Académique Documents
Professionnel Documents
Culture Documents
Septiembre 2010
Internal Training
1
CCNA Certified Exploration 4.0
Tabla de contenidos
Nota del autor (introducción)……………………………………………………………..………………………..…….8
2
CCNA Certified Exploration 4.0
3
CCNA Certified Exploration 4.0
4
CCNA Certified Exploration 4.0
5
CCNA Certified Exploration 4.0
6
CCNA Certified Exploration 4.0
7
CCNA Certified Exploration 4.0
El objetivo del manual es que la persona que lo utilice, sea capaz de adquirir y ejecutar órdenes
no solamente entorno dispositivos Cisco si no en todo el ámbito de redes ya que hoy en día, la
manera en que la infraestructura está divida es algo estandarizado.
Este análisis de temario, no es más que un resumen simplificado y escrito de una manera lo más
fácil posible de entender. Esto no quita importancia a que la persona profesional pueda ampliar
sus conocimientos en el ámbito de internetworking y no solamente en sistemas Cisco.
No se garantizará, y con eso quiero decir, que en tan sólo la lectura de este extenso,
profundizado y elaborado artículo, la persona sea capaz de aprobar con un 100% el examen final
del certificado oficial. Si no que dependerá de cada lector la motivación que entregue a sus
ganas previas de aprender el maravilloso mundo de las redes y cómo funcionan.
Usted es libre de copiar, editar, regalar y distribuir esta obra siempre y cuando adjunte
todas las hojas y sin restar importancia a ninguna página incluida esta introducción.
Esto da pie a un pequeño orden y una mísera ética respecto al trabajo dedicado y
empleado para que usted, con fines personales, pueda aprobar CCNA.
Finalmente, recalcar que este resumen no está integrado al cien por cien del temario
Web “CCNA Exploration 4.0 (2009)” si no que es un extracto casi completo de ello
aunque hay partes básicas y fundamentales que están omitidas; significando que usted
debería tener un conocimiento mínimo en lo que a redes se refiere.
Siéntase libre de distribuir esta obra y si desea contribuir al proyecto, siga la jerarquía
del documento.
8
CCNA Certified Exploration 4.0
1 Semestre 1
1.
Autoritativo: fuente sumamente fiable de información y conocida con exactitud.
9
CCNA Certified Exploration 4.0
10
CCNA Certified Exploration 4.0
El MDA acepta una parte del correo desde un MTA que es el que hace el envío real. El MDA
recibe todo el correo entrante desde el MTA y también puede resolver temas de entrega final
como virus, spam, acuses de recibo, etc.
Una alternativa a usar MUA, MDA y MTA, es el correo corporativo como Lotus Notes, Exchange
o Groupwise. Tienen su propio formato corporativo y se comunican con protocolos propietarios.
POP y POP3 son protocolos de envío de correo entrante y protocolos cliente-servidor. Envían
mails desde el servidor al cliente.
El MDA escucha cuando un cliente se conecta al servidor. Una vez establecida la conexión, el
servidor puede enviar.
El protocolo SMTP se encarga de enviar el correo saliente desde el cliente al servidor MDA.
El formato de mensajes de SMTP utiliza algunos comandos como:
- HELO: identifica el proceso SMTP para el proceso servidor SMTP.
- EHLO: nueva versión de HELO que incluye extensiones de servicio.
- MAIL FROM: identifica el emisor.
- RCPT TO: identifica el receptor.
- DATA: identifica el cuerpo de mensaje.
11
CCNA Certified Exploration 4.0
1.5 IPV4
Un protocolo IPv4 define muchos campos en el encabezado del paquete que contiene valores
binarios:
encabezado clave.
IP destino: valor binario de 32 bits con la dirección de destino.
Protocolo: 8 bits. Tipo de contenido. Permite a la capa de red pasar los datos al
protocolo apropiado.
o 01 ICMP
o 06 TCP
o 17 UDP
12
CCNA Certified Exploration 4.0
Los hosts también necesitan una tabla de enrutamiento para asegurarse que los paquetes
lleguen a su red de destino. A diferencia de la tabla de un Router, la tabla de host contiene su
conexión o conexiones directas y su propia ruta por defecto (Gateway).
> netstat –r
- route ADD
- route DELETE
- route CHANGE
IP binaria: 10101100000100000000010000010100
Se separa cada octeto (elegimos el primero como ejemplo) y luego se multiplica acorde con:
1 128 = 128
0 64 = 0
1 32 = 32
0 16 =0
1 8=8
1 4=4
0 2=0
0 1=0
128 + 32 + 8 +4 = 172
13
CCNA Certified Exploration 4.0
Seguimos la misma jerarquía que el proceso de binario a decimal pero con condiciones. Veamos
un ejemplo:
Cogemos el número 155 en base decimal. Si el número decimal a convertir, es más grande que
el número de bit, es un 1. Después, se resta y se continúa.
155 128 =1
27 64 =0
27 32 =0
27 16 =1
11 8 =1
3 4 =0
3 2 =1
1 1 =1
14
CCNA Certified Exploration 4.0
Dirección broadcast: dirección especial para cada red que permite la comunicación a
todos los hosts de la red. Utiliza la dirección más alta de la red.
Direcciones unicast: se envía un paquete de host a host individual.
Direcciones broadcast: se envía un paquete de 1 host a todos.
Tráfico unicast
Comunicación normal de host a host en cualquier red. Utilizar la dirección de destino y pueden
enrutarse a través de una internetwork.
Transmisión broadcast
Se usa para ubicar servicios o dispositivos especiales para los cuales no se conoce la dirección o
cuando un host debe proporcionar información a todos. Ejemplos:
- solicitar dirección
Broadcast dirigido: se envía a todos los dispositivos (host) de 1 red específica. Útil para
reenviar broadcast en una red no local. (172.16.0.255).
Broadcast limitado: se usa para la comunicación que está limitada a los hosts de la red
local (255.255.255.255) Los routers no reenvían broadcast.
Transmisión Multicast
Diseñada para conservar el ancho de banda. Reduce el tráfico al permitir que un host envíe un
paquete a un conjunto seleccionado de hosts. Ejemplos:
- distribución de audio/video.
- distribución de software.
- suministro de noticias (RSS).
- intercambio de información de enrutamiento
15
CCNA Certified Exploration 4.0
Clientes multicast
Hosts que desean recibir datos multicast. IPv4 ha apartado un bloque especial de direcciones
desde 224.0.0.0 hasta 239.255.255.255.
Direcciones privadas
Direcciones especiales
- red y broadcast
- ruta predeterminada
- loopback
- link-local: 169.254.0.0 – 169.254.255.255 (169.254.0.0/16). El sistema operativo asigna
este rango cuando no tiene IP especificadas. TTL en 1. No debería enviar información a
los routers.
- TEST-NET: 192.0.2.0 – 192.0.2.255 (192.0.2.0/24). Se usan en ejemplos de
documentación y redes.
16
CCNA Certified Exploration 4.0
Nivel 1
Nivel 2
Generalmente se centran en los clientes empresa. Ofrecen más servicios que los otros.
Suelen tener recursos de IT como sus propios DNS, Web, Mail, e-commerce y VoIP.
Nivel 3
Compran servicio Internet a los de nivel 2. Su objetivo son los mercados minoristas y del
hogar en una ubicación específica.
Cuando los bits viajan, se convierten en 0 y 1. Si es un stream largo, para detectarlo usan la
información de control insertada en el encabezado.
17
CCNA Certified Exploration 4.0
1.8.1 ICMPv4
Proporciona mensajes de control y error y se usa con las herramientas ping y traceroute.
0 = red inalcanzable
1 = host inalcanzable
Respuestas de un Router que no puede enviar un paquete
2 = protocolo inalcanzable
3 = puerto inalcanzable
Utilizados por un host final para indicar que el segmento TCP o datagrama UDP no se pudo
enviar a las capas superiores.
subcapa inf: procesos de software que proporcionan servicios a los protocolos de capa
de red.
Separar el enlace en capas permite al tipo de trama acceder a diferentes tipos de medios
definidos por capas inferiores.
LLC (Control de enlace lógico): coloca información que identifica qué protocolo de capa
de red se está usando.
