Vous êtes sur la page 1sur 317

Seguridad de Red en

Dispositivos de Capa 2 Y 3
Objetivos
• Explicar los componentes de seguridad de una red se
definen según el tamaño de la red.
• Explicar las ventajas de la utilización de un modelo
en capas para describir la funcionalidad de red.
• Explicar la función de los protocolos en las
comunicaciones de red.
• Describir las subcapas de la capa de enlace de datos
y como Ethernet las usa para su operación
• Describir la importancia de los esquemas de
direccionamiento y denominación en las
comunicaciones de red.
• Explicar como TCP / UDP permite la multiplexacion de
las comunicaciones
• Explicar como TCP mantiene una comunicación
orientada a la conexión, confiable y con control de
flujo
• Definir como y las Vlan interactúan en una red
Las redes de hoy
Las redes corporativas, empresariales,
gubernamentales y del hogar se crean con los
mismos componentes, hardware y Software, la
diferencia entre estas redes se da por el costo
de los dispositivos y las capacidades, no es
igual crear un servidor para ver películas en
la casa a crear un servidor para manejar la
contabilidad de IBM.

Los componentes de Hardware en términos de


redes los dividimos en tres:
• Dispositivos finales
• Dispositivos intermedios
• Medios
Dispositivos Finales
• Los dispositivos
finales permiten
la interacción
entre la red
humana y la red
de datos
• La función de los
dispositivos
finales:
• Cliente
• Servidor
• Cliente y
servidor
Dispositivos Intermedios
– Determinar los recorridos para los datos
– Re-temporizar y retransmitir las señales
de datos
– Administrar flujos de datos
Medios de red
El canal por el cual se transmite el mensaje
Componentes de Redes
• Software
• Hardware
– Dispositivos Finales
– Dispositivos intermedios
– Medios de red
Seguridad en Redes

• Como proteger la información de los


equipos.
• Como proteger los accesos a la red
• Como proteger los medios de
comunicación
¿De que me protejo? Antivirus
• Malware Para: virus, troyanos, malware,
• Virus spyware y en general cualquier
• Worms malware.
• Trojan La mejor línea de defensa contra un
• Backdoor virus es un antivirus. Son software
• Logic Bomb diseñado para reconocer el código de
• Spyware los virus y evitar que estos se
ejecuten en un computador.
Recomendaciones
1. No usar antivirus pirata. Un antivirus pirata, o con
una crack* o licencia falsa, es un antivirus al que
le han insertado un virus para que funcione, de tal
manera que el equipo puede ser usado por el cracker*
que modificó este antivirus para ser usado sin pagar.
2. Si buscas el mejor antivirus es importante saber que
muchos fabricantes crean sitios ficticios para decir
que son los mejores. Como en internet no hay
regulaciones para la publicidad engañosa, los
fabricantes se aprovechan de esto.
3. Usa sitios de tecnología reconocidos por su criterio
a la hora de comparar productos. A continuación veras
dos link que sirven para nuestro propósito: buscar el
mejor antivirus
Mejores antivirus:
http://www.pcmag.com/article2/0,2817,2372364,00.asp
Mejores antivirus:
http://www.pcmag.com/article2/0,2817,2372364,00.asp
Mejores gratuitos:
http://www.pcmag.com/article2/0,2817,2388652,00.asp
Mejores gratuitos:
http://www.pcmag.com/article2/0,2817,2388652,00.asp
Antivirus

¿De que me protejo?


• Malware
• Virus
• Worms
• Trojan
• Backdoor
• Logic Bomb
• Spyware
• Keylogger

Muy usado en los café internet de todo Colombia


Protegerse ante los keyloggers
Ctrl + Alt + F9

Esta es una de las amenazas mas difíciles de detectar,


especialmente porque son programas o dispositivos
instalados con un fin especifico, “capturar los datos de
las personas que usan el computador donde se instala” así
que lo mejor es prevenir, y las recomendaciones para
evitar ser víctima de un Keylogger son:
• Si vas a un café internet no ingreses a tus cuentas de
correo, Facebook u otras redes sociales.
• Igualmente si usas computadoras publicas en bibliotecas o
salas de universidades.
• Si sabes que en algún momento debes usar computadores de
otros para acceder a estos sitios habilita la comprobación de
dos vías (Algo que conozco + algo que tengo).
Antivirus
Conciencia de la existencia
de Keylogger

¿De que me protejo?


• Malware
• Virus
• Worms
• Trojan
• Backdoor
• Logic Bomb
• Spyware
• Keylogger
• Password cracking
• Guessing
• Brute Forcing
• Dictionary Attack
Password cracking / Guessing / Brute Forcing / Dictionary Attack

Todas estas amenazas se contrarrestan usando


contraseñas seguras.

¿Qué es una contraseña segura?

Según Microsoft: http://windows.microsoft.com/es-mx/windows-vista/tips-for-creating-a-strong-password

• Tiene ocho caracteres como mínimo.


• No contiene el nombre de usuario, el nombre real o el nombre de la
empresa.
• No contiene una palabra completa.
• Es significativamente diferente de otras contraseñas anteriores.
• Usa letras, letras en mayúscula, números y caracteres especiales

Esto puede parecer un poco complicado.


Si tienes problemas al crear una contraseña puedes
ayudarte con Norton:
https://identitysafe.norton.com/es/password-generator#
Si tienes problemas al crear una contraseña puedes
ayudarte con Norton:
https://identitysafe.norton.com/es/password-generator#

Su generador de contraseñas es útil, pero es muy probable


que no recuerdes la contraseña.

Si se te olvidan las contraseñas puedes usar un software


que te ayude a gestionarlas, muy útil si tienes muchas
contraseñas y se te olvidan con facilidad, e incluso te
ayuda a crearlas.
http://keepass.info/download.html
Pero si quieres recordar las contraseñas y gestionarlas en tu
memoria, debes tener en cuenta que las contraseñas son
seguras por:
– No usar palabras completas, así no se puede usar el ataque de
diccionario
– Ser una contraseña larga, así el ataque de fuerza bruta puede
tomar años.
Puedes usar letras de las palabras de una estrofa de una
canción por ejemplo:
“Lunita consentida colgada del cielo, como un farolito que puso mi Dios, para que
alumbraras las noches calladas de este pueblo viejo de mi corazón”

“Lunita consentida colgada del cielo, como un farolito que puso mi Dios,
para que alumbraras las noches calladas de este pueblo viejo de mi corazón.”

La contraseña queda así: Lccdc,cufqpmD,pqalncdepvdmc.

Lo difícil y necesario es que no cantes la canción mientas escribes la


contraseña, si lo haces, es posible que por adivinación (guessing)
supongan la contraseña.
Se puede hacer con citas, párrafos de libros, poemas etc.
Antivirus
Conciencia de la existencia
de Keylogger
Contraseñas seguras

¿De que me
protejo?
• Malware
• Virus
• Worms
• Trojan
• Backdoor
• Logic Bomb
• Spyware
• Keylogger
• Password cracking
• Guessing
• Brute Forcing
• Dictionary Attack
• Shoulder Surfing
• Unauthorized access
Bloquea el sistema cuando
no estés frente a el
Una práctica de seguridad muy importante es
bloquear el equipo cundo nos levantamos al baño o a
tomar un café. Por breve que sea la pausa, dejar
nuestro computador desbloqueado es como dejar a un
bebe de 1 año solo al borde de una piscina, puede
pasar lo peor o puede no pasar nada.

“Es mejor prevenir que lamentar”


Para bloquear nuestra máquina, primero debemos
haber configurado una contraseña para el inicio de
sesión. La forma fácil de hacerlo es presionando la
tecla de Windows + L (se usa la L por la palabra Lock /
bloqueo en inglés) y listo, para iniciar sesión
debemos introducir nuevamente la contraseña.
En muchas empresas, los equipos de trabajo usan métodos
no muy ortodoxos para enseñar u obligar a sus compañeros
a adoptar esta buena práctica y convertirla en un hábito.
Para ello hacen un pacto que consiste en: “si alguien
deja el computador sin bloquear, cualquiera que se
percate de esto, debe escribir un correo desde la cuenta
de e-mail activa en el computador donde invite a
desayunar a todos los miembros del equipo”
Normalmente luego de 3 o 4 desayunos
no lo vuelve a hacer.

