1.0.1 INTRODUCCIN DEL CAPITULO.- Para pequenas y medianas empresas, la comunicacin digital de datos, oz y ideo es esencial para la superiencia de la empresa. Ln consecuencia, una LAN con un diseno apropiado es un requisito undamental para hacer negocios en el presente. Ll usuario debe ser capaz de reconocer una LAN bien disenada y seleccionar los dispositios apropiados para admitir las especiicaciones de las redes de una empresa pequena o mediana.
Ln este captulo, el usuario comenzara a explorar la arquitectura de la LAN conmutada y algunos de los principios que se utilizan para disenar una red jerarquica. Ll usuario aprendera sobre las redes conergentes. 1ambin aprendera cmo seleccionar el switch correcto para una red jerarquica y qu switches Cisco son los mas adecuados para cada capa de red. Las actiidades y los laboratorios conirman y reuerzan su aprendizaje.
1.1 ARQUITECTURA DE LA LAN CONMUTADA.- 1.1.1 MODELO DE REDES JERRQUICAS.- La construccin de una LAN que satisaga las necesidades de empresas pequenas o medianas tiene mas probabilidades de ser exitosa si se utiliza un modelo de diseno jerarquico. Ln comparacin con otros disenos de redes, una red jerarquica se administra y expande con mas acilidad y los problemas se resuelen con mayor rapidez.
Ll diseno de redes jerarquicas implica la diisin de la red en capas independientes. Cada capa cumple unciones especicas que deinen su rol dentro de la red general. La separacin de las dierentes unciones existentes en una red hace que el diseno de la red se uela modular y esto acilita la escalabilidad y el rendimiento. Ll modelo de diseno jerarquico tpico se separa en tres capas: capa de acceso, capa de distribucin y capa ncleo. Un ejemplo de diseno de red jerarquico de tres capas se obsera en la igura.
Capa de acceso
La capa de acceso hace interaz con dispositios inales como las PC, impresoras y telonos IP, para proeer acceso al resto de la red. Lsta capa de acceso puede incluir routers, switches, puentes, hubs y puntos de acceso inalambricos. Ll propsito principal de la capa de acceso es aportar un medio de conexin de los dispositios a la red y controlar qu dispositios pueden comunicarse en la red.
Pase el mouse sobre el botn Acceso en la figura.
Capa de distribucin
La capa de distribucin agrega los datos recibidos de los switches de la capa de acceso antes de que se transmitan a la capa ncleo para el enrutamiento hacia su destino inal. La capa de distribucin controla el lujo de traico de la red con el uso de polticas y traza los dominios de broadcast al realizar el enrutamiento de las unciones entre las LAN irtuales ,VLAN, deinidas en la capa de acceso. Las VLAN permiten al usuario segmentar el traico sobre un switch en subredes separadas. Por ejemplo, en una uniersidad el usuario podra separar el traico segn se trate de proesores, estudiantes y huspedes. Normalmente, los switches de la capa de distribucin son dispositios que presentan disponibilidad y redundancia altas para asegurar la iabilidad. Aprendera mas acerca de las VLAN, los dominios de broadcast y el enrutamiento entre las VLAN, posteriormente en este curso.
Pase el mouse sobre el botn Distribucin en la figura.
Capa ncleo
La capa ncleo del diseno jerarquico es la backbone de alta elocidad de la internetwork. La capa ncleo es esencial para la interconectiidad entre los dispositios de la capa de distribucin, por lo tanto, es importante que el ncleo sea sumamente disponible y redundante. Ll area del ncleo tambin puede conectarse a los recursos de Internet. Ll ncleo agrega el traico
de todos los dispositios de la capa de distribucin, por lo tanto debe poder reeniar grandes cantidades de datos rapidamente.
Pase el mouse por el botn Ncleo en la figura. Nota: Ln redes mas pequenas, no es inusual que se implemente un modelo de ncleo colapsado, en el que se combinan la capa de distribucin y la capa ncleo en una capa.
Red jerrquica en una empresa mediana
Lxaminemos un modelo de red jerarquica aplicada a una empresa. Ln la igura, las capas de acceso, de distribucin y ncleo se encuentran separadas en jerarquas bien deinidas. Lsta representacin lgica contribuye a que resulte acil er qu switches desempenan qu uncin. Ls mucho mas dicil er estas capas jerarquicas cuando la red se instala en una empresa.
Haga clic en el botn Diseo fsico en la figura.
La igura muestra dos pisos de un ediicio. Las computadoras del usuario y los dispositios de la red que necesitan acceso a la red se encuentran en un piso. Los recursos, como seridores de correo electrnico y seridores de bases de datos, se ubican en otro piso. Para asegurar que cada piso tenga acceso a la red, se instalan la capa de acceso y los switches de distribucin en los armarios de cableado de cada piso y se conectan a todos los dispositios que necesitan acceso a la red. La igura muestra un pequeno bastidor de switches. Ll switch de la capa de acceso y el switch de la capa de distribucin se encuentran apilados uno sobre el otro en el armario de cableado.
Aunque no se muestran los switches de la capa ncleo y otros switches de la capa de distribucin, es posible obserar cmo la distribucin sica de una red diiere de la distribucin lgica de una red.
Beneficios de una red jerrquica
Lxisten muchos beneicios asociados con los disenos de la red jerarquica.
Escalabilidad
Las redes jerarquicas escalan muy bien. La modularidad del diseno le permite reproducir exactamente los elementos del diseno a medida que la red crece. Debido a que cada instancia del mdulo es consistente, resulta acil planiicar e implementar la expansin. Por ejemplo, si el modelo del diseno consiste en dos switches de la capa de distribucin por cada 10 switches de la capa de acceso, puede continuar agregando switches de la capa de acceso hasta tener 10 switches de la capa de acceso interconectados con los dos switches de la capa de distribucin antes de que necesite agregar switches adicionales de la capa de distribucin a la topologa de la red. Ademas, a medida que se agregan mas switches de la capa de distribucin para adaptar la carga de los switches de la capa de acceso, se pueden agregar switches adicionales de la capa ncleo para manejar la carga adicional en el ncleo.