18
CCNA Certified Exploration 4.0
ANSI 3T9.5
ADCCP (Protocolo de control comunicación
avanzada de datos)
1.8.3 GLOSARIO:
P: ¿Qué campo de trama es creado por un nodo de origen y utilizado por un nodo de destino
para asegurar que una señal de datos transmitida no ha sido alterada por interferencia,
distorsión o pérdida de señal?
R: campo de secuencia de verificación de trama.
P: ¿Para qué utilizan los host de red las direcciones de capa de enlace de datos?
R: Entrega local.
P: ¿Qué tres partes básicas son comunes a todas las tramas de la capa de enlace de datos?
R: Encabezado, datos y tráiler.
19
CCNA Certified Exploration 4.0
La transmisión de la trama a través de los medios se realiza mediante un stream de bits que se
envían uno por vez. El tiempo de bit es un plazo específico de tiempo para que cada señal ocupe
los medios.
20
CCNA Certified Exploration 4.0
A medida que utilizamos mayores velocidades, existe la posibilidad de que los datos se dañen.
Una forma de detectar tramas, es iniciar cada trama con un patrón de señales que represente
los bits que la capa física reconoce cómo indicador del comienzo de una trama.
Grupo de códigos
Es una secuencia consecutiva de bits de código que se interpretan y asignan como patrones de
bits de datos.
A menudo se utilizan como una técnica de codificación intermediaria para tecnologías de LAN de
mayor velocidad.
Ventajas:
Reducción de error e el nivel de bits.
Limitación de la energía efectiva transmitida a los medios.
Ayuda para distinguir los bits de datos de los bits de control.
Mejoras en la detección de errores en los medios.
El rendimiento (throughput), es la medida de transferencia de bits a través de los medios
durante un período de tiempo determinado.
La capacidad de transferencia útil es la medida de datos utilizables transferidos durante un
período de tiempo determinado. Por lo tanto, es la medida de mayor interés para los usuarios
de la red.
Consiste en cuatro pares de alambres que han sido trenzados y cubiertos por un revestimiento
de plástico flexible. El trenzado cancela las señales no deseadas.
Este efecto de cancelación ayuda además a evitar la interferencia de fuentes internas. Crosstalk
es la interferencia ocasionada por campos magnéticos alrededor de los pares adyacentes de
alambres en un cable.
21
CCNA Certified Exploration 4.0
Conductor de cobre rodeado de una capa de aislante flexible, donde hay una malla de cobre
tejida o una hoja metálica que actúa como segundo alambre del circuito y como blindaje para el
conductor interno.
Estos cables hoy en día se utilizan para colocar antenas en los dispositivos inalámbricos y
equipos de radio. Los proveedores de cable están convirtiendo sistemas de una a dos vías para
ofrecer Internet.
Las partes de coaxial se reemplazan por fibra óptica multimodo pero la conexión final al cliente
sigue siendo coaxial. HFC (Fibra coaxial híbrida).
Cuatro pares de alambre que se envuelven en una malla de cobre tejida o en una hoja metálica.
Ofrece una mayor protección contra el ruido que el cableado UTP pero bastante más caro. Se
utilizaba mucho en Token Ring y se vuelve a demandar ahora con el estándar de 10GB Ethernet.
Utiliza fibras de plástico o vidrio para guiar los impulsos de luz. Los bits se codifican en la fibra
como impulsos de luz.
Debido a que la fibra no tiene conductor eléctrico, es inmune a las atenuaciones. Se pueden usar
distancias mucho mayores sin necesidad de repetir la señal. Algunos incluso kilómetros.
Problemas comunes:
Costoso.
Se necesitan habilidades de empalmar cableado.
Manejo más cuidadoso que los medios de cobre.
Ideal para backbones empresariales en conexiones punto a punto. Se requieren 2 fibras para
realizar un full dúplex ya que la luz solo va hacia una dirección.
Los LED generan impulsos de luz que se utilizan para representar los datos transmitidos como
bits. Los dispositivos electrónicos detectan la luz y la convierte en voltajes que se reconstruyen
en tramas de datos.
La luz del láser del dable de fibra puede dañar el ojo humano.
Fibra monomodo: 1 sólo rayo de luz. Puede transmitir a distancias muy largas, ya que la
luz es unidireccional.
Fibra multimodo: la luz de LED ingresa a la fibra multimodo en diferentes ángulos.
22
CCNA Certified Exploration 4.0
La dispersión modal son modos de luz que ingresan a la fibra al mismo tiempo y
salen en diferentes momentos. Hace que el pulso de luz se propague. Si la fibra es más larga,
aumenta la Dispersión Modal.
Hay varios tipos de conectores de fibra. Estos son los más comunes:
Punta Recta (ST): comercializado por AT&T. Conector estilo Bayonet, ampliamente
utilizado con fibra multimodo.
Acabado final: extremos de los medios no se encuentran bien pulidos o con suciedad.
Se recomienda un OTDR (Reflectómetro óptico de dominio de tiempo) para probar cada
segmento de cable.
Introduce 1 impulso de luz y mide el reflejo en función del tiempo y calcular la distancia
aproximada.
23
CCNA Certified Exploration 4.0
802.16. WiMAX: Topología punto a multipunto para utilizar banda ancha inalámbrica.
GSM: Especificaciones que habilitan integración GPRS.
1.10 ETHERNET
1.10.1 La trama: encapsulación del paquete
Dirección MAC destino: identificador del receptor deseado. La dirección de la trama compara
con la dirección MAC del dispositivo. Si coinciden, acepta la trama.
Dirección MAC origen: identifica a la NIC. Los switches también la utilizan para ampliar sus
tablas de búsqueda.
Longitud/tipo: longitud exacta del campo de datos de la trama. Se utiliza para garantizar que el
mensaje se recibe correctamente.
Datos/Pad: datos encapsulados de una capa superior, un paquete IPv4. Todas las tramas deben
tener al menos 64 bytes de longitud. En caso de no alcanzarlos, Pad puede incrementar el
tamaño hasta conseguirlo.
FCS: se utiliza para detectar errores en la trama. Utiliza CRC (comprobación cíclica de
redundancia). El emisor incluye los resultados dentro del FCS y el receptor genera el CRC para
buscar errores. Si coinciden los cálculos no se produjo ningún error. Si no coinciden, se descarta
la trama.
24
CCNA Certified Exploration 4.0
1.10.2 ARP
Cuando se envía un paquete a la capa de enlace de datos para que se encapsule en una trama, el
nodo consulta en una tabla qué MAC se mapea a qué IP. Esta tabla se llama ARP (Address
Resolution Protocol).
Cada entrada tiene 2 valores: IP y MAC. La relación entre los 2 valores se denomina mapa y se
almacena en la memoria caché. La tabla ARP se mantiene dinámicamente y hay 2 maneras:
1. Monitorear el tráfico: a medida que un nodo recibe tramas, puede registrar IP’s y MAC’s
de origen como mapeos ARP.
2. Por solicitud: envía un broadcast a todos los dispositivos de la LAN. La trama contiene
un paquete de solicitud ARP con la IP de destino.
El nodo que recibe la trama como si fuera suya, responde con un mensaje de respuesta
ARP por una trama unicast.
Estas entradas tienen un tiempo y al vencer se eliminan. Similar a los switches. Se pueden añadir
manualmente pero también se deberán eliminar a mano.
Cuando ARP recibe una solicitud para mapear una IP con una MAC, busca en su tabla. Si no
coinciden, envían un paquete de solicitud ARP y si alguien coincide, la IP se encapsula al
paquete.
Si el destino se encuentra fuera de la red local, el host emisor envía la trama al Gateway o al
siguiente salto. El origen utilizará esa MAC como destino. Si no existe esa MAC de la Gateway,
envía una solicitud ARP de descubrimiento. Esto es útil para lo siguiente:
Hay una implementación más antigua de IPv4 que no puede determinar si el host
destino está en la misma red lógica que el origen. Ocurre cuando se desactiva el ARP del
Router.
Un host cree que está directamente conectado a la misma red lógica que el host de
destino. Ocurre cuando el host está con una máscara inapropiada.
Un host no tiene una Gateway configurada. ARP proxy puede ayudar a que alcance
subredes remotas.
