CCNA Exploration 4 Printable Version Final Release

CCNA Certified Exploration 4.0

1

CCNA Exploration 4.0

Septiembre 2010

Internal Training


2

Tabla de contenidos Nota del autor (introducción)……………………………………………………………..………………………..…….8

1. Semestre 1 - Network Fundamentals

1.1 Comunicación a través de la red……………………………………………………………..………....9

1.1.1 Comunicación de mensajes

1.1.2 Modelo de redes punto a punto

1.1.3 Protocolo y servicios DNS

1.2 Servicio WWW y HTTP………………………….……………………………………………...….….…….10

1.3 Servicio de Correo electrónico y SMTP/POP…………………………………………….…….…10

1.4 Capa de Transporte……………………………………………………………………………….….……….11

1.4.1 Responsabilidades principales

1.4.2 Control de conversaciones

1.4.3 Direccionamiento de puertos

1.5 IPv4……………………………………………………………………………………………………….….…….….12

1.5.1 Tabla de enrutamiento de host

1.6 Direcciones IPv4……………………………………………………………………….………………….......13

1.6.1 Tipos de direcciones IPv4

1.7 Protocolos de Servicios de Internet (ISP)………………………………………….……….……..17

1.8 Capa de enlace de datos……………………………………………………………………….………..…17

1.8.1 ICMPv4

1.8.2 Subcapas de enlace de datos

1.8.3 Glosario

1.9 Capa Física……………………………………………………………………………………………….…….....20

1.9.1 Principios fundamentales

1.9.2 Señalización de bits

1.9.3 Cable de par trenzado

1.9.4 Cable coaxial

1.9.5 Cable de par trenzado blindado

1.9.6 Medios de fibra

1.9.7 Medios inalámbricos

1.10 Ethernet………………………………………………………………………………………………………..…24

1.10.1 La trama: encapsulación del paquete

1.10.2 ARP

1.10.3 Dirección MAC de Ethernet

1.10.4 Switches de reenvío selectivo

1.10.5 Glosario

1.11 Realización de la conexión física………………………………………………………………..…….28

1.11.1 Conexión LAN y WAN


3

2. Semestre 2 – Routing Protocols and Concepts

2.1 Componentes del Router……………………………………………………………………………………29

2.1.1 CPU

2.1.2 RAM

2.1.3 ROM

2.1.4 FLASH

2.1.5 NVRAM

2.1.6 Arranque del Router

2.2 Enrutamiento Estático …………………………………………………………………………………......30

2.2.1 Enrutamiento Estático

2.2.2 Enrutamiento Dinámico

2.2.3 Interfaces

2.2.4 CDP

2.2.5 Rutas Predeterminadas

2.3 Introducción protocolos de enrutamiento dinámico……………………………………….…32

2.3.1 Vector Distancia y Link-State

2.3.2 Balanceo de carga

2.3.3 Protocolos Vector Distancia

2.3.4 Temporizadores de RIP

2.3.5 Actualizaciones EIGRP

2.3.6 Triggered Update

2.3.7 Loops de enrutamiento

2.3.8 Diferencias entre IGP y EGP

2.3.9 Glosario

2.4 Protocolos de enrutamiento................................................................................36

2.4.1 RIP vs RIPv2

2.4.2 Subnetting y VLSM

2.4.3 EIGRP

2.4.4 Proceso de enrutamiento de Link-State

2.4.5 OSPF


4

3. Semestre 3 – Switching and Wireless

3.1 Arquitectura de LAN conmutada………......................................................................40

3.1.1 Tipos de switches

3.1.2 CSMA/CD

3.1.3 Acceso multiple

3.1.4 Half-Duplex

3.1.5 Full-Duplex

3.1.6 Dominios de colisiones

3.1.7 Dominios de broadcast

3.1.8 Latencia de red

3.1.9 Conmutación por almacenamiento y envío

3.1.10 Búffer de memoria

3.1.11 Ataques de seguridad comunes

3.1.11.1 Saturación de direcciones MAC

3.1.11.2 Suplantación de identidad

3.1.11.3 Inanición DHCP

3.1.11.4 Ataques CDP

3.1.11.5 Ataques Telnet

3.1.12 Características de herramientas comunes de seguridad

3.1.13 Tipo de direcciones MAC

3.1.14 Violaciones de seguridad

3.1.15 Glosario

3.2 VLAN.........................................................................................................................47

3.2.1 Beneficios

3.2.2 Rangos

3.2.3 Tipos

3.2.4 Enlaces Troncales

3.2.5 Modos de enlaces troncales

3.3 VTP............................................................................................................................51

3.3.1 Beneficios

3.3.2 Componentes

3.3.3 Dominio

3.3.4 Estructura trama

3.3.5 Publicaciones

3.3.6 Modos

3.3.7 Glosario

3.4 STP............................................................................................................................54

3.4.1 Redundancia

3.4.2 Algoritmo STP

3.4.3 Estado de los puertos

3.4.4 Variantes de Cisco y STP

3.4.5 Enrutamiento VLAN


5

3.5 LAN Inalámbrica.......................................................................................................58

3.5.1 802.11a

3.5.2 802.11b/g

3.5.3 802.11n

3.5.4 CSMA/CA

3.5.5 Man-in-the-middle (intermediario)

3.5.6 Denegación de servicio (DoS)

4. Semestre 4 – Accessing the WAN

4.1 Capa física WAN………….............................................................................................61

4.1.1 Conmutación de circuitos

4.1.2 Conmutación de paquetes

4.1.3 Circuitos Virtuales

4.2 Tecnologías WAN comunes......................................................................................63

4.2.1 X.25

4.2.2 Frame Relay

4.2.3 ATM

4.3 Introducción a las redes WAN..................................................................................63

4.3.1 DSL

4.3.2 Módem por cable

4.3.3 Estándares de cables serials

4.3.4 TDM (Time Division Multiplexing)

4.3.5 DTE/DCE

4.4 PPP….........................................................................................................................65

4.4.1 HDLC

4.4.2 Establecimiento de enlace LCP

4.4.3 Proceso NCP (Protocolos de control de red)

4.4.4 Protocolos de Autenticación

4.4.5 Glosario

4.5 Frame Relay..............................................................................................................68

4.5.1 Funcionamiento Frame Relay


4.5.3 VC Múltiples

4.5.4 Encapsulación

4.5.5 Topologías

4.5.6 Horizonte Dividido

4.5.7 Subinterfaces

4.5.8 Glosario


6

4.6 Seguridad de Red…….................................................................................................70

4.6.1 Amenazas comunes de seguridad de red

4.6.2 Tipos de ataque

4.6.3 Gusanos

4.6.4 Técnicas generales de mitigación

4.6.5 Rueda de seguridad

4.6.6 Política de seguridad

4.6.7 Bloqueo del Router con autosecure de Cisco

4.7 ACL’s..........................................................................................................................75

4.7.1 ¿Qué es una ACL?

4.7.2 Tipos de ACL

4.7.3 Numeración y denominación

4.7.4 Dónde ubicarlas y cómo

4.7.5 Configuración ACL estándar

4.7.6 Edición ACL numerada

4.7.7 Creación ACL nombradas

4.7.8 Edición ACL nombradas

4.7.9 Configuración ACL extendidas

4.7.10 ACL’s compleas

4.7.11 ACL’s dinámicas

4.7.12 ACL’s reflexivas

4.7.13 ACL’s basadas en tiempo

4.7.14 Glosario

4.8 Servicios de trabajadores a distancia........................................................................83

4.8.1 Conexión a la WAN

4.8.2 Cable

4.8.3 DSL

4.8.4 Tunneling VPN

4.8.5 Integridad de datos

4.8.6 Autenticación VPN

4.8.7 Protocolo de seguridad IPSEC

4.8.8 Glosario

4.9 Servicios de direccionamiento IP...............................................................................87

4.9.1 BOOTP y DHCP

4.9.2 Formato de mensaje DHCP

4.9.3 Oferta y descubrimiento

4.9.4 Relay DHCP

4.9.5 Resolución de problemas DHCP


7

4.10 Direccionamiento IP Público y Privado......................................................................91

4.10.1 ¿Qué es NAT?

4.10.2 ¿Cómo funciona NAT?

4.10.3 Sobrecarga de NAT (PAT)

4.10.4 Diferencias entre NAT y PAT

4.11 IPv6............................................................................................................................92

4.11.1 Motivos para usar IPv6

4.11.2 Mejoras de IPv6

4.11.3 Direccionamiento IPv6

4.11.3.1 Dirección unicast

4.11.3.2 Direcciones privadas

4.11.3.3 Dirección loopback

4.11.3.4 Dirección no especificada

4.11.3.5 Administración de direcciones

4.11.3.6 Asignación de ID manualmente

4.11.3.7 Asignación de ID EUI-64

4.11.3.8 Configuración automática sin estado

4.11.3.9 Configuración DHCP (con estado)

4.11.4 Stack doble

4.11.5 Tunneling

4.11.6 Configuraciones de enrutamiento

4.11.6.1 Plano de control

4.11.6.2 Plano de datos

4.11.6.3 Protocolos de enrutamiento

4.11.7 Resolución de nombres

4.11.8 Configuración RIPng

4.11.9 Glosario

4.12 Resolución de problemas de red...............................................................................98

4.12.1 Establecer una línea de base de red

4.12.2 Enfoque general sobre la resolución de problemas

4.12.3 Comparación entre la capa OSI y TCP

4.12.4 Procedimientos generales sobre la resolución de problemas

4.12.5 Métodos de resolución

4.12.6 Herramientas de resolución

4.12.7 Comunicaciones en la WAN

4.12.8 Consideraciones sobre topologías WAN

4.12.9 Glosario

Anexo..............................................................................................................................105


8

Nota del autor El presente documento sin ánimo de lucro contempla un resumen de conocimientos entorno al

curso oficial de Cisco CCNA (Cisco Certified Networking Associate). La documentación está

contrastada además con información de terceros extraída de Internet y otros apuntes de redes

diversos.

El objetivo del manual es que la persona que lo utilice, sea capaz de adquirir y ejecutar órdenes

no solamente entorno dispositivos Cisco si no en todo el ámbito de redes ya que hoy en día, la

manera en que la infraestructura está divida es algo estandarizado.

Este análisis de temario, no es más que un resumen simplificado y escrito de una manera lo más

fácil posible de entender. Esto no quita importancia a que la persona profesional pueda ampliar

sus conocimientos en el ámbito de internetworking y no solamente en sistemas Cisco.

No se garantizará, y con eso quiero decir, que en tan sólo la lectura de este extenso,

profundizado y elaborado artículo, la persona sea capaz de aprobar con un 100% el examen final

del certificado oficial. Si no que dependerá de cada lector la motivación que entregue a sus

ganas previas de aprender el maravilloso mundo de las redes y cómo funcionan.

Explicado esto y descargando la responsabilidad que me conlleva, este documento no se

registrará legalmente en ningún tipo de licencia, ya sea libre o privada, ya que las

ilustraciones de esta obra, son del autor Cisco Systems Inc. En ningún caso, usted podrá

utilizar esta obra para fines lucrativos ya que sería un delito contra la Propiedad

Intelectual.

Usted es libre de copiar, editar, regalar y distribuir esta obra siempre y cuando adjunte

todas las hojas y sin restar importancia a ninguna página incluida esta introducción.

Esto da pie a un pequeño orden y una mísera ética respecto al trabajo dedicado y

empleado para que usted, con fines personales, pueda aprobar CCNA.

Finalmente, recalcar que este resumen no está integrado al cien por cien del temario

Web “CCNA Exploration 4.0 (2009)” si no que es un extracto casi completo de ello

aunque hay partes básicas y fundamentales que están omitidas; significando que usted

debería tener un conocimiento mínimo en lo que a redes se refiere.

Siéntase libre de distribuir esta obra y si desea contribuir al proyecto, siga la jerarquía

del documento.

No dude para cualquier aclaración, duda, contribución o queja dirigirse atentamente a

[email protected] con sujeto de mensaje “CCNA Summary”.


9

1 Semestre 1

1.1 COMUNICACIÓN A TRAVÉS DE LA RED

1.1.1. Comunicación de mensajes

Los paquetes, teóricamente, se podrían enviar masivamente y de una sola vez. El problema es que ningún otro dispositivo podrá enviar o recibir, ya que hay retrasos y si fallase, se debe reenviar de nuevo.

Un método mejor es dividir los datos en partes más pequeñas y manejables para enviarlas por la red. La división del stream en pequeñas partes se denomina segmentación.

1. Al enviar partes individuales más pequeñas, se pueden intercalar varias conversaciones en la red. Este proceso se denomina multiplexación.

2. La segmentación puede aumentar la confiabilidad de las comunicaciones de red. Si fallan algunas partes, pueden reenviarse de nuevo y no todo el paquete.

1.1.2. Modelo de redes punto a punto

A parte del modelo cliente-servidor, las redes punto a punto tienen dos formas distintivas:

Diseño de redes punto a punto

En una red punto a punto, dos o más PC’s pueden compartir recursos sin tener un servidor dedicado. Las funciones de cliente y servidor se establecen por solicitud.

Un ejemplo sencillo es una red domestica donde puede haber compartida una impresora y archivos multimedia a la vez.

Aplicaciones punto a punto (P2P)

Cada cliente es un servidor y cada servidor un cliente. Requieren que el dispositivo final proporcione una interfaz de usuario y ejecutar un servicio en segundo plano.

Algunas aplicaciones P2P utilizan un sistema híbrido. Cada punto accede a un servidor de índice para alcanzar la ubicación de un recurso almacenado en otro punto. Una vez los puntos conectados, el servidor deja de intervenir.

1.1.3. Protocolo y servicio DNS

Almacena diferentes tipos de registros de recursos utilizados para resolver nombres. Estos registros contienen nombre, dirección y tipo de registro.

A: dirección de dispositivo final.

NS: servidor de nombre autoritativo.1

CNAME: nombre de dominio completamente calificado cuando varios servicios tienen 1 misma dirección pero diferentes nombres.

MX: registro intercambios de correos.

1. Autoritativo: fuente sumamente fiable de información y conocida con exactitud.


10

Primero se busca en los registros del propio servidor y si no puede, contacta a otros pasando por varios servidores lo cual puede consumir más ancho de banda.

ipconfig /displaydns # Muestra DNS en caché

DNS utiliza el mismo formato de mensaje para:

Todos los tipos de consulta de clientes y respuestas de servidor.

Mensajes de error.

Transferencia de información de registros de recursos entre servidores.

El formato de paquete de DNS es:

Encabezado

Pregunta: pregunta para servidor de nombres.

Respuesta: registro de recursos para responder a la pregunta.

Autoridad: registro de recursos que apuntan a la autoridad.

Adicional: registro de recursos que poseen información.

Si un servidor tiene registros de recursos que corresponden a su nivel en la jerarquía de dominios se dice que es autoritativo para dichos registros.

1.2 SERVICIO WWW Y HTTP

HTTP especifica un protocolo de solicitud/respuesta. Cuando un explorador Web (cliente) envía peticiones, puede recibir 3 tipos de mensaje:

GET: Solicitud de datos por parte del cliente. Lo envía para solicitar páginas desde un servidor Web.

Una vez el servidor recibe el GET, responde con una línea de estado, como

HTTP/1.1 200 OK y un mensaje propio.

POST y PUT: envían mensajes que cargan datos en el servidor WEB. POST incluye información en el mensaje enviado.

PUT: carga recursos o el contenido en el servidor Web.

1.3 SERVICIOS DE CORREO ELECTRÓNICO Y SMTP/POP

Como con HTTP, también es un protocolo cliente-servidor. MUA (Agente de usuario de correo) o cliente de correo, permite colocar los correos recibidos en el buzón cliente y enviarlos.

Para recibir correos se utiliza POP y para enviar SMTP. El servidor de correo utiliza dos procesos diferentes:

MTA (Agente de transferencia de correo): se utiliza para enviar correo. Recibe los mensajes desde el MUA u otro MTA. Según el encabezado del mensaje, determina cómo llegar al destino.

Si el correo está dirigido a un usuario dentro de la red local, el mail pasa al MDA (Agente de entrega de correo).

Si el mail no está en la LAN, lo reenvía a otro MTA correspondiente.


11

El MDA acepta una parte del correo desde un MTA que es el que hace el envío real. El MDA recibe todo el correo entrante desde el MTA y también puede resolver temas de entrega final como virus, spam, acuses de recibo, etc.

Una alternativa a usar MUA, MDA y MTA, es el correo corporativo como Lotus Notes, Exchange o Groupwise. Tienen su propio formato corporativo y se comunican con protocolos propietarios.

POP y POP3 son protocolos de envío de correo entrante y protocolos cliente-servidor. Envían

mails desde el servidor al cliente.

El MDA escucha cuando un cliente se conecta al servidor. Una vez establecida la conexión, el

servidor puede enviar.

El protocolo SMTP se encarga de enviar el correo saliente desde el cliente al servidor MDA.

El formato de mensajes de SMTP utiliza algunos comandos como:

- HELO: identifica el proceso SMTP para el proceso servidor SMTP.

- EHLO: nueva versión de HELO que incluye extensiones de servicio.

- MAIL FROM: identifica el emisor.

- RCPT TO: identifica el receptor.

- DATA: identifica el cuerpo de mensaje.

1.4 CAPA DE TRANSPORTE

Permite la segmentación de datos y brinda el control para re ensamblar las partes de

stream conectados.

1.4.1 Responsabilidades principales

Rastreo de conversaciones individuales: mantiene los streams de múltiples

aplicaciones de los hosts.

Segmentación de datos: cada sección de datos requiere que se agreguen

encabezados para indicar la comunicación donde esté asociada.

Re ensamble de segmentos: reconstruye secciones de datos para generar un stream

completo de datos.

Identificación de aplicaciones: todos los procesos de software que requieren

acceder a la red, se les asignan un número de puerto exclusivo en host. Se utiliza en

el encabezado de la capa de transporte para indicar a qué aplicación se refiere.

Los requisitos de datos varían; en algunos casos, todos los datos deben recibirse

para ser utilizados por cualquiera de las mismas. Otras veces puede tolerar pérdidas

de datos.


12

1.4.2 Control de conversaciones

Segmentación y re ensamble: la capa de transporte, divide los datos de aplicación

en bloques. En el destino no se re ensamblan.

Multiplexación de conversación: a cada aplicación se le asigna un puerto de manera

que esta capa determina con que servicio o aplicación se identifican los datos.

