado que solo hay una instancia, también hay solo un puente raíz y un árbol. El tráfico para todas
las VLAN fluye por la misma ruta, lo que puede provocar flujos de tráfico poco óptimos. Debido a
las limitaciones de 802.1D, la convergencia de esta versión es lenta.
PVST+: es una mejora de Cisco de STP que proporciona una instancia diferente de la
implementación de Cisco de 802.1D para cada VLAN que se configura en la red. La instancia
aparte admite PortFast, UplinkFast, BackboneFast, la protección BPDU, el filtro BPDU, la
protección de raíz y la protección de bucle. La creación de una instancia para cada VLAN aumenta
los requisitos de CPU y de memoria, pero admite los puentes raíz por VLAN. Este diseño permite
la optimización del árbol de expansión para el tráfico de cada VLAN. La convergencia de esta
versión es similar a la convergencia de 802.1D. Sin embargo, la convergencia es por VLAN.
RSTP (o IEEE 802.1w): es una evolución del árbol de expansión que proporciona una
convergencia más rápida que la implementación original de 802.1D. Esta versión resuelve varios
problemas de convergencia, pero dado que aún proporciona una única instancia de STP, no resuelve
los problemas de flujo de tráfico poco óptimo. Para admitir una convergencia más rápida, los
requisitos de uso de CPU y de memoria de esta versión son apenas más exigentes que los de CTS,
pero menos que los de RSTP+.
PVST+ rápido: es una mejora de Cisco de RSTP que utiliza PVST+. Proporciona una instancia de
802.1w distinta por VLAN. La instancia aparte admite PortFast, la protección BPDU, el filtro
BPDU, la protección de raíz y la protección de bucle. Esta versión resuelve tanto los problemas de
convergencia como los de flujo de tráfico poco óptimo. Sin embargo, esta versión tiene los
requisitos de CPU y de memoria más exigentes.
El modo de árbol de expansión predeterminado para los switches Cisco Catalyst es PVST+, que está
habilitado en todos los puertos. PVST+ tiene una convergencia mucho más lenta que PVST+ rápido
después de un cambio en la topología.
Si un puerto de switch pasa directamente del estado de bloqueo al de reenvío sin información acerca de la
topología completa durante la transición, el puerto puede crear un bucle de datos temporal.
Para facilitar el aprendizaje del árbol de expansión lógico, cada puerto de switch sufre una transición a
través de cinco estados posibles y tres temporizadores de BPDUPara facilitar el aprendizaje del árbol de
expansión lógico, cada puerto de switch sufre una transición a través de cinco estados posibles y tres
temporizadores de BPDU
El árbol de expansión queda determinado inmediatamente después de que el switch finaliza el proceso de
arranque. Si un puerto de switch pasa directamente del estado de bloqueo al de reenvío sin información
acerca de la topología completa durante la transición, el puerto puede crear un bucle de datos temporal.
Bloqueo: el puerto es un puerto alternativo y no participa en el reenvío de tramas. El puerto recibe
tramas de BPDU para determinar la ubicación y el ID de raíz del switch del puente raíz y las
funciones de puertos que cada uno de éstos debe asumir en la topología final de STP activa.
Escucha: escucha la ruta hacia la raíz. STP determinó que el puerto puede participar en el reenvío
de tramas según las tramas BPDU que recibió el switch hasta ahora. A esta altura, el puerto de
switch no solo recibe tramas BPDU, sino que además transmite sus propias tramas BPDU e informa
a los switches adyacentes que el puerto de switch se prepara para participar en la topología activa.
Aprendizaje: aprende las direcciones MAC. El puerto se prepara para participar en el reenvío de
tramas y comienza a completar la tabla de direcciones MAC.
Reenvío: el puerto se considera parte de la topología activa. Reenvía tramas de datos, además de
enviar y recibir tramas BPDU.
NUEVO
PVST+
Si un puerto de switch pasa directamente del estado de bloqueo al de reenvío sin información acerca de la
topología completa durante la transición, el puerto puede crear un bucle de datos temporal.
RSTP
RSTP (IEEE 802.1w) es una evolución del estándar 802.1D original y se incorpora al estándar IEEE
802.1D-2004. La terminología de STP 802.1w sigue siendo fundamentalmente la misma que la de STP
IEEE 802.1D original. La mayoría de los parámetros no se modificaron, de modo que los usuarios
familiarizados con STP pueden configurar el nuevo protocolo con facilidad. PVST+ rápido es,
simplemente, la implementación de Cisco de RSTP por VLAN. Con PVST+ rápido, se ejecuta una
instancia de RSTP independiente para cada VLAN.
RSTP no posee el estado de puerto de bloqueo. RSTP define los estados -de puertos como de descarte,
aprender o enviar.
RSTP puede lograr una convergencia mucho más rápida en una red configurada en forma adecuada, a
veces sólo en unos pocos cientos de milisegundos. RSTP redefine los tipos de puertos y sus estados. Si un
puerto está configurado como puerto alternativo o de respaldo, puede cambiar automáticamente al estado
de reenvío sin esperar a que converja la red.
Debido a que las BPDU se utilizan como un mecanismo de actividad, tres BPDU perdidas en forma
consecutiva indican la pérdida de la conectividad entre un puente y su raíz vecina o puente designado.
Nota: al igual que STP, los switches RSTP envían una BPDU con su información actual cada tiempo de
saludo (dos segundos, de manera predeterminada), incluso si el puente RSTP no recibe ninguna BPDU
del puente raíz.
TIPOS DE ENLACE
Las características de las funciones de puerto en relación con los tipos de enlace incluyen lo siguiente:
Los puertos raíz no utilizan el parámetro de tipo de enlace. Los puertos raíz son capaces de realizar
una transición rápida al estado de enviar siempre que el puerto se encuentre sincronizado.
En la mayoría de los casos, los puertos alternativos y de respaldo no utilizan el parámetro de tipo de
enlace.
Los puertos designados son los que más utilizan el parámetro de tipo de enlace. La transición rápida
al estado de reenvío para el puerto designado ocurre solo si el parámetro de tipo de enlace se
establece en punto a punto.
Paso 2. Después de descubrir la topología de capa 2, aplique sus conocimientos de STP para determinar
la ruta de capa 2 esperada. Es necesario saber qué switch es el puente raíz.
Paso 3. Utilice el comando show spanning-tree vlan para determinar qué switch es el puente raíz.
Paso 4. Utilice el comando show spanning-tree vlan en todos los switches para descubrir cuáles son los
puertos que están en estado de bloqueo o de reenvío, y para confirmar la ruta de capa 2 esperada.
Utilice el comando show spanning-tree vlan id_vlan para obtener información acerca de STP de una
VLAN específica. Utilice este comando para obtener información acerca de la función y el estado de cada
puerto del switch. En el resultado de ejemplo en el switch S1, se muestran los tres puertos en estado de
reenvío (FWD) y la función de estos como puertos designados o raíz. Para los puertos que están
bloqueados, el resultado muestra el estado “BLK”.
ROUTER VIRTUAL
Una forma de evitar un único punto de falla en el gateway predeterminado es implementar un router
virtual para implementar este tipo de redundancia de router, se configuran varios routers para que
funcionen juntos y así dar la sensación de que hay un único router a los hosts en la LAN. Al compartir
una dirección IP y una dirección MAC, dos o más routers pueden funcionar como un único router virtual.
os hosts utilizan ARP para resolver la dirección MAC asociada a la dirección IP del gateway
predeterminado. La resolución de ARP devuelve la dirección MAC del router virtual.
La capacidad que tiene una red para recuperarse dinámicamente de la falla de un dispositivo que funciona
como gateway predeterminado se conoce como “redundancia de primer salto”.
En la siguiente lista, se definen las opciones disponibles para los protocolos de redundancia de primer
salto (FHRP), como se muestra en la ilustración.
Protocolo de balanceo de carga de gateway (GLBP): FHRP exclusivo de Cisco que protege el
tráfico de datos contra una falla de router o de circuito, como HSRP y VRRP, a la vez que permite
el balanceo de carga (también denominado “uso compartido de carga”) entre un grupo de routers
redundantes.
VRRPv3: proporciona la capacidad de admitir direcciones IPv4 e IPv6. VRRPv3 funciona en
entornos de varios proveedores y es más escalable que VRRPv2.
Utilice el comando show standby para verificar el estado de HSRP. En la ilustración, el resultado
muestra que el router está en estado activo.
GLBP
GLBP es una solución propia de Cisco que permite la selección automática y la utilización simultánea de
varias puertas de enlace disponibles, además de la conmutación por falla automática entre esas puertas de
enlace. Como se muestra en la figura 1, varios routers comparten la carga de las tramas que, desde la
perspectiva del cliente, se envían a una única dirección de gateway predeterminado.
GLBP tiene las siguientes características:
Permite el pleno uso de los recursos en todos los dispositivos, sin la carga administrativa de crear
varios grupos.
EtherChannel crea una agregación que se ve como un único enlace lógico. Cuando existen varios
grupos EtherChannel entre dos switches, STP puede bloquear uno de los grupos para evitar los
bucles de switching. Cuando STP bloquea uno de los enlaces redundantes, bloquea el EtherChannel
completo. Esto bloquea todos los puertos que pertenecen a ese enlace EtherChannel. Donde solo
existe un único enlace EtherChannel, todos los enlaces físicos en el EtherChannel están activos, ya
que STP solo ve un único enlace (lógico).
Nota: no se pueden mezclar los tipos de interfaz; por ejemplo, no se pueden mezclar Fast Ethernet y
Gigabit Ethernet dentro de un único EtherChannel.