Redundancia
A medida que crece una red, la disponibilidad se torna mas importante. Puede aumentar radicalmente la disponibilidad a tras de implementaciones redundantes aciles con redes jerarquicas. Los switches de la capa deacceso se conectan con dos switches dierentes de la capa de distribucin para asegurar la redundancia de la ruta. Si alla uno de los switches de la capa de distribucin, el switch de la capa de acceso puede conmutar al otro switch de la capa de distribucin. Adicionalmente, los switches de la capa de distribucin se conectan con dos o mas switches de la capa ncleo para asegurar la disponibilidad de la ruta si alla un switch del ncleo. La nica capa en donde se limita la redundancia es la capa de acceso. labitualmente, los dispositios de nodo inal, como PC, impresoras y telonos IP, no tienen la capacidad de conectarse con switches mltiples de la capa de acceso para redundancia. Si alla un switch de la capa de acceso, slo se eran aectados por la interrupcin los dispositios conectados a ese switch en particular. Ll resto de la red continuara uncionando sin alteraciones.
Rendimiento
Ll rendimiento de la comunicacin mejora al eitar la transmisin de datos a tras de switches intermediariosde bajo rendimiento. Los datos se enan a tras de enlaces del puerto del switch agregado desde la capa de acceso a la capa de distribucin casi a la elocidad de cable en la mayora de los casos. Luego, la capa de distribucin utiliza sus capacidades de conmutar el alto rendimiento para reeniar el traico hasta el ncleo, donde se enruta hacia su destino inal. Debido a que las capas ncleo y de distribucin realizan sus operaciones a elocidades muy altas, no existe contencin para el ancho de banda de la red. Como resultado, las redes jerarquicas con un diseno apropiado pueden lograr casi la elocidad de cable entre todos los dispositios.
Seguridad
La seguridad mejora y es mas acil de administrar. Ls posible conigurar los switches de la capa de acceso con arias opciones de seguridad del puerto que proeen control sobre qu dispositios se permite conectar a la red. Ademas, se cuenta con la lexibilidad de utilizar polticas de seguridad mas aanzadas en la capa de distribucin. Puede aplicar las polticas de control de acceso que deinen qu protocolos de comunicacin se implementan en su red y dnde se les permite dirigirse. Por ejemplo, si desea limitar el uso de l11P a una comunidad de usuarios especica conectada a la capa de acceso, podra aplicar una poltica que bloquee el traico de l11P en la capa de distribucin. La restriccin del traico en base a protocolos de capas mas eleadas, como IP y l11P, requiere que sus switches puedan procesar las polticas en esa capa. Algunos switches de la capa de acceso admiten la uncionalidad de la Capa 3, pero en general es responsabilidad de los switches de la capa de distribucin procesar los datos de la Capa 3, porque pueden procesarlos con mucha mas eicacia.
Facilidad de administracin
La acilidad de administracin es relatiamente simple en una red jerarquica. Cada capa del diseno jerarquico cumple unciones especicas que son consistentes en toda esa capa. Por consiguiente, si necesita cambiar la uncionalidad de un switch de la capa de acceso, podra repetir ese cambio en todos los switches de la capa de acceso en la red porque presumiblemente cumplen las mismas unciones en su capa. La implementacin de switches nueos tambin se simpliica porque se pueden copiar las coniguraciones del switch entre los dispositios con muy pocas modiicaciones. La consistencia entre los switches en cada capa permite una recuperacin rapida y la simpliicacin de la resolucin de problemas. Ln algunas situaciones especiales, podran obserarse inconsistencias de coniguracin entre los dispositios, por eso debe asegurarse de que las coniguraciones se encuentren bien documentadas, de manera que pueda compararlas antes de la implementacin.
Capacidad de mantenimiento
Debido a que las redes jerarquicas son modulares en naturaleza y escalan con mucha acilidad, son aciles de mantener. Con otros disenos de la topologa de la red, la administracin se torna altamente complicada a medida que la red crece. 1ambin, en algunos modelos de disenos de red, existe un lmite en cuanto a la extensin del crecimiento de la red antes de que se torne demasiado complicada y costosa de mantener. Ln el modelo del diseno jerarquico se deinen las unciones de los switches en cada capa haciendo que la seleccin del switch correcto resulte mas acil. La adicin de switches a una capa no necesariamente signiica que se eitara un cuello de botella u otra limitacin en otra capa. Para que una topologa de red de malla completa alcance el rendimiento maximo, es necesario que todos los switches sean de alto rendimiento porque es undamental que cada switch pueda cumplir todas las unciones en la red. Ln el modelo jerarquico, las unciones de los switches son dierentes en cada capa. Se puede ahorrar dinero con el uso de switches de la capa de acceso menos costosos en la capa inerior y gastar mas en los switches de la capa de distribucin y la capa ncleo para lograr un rendimiento alto en la red.
1.1.2 PRINCIPIOS DE DISEO DE REDES JERRQUICAS.- Principios de diseo de redes jerrquicas
Slo porque aparentemente una red presenta un diseno jerarquico, no signiica que la red est bien disenada. Lstas guas simples le ayudan a dierenciar entre redes jerarquicas con un buen diseno y las que presentan un diseno deiciente. La intencin de esta seccin no es proporcionarle todas las destrezas y el conocimiento que necesita para disenar una red jerarquica sino orecerle una oportunidad de comenzar a practicar sus destrezas a tras de la transormacin de una topologa de red plana en una topologa de red jerarquica.
Dimetro de la red
Al disenar una topologa de red jerarquica, lo primero que debe considerarse es el diametro de la red. Con recuencia, el diametro es una medida de distancia pero en este caso se utiliza el trmino para medir el nmero de dispositios. Ll diametro de la red es el nmero de dispositios que un paquete debe cruzar antes de alcanzar su destino. Mantener bajo el diametro de la red asegura una latencia baja y predecible entre los dispositios.
Pase el mouse por el botn Dimetro de la red en la figura.