25
CCNA Certified Exploration 4.0
Las normas de IEEE asignan a cada proveedor un código de 3 bytes denominado OUI
(Identificador único organizacional).
Existen 2 normas:
Todas las direcciones MAC asignadas deben utilizar el OUI que se le asignó.
Se les debe asignar un valor exclusivo (código fabricante) en los últimos 3 bytes.
La MAC suele grabarse permanentemente en la ROM (memoria solo lectura) y no es
modificable. Sin embargo, un PC copia la dirección a la RAM y cuando se examinan las tramas, se
hace uso de ésta.
Por ese motivo, los hackers hacen uso de software para modificarla.
La dirección de capa de red (IPv4) permite el reenvío del paquete a su destino.
La dirección de enlace de datos (MAC) permite el transporte del paquete utilizando los
medios locales a través de cada segmento.
2. Actualización: las entradas MAC adquiridas reciben una marca horaria que se utiliza
como instrumento para eliminar entradas antiguas. Después de recibirla, parte de esa
marca horaria y cuenta regresivamente hasta 0. Se actualizará la próxima vez que se
reciba por ese puerto y ese nodo.
3. Saturación: el switch envía la trama a todos los puertos menos el de origen porque no
encuentra la MAC de destino al enviar.
26
CCNA Certified Exploration 4.0
1.10.5 GLOSARIO
Estructura de la trama Ethernet
Longitud/Tipo (2 bytes)
Valor más grande o igual a 0x600. Indica protocolo encapsulado.
Si una red, unida por un Hub, hay más de 2 PC’s, cuando uno está enviando y otro quiere enviar,
se tiene que esperar hasta estar seguro que el otro ha finalizado.
27
CCNA Certified Exploration 4.0
Switch: recibe una trama y regenera cada bit en el puerto destino adecuado. Se
utiliza para segmentar una red en múltiples dominios de colisión, reduciéndolos.
Longitud de cable: UTP 100m. Backbone UTP 90m / Fibra monomodo 3000m.
También llamado cableado vertical, hace uso de Internet y para recursos compartidos en una
red remota. Generalmente son de fibra óptica.
DTE (Equipo Terminal Datos): recibe los servicios de temporización. Se encuentra en el extremo
del enlace cliente WAN.
P: Un Router que finaliza en un enlace serial WAN es típicamente un dispositivo DTE. ¿En qué
circunstancia se debe configurar un Router como un dispositivo DCE?
R: Cuando se utiliza una situación de Router consecutivo en un entorno de prueba.
28
CCNA Certified Exploration 4.0
2 Semestre 2
2.1.2. RAM
Almacenaje temporal:
2.1.3. ROM
Almacenaje permanente:
Instrucciones bootstrap.
Software básico de diagnóstico (incluido en el firmware).
Versión básica del IOS.
2.1.4. FLASH
2.1.5. NVRAM
29
CCNA Certified Exploration 4.0
1.
Tenemos 1 servidor llamado “hub” que tiene conectados otros servidores llamados
“spokes”. Comunmente establecida en WAN o Frame Relay. Parecida a la topología en
Estrella.
30
CCNA Certified Exploration 4.0
Funcionamiento:
1. El router envía y recibe mensajes de enrutamiento de interfaces.
2. Comparte mensajes con routers con el mismo protocolo de enrutamiento.
3. Los routers intercambian información para obtener redes.
4. Cuando el router detecta cambio de topología, lo informa.
Ventajas:
Menos mantenimiento.
Protocolos reaccionan automáticamente.
Menos propensa a errores.
Escalable.
Desventajas:
Se utilizan recursos (CPU, RAM, ancho de banda…).
Se requiere un administrador de redes avanzado.
2.2.3. Interfaces
31
CCNA Certified Exploration 4.0
2.2.4. CDP
OSPF.
Es crucial una rápida convergencia de red.
Diseño jerárquico.
Administradores experimentados.
OSPF va por las rutas más rápidas y RIP por las más cortas.
32
CCNA Certified Exploration 4.0
Desventajas:
Tiempo de convergencia: rapidez de routers que comparten tabla de enrutamiento y alcanzan
conocimiento constante. Puede haber loops por alguna ruta que no se ha actualizado debido a
la convergencia.
Escalabilidad: cómo de grande es la red según el protocolo. Si es más grande, deberá ser más
escalable el protocolo.
Ventajas:
Recursos: requisitos como espacio de memoria, porcentaje en uso de CPU. Cuantos más
requisitos, más hardware.
33
CCNA Certified Exploration 4.0
1. Invalidez:
Si no se han recibido actualizaciones transcurridos 180 segundos, la ruta se marca como
inválida y la métrica como 16.
Se retiene la ruta hasta que vence el temporizador de purga.
2. Purga:
Default 240 segundos. Cuando vence, se elimina.
3. Espera:
Evita loops. Si se marca inalcanzable, debe permanecer en espera hasta que todos los
routers se den cuenta (180 segundos).
34
CCNA Certified Exploration 4.0
Condición en la que un paquete se transmite dentro de una red sin llegar al destino.
Sucede cuando dos routers o más, tienen rutas erróneas inalcanzables.
o Rutas estáticas incorrectas.
o Redistribución de rutas incorrectas (propagación entre protocolos).
o Tabla de enrutamiento incongruente debido a convergencia lenta.
o Rutas de descarte configuradas incorrectamente.
Puede producirse por:
o CPU elevadas a causa de loops.
o Paquetes perdidos (agujeros negros).
o Ancho de banda exigido por loops.
o Pueden perderse.
Prevenciones:
o Definir una métrica máxima.
o Temporizadores de espera.
o Horizonte dividido.
o Envenenamiento de ruta o envenenamiento en reserva.
o Triggered updates.
35
CCNA Certified Exploration 4.0
2.3.9. GLOSARIO:
Cuenta infinito: se produce cuando las actualizaciones de enrutamiento inexactas aumentan el
valor de métrica a “infinito” para una red inalcanzable.
Horizonte dividido: establece que un router no debería publicar una red a través de la interfaz
por la cual provino la actualización.
Tiempo de vida (TTL): campo de 8 bits en encabezado IP que limita cantidad de saltos que un
paquete puede atravesar antes de descartarlo.
Evita que un paquete continúe circulando por la red si no se puede entregar.
RIPv2 es un protocolo standard y sin clase. Fácil de configurar. Mejor opción redes pequeñas.
También tiene 15 saltos.
1. RIP:
Admite horizonte dividido y envenenamiento en reserva.
Balanceo de carga hasta 6 rutas. Por defecto son 4 rutas.
2. RIPv2:
Incluye máscara de subred. Protocolo sin clase. VLSM
Mecanismo autenticación.
Direcciones multicast en vez de Broadcast.
Sumarización manual.
Interfaz loopback: interfaz lógica que se usa para simular una física. Puede
asignar dirección IP.
Son útiles para crear redes adicionales sin tener que agregar interfaces
adicionales.
Puedes hacer ping y se replica en la tabla de enrutamiento.
Interfaz nula: alternativa para filtrar tráfico. Redirige tráfico. Siempre está
encendida. No envía ni recibe. Agujero negro.
36
CCNA Certified Exploration 4.0
# passive-interface
Evita el desperdicio de ancho de banda y de procesamiento por actualizaciones
innecesarias.
# default-information origínate
RIP v1 Propaga las rutas por defecto a los vecinos.
# network
identifica redes directamente conectadas que se incluirán en la tabla de enrutamiento.
Router de borde RIP: tiene múltiples interfaces en más de una red principal con clase.
37
CCNA Certified Exploration 4.0
Dada la red de Clase C 204.15.5.0/24, divide las redes para ajustar la red de la ilustración
inferior.
Mirando la imagen, debemos crear 5 subredes para que soporte una red máxima de 28 hosts.
La forma más fácil es empezar desde la red más grande hasta la más pequeña.
38
CCNA Certified Exploration 4.0
2.4.3 EIGRP
El propósito del PDM de EIGRP es brindar soporte modular para los protocolos
de capa 3.
Una ruta activa es marcada por DUAL cuando EIGRP queda fuera de servicio y no
se detecta un sucesor factible en la topología.
El propósito de las tablas de vecinos y topología EIGRP es que DUAL use las
tablas de vecinos y topología para desarrollar la tabla de enrutamiento.