El EtherChannel proporciona un ancho de banda full-duplex de hasta 800 Mb/s (Fast EtherChannel) u
8 Gb/s (Gigabit EtherChannel) entre un switch y otro switch o host. En la actualidad, cada EtherChannel
puede constar de hasta ocho puertos Ethernet configurados de manera compatible.
Los EtherChannels se pueden formar por medio de una negociación con uno de dos protocolos: PAgP o
LACP.
PAgP
PAgP es un protocolo exclusivo de Cisco que ayuda en la creación automática de enlaces EtherChannel.
Los paquetes PAgP se envían cada 30 segundos.
Coincidencia de VLAN: todas las interfaces en el grupo EtherChannel se deben asignar a la misma
VLAN o se deben configurar como enlace troncal, lo que también se muestra en la ilustración.
LACP forma parte de una especificación IEEE (802.3ad) que permite agrupar varios puertos físicos para
formar un único canal lógico. es un estándar IEEE
Nota: en los inicios, LACP se definió como IEEE 802.3ad. Sin embargo, LACP ahora se define en el
estándar más moderno IEEE 802.1AX para la redes de área local y metropolitana.
Rango de VLAN: un EtherChannel admite el mismo rango permitido de VLAN en todas las
interfaces de un EtherChannel de enlace troncal. Si el rango permitido de VLAN no es el mismo,
las interfaces no forman un EtherChannel, incluso si se establecen en modo automático o deseado.
*
OSPF
Sin clase: fue concebido como un protocolo sin clase, de modo que admite VLSM y CIDR.
Eficaz: los cambios de routing desencadenan actualizaciones de routing (no hay actualizaciones
periódicas). Usa el algoritmo SPF para elegir la mejor ruta.
Escalable: funciona bien en redes pequeñas y grandes. Se pueden agrupar los routers en áreas para
admitir un sistema jerárquico.
Seguro: admite la autenticación de síntesis del mensaje 5 (MD5). Cuando están habilitados, los
routers OSPF solo aceptan actualizaciones de routing cifradas de peers con la misma contraseña
compartida previamente.
- SHOW IP PROTOCOLS
- SHOW IP OSPF
- SHOW IP OSPF INTERFACE
- show ip ospf interface brief
-
-
-
-
-
- La solución para administrar la cantidad de adyacencias y la saturación con LSA en una
red de accesos múltiples es el DR el BDR es el respaldo
- Todos los otros routers que no son DR ni BDR se convierten en DROthers.
- Los DROthers solo crean adyacencias completas con el DR y el BDR de la red.
En vez de saturar todos los routers de la red con LSA, los DROthers solo envían sus LSA al DR y el BDR
mediante la dirección de multidifusión 224.0.0.6 (todos los routers DR).
Nota: la elección de DR/BDR solo se producen en las redes de accesos múltiples y no en las redes punto
a punto.
VERIFICACION DE OSPF
Debido a que los routers están conectados por medio de una red multiacceso con difusión común, OSPF
seleccionó automáticamente un DR y un BDR. En este ejemplo, se eligió al R3 como el DR porque la ID
del router es 3.3.3.3, que es la más alta en la red. El R2 es el BDR porque tiene la segunda ID del router
más alta en la red.
El R1 tiene dos adyacencias: una con el BDR y otra con el DR. (3)
FULL/-, el estado de los vecinos en redes de accesos múltiples puede ser uno de los siguientes:
FULL/DROTHER: se trata de un router DR o BDR que tiene plena adyacencia con un router que
no es DR ni BDR. Estos dos vecinos pueden intercambiar paquetes de saludo, actualizaciones,
consultas, respuestas y acuses de recibo.
FULL/DR: el router tiene plena adyacencia con el vecino DR indicado. Estos dos vecinos pueden
intercambiar paquetes de saludo, actualizaciones, consultas, respuestas y acuses de recibo.
FULL/BDR: el router tiene plena adyacencia con el vecino BDR indicado. Estos dos vecinos
pueden intercambiar paquetes de saludo, actualizaciones, consultas, respuestas y acuses de recibo.
2-WAY/DROTHER: el router que no es DR ni BDR tiene una relación de vecino con otro router
que no es DR ni BDR. Estos dos vecinos intercambian paquetes de saludo.
El resultado que genera el R1 confirma que este tiene adyacencias con el router:
El R2 con la ID de router 2.2.2.2 está en estado Full y cumple la función de BDR. (1)
El R3 con la ID de router 3.3.3.3 está en estado Full y cumple la función de DR. (2)
¿Cómo se seleccionan el DR y el BDR? La decisión de elección del DR y el BDR OSPF se hace
según los siguientes criterios, en orden secuencial:
1. Los routers en la red seleccionan como DR al router con la prioridad de interfaz más alta. El
router con la segunda prioridad de interfaz más alta se elige como BDR. La prioridad puede
configurarse para que sea cualquier número entre 0 y 255. Cuanto mayor sea la prioridad, más
probabilidades hay de que se elija al router como DR. Si la prioridad se establece en 0, el router
no puede convertirse en el DR. La prioridad predeterminada de las interfaces de difusión de
accesos múltiples es 1.
Nota: las interfaces seriales tienen la prioridad predeterminada establecida en 0; por eso, no
seleccionan DR ni BDR.
Una vez que se elige el DR, permanece como tal hasta que se produce una de las siguientes situaciones:
El DR falla.
Si el DR falla, el BDR se asciende automáticamente a DR. Esto ocurre así incluso si se agrega otro
DROther con una prioridad o ID de router más alta a la red después de la elección inicial de DR/BDR. Sin
embargo, después del ascenso de un BDR a DR, se lleva a cabo otra elección de BDR y se elige al
DROther con la prioridad o la ID de router más alta como el BDR nuevo.
Esto también permite que un router sea el DR en una red y un DROther en otra.
0: no se convierte en DR ni en BDR.
1 a 255: cuanto más alto sea el valor de la prioridad, habrá más probabilidades de que el router se
convierta en el DR o el BDR de la red.
Los cambios que se hagan en cuanto respecta a prioridades o cuando se agregan router con id mayores no
surgen efecto en ese instante ya que anterirormente se debe respetar la eleccion de los DR y BDR por lo
cual se debe realizar lo siguiente:
Desactivar las interfaces del router y volver a habilitarlas de a una: primero el DR, luego el BDR y
después todos los demás routers.
Restablecer el proceso OSPF mediante el comando clear ip ospf process del modo EXEC
privilegiado en todos los routers.
O*E2, lo que especifica que se descubrió mediante OSPF. El asterisco indica que esa ruta es una buena
candidata para la ruta predeterminada. La designación “E2” indica que se trata de una ruta externa.
Las rutas externas pueden ser externa de tipo 1 o externa de tipo 2. La diferencia entre ambos tipos es la
manera en que se calcula el costo (métrica) de la ruta. El costo de una ruta de tipo 2 siempre es el costo
externo, independientemente del costo interno para llegar a esa ruta. El costo de tipo 1 es la suma del
costo externo y del costo interno necesario para llegar a esa ruta. Para el mismo destino, siempre se
prefiere una ruta de tipo 1 a una ruta de tipo 2.
Tiempo muerto cuenta regresivamente a partir de los 40 segundos. De manera predeterminada, este valor
se actualiza cada 10 segundos cuando R1 recibe un saludo del vecino.
AUTENTICACIÓN
Null (nula): este es el método predeterminado y significa que no se usa ninguna autenticación para
OSPF.
MD5 authentication (autenticación MD5): se trata del método de autenticación más seguro y
recomendado. La autenticación MD5 proporciona mayor seguridad, dado que la contraseña nunca
se intercambia entre peers. En cambio, se calcula mediante el algoritmo MD5. La coincidencia de
los resultados autentica al emisor.
OSPFv3 (OSPF para IPv6) no incluye ninguna capacidad de autenticación propia. En cambio, depende
por completo de IPSec para proteger las comunicaciones entre vecinos con el comando ipv6 ospf
authentication ipsec spi del modo de configuración de interfaz
En el ejemplo de la figura 1, se muestra cómo configurar el R1 para habilitar la autenticación MD5 de
OSPF en todas las interfaces. Observe que los mensajes informativos indican que las adyacencias de
vecinos OSPF con el R2 y el R3 cambiaron al estado Down (inactivo), porque todavía no se configuraron
el R2 ni el R3 para que admitan autenticación MD5.
/////////////////////////////////
show ip protocols (figura 1): se utiliza para verificar información fundamental de configuración de
OSPF, como la ID del proceso OSPF, la ID del router, las redes que anuncia el router, los vecinos
de los que el router recibe actualizaciones y la distancia administrativa predeterminada, que para
OSPF es 110.
show ip ospf neighbor(figura 2): se usa para verificar si el router formó una adyacencia con los
routers vecinos. Muestra la ID del router vecino, la prioridad del vecino, el estado de OSPF, el
temporizador de tiempo muerto, la dirección IP de la interfaz vecina y la interfaz mediante la cual
se puede acceder al vecino. Si no se muestra la ID del router vecino o este no se muestra en el
estado FULL o 2WAY, los dos routers no formaron una adyacencia OSPF. Si dos routers no
establecieron adyacencia, no se intercambiará la información de link-state. Las bases de datos de
link-state incompletas pueden crear árboles SPF y tablas de enrutamiento imprecisos. Es posible
que no existan rutas hacia las redes de destino o que estas no representen la ruta más óptima.
show ip ospf interface(figura 3): se usa para mostrar los parámetros de OSPF que se configuraron
en una interfaz, como la ID del proceso OSPF a la que se asignó la interfaz, el área en la que están
las interfaces, el costo de la interfaz y los intervalos de saludo y muerto. Si se agrega el nombre y el
número de interfaz al comando, se muestra el resultado para una interfaz específica.
show ip ospf (figura 4): se utiliza para examinar la ID del proceso OSPF y la ID del router.