Algunos protocolos en capa de transporte proporcionan:

o conversaciones orientadas a conexión.

o entrega confiable.

o reconstrucción de datos ordenada.

o control de flujo.

1.4.3 Direccionamiento de puertos

puertos bien conocidos: del 0 al 1023; se reservan para servicios y aplicaciones.

http, telnet, etc.

puertos registrados: del 1024 al 49151; procesos o aplicaciones de usuarios.

También se seleccionan de forma dinámica por un cliente.

puertos dinámicos o privados: del 49152 al 65535; puertos efímeros. Asignados de

forma dinámica comunes en programas P2P.

1.5 IPV4

Un protocolo IPv4 define muchos campos en el encabezado del paquete que contiene valores

binarios:

encabezado clave.

IP destino: valor binario de 32 bits con la dirección de destino.

IP origen: valor binario de 32 bits con la dirección de origen.

TTL: valor binario de 8 bits con la cantidad de saltos máximos para evitar loops.

Protocolo: 8 bits. Tipo de contenido. Permite a la capa de red pasar los datos al

protocolo apropiado.

o 01 ICMP

o 06 TCP

o 17 UDP

Tipo de servicio: 8 bits. Prioridad de cada paquete. QoS o no.

Desplazamiento de fragmento: un Router tiene que fragmentar un paquete para

reenviarlo a otro medio con una MTU más pequeña. Utiliza este campo y el

Señalizador de Fragmento para reconstruir el paquete.


13

Señalizador de Fragmentos (MF): 1 bit. Significa que no es el último

fragmento del paquete. Si el receptor ve MF=1, analiza el Desplazamiento de

Fragmento para saber dónde colocar el paquete.

Si es MF=0 o diferente, lo coloca como última parte.

Señalizador no Fragmentado (DF): 1 bit que indica que no se permite la

fragmentación.

1.5.1 Tabla de enrutamiento host

Los hosts también necesitan una tabla de enrutamiento para asegurarse que los paquetes

lleguen a su red de destino. A diferencia de la tabla de un Router, la tabla de host contiene su

conexión o conexiones directas y su propia ruta por defecto (Gateway).

> netstat –r

A veces puede convenir manejar las rutas manualmente:

- route ADD

- route DELETE

- route CHANGE

1.6 DIRECCIONES IPV4

Conversión Binaria a Decimal

IP binaria: 10101100000100000000010000010100

Se separa cada octeto (elegimos el primero como ejemplo) y luego se multiplica acorde con:

1 128 = 128

0 64 = 0

1 32 = 32

0 16 =0

1 8 = 8

1 4 = 4

0 2 = 0

0 1 = 0

Después se suma el resultado de cada operación y tendremos el número decimal. Repetir el

proceso para cada octeto.

128 + 32 + 8 +4 = 172


14

Conversión Decimal a binaria

Seguimos la misma jerarquía que el proceso de binario a decimal pero con condiciones. Veamos

un ejemplo:

Cogemos el número 155 en base decimal. Si el número decimal a convertir, es más grande que

el número de bit, es un 1. Después, se resta y se continúa.

155 128 = 1

27 64 = 0

27 32 = 0

27 16 = 1

11 8 = 1

3 4 = 0

3 2 = 1

1 1 = 1

Número binario: 10011011


15

1.6.1 Tipos de direcciones en red IPv4

Dirección broadcast: dirección especial para cada red que permite la comunicación a

todos los hosts de la red. Utiliza la dirección más alta de la red.

Direcciones unicast: se envía un paquete de host a host individual.

Direcciones broadcast: se envía un paquete de 1 host a todos.

Direcciones Multicast: se envía un paquete de 1 host a un grupo.

Tráfico unicast

Comunicación normal de host a host en cualquier red. Utilizar la dirección de destino y pueden

enrutarse a través de una internetwork.

Transmisión broadcast

Se usa para ubicar servicios o dispositivos especiales para los cuales no se conoce la dirección o

cuando un host debe proporcionar información a todos. Ejemplos:

- solicitar dirección

- asignar direcciones de capa superior a una inferior.

- intercambia información por medio de protocolos enrutamiento.

Los paquetes de broadcast, normalmente se restringen en la LAN.

Broadcast dirigido: se envía a todos los dispositivos (host) de 1 red específica. Útil para

reenviar broadcast en una red no local. (172.16.0.255).

Broadcast limitado: se usa para la comunicación que está limitada a los hosts de la red

local (255.255.255.255) Los routers no reenvían broadcast.

Transmisión Multicast

Diseñada para conservar el ancho de banda. Reduce el tráfico al permitir que un host envíe un

paquete a un conjunto seleccionado de hosts. Ejemplos:

- distribución de audio/video.

- distribución de software.

- suministro de noticias (RSS).

- intercambio de información de enrutamiento


16

Clientes multicast

Hosts que desean recibir datos multicast. IPv4 ha apartado un bloque especial de direcciones

desde 224.0.0.0 hasta 239.255.255.255.

Direcciones privadas

10.0.0.0 a 10.255.255.255 (10.0.0.0/8)

172.16.0.0 a 172.31.255.255 (172.16.0.0/12)

192.168.0.0 a 192.168.255.255 (192.168.255.255/16)

Direcciones especiales

- red y broadcast

- ruta predeterminada

- loopback

- link-local: 169.254.0.0 – 169.254.255.255 (169.254.0.0/16). El sistema operativo asigna

este rango cuando no tiene IP especificadas. TTL en 1. No debería enviar información a

los routers.

- TEST-NET: 192.0.2.0 – 192.0.2.255 (192.0.2.0/24). Se usan en ejemplos de

documentación y redes.


17

1.7 PROVEEDORES DE SERVICIOS DE INTERNET (ISP)

Suministra IP’s utilizables (6 ó 14). Se pueden obtener más, con un costo extra. Si se cambia

de ISP, el anterior devuelve las direcciones. Poseen sus propios conjuntos de redes

internas. Dependiendo de los servicios contratados por el cliente, un ISP puede ofrecer

DNS, Mail y WEB.

Se designan mediante una jerarquía basada en la conectividad al backbone de Internet.

Existen varios niveles:

Nivel 1

Grandes ISP a nivel nacional/Internacional. Se conectan directamente al backbone de

Internet. Ofrecen servicios altamente confiables y a velocidades muy altas. La desventaja es

el gran coste elevado.

Nivel 2

Generalmente se centran en los clientes empresa. Ofrecen más servicios que los otros.

Suelen tener recursos de IT como sus propios DNS, Web, Mail, e-commerce y VoIP.

La desventaja es la confiabilidad ya que está a 2 saltos del backbone.

Nivel 3

Compran servicio Internet a los de nivel 2. Su objetivo son los mercados minoristas y del

hogar en una ubicación específica.

1.8 CAPA DE ENLACE DE DATOS

Los métodos de control de acceso a los medios que se describen en los protocolos de capa

de enlace de datos definen los procesos por los cuales los dispositivos de red pueden

acceder a los medios de red y transmitir tramas en diferentes entornos de red.

Cuando los bits viajan, se convierten en 0 y 1. Si es un stream largo, para detectarlo usan la

información de control insertada en el encabezado.

Campo de arranque y detención: comienzo y fin de trama.

Nombrar o direccionar campos.

Campo tiempo: tipo de PDU que contiene la trama.

Control: servicios de control de flujo.

Campo de datos: contenido de las tramas.


18

1.8.1 ICMPv4

Proporciona mensajes de control y error y se usa con las herramientas ping y traceroute.

Tipos de mensajes ICMP:

Confirmación de host: mensaje de eco para determinar si un host está en

funcionamiento.

Destino o servicio inalcanzable: cuando un host o Gateway recibe un paquete que

no puede enviar, envía un paquete de destino inalcanzable.

Existen varios códigos:

0 = red inalcanzable

1 = host inalcanzable

Respuestas de un Router que no puede enviar un paquete

2 = protocolo inalcanzable

3 = puerto inalcanzable

Utilizados por un host final para indicar que el segmento TCP o datagrama UDP no se pudo

enviar a las capas superiores.

1.8.2 Subcapas de enlace de datos

Para dar soporte a una gran variedad de funciones:

subcapa inf: procesos de software que proporcionan servicios a los protocolos de capa

de red.

subcapa inferior: procesos de acceso a los medios que realiza hardware.

Separar el enlace en capas permite al tipo de trama acceder a diferentes tipos de medios

definidos por capas inferiores.

LLC (Control de enlace lógico): coloca información que identifica qué protocolo de capa

de red se está usando.

MAC (Control de acceso al medio): proporciona a la capa de enlace de datos el

direccionamiento y la delimitación de datos.


19

Estándares Capa Enlace Datos

ISO HDLC (Control de enlace de datos alto nivel)

IEEE 802.2 (LLC)

802.3 (Ethernet)

802.5 (Token Ring)

802.11 (WLAN)

ITU Q.992 (Frame Relay)

Q.921 (ISDN)

ANSI 3T9.5

ADCCP (Protocolo de control comunicación

avanzada de datos)

1.8.3 GLOSARIO:

P: ¿Qué campo de trama es creado por un nodo de origen y utilizado por un nodo de destino

para asegurar que una señal de datos transmitida no ha sido alterada por interferencia,

distorsión o pérdida de señal?

R: campo de secuencia de verificación de trama.

P: ¿Qué esquema de direccionamiento usa Punto a Punto?

R: No es necesario ninguno.

P: ¿Para qué utilizan los host de red las direcciones de capa de enlace de datos?

R: Entrega local.

P: ¿Qué tres partes básicas son comunes a todas las tramas de la capa de enlace de datos?

R: Encabezado, datos y tráiler.

P: ¿Cuáles son dos características del método de acceso al medio controlado?

R: Método de acceso determinista / Cuando se usa este método no hay colisiones.

P: Detalles de encapsulación en capa de enlace de datos.

R: Se agregan encabezado y tráiler / Paquetes se colocan en tramas.

Acceso controlado Acceso basado en contención

- Sólo puede transmitir una estación a la vez

- Sin colisiones

- Determinista

- Paso de token

- Ethernet

- Estaciones pueden transmitir en cualquier

momento

- Uso más eficiente del ancho de banda

- No determinista


20

Punto a Punto Acceso Múltiple Ring

- Conecta 2 nodos directamente

- Circuito Virtual Lógico

- Medios compartidos

- CSMA/CD

- Paso de token

- Determinista

1.9 CAPA FÍSICA

1.9.1 Principios fundamentales de la capa física

Componentes físicos: dispositivos electrónicos de hardware, medios y conectores que

transmiten y transportan las señales.

Codificación: método para convertir un stream de bits en un código predefinido para

distinguir los bits de datos de los bits de control.

Señalización: genera las señales inalámbricas, ópticas o eléctricas que representan 0 y 1.

1.9.2 Señalización de bits para los medios

La transmisión de la trama a través de los medios se realiza mediante un stream de bits que se

envían uno por vez. El tiempo de bit es un plazo específico de tiempo para que cada señal ocupe

los medios.

NRZ (Método sin retorno a cero): Un 0 puede representarse mediante un nivel de

voltaje en los medios durante el tiempo de bit y un 1 puede representarse mediante un

voltaje diferente en los medios durante el tiempo de bit.

Codificación Manchester: indica un 0 mediante una transmisión de alto a bajo voltaje en

el tiempo de bit. Para un 1 existe una transición de bajo a altos.


21

A medida que utilizamos mayores velocidades, existe la posibilidad de que los datos se dañen.

Una forma de detectar tramas, es iniciar cada trama con un patrón de señales que represente

los bits que la capa física reconoce cómo indicador del comienzo de una trama.

Grupo de códigos

Es una secuencia consecutiva de bits de código que se interpretan y asignan como patrones de bits de datos.

A menudo se utilizan como una técnica de codificación intermediaria para tecnologías de LAN de mayor velocidad.

Ventajas:

Reducción de error e el nivel de bits.

Limitación de la energía efectiva transmitida a los medios.

Ayuda para distinguir los bits de datos de los bits de control.

Mejoras en la detección de errores en los medios.

El rendimiento (throughput), es la medida de transferencia de bits a través de los medios durante un período de tiempo determinado.

La capacidad de transferencia útil es la medida de datos utilizables transferidos durante un período de tiempo determinado. Por lo tanto, es la medida de mayor interés para los usuarios de la red.

1.9.3 Cable de par trenzado no blindado (UTP)

Consiste en cuatro pares de alambres que han sido trenzados y cubiertos por un revestimiento de plástico flexible. El trenzado cancela las señales no deseadas.

Este efecto de cancelación ayuda además a evitar la interferencia de fuentes internas. Crosstalk es la interferencia ocasionada por campos magnéticos alrededor de los pares adyacentes de alambres en un cable.


22

1.9.4 Cable Coaxial

Conductor de cobre rodeado de una capa de aislante flexible, donde hay una malla de cobre

tejida o una hoja metálica que actúa como segundo alambre del circuito y como blindaje para el

conductor interno.

Estos cables hoy en día se utilizan para colocar antenas en los dispositivos inalámbricos y

equipos de radio. Los proveedores de cable están convirtiendo sistemas de una a dos vías para

ofrecer Internet.

Las partes de coaxial se reemplazan por fibra óptica multimodo pero la conexión final al cliente

sigue siendo coaxial. HFC (Fibra coaxial híbrida).

1.9.5 Cable par trenzado blindado (STP)

Cuatro pares de alambre que se envuelven en una malla de cobre tejida o en una hoja metálica.

Ofrece una mayor protección contra el ruido que el cableado UTP pero bastante más caro. Se

utilizaba mucho en Token Ring y se vuelve a demandar ahora con el estándar de 10GB Ethernet.

1.9.6 Medios de fibra

Utiliza fibras de plástico o vidrio para guiar los impulsos de luz. Los bits se codifican en la fibra como impulsos de luz.

Debido a que la fibra no tiene conductor eléctrico, es inmune a las atenuaciones. Se pueden usar distancias mucho mayores sin necesidad de repetir la señal. Algunos incluso kilómetros.

Problemas comunes:

Costoso.

Se necesitan habilidades de empalmar cableado.

Manejo más cuidadoso que los medios de cobre.

Ideal para backbones empresariales en conexiones punto a punto. Se requieren 2 fibras para realizar un full dúplex ya que la luz solo va hacia una dirección.

Los LED generan impulsos de luz que se utilizan para representar los datos transmitidos como bits. Los dispositivos electrónicos detectan la luz y la convierte en voltajes que se reconstruyen en tramas de datos.

La luz del láser del dable de fibra puede dañar el ojo humano.

Fibra monomodo: 1 sólo rayo de luz. Puede transmitir a distancias muy largas, ya que la luz es unidireccional.

Fibra multimodo: la luz de LED ingresa a la fibra multimodo en diferentes ángulos.


23

La dispersión modal son modos de luz que ingresan a la fibra al mismo tiempo y salen en diferentes momentos. Hace que el pulso de luz se propague. Si la fibra es más larga, aumenta la Dispersión Modal.

Hay varios tipos de conectores de fibra. Estos son los más comunes:

Punta Recta (ST): comercializado por AT&T. Conector estilo Bayonet, ampliamente

utilizado con fibra multimodo.

Conector Suscriptor (SC): mecanismo de doble efecto. Utilizado en multipunto.

Conector Lucent (LC): pequeño que está adquiriendo popularidad de uso con fibra

monomodo. También acepta multimodo.

Tres tipos de errores al empalmar fibra:

Desalineación: no se alinean con precisión al unirlos.

Separación de los extremos: no hay contacto completo de los medios en el empalme.

Acabado final: extremos de los medios no se encuentran bien pulidos o con suciedad.

Se recomienda un OTDR (Reflectómetro óptico de dominio de tiempo) para probar cada

segmento de cable.

Introduce 1 impulso de luz y mide el reflejo en función del tiempo y calcular la distancia

aproximada.


24

También se puede emitir un destello de luz en 1 extremo y mirar por el otro.

No garantiza pero es económico y rápido.

P: ¿Cuál es el propósito de la codificación?

R: Representa los bits de datos con diferentes voltajes, patrones de luz u ondas

electromagnéticas según estén ubicadas en el medio físico.

1.9.7 Medios inalámbricos

Los cuatro estándares comunes son:

802.11. Wi-Fi: Sistema no determinista con prevención de colisiones (CSMA/CA)

802.15. Blueetoth: De 1 a 100 metros.

802.16. WiMAX: Topología punto a multipunto para utilizar banda ancha inalámbrica.

GSM: Especificaciones que habilitan integración GPRS.

1.10 ETHERNET

1.10.1 La trama: encapsulación del paquete

Preámbulo y Delimitador Inicio Trama: captan la atención de los nodos receptores.

Básicamente, los primeros bytes le indican al receptor que se prepare para recibir una trama

nueva.

Dirección MAC destino: identificador del receptor deseado. La dirección de la trama compara

con la dirección MAC del dispositivo. Si coinciden, acepta la trama.

Dirección MAC origen: identifica a la NIC. Los switches también la utilizan para ampliar sus

tablas de búsqueda.

Longitud/tipo: longitud exacta del campo de datos de la trama. Se utiliza para garantizar que el

mensaje se recibe correctamente.

Datos/Pad: datos encapsulados de una capa superior, un paquete IPv4. Todas las tramas deben

tener al menos 64 bytes de longitud. En caso de no alcanzarlos, Pad puede incrementar el

tamaño hasta conseguirlo.

FCS: se utiliza para detectar errores en la trama. Utiliza CRC (comprobación cíclica de

redundancia). El emisor incluye los resultados dentro del FCS y el receptor genera el CRC para

buscar errores. Si coinciden los cálculos no se produjo ningún error. Si no coinciden, se descarta

la trama.


25

1.10.2 ARP

Cuando se envía un paquete a la capa de enlace de datos para que se encapsule en una trama, el

nodo consulta en una tabla qué MAC se mapea a qué IP. Esta tabla se llama ARP (Address

Resolution Protocol).

Cada entrada tiene 2 valores: IP y MAC. La relación entre los 2 valores se denomina mapa y se

almacena en la memoria caché. La tabla ARP se mantiene dinámicamente y hay 2 maneras:

1. Monitorear el tráfico: a medida que un nodo recibe tramas, puede registrar IP’s y MAC’s

de origen como mapeos ARP.

2. Por solicitud: envía un broadcast a todos los dispositivos de la LAN. La trama contiene

un paquete de solicitud ARP con la IP de destino.

El nodo que recibe la trama como si fuera suya, responde con un mensaje de respuesta

ARP por una trama unicast.