Rely 255/255 es la probabilidad que el enlace continúe activo.
# show ip eigrp topology all-links
muestra todas las rutas posibles hacia un destino.
DUAL: Algoritmo actualización por difusión. Analiza el camino y las rutas de respaldo sin
loops.
rutas sin bucles.
convergencia rápida.
uso mínimo ancho de banda. Actualizaciones automáticas.
rutas de respaldo sin bucles. Pueden utilizarse inmediatamente.
Actualizaciones:
No envía actualizaciones periódicas, sólo cuando la métrica cambia.
- PARCIAL: información para cambios de ruta.
- LIMITADA: sólo reciben routers afectados por el cambio.
39
CCNA Certified Exploration 4.0
2.4.5 OSPF
3 Semestre 3
Capa de acceso: dispositivos finales como PC, impresoras, routers, switches. Controla qué
dispositivos tienen acceso a la red.
Capa de distribución: controla el flujo, el tráfico de la red con dominios de broadcast con VLAN’s
definidas por la capa de acceso.
Switches config. apilables: conectados por backplane hasta 9. Varios switches en uno.
40
CCNA Certified Exploration 4.0
3.1.2 CSMA/CD
Si hay una latencia y 2 dispositivos no se detectan, empezarán a transmitir los dos. Habrá
colisiones. Para detectar colisiones hay que tener el dispositivo en modo escucha ya que
detectan un aumento de amplitud de señal normal.
Señal de congestión y postergación aleatoria: cuando detectan colisiones, envían una señal de
congestionamiento.
Esta señal avisa a los demás dispositivos para realizar un algoritmo de postergación. Detienen su
transmisión durante X tiempo.
Cuando finaliza, el dispositivo escucha de nuevo.
Unicast: host envía trama destino específico. Sólo existe emisor y receptor. Predomina
en LAN e Internet. HTTP, FTP, TELNET, SMTP…
Broadcast: se envía trama desde 1 dirección a todas las direcciones. Sólo 1 emisor.
Fundamental al enviar mensajes a LAN. Ej: consulta resolución de direcciones (ARP) a
todos.
Multicast: 1 trama hacia un grupo específico. Deben ser miembros de un grupo
multicast lógico. Transmisión de voz y video.
41
CCNA Certified Exploration 4.0
3.1.4 Half-Duplex
Similar a los walkie-talkies. Sólo una persona puede enviar o transmitir a la vez. Por eso
implementa CSMA/CD. Se puede encontrar en nodos antiguos: hubs y tarjetas NIC.
3.1.5 Full-Duplex
Flujo de datos bidireccional, la información puede enviarse y recibirse al mismo tiempo por
canales separados.
más rendimiento.
conectado al switch dedicado.
requiere full-duplex en ambos extremos.
sin colisiones.
CSMA/CD desactivado.
Una serie de switches conectados forman un dominio de broadcast simple. Sólo un dispositivo
de capa 3 como un router o VLAN lo detienen.
Tiempo que toma una trama o un paquete a hacer el recorrido desde la estación de origen hasta
su destino final.
La latencia depende de tres factores:
Más HW, hace que todo el viaje sea más rápido. Mayor procesamiento.
Más volumen de tráfico, además el broadcast ARP, influye negativamente el
rendimiento.
Aplicaciones con demanda de ancho de banda.
42
CCNA Certified Exploration 4.0
Cuando un switch recibe una trama, la almacena en un búfer hasta recibir toda la trama.
Durante este proceso, el switch analiza la trama para buscar información acerca de su destino y
verifica errores CRC.
El CRC utiliza una fórmula basada en la cantidad de bits para determinar si ésta tiene algún
error.
Menos ancho de banda ya que el switch descarta la trama y CRC consume. Solución QoS.
La memoria está basada en puerto, las tramas se almacenan en colas conectadas a puertos de
entrada y salida específicos.
La memoria compartida deposita todas las tramas en un búfer de memoria común y comparten
todos los puertos del switch.
3.1.11 Ataques de seguridad comunes
Host A envía tráfico a Host B. El switch no encuentra la dirección MAC de Host B, por lo que se
envía el paquete por broadcast a todos.
El Host B recibe la trama y responde a Host A. Ya sabe qué puerto debe utilizar (puerto 2). Host
C también recibe la trama pero la descarta ya que no es su MAC.
43
CCNA Certified Exploration 4.0
El intruso en Host C ejecuta una herramienta de bombardeo de MAC’s e IP’s aleatorias (155.000
por minuto). Satura el switch y automáticamente entra en modo Hub. Entonces envía a todo
Dios las tramas por broadcast con lo cual también recibe Host C.
44
CCNA Certified Exploration 4.0
El snooping determina qué puertos son confiables y cuáles no. Los confiables pueden recibir
DHCP, los no confiables solo reciben solicitudes.
También es muy común un ataque DoS por Telnet. Crea mucha molestia. Bugs
solventados en el último IOS.
45
CCNA Certified Exploration 4.0
BBDD vulnerables.
46
CCNA Certified Exploration 4.0
3.1.15 Glosario:
# show port-security <interface>
Verificación de seguridad del puerto.
3.2 VLAN
3.2.1 Beneficios VLAN
Seguridad.
Reducción de costos.
Mejor rendimiento, con lo cual reduce broadcast.
Mitigación tormentas de broadcast.2
Mayor eficiencia del personal IT.
2.
Evento de red indeseable en el que se envían muchos broadcast de manera simultánea a
través de los segmentos de red.
47
CCNA Certified Exploration 4.0
Rangos normales:
Pequeños y medianos negocios.
ID entre 1 y 1005.
FDDI y Token Ring: 1002 a 1005.
La 1 y des de 1002 a 1005 no se pueden eliminar.
Se guardan en “vlan.dat” de la memoria flash.
Rangos ampliados:
1006 a 4094.
Proveedores de servicio.
Menos opciones.
Se guardan en el archivo de configuración de ejecución.
3.2.3 Tipos de VLAN
Datos:
Configurada para enviar sólo tráfico de datos generado por el usuario. Se
recomienda separar datos y voz.
Predeterminada:
Por defecto Vlan 1. Tiene todas las características pero no puedes renombrarla
ni eliminarla.
Administración:
Cualquier Vlan. Normalmente se usa la 99. Se puede manejar un switch por http,
SSH, Telnet, SNMP….
Voz:
Importante separar voz y datos. Mucha carga de ancho de banda. VoIP requiere:
Ancho de banda garantizado a calidad de voz.
Prioridad de transmisión sobre tipos tráfico de red.
Capacidad para ser enrutado en áreas congestionadas.
Demora de menos de 150 ms a través de red.
Vlan estática:
Se asignan manualmente. Se crea nueva VLAN expresamente.
Cada puerto está asociado a 1 VLAN.
Configuración manual de asignación de puertos VLAN.
Requiere interacción administrador cuando los usuarios se
desplazan.
# interface FastEthernet 0/1
# switchport mode access
# switchport access 20
# end
48
CCNA Certified Exploration 4.0
Vlan dinámica:
No se utiliza mucho.
VMPS (Servidor Política Membresía de VLAN).
Asigna puertos de switch a la VLAN basados en forma dinámica
de dirección MAC origen.
Los puertos desarrollan su propia configuración.
Menor sobrecarga de trabajo adicional cuando los usuarios se
desplazan.
La configuración se basa en la BBDD.
3.2.4 Enlaces Troncales
Enlace punto a punto entre dos dispositivos de red que llevan más de una VLAN.
Un enlace troncal no es una Vlan específica si no un conjunto de ellas entre el switch y el
router.
Cuando el switch recibe la trama por un puerto con una Vlan estática, quita
la trama e inserta una etiqueta VLAN. Recalcula la trama y a envía al enlace
troncal.
49
CCNA Certified Exploration 4.0
IEEE, no ISL:
IEEE 802.1Q: Admite tráfico simultáneo etiquetado o no. Se le
asigna un PVID3 y se transporta todo el tráfico sin etiquetar.
Sólo se envía algo sin etiquetar cuando el paquete con un ID de
VLAN es igual al PVID predeterminado del puerto de salida.