Además, este comando muestra información de área OSPF y la última vez que se calculó el
algoritmo SPF.
show ip route ospf (figura 5): se utiliza para mostrar solo las rutas OSPF descubiertas en la tabla de
routing. El resultado muestra que el R1 descubrió alrededor de cuatro redes remotas mediante
OSPF.
clear ip ospf [ id-proceso ] process: se usa para restablecer las adyacencias de vecinos OSPFv2.
Otro problema que puede surgir es que dos routers vecinos tengan tamaños de MTU incompatibles en las
interfaces conectadas. El tamaño de MTU es el paquete de capa de red más grande que el router reenvía
por cada interfaz. De manera predeterminada, los routers tienen un tamaño de MTU de 1500 bytes. Sin
embargo, este valor puede cambiarse para paquetes IPv4 mediante el comando de configuración de
interfaz ip mtu tamaño o el comando de interfazipv6 mtu tamaño para paquetes IPv6.
OSPF MULTIAREA
El análisis se centra en las LSA que se intercambian entre áreas si un área crece demasiado, se deben
resolver los siguientes problemas de inmediato (consulte la ilustración para obtener un ejemplo):
Bases de datos de estado de enlace (LSDB) muy grandes: debido a que la LSDB abarca la
topología de toda la red, cada router debe mantener una entrada para cada red en el área, incluso
aunque no se seleccionen todas las rutas para la tabla de routing.
Cálculos frecuentes del algoritmo SPF: en las redes grandes, las modificaciones son inevitables,
por lo que los routers pasan muchos ciclos de CPU volviendo a calcular el algoritmo SPF y
actualizando la tabla de routing.
Para que OSPF sea más eficaz y escalable, este protocolo admite el routing jerárquico mediante áreas. Un
área de OSPF es un grupo de routers que comparten la misma información de estado de enlace en las
bases de datos de estado de enlace.
El OSPF de diversas áreas se implementa con una jerarquía de área de dos capas:
Área de red troncal (de tránsito): un área OSPF cuya función principal es la transmisión rápida y
eficaz de los paquetes IP. Las áreas de red troncal se interconectan con otros tipos de área de OSPF.
En general, los usuarios finales no se encuentran en un área de red troncal. El área de red troncal
también se denomina “área OSPF 0”.
Área común (no de red troncal):conecta usuarios y recursos. Las áreas regulares se configuran
generalmente en grupos funcionales o geográficos. De manera predeterminada, un área regular no permite
que el tráfico de otra área utilice sus enlaces para alcanzar otras áreas.
RECOMENDACIONES CISCO
Router interno: es un router cuyas interfaces están todas en la misma área. Todos los routers
internos de un área tienen LSDB idénticas. (figura 1).
Router de respaldo: es un router que se encuentra en el área de red troncal. Por lo general, el área
de red troncal se configura como área 0. (figura 2).
Router de área perimetral. (ABR): es un router cuyas interfaces se conectan a varias áreas. Debe
mantener una LSDB para cada área a la que está conectado; puede hacer routing entre áreas. Los
ABR son puntos de salida para cada área. Esto significa que la información de routing que se
destina hacia otra área puede llegar únicamente mediante el ABR del área local. Es posible
configurar los ABR para resumir la información de routing que proviene de las LSDB de las áreas
conectadas. Los ABR distribuyen la información de routing en la red troncal.
Router limítrofe del sistema autónomo (ASBR): es un router que tiene al menos una interfaz
conectada a una internetwork externa (otro sistema autónomo), por ejemplo, una red que no es
OSPF. Un ASBR puede importar información de una red no OSPF hacia una red OSPF, y
viceversa, mediante un proceso que se llama "redistribución de rutas"
Los LSA de tipo 1 solo inundan el área que los origina. Los ABR, a la vez, anuncian a otras áreas las
redes descubiertas a partir de las LSA de tipo 1 como LSA de tipo 3.
El propósito de una LSA de tipo 2 es proporcionar a otros routers información sobre las redes de accesos
múltiples dentro de la misma área.
Los LSA de tipo 4 y tipo 5 se utilizan en conjunto para identificar un ASBR y anunciar redes externas que
llegan a un dominio de routing de OSPF.
O: las LSA de router (tipo 1) y de red (tipo 2) describen los detalles dentro de un área. La tabla de
routing refleja esta información de estado de enlace con la designación O, lo que significa que la
ruta es intraárea.
IA O: cuando un ABR recibe LSA de resumen, las agrega a su LSDB y vuelve a generarlas en el
área local. Cuando un ABR recibe un LSA externo, lo agrega a su LSDB y lo propaga en el área.
Luego, los routers internos asimilan la información en su base de datos. Los LSA de resumen
aparecen en la tabla de routing como IA (rutas interárea).
O E1 u O E2: en la tabla de routing, las LSA externas aparecen marcadas como rutas externas tipo
1 (E1) o externas tipo 2 (E2).
Cada router utiliza el algoritmo SPF en virtud de la LSDB para crear un árbol SPF. El árbol de SPF se
utiliza para determinar las mejores rutas.
Como se muestra en la figura, el orden en el que se calculan las mejores rutas es el siguiente:
1. Todo router calcula las mejores rutas a destinos de su área (intraárea) y agrega estas entradas a la tabla
de routing. Se trata de LSA de tipo 1 y tipo 2, que se indican en la tabla de routing con el designador "O".
(1)
2. Todo router calcula las mejores rutas hacia otras áreas en la internetwork. Las mejores rutas son las
entradas de rutas interárea, o LSA de tipo 3 y tipo 4, y se indican con el designador de routing "O IA". (2)
3. Todo router (excepto los que se ubican en una forma de rutas internas) calcula las mejores rutas hacia
destinos del sistema autónomo externo (tipo 5). Estas se indican con el designador de ruta O E1 u O E2,
según la configuración. (3)
Cuando converge, un router se comunica con cualquier red dentro o fuera del sistema autónomo OSPF.
Para verificar la topología OSPF multiárea de la ilustración, se pueden usar los mismos comandos de
verificación que se utilizan para verificar OSPF de área única:
show ip ospf
Los comandos que verifican información específica de OSPF multiárea son los siguientes:
show ip protocols
EIGRP
El algoritmo de actualización por difusión (DUAL), que es el motor de cómputo detrás del EIGRP,
constituye el centro del protocolo de routing. DUAL garantiza rutas de respaldo y sin bucles en todo el
dominio de routing.
EIGRP se lanzó originalmente en 1992 como un protocolo exclusivo disponible solamente en los
dispositivos de Cisco. En 2013, Cisco cedió una funcionalidad básica de EIGRP como estándar abierto al
IETF, como una RFC informativa. Esto significa que otros proveedores de redes ahora pueden
implementar EIGRP en sus equipos para que interoperen con routers que ejecuten EIGRP, ya sean de
Cisco o de otros fabricantes. Sin embargo, las características avanzadas de EIGRP, como las rutas
internas de EIGRP necesarias para la implementación de la red privada virtual dinámica multipunto
(DMVPN), no se cederán al IETF. Como RFC informativa, Cisco mantendrá el control de EIGRP.
EIGRP incluye características de protocolos de routing de estado de enlace y vector distancia. Sin
embargo, aún se basa en el principio clave del protocolo de routing vector distancia, según el cual la
información acerca del resto de la red se obtiene a partir de vecinos conectados directamente.
EIGRP es un protocolo de routing vector distancia avanzado que incluye características que no se
encuentran en otros protocolos de routing vector distancia, como RIP e IGRP.
El algoritmo de actualización por difusión (DUAL), que es el motor de cómputo detrás del EIGRP,
constituye el centro del protocolo de routing. DUAL garantiza rutas de respaldo y sin bucles en todo el
dominio de routing. Al usar DUAL, EIGRP almacena todas las rutas de respaldo disponibles a los
destinos, de manera que se puede adaptar rápidamente a rutas alternativas si es necesario.
EIGRP establece relaciones con routers conectados directamente que también están habilitados para
EIGRP. Las adyacencias de vecinos se usan para rastrear el estado de esos vecinos.
En lo que respecta a sus actualizaciones, en EIGRP se utilizan los términos “parcial” y “limitada”.
El término “parcial” significa que la actualización solo incluye información acerca de cambios de ruta,
como un nuevo enlace o un enlace que deja de estar disponible.
El término “limitada” se refiere a la propagación de las actualizaciones parciales que se envían solo a
aquellos routers que se ven afectados por el cambio. Esto minimiza el ancho de banda que se requiere
para enviar actualizaciones de EIGRP.
EIGRP tiene la capacidad para enrutar varios protocolos diferentes, incluidos IPv4 e IPv6, mediante el
uso de módulos dependientes de protocolo (PDM). Este módulo también es responsable de analizar los
paquetes EIGRP y de informar a DUAL la nueva información recibida.
Mantener las tablas de vecinos y de topología de los routers EIGRP que pertenecen a esa suite de
protocolos.
Los paquetes de multidifusión EIGRP para IPv4 utilizan la dirección IPv4 de multidifusión
reservada 224.0.0.10.
Los paquetes de multidifusión EIGRP para IPv6 se envían a la dirección IPv6 de multidifusión
reservada FF02::A.
TIPOS DE PAQUETES
Los tipos de paquetes EIGRP también reciben el nombre de “formatos de paquetes EIGRP” o “mensajes
EIGRP”.