Ln la igura, la PC1 se comunica con la PC3. Ls posible que existan hasta seis switches interconectados entre la PC1 y la PC3. Ln este caso, el diametro de la red es 6. Cada switch en la ruta introduce cierto grado de latencia. La latencia del dispositio de red es el tiempo que transcurre mientras un dispositio procesa un paquete o una trama. Cada switch debe determinar la direccin MAC de destino de la trama, eriicar la tabla de la direccin MAC y eniar la trama al puerto apropiado. Aunque el proceso completo se produce en una raccin de segundo, el tiempo se acrecienta cuando la trama debe cruzar arios switches.
Ln el modelo jerarquico de tres capas, la segmentacin de la Capa 2 en la capa de distribucin practicamente elimina el diametro de la red como consecuencia. Ln una red jerarquica, el diametro de la red siempre a a ser un nmero predecible de saltos entre el dispositio origen y el dispositio destino.
Agregado de ancho de banda
Cada capa en el modelo de redes jerarquicas es una candidata posible para el agregado de ancho de banda. Ll agregado de ancho de banda es la practica de considerar los requisitos de ancho de banda especicos de cada parte de la jerarqua. Despus de que se conocen los requisitos de ancho de banda de la red, se pueden agregar enlaces entre switches especicos, lo que recibe el nombre de agregado de enlaces. Ll agregado de enlaces permite que se combinen los enlaces de puerto de los switches mltiples a in de lograr un rendimiento superior entre los switches. Cisco cuenta con una tecnologa de agregado de enlaces especica llamada LtherChannel, que permite la consolidacin de mltiples enlaces de Lthernet. Un analisis de LtherChannel excede el alcance de este curso. Para obtener mas inormacin, isite: http:,,www.cisco.com,en,US,tech,tk389,tk213,tsd_technology_support_protocol_home.html.
Pase el mouse por el botn Agregado de ancho de banda en la figura.
Ln la igura, las computadoras PC1 y PC3 requieren una cantidad signiicatia de ancho de banda porque se utilizan para desarrollar simulaciones de condiciones climaticas. Ll administrador de la red ha determinado que los switches S1, S3 y S5 de la capa de acceso requieren un aumento del ancho de banda. Lstos switches de lacapa de acceso respetan la jerarqua y se conectan con los switches de distribucin D1, D2 y D4. Los switches de distribucin se conectan con los switches C1 y C2 de la capa ncleo. Obsere cmo los enlaces especicos en puertos especicos se agregan encada switch. De esta manera, se suministra un aumento del ancho de banda para una parte especica, seleccionada de la red. Obsere que en esta igura se indican los enlaces agregados por medio de dos lneas de puntos con un alo que las relaciona. Ln otras iguras, los enlaces agregados estan representados por una lnea de puntos nica con un alo.
Redundancia
La redundancia es una parte de la creacin de una red altamente disponible. Se puede proeer redundancia de arias maneras. Por ejemplo, se pueden duplicar las conexiones de red entre los dispositios o se pueden duplicar los propios dispositios. Lste captulo explora cmo emplear rutas de redes redundantes entre los switches. Un analisis de la duplicacin de los dispositios de red y del empleo de protocolos especiales de red para asegurar una alta disponibilidad excede el alcance de este curso. Para acceder a un analisis interesante acerca de la alta disponibilidad, isite: http:,,www.cisco.com,en,US,products,ps6550,products_ios_technology_home.html.
La implementacin de los enlaces redundantes puede ser costosa. Imagine que cada switch en cada capa de la jerarqua de la red tiene una conexin con cada switch de la capa siguiente. Ls improbable que sea capaz de implementar la redundancia en la capa de acceso debido al costo y a las caractersticas limitadas en los dispositios inales pero puede crear redundancia en las capas de distribucin y ncleo de la red.
Pase el mouse por el botn Enlaces redundantes en la figura.
Ln la igura, los enlaces redundantes se obseran en la capa de distribucin y en la capa ncleo. Ln la capa de distribucin existen dos switches de capa de distribucin, el mnimo requerido para admitir redundancia en esta capa. Los switches de la capa de acceso, S1, S3, S4 y S6, se encuentran interconectados con los switches de la capa de distribucin. Lsto protege su red si alla uno de los switches de distribucin. Ln caso de alla, el switch de la capa de acceso ajusta su ruta de transmisin y reena el traico a tras del otro switch de distribucin.
Ciertas situaciones de alla de la red nunca pueden impedirse, por ejemplo si la energa elctrica se interrumpe en la ciudad entera o el ediico completo se derrumba debido a un terremoto. La redundancia no intenta abordar estos tipos de desastres. Para obtener mas inormacin acerca de cmo una empresa puede continuar uncionando y recuperarse de un desastre, isite: http:,,www.cisco.com,en,US,netsol,ns516,networking_solutions_package.html.
Comience en la capa de acceso
Imagine que se requiere un diseno nueo de redes. Los requisitos de diseno, como el niel de rendimiento o la redundancia necesaria, estan determinados por las metas comerciales de la organizacin. Una ez que se documentan los requisitos de diseno, el disenador puede comenzar a seleccionar el equipo y la inraestructura para implementar el diseno.
Cuando se inicia la seleccin del equipo en la capa de acceso, puede asegurarse de que se adapta a todos los dispositios de la red que necesitan acceso a la red. Despus de tener en cuenta todos los dispositios inales se tiene una mejor idea de cuantos switches de la capa de acceso se necesitan. Ll nmero de switches de la capa de acceso y el traico estimado que cada uno genera ayuda a determinar cuantos switches de la capa de distribucin se necesitan para lograr el rendimiento y la redundancia necesarios para la red. Despus de determinar el nmero de switches de la capa de distribucin, se puede identiicar cuantos switches de ncleo se necesitan para mantener el rendimiento de la red.
Un analisis exhaustio acerca de cmo determinar qu switch seleccionar en base al analisis del lujo de traico y cuantos switches de ncleo se requieren para mantener el rendimiento queda uera del alcance de este curso. Para una buena introduccin al diseno de red, lea este libro que se encuentra disponible en Ciscopress.com: 1op-Down Network Design, de Priscilla Oppenheimer ,2004,.
1.1.3 QU ES UNA RED CONVERGENTE?.- Las empresas pequenas y medianas adoptan la idea de ejecutar sericios de oz y ideo en sus redes de datos. Obseremos cmo la oz y el ideo sobre IP ,VoIP, aectan una red jerarquica.