ISL: se espera que todos los paquetes transmitidos se envíen con
un encabezado ISL. Tramas no etiquetadas, se descartan.
Activado (predeterminado):
Va enviando tramas DTP. El puerto local informa que va cambiando
dinámicamente al puerto remoto a troncal.
# switchport mode trunk
Auto dinámico:
Envía periódicamente tramas DTP al puerto remoto.
# switchport mode dynamic auto
3.
Todo el tráfico etiquetado o sin etiquetar con un ID nulo.
50
CCNA Certified Exploration 4.0
3.3 VTP
Permite al administrador configurar un switch de modo que propagará las VLAN a los
demás switches.
3.3.1 Beneficios:
51
CCNA Certified Exploration 4.0
Nombre de dominio.
ID de actualizador y marca horaria de actualización.
MD5 digest.
Formato de trama.
Las publicaciones VTP a la VLAN:
ID VLAN.
Nombre VLAN.
Tipo VLAN.
Estado VLAN.
Información adicional de configuración de VLAN.
La trama Ethernet se encapsula como troncal (802.1Q). Cada switch envía broadcast y multicast.
los vecinos lo reciben.
De resumen:
nombre de dominio.
nº actual revisión y otros detalles.
envían publicaciones cada 5 minutos por el servidor o cliente para informar a los
demás switches.
52
CCNA Certified Exploration 4.0
switch reconfigurado.
Temas comunes tras la publicación:
3.3.6 Modos
Servidor:
Se pueden crear, borrar y modificar VLAN para dominio completo. Es el modo
predeterminado. Publican sus configuraciones a otros switches del dominio y se
sincronizan.
Cliente:
No se puede crear, modificar ni eliminar VLAN. La información que recibe del servidor
VTP, se almacena en BBDD, no en la NVRAM.
Redes muy grandes al haber muchos switches. Más eficaz.
Transparente:
Envían publicaciones a otros switches a través del enlace troncal que reciben por sus
puertos.
No publican configuraciones VLAN y no sincroniza su configuración de VLAN.
Configurarlo cuando la VLAN sea local y no deba compartirse.
Las configuraciones se guardan en la NVRAM. Estará disponible después de la caída de
un switch.
53
CCNA Certified Exploration 4.0
3.3.7 Glosario:
P: ¿Cómo afecta el VTP a la administración VLAN?
R: VTP propaga los nombres de VLAN a todos los switches de dominio VTP.
P: El switch de dominio VTP envía peticiones de publicación. ¿Cuál será la respuesta?
R: El servidor VTP envía resumen y un subconjunto de publicaciones.
P: ¿Cuál es el propósito del protocolo de enlaces troncales VLAN?
R: Mantener la coherencia en la configuración de VLAN en toda la red.
Como el Broadcast se envía a todos, todos deben procesar el tráfico que fluye en la red
con bucles. Esto puede producir que el dispositivo final no soporte la carga en la NIC.
Las tramas unicast también pueden afectar bucles porque son enviadas a la red y
generan tramas duplicadas que llegan al dispositivo destino.
54
CCNA Certified Exploration 4.0
La redundancia ayuda a que una topología sea estable, al conectar varios switches o cables. Esto
comporta que haya bucles y tramas duplicadas.
El protocolo Spanning Tree ha sido desarrollado para evitarlo ya que asegura que haya una ruta
lógica entre 2 destinos, al bloquear intencionadamente a las rutas redundantes.
Físicamente aún están conectados. STP calculará y habilitará de nuevo esas rutas, en caso de
fallo de cableado o switch.
Algoritmo:
Utiliza un algoritmo (STA) que determina qué puertos debe bloquear para evitar bucles.
El STA designa 1 solo switch como puente raíz y lo usa de referencia para todos los
cálculos.
Todos los switches STP comparten tramas BPDU para determinar e menor ID de puente
(BID). Se elegirá el menor.
puerto designado: todos los puertos que no son raíz y que aún pueden enviar
tráfico.
Proceso BPDU:
Cada switch al arrancar, de manera predeterminada, arrancan como puente raíz. Las
tramas se envían cada 2 segundos.
Si es ID raíz de BPDU, es más pequeño que el raíz local, el switch actualizará el ID raíz
local.
55
CCNA Certified Exploration 4.0
STP determina la ruta lógica sin bucles gracias al envío de tramas BPDU. Para facilitar el
aprendizaje, cada puerto sufre una transición de 5 estados. El STP queda determinado una vez
ha arrancado el switch. Si un switch experimenta una transición (pasa datos), y pasa del estado
de bloqueo al estado de envío, ese puerto puede crear bucles si el switch no advierte de toda la
topología. Por esa razón hay 5 estados de puertos:
Para determinar cuánto tiempo esos puertos van a continuar estando así:
Tiempo de saludo: tiempo que transcurre cada vez que una trama de BPDU es
enviada a un puerto. Por defecto son 2 segundos. Valores modificables entre 1 y
10.
56
CCNA Certified Exploration 4.0
“Router-on-a-stick”: configuración del router con 1 interfaz física única que enruta el
tráfico entre múltiples VLAN.
Existen switches de capa 3 que permiten enrutar y prescindir de un router.
Se asignan subinterfaces para separar redes por 1 cable. Ambos extremos como los
routers y los switches, se configuran como enlace troncal.
Límite del puerto: 1 interfaz por VLAN requiere muchos cables, interfaces, etc. pero si es
una prioridad utiliza subinterfaces. Puedes enrutar por VLAN variaos switches.
Desempeño: tiene un mejor ancho de banda. y una interfaz física. Las subinterfaces
compiten por el ancho de banda. En una red ocupada, hay más.
Puertos de acceso y puertos enlace troncal: de la interfaz del router al switch, será un
enlace troncal. De switch del PC, puertos access…
Costo: más caro son los routers con interfaces.
Complejidad: más fácil instalación/mantenimiento por el tema de que hay poco cable.
Por otro lado, es más difícil diagnosticar por dónde ha podido fallar ya que no puedes
seguir con él.
57
CCNA Certified Exploration 4.0
Técnica de modulación OFDM y opera a 5Ghz. Menos interferencias ya que menos mercado
opera a 50Ghz. A diferencia de las 2.4GHz si que estamos algo indefensos. Antenas más
pequeñas (5Ghz).
Cuanta más alta sea la señal, más fácil es de los muros se te coman.
Rango más acotado. No disponible en Rusia.
3.5.2 802.11b/g
802.11b especificó tasas hasta 11Mb/s en 2.4Ghz mediante la técnica de modulación OFDM.
Dispositivos que van en una frecuencia de 2.4 tienen mejor alcance que los que van a 5 Ghz.
Pero como hay muchos dispositivos que operan a esta frecuencia, tienen cortes.
58
CCNA Certified Exploration 4.0
3.5.3 802.11n
Diseñado para mejorar tasas de datos y alcance WLAN sin requerir energía adicional.
Utiliza radios y antenas múltiples y cada una transmite en la misma frecuencia para establecer
streams múltiples.
La tecnología de entrada múltiple / salida múltiple (MIMO), divide un stream en varios de menor
tasa y los transmite simultáneamente. 248Mb/s en 2 streams.
3.5.4 CSMA/CA
Los AP supervisan la función de coordinación distribuida (DCF). Esto significa que los dispositivos
WLAN deben detectar la energía del medio y esperar a que este se libere antes de enviar.
Hay acuses de recibo entre cliente-servidor.
59
CCNA Certified Exploration 4.0
Las WLAN 802.11b/g utilizan la frecuencia 2.4Ghz de banda sin licencia. Es la misma banda que
los teléfonos, microondas, hornos, etc.
Se consiguen congestionar las bandas RF y los atacantes pueden crear ruido.
Convertir la NIC en un AP e invaden el BSS con mensajes listos para enviar (CTS).
Inhabilitan CSMA/CA y los AP inundan tráfico que causan un stream constante de
colisiones.
Otro ataque DoS es enviar comandos desvinculados que causa que todas las estaciones
BSS se desconecten.
Cuando intentan conectarse crean una explosión de tráfico.
60
CCNA Certified Exploration 4.0
4 Semestre 4
61
CCNA Certified Exploration 4.0
Establecen un canal dedicado entre los nodos y los terminales antes de que los usuarios puedan
comunicarse.