Paquetes de saludo: se utilizan para descubrir a los vecinos y para mantener las adyacencias de vecinos.
Unidifusión o multidifusión
Paquetes de acuse de recibo: se utilizan para acusar recibo de un mensaje EIGRP que se envió con
entrega confiable.
Unidifusión
Unidifusión o multidifusión
Unidifusión
Los paquetes de saludo EIGRP se envían como transmisiones IPv4 o IPv6 de multidifusión y utilizan
entrega RTP poco confiable. Esto significa que el receptor no responde con un paquete de acuse de
recibo.
En la mayoría de las redes, los paquetes de saludo EIGRP se envían como paquetes de multidifusión cada
cinco segundos. Sin embargo, en redes multipunto multiacceso sin difusión (NBMA), como X.25, Frame
Relay, e interfaces de modo de transferencia asíncrona (ATM) con enlaces de acceso de T1 (1,544 Mb/s)
o más lentos, los paquetes de saludo se envían como paquetes de unidifusión cada 60 segundos.
EIGRP envía actualizaciones incrementales solo cuando se modifica el estado de un destino.
Los paquetes de actualización EIGRP usan entrega confiable, lo que significa que el router emisor
requiere un acuse de recibo.La entrega confiable para los paquetes EIGRP de actualización, consulta y
respuesta.
. Los campos importantes incluyen el campo de código de operación y el campo de número de sistema
autónomo. El código de operación especifica el tipo de paquete EIGRP de la siguiente manera:
Actualizar
Consulta
Respuesta
Saludo
BGP usa un verdadero numero de sistema autónomo dado por la IANA
Router(config)# router eigrp sistema-autónomo
El argumento sistema-autónomo se puede asignar a cualquier valor de 16 bits entre los números
1 y 65 535.
Todos los routers dentro del dominio de routing EIGRP deben usar el mismo número de sistema
autónomo.
EIGRP para IPv4 utiliza la ID de router de 32 bits para identificar el router de origen para la
redistribución de rutas externas.
Los routers Cisco derivan la ID del router sobre la base de tres criterios, en el siguiente orden de
prioridad:
1. Se utiliza la dirección IPv4 configurada con el comando eigrp router-id del modo de
configuración del router.
2. Si la ID del router no está configurada, el router elige la dirección IPv4 más alta de cualquiera
de sus interfaces loopback.
3. Si no se configuró ninguna interfaz loopback, el router elige la dirección IPv4 activa más alta
de cualquiera de sus interfaces físicas.
De manera predeterminada, EIGRP utiliza los siguientes valores en su métrica compuesta para calcular la
ruta preferida a una red:
Ancho de banda: el ancho de banda más lento entre todas las interfaces de salida, a lo largo de la
ruta de origen a destino.
Retraso: la acumulación (suma) de todos los retrasos de las interfaces a lo largo de la ruta (en
decenas de microsegundos).
Ancho de banda
EIGRP divide un valor de ancho de banda de referencia de 10 000 000 por el valor en kb/s del ancho de
banda de la interfaz. Como resultado, los valores más altos de ancho de banda reciben una métrica más
baja, y los valores más bajos de ancho de banda reciben una métrica más alta. 10 000 000 se divide por
1024. Si el resultado no es un número entero, el valor se redondea hacia abajo. En este caso, 10 000 000
dividido por 1024 es igual a 9765,625. Los decimales (625) se descartan, y el resultado es 9765 para la
porción de ancho de banda de la métrica compuesta.
Retardo
EIGRP usa la suma de todos los retrasos hasta el destino. La interfaz Serial 0/0/1en el R2 tiene un retraso
de 20 000 microsegundos. La interfaz Gigabit 0/0 en el R3 tiene un retraso de 10 microsegundos. La
suma de estos retrasos se divide por 10. En el ejemplo, (20 000+10)/10, da como resultado un valor de
2001 para la porción de retraso de la métrica compuesta.
EIGRP utiliza el algoritmo de actualización por difusión (DUAL) para proporcionar la mejor ruta sin
bucles y las mejores rutas de respaldo sin bucles.
En el contexto de DUAL se utilizan varios términos, que se analizan más detalladamente en esta sección:
Sucesor
Distancia publicada (AD, Advertised Distance) o Distancia notificada (RD, Reported Distance):
EIGRP utiliza el algoritmo de convergencia DUAL. La convergencia es fundamental para las redes para
evitar bucles de routing.
A pesar de que EIGRP utiliza ambas técnicas, las usa de manera un tanto diferentes; la manera principal
en la que EIGRP evita los loops de enrutamiento es con el algoritmo DUAL.
Este método proporciona a EIGRP mayor tiempo de convergencia que a otros protocolos de
enrutamiento vector distancia.
Un sucesor es un router vecino que se utiliza para el reenvío de paquetes y es la ruta menos costosa hacia
la red de destino.
DUAL puede converger rápidamente después de un cambio en la topología, debido a que puede usar rutas
de respaldo a otras redes sin recalcular DUAL. Estas rutas de respaldo se conocen como “sucesores
factibles” (FS).
Un FS es un vecino que tiene una ruta de respaldo sin bucles a la misma red que el sucesor y satisface la
condición de factibilidad (FC).
Observe en la figura 1 que el R1 proporciona una ruta alternativa, pero ¿es un FS? Antes de que el R1
pueda ser un FS para el R2, debe cumplir la FC
///////////////////////////////////////////////////////
La FC se cumple cuando la distancia notificada (RD) desde un vecino hasta una red es menor que la
distancia factible desde el router local hasta la misma red de destino. Si la distancia notificada es menor,
representa una ruta sin bucles. La distancia notificada es simplemente una distancia factible desde el
vecino EIGRP hasta la misma red de destino. La distancia notificada es la métrica que un router informa a
un vecino acerca de su propio costo hacia esa red.
via 192.168.10.10: dirección del siguiente salto del sucesor, el R3. Esta dirección se muestra en la
tabla de enrutamiento.
Serial 0/0/1: interfaz de salida usada para llegar a esta red, que también se muestra en la tabla de
routing.
Como se ve en la figura 3, en la segunda subentrada se muestra el FS, el R1 (si no hay una segunda
entrada, entonces no hay FS):
2170112: RD del FS, o la métrica del R1 para llegar a esta red. Para cumplir la FC, la RD debe ser
inferior a la FD actual de 3 012 096.
Serial 0/0/0: la interfaz de salida que se usa para llegar al FS, si este router se convierte en el
sucesor.
https://static-course-
assets.s3.amazonaws.com/ScaN50ES/course/module7/index.html?display=html#7.3.3.8
Solo el sucesor se instala en la tabla de routing IP.
P: ruta en estado pasivo. Cuando DUAL no realiza sus cómputos por difusión para determinar la ruta para
una red, la ruta se encuentra en modo estable, conocido como “estado pasivo”. Si DUAL recalcula o
busca una nueva ruta, la ruta está en estado activo, y se muestra una “A”.
EIGRP es un protocolo de enrutamiento vector distancia, sin la capacidad de ver un mapa de topología
sin bucles completo de la red.
El núcleo de EIGRP son DUAL y su motor de cálculos de ruta EIGRP. El nombre real de esta tecnología
es Máquina de Estados Finito (FSM) DUAL. Esta FSM contiene toda la lógica que se utiliza para calcular
y comparar rutas en una red EIGRP. La figura muestra una versión simplificada de FSM DUAL.
Las direcciones IPv6 link-local son ideales para este propósito. Una dirección IPv6 link-local permite que
un dispositivo se comunique con otros dispositivos con IPv6 habilitado en el mismo enlace y solo en ese
enlace (subred).
Las direcciones link-local se crean de manera automática cuando se asigna una dirección IPv6 de
unidifusión global a la interfaz. No se requieren direcciones de unidifusión global en una interfaz, pero sí
se requieren direcciones IPv6 link-local.
Los paquetes con una dirección link-local de origen o de destino no se pueden enrutar más allá del enlace
en el cual se originó el paquete.
Nota: las direcciones IPv6 link-local están en el rango de FE80::/10. El valor /10 indica que los primeros
10 bits son 1111 1110 10xx xxxx, lo que da como resultado un primer hexteto con el rango de
1111 1110 1000 0000 (FE80) a 1111 1110 1011 1111 (FEBF).
Configuraciones avanzadas y resolución de problemas de EIGRP
Introducción
EIGRP es un protocolo de routing versátil que se puede ajustar de muchas formas. Dos de las capacidades
de ajuste más importantes son la de resumir rutas y la de implementar el balanceo de carga. Otras
capacidades de ajuste son la propagación de una ruta predeterminada, el ajuste de temporizadores y la
implementación de la autenticación entre vecinos EIGRP para aumentar la seguridad.
Uno de los métodos de ajuste más comunes de EIGRP es habilitar y deshabilitar la sumarización
automática de rutas. La sumarización de ruta permite que un router agrupe redes y las anuncie como un
gran grupo por medio de una única ruta resumida. La capacidad para resumir rutas es necesaria debido al
rápido crecimiento de las redes.
Un router de frontera es un router que se ubica en el límite de una red. Este router debe poder anunciar
todas las redes conocidas dentro de su tabla de rutas a un router de red o router ISP conector.
Esto significa que EIGRP reconoce las subredes como una única red de clase A, B o C y crea solo una
entrada en la tabla de routing para la ruta resumida. Como resultado, todo el tráfico destinado a las
subredes viaja por esa ruta.