Equipos heredados
La conergencia es el proceso de combinacin de las comunicaciones con oz y ideo en una red de datos. Las redes conergentes han existido durante algn tiempo pero slo ueron actibles en grandes organizaciones empresariales debido a los requisitos de inraestructura de la red y a la compleja administracin necesaria para hacer que dichas redes uncionen en orma continua. Los costos de red asociados con la conergencia eran altos porque se necesitaba un hardware de switches mas costoso para admitir los requisitos adicionales de ancho de banda. Las redes conergentes tambin necesitaban una administracin extensia en relacin con la Calidad de Sericio ,QoS,, porque era necesario que el traico de datos con oz y ideo se clasiicara y priorizara en la red. Pocas personas contaban con la experiencia proesional en cuanto a redes de datos, oz y ideo para hacer que la conergencia uese actible y uncional. Ademas, el equipo antiguo obstaculiza el proceso. La igura muestra un switch antiguo de una empresa telenica. Ln la actualidad, la mayora de las empresas telenicas ha cambiado a switches digitales. Sin embargo, existen muchas oicinas que an utilizan telonos analogos por lo que todaa tienen armarios de cableado de telonos analogos. Debido a que an no se han reemplazado los telonos analogos,
tambin obserara que debe admitir tanto el sistema telenico PBX antiguo como los telonos IP. Con lentitud se reemplazara esta clase de equipamiento por switches modernos de telonos IP.
Haga clic en el botn Tecnologa avanzada en la figura.
Tecnologa avanzada
La conergencia de redes de oz, ideo y datos se ha uelto muy popular recientemente en el mercado empresarial pequeno y mediano debido a los aances en la tecnologa. Ln el presente resulta mas acil implementar y administrar la conergencia y su adquisicin es menos costosa. La igura muestra una combinacin de switch y de telono VoIP de alta tecnologa apropiada para una empresa mediana de entre 250 y 400 empleados. La igura tambin muestra un switch Cisco Catalyst Lxpress 500 y un telono Cisco 906G adecuados para empresas pequenas y medianas. Lsta tecnologa VoIP sola presentar un precio razonable para empresas y entidades gubernamentales.
La transerencia a una red conergente puede ser una decisin dicil si la empresa ya realiz una inersin en redes de oz, ideo y datos separadas. Ll abandono de una inersin que an unciona resulta arduo pero la conergencia de oz, ideo y datos en una inraestructura de red nica presenta arias entajas.
Un beneicio de una red conergente es la existencia de slo una red para administrar. Con las redes de oz, ideo y datos separadas, los cambios realizados en la red deben coordinarse a tras de redes. Ademas, existen costos adicionales que resultan del uso de tres conjuntos de cableado de redes. Ll uso de una red nica signiica que el usuario slo debe administrar una inraestructura conectada por cables.
Otro beneicio es el menor costo de implementacin y administracin. Ls menos costoso implementar una inraestructura de red nica que tres inraestructuras de redes distintas. La administracin de una red nica es tambin menos costosa. 1radicionalmente, si una empresa cuenta con una red separada de oz y datos, necesita a un grupo de personas que administren la red de oz y otro grupo que administre la red de datos. Con una red conergente, se necesita a un grupo que administra tanto la red de oz como la de datos.
Haga clic en el botn Opciones nuevas en la figura.
Opciones nuevas
Las redes conergentes orecen opciones que no existan con anterioridad. Ahora se pueden unir las comunicaciones de oz y ideo directamente en el sistema de la computadora personal de un empleado, segn se obsera en la igura. No es necesario contar con un aparato telenico o un equipo para ideoconerencias caros. Se puede lograr la misma uncin con el uso de un sotware especial integrado con una computadora personal. Las herramientas de telesotware, como Cisco IP Communicator, orecen mucha lexibilidad a las empresas. La persona que se encuentra en la parte superior izquierda de la igura utiliza una herramienta de telesotware en la computadora. Cuando se utiliza el sotware en lugar de un telono sico, una empresa puede realizar la conersin a redes conergentes con rapidez porque no hay gastos de capital en la adquisicin de telonos IP y de los switches necesarios para accionar los telonos. Con la incorporacin de camaras \eb econmicas, se pueden agregar ideoconerencias al telesotware. Lstos son slo algunos ejemplos proporcionados por una cartera mas amplia de soluciones de comunicacin que redeinen el proceso comercial en la actualidad.
Redes separadas de voz, video y datos
Como se puede er en la igura, una red de oz contiene lneas telenicas aisladas que ejecutan un switch PBX para permitir la conectiidad telenica a la Red pblica de teleona conmutada ,PS1N,. Cuando se agrega un telono nueo, se debe ejecutar una lnea nuea de regreso al PBX. Ll switch del PBX se ubica habitualmente en el armario de cableado de 1elco, separado de los armarios de cableado de datos y ideo. Los armarios de cableado con recuencia se separan porque el personal de apoyo necesita acceso a cada sistema. Sin embargo, mediante el uso de una red jerarquica apropiadamente disenada y la implementacin de polticas de QoS que dan prioridad a los datos de audio, los datos de oz se pueden conerger en una red de datos existente con muy poco o ningn impacto en la calidad del audio.
Haga clic en el botn Red de video en la figura para er un ejemplo de una red de ideo separada.
Ln esta igura, el equipo para ideoconerencias esta conectado por cable en orma separada de las redes de oz y de datos. Los datos de ideoconerencias pueden consumir un ancho de banda signiicatio en una red. Como resultado, se mantuieron las redes de ideos por separado para permitir que los equipos de ideoconerencias uncionen a toda elocidad sin competir por el ancho de banda con los lujos de oz y de datos. Mediante el uso de una red jerarquica
apropiadamente disenada y la implementacin de polticas de QoS que dan prioridad a los datos de ideo, puede hacerse que dichos datos conerjan en una red de datos existente con muy poco o ningn impacto en la calidad del ideo.
Haga clic en el botn Red de datos en la figura para er un ejemplo de una red de datos separada.