Cuando un ISP hace una llamada telefónica, ese número de destino se utiliza para realizar un
circuito entre varios puntos.
De modo que se conoce como red “conmutada por circuito”. Varias conversaciones comparten
la ruta interna (multiplexación).
Si se usa esta conmutación para PC’s, no será suficiente. Habrá períodos de inactividad. Ráfagas
para cargar páginas.
PSTN e ISDN son tecnologías de conmutación de circuitos para WAN empresarial.
62
CCNA Certified Exploration 4.0
Protocolo de capa de red heredado que proporciona una dirección de red a los suscriptores.
Varios canales pueden estar activos en una conexión.
Aplicaciones típicas que lo usen son puntos de venta (lectores de tarjeta) en reconexión
telefónica porque el bajo ancho de banda y la latencia no supone un problema.
Actualmente en decadencia. Se sustituyen por DSL, ATM, etc.
4.2.3 ATM
Modo transferencia asíncrona. Capaz de transmitir voz, videos y datos a través de redes privadas
y públicas.
Transmite celdas, no tramas y siempre tienen longitud fija de 53 bytes.
Las celdas pequeñas equivalen a voz y video porque no tolera demoras.
Orientada a conexión para brindar grandes anchos de banda y servicios IP. El suscriptor no
puede conectarse directamente a Internet. Primero debe pasar por el ISP para establecer
conexión IP.
Conexión permanente y de fácil instalación. Conecta el módem a un PC que traduce las señales
digitales a frecuencias de banda ancha.
La oficina de TV tiene la infraestructura para dar Internet.
CMTS (Cable Modem Termination System) envía y recibe señales digitales de módem por cable
para brindar Internet.
63
CCNA Certified Exploration 4.0
Divide el ancho de banda de un solo enlace en canales separados. Transmite dos o más canales
mediante períodos de tiempo.
Es concepto de capa física. El multiplexor (Mux), admite 3 señales diferentes. Envía 8 bits por
intervalo. Coloca cada segmento en 1 canal.
El receptor toma como referencia el tiempo que cada bit tarda en llegar (entrelazado).
Como diferencia, existe STDM (Statical TDM). Utiliza todos los vacíos que puede haber en un
paquete y no los envía vacíos como TDM.
4.3.5 DTE/DCE
Una conexión serial posee DTE en un extremo y DCE en el otro. Se forma la WAN.
El DTE en general es el router.
El DCE en general es un módem. Convierte los datos DTE en una forma aceptable para el
ISP.
Punto de demarcación: es el punto donde se separa la parte del cliente con el ISP.
64
CCNA Certified Exploration 4.0
4.4 PPP
Compatible para todo el hardware que no sea Cisco y también Cisco.
Encapsula tramas a través de enlaces físicos de capa 2. Establece conexión directa mediante
cables seriales, teléfono, fibra… incluye 2 funciones que no están en HDLC.
PPP contiene:
LCP: control de enlace. Hace el trabajo de PPP: LCP se ubica en primer la capa física y
prueba toda tu infraestructura. Maneja por los NCP y también devora y también
establece las opciones WAN:
o Manejo límites variables en el tamaño de paquete. Detección errores común
aplicativo.
o Finalización enlace.
1. Establecer enlace y negociación de la configuración.
2. Determinación de calidad de enlace (opcional).
Autenticación: PAP y CHAP. Se explica más abajo.
Compresión: Stacker y Predictor. Comprime las tramas y aumenta el rendimiento de la
red.
Detección de errores: número mágico. Ayuda a garantizar enlace confiable. Ayuda a
detectar enlaces en loopback. El número debe transmitirse como 0.
Multienlace: versiones superiores a 11.1 del IOS. Proporciona balanceo de carga y
método diseminar tráfico en varios enlaces WAN.
Devolución llamadas: versiones superiores a 11.1 del IOS. Opción LCP. Cliente inicia
llamada y solicita que el servidor se la devuelva.
Antes de cruzar el enlace WAN, los datos se encapsulan para asegurar que se utiliza el protocolo
correcto. La elección del protocolo depende de la WAN y la tecnología.
65
CCNA Certified Exploration 4.0
4.4.1 HDLC
Utiliza transmisión serial síncrona para estar libre de errores mediante acuses de recibo. Así es
una trama HDLC:
FCS (Frame Check Sequence): procede el delimitador del señalador de fin y por
lo general es un CRC. Se realiza después en el receptor.
Incluye campos funcionales que contienen códigos estandarizados para indicar el tipo de
protocolo de capa de red que el PPP encapsula.
Maneja la asignación y gestión de las direcciones IP en IPCP.
Encapsula y negocia las opciones para múltiples de capa de red.
66
CCNA Certified Exploration 4.0
PAP
Proceso básico de 2 vías. Se envía usuario y password sin cifrar. La autenticación es opcional
pero si se usa, antes el LCP tiene que establecerse y elegir el protocolo de autenticación.
CHAP
El nodo remoto responde con un valor con una función hash MD5. Router local verifica
respuesta y compara.
4.4.5 Glosario:
P: ¿Cuál es el encapsulador por omisión para interfaces seriales en una red CISCO?
R: HDLC
67
CCNA Certified Exploration 4.0
Capa enlace: define el protocolo que establece la conexión entre DTE3, como router y
DCE como switch.
4.5.2 Circuitos Virtuales
Comunicación entre DTE en Frame Relay se denomina VC (Virtual Circuit). No hay conexión
eléctrica directa.
Es una conexión lógica y los datos se mueven de extremo a extremo. Así no hay líneas físicas
dedicadas.
Frame Relay transmite solo una trama por vez, pero pueden coexistir muchas conexiones lógicas
por una línea física.
El router o dispositivo conectado a Frame Relay puede conectarse a varios puntos finales.
Coge el paquete IP o IPX desde la capa de red, la encapsula como parte de datos y la entrega a la
capa física para entregarla por el cable.
68
CCNA Certified Exploration 4.0
Topología en malla parcial: suelen configurarse para redes grandes ya que hay más
interconexiones que las necesarias para una disposición en estrella pero no tantas para
malla completa.
Técnica que se usa para evitar un routing loop en redes que usan protocolos de enrutamiento
vector-distancia. La actualización mediante esta técnica, reduce los bucles, al no permitir que
una actualización recibida sea reenviada por la misma interfaz que las enviadas.
Deshabilitarlo, puede ser una solución sencilla ya que permite que las actualizaciones de
enrutamiento se envíen a la misma interfaz física en la que se originaron.
También se podría utilizar topología malla completa pero sería más costoso ya que requieren
más PVC.
Punto a punto: establece una conexión PVC a otra interfaz física o subinterfaz en un
router. Cada pareja está en su subred y cada interfaz tiene su DLCI.
69
CCNA Certified Exploration 4.0
4.5.7 Glosario:
P: ¿Por qué se dice que las rutas de Frame Relay, son virtuales?
R: No hay circuitos dedicados dentro de la nube de la portadora de Frame Relay ni desde ella.
P: Describe el problema del horizonte dividido con respecto a una topología en multipunto.
R: El horizonte dividido no permite a ningún otro punto aceptar una actualización válida y
enviarla a todos los otros puertos.
P: ¿Qué ventaja ofrece Frame Relay en materia de confiabilidad en comparación con las líneas
alquiladas?
R: Los recorridos de los circuitos virtuales que están dentro del portador son de malla.
P: ¿Qué situación favorece a una topología multipunto en lugar de una punto a punto?
R: Cuando VLSM no puede ser utilizado para preservar direcciones.
70
CCNA Certified Exploration 4.0
Amenazas estructuradas: provienen de personas o grupos que tienen una mayor motivación y
son más competentes técnicamente. Técnicas avanzadas de hacking.
Amenazas externas: personas que trabajan fuera de la empresa y que no tienen acceso
autorizado a los sistemas informáticos.
Amenazas internas: personas que tienen acceso autorizado a la red. La gravedad de estas
amenazas depende de la experiencia del agresor.
Ingeniería social: aprovecharse de las personas que no tienen experiencia y pueden revelar
información como contraseñas. Hacerse pasar por alguien o convencer a otras para tu
propósito.
Denegación de servicio (DoS): se lleva a cabo cuando un agresor desactiva o daña redes.