Para habilitar la sumarización automática de EIGRP, use el comando auto-summaryen el modo de
configuración del router, como se muestra en la figura 3:
R1(config-router)# auto-summary
Observe que la actualización resumida de 172.16.0.0/16 no se envía por las interfaces GigabitEthernet 0/0
ni Serial 0/0/0 del R1. Esto se debe a que estas dos interfaces son miembros de la misma red de clase B
172.16.0.0/16. El R1 envía la actualización de routing no resumida de 172.16.1.0/24 al R2. Las
actualizaciones resumidas solo se envían por interfaces en diferentes redes principales con clase.
Observe que la actualización resumida de 172.16.0.0/16 no se envía por las interfaces GigabitEthernet 0/0
ni Serial 0/0/0 del R1. Esto se debe a que estas dos interfaces son miembros de la misma red de clase B
172.16.0.0/16. El R1 envía la actualización de routing no resumida de 172.16.1.0/24 al R2. Las
actualizaciones resumidas solo se envían por interfaces en diferentes redes principales con clase.
Nota: el resumen de rutas Null0 se elimina cuando se deshabilita la sumarización automática con el
comando no auto-summary del modo de configuración del router.
De manera predeterminada, EIGRP usa solo hasta el 50% del ancho de banda de una interfaz para la
información de EIGRP.
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
En la figura , se muestra la configuración para propagar una ruta resumida manual en la interfaz Serial
0/0/0 del R3. Debido a que el R3 tiene dos vecinos EIGRP, la sumarización manual de EIGRP debe
configurarse tanto en Serial 0/0/0 como en Serial 0/0/1.
BALANCEO DE CARGA
El balanceo de carga de igual costo es la capacidad de un router de distribuir tráfico saliente a través de
todas las interfaces que tienen la misma métrica desde la dirección de destino. En el caso de IP, el
software IOS de Cisco aplica de manera predeterminada el balanceo de carga con hasta cuatro rutas de
igual costo.
La tabla de routing mantiene ambas rutas. En la figura 3, se muestra que el R3 tiene dos rutas
EIGRP de igual costo para la red 172.16.3.0/30. Una ruta es a través del R1 en 192.168.10.5, y
la otra es a través del R2 en 192.168.10.9. Si se observa la topología de la figura 1, puede
parecer que la ruta a través del R1 es la mejor ruta, porque hay un enlace de 1544 kb/s entre el
R3 y el R1, mientras que el enlace al R2 es solo de 1024 kb/s. Sin embargo, EIGRP solo usa el
ancho de banda más lento en la métrica compuesta, que es el enlace de 64 kb/s entre el R1 y
el R2. Las dos rutas tienen el mismo enlace de 64 kb/s como el ancho de banda más lento, lo
que da como resultado que ambas rutas sean iguales.
Cisco Express Forwarding (CEF) puede realizar balanceo de carga tanto por paquete
como por destino.
EIGRP para IPv4 y para IPv6 también puede equilibrar el tráfico en varias rutas con métricas
diferentes. Este tipo de balanceo se denomina “balanceo de carga con distinto costo”. La
configuración de un valor con el comando variance en el modo de configuración del router
permite que EIGRP instale varias rutas sin bucles y con distinto costo en una tabla de routing
local.
Para que se la instale en la tabla de routing local, una ruta que se descubre mediante EIGRP
debe satisfacer dos criterios:
La ruta no debe tener bucles y debe ser un sucesor factible o tener una distancia
notificada inferior a la distancia total.
La métrica de la ruta debe ser inferior a la métrica de la mejor ruta (el sucesor)
multiplicada por la variación configurada en el router.
AUNTENTICACION MD5
Con el comando show ip eigrp neighbors, se verifica que el router reconozca a sus
vecinos. El resultado de la figura 1 indica dos adyacencias de vecinos EIGRP correctas en el
R1.
En la figura 2, se verifica que el router descubrió la ruta a una red remota mediante EIGRP con
el comando show ip route. El resultado muestra que el R1 descubrió alrededor de cuatro
redes remotas mediante EIGRP.
Los siguientes son los comandos equivalentes que se utilizan con EIGRP para IPv6:
Para verificar si alguna interfaz en un router está configurada como pasiva, use el
comando show ip protocols
Además de estar configurada en interfaces que no tienen vecinos, una interfaz pasiva puede
habilitarse en interfaces por motivos de seguridad. En la figura 2, observe que el sombreado
del dominio de routing EIGRP es diferente de las topologías anteriores. La red
209.165.200.224/27 ahora está incluida en las actualizaciones de EIGRP del R2. Sin embargo,
por motivos de seguridad, el administrador de red no desea que el R2 forme una adyacencia de
vecino EIGRP con el router ISP.
Nota: la versión del IOS que sigue a la 12.4 es la 15.0. No existen las versiones 13 o 14 del
software IOS.
Junto con cada versión del software, hay nuevas versiones del software creadas para
implementar correcciones de errores y nuevas características. En IOS, estas versiones se
denominan “trenes”.
A continuación se presentan los 8 paquetes que vienen desde la versión 12.4 en adelante.
Después de la versión 12.4(24)T del IOS de Cisco, la siguiente versión del software IOS de
Cisco fue 15.0.
Después de la versión 12.4(24)T del IOS de Cisco, la siguiente versión del software IOS de
Cisco fue 15.0.
Las series de routers de servicios integrados Cisco de segunda generación (ISR G2) 1900,
2900 y 3900 admiten servicios a petición mediante el uso de licencias de software. \
se envía con una imagen única y universal del software IOS de Cisco, y se utiliza una licencia
para habilitar los paquetes de conjuntos de características específicos, como se muestra en la
figura 1.
se ilustran las distintas partes de un archivo de imagen de sistema del IOS 15 en un dispositivo
ISR G2:
universalk9: especifica la designación de la imagen. Las dos designaciones para un ISR
G2 son universalk9 y universalk9_npe. Universalk9_npe no contiene cifrado seguro y está
pensado para países con restricciones de cifrado. Las características se controlan
mediante licencias y pueden dividirse en cuatro paquetes de tecnología. Estos son
IP Base, Seguridad, Comunicaciones unificadas y Datos.
mz: indica dónde se ejecuta la imagen y si el archivo está comprimido. En este
ejemplo, “mz” indica que el archivo se ejecuta desde la RAM y está comprimido.
SPA: indica que el archivo está firmado digitalmente por Cisco.
f: flash
m: RAM
r: ROM
l: reubicable
El formato de compresión puede ser z para zip o x para mzip. La compresión de archivos es un
método que utiliza Cisco para comprimir algunas imágenes ejecutadas desde la RAM que es
eficaz para reducir el tamaño de la imagen.
Requisitos de memoria
En la mayoría de los routers Cisco, incluso en los routers de servicios integrados, el IOS se
almacena en la memoria CompactFlash como una imagen comprimida y se carga en la DRAM
durante el arranque. Las imágenes de la versión 15.0 del software IOS de Cisco disponibles
para los ISR Cisco 1900 y 2900 requieren 256 MB de memoria flash y 512 MB de memoria
RAM. El ISR 3900 requiere 256 MB de memoria flash y 1 GB de RAM.
Para mantener las operaciones de red con el mínimo tiempo de inactividad, es necesario
implementar procedimientos para realizar copias de seguridad de las imágenes del IOS de
Cisco. Esto permite que el administrador de red copie rápidamente una imagen a un router en
caso de que la imagen esté dañada o borrada.
Paso 1. Asegúrese de que haya acceso al servidor TFTP de red. Haga ping en el servidor
TFTP para probar la conectividad, como se muestra en la figura 2.
Paso 2. Verifique que el servidor TFTP tenga suficiente espacio en disco para admitir la
imagen del software IOS de Cisco. Utilice el comando show flash0:en el router para
determinar el tamaño del archivo de imagen del IOS de Cisco. El archivo del ejemplo tiene
68831808 bytes de longitud.
Paso 3. Copie la imagen en el servidor TFTP mediante el comando copy url-origen url-
destino, como se muestra en la figura 3.
Nota: utilice el comando show license feature para ver las licencias de paquetes de
tecnología y las licencias de características admitidas en el router
Inicialmente los router bien con todas las funcionalidades y licencia para uso completo pero en
modo prueba, posteriormente el usario deberá adquirir los paquetes a través de licencias.
En cualquier caso, los clientes reciben una PAK con su compra. La PAK sirve como recibo y se
utiliza para obtener una licencia. Una PAK es una clave alfanumérica de 11 dígitos creada por
el equipo de producción de Cisco. Define el conjunto de características asociadas a la PAK.
Una PAK no se relaciona con un dispositivo específico hasta que se crea la licencia.
El UDI es una combinación de la ID del producto (PID), el número de serie (SN) y la versión de
hardware.
Una vez que se adquiere la licencia, el cliente recibe un archivo de licencia, que es un archivo
de texto XML con la extensión .lic. La instalación de una licencia permanente requiere dos
pasos:
CCNA4
La arquitectura de centro de datos y virtualización de Cisco se construye sobre la base de Cisco Data
Center 3.0. Consta de un conjunto integral de tecnologías y servicios de virtualización que une las
plataformas de red, de informática, de almacenamiento y de virtualización.
Por consiguiente, esto lo lleva a considerar los siguientes servicios sin fronteras de Cisco como
opciones posibles para su empresa:
Seguridad: TrustSec
Movilidad: Motion
Administración de la energía:EnergyWise
CSU/DSU: las líneas arrendadas digitales requieren una CSU y una DSU. Una CSU/DSU
puede ser un dispositivo separado, como un módem, o puede ser una interfaz en un
router. La CSU proporciona terminación de la señal digital y asegura la integridad de la
conexión mediante la corrección de errores y el monitoreo de la línea. La DSU convierte
las tramas de línea en tramas que la LAN puede interpretar y viceversa.