La red de datos interconecta las estaciones de trabajo y los seridores en una red para acilitar el uso compartido de recursos. Las redes de datos pueden consumir un ancho de banda de datos signiicatio y ste es el motio por el cual las redes de oz, ideo y datos se mantuieron separadas por tan largo tiempo. Ahora que las redes jerarquicas con el diseno apropiado pueden incluir los requerimientos de ancho de banda de las comunicaciones por oz, ideo y datos al mismo tiempo, tiene sentido hacer que conerjan en una nica red jerarquica.
1.2 RELACIN ENTRE SWITCHES Y LAS FUNCIONES DE LA LAN.- 1.2.1 CONSIDERACIONES PARA LOS SWITCHES DE REDES JERRQUICAS.- Anlisis de flujo de trfico
Para seleccionar el switch apropiado para una capa en una red jerarquica, es necesario contar con especiicaciones que detallen los lujos de traico objetio, las comunidades de usuario, los seridores de datos y los seridores de almacenamiento de datos.
Las empresas necesitan una red que pueda satisacer los requerimientos del desarrollo. Una empresa puede comenzar con algunas PC interconectadas de manera que puedan compartir datos. A medida que la empresa contrata mas empleados, los dispositios, como PC, impresoras y seridores, se agregan a la red. La incorporacin de los nueos dispositios implica un aumento en el traico de la red. Algunas companas reemplazan sus sistemas telenicos existentes por sistemas telenicos VoIP conergentes, lo que agrega un traico adicional.
Cuando se selecciona el hardware de switch, se determina qu switches se necesitan en las capas ncleo, distribucin y acceso para adaptarse a los requerimientos del ancho de banda de red. Su plan debe considerar los requerimientos de ancho de banda en el uturo. Adquiera el hardware del switch Cisco apropiado para incorporar tanto las necesidades actuales como las uturas. Para contribuir con la eleccin mas precisa de los switches apropiados, realice y registre los analisis de lujo de traico de orma regular.
Anlisis del flujo de trfico
Ll analisis del lujo de traico es el proceso de medicin del uso del ancho de banda en una red y el analisis de datos con el in de lograr ajustes del rendimiento, planiicacin de la capacidad y toma de decisiones con respecto a las mejoras del hardware. Ll analisis del lujo de traico se realiza con el uso de sotware para analisis de lujo de traico. Aunque no existe una deinicin exacta de lujo de traico de la red, a eectos del analisis del lujo de traico, es posible decir que el traico de la red es la cantidad de datos eniados durante un cierto perodo de tiempo. 1odos los datos de la red contribuyen con el traico, independientemente de su propsito u origen. Ll analisis de los dierentes orgenes del traico y su inluencia en la red, permite realizar ajustes mas exactos y actualizar la red para lograr el mejor rendimiento posible.
Los datos del lujo de traico pueden utilizarse para ayudar a determinar exactamente cuanto tiempo puede continuar utilizando el hardware de la red existente antes de que tenga sentido actualizarlo para adaptarse segn los requerimientos adicionales de ancho de banda. Al tomar las decisiones con respecto a qu hardware adquirir, se deben tener en cuenta las
densidades de puerto y las tasas de reeno del switch para asegurarse de lograr una capacidad de crecimiento adecuada. La densidad de puerto y las tasas de reeno se explican mas adelante en este captulo.
Lxisten muchas ormas de controlar el lujo de traico en una red. Se pueden controlar manualmente los puertos indiiduales de switch para obtener la utilizacin del ancho de banda con el tiempo. Al analizar los datos de lujo de traico se deben determinar los requerimientos de lujo de traico uturo en base a la capacidad en ciertos momentos del da y a dnde se genera y se ena la mayor cantidad de datos. Sin embargo, para obtener resultados exactos es necesario registrar datos suicientes. Ll registro manual de los datos del traico es un proceso tedioso que requiere mucho tiempo y diligencia. Aortunadamente existen algunas soluciones automatizadas.
Herramientas de anlisis
Se encuentran disponibles muchas herramientas de analisis de lujo de traico que registran automaticamente los datos de lujo de traico en una base de datos y realizan un analisis de tendencias. Ln redes mayores, las soluciones del conjunto del sotware constituyen el nico mtodo eicaz para realizar el analisis de lujo de traico. La igura exhibe un resultado de muestra obtenido del Solarwinds Orion 8.1 Netllow Analysis, que controla el lujo de traico en una red. Al recopilar datos mediante el sotware, se puede obserar exactamente cmo se desempena cada interaz en un punto de tiempo dado en la red. Con el uso de los cuadros incluidos, se pueden identiicar los problemas de lujo de traico isualmente. Lste proceso es mucho mas sencillo que tener que interpretar los nmeros en una columna de datos de lujo de traico.
Para obtener una lista de algunas herramientas comerciales de recopilacin y de analisis de lujo de traico, isite http:,,www.cisco.com,warp,public,32,1ech,nmp,netlow,partners,commercial,index.shtml.
Para obtener una lista de algunas herramientas reeware de recopilacin y de analisis de lujo de traico, isite http:,,www.cisco.com,warp,public,32,1ech,nmp,netlow,partners,reeware,index.shtml.
Anlisis de las comunidades de usuarios
Ll analisis de las comunidades de usuarios es el proceso de identiicacin de arios grupos de usuarios y su inluencia en el rendimiento de la red. La orma en que se agrupan los usuarios aecta los aspectos relacionados con la densidad de puerto y con el lujo de traico, que a su ez inluye en la seleccin de los switches de la red. La densidad de puerto se explica con posterioridad en este captulo.
Ln un ediicio tpico de oicinas, los usuarios inales se agrupan de acuerdo con la uncin que cumplen en su trabajo porque necesitan un acceso similar a los recursos y aplicaciones. Ls posible que el Departamento de Recursos lumanos ,lR, se encuentre en un piso de un ediicio de oicinas mientras que el Departamento de linanzas esta en otro. Cada departamento tiene un nmero dierente de usuarios y de necesidades de aplicacin y requiere de acceso a los dierentes recursos de datos disponibles a tras de la red. Por ejemplo, cuando se seleccionan switches para los armarios de cableado de los departamentos de Recursos lumanos y de linanzas, se debera elegir un switch que tuiese los puertos suicientes para satisacer las necesidades del departamento y que uese lo suicientemente poderoso para adaptarse a los requerimientos
de traico para todos los dispositios en ese piso. Ademas, un buen plan de diseno de redes considera el crecimiento de cada departamento para asegurar que existen puertos de switch lo suicientemente abiertos que se pueden utilizar antes de la prxima actualizacin planiicada de la red.