Consiste en colapsar el sistema o desacelerarlo hasta que quedan inutilizables.
Virus, gusano y caballo de Troya: software malicioso que puede ser insertado en un host
para perjudicar o dañar un sistema, puede replicarse a sí mismo, o denegar el acceso a
redes, los sistemas o los servicios.
Saturación SYN: Implica enviar más de 1000 peticiones SYN a un servidor. El servidor
responde con ACK-SYN, pero el host malicioso nunca responde con el ACK final. Esto
paraliza el servidor.
71
CCNA Certified Exploration 4.0
Ataques DDoS:
EJ: suponga que tenemos 100 hosts y el agresor un enlace T1. El agresor envía un flujo de
768Kbps de ICMP con una dirección origen suplantada a la dirección de broadcast objetivo.
Estos paquetes llegan al sitio de rebote de la red de 100 hosts, lo que crea 100 respuestas.
Se utiliza un total de 76’8Mbps hacia fuera. A continuación esto se envía a la víctima o al
origen suplantado.
4.6.3 Gusanos
Funcionamiento:
o Vulnerabilidad: se instala a si mismo gracias a usuarios ingenuos.
o Propagación: tras obtener acceso, se copia al host y a varios más.
o Contenido: una vez infectado, el agresor obtiene acceso.
Mitigaciones:
o Contención: contener propagación.
o Inoculación: comenzar a colocar parches.
o Cuarentena: seguimiento de cada máquina infectada.
o Tratamiento: limpiar y colocar parches en cada uno de los sistemas infectados.
4.6.4 Técnicas generales de mitigación
72
CCNA Certified Exploration 4.0
1. Asegurar:
Defensa contra amenazas.
Inspección con estado y filtrado de paquetes (sólo paquetes necesarios).
Sistemas de Prevención de Intrusión.
Parches a vulnerabilidades.
Desactivación servicios innecesarios.
VPN.
Confianza e identidad.
Autenticación.
Cumplimiento de políticas.
2. Controlar: involucra métodos activos de buscar violaciones de seguridad. Entre los
métodos se encuentra IDS.
3. Probar: se someten a pruebas proactivas. Las herramientas de evaluación como
SATAN, Nessus o Nmap son útiles de probar.
4. Mejorar: análisis de datos recopilados durante las fases de control y pruebas.
Desarrollo de mejores que intensifican política de seguridad.
73
CCNA Certified Exploration 4.0
Es un conjunto de pautas establecidas para proteger la red de los ataques, ya sean desde el
interior como desde fuera.
74
CCNA Certified Exploration 4.0
4.7 ACL’S
Configuración de router que controla si un router permite o deniega paquetes según el criterio
encontrado en el encabezado del paquete.
75
CCNA Certified Exploration 4.0
Las ACL numeradas son un método eficaz para determinar el tipo de ACL en redes más
pequeñas.
76
CCNA Certified Exploration 4.0
ACL extendidas lo más cerca posible del origen del tráfico denegado. Así, el tráfico
no deseado se filtra sin pasar toda la red.
ACL estándar: más cerca posible del destino
77
CCNA Certified Exploration 4.0
78
CCNA Certified Exploration 4.0
79
CCNA Certified Exploration 4.0
Beneficios
- uso de mecanismo desafío para usuarios individuales.
- administración simplificada.
- reducción procesamiento routers de ACL.
- reducción intromisiones piratas.
- creación acceso dinámico a través del Firewall.
2. Permite telnet con router. La entrada ACL se ignora hasta activar bloqueo. La ventana se
abre durante 15 minutos. Luego se cierra.
Beneficios
- ayudan a proteger la red de hackers.
- proporciona un nivel de seguridad elevado en cuanto la suplantación de identidad ya
que necesitan coincidir más reglas. También previene ataques DoS.
- Fáciles de utilizar. Mayor control de paquetes.
80
CCNA Certified Exploration 4.0
81
CCNA Certified Exploration 4.0
4.7.14 Glosario:
P: ¿Qué ocurre si un administrador de red aplica una lista de acceso IP que no tiene una
sentencia de permiso de salida de una interfaz?
R: Se deniega todo el tráfico saliente.
P: Un administrador desea implementar acceso lock-and-key, a un host dentro de la
empresa. ¿Qué ACL es mejor?
R: dinámica.
P: ¿Cuál es la afirmación de una ACL reflexiva?
R: Una ACL que permite el tráfico IP de las sesiones que se originan en el interior de la red
mientras que rechaza el tráfico de las sesiones que se originan en el exterior.
82
CCNA Certified Exploration 4.0
83
CCNA Certified Exploration 4.0
4.8.2 Cable
Usa un cable coaxial que transporta señal. La mayor parte de los implantes proporcionan una
comunicación bidireccional entre todos.
Implementa redes de fibra coaxial híbrida (HFC).
La frecuencia es la velocidad es la qual ocurren ciclos de voltaje. La longitud de onda se propaga.
Es capaz de transmitir a cualquier dirección al mismo tiempo.
Descendente: transmisión de señal de RF desde el origen (cabecera) hacia el destino
(suscriptores). La transmisión desde el origen hacia el destino se denomina ruta de envío,
desde 50 a 860 megahercios (MHz).
Ascendente: la dirección de una transmisión RF hacia la cabecera o ruta inversa. De 5 a
42Mhz.
DOCSIS es un estándar desarrollado por CableLabs. Prueba y certifica dispositivos de proveedores.
Las operadoras emplean DOCSIS para proporcionar acceso a Internet, mediante el cable coaxial
(HFC).
Capa física: señales de datos que el operador de cable puede usar.
Capa MAC: define métodos de acceso deterministas. Acceso múltiple por división temporal
(TDMA).
TDMA: Divide el acceso por tiempo.
FDMA: divide el acceso por frecuencia.
CDMA: espectro disperso + codificación especial.
4.8.3 DSL
Nunca se ha requerido más de 3KhZ para una conversación de voz. Es na forma de proveer alta
velocidad con cobres. Como ejemplo, la DSL asimétrica (ADSL), hace uso de 20KhZ a 1MhZ.
POTS (Servicio tecnológico analógico), identifica el rango de frecuencia usado por el ISP.
DSLAM: ubicada en la oficina central de telecomunicaciones. Combina conexiones DSL
individuales de los usuarios en un enlace de alta capacidad al ISP y, por lo tanto, Internet.
DSL no es un medio compartido; cada usuario tiene una conexión directa separada al DSLAM.
Microfiltro: un filtro de paso bajo. Elimina la necesidad de que un técnico visite las
instalaciones. ADSL distorsiona las señales de voz y por eso se usa.
84
CCNA Certified Exploration 4.0
85
CCNA Certified Exploration 4.0
86
CCNA Certified Exploration 4.0
4.8.8 Glosario:
P: Al comparar DOCSIS con Euro-DOCSIS, ¿cuál es la diferencia principal?
R: anchos de banda de los canales
P: Diga dos técnicas que se pueden utilizar para proteger el tráfico enviado a través de una
conexión VPN.
R: encapsulación y encriptación.
87
CCNA Certified Exploration 4.0
PASO4
Finalmente, el servidor crea una nueva entrada ARP y responde con un DHCPACK unicast.
Cuando el cliente lo recibe registra la información y hace una búsqueda ARP. Si no recibe
respuesta, comienza a utilizarla.
88
CCNA Certified Exploration 4.0
89
CCNA Certified Exploration 4.0
90
CCNA Certified Exploration 4.0
91
CCNA Certified Exploration 4.0
4.11 IPV6
4.11.1 Motivos para usar IPv6
El espacio de direcciones IPv4 útiles es de 3700 millones, de entre los casi 4200 millones. Se
reservan para multicast, pruebas y otros usos específicos.
El conjunto de números se está reduciendo por los siguientes motivos:
crecimiento población: hay unos 2000 millones de usuarios hasta la fecha.
Permanecen conectados más tiempo y reservan más IP’s.
usuarios móviles: cada vez hay más teléfonos que necesitan IP, lectores de código
de barras, etc.
transporte: cada vez habrá más coches habilitados para IP, así como aviones, entre
otros.
productos electrónicos: grabadoras de vídeo que descargan guías de programas,
etc.