Estas entradas tienen un tiempo y al vencer se eliminan. Similar a los switches. Se pueden añadir

manualmente pero también se deberán eliminar a mano.

Cuando ARP recibe una solicitud para mapear una IP con una MAC, busca en su tabla. Si no

coinciden, envían un paquete de solicitud ARP y si alguien coincide, la IP se encapsula al

paquete.

Si no coincide, el paquete se descarta. Falla la encapsulación e informa a las capas superiores. Si

el dispositivo intermediario es un Router, puede responder con un mensaje de error ICMP v4.

Si el destino se encuentra fuera de la red local, el host emisor envía la trama al Gateway o al

siguiente salto. El origen utilizará esa MAC como destino. Si no existe esa MAC de la Gateway,

envía una solicitud ARP de descubrimiento. Esto es útil para lo siguiente:

Hay una implementación más antigua de IPv4 que no puede determinar si el host

destino está en la misma red lógica que el origen. Ocurre cuando se desactiva el ARP del

Router.

Un host cree que está directamente conectado a la misma red lógica que el host de

destino. Ocurre cuando el host está con una máscara inapropiada.

Un host no tiene una Gateway configurada. ARP proxy puede ayudar a que alcance

subredes remotas.


26

1.10.3 Dirección MAC de Ethernet

Las normas de IEEE asignan a cada proveedor un código de 3 bytes denominado OUI

(Identificador único organizacional).

Existen 2 normas:

Todas las direcciones MAC asignadas deben utilizar el OUI que se le asignó.

Se les debe asignar un valor exclusivo (código fabricante) en los últimos 3 bytes.

La MAC suele grabarse permanentemente en la ROM (memoria solo lectura) y no es

modificable. Sin embargo, un PC copia la dirección a la RAM y cuando se examinan las tramas, se

hace uso de ésta.

Por ese motivo, los hackers hacen uso de software para modificarla.

La dirección de capa de red (IPv4) permite el reenvío del paquete a su destino.

La dirección de enlace de datos (MAC) permite el transporte del paquete utilizando los

medios locales a través de cada segmento.

1.10.4 Switches de reenvío selectivo (proceso)

1. Aprendizaje: cuando una trama entra al switch, mira en su tabla si ya la ha aprendido. Si

no existe, crea una nueva entrada y la asigna con el puerto en el que llegó.

2. Actualización: las entradas MAC adquiridas reciben una marca horaria que se utiliza

como instrumento para eliminar entradas antiguas. Después de recibirla, parte de esa

marca horaria y cuenta regresivamente hasta 0. Se actualizará la próxima vez que se

reciba por ese puerto y ese nodo.

3. Saturación: el switch envía la trama a todos los puertos menos el de origen porque no

encuentra la MAC de destino al enviar.

4. Reenvío selectivo: analiza la MAC de destino de una trama y se le reenvía al puerto

correspondiente. En lugar de saturar la trama hacia todos los puertos, el switch envía la

trama al nodo de destino a través del puerto indicado.

5. Filtrado: algunas tramas no se reenvían porque:

a. no reenvía al mismo puerto en el que llega.

b. trama corrupta.

c. trama no aprueba el CRC.

d. seguridad (ACL’s).


27

1.10.5 GLOSARIO

Estructura de la trama Ethernet

Preámbulo (7 bytes) y delimitador de inicio de trama (1 byte)

Sincronización entre dispositivos emisor y receptor.

802.2 encabezado y datos (46 a 1500 bytes)

Datos encapsulación capas superiores.

Dirección destino (6 bytes)

Identifica receptor correspondiente.

Longitud/Tipo (2 bytes)

Valor más grande o igual a 0x600. Indica protocolo encapsulado.

Secuencia checksum (4 bytes)

Detección de errores en la trama.

Dirección origen (6 bytes)

NIC origen trama o interfaz.

P: ¿Cuál es la función de CSMA/CD en una red Ethernet?

R: Proporcionar un método para determinar cuándo y cómo los hosts acceden al medio

Ethernet.

P: ¿Para qué es IEEE 802.3ac?

R: Red de Área Local Virtual.

P: ¿Cuál es el propósito del control de acceso al medio?

R: Determina a cuál de las estaciones de trabajo que se encuentran en una LAN de medios

compartidos se le puede transmitir datos.

P: ¿Cómo se detectan las colisiones en Ethernet?

R: La amplitud de señal en los medios de networking es más alta de lo normal.

P: ¿Qué tipo de dirección utiliza un switch para tomar decisiones de reenvío?

R: MAC destino.

Si una red, unida por un Hub, hay más de 2 PC’s, cuando uno está enviando y otro quiere enviar,

se tiene que esperar hasta estar seguro que el otro ha finalizado.


28

1.11 REALIZACIÓN DE LA CONEXIÓN FÍSICA

Hub: recibe una señal, la regenera y la envía a todos los puertos. La LAN utiliza

medios de acceso múltiple.

Se pueden conectar múltiples hubs aunque solo forman un dominio de colisión.

Se usan en LAN’s muy pequeñas o con presupuesto limitado.

Switch: recibe una trama y regenera cada bit en el puerto destino adecuado. Se

utiliza para segmentar una red en múltiples dominios de colisión, reduciéndolos.

Ancho de banda dedicado en cada puerto.

1.11.1 Conexión LAN y WAN

Longitud de cable: UTP 100m. Backbone UTP 90m / Fibra monomodo 3000m.

Cableado horizontal: conectan desde el cuarto de telecomunicaciones hasta áreas de trabajo.

No pueden superar los 90 metros. Se denomina enlace permanente.

Va desde el patch panel hasta el jack de pared en cada área de trabajo.

Cableado backbone: cableado utilizado para conectar múltiples cuartos de telecomunicaciones.

Se enrutan fuera del edificio a la conexión WAN o ISP.

También llamado cableado vertical, hace uso de Internet y para recursos compartidos en una

red remota. Generalmente son de fibra óptica.

DCE (Equipo Comunicación Datos): responsable de proveer señal de temporización. Dispositivo

que proporciona servicio de temporización a otro dispositivo. Se encuentra en el extremo del

enlace que proporciona WAN.

DTE (Equipo Terminal Datos): recibe los servicios de temporización. Se encuentra en el extremo

del enlace cliente WAN.

P: Un Router que finaliza en un enlace serial WAN es típicamente un dispositivo DTE. ¿En qué

circunstancia se debe configurar un Router como un dispositivo DCE?

R: Cuando se utiliza una situación de Router consecutivo en un entorno de prueba.


29

2 Semestre 2

“Los routers operan entre las capas 1,2 y 3”

2.1. COMPONENTES DEL ROUTER

2.1.1. CPU

Ejecuta las instrucciones.

2.1.2. RAM

Almacenaje temporal:

Sistema Operativo (Internetwork Operating System).

Tabla de enrutamiento.

Archivo de configuración.

Caché ARP: Contiene dirección IPv4 para el mapeo de direcciones MAC. Similar a los PC’s.

Búffer paquete: Se almacenan antes de entrar o salir.

2.1.3. ROM

Almacenaje permanente:

Instrucciones bootstrap.

Software básico de diagnóstico (incluido en el firmware).

Versión básica del IOS.

2.1.4. FLASH

IOS CPU RAM

2.1.5. NVRAM

Start-up config (configuración de inicio).

Running-config (cambios de configuración).


30

2.1.6 Arranque del Router

2.2. ENRUTAMIENTO ESTÁTICO

2.2.1 Enrutamiento Estático

Dirección de red + máscara de la red remota.

La IP del router del siguiente salto (o interfaz).

Se usa en redes con pocos routers.

Una red se conecta a Internet solamente a través de un único ISP.

Una red extensa está configurada con una topología “hub-and-spoke”. 1

CABLE CRUZADO CABLE DIRECTO

HUB – SWITCH

ROUTER – PC

SWITCH – SWITCH

ROUTER - ROUTER

PC – SWITCH

PC – HUB

ROUTER – SWITCH

ROUTER - HUB

1. Tenemos 1 servidor llamado “hub” que tiene conectados otros servidores llamados

“spokes”. Comunmente establecida en WAN o Frame Relay. Parecida a la topología en

Estrella.


31

2.2.2. Enrutamiento Dinámico

Descubrimiento de redes remotas.

Actualización y mantenimiento de las tablas de enrutamiento.

IGRP, EIGRP, OSPF, IS-IS, BGP…

Elige el mejor camino aunque haya alguno que esté caído.

Componentes:

a. Estructura de datos: algunos usan tablas de BBDD y se guardan en RAM.

b. Algoritmo: Lista limitada de paso.

c. Mensajes del protocolo: Mensajes para descubrir routers.

Funcionamiento:

1. El router envía y recibe mensajes de enrutamiento de interfaces.

2. Comparte mensajes con routers con el mismo protocolo de enrutamiento.

3. Los routers intercambian información para obtener redes.

4. Cuando el router detecta cambio de topología, lo informa.

Ventajas:

Menos mantenimiento.

Protocolos reaccionan automáticamente.

Menos propensa a errores.

Escalable.

Desventajas:

Se utilizan recursos (CPU, RAM, ancho de banda…).

Se requiere un administrador de redes avanzado.

2.2.3. Interfaces

Administratively down: modo inactivo o apagado.

Line protocol is down: no hay señal de switch/hub. También puede estar en modo inactivo.

Para no interferir con los comandos y los mensajes de IOS mientras escribimos:

# line console 0

# logging synchronous

# description


32

2.2.4. CDP

Funciona en capa 2 (conectados directamente).

Descubrimiento de equipos Cisco vecinos.

Routers son capa 3. Los switches son vecinos cuando operan directamente ya que son capa 2.

# show cdp neighbours (muestra detalles).

# no cdp run (desactivamos uso global CDP).

# no cdp enable (desactivamos sólo en 1 interfaz).

2.2.5. Rutas Predeterminadas

Coincide con todos los paquetes.

Cuando no encuentra equivalente (ISP).

0.0.0.0 0.0.0.0 (quad-zero).

Máscara 0 indica que no debe coincidir con ningún bit.

2.3 PROTOCOLOS DE ENRUTAMIENTO DINÁMICO

2.3.1. Vector distancia y Link-State

1. Vector distancia (enrutamiento).

Significa que las rutas se publican como vectores distancia (distancia en saltos) y

dirección (router del siguiente salto).

Sólo tiene información de destino y saltos.

Red simple y plana. No requiere diseño jerárquico.

Administradores con poca experiencia con link-state.

Redes específicas como “hub-and-spoke”.

RIP & EIGRP.

2. Link-State (estado de enlace)

A diferencia de vector distancia, que periódicamente envía actualizaciones de la red, los

link-state, sólo envían cambios cuando una red se ha caído.

OSPF.

Es crucial una rápida convergencia de red.

Diseño jerárquico.

Administradores experimentados.

OSPF va por las rutas más rápidas y RIP por las más cortas.


33

2.3.2. Balanceo de Carga

Está en uso al especificar dos rutas para 1 red.

Puede realizarse por paquete o por destino.

2.3.3. Protocolos Vector-Distancia

RIP: Protocolo de Información Enrutamiento

Se basa en el conteo de saltos.

Máximo 15 saltos.

Broadcast o Multicast cada 30 segundos.

IGRP: Protocolo de Enrutamiento de Gateway Interior

Se considera ancho de banda, retarda la carga y la confiabilidad.

Broadcast cada 90 segundos.

Obsoleto.

EIGRP: IGRP Mejorado

Balanceo de carga con distinto costo.

Utiliza algoritmo DUAL para calcular ruta más corta.

No hay actualizaciones periódicas, sólo cuando hay cortes.

Posibilidad de VLSM.

Desventajas:

Tiempo de convergencia: rapidez de routers que comparten tabla de enrutamiento y alcanzan

conocimiento constante. Puede haber loops por alguna ruta que no se ha actualizado debido a

la convergencia.

Escalabilidad: cómo de grande es la red según el protocolo. Si es más grande, deberá ser más

escalable el protocolo.

Sin/con clase: VLSM va sin clases y admite mejor las rutas.

Ventajas:

Recursos: requisitos como espacio de memoria, porcentaje en uso de CPU. Cuantos más

requisitos, más hardware.

Implementación y mantenimiento: nivel de conocimiento requerido para el administrador.


34

2.3.4. Temporizadores de RIP

1. Invalidez:

Si no se han recibido actualizaciones transcurridos 180 segundos, la ruta se marca como

inválida y la métrica como 16.

Se retiene la ruta hasta que vence el temporizador de purga.

2. Purga:

Default 240 segundos. Cuando vence, se elimina.

3. Espera:

Evita loops. Si se marca inalcanzable, debe permanecer en espera hasta que todos los

routers se den cuenta (180 segundos).

2.3.5. Actualizaciones EIGRP

Actualizaciones limitadas. Sólo a los que lo necesitan.

No periódicas.

Parciales cuando se produce un cambio.

2.3.6. Triggered Update

Actualización tabla enrutamiento inmediata. No espera a temporizadores.

Una interfaz cambia de estado (activada o desactivada).

Ruta de estado inalcanzable

Al instalar una ruta en la tabla de enrutamiento.

Deberían ser suficientes pero no garantizan la ola inmediatamente.

Problemas:

Paquetes con mensajes de actualización pueden descartarse.

No son instantáneos. Puede enviar información errónea.


35

2.3.7. Loops de Enrutamiento

Condición en la que un paquete se transmite dentro de una red sin llegar al destino. Sucede cuando dos routers o más, tienen rutas erróneas inalcanzables.

o Rutas estáticas incorrectas.

o Redistribución de rutas incorrectas (propagación entre protocolos).

o Tabla de enrutamiento incongruente debido a convergencia lenta.

o Rutas de descarte configuradas incorrectamente.

Puede producirse por:

o CPU elevadas a causa de loops.

o Paquetes perdidos (agujeros negros).

o Ancho de banda exigido por loops.

o Pueden perderse.

Prevenciones:

o Definir una métrica máxima.

o Temporizadores de espera.

o Horizonte dividido.

o Envenenamiento de ruta o envenenamiento en reserva.

o Triggered updates.

2.3.8 Diferencias entre EIG y EGP

Un sistema autónomo (AS), conocido también como dominio de enrutamiento, es un

conjunto de routers que se encuentran bajo una administración común.

Estos protocolos son:

Protocolos de gateway

interior (IGP): se usan para el

enrutamiento de sistemas

intrautónomos (el

enrutamiento dentro de un

sistema autónomo).

Protocolos de gateway

exterior (EGP): se usan para

el enrutamiento de sistemas

interautónomos (el

enrutamiento entre sistemas

autónomos).


36

2.3.9. GLOSARIO:

Cuenta infinito: se produce cuando las actualizaciones de enrutamiento inexactas aumentan el

valor de métrica a “infinito” para una red inalcanzable.

Horizonte dividido: establece que un router no debería publicar una red a través de la interfaz

por la cual provino la actualización.

Envenenamiento de ruta: marca la ruta como inalcanzable en una actualización de

enrutamiento que se envía a otros routers.

Horizonte dividido con envenenamiento en reserva: Al enviar actualizaciones por una

determinada interfaz, se debe designar como inalcanzable a cualquier red sobre la cual se

obtuvo información.

Es mejor informar al router que rechaze el paquete, a no decirle nada y que lo ignore.

Tiempo de vida (TTL): campo de 8 bits en encabezado IP que limita cantidad de saltos que un

paquete puede atravesar antes de descartarlo.

Evita que un paquete continúe circulando por la red si no se puede entregar.

2.4 PROTOCOLOS DE ENRUTAMIENTO

2.4.1. RIP vs RIPv2

RIPv2 es un protocolo standard y sin clase. Fácil de configurar. Mejor opción redes pequeñas.

También tiene 15 saltos.

1. RIP:

Admite horizonte dividido y envenenamiento en reserva.

Balanceo de carga hasta 6 rutas. Por defecto son 4 rutas.

2. RIPv2:

Incluye máscara de subred. Protocolo sin clase. VLSM

Mecanismo autenticación.

Direcciones multicast en vez de Broadcast.

Sumarización manual.

Interfaz loopback: interfaz lógica que se usa para simular una física. Puede asignar dirección IP. Son útiles para crear redes adicionales sin tener que agregar interfaces adicionales. Puedes hacer ping y se replica en la tabla de enrutamiento.

Interfaz nula: alternativa para filtrar tráfico. Redirige tráfico. Siempre está encendida. No envía ni recibe. Agujero negro.

Una ruta estática debe tener interfaz de salida.


37

RIPv2 automáticamente hace subnets. Si queremos evitarlo:

# router rip

# no auto-summary

# end

CIDR: Enrutamiento entre dominios sin clase.

Superred: bloque de redes con clases contiguas que se direccionan como una única red.

# show ip interface brief

verifica rápidamente el estado de todas las interfaces.

# show ip protocols verifica varios elementos esenciales y también que RIP esté habilitado

Ventajas sumarización automática:

Se envían y reciben actualizaciones menores, por tanto consumen menos ancho de banda.

Sólo tiene una única ruta.

Desventajas sumarización automática:

No incluye máscara de subred en las actualizaciones.

Router receptor no puede determinar.

# passive-interface

Evita el desperdicio de ancho de banda y de procesamiento por actualizaciones innecesarias.

# default-information origínate Propaga las rutas por defecto a los vecinos.

# network identifica redes directamente conectadas que se incluirán en la tabla de enrutamiento.

Router de borde RIP: tiene múltiples interfaces en más de una red principal con clase.

RIP v1

RIP v2


38

2.4.2 Subnetting VLSM

Dada la red de Clase C 204.15.5.0/24, divide las redes para ajustar la red de la ilustración

inferior.

Mirando la imagen, debemos crear 5 subredes para que soporte una red máxima de 28 hosts.

25 = 32-2 = (30 usable) Son suficientes para 28 hosts.

La forma más fácil es empezar desde la red más grande hasta la más pequeña.

netB: 204.15.5.0/27 host address range 1 to 30

netE: 204.15.5.32/27 host address range 33 to 62

netA: 204.15.5.64/28 host address range 65 to 78

netD: 204.15.5.80/28 host address range 81 to 94

netC: 204.15.5.96/30 host address range 97 to 98


39

2.4.3 EIGRP

El propósito del PDM de EIGRP es brindar soporte modular para los protocolos de capa 3.

Una ruta activa es marcada por DUAL cuando EIGRP queda fuera de servicio y no se detecta un sucesor factible en la topología.