Ellos ya aprendieron
Recomendaciones
• Cambia el nombre a la cuenta de administrador por un nombre
que te sea fácil recordar. También cambia la contraseña.
Esta cuenta se debe deshabilitar, así a un cracker con un
rootkit no le será tan fácil apoderarse de nuestro
computador.
• Deshabilita la cuenta de invitado.
• Crea las cuentas que necesites con contraseñas seguras y
los privilegios (permisos) que creas pertinentes.
Antivirus
Conciencia de la existencia
de Keylogger
Contraseñas seguras
Bloqueo del sistema

¿De que me protejo?


• Malware
• Virus
• Worms
• Trojan
• Backdoor
• Logic Bomb
• Spyware
• Keylogger
• Password cracking
• Guessing
• Brute Forcing
• Dictionary Attack
• Shoulder Surfing
• Unauthorized access
• Social Engineering
¿De que me protejo?
• Accesos no autorizados a la red
Port Security

• La seguridad de puertos limita la cantidad


de direcciones MAC válidas permitidas en
un puerto.
• Se permite el acceso a las direcciones
¿De que me protejo? MAC de los dispositivos legítimos,
mientras que otras direcciones MAC se
• Accesos no autorizados a la red rechazan.
• Cualquier intento adicional de conexión
por parte de direcciones MAC
desconocidas generará una violación de
seguridad.
Port Security
Para dispositivos Cisco, el IOS considera que se
produce una violación de seguridad cuando se da
cualquiera de estas situaciones:
• Se agregó la cantidad máxima de direcciones MAC
seguras a la tabla CAM para esa interfaz, y una
estación cuya dirección MAC no figura en la tabla de
direcciones intenta acceder a la interfaz.
• Una dirección aprendida o configurada en una interfaz
segura puede verse en otra interfaz segura de la
misma VLAN.

Cuando se detecta una violación, hay tres acciones


posibles que se pueden realizar:
• Protect
• Restrict
• Shutdown
Ataques de DoS
• DHCP
• Tabla CAM (tabla de conmutación del switch)
Crear VLANs

• Las VLAN se pueden utilizar para limitar el


alcance de las tramas de difusión.
• Una VLAN es un dominio de difusión
propio.
¿De que me protejo?
• Accesos no autorizados a la red
Vlan IEEE 802.1q
Beneficios de las redes VLAN

• Seguridad
• Reducción de costos
• Mejor rendimiento
• Reducción de dominios de difusión
• Mejora de la eficiencia del personal de TI
• Administración más simple de aplicaciones y proyectos
Enlaces Troncales
Redundancia
¿De que me protejo?
• Accesos no autorizados a la red • Conexiones
• Falla de dispositivos • Dispositivos
Redundancia
¿De que me protejo?
• Accesos no autorizados a la red • Conexiones
• Falla de dispositivos – EtherChannel – Link Aggregation

• Dispositivos
– Spanning Tree Protocol (STP)
Redundancia
¿De que me protejo?
• Accesos no autorizados a la red • Conexiones
• Falla de dispositivos – EtherChannel – Link Aggregation

• Dispositivos
– Spanning Tree Protocol (STP)
– Hot Standby Router Protocol (HSRP)
– Virtual Router Redundancy Protocol (VRRP)
– Gateway Load Balancing Protocol (GLBP)
– High Availability (HA)
EtherChannel – Link Aggregation
Spanning Tree Protocol (STP)
Hot Standby Router Protocol (HSRP)
Virtual Router Redundancy Protocol (VRRP)
Gateway Load Balancing Protocol (GLBP)
High Availability (HA)
• Servidores
• Almacenamiento
• Firewalls
• Redes inalámbricas
• Proveedores de servicio
Redundancia
¿De que me protejo?
• Accesos no autorizados a la red • Conexiones
• Falla de dispositivos – EtherChannel – Link Aggregation

• Dispositivos
– Spanning Tree Protocol (STP)
– Hot Standby Router Protocol (HSRP)
– Virtual Router Redundancy Protocol (VRRP)
– Gateway Load Balancing Protocol (GLBP)
– High Availability (HA)
– Storage area network (SAN)
Redundancia
• Conexiones
– EtherChannel – Link Aggregation

• Dispositivos
– Spanning Tree Protocol (STP)
¿De que me protejo? – Hot Standby Router Protocol (HSRP)
• Accesos no autorizados a la red – Virtual Router Redundancy Protocol (VRRP)
– Gateway Load Balancing Protocol (GLBP)
• Falla de dispositivos – High Availability (HA)
– Storage area network (SAN)

• Servicios
– Network Load Balancing
– Fail Over
Redundancia
• Conexiones
– EtherChannel – Link Aggregation
• Dispositivos
– Spanning Tree Protocol (STP)
– Hot Standby Router Protocol (HSRP)
– Virtual Router Redundancy Protocol (VRRP)
– Gateway Load Balancing Protocol (GLBP)
– High Availability (HA)
– Storage area network (SAN)
• Servicios
– Network Load Balancing
– Fail Over
UTM - Firewall

• Filtros de paquetes por Politicas


• Autenticación Firewall
• VPN SSL - IPsec
• Antivirus
• Proxy
• Filtro Web
• Control de aplicaciones
• Sistemas de detección de Intrusos
• Usuarios
– Capacitados
– Consientes de las amenazas
• Accesos
– Sistemas biométricos
– Sistemas de alertas
• Equipos finales
– Antivirus
– Contraseñas
– Usuarios / Permisos
• Dispositivos
– SSH
– Port Security
– STP
– HSRP – VRRP – GLBP
– Link Aggregation - EtherChannel
– Firewall
– Protocolos autenticados
• Servicios
– Network Load Balancing
– Fail Over
– Auditoria
• Administrativo
– Políticas de seguridad
– Sistema de gestión de seguridad de la
información
Monitoreo
Monitoreo
Seguridad de redes
• La seguridad es inversamente proporcional
a la eficiencia.

• La seguridad es transversal en las redes


de datos.
Modelo de capas
Protocolo
Un protocolo es una serie de instrucciones, que
en el mundo de las redes de datos se consideran
estándares ya que estos son iguales en
cualquier parte del mundo.

Los protocolos de red han permitido el la


adopción global de las tecnologías de la
información. Por ejemplo, todas las paginas web
se construyen con otro protocolo que se llama
HTML (Hyper Text Markup Languaje) el cual es un
lenguaje de programación y todas usan un
protocolo llamado HTTP (Hyper text transfer
protocol) el cual se encarga de transportar los
mensajes construidos con HTML.
Protocolos son independientes de la tecnología
Varios tipos de dispositivos pueden comunicarse mediante el
mismo conjunto de protocolos. Esto se debe a que los
protocolos especifican la funcionalidad de red y no la
tecnología subyacente que soporta dicha funcionalidad.

Esta es la razón por la cual podemos ver paginas web en


nuestro celular, computados, Tablet, Kindle.
Protocolos de red
Para dominar los diferentes protocolos de
red es necesario enmarcarlos en un modelo de
referencia, que permita clasificar y agrupar
sus características según las tareas que
desempeña el protocolo y según las
herramientas que usa para tomar decisiones.

Por lo anterior las personas que trabajan en


redes y en seguridad de redes deben conocer
los modelos de capas OSI y TCP/IP
Modelo en capas
Ventajas:
– Ayuda en el diseño de protocolos
– Promueve la competencia
– Permite que los cambios en una capa no
afecten las capas restantes
– Proporciona un lenguaje común
Modelo TCP/IP
Proceso de comunicación
A nivel de comunicación es importante
entender que cada mensaje que se genera en
una capa obtendrá su respuesta en la misma
capa del receptor.
Modelos TCP/IP y OSI

Un modelo de protocolo

Proporciona un modelo que


coincide estrechamente con la
estructura de una suite de
protocolos específica

Un modelo de referencia

proporciona una referencia común


para mantener la coherencia dentro
de todos los tipos de servicios y
protocolos de red
Modelo OSI
A
P
S
T
R
E
F
Modelo OSI

 Provee servicios de comunicación a las


aplicaciones
 Muchas aplicaciones usan Network
Redirectors para acceder a los servicios
de red
 Incluye: Telnet, HTTP, FTP, Browsers,
SMTP, etc.