Japón, comenzó el cambio a IPv6 en el año 2000 para actualizar todas las empresas del
sector público.
El Departamento de Defensa de EE.UU, marcó para el 2003 pasar a IPv6.
92
CCNA Certified Exploration 4.0
93
CCNA Certified Exploration 4.0
94
CCNA Certified Exploration 4.0
4.11.5 Tunneling
Otro método es tunneling y existen varias técnicas:
manualmente de IPv6 a IPv4: un paquete IPv6 se encapsula en uno IPv4. Requiere
routers stack doble.
dinámico 6to4: conexión automática de IPv6 a IPv4. Normalmente Internet.
Recuerde: “¡Use stack doble cuando pueda y tunneling cuando deba!”
95
CCNA Certified Exploration 4.0
96
CCNA Certified Exploration 4.0
Manera 2
R1(config)# ip name-server address
R1(config)# ip name-server 3FFE:B00:FFFF:1::10
4.11.9 Glosario:
P: ¿Cuál es el valor de tiempo de espera predeterminado de las traducciones NAT?
R: 1 dia.
P: ¿Qué solución les brinda NAT a los usuarios externos acceso a un servidor FTP interno en
una red privada?
R: reenvío de puertos.
P: Diga 2 métodos para asignar una IPv6 a una interfaz que son automáticas y se pueden
utilizar combinados entre si.
R: DHCPv6 y configuración automática sin estado.
P: Iguala esta dirección: 2031:0000:0300:0000:0000:00C0:8000:130B
R: 2031:0:300::C0:8000:130B
2031:0:0300:0:0:C0:8000:130B
2031::300:0:0:0:C0:8000:130B
97
CCNA Certified Exploration 4.0
98
CCNA Certified Exploration 4.0
La capa de acceso de red corresponde a las capas físicas y enlaces de taos. se comunica
directamente con las medios de red.
99
CCNA Certified Exploration 4.0
4.12.5.1 Ascendente
Primero se examinan componentes físicos y se ascienden hasta que se identifica el
problema.
Es un buen enfoque cuando se sospecha problemas físicos (la mayoría de problemas
están en capas inferiores).
La desventaja requiere revisión hasta que se descubre la causa.
Se debe documentar todo e incluir mucho trabajo administrativo.
4.12.5.2 Descendente
Primero se prueba el software del usuario antes de abordar elementos de networking.
Desventaja es que requiere revisión de cada aplicación hasta que se descubra el
problema.
Todo debe ser documentado.
Al verificar una capa se supone que las inferiores a esta, también funcionan y se
continúa con las superiores.
Programas NMS: CiscoView, HP OpenView, SolarWindows, What’s UP Gold…
100
CCNA Certified Exploration 4.0
Probadora de cable: detectan cables dañados o cruzados. Los TDR, se usan para
establecer la distancia hasta una ruptura en una calle.
101
CCNA Certified Exploration 4.0
102
CCNA Certified Exploration 4.0
103
CCNA Certified Exploration 4.0
4.12.9 Glosario:
P: Si vemos “Serial 0 is up, line protocol is down”:
R: Casi siempre es la capa de enlace de datos.
P: Afirmación correcta sobre el modelo de redes.
R: Los procesos de la capa de usuario y de aplicación interactúan con las aplicaciones de software
que contienen un componente de comunicaciones en el modelo OSI.
P: Protocolos relacionados con problemas de capa de red?
R: EIGRP, RIP e IP.
P: Diga 3 documentos necesarios para diagnosticar y corregir problemas de red.
R: Tablas de configuración de red, diagramas topología de red, tablas de configuración sistemas
finales.
P: ¿Qué se asocia con el primer paso en la corrección de problemas de la capa de aplicación?
R: Realizar una copia de respaldo de las configuraciones.
104
CCNA Certified Exploration 4.0
Anexo
P: Un PC no puede conectar a ninguna red remota, hace ping a su Gateway o alguna impresora que
está funcionando en la red. ¿Qué acción verificará que TCP/IP está funcionando correctamente?
R: Use el comando ping 127.0.0.1 en la línea de comandos.
P: ¿Qué tres afirmaciones caracterizan la capa de transporte?
R:
- Los puertos TCP y UDP son usados por el protocolo de capa de transporte.
- TCP usa un sistema de ventanas y secuencia para ofrecer transferencia de datos confiables.
- TCP es orientada a conexión mientras que UDP no.
P: ¿Qué tipos de medios son inmunes a las interferencias EMI o RFI?
R:
- 100 Base FX
- 1000 Base LX
P: ¿Qué 3 características tiene CSMA/CD?
R:
- Un dispositivo escucha y espera hasta que el medio no está ocupado antes de transmitir.
- Todos los dispositivos de un segmento ven datos que pasan por la red local.
- Después de detectar una colisión, los hosts pueden intentar reanudar la transmisión
después de un tiempo aleatorio que ha expirado.
P: ¿Qué Capa OSI, IP cuenta con determinar qué paquetes han sido perdidos y piden retransmitir?
R: Capa de sesión.
P: ¿Qué modo se debe usar para copiar la running-config a la startup-config?
R: Switch-67# -> modo EXEC privilegiado
P: ¿Qué tipo de información ayuda en la entrega de datos que contiene la cabecera de la capa 4?
R: servicio de número de puerto.
P: ¿Qué es verdad acerca del direccionamiento en la capa de red?
R:
- Únicamente identifica cada host.
- Jerárquico
P: Durante el proceso de encapsulación, qué identificadores son añadidos en la capa de transporte?
R: 2 aplicaciones comunicando los datos.
P: ¿Qué dos funciones del modelo OSI ocurren en la capa 2?
R:
- direccionamiento físico
- control de acceso al medio
P: ¿Cuáles 2 afirmaciones describen Spanning Tree Protocol?
R:
- Elimina los bucles e capa 2 en las topologías.
- Solo se puede utilizar en redes en las que la conmutación de capa 2 esté en curso.
105
CCNA Certified Exploration 4.0
P: Un administrador de red tiene como tarea seleccionar el hardware para respaldar una red
conmutada de una gran empresa. El sistema requiere interconexiones redundantes de backplane
entre otros switches con puertos de densidad alta. ¿Cuál sería la solución de hardware adecuada
para esta empresa?
R: switches apilables.
P: ¿Cuáles son los dos métodos que pueden utilizarse para eliminar las entradas de la tabla de
dirección MAC del switch?
R:
- Reinicie el switch para borrar todas las direcciones aprendidas dinámicamente.
- Las direcciones MAC configuradas de forma estática se eliminan automáticamente de la
tabla de direcciones 300 minutos después de la última actividad registrada en el puerto de
switch.
P: ¿Por qué es importante que un administrador de red considere el diámetro de la red spanning-tree
cuando elige un puente raíz?
R: Los BPDU pueden descartarse debido a los temporizadores de expiración
P: ¿Qué ocurre cuando el comando crypto key zeroize rsa se ingresa en un switch configurado con el
comando transport input ssh en las líneas vty?
R: El switch permite conexiones remotas sólo después de que se cree un par nuevo de teclas RSA.
P: ¿Cuáles son las tres afirmaciones verdaderas con respecto al router-on-a-stick del enrutamiento entre
VLAN?
R:
- requiere el uso de subinterfaces en el Router
- requiere que cada interfaz esté configurada con el comando no shutdown
- es más rentable y escalable que utilizar interfaces físicas múltiples
P: ¿Cómo hace un switch Ethernet para manejar el tráfico si los búfers de memoria compartida y los de la
memoria del puerto están llenos?
R: El switch descarta el tráfico.
P: ¿Cuáles son las dos tareas que deben realizarse cuando se elimina toda una VLAN?
R:
- Eliminar el archivo vlan.dat de flash.
- Reiniciar el switch para que los cambios entren en vigencia.
P: ¿Qué comando encuentra el próximo parámetro disponible para el comando SwitchX# clock con la
menor cantidad de pulsaciones de teclas?
R: SwitchX# clock luego Tab
P: ¿Qué tres configuraciones se requieren para permitir el acceso remoto a un switch mediante el comando
telnet?
R:
- contraseña de la línea vty
- gateway predeterminado
- dirección IP del switch en la VLAN de administración
106