El propósito de las tablas de vecinos y topología EIGRP es que DUAL use las tablas de vecinos y topología para desarrollar la tabla de enrutamiento.

Rely 255/255 es la probabilidad que el enlace continúe activo.

# show ip eigrp topology all-links

muestra todas las rutas posibles hacia un destino.

DUAL: Algoritmo actualización por difusión. Analiza el camino y las rutas de respaldo sin loops.

rutas sin bucles.

convergencia rápida.

uso mínimo ancho de banda. Actualizaciones automáticas.

rutas de respaldo sin bucles. Pueden utilizarse inmediatamente.

Actualizaciones:

No envía actualizaciones periódicas, sólo cuando la métrica cambia.

- PARCIAL: información para cambios de ruta.

- LIMITADA: sólo reciben routers afectados por el cambio.

2.4.4 Proceso de enrutamiento de Link-State

1. Cada router aprende de sus rutas conectadas directamente.

2. Cada router saluda a sus vecinos conectados directamente.

3. Cada router crea un paquete de estado de enlace (LSP).

4. Cada router redunda el LSP a todos, luego lo almacena en una BBDD.

5. Cada router utiliza la BBDD para construir el mapa completo y calcula la mejor ruta.

Los LSP sólo se envían:

puesta en marcha de un router o proceso de protocolo de enrutamiento.

cambio en la topología, incluido enlace que se activa o desactiva.


40

2.4.5 OSPF

Tipos de paquetes OSPF (Distancia Administrativa: 110)

1. Saludo: Mensaje de hello.

2. DBD: Descriptores BBDD. Lista abreviada BBDD router emisor.

3. LSR: Routers receptores pueden solicitar más información enviando solicitud LSR.

4. LSU: Respuestas de LSR y más información.

5. LSAck: Acuses de recibo cuando se recibe una LSU

La métrica de OSPF es el costo. Se asocia con el resultado de cada interfaz. Cuanto má s

bajo, más probabilidades hay que sea elegida.

108 / 56.000 bps = 1785 valor alto = métrica lenta 108 / 10.000.000 bps = 10 valor bajo = métrica rápida

# bandwith 1256 (kbps)

# ip ospf cost 1785 (bps)

3 Semestre 3

Capa de acceso: dispositivos finales como PC, impresoras, routers, switches. Controla qué

dispositivos tienen acceso a la red.

Capa de distribución: controla el flujo, el tráfico de la red con dominios de broadcast con VLAN’s

definidas por la capa de acceso.

Capa de núcelo: backbone de alta velocidad. Se conecta a la capa de distribución. Disponible y

redundante.

Red convergente: separar datos / video en empresa. Implementación de QoS.

3.1 ARQUITECTURA DE LAN CONMUTADA

3.1.1 Tipos de switches

Switches config. fija: tal cual de casa. No escalable.

Switches config. modulares: posibilidad instalar HW. Si es de 24 puertos, fácilmente se

puede ampliar a 48.

Switches config. apilables: conectados por backplane hasta 9. Varios switches en uno.


41

3.1.2 CSMA/CD

Acceso múltiple por detección y detección de errores.

Utiliza half-duplex. Los switches full-duplex no utilizan CSMA/CD.

Todos los dispositivos antes de enviar, deben escuchar.

Cuando un dispositivo detecta una señal de otro dispositivo, se espera un poco. Cuando no

detecta señal, envía el mensaje. Mientras se transmite, continúa atento al tráfico.

3.1.3 Acceso múltiple

Si hay una latencia y 2 dispositivos no se detectan, empezarán a transmitir los dos. Habrá

colisiones. Para detectar colisiones hay que tener el dispositivo en modo escucha ya que

detectan un aumento de amplitud de señal normal.

Señal de congestión y postergación aleatoria: cuando detectan colisiones, envían una señal de

congestionamiento.

Esta señal avisa a los demás dispositivos para realizar un algoritmo de postergación. Detienen su

transmisión durante X tiempo.

Cuando finaliza, el dispositivo escucha de nuevo.

Unicast: host envía trama destino específico. Sólo existe emisor y receptor. Predomina

en LAN e Internet. HTTP, FTP, TELNET, SMTP…

Broadcast: se envía trama desde 1 dirección a todas las direcciones. Sólo 1 emisor.

Fundamental al enviar mensajes a LAN. Ej: consulta resolución de direcciones (ARP) a

todos.

Multicast: 1 trama hacia un grupo específico. Deben ser miembros de un grupo

multicast lógico. Transmisión de voz y video.


42

3.1.4 Half-Duplex

Similar a los walkie-talkies. Sólo una persona puede enviar o transmitir a la vez. Por eso

implementa CSMA/CD. Se puede encontrar en nodos antiguos: hubs y tarjetas NIC.

flujo de datos unidireccional.

alto potencial de colisiones.

conectividad hub.

3.1.5 Full-Duplex

Flujo de datos bidireccional, la información puede enviarse y recibirse al mismo tiempo por

canales separados.

más rendimiento.

conectado al switch dedicado.

requiere full-duplex en ambos extremos.

sin colisiones.

CSMA/CD desactivado.

3.1.6 Dominios de colisiones.

Área de red donde se originan las tramas y se producen colisiones.

Un dominio de colisión es cada host que se conecta al switch / hub. Ya que separa un canal

dedicado.

Los switches reducen colisiones y permiten mejor utilización del ancho de banda.

3.1.7 Dominios de Broadcast

Una serie de switches conectados forman un dominio de broadcast simple. Sólo un dispositivo

de capa 3 como un router o VLAN lo detienen.

3.1.8 Latencia de Red

Tiempo que toma una trama o un paquete a hacer el recorrido desde la estación de origen hasta

su destino final.

La latencia depende de tres factores:

Más HW, hace que todo el viaje sea más rápido. Mayor procesamiento.

Más volumen de tráfico, además el broadcast ARP, influye negativamente el

rendimiento.

Aplicaciones con demanda de ancho de banda.


43

3.1.9 Conmutación por almacenamiento y envío. (Método reenvío).

Cuando un switch recibe una trama, la almacena en un búfer hasta recibir toda la trama.

Durante este proceso, el switch analiza la trama para buscar información acerca de su destino y

verifica errores CRC.

El CRC utiliza una fórmula basada en la cantidad de bits para determinar si ésta tiene algún

error.

Menos ancho de banda ya que el switch descarta la trama y CRC consume. Solución QoS.

3.1.10 Búfer de memoria

La memoria está basada en puerto, las tramas se almacenan en colas conectadas a puertos de

entrada y salida específicos.

La memoria compartida deposita todas las tramas en un búfer de memoria común y comparten

todos los puertos del switch.

3.1.11 Ataques de seguridad comunes

3.1.11.1 Saturación de direcciones MAC

Host A envía tráfico a Host B. El switch no encuentra la dirección MAC de Host B, por lo que se

envía el paquete por broadcast a todos.

El Host B recibe la trama y responde a Host A. Ya sabe qué puerto debe utilizar (puerto 2). Host

C también recibe la trama pero la descarta ya que no es su MAC.


44

Ahora, Host C ya sabe que es el puerto 2. Es cuando entra en funcionamiento el

flooding de MAC.

El intruso en Host C ejecuta una herramienta de bombardeo de MAC’s e IP’s aleatorias (155.000

por minuto). Satura el switch y automáticamente entra en modo Hub. Entonces envía a todo

Dios las tramas por broadcast con lo cual también recibe Host C.

3.1.11.2. Ataque de suplatación de identidad.


45

3.1.11.3. Inanición DHCP.

El atacante solicita direcciones IP de manera continua a un servidor DHCP real cambiando la

MAC de origen. Si funciona, el DHCP, se quedará sin direcciones IP libres y no podrá asignarlas.

Para evitarlo, se utiliza el snooping DHCP.

El snooping determina qué puertos son confiables y cuáles no. Los confiables pueden recibir

DHCP, los no confiables solo reciben solicitudes.

Los confiables se alojan en el servidor DHCP. Si un atacante de un puerto no confiable intenta

enviar un paquete de respuesta de DHCP, se desactiva.

3.1.11.4. Ataques CDP

CDP es un protocolo de desubrimiento de Cisco para autoconfigurar los dispositivos

vecinos y viene habilitado por defecto en la mayoría de ellos. No va encriptado y es capa

2. No se propaga por routers.

Contiene información como IP, versión de software, plataforma, capacidades y VLAN

nativa. Vulnerables a ataques DoS.

3.1.11.5. Ataques Telnet

Telnet no va encriptado y hay programas de fuerza bruta. Es más conveniente usar SSH

en vez de Telnet y/o ACL’s para el host se va a conectar únicamente.

También es muy común un ataque DoS por Telnet. Crea mucha molestia. Bugs

solventados en el último IOS.


46

3.1.12 Características de herramientas de seguridad

Identificación de servicio: se utilizan para alcanzar los host mediante IANA

(Autoridad de números asignación Internet). Debe descubrir si un FTP se ejecuta en

un puerto no estándar y con hosts igual.

Soporte SSL: pruebas de servicios con SSL.

Pruebas destructivas: degradan significativamente la red (rendimiento). Permiten ver

cómo reacciona la red.

BBDD vulnerables.

3.1.13 Tipos de direcciones MAC

Seguras estáticas: se almacenan en la tabla de direcciones MAC y se agregan a la

configuración en ejecución del switch.

Seguras dinámicas: se aprenden dinámicamente y se almacenan sólo en la tabla de

direcciones. Se eliminan cuando el switch se apaga.

Seguras sin modificación: puede aprender de manera dinámica las direcciones MAC

y luego guardarlas en la configuración de ejecución.

3.1.14 Violaciones de seguridad

Se agregó el máximo de direcciones MAC seguras y una estación cuya dirección

MAC no se encuentra en la tabla de direcciones, intenta acceder.

Una dirección aprendida o configurada en una interfaz segura puede verse en otra

interfaz segura de la misma VLAN.

Se puede configurar la interfaz para uno de tres modos de violación en base a la acción a

tomar.

1. Protección: número de MAC’s alcanza el límite por puerto. Los paquetes de origen

desconocido se descartan hasta que se eliminen suficientes MAC o crezca el búfer.

El usuario no avisa.

2. Restricción: Idéntico al anterior aunque el usuario sí avisa que hay una violación. Se

envía un trap de SNMP y se registra el mensaje en syslog y aumenta el contador de

violaciones.

3. Desactivación: se desactiva interfaz y se apaga el LED. Se envía trap SNMP + syslog

+ aumento contador. Se arregla con un “no shutdown” en la interfaz si está por

error.


47

3.1.15 Glosario:

# show port-security <interface>

Verificación de seguridad del puerto.

# show port-security address

Verificación de MAC’s seguras.

Ctrl + P en línea de comandos: Acceso al búfer de historial de comandos.

P: ¿Cómo procesa el switch Ethernet el tráfico entrante mediante el búfer de memoria

basado en el puerto?

R: Las tramas se almacenan en colas que se enlazan a puertos de entrada específicos.

P: Un administrador quiere configurar una IP en un switch. ¿Cómo puede asignar la IP?

R: En la LAN de administración.

P: ¿Por qué es necesario asignar un puerto de enlace por defecto a un switch?

R: Para poder acceder a otras redes desde la línea de comandos del switch.

Consejo: deshabilitar todos los puertos en desuso con shutdown.

3.2 VLAN

3.2.1 Beneficios VLAN

Seguridad.

Reducción de costos.

Mejor rendimiento, con lo cual reduce broadcast.

Mitigación tormentas de broadcast.2

Mayor eficiencia del personal IT.

Administración de aplicación o proyectos más simples.

2. Evento de red indeseable en el que se envían muchos broadcast de manera simultánea a través de los segmentos de red.


48

3.2.2 Rangos VLAN

Rangos normales:

Pequeños y medianos negocios.

ID entre 1 y 1005.

FDDI y Token Ring: 1002 a 1005.

La 1 y des de 1002 a 1005 no se pueden eliminar. Se guardan en “vlan.dat” de la memoria flash.

Rangos ampliados:

1006 a 4094.

Proveedores de servicio.

Menos opciones.

Se guardan en el archivo de configuración de ejecución.

3.2.3 Tipos de VLAN

Datos:

Configurada para enviar sólo tráfico de datos generado por el usuario. Se recomienda separar datos y voz.

Predeterminada:

Por defecto Vlan 1. Tiene todas las características pero no puedes renombrarla ni eliminarla.

Administración:

Cualquier Vlan. Normalmente se usa la 99. Se puede manejar un switch por http, SSH, Telnet, SNMP….

Voz:

Importante separar voz y datos. Mucha carga de ancho de banda. VoIP requiere:

Ancho de banda garantizado a calidad de voz.

Prioridad de transmisión sobre tipos tráfico de red.

Capacidad para ser enrutado en áreas congestionadas.

Demora de menos de 150 ms a través de red.

Vlan estática:

Se asignan manualmente. Se crea nueva VLAN expresamente.

Cada puerto está asociado a 1 VLAN.

Configuración manual de asignación de puertos VLAN.

Requiere interacción administrador cuando los usuarios se desplazan.

# interface FastEthernet 0/1

# switchport mode access

# switchport access 20

# end


49

Vlan dinámica:

No se utiliza mucho.

VMPS (Servidor Política Membresía de VLAN).

Asigna puertos de switch a la VLAN basados en forma dinámica de dirección MAC origen.

Los puertos desarrollan su propia configuración.

Menor sobrecarga de trabajo adicional cuando los usuarios se desplazan.

La configuración se basa en la BBDD.

3.2.4 Enlaces Troncales

Enlace punto a punto entre dos dispositivos de red que llevan más de una VLAN.

Un enlace troncal no es una Vlan específica si no un conjunto de ellas entre el switch y el

router.

Etiquetado de trama 802.1Q

Los switches son de capa 2 y solo necesitan el encabezado para enviar el

paquete.

Al estar en un enlace troncal, es necesario indicar a qué Vlan van a ir. Se

agrega la encapsulación 802.1Q pero, ¿Cómo?

Cuando el switch recibe la trama por un puerto con una Vlan estática, quita

la trama e inserta una etiqueta VLAN. Recalcula la trama y a envía al enlace

troncal.

Esto lo logra Ethernet, un campo de información de control de etiqueta y

FCS (Verificación de trama.


50

3.2.5 Modos de Enlaces Troncales

IEEE, no ISL:

IEEE 802.1Q: Admite tráfico simultáneo etiquetado o no. Se le asigna un PVID3 y se transporta todo el tráfico sin etiquetar.

Sólo se envía algo sin etiquetar cuando el paquete con un ID de VLAN es igual al PVID predeterminado del puerto de salida.

ISL: se espera que todos los paquetes transmitidos se envíen con un encabezado ISL. Tramas no etiquetadas, se descartan.

Activado (predeterminado):

Va enviando tramas DTP. El puerto local informa que va cambiando dinámicamente al puerto remoto a troncal.

# switchport mode trunk

Auto dinámico:

Envía periódicamente tramas DTP al puerto remoto.

# switchport mode dynamic auto

3. Todo el tráfico etiquetado o sin etiquetar con un ID nulo.

Problemas comunes con enlaces troncales:

Falta de concordancia de la VLAN nativa. Si se configura 2 vlans nativas, peta.

Falta de concordancia del modo de enlace troncal. Si a un enlace troncal lo ponemos en activo y al otro inactivo.

VLAN y subredes IP. Los dispositivos de usuario final con configuraciones IP incorrectas.

VLAN permitidas en enlaces troncales. No se ha actualizado bien con los requerimientos de enlace troncal.


51

3.3 VTP

Permite al administrador configurar un switch de modo que propagará las VLAN a los

demás switches.

Los VTP de cliente o servidor, sólo admiten Vlan de 1 a 1005.

El servidor VTP, sincroniza y distribuye información entre switches. Minimiza problemas y

las configuraciones se almacenan en BBDD.

3.3.1 Beneficios:

Consistencia configuración VLAN.

Seguimiento y monitoreo preciso.

Informes dinámicos sobre VLAN’s agregadas.

Configuración de enlace troncal dinámico cuando VLAN se agrega.

3.3.2 Componentes:

Dominio VTP: uno o más interconectados.

Publicaciones VTP: distribuye y sincroniza configuraciones.

Modos VTP: servidor, cliente o transparente.

Servidor VTP: publican información del dominio.

Cliente VTP: guardan información del dominio.

VTP Transparente: envían publicaciones a cliente / servidor.

Depuración VTP: aumenta ancho de banda. Restricción tráfico.

El modo servidor es el modo predeterminado de VTP con la versión 1 (hay 3 disponibles).

# show vtp status (algunos parámetros)

VTP pruning mode: depuración habilitada o no.

3.3.3 Dominio VTP

Un switch o varios interconectados que comparten el mismo nombre de dominio de VTP.

Un switch puede ser parte de un dominio solamente.

Hasta que no se especifique un dominio, no se puede crear ni modificar.


52

3.3.4 Estructura de trama VTP

Las publicaciones VTP al dominio:

Nombre de dominio.

ID de actualizador y marca horaria de actualización.

MD5 digest.

Formato de trama.

Las publicaciones VTP a la VLAN:

ID VLAN.

Nombre VLAN.

Tipo VLAN.

Estado VLAN.

Información adicional de configuración de VLAN.

3.3.5 Publicación VTP

La trama VTP conlleva un encabezado y un mensaje. La información se inserta en el campo de

datos de Ethernet.

La trama Ethernet se encapsula como troncal (802.1Q). Cada switch envía broadcast y multicast.

los vecinos lo reciben.

De resumen:

nombre de dominio.

nº actual revisión y otros detalles.

envían publicaciones cada 5 minutos por el servidor o cliente para informar a los

demás switches.

inmediatamente después de una modificación.

De subconjunto: contiene información de VLAN.

creación o eliminación de VLAN.

suspensión o activación de VLAN.

cambio de nombre de VLAN.

cambio MTU de VLAN.


53

De solicitud: al publicar al servidor VTP, éste responde con una

publicación de resumen y luego de subconjunto.

nombre de dominio VTP ha cambiado.

switch recibe publicación de resumen con nº de revisión de configuración alto.

mensaje de subconjunto se pierde.

switch reconfigurado.

Temas comunes tras la publicación:

versiones incompatibles de VTP.

temas de contraseña VTP.

Nombre modo incorrecto.

todos los switches con configuraciones de modo distintos.

3.3.6 Modos

Servidor:

Se pueden crear, borrar y modificar VLAN para dominio completo. Es el modo

predeterminado. Publican sus configuraciones a otros switches del dominio y se

sincronizan.