 PDU = Datos
Modelo OSI
 Su principal función es definir formatos de
datos
 Provee encriptación y compresión (Code
formatting)
 Garantiza que los datos que llegan desde
la red puedan ser utilizados por la
aplicación y que la información enviada
por la aplicación sea entendida por el
destino
 Incluye: JPEG, ASCII, GIF, TIFF, MPEG, etc.

 PDU = Datos
Modelo OSI

 Define como comenzar, controlar y


terminar las conversaciones (sesiones)
 Define mecanismos para control de
diálogo y separación de diálogos
 Incluye: SQL, NFS, NetBios names,
DECnet SCP, etc.

 PDU = Datos
Modelo OSI

 Provee confiabilidad, control de flujo y


corrección de errores a través de TCP
 Incluye multiplexación de los datos de
diferentes flujos al mismo host
 Se reordenan los paquetes cuando
lleguen desordenados (TCP)
 TCP es orientado a conexión
 UDP no es orientado a conexión y no
confirma la recepción de paquetes. Es
poco confiable

 PDU = Segmento
Modelo OSI

 Define la entrega de paquetes extremo a


extremo
 Responsable del direccionamiento lógico
del paquete y la determinación de ruta
 Define las identificaciones de los hosts,
como determinar las rutas y como
aprender las rutas
 Define como dividir el paquete en
paquetes que se ajusten a un MTU
 Incluye: IP, IPX, AppleTalk, ICMP, etc

 PDU = Paquetes.
Modelo OSI

 Provee acceso al medio


 Maneja notificación de errores, la
topología de red, control de flujo y
direccionamiento físico de la trama
(frame)
 Responsable del Media Access Control
 Incluye: FFDI, IEEE 802.3, IEEE 802.2,
Frame Relay, etc.

 PDU = Tramas
Modelo OSI

 Proporciona los medios eléctricos,


mecánicos de procedimiento y
funcionales para activar y mantener el
enlace físico entre sistemas
 Conectores, pines, uso de los pines,
corrientes eléctricas, etc.
 Incluye: V.35, EIA/TIA-232, RJ45, NRZ,
Manchester, etc.

 PDU = Bits
Comparación modelos TCP/IP y OSI

https://www.youtube.com/watch?v=4GEHbsBF0Yw
Verifica como vas hasta el momento
Crucigrama
1. Protocol Data Units
2. PDU Capa de Aplicación
3. Define las identificaciones
de los hosts, como
determinar las rutas y como
aprender las rutas
4. PDU de la capa de Transporte
5. PDU Capa de Red
6. Conectores, pines, uso de
los pines, corrientes
eléctricas, etc.
7. PDU Capa Física
8. PDU Capa de Enlace
9. Provee acceso al medio
10.Provee confiabilidad,
control de flujo y
corrección de errores
Envío y recepción de mensajes

https://www.youtube.com/watch?v=J2V1p_U5lQI

https://www.youtube.com/watch?v=pLuN3qSXR7c
Como ver las capas
Para ver los mensajes enviados y recibidos
por nuestro computador necesitamos un
programa que haga la función de sniffer

https://www.wireshark.org/download.html

https://www.youtube.com/watch?v=vh6q7K_2FHw
Capa 2

Capa 3

Capa 4
Capa de enlace de datos y
Ethernet
Funcionamiento de Ethernet
Subcapas LLC y MAC
Subcapas LLC y MAC
LLC
• Maneja la comunicación entre las capas superiores e
inferiores.
• Toma los datos del protocolo de red y agrega información
de control para ayudar a entregar el paquete al destino.
MAC
• Constituye la subcapa inferior de la capa de enlace de
datos.
• Se implementa mediante hardware, por lo general en la NIC
de la PC.
• Tiene dos responsabilidades principales:
• Encapsulación de datos
• Control de acceso al medio
Encapsulación de datos
• Armado de la trama antes de la transmisión y desarmado de
la trama en el momento en que se la recibe.
• La capa MAC agrega un encabezado y un tráiler a la PDU de
la capa de red.

Proporciona tres funciones principales:


• Delimitación de tramas: identifica un grupo de bits que
componen una trama; sincronización entre los nodos emisor
y receptor.
• Direccionamiento: cada encabezado Ethernet que se agrega
a la trama contiene la dirección física (dirección MAC)
que permite que la trama se entregue a un nodo de
destino.
• Detección de errores: cada trama de Ethernet contiene un
tráiler con una comprobación de redundancia cíclica (CRC)
del contenido de la trama.
Procesamiento de tramas
• Se asignan direcciones MAC a estaciones de trabajo,
servidores, impresoras, switches y routers.
• Ejemplos de direcciones MAC: 00-05-9A-3C-78-00,
00:05:9A:3C:78:00 y 0005.9A3C.7800.
• Se reenvía el mensaje a una red Ethernet, se adjunta la
información del encabezado al paquete que contiene la
dirección MAC de origen y destino.
• Cada NIC revisa la información para ver si la dirección
MAC de destino que está en la trama coincide con la
dirección MAC física del dispositivo almacenada en la
RAM.
• Si no hay coincidencia, el dispositivo descarta la trama.
• Si coincide con la dirección MAC de destino de la trama,
la NIC pasa la trama a las capas OSI, donde tiene lugar
el proceso de desencapsulación.
• Las primeras versiones de Ethernet eran relativamente
lentas, con una velocidad de 10 Mbps.
• En la actualidad, opera a 10 Gigabits por segundo e
incluso más rápido.
• La estructura de la trama de Ethernet agrega encabezados y
tráilers alrededor de la PDU de capa 3 para encapsular el
mensaje que se envía.

Ethernet II es el
formato de trama de
Ethernet utilizado en
las redes TCP/IP.
Tamaño de la trama de Ethernet
• Los estándares Ethernet II e IEEE 802.3
definen la trama mínima en 64 bytes y la
trama máxima en 1518 bytes.
• Una longitud menor que 64 bytes se
considera un “fragmento de colisión” o
“runt frame”.
• Si el tamaño de una trama transmitida es
menor que el mínimo o mayor que el máximo,
el dispositivo receptor descarta la trama.
• En la capa física, las diferentes versiones
de Ethernet varían en cuanto al método para
detectar y colocar datos en los medios.
Vlan https://www.youtube.com/watch?v=jjz5chf3plM

Las Vlan modifican la trama agregando una


etiquta (Tag) de 4 bytes, la etiqueta
contiene el identificador de la Vlan que es
un número entre 1 y 4096
Representaciones de direcciones MAC
Las direcciones Mac solo existen en las tecnologías
de las redes lan, propiamente las tecnologías del
la IEEE, Son números hexadecimales que identifican
inequívocamente a cada tarjeta de rad del mundo.
Métodos de transmisión en redes da datos

https://www.youtube.com/watch?v=ghRtPxQTTG8
Dirección MAC unicast
Dirección MAC de broadcast
Dirección MAC multicast

La dirección MAC multicast es un


El rango de direcciones IPv4 multicast
valor especial que comienza con
va de 224.0.0.0 a 239.255.255.255.
01-00-5E en hexadecimal.
Direcciones capa 2 y capa 3
Dirección MAC
• Esta dirección no cambia.
• Es similar al nombre de una persona.
• Se conoce como “dirección física” porque se asigna
físicamente a la NIC del host.

Dirección IP
• Es similar a la dirección de una persona.
• Se basa en la ubicación real del host.
• Se conoce como “dirección lógica” porque se asigna
lógicamente.
• Un administrador de red la asigna a cada host.