Puede multiplexar más de 80 canales de datos (es decir, longitudes de onda) diferentes
en una única fibra.
Asigna señales ópticas entrantes a longitudes de onda de luz específicas (es decir,
frecuencias).
ISDN cambia las conexiones internas de la PSTN para que transporte señales digitales
multiplexadas por división de tiempo (TDM) en vez de señales analógicas.
ISDN convierte el bucle local que en PSTN era modulado en forma analógica en una conexión
digital TDM.
ATM
La celda ATM de 53 bytes es menos eficaz que las tramas y los paquetes más grandes de
Frame Relay. Además, la celda ATM tiene por lo menos 5 bytes de sobrecarga por cada
contenido de 48 bytes.
ATM se diseñó para ser extremadamente escalable y para admitir las velocidades de enlace de
T1/E1 a OC-12 (622 Mb/s) y más.
CAPITULO 3
En este capítulo, se abarcan los términos, la tecnología y los protocolos que se utilizan en las
conexiones seriales. Se presentan los protocolos punto a punto (PPP) y HDLC. PPP
Una conexión punto a punto de LAN a WAN también se denomina “conexión serial” o “conexión
de línea arrendada”
Existen tres estándares importantes de comunicación serial que afectan las conexiones de
LAN a WAN:
RS-232:
V.35: este estándar de la ITU para el intercambio de datos síncrono de alta velocidad combina
el ancho de banda de varios circuitos telefónicos y, en general, se usa para la comunicación de
módem a multiplexor
Interfaz serial de alta velocidad (HSSI): una HSSI admite velocidades de transmisión de
hasta 52 Mb/s. HSSI es una interfaz DTE/DCE desarrollada por Cisco Systems y T3 plus
Networking
Desde el punto de vista de la conexión a la WAN, una conexión serial tiene un dispositivo DTE
en un extremo y un dispositivo DCE en el otro.
El DCE, habitualmente un módem o una CSU/DSU, es el dispositivo utilizado para convertir los
datos de usuario del DTE a un formato aceptable para el enlace de transmisión del proveedor
de servicios WAN.
Procedimiento de acceso al enlace balanceado (LAPB) X.25: es un estándar del UIT-T
que define cómo se mantienen las conexiones entre un DTE y un DCE para el acceso
remoto a terminales y las comunicaciones por computadora en las redes de datos
públicas. X.25 especifica a LAPB, un protocolo de capa de enlace de datos. X.25 es un
antecesor de Frame Relay.
Protocolo de Internet de línea serial (SLIP): es un protocolo estándar para
conexiones seriales punto a punto mediante TCP/IP. PPP reemplazó ampliamente al
protocolo SLIP.
Frame Relay: es un protocolo de capa de enlace de datos conmutado y un estándar
del sector que maneja varios circuitos virtuales. Frame Relay es un protocolo de última
generación posterior a X.25. Frame Relay elimina algunos de los procesos prolongados
(como la corrección de errores y el control del flujo) empleados en X.25.
HDLC
HDLC utiliza la transmisión serial síncrona, que proporciona una comunicación sin errores entre
dos puntos.
El campo Control utiliza tres formatos diferentes, según el tipo de trama HDLC que se use:
Trama sin numerar (U): las tramas U admiten funciones de control y no son secuenciales.
PPP contiene tres componentes principales:
CHAP es más seguro que PAP. Implica un intercambio de tres vías de un secreto compartido.
Una vez que se establece la autenticación con PAP, no se vuelve a autenticar. Esto deja la red
vulnerable a los ataques. A diferencia de PAP, que autentica solo una vez, CHAP realiza
desafíos periódicos para asegurar que el nodo remoto siga teniendo un valor de contraseña
válido.
El nodo remoto responde con un valor calculado mediante una función de hash unidireccional,
que suele ser la síntesis del mensaje 5 (MD5), según la contraseña y el mensaje de desafío.
El router local compara la respuesta con su propio cálculo del valor de hash esperado. Si los
valores coinciden, el nodo de inicio reconoce la autenticación,
FRAME RELAY
En Frame Relay, el extremo de cada conexión tiene un número para identificarlo denominado
“identificador de conexión de enlace de datos” (DLCI)
La conexión a través de una red Frame Relay entre dos DTE es un VC.
varios VC que lo conecten a las diversas terminales. Varios VC en una única línea física se
distinguen porque cada VC tiene su propio DLC I. Recuerde que el DLCI solo tiene importancia
local y puede ser diferente en cada extremo de un VC.
Dirección extendida (EA): si el valor del campo EA es 1, se determina que el byte actual es el
último octeto del DLCI.
Aproximadamente cada 10 segundos, la terminal sondea la red, ya sea para solicitar una
respuesta muda secuencial o información del estado del canal. Si la red no responde con la
información solicitada, el dispositivo del usuario puede considerar que la conexión está inactiva.
Cuando la red responde con una respuesta de FULL STATUS, incluye información sobre el
estado de los DLCI que se asignan a esa línea
Es fácil confundir la LMI y la encapsulación. La LMI es una definición de los mensajes que se
usan entre el DTE (el R1) y el DCE (el switch Frame Relay que pertenece al proveedor de
servicios). La encapsulación define los encabezados que utiliza un DTE para comunicar
información al DTE en el otro extremo de un VC.
Operación de Frame Relay
Multidifusión: permite que un emisor transmita una única trama que se entrega a varios
receptores. La multidifusión da soporte a la entrega eficaz de los mensajes de protocolo
de routing y los procedimientos de resolución de direcciones que se envían típicamente a
varios destinos en forma simultánea.
Direccionamiento global:proporciona ID de conexiones con importancia global en lugar
de importancia local, lo que permite que se usen para identificar una interfaz específica de
la red Frame Relay. El direccionamiento global hace que la red Frame Relay se asemeje
a una LAN en términos de direccionamiento, y los ARP se utilizan como en una LAN.
Control del flujo simple: proporciona un mecanismo de control del flujo XON/XOFF que
se aplica a toda la interfaz de Frame Relay. Está diseñado para los dispositivos que no
pueden usar los bits de notificación de congestión (es decir, FECN y BECN) que
aprovecharían las capas superiores, pero que de todas formas requieren cierto nivel de
control del flujo.
La LMI se utiliza para administrar enlaces de Frame Relay. Cada mensaje de LMI se clasifica
mediante un DLCI que aparece en la trama LMI. El campo DLCI de 10 bits admite 1024 ID de
VC: de 0 a 1023, como se muestra en la figura 1. Las extensiones de LMI reservan algunas de
estas ID de VC, lo que reduce la cantidad de VC permitidos. Los mensajes de LMI se
intercambian entre el DTE y el DCE mediante estos DLCI reservados.
Existen varios tipos de LMI, y cada uno es incompatible con los demás. El tipo de LMI
configurado en el router debe coincidir con el tipo que utiliza el proveedor de servicios. Los
routers Cisco admiten tres tipos de LMI:
En los casos en los que un switch Frame Relay utiliza la configuración de tiempo de espera no
predeterminada, también se debe configurar el intervalo de keepalive en la interfaz de Frame
Relay para evitar que los mensajes de intercambio de estado expiren.
Cuando una interfaz que admite ARP inverso se activa, inicia el protocolo ARP inverso y da
formato a una solicitud de ARP inverso para el VC activo. La solicitud de ARP inverso incluye el
hardware de origen, la dirección de protocolo de capa 3 de origen y la dirección conocida del
hardware de destino. A continuación, rellena el campo de dirección del protocolo de capa 3 de
destino solo con ceros. Encapsula el paquete para la red específica y lo envía directamente al
dispositivo de destino mediante el VC.
Al recibir una solicitud de ARP inverso, el dispositivo de destino utiliza la dirección del
dispositivo de origen para crear su propio mapa de DLCI a capa 3
Después envía una respuesta de ARP inverso que incluye la información de su dirección de
capa 3. Cuando el dispositivo de origen recibe la respuesta de ARP inverso, completa el mapa
de DLCI a capa 3 con la información proporcionada.
Cuando se configura una interfaz en un router Cisco para que utilice la encapsulación
de Frame Relay, ARP inverso se habilita de manera predeterminada.
Conceptos avanzados de Frame Relay
Independientemente de cualquier costo de CPE, el cliente paga por tres componentes de los
costos de Frame Relay siguientes:
Velocidad de acceso: el costo de la línea de acceso desde el DTE hasta el DCE (del
cliente al proveedor de servicios). Esta línea se cobra sobre la base de la velocidad del
puerto que se negoció y se instaló.
PVC: este componente de los costos se basa en los PVC. Después de establecer un
PVC, el costo adicional para aumentar la CIR suele ser bajo y se puede hacer en
pequeños incrementos (4 kb/s).
CIR: en general, los clientes eligen una CIR inferior a la velocidad de acceso. Esto les
permite aprovechar las ráfagas.
Debido a que los circuitos físicos de la red Frame Relay se comparten entre los
suscriptores, suele haber momentos en los que hay un exceso de ancho de banda
disponible. Frame Relay puede permitir que los clientes accedan de forma dinámica a
este ancho de banda adicional y que excedan la CIR sin costo.
Las ráfagas permiten que los dispositivos que necesitan ancho de banda adicional
temporalmente puedan tomarlo prestado de otros dispositivos que no lo utilizan, sin
costo adicional. Por ejemplo, si el PVC 102 transfiere un archivo grande, podría usar
cualquiera de los 16 kb/s que no utiliza el PVC 103
La duración de una transmisión en ráfaga debe ser inferior a tres o cuatro segundos.