Cliente:

No se puede crear, modificar ni eliminar VLAN. La información que recibe del servidor

VTP, se almacena en BBDD, no en la NVRAM.

Redes muy grandes al haber muchos switches. Más eficaz.

Transparente:

Envían publicaciones a otros switches a través del enlace troncal que reciben por sus

puertos.

No publican configuraciones VLAN y no sincroniza su configuración de VLAN.

Configurarlo cuando la VLAN sea local y no deba compartirse.

Las configuraciones se guardan en la NVRAM. Estará disponible después de la caída de

un switch.


54

3.3.7 Glosario:

P: ¿Cómo afecta el VTP a la administración VLAN?

R: VTP propaga los nombres de VLAN a todos los switches de dominio VTP.

P: El switch de dominio VTP envía peticiones de publicación. ¿Cuál será la respuesta?

R: El servidor VTP envía resumen y un subconjunto de publicaciones.

P: ¿Cuál es el propósito del protocolo de enlaces troncales VLAN?

R: Mantener la coherencia en la configuración de VLAN en toda la red.

3.4 STP (SPANNING TREE PROTOCOL)

3.4.1 Redundancia

La redundancia de capa 2 mejora el servicio ya que incluye el propósito de añadir más

dispositivos y cables, mejorando más la disponibilidad.

Se logra en las capas de distribución y núcleo, gracias al hardware adicional y rutas alternativas.

Bucles:

Cuando existen varias rutas entre dos dispositivos en la red y STP está deshabilitado,

pueden generarse bucles de capa 2. Si está habilitado, que está predeterminado, puede

evitarse.

Inconvenientes:

Las tormentas de Broadcast se generan cuando hay muchas tramas de Broadcast

atrapadas en un bucle de capa 2. Como no hay ancho de banda disponible, peta todo.

Son inevitables al haber bucles. Cuantos más dispositivos haya, más Broadcast.

Como el Broadcast se envía a todos, todos deben procesar el tráfico que fluye en la red

con bucles. Esto puede producir que el dispositivo final no soporte la carga en la NIC.

Las tramas unicast también pueden afectar bucles porque son enviadas a la red y

generan tramas duplicadas que llegan al dispositivo destino.

En general, los protocolos que utilizan un mecanismo de numeración en secuencia

asumen si la transmisión ha fallado y que el número de segundos se ha reciclado.

STP evita que esto suceda.


55

3.4.2 Algoritmo STP

La redundancia ayuda a que una topología sea estable, al conectar varios switches o cables. Esto

comporta que haya bucles y tramas duplicadas.

El protocolo Spanning Tree ha sido desarrollado para evitarlo ya que asegura que haya una ruta

lógica entre 2 destinos, al bloquear intencionadamente a las rutas redundantes.

Un puerto se considera bloqueado cuando el tráfico de la red no puede ingresas ni salir.

Físicamente aún están conectados. STP calculará y habilitará de nuevo esas rutas, en caso de

fallo de cableado o switch.

Algoritmo:

Utiliza un algoritmo (STA) que determina qué puertos debe bloquear para evitar bucles.

El STA designa 1 solo switch como puente raíz y lo usa de referencia para todos los

cálculos.

Todos los switches STP comparten tramas BPDU para determinar e menor ID de puente

(BID). Se elegirá el menor.

La BPDU es la trama de mensaje que se intercambia entre los switches STP.

puerto raíz: puertos de switch más cercanos al puente raíz.

puerto designado: todos los puertos que no son raíz y que aún pueden enviar

tráfico.

puerto no designado: todos los puertos configurados en estado de bloqueo para

evitar los bucles.

Proceso BPDU:

Cada switch al arrancar, de manera predeterminada, arrancan como puente raíz. Las

tramas se envían cada 2 segundos.

Cuando los switches adyacentes reciben la trama, comparan el ID de raíz de la trama

BPDU con ID local.

Si es ID raíz de BPDU, es más pequeño que el raíz local, el switch actualizará el ID raíz

local.


56

3.4.3 Estado de los puertos

STP determina la ruta lógica sin bucles gracias al envío de tramas BPDU. Para facilitar el

aprendizaje, cada puerto sufre una transición de 5 estados. El STP queda determinado una vez

ha arrancado el switch. Si un switch experimenta una transición (pasa datos), y pasa del estado

de bloqueo al estado de envío, ese puerto puede crear bucles si el switch no advierte de toda la

topología. Por esa razón hay 5 estados de puertos:

Bloquear: puerto no designado. No participa en el envío de tramas. Recibe BPDU

para determinar ubicación de ID de raíz y puente raíz.

Escuchar: puede participar en el envío de tramas de acuerdo a las tramas BPDU.

También transmite e informa que forma parte de la topología.

Aprender: se prepara para enviar tramas y llena tablas de MAC.

Reenviar: es parte de topología activa, envía recibe tramas BPDU.

Deshabilitado: el puerto de la capa 2 no participa. No envía tramas.

Para determinar cuánto tiempo esos puertos van a continuar estando así:

Tiempo de saludo: tiempo que transcurre cada vez que una trama de BPDU es

enviada a un puerto. Por defecto son 2 segundos. Valores modificables entre 1 y

10.

Retardo de envío: tiempo que transcurre en los estados de escuchar y aprender.

Por defecto son 15 segundos. Valores modificables entre 4 y 30 segundos.

Antigüedad máxima: controla la cantidad máxima de tiempo en que un puerto

de switch guarda información de BPDU. Por defecto son 20 segundos. Valores

modificables entre 6 y 40.

# spanning-tree vlan 1 root primary diameter 5


57

3.4.4 Variantes de Cisco y STP

3.4.5 Enrutamiento VLAN

“Router-on-a-stick”: configuración del router con 1 interfaz física única que enruta el

tráfico entre múltiples VLAN.

Existen switches de capa 3 que permiten enrutar y prescindir de un router.

Se asignan subinterfaces para separar redes por 1 cable. Ambos extremos como los

routers y los switches, se configuran como enlace troncal.

Límite del puerto: 1 interfaz por VLAN requiere muchos cables, interfaces, etc. pero si es

una prioridad utiliza subinterfaces. Puedes enrutar por VLAN variaos switches.

Desempeño: tiene un mejor ancho de banda. y una interfaz física. Las subinterfaces

compiten por el ancho de banda. En una red ocupada, hay más.

Puertos de acceso y puertos enlace troncal: de la interfaz del router al switch, será un

enlace troncal. De switch del PC, puertos access…

Costo: más caro son los routers con interfaces.

Complejidad: más fácil instalación/mantenimiento por el tema de que hay poco cable.

Por otro lado, es más difícil diagnosticar por dónde ha podido fallar ya que no puedes

seguir con él.


58

3.5 LAN INALÁMBRICA

Diferencias entre WLAN y LAN:

RF no tiene límites, la trama está disponible para cualquiera que pueda

recibirla.

RF no está protegida de señales exteriores. Pueden interferirse mutuamente

en la misma zona.

RF se regular y aseguran de forma diferente dependiendo del país.

WLAN se conecta al AP en vez del al switch.

802.11 recomienda prevención de colisiones, en lugar de previsión de

colisiones.

WLAN con tramas diferentes a Ethernet. Requieren información adicional de

capa 2.

Problemas de privacidad.

3.5.1 802.11a

Técnica de modulación OFDM y opera a 5Ghz. Menos interferencias ya que menos mercado

opera a 50Ghz. A diferencia de las 2.4GHz si que estamos algo indefensos. Antenas más

pequeñas (5Ghz).

Cuanta más alta sea la señal, más fácil es de los muros se te coman.

Rango más acotado. No disponible en Rusia.

3.5.2 802.11b/g

802.11b especificó tasas hasta 11Mb/s en 2.4Ghz mediante la técnica de modulación OFDM.

Dispositivos que van en una frecuencia de 2.4 tienen mejor alcance que los que van a 5 Ghz.

Pero como hay muchos dispositivos que operan a esta frecuencia, tienen cortes.


59

3.5.3 802.11n

Diseñado para mejorar tasas de datos y alcance WLAN sin requerir energía adicional.

Utiliza radios y antenas múltiples y cada una transmite en la misma frecuencia para establecer

streams múltiples.

La tecnología de entrada múltiple / salida múltiple (MIMO), divide un stream en varios de menor

tasa y los transmite simultáneamente. 248Mb/s en 2 streams.

3.5.4 CSMA/CA

Los AP supervisan la función de coordinación distribuida (DCF). Esto significa que los dispositivos

WLAN deben detectar la energía del medio y esperar a que este se libere antes de enviar.

Hay acuses de recibo entre cliente-servidor.

3.5.5 Ataques Man-in-the-middle (intermediario)

El atacante se introduce entre el host y el router lógicamente y luego el atacante recopila

información. Una vez ha tenido acceso, utiliza un snifffer como Wireshark para capturar

paquetes.


60

3.5.6 Denegación de servicio (DoS)

Las WLAN 802.11b/g utilizan la frecuencia 2.4Ghz de banda sin licencia. Es la misma banda que

los teléfonos, microondas, hornos, etc.

Se consiguen congestionar las bandas RF y los atacantes pueden crear ruido.

Denegación de servicio 2 (DoS2)

Convertir la NIC en un AP e invaden el BSS con mensajes listos para enviar (CTS).

Inhabilitan CSMA/CA y los AP inundan tráfico que causan un stream constante de

colisiones.

Otro ataque DoS es enviar comandos desvinculados que causa que todas las estaciones

BSS se desconecten.

Cuando intentan conectarse crean una explosión de tráfico.


61

4 Semestre 4

4.1 CAPA FÍSICA WAN

Una de las principales diferencias entre una LAN y una WAN es que la WAN necesita un extremo

para que le pueda subministrar conexión y acceder a Internet.

Estas son las conexiones físicas:

Equipo local del cliente: dispositivos y cableado interno en la empresa y posee un CPE.

Un suscriptor es una empresa que contrata un ISP.

Equipo de comunicaciones de datos (DCE): dispositivos que poseen datos en el bucle

local. Suministra una interfaz para conectar suscriptores a la nube WAN.

Equipo terminal de datos (DTE): dispositivos del cliente que pasan los datos de la red o

host de un cliente para transmisión a través de la WAN. DTE se conecta al DCE.

Punto de demarcación: separa los equipos clientes entre el ISP. Físicamente es la caja de

empalme en el cliente y conecta los cables del CPE.

Bucle local: cable de cobre que conecta el CPE del Central Office (también se llama

“última milla”).

Oficina central: Instalaciones ISP.


62

4.1.1 Conmutación de circuitos

Establecen un canal dedicado entre los nodos y los terminales antes de que los usuarios puedan

comunicarse.

Cuando un ISP hace una llamada telefónica, ese número de destino se utiliza para realizar un

circuito entre varios puntos.

De modo que se conoce como red “conmutada por circuito”. Varias conversaciones comparten

la ruta interna (multiplexación).

Si se usa esta conmutación para PC’s, no será suficiente. Habrá períodos de inactividad. Ráfagas

para cargar páginas.

PSTN e ISDN son tecnologías de conmutación de circuitos para WAN empresarial.

4.1.2 Conmutación de paquetes

A diferencia de la conmutación de circuitos, éste divide el tráfico en paquetes a través de una

red compartida. No requieren circuitos y permiten muchos pares de nodos a la vez

comunicándose.

Los switches de estas redes deciden el camino de envío en función de la información de cada

paquete:

sistemas sin conexión: como Internet. Cada switch evalúa la ruta por donde enviar.

sistemas orientados a conexión: cada paquete necesita llevar un único ID. El switch

busca las rutas con ese ID. Si ese circuito está disponible, se llama VC (circuito virtual).

Los enlaces internos entre switches se comparten, por tanto hay un menor coste.

Hay más latencia que en la conmutación de circuitos porque se comparten enlaces.


Circuito lógico creado dentro de una red compartida.

circuito virtual permanente: se utilizan cuando la transferencia de datos entre

dispositivos es constante. Reducen ancho de banda con el establecimiento y la

terminación de VC. Aumentan los costos.

circuito virtual conmutado: se establecen dinámicamente a pedido y terminan al

completarse la transmisión. La comunicación consta de 3 fases:

1. Establecimiento: involucra la creación de VC entre origen y destino.

2. Transferencia datos: transmisión de datos entre dispositivos de los VC.

3. Terminación circuito: interrupción VC.

Se utiliza cuando hay conexiones intermitentes y para ahorrar costos. Liberan el circuito

cuando acaban la transmisión.


63

4.2 TECNOLOGÍAS WAN COMUNES

4.2.1 X.25

Protocolo de capa de red heredado que proporciona una dirección de red a los suscriptores.

Varios canales pueden estar activos en una conexión.

Aplicaciones típicas que lo usen son puntos de venta (lectores de tarjeta) en reconexión

telefónica porque el bajo ancho de banda y la latencia no supone un problema.

Actualmente en decadencia. Se sustituyen por DSL, ATM, etc.

4.2.2 Frame Relay

Funcionamiento sencillo y opera en la capa enlace de datos y no en la capa de red. No realiza

control de errores o flujo. Velocidades de hasta 4Mbps.

Los VC se identifican de manera única con DLCI. Garantiza comunicación bidireccional. La

mayoría usan PVC.

Ofrece conectividad permanente, compartida, ancho de banda mediano…. ideal para LAN de

empresa.

4.2.3 ATM

Modo transferencia asíncrona. Capaz de transmitir voz, videos y datos a través de redes privadas

y públicas.

Transmite celdas, no tramas y siempre tienen longitud fija de 53 bytes.

Las celdas pequeñas equivalen a voz y video porque no tolera demoras.

4.3 INTRODUCCIÓN A LAS REDES WAN

4.3.1 DSL

Orientada a conexión para brindar grandes anchos de banda y servicios IP. El suscriptor no

puede conectarse directamente a Internet. Primero debe pasar por el ISP para establecer

conexión IP.

4.3.2 Módem por cable

Conexión permanente y de fácil instalación. Conecta el módem a un PC que traduce las señales

digitales a frecuencias de banda ancha.

La oficina de TV tiene la infraestructura para dar Internet.

CMTS (Cable Modem Termination System) envía y recibe señales digitales de módem por cable

para brindar Internet.


64

4.3.3 Estándares Cables Seriales

Para comunicaciones de largo alcance.

El costo y la comunicación de los cables paralelos no son una ventaja.

Los seriales son más extensos y sencillos.

o RS-232: 9 y 25 pines. La más común de los PC’s.

o V-35: datos síncronos de alta velocidad. Combina varios anchos de banda. En

USA es el estándar de T1. Mayoría de routers y DSU.

o HSSI: velocidades de hasta 52Mbps. Conectan de LAN a WAN con líneas T3.

Desarrollada por Cisco.

4.3.4 TDM (Time Division Multiplexing)

Divide el ancho de banda de un solo enlace en canales separados. Transmite dos o más canales

mediante períodos de tiempo.

Es concepto de capa física. El multiplexor (Mux), admite 3 señales diferentes. Envía 8 bits por

intervalo. Coloca cada segmento en 1 canal.

El receptor toma como referencia el tiempo que cada bit tarda en llegar (entrelazado).

Como diferencia, existe STDM (Statical TDM). Utiliza todos los vacíos que puede haber en un

paquete y no los envía vacíos como TDM.

4.3.5 DTE/DCE

Una conexión serial posee DTE en un extremo y DCE en el otro. Se forma la WAN.

El DTE en general es el router.

El DCE en general es un módem. Convierte los datos DTE en una forma aceptable para el

ISP.

Punto de demarcación: es el punto donde se separa la parte del cliente con el ISP.


65

4.4 PPP

Compatible para todo el hardware que no sea Cisco y también Cisco.

Encapsula tramas a través de enlaces físicos de capa 2. Establece conexión directa mediante

cables seriales, teléfono, fibra… incluye 2 funciones que no están en HDLC.

PPP contiene:

o HDLC para encapsular datagramas punto-punto.

o LCP: control de enlace para unificar conexión enlace de datos.

LCP: control de enlace. Hace el trabajo de PPP: LCP se ubica en primer la capa física y

prueba toda tu infraestructura. Maneja por los NCP y también devora y también

establece las opciones WAN:

o Manejo límites variables en el tamaño de paquete. Detección errores común

aplicativo.

o Finalización enlace.

1. Establecer enlace y negociación de la configuración.

2. Determinación de calidad de enlace (opcional).

Autenticación: PAP y CHAP. Se explica más abajo.

Compresión: Stacker y Predictor. Comprime las tramas y aumenta el rendimiento de la

red.

Detección de errores: número mágico. Ayuda a garantizar enlace confiable. Ayuda a

detectar enlaces en loopback. El número debe transmitirse como 0.

Multienlace: versiones superiores a 11.1 del IOS. Proporciona balanceo de carga y

método diseminar tráfico en varios enlaces WAN.

Devolución llamadas: versiones superiores a 11.1 del IOS. Opción LCP. Cliente inicia

llamada y solicita que el servidor se la devuelva.

Antes de cruzar el enlace WAN, los datos se encapsulan para asegurar que se utiliza el protocolo

correcto. La elección del protocolo depende de la WAN y la tecnología.


66

4.4.1 HDLC

Predeterminada en conexiones punto a punto, enlaces dedicados y conexiones conmutadas

cuando el enlace utiliza 2 dispositivos Cisco. HDLC es la base para el PPP.

Utiliza transmisión serial síncrona para estar libre de errores mediante acuses de recibo. Así es

una trama HDLC:

Señalador: inicia y finaliza la detección de errores. La trama siempre comienza y

finaliza con campo señalador 8 bits. El patrón siempre es 01111110.

Dirección: contiene dirección HDLC secundaria. Puede contener dirección

específica o grupo de direcciones o dirección de broadcast.

Control: Según el tipo de trama HDLC:

Trama de información (I): envía y recibe números de secuencia y el bit

de sondeo final realiza control de flujo y error.

Trama de supervisión (S): solicita y suspende transmisión. Informa sobre

el estado y acusa recibo.

Trama sin enumerar (U): puede utilizarse para iniciar secundarias.

Protocolo: solo se usa en cHDLC (Cisco HDLC). Especifica tipo de protocolo

encapsulado.

Datos: información de ruta o información identificación intercambio.

FCS (Frame Check Sequence): procede el delimitador del señalador de fin y por

lo general es un CRC. Se realiza después en el receptor.