• Para que una PC pueda comunicarse, se necesitan tanto la


dirección MAC física como la dirección IP lógica, de la
misma manera en que se necesitan el nombre y la dirección
de una persona para poder enviarle una carta.
Switch LAN de capa 2
• Conecta dispositivos finales a un
dispositivo intermediario central en la
mayoría de las redes Ethernet.
• Realiza la conmutación y el filtrado
sobre la base de la dirección MAC
únicamente.
• Crea una tabla de direcciones MAC que
utiliza para tomar decisiones de reenvío.
• Depende de los routers para pasar datos
entre subredes IP.
Tabla de direcciones MAC del switch

1. El switch recibe una trama de broadcast de la PC 1 en el


puerto 1.
2. El switch ingresa la dirección MAC de origen y el puerto
del switch que recibió la trama en la tabla de
direcciones.
3. Dado que la dirección de destino es broadcast, el switch
satura todos los puertos enviando la trama, excepto el
puerto que la recibió.
4. El dispositivo de destino responde al broadcast con una
trama de unicast dirigida a la PC 1.
5. El switch introduce en la tabla de direcciones
la dirección MAC de origen de la PC 2 y el
número del puerto de switch que recibió la
trama. En la tabla de direcciones MAC pueden
encontrarse la dirección de destino de la trama
y su puerto asociado.
6. Ahora el switch puede enviar tramas entre los
dispositivos de origen y destino sin saturar el
tráfico, ya que cuenta con entradas en la tabla
de direcciones que identifican a los puertos
asociados.
Capa de Red
IPv4 – IPv6
La capa de red en la comunicación

https://www.youtube.com/watch?v=hemYU-boZHY
La capa de red
Procesos de transporte de extremo a extremo
• Direccionamiento de dispositivos finales
• Encapsulación
• Enrutamiento
• Desencapsulación
Protocolos de la capa de red
Protocolos de capa de red comunes
• Protocolo de Internet versión 4 (IPv4)
• Protocolo de Internet versión 6 (IPv6)

Protocolos de capa de red antiguos


• Intercambio Novell de paquetes de
internetwork (IPX)
• AppleTalk
• Servicio de red sin conexión (CLNS/DECNet)
Características del protocolo IP
Campos del encabezado de IPv4

Byte 1 Byte 2 Byte 3 Byte 4

Longitud del
Servicios diferenciados
Versión encabezado IP
Longitud total
DSCP ECN

Identificación Señalizador Desplazamiento de fragmentos

Tiempo de Existencia Protocolo Checksum del encabezado

Dirección IP de origen

Dirección IP de destino

Opciones (optativo) Relleno

https://www.youtube.com/watch?v=KOIXTt9layw
Limitaciones de IPv4
• Agotamiento de
direcciones IP
• Expansión de la tabla
de enrutamiento de
Internet
• Falta de conectividad
de extremo a extremo
IPv6
Es una versión del
protocolo de internet
(IP), definida en el
RFC 1883, diseñada
para remplazar a IPv4

El RFC 2460 desarrollado


en 1998 deroga el RFC
1883

https://www.rfc-es.org/rfc/rfc2460-es.txt
Byte 1 Byte 2 Byte 3 Byte 4

Versión Clase de tráfico Identificador de flujo

Siguiente
Longitud de contenido Límite de salto
encabezado

Dirección IP de origen

Dirección IP de destino
Encapsulación de IPv4 vs IPv6
IPv4
Las direcciones IPv4 están compuestas por
32bits

𝟑𝟐
𝟐 = 4.249’967.296

De las cuales solo se pueden usar


alrededor de 3.700.000.000
Las direcciones IPv6 están compuestas por
128bits

𝟐𝟏𝟐𝟖 =

340.282.366.920.938.463.463.374.607.431.768.211.456
Hay aproximadamente
665,570,793,348,866,943,898,599
direcciones por metro cuadrado de la superficie de la Tierra
Conversión de una dirección binaria en decimal

Practique el cambio de base


Reloj Binario
Reloj Binario
¿Que hora es?
Se suma
verticalmente las
potencias activas,
Se suma
verticalmente las
potencias activas,

2^0 = 1
Se suma
verticalmente las
potencias activas,

2^0 = 1
0 = 0
----------------

Así obtenemos la
hora en formato
militar: 10
Se suma
verticalmente las
potencias activas,

2^0 = 1
0 = 0
----------------
2^1 = 2
2^2 = 4
Se suma verticalmente
las potencias
activas,

2^0 = 1
0 = 0
----------------
2^1 = 2
2^2 = 4
----------------
2^0 = 1 + 2^1 = 2 = 3
2^0 = 1
10 : 24 : 31
¿Que hora es?
¿Que hora es?
¿Que hora es?
¿Que hora es?
¿Que hora es?
¿Que hora es?
¿Que hora es?
Motivos para la división en subredes
Es necesario segmentar las redes grandes en subredes más pequeñas,
con lo que se crean grupos más pequeños de dispositivos y servicios
con los siguientes fines:
• Controlar el tráfico mediante la contención del tráfico de
broadcast dentro de la subred.
• Reducir el tráfico general de la red y mejorar el rendimiento de
esta.
• División en subredes: proceso de segmentación de una red en
varios espacios de red más pequeños o subredes.

Comunicación entre subredes


• Se necesita un router para que los dispositivos en diferentes
redes y subredes puedan comunicarse.
• Cada interfaz del router debe tener una dirección de host IPv4
que pertenezca a la red o a la subred a la cual se conecta la
interfaz del router.
• Los dispositivos en una red y una subred utilizan la interfaz del
router conectada a su LAN como gateway predeterminado.
Máscaras de subred de longitud variable (VLSM)
• VLSM permite dividir un espacio de red en
partes desiguales.
• La máscara de subred varía según la
cantidad de bits que se toman prestados
para una subred específica.
• La red primero se divide en subredes y, a
continuación, las subredes se vuelven a
dividir en subredes.
• Este proceso se repite según sea necesario
para crear subredes de diversos tamaños.
Pasos para crear un direccionamiento con VLSM
1. Listar de mayor a menor la cantidad de host que
tiene cada red
2. n = Buscar una potencia de 2 que sea mayor a cada
número de host
3. Iniciar con la red por defecto escrita en decimal y
binario, tomar los n bits de la porción de host y
modificar la máscara ajustarla a la cantidad de bits
(32 – n)
4. Cambiar el bit menos significativo de la porción de
red, (sumar 1 a la porción actual de red) con esto
pasa a la siguiente red.
5. Modificar la máscara ajustarla a la cantidad de bits
(32 – n)
6. Bis

https://www.youtube.com/watch?v=rpMhuzwaVAw
Con la IP 172.16.0.0
1. Listar de mayor a menor la cantidad de
host que tiene cada red

Host
1. Listar de mayor a menor la cantidad de
host que tiene cada red

Host
439
1. Listar de mayor a menor la cantidad de
host que tiene cada red

Host
439
300
1. Listar de mayor a menor la cantidad de
host que tiene cada red

Host
439
300
200
80
30
2
Con la IP 172.16.0.0

2. n = Buscar una potencia de 2 que sea


mayor a cada número de host

Host n
439 9
300 9
200 8
80 7
30 5
2 2
3. Iniciar con la red por
defecto escrita en decimal y
binario, tomar los n bits de
la porción de hots y
modificar la máscara
ajustarla a la cantidad de
bits (32 – n) Con la IP 172.16.0.0

Host n Dirección IP Mask Dirección de RED


439 9 172.16.00000000 . 00000000 /23 172.16.0.0
300 9
200 8
80 7
30 5
2 2
4. Cambiar el bit menos
significativo de la porción
de red, (sumar 1 a la
porción actual de red) con
esto pasa a la siguiente
red. Con la IP 172.16.0.0

Host n Dirección IP Mask Dirección de RED


439 9 172.16.00000000 . 00000000 /23 172.16.0.0
300 9
200 •8 0000000 = 0
80 •7 0000001 = 1
30
•5 0000010 = 2
2 2
4. Cambiar el bit menos
significativo de la porción
de red, (sumar 1 a la
porción actual de red) con
esto pasa a la siguiente
red. Con la IP 172.16.0.0