Se utilizan varios términos para describir las velocidades de ráfaga, incluidos “tamaño
de ráfaga comprometida” (Bc) y “tamaño de ráfaga en exceso” (Be).
El Bc es una velocidad negociada por encima de la CIR que el cliente puede usar para
transmitir durante una ráfaga breve y que representa el tráfico máximo permitido en
condiciones de funcionamiento normales.
Por ejemplo, el DLCI 102 tiene una CIR de 32 kb/s con un Bc adicional de 16 kb/s para
obtener un total de hasta 48 kb/s. El DLCI 103 tiene una CIR de 16 kb/s. Sin embargo,
el DLCI 103 no tiene un Bc negociado; por lo tanto, la Bc se establece en 0 kb/s. Las
tramas dentro de las CIR negociadas no son elegibles para descarte (DE = 0). Las
tramas por encima de la CIR tienen el bit DE establecido en 1, lo que las marca como
elegibles para descarte si se congestiona la red.
El Be describe el ancho de banda disponible por encima de la CIR hasta la velocidad
de acceso del enlace. A diferencia del Bc, no se negocia. Las tramas se pueden
transmitir en este nivel, pero es muy probable que se descarten
En los períodos de congestión, el switch Frame Relay del proveedor de servicios aplica las
siguientes reglas de lógica a cada trama entrante en función de si se excedió la CIR:
Las tramas que llegan a un switch se ponen en cola o se almacenan en búfer antes del
reenvío. Como en cualquier sistema de puesta en cola, es posible que haya una
acumulación excesiva de tramas en un switch. Esto genera retrasos que llevan a
retransmisiones innecesarias que se producen cuando los protocolos de nivel superior
no reciben un acuse de recibo en un plazo establecido. En casos graves, esto puede
causar una importante caída del rendimiento de la red. Para evitar este problema,
Frame Relay incorpora una característica de control del flujo.
Se espera que los DTE que reciben las tramas con los bits ECN establecidos busquen
reducir el flujo de tramas hasta que se despeje la congestión. Si la congestión se
produce en un enlace troncal interno, los DTE pueden recibir una notificación aunque
no sean la causa de la congestión.
El uso de la palabra clavebroadcast es una forma simplificada de reenviar las
actualizaciones de routing.
Horizonte dividido
La regla del horizonte dividido es un mecanismo de prevención de bucles para los protocolos
de routing vector distancia como EIGRP y RIP. No se aplica a los protocolos de routing de
estado de enlace.
Topología de malla completa: otro método es utilizar una topología de malla completa;
sin embargo, esta topología aumenta los costos.
En este caso, cada par de los routers punto a punto está en su propia subred, y cada
subinterfaz punto a punto tiene un único DLCI.
Punto a punto
En este caso, cada par de los routers punto a punto está en su propia subred, y cada
subinterfaz punto a punto tiene un único DLCI.
Multipunto (figura 3): una única subinterfaz multipunto establece varias conexiones de
PVC a varias interfaces físicas o subinterfaces en los routers remotos. Todas las
interfaces que participan están en la misma subred. La subinterfaz funciona como una
interfaz de Frame Relay NBMA
Resolución de problemas de Frame Relay
En general, Frame Relay es un servicio muy confiable. Sin embargo, hay momentos en los que
la red funciona a niveles más bajos que lo esperado y se deben resolver los problemas. Por
ejemplo, los usuarios pueden informar sobre conexiones lentas e intermitentes a través del
circuito, o los circuitos pueden dejar de funcionar completamente. Independientemente del
motivo, las interrupciones de la red son muy costosas en términos de pérdida de productividad.
Una práctica recomendada es verificar la configuración antes de que aparezcan los problemas.
En este tema, deberá seguir los pasos de un procedimiento de verificación para asegurar que
todo funcione correctamente antes de que se inicie una configuración en una red activa.
Después de configurar un PVC de Frame Relay y al resolver un problema, verifique que Frame
Relay funcione correctamente en esa interfaz mediante el comando show interfaces.
Recuerde que con Frame Relay, el router normalmente se considera un dispositivo DTE. Sin
embargo, con fines de prueba, se puede configurar un router Cisco como un dispositivo DCE
para simular un switch Frame Relay. En estos casos, el router se convierte en un dispositivo
DCE cuando se lo configura como switch Frame Relay.
DLCI de la LMI
Tipo de LMI
Para borrar mapas de Frame Relay creados dinámicamente mediante ARP inverso,
utilice el comando clear frame-relay inarp, como se muestra en la figura 1.
NAT
Todas las direcciones IPv4 públicas que se usan en Internet deben registrarse en un
registro regional de Internet (RIR).
-
Para verificar que la traducción NAT funcione, es conveniente borrar las estadísticas de
todas las traducciones anteriores con el comando clear ip nat statistics antes
de realizar la prueba.
/////
Hay que tener en cuenta que el proceso desde el servidor Web al PC1 no es lo mismo
que realizar en el caso anterior ya que al ser direccionamiento privado el servidor web
lega solo hasta la entrada 64.x.x.x de R1 al alcanzar redes compatibles .
La fuente sigue siendo la misma y como ya esta dentro del direccionamiento
privado ya se puede llegar directamente al PC1
Reenvío de puertos
Esta técnica permite que un usuario externo alcance un puerto en una dirección IPv4 privada
(dentro de una LAN) desde el exterior a través de un router con NAT habilitada.
En general, las operaciones y los programas peer-to-peer para compartir archivos, como las
aplicaciones de servidores web y los FTP salientes, requieren que los puertos de router se
reenvíen o se abran para permitir que estas aplicaciones funcionen, como se muestra en la
figura 1. Debido a que NAT oculta las direcciones internas, la comunicación peer-to-peer solo
funciona desde adentro hacia fuera donde NAT puede asignar las solicitudes salientes a las
respuestas entrantes.
El problema es que NAT no permite las solicitudes iniciadas desde el exterior. Esta situación se
puede resolver de forma manual. El reenvío de puertos se puede configurar para identificar los
puertos específicos que se pueden reenviar a los hosts internos.
En la figura 2, se muestra al propietario de una pequeña empresa que utiliza un servidor del
punto de venta (PoS) para hacer un seguimiento de las ventas y los inventarios en la tienda. Se
puede acceder al servidor desde la tienda pero, debido a que tiene una dirección IPv4 privada,
no es posible acceder a este de manera pública desde Internet. Habilitar el router local para el
reenvío de puertos permitiría que el propietario acceda al servidor del punto de venta en
cualquier lugar desde Internet. El reenvío de puertos en el router se configura con el número de
puerto de destino y la dirección IPv4 privada del servidor del punto de venta. Para acceder al
servidor, el software de cliente utilizaría la dirección IPv4 pública del router y el puerto de
destino del servidor.
Los comandos de IOS que se usan para implementar el reenvío de puertos son similares a los
que se usan para configurar la NAT estática. Básicamente, el reenvío de puertos es una
traducción de NAT estática con un número de puerto TCP o UDP específico.
/////////////////////////////////////////////////////////////////////////////////////////
Una red de cable puede transmitir señales por el cable en cualquier sentido al mismo tiempo.
Se utilizan los siguientes alcances de frecuencia:
DOCSIS define los requisitos para las comunicaciones y los requisitos de la interfaz de soporte
de funcionamiento para un sistema de datos por cable, y permite agregar la transferencia de
datos de alta velocidad a un sistema de CATV existente.
En una red HFC moderna, generalmente hay de 500 a 2000 suscriptores de servicios de datos
activos conectados a un segmento de red de cable, y todos comparten el ancho de banda
ascendente y descendente.
DSL asimétrico (ADSL) utiliza una banda de frecuencia de aproximadamente 20 kHz a 1 MHz.
Para lograr un servicio de ADSL satisfactorio, el bucle debe ser inferior a 3,39 mi (5,46 km).
Un divisor de señal POTS, que se muestra en la figura 3, separa el tráfico DSL del tráfico
POTS. El divisor de señal POTS es un dispositivo pasivo.
Configuración de conectividad xDSL
Descripción general de PPPoE
los ISP suelen usar PPP como protocolo de enlace de datos a través de las conexiones de
banda ancha. Esto se debe a varios motivos. En primer lugar, PPP admite la capacidad de
asignar direcciones IP a los extremos remotos de un enlace PPP. Cuando PPP está habilitado,
los ISP pueden utilizarlo para asignar una dirección IPv4 pública a cada cliente.
Los clientes valoran la facilidad y la disponibilidad de la conexión Ethernet. Sin embargo, los
enlaces Ethernet no admiten PPP de forma nativa. Como solución a este problema, se creó
PPP por Ethernet (PPPoE).
El módem convierte las tramas de Ethernet en tramas PPP mediante la eliminación de los
encabezados Ethernet. Después, el módem transmite estas tramas PPP en la red DSL del ISP.
Para admitir los encabezados PPPoE, la unidad máxima de transmisión (MTU) se debe
establecer en 1492, en lugar del valor predeterminado 1500.
VPN
Una VPN se utiliza para crear un túnel privado a través de una red pública.
Tipos de VPNs
Sitio a sitio
Acceso remoto
Aspectos básicos de la encapsulación de routing genérico
GRE crea un enlace virtual punto a punto a los routers Cisco en puntos remotos a través de
una internetwork IP.
GRE está diseñada para administrar el transporte del tráfico multiprotocolo y de multidifusión IP
IPsec es un estándar IETF que define la forma en que se puede configurar una VPN de manera
segura mediante el protocolo de Internet.