4.4.2 Establecimiento de enlace LCP

Operación LCP: incluye provisiones para el establecimiento, mantenimiento y finalización de

enlace.

También se usa para negociar la autenticación, la compresión, la detección de errores, el

multienlace y la devolución de llamada en PPP después de que el enlace se establece.

4.4.3 Proceso NCP (protocolo de control de red)

Incluye campos funcionales que contienen códigos estandarizados para indicar el tipo de

protocolo de capa de red que el PPP encapsula.

Maneja la asignación y gestión de las direcciones IP en IPCP.

Encapsula y negocia las opciones para múltiples de capa de red.


67

4.4.4 Protocolos de Autenticación

PAP

Proceso básico de 2 vías. Se envía usuario y password sin cifrar. La autenticación es opcional

pero si se usa, antes el LCP tiene que establecerse y elegir el protocolo de autenticación.

CHAP

Enlace de 3 vías. A diferencia de PAP, éste va mandando comprobaciones de password para

comprobar si es válido. Cambia el valor de la password impredeciblemente mientras el enlace

existe.

El nodo remoto responde con un valor con una función hash MD5. Router local verifica

respuesta y compara.

4.4.5 Glosario:

P: ¿Cuál es el encapsulador por omisión para interfaces seriales en una red CISCO?

R: HDLC

P: Tres afirmaciones que describen la multiplexación por división de tiempo.

R:

1. Varios flujos de datos comparten un canal común.

2. STDM se desarrolló para superar la ineficiencia ocasionada por los intervalos de

tiempo que se siguen asignando, incluso cuando el canal no tiene datos.

3. La fuente de datos se alterna durante la transmisión y se reconstruyen en el extremo

receptor.

P: Conexión serial entre dos routers mediante HDLC.

R: Transmisiones síncronas orientadas a los bits mediante un formato de trama que permite

controlar el flujo y detectar errores.

P: ¿Por qué se usa NCP en PPP?

R: Permite que varios protocolos de capa 3 operen en el mismo enlace físico.


68

4.5 FRAME RELAY

La más utilizada del mundo. Fácil de configurar.

Ofrece una arquitectura de red simple y menor coste.

Ofrece mayor ancho de banda ya que reducen PC’s / infraestructura.

Frame Relay utiliza circuitos virtuales (PVC). Son rutas lógicas en un enlace Frame Relay

de origen a través de la red, y en un enlace Frame Relay destino a su destino final.

Los clientes solo pagan por el bucle local y el ancho de banda que compran al ISP.

Comparte el ancho de banda en una base más amplia de clientes.

El extremo de cada conexión tiene un ID llamado DLCI (Data Link Connection Identifier).

Cualquier estación puede conectarse con otra si escribe su nombre de estación e ID.

4.5.1 Funcionamiento Frame Relay

Una conexión entre DTE y DCE es capa física y enlace.

Capa física: especificaciones mecánicas, eléctricas, funcionales y de procedimiento. La

más común es la RS-232.

Capa enlace: define el protocolo que establece la conexión entre DTE3, como router y

DCE como switch.


Comunicación entre DTE en Frame Relay se denomina VC (Virtual Circuit). No hay conexión

eléctrica directa.

Es una conexión lógica y los datos se mueven de extremo a extremo. Así no hay líneas físicas

dedicadas.

SVC: (Circuitos Virtuales Conmutados): Se definen dinámicamente mediante el envío de

mensajes de señalización de red (call setup, data transfer…).

PVC: (VC Permanente): preconfigurados por el ISP. Solo funcionan en data transfer, idle.

4.5.3 VC Múltiples

Frame Relay transmite solo una trama por vez, pero pueden coexistir muchas conexiones lógicas

por una línea física.

El router o dispositivo conectado a Frame Relay puede conectarse a varios puntos finales.

4.5.4 Encapsulación de Frame Relay

Coge el paquete IP o IPX desde la capa de red, la encapsula como parte de datos y la entrega a la

capa física para entregarla por el cable.


69

4.5.5 Topologías de Frame Relay

La topología en estrella (hub-and-spoke). La ubicación del hub, básicamente se elige en función

del coste del hub.

Topología en malla completa: usa líneas dedicadas. Se elige cuando los servicios a los

que debe tener acceso están geográficamente dispersos y se necesita un acceso

altamente fiable.

Topología en malla parcial: suelen configurarse para redes grandes ya que hay más

interconexiones que las necesarias para una disposición en estrella pero no tantas para

malla completa.

4.5.6 Horizonte Dividido (Soluciones)

Técnica que se usa para evitar un routing loop en redes que usan protocolos de enrutamiento

vector-distancia. La actualización mediante esta técnica, reduce los bucles, al no permitir que

una actualización recibida sea reenviada por la misma interfaz que las enviadas.

Deshabilitarlo, puede ser una solución sencilla ya que permite que las actualizaciones de

enrutamiento se envíen a la misma interfaz física en la que se originaron.

También se podría utilizar topología malla completa pero sería más costoso ya que requieren

más PVC.

4.5.7 Subinterfaces Frame Relay

Son dos interfaces lógicas por una física.

Punto a punto: establece una conexión PVC a otra interfaz física o subinterfaz en un

router. Cada pareja está en su subred y cada interfaz tiene su DLCI.

Multipunto: establece varias conexiones PVC a varias interfaces o subinterfaces. Todos

los VC pertenecen a la misma subred.


70

4.5.7 Glosario:

P: ¿Por qué se dice que las rutas de Frame Relay, son virtuales?

R: No hay circuitos dedicados dentro de la nube de la portadora de Frame Relay ni desde ella.

P: Describe el problema del horizonte dividido con respecto a una topología en multipunto.

R: El horizonte dividido no permite a ningún otro punto aceptar una actualización válida y

enviarla a todos los otros puertos.

P: ¿Qué ventaja ofrece Frame Relay en materia de confiabilidad en comparación con las líneas

alquiladas?

R: Los recorridos de los circuitos virtuales que están dentro del portador son de malla.

P: ¿Qué situación favorece a una topología multipunto en lugar de una punto a punto?

R: Cuando VLSM no puede ser utilizado para preservar direcciones.

P:¿Cuál es la ventaja de configurar subinterfaces en un entorno de Frame Relay?

R: Reduce los problemas de horizonte dividido.

P: ¿Cómo se asignan los números DLCI?

R: El proveedor de servicios los asigna.

4.6 SEGURIDAD DE RED

Términos comunes:

Hacker de sombrero blanco: busca vulnerabilidades y luego las informa a la víctima.

Hacker: experto en programación. Recientemente se denomina a la persona con malas

intenciones.

Hacker de sombrero negro: conocimientos de redes/sistemas que no están autorizados.

Cracker: persona que manipula la red telefónica para llamar gratis.

Spammer: envía grandes cantidades de mails no solicitados.

Estafador: utiliza e-mail para engañar a otras personas.

Pensar como un agresor:

1. Reconocimiento del sitio (detectar IP server mediante páginas web empresa).

2. Enumerar datos. Captar información con Wireshark como datos de versión de software.

3. Manipular usuarios para obtener acceso. Contraseñas fácilmente descifrables.

4. Aumentar privilegios una vez estás dentro.

5. Recopilar más passwords y datos confidenciales.

6. Instalar una puerta trasera en un puerto TCP o UDP abierto.

7. Potenciar sistema comprometido.


71

4.6.1 Amenazas comunes a la seguridad

Amenazas no estructuradas: personas sin experiencia que usan herramientas de piratería de

fácil acceso con secuencias de comandos de Shell y crackers de contraseña.

Amenazas estructuradas: provienen de personas o grupos que tienen una mayor motivación y

son más competentes técnicamente. Técnicas avanzadas de hacking.

Amenazas externas: personas que trabajan fuera de la empresa y que no tienen acceso

autorizado a los sistemas informáticos.

Amenazas internas: personas que tienen acceso autorizado a la red. La gravedad de estas

amenazas depende de la experiencia del agresor.

Ingeniería social: aprovecharse de las personas que no tienen experiencia y pueden revelar

información como contraseñas. Hacerse pasar por alguien o convencer a otras para tu

propósito.

4.6.2 Tipos de ataques a redes

Reconocimiento: recopilación de información. Precede a otro tipo de ataque.

Reconocimiento similar a un ladrón que está reconociendo un barrio en busca de casas

fáciles.

Acceso: capacidad de intrusión. Una ejecución de un comando que explota la

vulnerabilidad que se está atacando.

Denegación de servicio (DoS): se lleva a cabo cuando un agresor desactiva o daña redes.

Consiste en colapsar el sistema o desacelerarlo hasta que quedan inutilizables.

Virus, gusano y caballo de Troya: software malicioso que puede ser insertado en un host

para perjudicar o dañar un sistema, puede replicarse a sí mismo, o denegar el acceso a

redes, los sistemas o los servicios.

Explotación de confianza: comprometer un host mediante su uso con el fin de llevar

ataques en otros hosts. Si un host de una empresa está protegido por un firewall pero un

host de confianza que está fuera del firewall hay acceso, el host interno puede ser atacado

por el externo.

Se solucionaría con VLAN’s o reglas más restrictivas en el firewall.

Man-in-the-middle: un ejemplo claro es un proxy transparente. El atacante debe ser capaz

de interceptar los mensajes de las 2 partes e inyectar nuevos.

Saturación SYN: Implica enviar más de 1000 peticiones SYN a un servidor. El servidor

responde con ACK-SYN, pero el host malicioso nunca responde con el ACK final. Esto

paraliza el servidor.


72

Ataques DDoS:

1. Hay un cliente que habitualmente lanza el ataque.

2. Un manipulador es un host comprometido que lanza el agresor.

3. Un agente es un host comprometido que ejecuta el programa del agresor.

Ataque Smurf: Utilizan ping de broadcast suplantados para saturar el sistema objetivo. La

mayoría de los hosts responde uno por uno con respuesta ICMP.

EJ: suponga que tenemos 100 hosts y el agresor un enlace T1. El agresor envía un flujo de

768Kbps de ICMP con una dirección origen suplantada a la dirección de broadcast objetivo.

Estos paquetes llegan al sitio de rebote de la red de 100 hosts, lo que crea 100 respuestas.

Se utiliza un total de 76’8Mbps hacia fuera. A continuación esto se envía a la víctima o al

origen suplantado.

4.6.3 Gusanos

Funcionamiento:

o Vulnerabilidad: se instala a si mismo gracias a usuarios ingenuos.

o Propagación: tras obtener acceso, se copia al host y a varios más.

o Contenido: una vez infectado, el agresor obtiene acceso.

Mitigaciones:

o Contención: contener propagación.

o Inoculación: comenzar a colocar parches.

o Cuarentena: seguimiento de cada máquina infectada.

o Tratamiento: limpiar y colocar parches en cada uno de los sistemas infectados.

4.6.4 Técnicas generales de mitigación

- nombres y contraseñas seguras

- antivirus actualizado

- parches S.O.

- VPN

- RAS

- desconectar servicios innecesarios

- IDS (sistemas detección intrusiones)

- IPS (sistemas prevención intrusiones)

- HIDS (IDS en host) [Cisco Security Agent]

- NAC (control admisión de red) [impide uso no autorizado a la red]


73

4.6.5 Rueda de seguridad de red

La política de seguridad es lo principal en la cual se basan estos cuatro pasos:

1. Asegurar:

Defensa contra amenazas.

Inspección con estado y filtrado de paquetes (sólo paquetes necesarios).

Sistemas de Prevención de Intrusión.

Parches a vulnerabilidades.

Desactivación servicios innecesarios.

VPN.

Confianza e identidad.

Autenticación.

Cumplimiento de políticas.

2. Controlar: involucra métodos activos de buscar violaciones de seguridad. Entre los

métodos se encuentra IDS.

3. Probar: se someten a pruebas proactivas. Las herramientas de evaluación como

SATAN, Nessus o Nmap son útiles de probar.

4. Mejorar: análisis de datos recopilados durante las fases de control y pruebas.

Desarrollo de mejores que intensifican política de seguridad.


74

4.6.6 Política de seguridad

Es un conjunto de pautas establecidas para proteger la red de los ataques, ya sean desde el

interior como desde fuera.

4.6.7 Bloqueo del router con AutoSecure de Cisco

modo interactivo: activar/desactivar servicios. Viene por defecto.

modo no interactivo: ejecuta automáticamente configuración recomendada de Cisco.

AutoSecure: detalles de la interfaz, títulos, contraseñas, SSH, características del firewall.


75

4.7 ACL’S

4.7.1 ¿QUÉ ES UNA ACL?

Configuración de router que controla si un router permite o deniega paquetes según el criterio

encontrado en el encabezado del paquete.

Se pueden configurar por protocolo, por dirección o interfaz.

1. ACL entrada: se procesan antes de ser enrutadas a la interfaz de salida. Guardan la

carga de búsquedas de enrutamiento si el paquete se descarta.

2. ACL salida: se enrutan a la interfaz de salida y luego son procesados a través de la

ACL de salida.


76

4.7.2 Tipos de ACL

1. ACL estándar: Autoriza o deniega el tráfico desde direcciones IP origen. No importa

el destino ni los puertos involucrados. El ejemplo permite todo el tráfico:

R1(config)# Access-list 10 permit 192.168.30.0 0.0.0.255

2. ACL extendida: filtran paquetes IP según:

a. IP origen/destino.

b. puertos TCP y UDP origen / destino.

c. Tipo de protocolo (IP, ICMP, UDP, TCP o número de protocolo)

R1(config)# Access-list 103 permit tcp 192.168.30.0 0.0.0.255

any eq 80

4.7.3 Numeración y denominación ACL

Las ACL numeradas son un método eficaz para determinar el tipo de ACL en redes más

pequeñas.

ACL numerada: asignar número en función del protocolo:

1-99 y 1300-1999 – ACL IP standard

100-199 y 2000-2699 – ACL IP extendida

ACL denominada: asignar nombre a la ACL

nombres pueden ser alfanuméricos.

sugiere que el nombre esté en MAYÚSCULAS.

sin espacios ni puntuaciones.

debe empezar con letras.

puede agregar o borrar entradas ACL


77

4.7.4 DÓNDE UBICAR LA ACL Y CÓMO

ACL extendidas lo más cerca posible del origen del tráfico denegado. Así, el tráfico

no deseado se filtra sin pasar toda la red.

ACL estándar: más cerca posible del destino

4.7.5 Configuración ACL estándar

Router(config)# access-list 10 deny|permit remark texto origen

[wildcard origen] [log]

Router(config)# in FastEthernet 0/0

Router(config-if)# ip access-group 10 out


78

4.7.6 Edición de ACL numeradas

1. Visualizamos la running-config y usamos include para mostrar sólo la ACL

2. Resaltamos ACL y copiamos en editor de textos. Modificamos y copiamos de nuevo.

3. Deshabilitamos ACL para que no se agregue a continuación. Luego pegamos la ACL.

Nota: con el comando no Access-list, el router no tiene ACL hasta que peguemos de

nuevo.

4.7.7 Creación de ACL nombradas

R1(config)#ip access-list [standard|extended] name

R1(config-std-nacl)# [permit|deny|remark] {source[source

wildcard]} [log]

R1(config-if)# ip access-group name [in|out]


79

4.7.8 Edición de ACL nombradas

R1(config)# ip access-list WEBSERVER

R1(config-std-nacl)# 15 permit host 192.168.11.10

R1(config-std-nacl)# end

4.7.9 Configuración ACL Extendidas

access-list Nº deny|permit|remark protocol_source [source

wildcard] [operator operand] [port port nº or name] destination

[destination wildcard] [operator operand] [port port nº or name]

[established]

4.7.10 ACL Complejas

4.7.11 ACL DINÁMICAS

El bloqueo es una característica de seguridad de filtrado de tráfico IP únicamente.

Los usuarios que deseen atravesar el router son bloqueados por la ACL hasta que utilizan

telnet para conectarse al router y ser autenticados.

¿Cuándo utilizarlas?

- Cuando desee permitir la conexión de un usuario para acceder a un host dentro de

la red. El bloqueo permite el acceso por un período limitado.

- Cuando desee que un conjunto de hosts acceda a un host en una red remota

protegida por un Firewall.


80

Beneficios

- uso de mecanismo desafío para usuarios individuales.

- administración simplificada.

- reducción procesamiento routers de ACL.

- reducción intromisiones piratas.

- creación acceso dinámico a través del Firewall.

1. Se crea usuario y contraseña.

2. Permite telnet con router. La entrada ACL se ignora hasta activar bloqueo. La ventana se

abre durante 15 minutos. Luego se cierra.

3. Aplica ACL 101 a interfaz.

4. Cuando el usuario se autentica mediante telnet, se ejecuta “autocommand” y finaliza

sesión telnet. El usuario puede ahora acceder a la red 192.168.30.0.

4.7.12 ACL Reflexivas

Obligan al tráfico de respuesta de destino, de un reciente paquete saliente conocido, a

dirigirse al origen de ese paquete saliente. Esto aporta un mayor control del tráfico.

Beneficios

- ayudan a proteger la red de hackers.

- proporciona un nivel de seguridad elevado en cuanto la suplantación de identidad ya

que necesitan coincidir más reglas. También previene ataques DoS.

- Fáciles de utilizar. Mayor control de paquetes.


81

1. Mantiene registro del tráfico que se inició.

2. Crea política de entrada que requiere que el router verifique el tráfico entrante para ver

si se inició desde el interior y vincula la parte de ACL reflexiva de la OUTBOUND FILTER a

la INBOUNDFILTER.

3. Aplica las ACL.

4.7.13 ACL basadas en tiempo

Similar a la ACL extendida pero con rangos de tiempo.

- Ofrece al administrador más control de permisos y denegaciones.

- Permiten administradores de red controlar mensajes de registro.


82

1. Definir rango tiempo.

2. Aplicar rango a ACL.

3. Aplicar ACL a interfaz.

4.7.14 Glosario:

P: ¿Qué ocurre si un administrador de red aplica una lista de acceso IP que no tiene una

sentencia de permiso de salida de una interfaz?

R: Se deniega todo el tráfico saliente.

P: Un administrador desea implementar acceso lock-and-key, a un host dentro de la

empresa. ¿Qué ACL es mejor?

R: dinámica.

P: ¿Cuál es la afirmación de una ACL reflexiva?

R: Una ACL que permite el tráfico IP de las sesiones que se originan en el interior de la red

mientras que rechaza el tráfico de las sesiones que se originan en el exterior.