Host n Dirección IP Mask Dirección de RED


439 9 172.16.00000000 . 00000000 /23 172.16.0.0
300 9 172.16.00000010 . 00000000
200 8
80 7
30 5
2 2
4. Cambiar el bit menos significativo de la
porción de red, (sumar 1 a la porción
actual de red) con esto pasa a la
siguiente red. Con la IP 172.16.0.0

Host n Dirección IP Mask Dirección de RED


439 9 172.16.00000000 . 00000000 /23 172.16.0.0
300 9 172.16.00000010 . 00000000 /23 172.16.2.0
200 8
80 7
30 5
2 2
5. Modificar la máscara
ajustarla a la cantidad de
bits (32 – n)
Con la IP 172.16.0.0

Host n Dirección IP Mask Dirección de RED


439 9 172.16.00000000 . 00000000 /23 172.16.0.0
300 9 172.16.00000010 . 00000000 /23 172.16.2.0
200 8
80 7
30 5
2 2
4. Cambiar el bit menos
significativo de la porción
de red, (sumar 1 a la
porción actual de red) con
esto pasa a la siguiente
red. Con la IP 172.16.0.0

Host n Dirección IP Mask Dirección de RED


439 9 172.16.00000000 . 00000000 /23 172.16.0.0
300 9 172.16.00000010 . 00000000 /23 172.16.2.0
200 8 172.16.00000100 . 00000000
80 7
30 5
2 2
5. Modificar la máscara
ajustarla a la cantidad de
bits (32 – n)
Con la IP 172.16.0.0

Host n Dirección IP Mask Dirección de RED


439 9 172.16.00000000 . 00000000 /23 172.16.0.0
300 9 172.16.00000010 . 00000000 /23 172.16.2.0
200 8 172.16.00000100 . 00000000 /24 172.16.4.0
80 7
30 5
2 2
5. Modificar la máscara
ajustarla a la cantidad de
bits (32 – n)
Con la IP 172.16.0.0

Host n Dirección IP Mask Dirección de RED


439 9 172.16.00000000 . 00000000 /23 172.16.0.0
300 9 172.16.00000010 . 00000000 /23 172.16.2.0
200 8 172.16.00000100 . 00000000 /24 172.16.4.0
80
•7 00000100 = 4
30 •5 00000101 = 5
2 2
Repetimos los pasos 4 y 5 hasta
terminar

Con la IP 172.16.0.0

Host n Dirección IP Mask Dirección de RED


439 9 172.16.00000000 . 00000000 /23 172.16.0.0
300 9 172.16.00000010 . 00000000 /23 172.16.2.0
200 8 172.16.00000100 . 00000000 /24 172.16.4.0
80 7 172.16.00000101 . 00000000 /25 172.16.5.0
30 5
2 2
Repetimos los pasos 4 y 5 hasta
terminar

Con la IP 172.16.0.0

Host n Dirección IP Mask Dirección de RED


439 9 172.16.00000000 . 00000000 /23 172.16.0.0
300 9 172.16.00000010 . 00000000 /23 172.16.2.0
200 8 172.16.00000100 . 00000000 /24 172.16.4.0
80 7 172.16.00000101 . 00000000 /25 172.16.5.0
30 5 172.16.00000101 . 10000000 /27 172.16.5.128
2 2
Repetimos los pasos 4 y 5 hasta
terminar

Con la IP 172.16.0.0

Host n Dirección IP Mask Dirección de RED


439 9 172.16.00000000 . 00000000 /23 172.16.0.0
300 9 172.16.00000010 . 00000000 /23 172.16.2.0
200 8 172.16.00000100 . 00000000 /24 172.16.4.0
80 7 172.16.00000101 . 00000000 /25 172.16.5.0
30 5 172.16.00000101 . 10000000 /27 172.16.5.128
2 2 172.16.00000101 . 10100000 /30 172.16.5.160
IPv6
Direccionamiento IPv6
Formato
x:x:x:x:x:x:x:x, donde cada x corresponde a un
bloque de 16 bits representado en formato
hexadecimal
X: = _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
0 1 0 1 1 1 0 0 1 0 0 1 1 1 1
1
5 C 9
F
5C9F
Direccionamiento IPv6
• Formato

• Los ceros a la izquierda se pueden eliminar de


estos bloques
• Una única vez los ceros sucesivos se pueden
representar en la dirección con el símbolo
sucesivo de dos puntos ( :: )
Ejemplo de abreviatura de una IPv6

2031:0000:130F:0000:0000:09C0:876A:130B

2031: 0:130F: 0: 0: 9C0:876A:130B

2031:0:130F:0:0:9C0:876A:130B

2031:0:130F::9C0:876A:130B
Ejemplo de abreviatura de una IPv6

• 2031:0000:130F:0000:0000:09C0:876A:130B

• Se puede representar como


2031:0:130F::9C0:876A:130B

• No es correcto hacerlo así


2031::130F::9C0:876A:130B
Tipos de direcciones IPv6

• Unicast

• Multicast

• Anycast
Unicast

“Uno a uno”
•Dirección destinada a un interfaz único.
•Un paquete destinado a una dirección unicast se
entrega al interfaz identificado por dicha
dirección.
Multicast
“Uno a varios”
•Dirección para un conjunto de interfaces
(típicamente pertenecientes a nodos diferentes)
•Un paquete destinado a una dirección multicast se
entrega a todos los interfaces identificados por
dicha dirección
Anycast

“Uno al más cercano” (Asignado por Unicast)


•Dirección para un conjunto de interfaces.
•En la mayoría de los casos son interfaces
pertenecientes a nodos diferentes.
•Se crea “automáticamente” cuando una dirección
unicast determinada se asigna a más de un
interfaz.
•Un paquete enviado a una dirección anycast se
entrega al interface más cercano identificado
con esa dirección
Componentes de una dirección IPv6
• Una dirección IPv6 se constituye de dos
partes:
– Un prefijo de subred
– Un identificador (ID) de Interface

IPv6 = 128 bits


11111111.11111111.11111111.11111111 11111111.11111111.11111111.11111111 11111111.11111111.11111111.11111111 11111111.11111111.11111111.11111111

Prefijo de Subred Id de Interface


Espacio de Direcciones IPv6
Valor Hexadecimal del Prefijo Uso

•No especificado
0000 to 00FF •Loopback

0100 to 01FF No asignado (0.38 % del espacio IPv6)

0200 to 03FF Servicio de red - NSAP Network Service AP

0400 to 1FFF No asignado (~11% del espacio IPv6)

2000 to 3FFF Unicast Global Agregable (12.5%)

4000 to FE7F (Huge) No asigando (~75% del espacio IPv6)

FE80 to FEBF Link-local (Enlace-Local)

FC00 to FCFF Unique-Local (Local-Única)

FF00 to FFFF Multicast

Nota: IPv6 para Internet usa 2001::/3 que es < 2% del espacio de direcciones IPv6
Direcciones IPv6 Global Unicast
• Las direcciones globales unicast constan de:
• Un prefijo global de enrutamiento de 48-bits
• Un identificador ID de subred de 16-bit
• Un identificador ID de interface de 64-bit

Prefijo Global ID de ID de Interface


Enrutamiento Subred

/24 /32 /48 /64


2001 0008 21B:D5FF:FE5B:A408
0010

Registrador
Prefijo de ISP
Prefijo de Sitio
Prefijo de Subred
Asignación
• El 3 de febrero del 2011 la IANA
(Internet Assigned Numbers Authority)
asigno cinco bloques /8 para cada Regional
Internet Registries (ARIN, RIPE, APNIC,
LACNIC y AfriNIC).
Direcciones IPv6 especiales
Dirección IPv6 Descripción
• Todas-las-redes. Usado al especificar rutas estáticas por defecto.
::/0
• Equivalente a la IPv4 quad-cero (0.0.0.0)
• Dirección no especificada. Se asigna inicialmente a un host cuando
::/128
resuelve su dirección de Link-Local (de Enlace–Local)
• Dirección de Loopback del host local
::1/128
• Equivalente a la dirección 127.0.0.1 en IPv4

• Dirección Unicast de Link-Local


FE80::/10
• Similar a la dirección IP 169.254.x.x de autoconfiguración de Windows