Como se muestra en la igura, el Departamento de Recursos lumanos requiere 20 estaciones de trabajo para sus 20 usuarios. Lso se traduce en 20 puertos de switch necesarios para conectar las estaciones de trabajo a la red. Si se seleccionase un switch apropiado de la capa de acceso para adaptarse al Departamento de Recursos lumanos, probablemente se elegira un switch de 24 puertos, que cuenta con los puertos suicientes para incluir las 20 estaciones de trabajo y los enlaces a los switches de la capa de distribucin.
Crecimiento Futuro Pero este plan no inorma acerca del crecimiento uturo. Considere qu sucedera si se agregan cinco empleados al Departamento de Recursos lumanos. Un plan de redes slido incluye la tasa de crecimiento de personal en los pasados cinco anos para poder anticipar el crecimiento uturo. Con ese concepto en mente, se debe adquirir un switch que pueda incluir mas de 24 puertos, como es el caso de los switches apilables o modulares que pueden escalar.
Ademas de obserar el nmero de dispositios en un cierto switch en una red, se debe inestigar el traico de red generado por las aplicaciones de los usuarios inales. Algunas comunidades de usuarios utilizan aplicaciones que generan mucho traico de red mientras que otras comunidades de usuarios no lo hacen. Mediante la medicin del traico de red generado para todas las aplicaciones en uso por las dierentes comunidades de usuarios y la determinacin de la ubicacin del origen de los datos, se puede identiicar el eecto de sumar mas usuarios a esa comunidad.
Una comunidad de usuarios que pertenece a un grupo de trabajo en una empresa pequena queda admitida por un par de switches y en general se conecta al mismo switch que el seridor. Ln empresas o companas medianas, las comunidades de usuarios son admitidas por muchos switches. Los recursos que las comunidades de usuarios de empresas o companas medianas necesitan podran ubicarse en areas geograicamente separadas. Ln consecuencia, la ubicacin de las comunidades de usuarios inluye en el lugar donde se localizan los almacenamientos de datos y los seridores centrales.
Haga clic en el botn Departamento de Finanzas en la figura.
Si los usuarios de linanzas estan utilizando una aplicacin intensia de red y que intercambia datos con un seridor especico en la red, es posible que resulte til ubicar a la comunidad de usuarios de linanzas cerca de ese seridor. Al ubicar a los usuarios cerca de sus seridores y de sus medios de almacenamiento de datos, se puede reducir el diametro de la red para sus comunicaciones y, por consiguiente, reducir el impacto de su traico a tras del resto de la red.
Una complicacin del analisis del uso de la aplicacin segn las comunidades de usuarios es que el uso no siempre esta unido por departamentos o ubicacin sica. Ls posible que se deba analizar el impacto de la aplicacin a tras de muchos switches de la red para determinar su impacto general.
Anlisis de los medios de almacenamiento de datos y de los servidores de datos
Al analizar el traico en una red, se debe considerar dnde se ubican los medios de almacenamiento y los seridores de datos de manera que se pueda determinar el impacto del traico en la red. Los medios de almacenamiento de datos pueden ser seridores, redes de almacenamiento de datos ,SAN,, almacenamiento adjunto a redes ,NAS,, unidades de copia de respaldo en cinta o cualquier otro dispositio o componente en los que se almacenan grandes cantidades de datos.
Al considerar el traico para los medios de almacenamiento y los seridores de datos, se debe considerar tanto el traico segn el modelo cliente-seridor como el traico entre seridor y seridor.
Segn se obsera en la igura, el traico entre el cliente y el seridor es el traico generado cuando el dispositio de un cliente accede a los datos de los medios de almacenamiento o de los seridores de datos. Ll traico entre el cliente y el seridor habitualmente atraiesa mltiples switches para alcanzar su destino. Ll agregado de ancho de banda y las tasas de reeno del switch son actores importantes que se deben considerar cuando se intenta eliminar cuellos de botella para este tipo de traico.
Haga clic en el botn Comunicacin entre servidor y servidor en la figura.
Ll traico entre seridor y seridor es el traico generado entre los dispositios de almacenamiento de datos en la red. Algunas aplicaciones del seridor generan olmenes muy altos de traico entre los almacenamientos de datos y otros seridores. Para optimizar el traico entre seridor y seridor, los seridores que necesitan acceso recuente a ciertos recursos se deben ubicar a muy corta distancia uno del otro, para que el traico que generan no aecte el rendimiento del resto de la red. Los medios de almacenamiento y los seridores de datos habitualmente se ubican en los centros de datos dentro de una empresa. Un centro de datos es un area segura del ediicio donde se ubican los seridores, los medios de almacenamiento de datos y otros equipos de la red. Un dispositio puede ubicarse sicamente en el centro de datos pero puede representarse en una ubicacin totalmente dierente en la topologa lgica. Ll traico a tras de los switches del centro de datos con recuencia es muy alto debido al traico entre seridor y seridor y entre el seridor y el cliente que atraiesa los switches. Como resultado, los switches seleccionados para los centros de datos deben ser switches de mas alto rendimiento que los switches que se hallan en los armarios de cableado en la capa de acceso.
Al examinar las rutas de los datos para arias aplicaciones utilizadas por dierentes comunidades de usuarios, se pueden identiicar los cuellos de botella potenciales cuando el rendimiento de la aplicacin puede erse aectado por el ancho de banda inadecuado. Para mejorar el rendimiento, se podran agregar enlaces para adaptarse al ancho de banda o reemplazar los switches mas lentos por switches mas rapidos que puedan manejar la carga del traico.