83

4.8 SERVICIOS DE TRABAJADORES A DISTANCIA

Pueden usarse 3 tecnologías para realizar este objetivo:

WAN privada que incluye Frame Relay. ATM y líneas alquiladas. La

seguridad dependerá del proveedor.

VPN con IPSEC ofrecen conectividad flexible y escalable.

Conexión de punto a punto con una VPN a través de Internet

público.

El trabajo a distancia requieres de estos componentes:

Oficina doméstica: PC,PS, Cliente VPN / Routers VPN.

Entorno corporativo: Router o concentrador VPN.

Para la posición de VoIP es necesaria la implementación de QoS para abrir el video.


84

4.8.1 Conexión a la WAN

Acceso dial-up: opción económica y un móde

DSL: Más costoso que dial—up pero ofrece velocidades altas.

Módem por cable : Más costoso que dial—up pero ofrece velocidades altas.

Satélite: el PC se conecta a través de Ethernet a un módem satélite por puesto de presencia

(POP).

4.8.2 Cable

Usa un cable coaxial que transporta señal. La mayor parte de los implantes proporcionan una

comunicación bidireccional entre todos.

Implementa redes de fibra coaxial híbrida (HFC).

La frecuencia es la velocidad es la qual ocurren ciclos de voltaje. La longitud de onda se propaga.

Es capaz de transmitir a cualquier dirección al mismo tiempo.

Descendente: transmisión de señal de RF desde el origen (cabecera) hacia el destino

(suscriptores). La transmisión desde el origen hacia el destino se denomina ruta de envío,

desde 50 a 860 megahercios (MHz).

Ascendente: la dirección de una transmisión RF hacia la cabecera o ruta inversa. De 5 a

42Mhz.

DOCSIS es un estándar desarrollado por CableLabs. Prueba y certifica dispositivos de proveedores.

Las operadoras emplean DOCSIS para proporcionar acceso a Internet, mediante el cable coaxial

(HFC).

Capa física: señales de datos que el operador de cable puede usar.

Capa MAC: define métodos de acceso deterministas. Acceso múltiple por división temporal

(TDMA).

TDMA: Divide el acceso por tiempo.

FDMA: divide el acceso por frecuencia.

CDMA: espectro disperso + codificación especial.

4.8.3 DSL

Nunca se ha requerido más de 3KhZ para una conversación de voz. Es na forma de proveer alta

velocidad con cobres. Como ejemplo, la DSL asimétrica (ADSL), hace uso de 20KhZ a 1MhZ.

POTS (Servicio tecnológico analógico), identifica el rango de frecuencia usado por el ISP.

DSLAM: ubicada en la oficina central de telecomunicaciones. Combina conexiones DSL

individuales de los usuarios en un enlace de alta capacidad al ISP y, por lo tanto, Internet.

DSL no es un medio compartido; cada usuario tiene una conexión directa separada al DSLAM.

Microfiltro: un filtro de paso bajo. Elimina la necesidad de que un técnico visite las

instalaciones. ADSL distorsiona las señales de voz y por eso se usa.


85

4.8.4 Tunneling VPN

Permite el uso de redes públicas como Internet para transportar datos de usuarios, siempre que os

usuarios tengan acceso a redes privadas.

Encapsula un paquete dentro de otro y envía por res el nuevo paquete compuesto.

Algoritmos de encriptación

Estándar de cifrado de datos (DES): desarrollado por IBM. Utiliza clave de 56 bits.

Sistema de clave simétrica.

Triple DES (3DES): encripta con una clave, descifra con otra y encripta otra vez con

otra.

AES (Encriptación estándar avanzada): reemplaza DES. Más ágil. 128, 192 o 256

bits.

RSA (Rivest, Shamir, Adleman): asimétrico. 512, 768, 1024 o superior.

Encriptación simétrica (clave secreta)

Cada equipo encripta la información antes de enviarla. Requiere el conocimiento de los equipos

que se comunican para poder configurar la misma clave en cada uno.

Ej: “SECRETO” es el mensaje. El algoritmo es saltar 2 letras del alfabeto. Si A = C, B = D, C=E,

etc.

¿Cómo le pasamos el algoritmo a la otra persona? mail, UPS 24h, chillando… o encriptación

asimétrica.

Encriptación asimétrica (clave pública)

Utiliza diferentes claves para la encriptación y descifrado. Una clave realiza la encriptación y otra el

descifrado.

4.8.5 Integridad de datos

Los hashes contribuyen a la autenticación. Es un número generado a partir de una cadena de texto.

Se genera mediante una fórmula.

Los datos se transportan por Internet público. Hay posibilidades de interceptación.

Si el hash transmitido coincide con el recibido; ha preservado la integridad.

Las VPN utilizan un código de autenticación para verificar la autenticidad. Un código HMAC, que es

un algoritmo que garantiza la integridad del mensaje.

HMAC tiene dos parámetros:

- mensaje de entrada: utiliza una función HMAC para códigos. Producen un código de

autenticación. Este mensaje se envía junto con el mensaje.

- clave secreta: el receptor calcula el código con la misma clave y función. Si los 2 valores

coinciden se ha recibido correctamente.


86

Hay dos tipos de algoritmos HMAC:

- Message Digest 5 (MD5): clave secreta 128 bits. Se combina el mensaje de longitude

variable y clave compartida.

- Algoritmo hash seguro (SHA-1): clave secreta 160 bits. Se combina el mensaje de longitude

variable y clave compartida.

4.8.6 Autenticación VPN

Hay que asegurarse de que el otro extremo de la VPN es confiable. Para hacerlo:

- Clave compartida previamente (PSK): clave secreta compartida que utiliza algoritmos de

clave simétrica. Una PSK se especifica manualmente.

- Firma RSA: intercambio de certificados digitales para autenticar. El dispositivo local deriva

un hash y lo encripta. El hash se envía al otro extremo. Al otro lado se descifra con la clave

local.

4.8.7 Protocolos de seguridad IPSEC

IPSEC es un conjunto de protocolos de seguridad que proporcionan encriptación, integridad y

autenticación. Se basa en algunos algoritmos existentes.

Existen dos protocolos de estructura IPsec:

- Encabezado autenticación (AH): se utiliza cuando no se permite la confidencialidad. AH

proporciona protección y se utiliza junto con el protocolo ESP para brindar que ningún

número ha sido cambiado.

- Contenido de seguridad encapsulado (ESP): proporciona confidencialidad. La encriptación

del paquete oculta los datos y las identidades de origen y destino.

Algunos de los algoritmos IPsec son:

DES: encripta y descifra los datos del paquete.

3DES: proporciona una fuerza de encriptación superior de 56 bits.

AES: rendimiento rápido y encriptación fuerte.

MD5: autentica datos de paquetes con clave secrete compartida de 128 bits.

SHA-1: autentica datos de paquetes con clave secreta compartida de 160 bits.

AH: permite que dos partes establezcan una clave secreta compartida sobre un canal no seguro.


87

4.8.8 Glosario:

P: Al comparar DOCSIS con Euro-DOCSIS, ¿cuál es la diferencia principal?

R: anchos de banda de los canales

P: Diga dos técnicas que se pueden utilizar para proteger el tráfico enviado a través de una

conexión VPN.

R: encapsulación y encriptación.

P: Diga el protocolo de tunneling desarrollado por Cisco.

R: GRE

P: ¿Qué tipo de conexión es la más rentable para admitir adecuadamente el acceso de un

empleado a distancia de SOHO a Internet?

R: DSL a un ISP

4.9 SERVICIOS DE DIRECCIONAMIENTO IP

asignación manual: administrador asigna IP y DHCP solo comunica al dispositivo.

asignación automática: DHCP asigna automáticamente una IP permanente de un

rango de direcciones.

asignación dinámica: DHCP asigna dinámicamente de un rango por un tiempo

limitado.

PASO1

El cliente envía un mensaje DHCPDISCOVER en forma de broadcast. Este mensaje detecta

servidores DHCP y utiliza las direcciones de broadcast L2 y L3 para comunicarse.

PASO2

Cuando DHCP lo recibe, busca una IP y crea una entrada en ARP con la MAC cliente y la IP.

Transmite con un mensaje DHCPOFFER que se envía como unicast.

PASO3

Cuando el cliente lo recibe, responde con un DHCPREQUEST. Esto solicita que la dirección IP se

verifique y también actúa para avisar a los demás servidores DHCP.


88

PASO4

Finalmente, el servidor crea una nueva entrada ARP y responde con un DHCPACK unicast.

Cuando el cliente lo recibe registra la información y hace una búsqueda ARP. Si no recibe

respuesta, comienza a utilizarla.


89

4.9.1 BOOTP y DHCP

BOOTP se utiliza aún para PC’s sin disco duro ni sistema operativo. Ambos protocolos se basan en

cliente / servidor y usan los puertos 67 y 68.

Existen diferencias clave entre los dos.

BOOTP se diseñó para configuraciones manuales. Cuando un cliente BOOTP solicita

una IP, busca una entrada que coincida con la MAC en una tabla. Esto significa que

tanto la MAC como IP se han tenido que configurar previamente.

DHCP puede asignar una IP por un período de tiempo predeterminado. Permite la

reasignación para más tarde a otro cliente.

BOOTP proporciona información limitada. DHCP da parámetros de configuración IP

adicionales como WINS o nombre de dominio.

4.9.2 Formato de mensaje DHCP

Código Operación (OP): tipo mensaje. Si el valor es 1, significa mensaje de solicitud.

Si es 2, mensaje respuesta.

Tipo Hardware: 1 significa Ethernet. 15 es Frame Relay y 20 línea serial.

Longitud dirección HW: 8 bits (dirección MAC).

Saltos: cliente asigna a 0 antes de transmitir. Controla el envío.

ID transacción: 32 bits. Compara respuestas recibidas del servidor.

Segundos: segundos transmitidos desde que el cliente intentó adquirir IP.

Señaladores: cliente que no conoce IP, envía 1 bit para recibir solicitud.

IP cliente: no durante el proceso. Se asigna IP válida en estado de enlace.

IP: IP que el servidor asigna al cliente.

IP Servidor: IP servidor para el paso de BOOTSTRAP.

IP Gateway: enruta mensajes DHCP.

Dirección HW cliente: MAC cliente.

ServerName: de manera opcional puede enviarse.

Archivo Inicio: opcional de DHCPOFFER para colocar fichero.

Opciones: longitud variable. Opciones de DHCP que incluye parámetros.

4.9.3 Oferta y Descubrimiento

Cuando el cliente está en modo dinámico, transmite un DHCPDISCOVER como broadcast ya que no

sabe su IP. De modo que su IP de origen es 0.0.0.0.


90

4.9.4 Relay DHCP

En una red jerárquica compleja, los servidores están en granjas diferentes de red. Por tanto hay

clientes que no pueden adquirir IP mediante broadcast.

Esto conlleva un problema, pues el host debe hacer ipconfig /renew para que envíe un

DHCPDISCOVER y se quede con 0.0.0.0. Los routers no reenvían broadcast.

Ciertos clientes Windows utilizan APIPA (Automatic Private IP Addressing). 169.254.X.X si no

responde ningún DHCP.

Como solución al problema, el administrador puede agregar varios servidores DHCP en las subredes

pero eso genera mucho coste y tareas administrativas.

La solución más simple es configurar una IP ayudante en el IOS de CISCO. Esto permite a los routers

reenviar broadcast DHCP, activando el relay DHCP.

Un host enviaría una solicitud por broadcast localizando el servidor DHCP. El router interceptaría el

mensaje y lo reenviaría al DHCP que está en otra red.

R1#config t

R1(config)#in FA0/0

R1(config-if)#ip helper-address 192.168.10.5

R1(config-if)#end

4.9.5 Resolución problemas DHCP

TAREA 1. Conflictos IP.

Una IP puede expirar mientras el cliente aún está conectado. Si el cliente no la renueva, el servidor

puede reasignar la IP a otro cliente. Cuando el cliente se reinicia solicita una nueva IP pero si el

servidor no responde con rapidez, el cliente utiliza la última IP válida y hay conflicto.

#show ip dhcp

#show ip dhcp conflict

TAREA 2. Verifique conectividad física.

#show interface XXXXX

para verificar conectividad.

TAREA 3. Conectividad con PC IP estática.

Si no funciona la red con IP estática, no es problema de DHCP.

TAREA 4. Verificar puertos de switch.

Si el cliente no obtiene IP, que fuerce la petición. Verifique que STP PortFast está activado en el

switch y la opción troncal y canales desactivada.

Por defecto, STP está desactivado y troncal y canales en automático.


91

TAREA 5. Distinguir si reciben direcciones dentro de la misma VLAN o subred.

Si funciona, el problema puede estar en Relay DHCP, si el problema persiste puede ser el servidor

DHCP. Verificar si recibe peticiones.

# Access-list 100 permit ip host 0.0.0.0 host 255.255.255.255

# debug ip packet detail 100

Verificar si recibe y reenvía solicitudes DHCP.

# debug ip dhcp server events

4.10 DIRECCIONAMIENTO IP PÚBLICO Y PRIVADO

4.10.1 ¿Qué es NAT?

Es el recepcionista de una gran oficina. Imagine que le indica al recepcionista que no le pase

ninguna llamada, a menos que lo solicite.

Más tarde, llama un posible cliente y le deja un mensaje para que le devuelva la llamada. A

continuación, el recepcionista está esperando una llamada y le solicitas que te lo pase.

El cliente llama a la oficina (número principal), que es el único número que conoce. El recepcionista

busca en la tabla de búsquedas y pasa al usuario.

4.10.2 ¿Cómo funciona NAT?

Imaginemos que un PC se quiere conectar a un servidor WEB en el exterior de la empresa.

PC – Router empresa – ISP – Servidor Web.

PC: 192.168.10.2 dirección local interna.

Router: 209.26.5.100 dirección global interna

Servidor Web: 209.16.5.135 dirección global externa

La dirección local externa suele ser una IP asignada a un host en la red externa. Mayormente la

global externa.

NAT dinámica: usa un conjunto de direcciones públicas y las asigna en orden de llegada. Cuando un

PC quiere salir a Internet, pide una IP pública, la que esté libre.

NAT estática: utiliza un sistema de asignación de uno a uno entre direcciones globales y locales.

Ambos necesitan una cantidad suficiente de direcciones públicas disponibles.

4.10.3 Sobrecarga de NAT (PAT)

Asigna varias direcciones IP privadas a una única IP pública o un pequeño grupo. El ISP asigna 1 IP al

router doméstico y muchos PC’s privados pueden navegar.

Cada dirección privada se asigna por un número de puerto. Cuando un cliente abre sesión TCP/IP

NAT asigna un número de puerto a dirección origen. PAT asegura que los clientes utilicen un

número de puerto diferente por sesión.


92

4.10.4 Diferencias entre NAT y PAT

NAT generalmente traduce IP en correspondencia 1:1 entre IP públicas y privadas. PAT, modifica la

IP privada y el número de puerto emisor. PAT elige los números de puerto.

4.11 IPV6

4.11.1 Motivos para usar IPv6

El espacio de direcciones IPv4 útiles es de 3700 millones, de entre los casi 4200 millones. Se

reservan para multicast, pruebas y otros usos específicos.

El conjunto de números se está reduciendo por los siguientes motivos:

crecimiento población: hay unos 2000 millones de usuarios hasta la fecha.

Permanecen conectados más tiempo y reservan más IP’s.

usuarios móviles: cada vez hay más teléfonos que necesitan IP, lectores de código

de barras, etc.

transporte: cada vez habrá más coches habilitados para IP, así como aviones, entre

otros.

productos electrónicos: grabadoras de vídeo que descargan guías de programas,

etc.

Japón, comenzó el cambio a IPv6 en el año 2000 para actualizar todas las empresas del

sector público.

El Departamento de Defensa de EE.UU, marcó para el 2003 pasar a IPv6.


93

4.11.2 Mejoras de IPv6

Direccionamiento IP mejorado: posibilidad de conexión y flexibilidad global,

configuración automática, etc.

Mayor movilidad y seguridad: permite conectarse a varios ISP. IPSEC es obligatorio

en IPv6.

Intensidad de transición: hay varios métodos desestimados por la comunidad pero

se trataría de usar “stack doble”.

4.11.3 Direccionamiento IPv6

Más largas que IPv4: 128 bits.

Separan campos hexadecimales de 16 bits por dos puntos (:).

Campos sucesivos con 0 pueden representarse “: :” pero solo 1 vez por dirección.

Reduce el tamaño de la dirección.

4.11.3.1 Dirección unicast global IPv6

Normalmente compuestas por prefijo de enrutamiento global 48 bits con el prefijo registro,

ISP y del sitio.

4.11.3.2 Direcciones privadas

Nunca se enrutan fuera de la red. Tienen un primer valor de octeto “FE” y el siguiente dígito

hexadecimal es un valor de 8 a F.

Estas direcciones se subdividen en 2 tipos:

direcciones locales de un sitio: direcciones similares a la asignación de direcciones

de Internet privadas. Comienzan con “FE” y el tercer dígito está entre “C” y “F”.

dirección unicast de enlace local: hacen referencia solamente a un enlace físico. Se

utilizan para comunicaciones de enlace como detección de vecinos y routers.

Comienzan con “FE” y el tercer dígito está entre “8” y “B”.

4.11.3.3 Dirección loopback

Los datagramas que se envían a esta dirección, regresan al dispositivo emisor y forman un

bucle o loopback.

La dirección es “0:0:0:0:0:0:0:1” = “: :1”.


94

4.11.3.4 Dirección no especificada

Se utiliza en el campo de origen de un datagrama que envía un dispositivo que desea

configurar su IP.

0:0:0:0:0:0:0:0 = “: :”.

4.11.3.5 Administración de direcciones IPv6

Utilizan un ID para identificar el interfaz. Deben ser únicos en un vínculo específico. 64 bits

siempre.

4.11.3.6 Asignación de ID manualmente

Tanto el prefijo de red como el ID de IPv6.

R1(config-if)# ipv6 address 2001:DB8:2222:7272::72/64

4.11.3.7 Asignación de ID EUI-64

Consiste en configurar la porción del prefijo (red) de la dirección IPv6 y derivar la porción

del ID de interfaz (host) que se conoce como EUI-64.

EUI-64 explica cómo extender las MAC de 48 a 64 bits mediante la inserción de 0xFFFE de

16 bits en el medio para crear un ID único de 64 bits.

R1(config-if)# ipv6 address 2001:DB8:2222:7272::/64 eui-64

4.11.3.8 Configuración automático sin estado

Se introdujo para ahorrar costes administrativos.