FF00::/8 • Direcciones Multicast

Resto de
• Direcciones Globales Unicast
direcciones
Direcciones Link-Local (Enlace Local)
• Las direcciones Link-Local tienen un ámbito limitado al
segmento local de la red.
• Usualmente son asignadas dinámicamente usando el prefijo
FF80::/10
• Usada para direccionamiento automático, descubrimiento de
vecinos y actualizaciones de enrutamiento.
• Es posible usarlas para comunicar varios dispositivos que
no necesiten una dirección global. P. ej.en telemetría
• Las direcciones Linl-Local no son enrutables.
IPv6 Unicast

Link-local (FE80::/10) Global Enrutable

Estática Dinámica Estática Dinámica

Creada Autoconfiguración
Dirección IPv6 automáticamente Dirección IPv6
(Formato EUI-64) si Sin Estado
se configura una
dirección IPv6
Goblal Unicast
DHCPv6
Formato EUI-64 para la porción de host de la dirección.
Dirección MAC 48-bit

64-bit IPv6 EUI-64 Interface ID

Este formato extiende la dirección MAC de 48 a 64 bits


insertando el valor “FFFE” en el centro de la dirección.
Capa de Transporte
TCP / UDP
Función de la capa de transporte
La capa de transporte es responsable de establecer una
sesión de comunicación temporal entre dos aplicaciones
y de transmitir datos entre ellas. TCP/IP utiliza dos
protocolos para lograrlo:
• Protocolo de control de transmisión (TCP)
• Protocolo de datagramas de usuario (UDP)

Principales responsabilidades de los protocolos de la


capa de transporte
• Rastreo de comunicación individual entre aplicaciones
en los hosts de origen y destino
• División de los datos en segmentos para su
administración y reunificación de los datos
segmentados en streams de datos de aplicación en el
destino
• Identificación de la aplicación correspondiente para
cada stream de comunicación
Los servicios y la función de la capa de transporte
Puertos
Funcionamiento del protocolo TCP
Tamaño de la ventana y acuses de recibo
www.neoteo.com
Baja sobrecarga y confiabilidad de UDP
Protocolo simple que proporciona las funciones básicas
de la capa de transporte.

Lo utilizan las aplicaciones que pueden tolerar una


pequeña pérdida de datos.

Lo utilizan las aplicaciones que no pueden tolerar


retrasos.

Utilizado por:
• Sistema de nombres de dominio (DNS)
• Protocolo simple de administración de red (SNMP,
Simple Network Management Protocol)
• Protocolo de configuración dinámica de host (DHCP)
• Protocolo de transferencia de archivos trivial (TFTP)
• Telefonía IP o voz sobre IP (VoIP)
• Juegos en línea
Rearmado de datagramas
Servicios de Capa 2
La VLAN
Vlan
https://www.youtube.com/watch?v=jjz5chf3plM
Beneficios de las redes VLAN
 Seguridad
 Reducción de costos
 Mejor rendimiento
 Reducción de dominios de difusión
 Mejora de la eficiencia del personal de TI
 Administración más simple de aplicaciones y proyectos
Control de dominios de difusión con VLAN
 Las VLAN se pueden utilizar para limitar el alcance de
las tramas de difusión.
 Una VLAN es un dominio de difusión propio.
 Por lo tanto, una trama de difusión que envía un
dispositivo en una VLAN específica se reenvía
solamente dentro de esa VLAN.
 Esto ayuda a controlar el alcance de las tramas de
difusión y su impacto en la red.
 Las tramas de unidifusión y multidifusión también se
reenvían dentro de la VLAN de origen.
Tipos de VLAN

 VLAN de datos
 VLAN predeterminada
 VLAN nativa
 VLAN de administración
Tipos de VLAN
VLAN de voz
 El tráfico VoIP depende del factor tiempo y requiere lo
siguiente:
• Ancho de banda garantizado para asegurar la calidad de la voz
• Prioridad de la transmisión sobre los tipos de tráfico de la red
• Capacidad para ser enrutado en áreas congestionadas de la red
• Demora inferior a 150 ms a través de la red

 La característica de la VLAN de voz permite que los puertos de


acceso envíen el tráfico de voz IP desde un teléfono IP.
 Dado que la calidad de sonido de una llamada desde un
teléfono IP puede disminuir si la información no se envía de
manera uniforme, el switch admite la calidad de servicio (QoS).
Enlaces troncales de VLAN
Rangos de VLAN en los switches Catalyst
 Los switches de las series Catalyst 2960 y 3560 admiten
más de 4000 VLAN.
 Estas VLAN se dividen en dos categorías:
 VLAN de rango normal
• Números de VLAN de 1 a 1005.
• La configuración se almacena en el archivo vlan.dat (en la memoria
flash).
• VTP solo puede descubrir y almacenar las VLAN de rango normal.
 VLAN de rango extendido
• Números de VLAN de 1006 a 4096.
• La configuración se almacena en la configuración en ejecución (en
la NVRAM).
• VTP no descubre las VLAN de rango extendido.
Creación de una VLAN
Asignación de puertos a las redes VLAN
Asignación de puertos a las redes VLAN
Cambio de pertenencia de puertos de una VLAN
Cambio de pertenencia de puertos de una VLAN
Eliminación de VLAN
Verificación de información de VLAN
Verificación de información de VLAN
Configuración de enlaces troncales IEEE 802.1Q
VTP
¿Que es VTP?

El VTP permite a un
administrador de red configurar
un switch de modo que propagará
las configuraciones de la VLAN
hacia los otros switches en la
red.

VTP sólo funciona sobre las VLAN


de rango normal (ID de VLAN 1 a
1005).
Dominios
Modos
Depuración
Configuración
Configuración
Dominios
Dominios
VTP
VTP modo Client
Sh int trunk
Configuración
Configuración
Configuración
Problemas frecuentes
Vulnerabilidades
Suplantación de identidad: Los saltos de
VLAN permiten que una VLAN pueda ver el
tráfico de otra VLAN. La suplantación de
identidad de switch es un tipo de ataque con
salto de VLAN que funciona mediante el
aprovechamiento de un puerto de enlace
troncal mal configurado

Mitigación: En los puertos de enlace troncal


requeridos, inhabilite DTP y habilite los
enlaces troncales manualmente.
Vulnerabilidades
Etiquetado doble
Mitigación: asegurar que
la VLAN nativa de los
puertos de enlace
troncal sea distinta de
la VLAN de cualquier
puerto de usuario. De
hecho, se considera una
práctica recomendada de
seguridad la utilización
de una VLAN fija
distinta de todas las
VLAN de usuario como
VLAN nativa para todos
los enlaces troncales
802.1Q en la red
conmutada.
Vulnerabilidades
Macof
Mitigación: Port security
Port security
Seguridad de puertos
• La seguridad de puertos limita la cantidad de
direcciones MAC válidas permitidas en un
puerto.
• Se permite el acceso a las direcciones MAC de
los dispositivos legítimos, mientras que otras
direcciones MAC se rechazan.
• Cualquier intento adicional de conexión por
parte de direcciones MAC desconocidas generará
una violación de seguridad.
• Las direcciones MAC seguras se pueden
configurar de varias maneras:
– Direcciones MAC seguras estáticas
– Direcciones MAC seguras dinámicas
– Direcciones MAC seguras persistentes
• IOS considera que se produce una violación de
seguridad cuando se da cualquiera de estas
situaciones:
– Se agregó la cantidad máxima de direcciones
MAC seguras a la tabla CAM para esa interfaz,
y una estación cuya dirección MAC no figura
en la tabla de direcciones intenta acceder a
la interfaz.
– Una dirección aprendida o configurada en una
interfaz segura puede verse en otra interfaz
segura de la misma VLAN.
• Cuando se detecta una violación, hay tres
acciones posibles que se pueden realizar:
– Protect
– Restrict
– Shutdown
Configuración predeterminada de la seguridad
de puertos dinámicos
Configuración de la seguridad de puertos
dinámicos
Configuración de la seguridad de puertos
persistentes
Verificación de la seguridad de puertos
persistentes
Verificación de la seguridad de puertos
persistentes: configuración en ejecución
Comandos
• Switchport mode access
• Switchport port-security maximun #
• Switchport port-security violation tipo
de protección
• Switchport port-security mac-address
sticky
• Switchport port-security
Verificación de la seguridad de puertos:
direcciones MAC seguras
Puertos en estado de inhabilitación por errores
Una violación de seguridad de puertos puede dejar al
switch en estado de inhabilitación por errores.
Un puerto en estado de inhabilitación por errores
queda desactivado completamente.
El switch comunicará estos eventos por medio de
mensajes de consola.
El comando show interface también indica si hay un puerto
de switch en estado de inhabilitación por errores.
Se debe emitir un comando de interfaz shutdown/no
shutdown para volver a habilitar el puerto.
STP
Spanning Tree Protocol
Contexto

Spanning Tree Protocol es un


protocolo de capa 2 del modelo OSI

Una VLAN virtual LAN (red de área local


virtual), es un método para crear redes lógicas
independientes dentro de una misma red física
Contexto

• IEEE 802.1q
• Vlan ID = Número 1 - 4096
Redundancia

• La redundancia se define como la


duplicación de componentes que permiten
funcionalidad continua a pesar de las
fallas de un componente individual.