Diagramas de topologa
Un diagrama de topologa es una representacin graica de la inraestructura de una red. Un diagrama de topologa muestra cmo se interconectan todos los switches e incluye detalles de qu puerto del switch interconecta los dispositios. Un diagrama de topologa muestra de orma graica toda ruta redundante o todos los puertos agregados entre los switches que aportan resiliencia y rendimiento. Demuestra dnde y cuantos switches estan en uso en su red, as como tambin identiica su coniguracin. Los diagramas de topologa tambin pueden contener inormacin acerca de las densidades de los dispositios y de las comunidades de usuarios. Al tener un diagrama de topologa, se pueden identiicar isualmente los potenciales cuellos de botella en un traico de red de manera que se pueda centrar la recopilacin de datos del analisis de traico en areas en las que las mejoras pueden ejercer el impacto mas signiicatio en el rendimiento.
Ls posible que resulte dicil componer una topologa de red a posteriori si no se ha participado en el proceso de diseno. Los cables de la red en los armarios de cableado desaparecen en los pisos y techos y este hecho diiculta el trazado de sus destinos. \ debido a que los dispositios estan dispersos en todo el ediicio, resulta dicil saber cmo se conectan todas las piezas. Con paciencia, se puede determinar exactamente cmo se interconecta todo y luego documentar la inraestructura de la red en un diagrama de topologa.
La igura muestra un diagrama simple de topologa de red. Ntese cuantos switches se encuentran presentes en la red, as como tambin la orma en que cada switch se interconecta. Ll diagrama de topologa identiica cada puerto del switch utilizado para las comunicaciones inter switches y rutas redundantes entre switches de capa de acceso y switches de capa de distribucin. Ll diagrama de topologa tambin muestra dnde se ubican las dierentes comunidades de usuarios en la red y la ubicacin de los seridores y de los medios de almacenamiento de datos.
1.2.2 CARACTERSTICAS DE LOS SWITCHES.- Factores de forma de los switches ,Cuales son las caractersticas clae de los switches que se utilizan en las redes jerarquicas Al buscar las especiicaciones para un switch, ,Qu signiican todos los acrnimos y las rases ,Qu signiica "PoL" y qu es "tasa de reeno" Ln este tema aprendera sobre estas caractersticas.
Al seleccionar un switch se necesita decidir entre una coniguracin ija o una coniguracin modular y entre apilable y no apilable. Otra consideracin es el grosor del switch expresado en cantidad de bastidores. Por ejemplo, los Switches de coniguracin ija que se muestran en la igura son todos de 1 bastidor ,1U,. Con recuencia estasopciones se denominan actores de orma del switch.
Switches de configuracin fija Los switches de coniguracin ija son slo lo que podra esperarse: ijos en su coniguracin. Lsto signiica que no se pueden agregar caractersticas u opciones al switch mas alla de las que originalmente ienen con el switch. Ll modelo en particular que se compra determina las caractersticas y opciones disponibles. Por ejemplo, si se adquiere un switch ijo gigabit de 24 puertos, no se pueden agregar puertos cuando se les necesite. labitualmente, existen dierentes opciones de coniguracin que aran en cuanto al nmero y al tipo de puertos incluidos.
Switches modulares Los switches modulares orecen mas lexibilidad en su coniguracin. labitualmente, los switches modulares ienen con chasis de dierentes tamanos que permiten la instalacin de dierentes nmeros de tarjetas de lnea modulares. Las tarjetas de lnea son las que contienen los puertos. La tarjeta de lnea se ajusta al chasis del switch de igual manera que las tarjetas de expansin se ajustan en la PC. Cuanto mas grande es el chasis, mas mdulos puede admitir. Como se obsera en la igura, es posible elegir entre muchos tamanos de chasis dierentes. Si se compr un switch modular con una tarjeta de lnea de 24 puertos, con acilidad se podra agregar una tarjeta de lnea de 24 puertos para hacer que el nmero de puertos ascienda a 48.
Switches apilables Los switches apilables pueden interconectarse con el uso de un cable especial del backplane que otorga rendimiento de ancho de banda entre los switches. Cisco introdujo la tecnologa Stack\ise en una de sus lneas de productos con switches. Stack\ise permite interconectar hasta nuee switches con el uso de conexiones backplane totalmente redundantes. Como se obsera en la igura, los switches estan apilados uno sobre el otro y los cables conectan los switches en orma de cadena margarita. Los switches apilados operan con eectiidad como un nico switch mas grande. Los switches apilables son conenientes cuando la tolerancia a allas y la disponibilidad de ancho de banda son crticas y resulta costoso implementar un switch modular. Ll uso de conexiones cruzadas hace que la red pueda recuperarse rapidamente si alla un nico switch. Los switches apilables utilizan un puerto especial para las interconexiones y no utilizan puertos de lnea para las conexiones inter switches. Asimismo, las elocidades son habitualmente mas rapidas que cuando se utilizan puertos de lnea para la conexin de switches.
Rendimiento
Cuando se selecciona un switch para las capas de acceso, de distribucin y ncleo, se debe considerar la capacidad del switch para admitir los requerimientos de densidad de puerto, tasas de reeno y agregado de ancho de banda de la red.
Densidad de puerto
La densidad de puerto es el nmero de puertos disponibles en un switch nico. Los switches de coniguracin ija habitualmente admiten hasta 48 puertos en un nico dispositio, con opciones de cuatro puertos adicionales para dispositios de actor de orma pequenos enchuables ,SlP,, segn muestra la igura. Las altas densidades de puerto permiten un mejor uso del espacio y de la energa cuando la uente de ambos es limitada. Si tiene dos switches y cada uno contiene 24 puertos, se podran admitir hasta 46 dispositios porque se pierde al menos un puerto por switch para conectar cada switch al resto de la red. Ademas, se requieren dos tomas de alimentacin elctrica. Por otro lado, si tiene un nico switch con 48 puertos, se pueden admitir 4 dispositios con un slo puerto utilizado para conectar el switch con el resto de la red y slo una toma de alimentacin elctrica es necesaria para incluir el nico switch.
Los switches modulares pueden admitir densidades de puerto muy altas mediante el agregado de tarjetas de lnea de puerto de switch mltiples, como muestra la igura. Por ejemplo, el switch Catalyst 6500 puede admitir un exceso de 1000 puertos de switch en un nico dispositio.