4.11.3.9 DHCPv6 (con estado)

Pueden pasar parámetros de configuración. Asignación automática de direcciones de red

reutilizables y mayor flexibilidad de configuración.

4.11.4 Stack doble

Método de integración en el que un nodo tiene conectividad para redes IPv4 e IPv6.

Routers y switches se configuran para admitir ambos protocolos. El preferido es IPv6.


95

4.11.5 Tunneling

Otro método es tunneling y existen varias técnicas:

manualmente de IPv6 a IPv4: un paquete IPv6 se encapsula en uno IPv4. Requiere

routers stack doble.

dinámico 6to4: conexión automática de IPv6 a IPv4. Normalmente Internet.

Recuerde: “¡Use stack doble cuando pueda y tunneling cuando deba!”

Para la configuración de IPv6 a IPv4, la interfaz debe ser de stack doble.

R123(config)# ipv6 unicast-routing -> habilita reenvío datagramas IPv6.

R123(config)# ipv6 address ipv6address [/prefix length]

4.11.6 Configuraciones enrutamiento IPv6

IPv6 utiliza configuraciones modificadas más largas de la mayoría de protocolos comunes.

Permite asignaciones más grandes.

Un ISP agrupa todos los prefijos de sus clientes en uno único y lo anuncia.

¿Cómo un router enruta IPv6?

Conceptualmente, un router tiene tres áreas funcionales:

El plano de control interactúa con el router y los demás elementos de la red. Este

plano enruta y ejecuta procesos complejos.

El plano de datos administra el reenvío de paquetes entre interfaces físicas y

lógicas. Conmutación procesos y envío express.

Los servicios mejorados incluyen funciones avanzadas como QoS, filtrado de

paquetes, encriptación….


96

4.11.6.1 Plano de control IPv6

Cuando habilitamos IPv6 en un router se inicia el proceso operativo del plano de control

con características que definen el rendimiento:

Tamaño de dirección: los sistemas de 64 bits, pueden transmitir IPv4 de origen a

destino en un solo ciclo. Para IPv6 se requieren 2 ciclos para cada uno, o sea 4. Más

lento que IPv4.

Varias direcciones de nodos: como los nodos de IPv6 pueden usar varias

direcciones unicast, el consumo de caché aumenta.

Protocolos enrutamiento: similares a IPv4 pero cuatro veces más grande por el

prefijo.

Tamaño tabla de enrutamiento: más grande porque hay más IP’s. Más memoria a

procesar.

4.11.6.2 Plano de datos IPv6

Reenvía paquetes IP en función de decisiones tomadas por plano de control. Afecta al

rendimiento.

Análisis de los encabezados de extensión: al tener más campos, las ACL cuestan de

procesar. Si la longitud excede, puede descartarse el reenvío!

Búsqueda direcciones IPv6: al tener que buscar una dirección de destino de 128

bits, no está al 100% desarrollado el router y pueden descartarse paquetes.

4.11.6.3 Protocolo de enrutamiento IPv6

IPv6 usan los mismos protocolos que IPv4 pero más largo. Son extensiones lógicas. RIPng es

un RIP igual de potente pero adaptado sin necesidad de crear uno nuevo.

En implementaciones de stack doble se necesitan RIP o RIPng.


97

4.11.7 Resolución de nombres IPv6

Manera 1

R1(config)# ipv6 host name [port] ipv6address

R1(config)# ipv6 host router1 3FFE:B00:FFFF:B::1

Manera 2

R1(config)# ip name-server address

R1(config)# ip name-server 3FFE:B00:FFFF:1::10

4.11.8 Configuración RIPng con IPv6

R1(config)# ipv6 unicast-routing -> habilita IPv6 en interfaz

R1(config)# ipv6 router rip name -> crea e ingresa al modo conf. de RIP

R1(config-if)# ipv6 rip name enable -> “name” es el proceso RIP

4.11.9 Glosario:

P: ¿Cuál es el valor de tiempo de espera predeterminado de las traducciones NAT?

R: 1 dia.

P: ¿Qué solución les brinda NAT a los usuarios externos acceso a un servidor FTP interno en

una red privada?

R: reenvío de puertos.

P: Diga 2 métodos para asignar una IPv6 a una interfaz que son automáticas y se pueden

utilizar combinados entre si.

R: DHCPv6 y configuración automática sin estado.

P: Iguala esta dirección: 2031:0000:0300:0000:0000:00C0:8000:130B

R: 2031:0:300::C0:8000:130B

2031:0:0300:0:0:C0:8000:130B

2031::300:0:0:0:C0:8000:130B

NAT Dinámica NAT de sobrecarga NAT estática

Define traducciones host por

host.

Puede asignar varias direcciones de

interfaz externa.

Proporciona asignaciones fijas una

por una de direcciones locales y

globales.

Asigna direcciones traducidas

de hosts IP desde un conjunto

de direcciones públicas.

Asigna números de puertos de

origen únicos de una dirección

global interna de sesión a sesión.

Permite que hosts externos

establezcan sesión con host

internos.


98

4.12 RESOLUCIÓN DE PROBLEMAS DE RED

4.12.1. Establecer una línea de base de red

Paso 1: Determinar el tipo de datos a recopilarse. Comience con un diseño simple y

realice ajustes mientras avanza.

Paso 2: Identificar los dispositivos y puertos de interés.

- puertos de dispositivo

- servidores

- usuarios clave

- cualquier otro elemento que se considere fundamental

Paso 3: Determinar la duración de línea de base.

Debe ser de al menos 7 días a fin de capturar cualquier tendencia diaria o semanal.

No se debe realizar una medición en momentos de tráfico no habitual.

Realice un análisis anual de toda la red o establezca líneas de base diferentes.

4.12.2. Enfoque general sobre la resolución de problemas

El uso de técnicas para la resolución de problemas reduce el tiempo total de resolución.

Dos enfoques de fracaso:

Científico espacial (enfoque teórico): analiza la situación una y otra vez hasta

hallar el error y corregirlo con precisión quirúrgica.

Instinto cavernícola (fuerza bruta): intercambiar cables, tarjetas, hardware, etc

hasta que milagrosamente vuelve a funcionar. No funciona correctamente! Solo

funciona.

No se pueden tener las redes inactivas.

Es importante analizar la red completa en vez de en partes. Un enfoque sistemático

minimiza la confusión y reduce el tiempo que se desperdicia en prueba y error.


99

4.12.3. Comparación de modelos en capas OSI y TCP/IP

4.12.3.1 Modelo referencia OSI

De la capa 5 a 7 se ocupa problemas de aplicaciones y generalmente software (capa más

cercana al usuario final).

Las capas de 1 a 4 manejan problemas de transporte de datos. La capa 3 y 4

generalmente software.

La 1 y 2 se implementan en el hardware y software.

La capa física, como el cableado de red, es responsable de la transmisión real.

4.12.3.2 Modelo TCP / IP

La capa de aplicación combina las tres capas OSI de sesión, presentación y aplicación.

Esta última proporciona comunicación entre FTP, http, SMTP, etc

La capa de transporte intercambia segmentos entre dispositivo y la capa de Internet

ubica mensajes enforna de fijo. permitiendo que los disposit lo manejen.

La capa de acceso de red corresponde a las capas físicas y enlaces de taos. se comunica

directamente con las medios de red.


100

4.12.4 Procedimientos generales de resolución de problemas

Etapa 1: Recopilación de síntomas.

Determinar cuáles componentes se vieron afectados y como cambió la

funcionalidad.

ej: alertas sistema, mensajes de consola, queja usuarios…

Etapa 2: Aislamiento problema.

Aislar uno o un conjunto de problemas. Examinar características lógicas de red.

Recopilar y documentar síntomas.

Etapa 3: Corrección del problema.

Si en el intento de corrección se determina otro problema, documentar el intento y

volver a empezar.

4.12.5 Métodos de Resolución

4.12.5.1 Ascendente

Primero se examinan componentes físicos y se ascienden hasta que se identifica el

problema.

Es un buen enfoque cuando se sospecha problemas físicos (la mayoría de problemas

están en capas inferiores).

La desventaja requiere revisión hasta que se descubre la causa.

Se debe documentar todo e incluir mucho trabajo administrativo.

4.12.5.2 Descendente

Primero se prueba el software del usuario antes de abordar elementos de networking.

Desventaja es que requiere revisión de cada aplicación hasta que se descubra el

problema.

Todo debe ser documentado.

4.12.5.3 Divide y vencerás

Se selecciona una capa y se realizan pruebas en las dos direcciones.

Se recopila la experiencia de usuario, documentar los síntomas y luego hacer una

suposición informada.

Al verificar una capa se supone que las inferiores a esta, también funcionan y se

continúa con las superiores.

Programas NMS: CiscoView, HP OpenView, SolarWindows, What’s UP Gold…


101

4.12.6 Herramientas de resolución

Análisis de red: El NAM es una interfaz integrada basada en el explorador y genera

informes sobre el tráfico. Puede capturar y decodificar paquetes.

Multímetros digitales: instrumentos de prueba para medir valores y voltajes.

Probadora de cable: detectan cables dañados o cruzados. Los TDR, se usan para

establecer la distancia hasta una ruptura en una calle.

Analizadores de red: mostrar comportamiento de cosstalk e impedancia. Creación de

informes precisos.

Analizadores de red portátiles: ver puerto switch conectado dispositivo, analiza tráfico

de red, etc.

4.12.7 Comunicaciones en la WAN

Pasos en el diseño de una WAN

Cada vez que se considere modificar las WAN, se deben seguir en tres pasos.

1. Ubicar las LAN: establezca puntos finales de origen y destino que se conectaran a WAN.

2. Analizar tráfico: qué tipo de datos (ancho de banda, latencia y fluctuación de fase).

3. Planificar topología: disponibilidad. Agregar varias rutas con balanceo de carga.

4. Ancho de banda necesario: requisitos de latencia y fluctuación.

5. Tecnología WAN: tecnologías de enlace adecuadas.

6. Evaluar costes: comparar necesidad comercial.


102

4.12.8 Consideraciones sobre topologías WAN

Después de establecer características del tráfico y puntos finales de la LAN, el paso siguiente es el

diseño de tpología WAN:

- seleccionar un buen diseño de interconexión.

- seleccionar tecnologías para los costes de enlace.

Normalmente se utiliza topologías en estrella. A medida que la empresa crece, las neuvas sucursales se

conectan a la central. Algunas veces se interconectan varias sucursales, formando una malla parcial o

malla completa.

Más enlaces aumentan el coste de enlace pero también aumenta la confiabilidad por tener más rutas.

Más rutas aumenta la latencia y disminuye la confiabilidad.

Cada paquete debe recibirse en un nodo antes de enviar el siguiente.

Cuando deben unirse muchas ubicaciones, hay que hacer una solución jerárquica. Se agrupan las LAN

en cada área (entre 30 y 50 máx.) y se conectan para formar una región. Después se interconectan las

regiones para formar núcleso WAN.

El área tiene topología en estrella con los hubs conectados para formar regiones. Las regiones pueden

conectar entre 3 y 10 áreas. Cada región punto a punto.

4.12.8.1 Síntomas de problemas en la capa física

Rendimiento menor a la línea de base.

Pérdida conectividad.

Alto nivel de colisión.

Cuellos de botella o congestión en la red.

Altos porcentajes de utilización de CPU.

Mensajes de error en la consola.

4.12.8.2 Síntomas problemas en la capa enlace de datos

Falta conectividad en la capa de red o superiores.

Falta funcionalidad en la capa de red o superiores.

Rendimiento de la red por debajo de la línea de base.

Exceso de broadcast.

Mensajes de error en la consola.


103

4.12.8.3 Síntomas de problemas en la capa de red

Falla de red.

Rendimiento de la red por debajo de la línea base.

Resolución:

- Cambios en la topología de la red.

- Buscar problemas con los equipos y conectividad.

- Comprobar relaciones con vecinos enrutamiento.

- Comprobar problemas de bases de datos de topología.

- Comprobar problemas de la tabla enrutamiento.

4.12.8.4 Síntomas problemas capa de transporte

Problemas intermitentes de la red.

Problemas de seguridad.

Problemas de traducción de direcciones.

Problemas de tipos de tráfico específicos.

4.12.8.5 Problemas frecuentes en ACL’s

Aplicación al tráfico incorrecto.

Orden incorrecto de los elementos de control.

“Deny any any” implícito.

Direcciones y máscaras wildcard.

Selección TCP/UDP.

Puertos origen y destino.

Uso de la palabra clave “established”.

Protocolos poco frecuentes.

4.12.8.6 Problemas frecuentes en NAT

Problemas interoperabilidad.

NAT estática incorrecta.

Temporizadores NAT configurados incorrectamente.


104

4.12.8.7 Síntomas problemas capa de aplicación

Quejas usuario sobre rendimiento lento aplicación.

Mensajes de error aplicación.

Mensajes de error consola.

Mensajes en el registro de sistema.

Alarmas del sistema de administración de redes.

Resolución:

- Hacer ping al Gateway.

- Verificar conectividad de extremo a extremo.

- Verificar funcionalidad de ACL y NAT.

- Solucionar problemas de conectividad del protocolo capa superiores.

4.12.9 Glosario:

P: Si vemos “Serial 0 is up, line protocol is down”:

R: Casi siempre es la capa de enlace de datos.

P: Afirmación correcta sobre el modelo de redes.

R: Los procesos de la capa de usuario y de aplicación interactúan con las aplicaciones de software

que contienen un componente de comunicaciones en el modelo OSI.

P: Protocolos relacionados con problemas de capa de red?

R: EIGRP, RIP e IP.

P: Diga 3 documentos necesarios para diagnosticar y corregir problemas de red.

R: Tablas de configuración de red, diagramas topología de red, tablas de configuración sistemas

finales.

P: ¿Qué se asocia con el primer paso en la corrección de problemas de la capa de aplicación?

R: Realizar una copia de respaldo de las configuraciones.


105

Anexo P: Un PC no puede conectar a ninguna red remota, hace ping a su Gateway o alguna impresora que

está funcionando en la red. ¿Qué acción verificará que TCP/IP está funcionando correctamente?

R: Use el comando ping 127.0.0.1 en la línea de comandos.

P: ¿Qué tres afirmaciones caracterizan la capa de transporte?

R:

- Los puertos TCP y UDP son usados por el protocolo de capa de transporte.

- TCP usa un sistema de ventanas y secuencia para ofrecer transferencia de datos confiables.

- TCP es orientada a conexión mientras que UDP no.

P: ¿Qué tipos de medios son inmunes a las interferencias EMI o RFI?

R:

- 100 Base FX

- 1000 Base LX

P: ¿Qué 3 características tiene CSMA/CD?

R:

- Un dispositivo escucha y espera hasta que el medio no está ocupado antes de transmitir.

- Todos los dispositivos de un segmento ven datos que pasan por la red local.

- Después de detectar una colisión, los hosts pueden intentar reanudar la transmisión

después de un tiempo aleatorio que ha expirado.

P: ¿Qué Capa OSI, IP cuenta con determinar qué paquetes han sido perdidos y piden retransmitir?

R: Capa de sesión.

P: ¿Qué modo se debe usar para copiar la running-config a la startup-config?

R: Switch-67# -> modo EXEC privilegiado

P: ¿Qué tipo de información ayuda en la entrega de datos que contiene la cabecera de la capa 4?

R: servicio de número de puerto.

P: ¿Qué es verdad acerca del direccionamiento en la capa de red?

R:

- Únicamente identifica cada host.

- Jerárquico

P: Durante el proceso de encapsulación, qué identificadores son añadidos en la capa de transporte?

R: 2 aplicaciones comunicando los datos.

P: ¿Qué dos funciones del modelo OSI ocurren en la capa 2?

R:

- direccionamiento físico

- control de acceso al medio

P: ¿Cuáles 2 afirmaciones describen Spanning Tree Protocol?

R:

- Elimina los bucles e capa 2 en las topologías.

- Solo se puede utilizar en redes en las que la conmutación de capa 2 esté en curso.


106

P: Un administrador de red tiene como tarea seleccionar el hardware para respaldar una red

conmutada de una gran empresa. El sistema requiere interconexiones redundantes de backplane

entre otros switches con puertos de densidad alta. ¿Cuál sería la solución de hardware adecuada

para esta empresa?

R: switches apilables.

P: ¿Cuáles son los dos métodos que pueden utilizarse para eliminar las entradas de la tabla de

dirección MAC del switch?

R:

- Reinicie el switch para borrar todas las direcciones aprendidas dinámicamente.

- Las direcciones MAC configuradas de forma estática se eliminan automáticamente de la

tabla de direcciones 300 minutos después de la última actividad registrada en el puerto de

switch.

P: ¿Por qué es importante que un administrador de red considere el diámetro de la red spanning-tree

cuando elige un puente raíz?

R: Los BPDU pueden descartarse debido a los temporizadores de expiración

P: ¿Qué ocurre cuando el comando crypto key zeroize rsa se ingresa en un switch configurado con el

comando transport input ssh en las líneas vty?

R: El switch permite conexiones remotas sólo después de que se cree un par nuevo de teclas RSA.

P: ¿Cuáles son las tres afirmaciones verdaderas con respecto al router-on-a-stick del enrutamiento entre

VLAN?

R:

- requiere el uso de subinterfaces en el Router

- requiere que cada interfaz esté configurada con el comando no shutdown

- es más rentable y escalable que utilizar interfaces físicas múltiples

P: ¿Cómo hace un switch Ethernet para manejar el tráfico si los búfers de memoria compartida y los de la

memoria del puerto están llenos?

R: El switch descarta el tráfico.

P: ¿Cuáles son las dos tareas que deben realizarse cuando se elimina toda una VLAN?

R:

- Eliminar el archivo vlan.dat de flash.

- Reiniciar el switch para que los cambios entren en vigencia.

P: ¿Qué afirmación es verdadera con respecto al comando service password-encryption?

R: Encripta sólo las contraseñas del modo de línea.

P: ¿Qué comando encuentra el próximo parámetro disponible para el comando SwitchX# clock con la

menor cantidad de pulsaciones de teclas?

R: SwitchX# clock luego Tab

P: ¿Qué tres configuraciones se requieren para permitir el acceso remoto a un switch mediante el comando

telnet?

R:

- contraseña de la línea vty

- gateway predeterminado

- dirección IP del switch en la VLAN de administración

Documents

CCNA Exploration 4 Printable Version Final Release