• En una red, redundancia significa contar


con un método de respaldo para conectar
todos los dispositivos.

• Las topologías redundantes aumentan la


confiabilidad de la red y reducen el
tiempo de inactividad provocado por un
único punto de falla.
Topologías Redundantes

• En la capa 2 no existe el TTL


• STP es Una solución para permitir
enlaces físicos redundantes pero
sin redundancia lógica
Problemas sin STP
• Tormentas de Broadcast
• Tramas duplicadas
BPDU
Los switches envían mensajes denominados unidades de
datos del protocolo puente (BPDU) para permitir la
creación de una topología lógica sin loops.

Cuando el switch se enciende, se usa el algoritmo


spanning tree para identificar el puente raíz. Las
BPDU son enviadas con el ID de puente raíz
configurado con el BID propio

•BID de la Raíz
•Costo hacia la Raíz
•BID propio
•Port ID por el cual me comunico
BID

Prioridad por defecto


32768

Se modifica en
fracciones de
4096
Camino hacia la Raíz
Root port
2950#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32768
Address 0003.e334.6640
Cost 19
Port 23 (FastEthernet0/23)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)


Address 000b.fc28.d400
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300

Interface Port ID Designated Port ID


Name Prio.Nbr Cost Sts Cost Bridge ID Prio.Nbr
---------------- -------- --------- --- --------- -------------------- --------
Fa0/23 128.23 19 FWD 0 32768 0003.e334.6640 128.25

ALSwitch#
Pasos para la convergencia de STP
• Elegir el Puente Raíz (Root Bridge)
• Puertos Raíz
• Puertos designados
• Los otros puertos los bloqueamos

Todas las dediciones se toman con base en:


– Menor BID = (Prioridad+Vlan+MAC)
– Menor costo hacia el Puente Raíz
– Menor BID del vecino
– Menor Número de puerto del vecino
• (existe una prioridad por puerto, que por defecto está
en 128+ #puerto, el puerto con menor prioridad se
elegido como mejor opción)
convergencia de STP
Ejemplo STP
Priority = 32768 0001.6427.AD64

0005.5E9A.A08A

00D0.FF54.BC67

0090.0C77.8C96
000A.41C0.CDE3
0001.C954.E512

0002.17E9.B920
Ejemplo STP
Priority = 32768 0001.6427.AD64

0005.5E9A.A08A

00D0.FF54.BC67

0090.0C77.8C96
000A.41C0.CDE3
0001.C954.E512

0002.17E9.B920
Elegir el Puente Raíz
(Root Bridge)

Como modificar la prioridad – por VLAN


Switch(config)# spanning-tree [vlan vlan-list] priority priority *
Estado de los puertos
• Bloqueado: solo recibe BPDU 20 seg
• Escuchar: determina si existe alguna ruta hacia el root
bridge. 15 seg
• Aprender: solo se reciben BPDU y se aprenden direcciones
MAC del trafico que se recibe no se conmutan tramas. 15
seg
• Enviar: se envían tramas, BPDU y se aprenden MAC
Spanning Tree Protocols
• STP or IEEE 802.1D-1998
• PVST+
• IEEE 802.1D-2004
• Rapid Spanning Tree Protocol (RSTP) or IEEE 802.1w
• Rapid PVST+
• Multiple Spanning Tree Protocol (MSTP) or IEEE 802.1s
CDP
• CDP es un protocolo exclusivo de Cisco de capa 2 que se
utiliza para detectar otros dispositivos de Cisco
conectados directamente.
• Está diseñado para permitir que los dispositivos
configuren las conexiones automáticamente.
• Si un atacante escuchara los mensajes CDP, podría
obtener información importante, como el modelo del
dispositivo o la versión del software en ejecución.
• Cisco recomienda deshabilitar CDP cuando no se utiliza.
• Use no cdp run para deshabilitar CDP
EIGRP
Protocolo de transporte
confiable (RTP)
• Función de RTP
– Es utilizado por EIGRP para transmitir
y recibir paquetes EIGRP
• Características de RTP:
– Incluye el envío confiable y no confiable
de paquetes EIGRP
 El envío confiable requiere
el reconocimiento del destino
 El envío no confiable no requiere
el reconocimiento del destino
– Los paquetes se pueden enviar mediante:
 Unicast
 Multicast
– Por medio de la dirección
224.0.0.10
Los 5 tipos de paquetes EIGRP:

• Paquetes de saludo
– Se usan para detectar vecinos y
formar adyacencias con ellos
EIGRP

• Paquetes de actualización
– Se usan para difundir
la información de enrutamiento

• Paquetes de reconocimiento
– Se usan para reconocer la
recepción de los paquetes
de actualización, consulta
y respuesta
EIGRP

• Paquetes de consulta
y respuesta
 DUAL los usa para
la búsqueda de redes.
 Paquetes de consulta
• - Pueden usar:
 Unicast
 Multicast

• Paquetes de respuesta
– - Usan solamente:
 Unicast
• Función del protocolo de saludo:
– Detectar routers vecinos y establecer
adyacencias con ellos
• Características del protocolo de
saludo:
– Intervalo de tiempo para el envío de
paquetes de saludo:
 En la mayoría de las redes, es de 5
segundos
 Redes de accesos múltiples sin broadcast
multipunto:
– Unicast cada 60 segundos
Actualizaciones limitadas de EIGRP
• EIGRP sólo envía actualizaciones cuando hay un
cambio en el estado de la ruta
• Actualizaciones parciales
– Una actualización parcial incluye sólo la
información de la ruta que se ha modificado.
NO se envía la tabla de enrutamiento completa
• Actualizaciones limitadas
– Cuando una ruta se modifica, sólo se
notifica la modificación a los dispositivos
afectados
• La utilización de las actualizaciones limitadas
parciales por parte de EIGRP minimiza el uso
del ancho de banda
EIGRP
Algoritmo de actualización difusa (DUAL)
– Objetivo
• Es el método principal de EIGRP para evitar los
bucles de enrutamiento
– Ventaja del uso de DUAL:
• Proporciona convergencia rápida
mediante el mantenimiento de una
lista de rutas de respaldo sin bucles
EIGRP
• Distancia administrativa (AD)
– Se define como la confiabilidad de
la ruta de origen
• Distancias administrativas por defecto
de EIGRP:
– Rutas sumarizadas = 5
– Rutas internas = 90
– Rutas importadas = 170
Comando router eigrp
• El comando global que habilita eigrp es
– router eigrp autonomous-system
– - Todos los routers en el dominio de
enrutamiento EIGRP deben usar el mismo
número de identificación de proceso
(número de sistema autónomo)
Configuración básica de EIGRP
El comando network
• Funciones del comando network:
– Habilita las interfaces para transmitir y
recibir
las actualizaciones EIGRP
– Incluye la red o subred en las
actualizaciones EIGRP
• Router(config-router)#network
network-address
Configuración básica de EIGRP
• Comando network con una máscara wildcard
– - Esta opción se usa cuando se quiere configurar
EIGRP
para publicar subredes específicas
– - Ejemplo
– Router(config-router)#network network-
address [wildcard-mask]
Configuración básica de EIGRP