El acrónimo CIA se suele utilizar para ayudar a recordar las iniciales de estas tres funciones:
confidencialidad, integridad y autenticación.
La mejor seguridad para el cifrado de IPSec de las VPN entre dispositivos de Cisco la
proporciona la opción de 256 bits de AES.
Además, dado que se descifraron claves de Rivest, Shamir y Adleman (RSA) de 512 bits y
768 bits, Cisco recomienda utilizar claves de 2048 bits con la opción RSA si se la utilizó
Ejemplos simetrico : DES, 3DES y AES (la clave no se comparte, esta tiene que ser enviada
por otros medios como correo…)
Cifrado asimétrico
Ejemplos: RSA
Estructura IPsec
Integridad de datos
Los algoritmos de cifrado, como DES, 3DES y AES, así como los algoritmos de hash MD5 y
SHA-1, requieren una clave secreta compartida simétrica para realizar el cifrado y el descifrado.
¿Cómo obtienen la clave secreta compartida los dispositivos de cifrado y descifrado?
Un hash, también denominado “síntesis del mensaje”, es un número que se genera a partir de
una cadena de texto. El hash es más corto que el texto en sí. Se genera mediante el uso de
una fórmula, de tal manera que es muy poco probable que otro texto produzca el mismo valor
de hash.
El emisor original genera un hash del mensaje y lo envía con el mensaje propiamente dicho. El
destinatario analiza el mensaje y el hash, produce otro hash a partir del mensaje recibido y
compara ambos hashes. Si son iguales, el destinatario puede estar lo suficientemente seguro
de la integridad del mensaje original.
MD5: utiliza una clave secreta compartida de 128 bits. El mensaje de longitud variable y la
clave secreta compartida de 128 bits se combinan y se procesan con el algoritmo de hash
HMAC-MD5. El resultado es un hash de 128 bit. El hash se adjunta al mensaje original y
se envía al extremo remoto.
SHA: SHA-1 utiliza una clave secreta de 160 bits. El mensaje de longitud variable y la
clave secreta compartida de 160 bits se combinan y se procesan con el algoritmo de hash
HMAC-SHA1. El resultado es un hash de 160 bits. El hash se adjunta al mensaje original
y se envía al extremo remoto.
Autenticación
Las VPN con IPsec admiten la autenticación. Al realizar negocios a larga distancia, es
necesario saber quién está del otro lado del teléfono, del correo electrónico o del fax.
Lo mismo sucede con las redes VPN. El dispositivo en el otro extremo del túnel VPN se
debe autenticar para que la ruta de comunicación se considere segura, como se indica
en la ilustración. Existen dos métodos de autenticación de peers:
- PSK: es una clave secreta que se comparte entre las dos partes que utilizan
un canal seguro antes de que se necesite utilizarla.
- Las claves previamente compartidas (PSK) utilizan algoritmos criptográficos de
clave simétrica. Se introduce una PSK en cada peer de forma manual y se la
utiliza para autenticar el peer. En cada extremo, la PSK se combina con otra
información para formar la clave de autenticación.
- Firmas RSA: se intercambian certificados digitales para autenticar los peers.
El dispositivo local deriva un hash y lo cifra con su clave privada. El hash
cifrado, o la firma digital, se vincula al mensaje y se reenvía hacia el extremo
remoto. En el extremo remoto, se descifra el hash cifrado con la clave pública
del extremo local. Si el hash descifrado coincide con el hash recalculado, la
firma es genuina.
Existen dos métodos principales para implementar VPN de acceso remoto:
Seguridad IP (IPsec)
VPN_acceso remoto
Seguridad IP (IPsec)
VPN con SSL del IOS de Cisco es la primera solución de VPN con SSL basada en routers del
sector. Ofrece conectividad desde cualquier ubicación, no solo desde los recursos
administrados por las empresas, sino también desde las computadoras de los empleados, las
computadoras de escritorio de los contratistas o de los socios de negocios, y los quioscos de
Internet.
VPN con SSL del IOS de Cisco es una tecnología que proporciona acceso remoto mediante un
navegador web y el cifrado SSL nativo del navegador web. Alternativamente, puede
proporcionar acceso remoto mediante el software Cisco AnyConnect Secure Mobility Client.
Cisco ASA proporciona dos modos principales de implementación que se encuentran en las
soluciones de VPN con SSL de Cisco, como se muestra en la ilustración:
Cisco AnyConnect Secure Mobility Client con SSL: requiere el cliente Cisco
AnyConnect.
Cisco Easy VPN Server permite que los trabajadores móviles y a distancia que utilizan un
software de cliente VPN en sus computadoras puedan crear túneles IPsec seguros para
acceder a la intranet de la oficina central donde se ubican datos y aplicaciones fundamentales.
MONITOREO DE RED
El servicio de registro de syslog proporciona tres funciones principales:
Existen tres pasos para configurar el router para que envíe los mensajes del sistema a un
servidor de syslog donde se puedan almacenar, filtrar y analizar:
Paso 1. Configure el nombre del host de destino o la dirección IP del servidor de syslog en el
modo de configuración global:
Paso 2. Controle los mensajes que se envían al servidor de syslog con el comando del modo
de configuración global logging trap nivel. Por ejemplo, para limitar los mensajes a los
niveles 4 e inferiores (0 a 4), utilice uno de los dos comandos equivalentes:
Paso 3. De manera optativa, configure la interfaz de origen con el comando del modo de
configuración global logging source-interface tipo-interfaz número interfaz.
Esto especifica que los paquetes de syslog incluyen la dirección IPv4 o IPv6 de una interfaz
específica, independientemente de la interfaz que use el paquete para salir del router. Por
ejemplo, para establecer la interfaz de origen en g0/0, utilice el siguiente comando:
almacenan datos sobre el funcionamiento del dispositivo y están diseñadas para estar
disponibles para los usuarios remotos autenticados. El agente SNMP es responsable de
proporcionar acceso a la MIB local que refleja los recursos y la actividad de los objetos.
SNMP utiliza el número de puerto UDP 162 para recuperar y enviar la información de
administración
NMS sondea periódicamente a los agentes SNMP que residen en los dispositivos
administrados para solicitar datos a los dispositivos mediante la solicitud get
El sondeo periódico de SNMP tiene desventajas. En primer lugar, existe un retraso entre el
momento en el que ocurre un evento y el momento en el que NMS lo advierte (mediante el
sondeo). En segundo lugar, existe un nivel de equilibrio entre la frecuencia del sondeo y el uso
del ancho de banda.
Para mitigar estas desventajas, es posible que los agentes SNMP generen y envíen traps para
informarle a NMS sobre ciertos eventos de inmediato. Las traps son mensajes no solicitados
que alertan al administrador de SNMP sobre una condición o un evento en la red.
Protocolo simple de administración de red (SNMP)
SNMP se desarrolló para permitir que los administradores puedan administrar los nodos, como
los servidores, las estaciones de trabajo, los routers, los switches y los dispositivos de
seguridad, en una red IP.
Administrador de SNMP
Los agentes SNMP pueden reenviar información directamente a un NMS mediante “traps”
SNMP utiliza el número de puerto UDP 162 para recuperar y enviar la información de
administración.
SNMPv1 y SNMPv2c usan cadenas de comunidad que controlan el acceso a la MIB. Las
cadenas de comunidad son contraseñas de texto no cifrado. Las cadenas de la comunidad de
SNMP autentican el acceso a los objetos MIB.
Solo lectura (ro): proporciona acceso a las variables de MIB, pero no permite realizar
cambios a estas variables, solo leerlas. Debido a que la seguridad es mínima en la
versión 2c, muchas organizaciones usan SNMPv2c en modo de solo lectura.
Lectura y escritura (rw): proporciona acceso de lectura y escritura a todos los objetos
de la MIB.
La MIB organiza variables de manera jerárquica. Las variables de MIB permiten que el software
de administración controle el dispositivo de red. Formalmente, la MIB define cada variable
como una ID de objeto (OID). Las OID identifican de forma exclusiva los objetos administrados
en la jerarquía de la MIB. La MIB organiza las OID según estándares RFC en una jerarquía de
OID, que se suele mostrar como un árbol.
Los datos se recuperan mediante la utilidad snmpget, que se emite en NMS. Mediante la
utilidad snmpget
-c community contraseña de SNMP, denominada “cadena de comunidad”
Los datos se recuperan mediante la utilidad snmpget, que se emite en NMS. Mediante la
utilidad snmpget, se pueden obtener valores manualmente para calcular el promedio de
porcentaje de ocupación de la CPU.
NetFlow
Funcionamiento de NetFlow
NetFlow es una tecnología del IOS de Cisco que proporciona estadísticas sobre los paquetes
que fluyen a través de un switch multicapa o un router Cisco. NetFlow es el estándar para
recopilar datos operativos IP de las redes IP.
Otra diferencia entre NetFlow y SNMP es que NetFlow recopila solamente las estadísticas de
tráfico, como se muestra en la ilustración, mientras que SNMP también puede recopilar muchos
otros indicadores de rendimiento, como errores de interfaz, uso de CPU y de la
memoria.
Al establecer la línea de base inicial, comience por seleccionar algunas variables que
representen a las políticas definidas. Si se seleccionan demasiados puntos de datos, la
cantidad de datos puede ser abrumadora, lo que dificulta el análisis de los datos reunidos.
Comience de manera simple y realice ajustes a lo largo del proceso.
Use la topología de la red para identificar aquellos dispositivos y puertos para los que se deben
medir los datos de rendimiento. Los dispositivos y los puertos de interés incluyen:
Puertos de dispositivos de red que se conectan a otros dispositivos de red
Servidores
Usuarios principales