Verificación de EIGRP
• Los routers EIGRP deben establecer
adyacencias con sus vecinos antes de
poder enviar o recibir actualizaciones
• El comando para ver la tabla vecina y
comprobar que EIGRP ha establecido
adyacencias con los vecinos es:
– show ip eigrp neighbors
EIGRP

• El comando show
ip protocols
también se usa
para verificar si
EIGRP está
habilitado
Configuración básica de EIGRP

Análisis de la tabla
de enrutamiento
• El comando show ip route
se utiliza también para
verificar EIGRP
• Las rutas EIGRP se
designan en una tabla de
enrutamiento con la letra
“D”
• Por defecto, EIGRP resume
automáticamente las rutas
en el límite de la red
principal
EIGRP
Autenticación
• EIGRP puede:
– Cifrar la información de enrutamiento
– Autenticar la información de
enrutamiento
R1>ena
R1#conf t
R1(config)#key chain llavero
R1(config-keychain-key)#key-string llave1 Configuración de la
R1(config-keychain-key)#key-string password1 Autenticación
R1(config-keychain-key)#exit
R1(config-keychain)#exit

R1(config)#int se0/0/0
R1(config-if)#ip authentication key-chain eigrp 1 llavero
R1(config-if)#shutdown
R1(config-if)#no shutdown
Se habilita el uso de autenticación, no se
pierde la adyacencia, pero si se dejan de
recibir los update de DUAL,
R1(config-if)#ip authentication mode eigrp 1 md5
R1(config-if)#
%DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.0.8.90
(Serial0/0/0) is down: authentication mode changed

Con el uso de MD5 se pierde totalmente la adyacencia


Y se garantiza que los mensajes de DUAL viajen cifrados
Tabla de enrutamiento sin autenticación
R1#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

10.0.0.0/8 is variably subnetted, 8 subnets, 5 masks


D 10.0.0.0/22 [90/2686976] via 10.0.8.90, 00:01:35, Serial0/0/0
D 10.0.4.0/22 [90/2172416] via 10.0.8.90, 00:02:01, Serial0/0/0
D 10.0.8.0/27 [90/2174976] via 10.0.8.90, 00:01:36, Serial0/0/0
C 10.0.8.32/27 is directly connected, FastEthernet0/1
D 10.0.8.64/28 [90/2174976] via 10.0.8.90, 00:01:35, Serial0/0/0
D 10.0.8.80/29 [90/2172416] via 10.0.8.90, 00:02:01, Serial0/0/0
C 10.0.8.88/30 is directly connected, Serial0/0/0
D 10.0.8.92/30 [90/2684416] via 10.0.8.90, 00:01:35, Serial0/0/0
Tabla de enrutamiento después de la autenticación
R1#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -
BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter
area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks


C 10.0.8.32/27 is directly connected, FastEthernet0/1
C 10.0.8.88/30 is directly connected, Serial0/0/0
R1#
ACL
¿Qué es una ACL?
Una conversación TCP
Filtrado de paquetes
El filtrado de paquetes, a veces denominado “filtrado
de paquetes estático”, controla el acceso a una red
mediante el análisis de los paquetes entrantes y
salientes y la transferencia o el descarte de estos
según determinados criterios, como la dirección IP de
origen, la dirección IP de destino y el protocolo
incluido en el paquete.
Cuando reenvía o deniega los paquetes según las reglas
de filtrado, un router funciona como filtro de
paquetes.
Una ACL es una lista secuencial de instrucciones permit
(permitir) o deny (denegar), conocidas como “entradas
de control de acceso” (ACE).
Filtrado de paquetes (cont.)
Funcionamiento de ACL

La última sentencia de una ACL es siempre una denegación


implícita. Esta sentencia se inserta automáticamente al final de
cada ACL, aunque no esté presente físicamente. La denegación
implícita bloquea todo el tráfico. Debido a esta denegación
implícita, una ACL que no tiene, por lo menos, una instrucción
permit bloqueará todo el tráfico.
Tipos de ACL de IPv4 de Cisco
ACL estándar

ACL extendidas
Asignación de números y nombres a ACL
Introducción a las máscaras wildcard en ACL

Las máscaras wildcard y las máscaras de subred se


diferencian en la forma en que establecen la coincidencia
entre los unos y ceros binarios. Las máscaras wildcard
utilizan las siguientes reglas para establecer la
coincidencia entre los unos y ceros binarios:
• Bit 0 de máscara wildcard: se establece la coincidencia
con el valor del bit correspondiente en la dirección.
• Bit 1 de máscara wildcard: se omite el valor del bit
correspondiente en la dirección.

A las máscaras wildcard a menudo se las denomina


“máscaras inversas”. La razón es que, a diferencia de una
máscara de subred en la que el 1 binario equivale a una
coincidencia y el 0 binario no es una coincidencia, en
las máscaras wildcard es al revés.
Ejemplos de máscaras wildcard: hosts y subredes
Cálculo de la máscara wildcard
El cálculo de máscaras wildcard puede ser difícil.
Un método abreviado es restar la máscara de subred
a 255.255.255.255.
Palabras clave de máscaras wildcard
Ejemplos de palabras clave de máscaras wildcard
Pautas generales para la creación de ACL

• Utilice las ACL en los routers de firewall


ubicados entre su red interna y una red externa,
como Internet.
• Utilice las ACL en un router ubicado entre dos
partes de la red para controlar el tráfico que
entra a una parte específica de su red interna o
que sale de esta.
• Configure las ACL en los routers de frontera, es
decir, los routers ubicados en los límites de
las redes.
• Configure las ACL para cada protocolo de red
configurado en las interfaces del router de
frontera.
Pautas generales para la creación de ACL
Las tres P
• Una ACL por protocolo: para controlar el flujo
de tráfico en una interfaz, se debe definir una
ACL para cada protocolo habilitado en la
interfaz.
• Una ACL por sentido: las ACL controlan el
tráfico en una interfaz de a un sentido por vez.
Se deben crear dos ACL diferentes para controlar
el tráfico entrante y saliente.
• Una ACL por interfaz: las ACL controlan el
tráfico para una interfaz, por ejemplo,
GigabitEthernet 0/0.
Prácticas recomendadas para ACL
Colocación de ACL

Cada ACL se debe colocar donde tenga más impacto en la


eficiencia. Las reglas básicas son las siguientes:
• ACL extendidas: coloque las ACL extendidas lo más
cerca posible del origen del tráfico que se filtrará.
• ACL estándar: debido a que en las ACL estándar no se
especifican las direcciones de destino, colóquelas tan
cerca del destino como sea posible.
• La colocación de la ACL y, por lo tanto, el tipo de
ACL que se utiliza también pueden depender del alcance
del control del administrador de red, del ancho de
banda de las redes que intervienen y de la facilidad
de configuración.
Colocación de ACL estándar
Colocación de ACL extendidas
Introducción de instrucciones de criterios
Configuración de una ACL estándar

Ejemplo de ACL
 access-list 2 deny host 192.168.10.10
 access-list 2 permit 192.168.10.0 0.0.0.255
 access-list 2 deny 192.168.0.0 0.0.255.255
 access-list 2 permit 192.0.0.0 0.255.255.255
La sintaxis completa del comando de ACL estándar es la
siguiente:
Router(config)# access-list número-lista-acceso deny permit remark
origen [ wildcard-origen ] [ log ]

Para eliminar la ACL, se utiliza el comando de configuración


global no access-list.

La palabra clave remark se utiliza en los documentos y hace


que sea mucho más fácil comprender las listas de acceso.
ACL estándar
Configuración de ACL extendidas
Los pasos del procedimiento para configurar ACL
extendidas son los mismos que para las ACL
estándar. Primero se configura la ACL extendida y,
a continuación, se activa en una interfaz. Sin
embargo, la sintaxis de los comandos y los
parámetros son más complejos, a fin de admitir las
funciones adicionales proporcionadas por las ACL
extendidas.
ACL extendidas