Las grandes redes empresariales que admiten muchos miles de dispositios de red requieren switches modulares de alta densidad para lograr el mejor uso del espacio y de la energa. Sin el uso de un switch modular de alta densidad, la red necesitara muchos switches de coniguracin ija para incluir el nmero de dispositios que necesitan acceso a la red. Lste enoque puede consumir muchas tomas de alimentacin elctrica y mucho espacio en el armario.
Ll usuario tambin debe abordar el tema de los cuellos de botella del enlace. Una serie de switches de coniguracin ija pueden consumir muchos puertos adicionales para el agregado de ancho de banda entre los switches con el in de lograr el rendimiento preisto. Con un nico switch modular, el agregado del ancho de banda no constituye un problema porque el backplane del chasis puede proporcionar el ancho de banda necesario para incluir los dispositios conectados a las tarjetas de lnea de puerto del switch.
Velocidades de envo
Haga clic en el botn Velocidades de envo en la figura para observar un ejemplo de tasas de reenvo en los switches con diferentes densidades de puerto.
Las tasas de reeno deinen las capacidades de procesamiento de un switch mediante la estimacin de la cantidad de datos que puede procesar por segundo el switch. Las lneas de productos con switch se clasiican segn las tasas de reeno. Los switches de la capa de entrada presentan tasas de reeno ineriores que los switches de la capa empresarial. Ls importante considerar las tasas de reeno cuando se selecciona un switch. Si la tasa de reeno del switch es demasiado baja, no puede incluir una comunicacin a elocidad de cable completa a tras de todos sus puertos de switch. La elocidad de cable es la tasa de datos que cada puerto en el switch puede lograr, 100 Mb,s last Lthernet o 1000 Mb,s Gigabit Lthernet. Por ejemplo, un switch gigabit con 48 puertos que opera a una elocidad de cable completa genera 48 Gb,s de traico. Si el switch slo admite una tasa de reeno de 32 Gb,s, no puede ejecutar la elocidad de cable completa a tras de todos los puertos de orma simultanea. Aortunadamente, es habitual que los switches de la capa de acceso no necesiten operar a elocidad de cable completa porque se encuentran sicamente limitados por sus enlaces en la capa de distribucin. Lsto permite utilizar switches menos costosos, de rendimiento inerior en la capa de acceso y switches mas caros pero con un rendimiento superior en la capa de distribucin y en la capa ncleo, en las que la tasa de reeno es mas importante.
Agregado de enlaces
Haga clic en el botn Agregado de enlace en la figura.
Como parte del agregado de ancho de banda, se debe determinar si existen puertos suicientes en un switch para agregar y as admitir el ancho de banda requerido. Por ejemplo, considere un puerto Gigabit Lthernet, que transporta hasta 1 Gb,s de traico. Si tiene un switch con 24 puertos, con todos los puertos capaces de ejecutar a elocidades de gigabit, podra generar hasta 24 Gb,s de traico de red. Si el switch esta conectado con el resto de la red a tras de un nico cable de red, puede slo eniar 1 Gb,s de datos al resto de la red. Debido a la contencin para el ancho de banda, los datos se eniaran con mas lentitud. Ll resultado es una elocidad de cable de 1,24 disponible para cada uno de los 24 dispositios conectados al switch. La elocidad de cable describe la tasa maxima y terica de transmisin de datos de una conexin. Por ejemplo, la elocidad de cable de una conexin Lthernet depende de las propiedades sicas y elctricas del cable, combinadas con la capa mas baja de los protocolos de conexin.
Ll agregado de enlace ayuda a reducir estos cuellos de botella del traico al permitir la unin de hasta ocho puertos de switch para las comunicaciones de datos y al suministrar hasta 8 Gb,s de rendimiento de datos cuando se utilizan los puertos Gigabit Lthernet. Con el agregado de enlaces mltiples de 10 Gigabit Lthernet ,10GbL, en algunos switches de la capa empresarial, es posible lograr tasas de rendimiento muy altas. Cisco utiliza el trmino LtherChannel cuando describe los puertos de switch agregados.
Como se obsera en la igura, se utilizan cuatro puertos separados en los switches C1 y D1 para crear un LtherChannel de 4 puertos. La tecnologa LtherChannel permite que un grupo de enlaces sicos de Lthernet cree un enlace lgico de Lthernet con el in de proporcionar tolerancia a allas y enlaces de alta elocidad entre switches, routers y seridores. Ln este ejemplo hay un rendimiento equialente a cuatro eces el de la conexin de nico puerto entre los switches C1 y D2.
Funcionalidad de la PoE y de la Capa 3
Otras dos caractersticas que se necesita considerar cuando se selecciona un switch son la uncionalidad de Power oer Lthernet ,PoL, y de la Capa 3.
Power over Ethernet
Power oer Lthernet ,PoL, permite que el switch suministre energa a un dispositio por el cableado de Lthernet existente. Como se puede obserar en la igura, esta caracterstica puede utilizarse por medio de los telonos IP y algunos puntos de acceso inalambricos. PoL permite mayor lexibilidad al instalar los puntos de acceso inalambricos y los telonos IP porque
se los puede instalar en cualquier lugar donde se puede tender un cable de Lthernet. No es necesario considerar cmo suministrar energa elctrica normal al dispositio. Slo se debe elegir un switch que admita PoL si realmente se a a aproechar esa uncin, porque suma un costo considerable al switch.
Haga clic en el cono del switch para ver los puertos de PoE. Haga clic en el cono del telfono para ver los puertos del telfono. Haga clic en el punto de acceso inalmbrico para observar sus puertos.
Funciones de la Capa 3
Haga clic en el botn funciones de la Capa 3 en la figura para obserar algunas unciones de la Capa 3 que pueden aportar los switches en una red jerarquica.
Normalmente, los switches operan en la Capa 2 del modelo de reerencia OSI, donde pueden ocuparse principalmente de las direcciones MAC de los dispositios conectados con los puertos del switch. Los switches de la Capa 3 orecen una uncionalidad aanzada que se analiza en mas detalle en los captulos posteriores de este curso. Los switches de la Capa 3 tambin reciben el nombre de switches multicapas.
1.2.3 CARCTERSTICAS DEL SWITCH EN UNA RED JERRQUICA.- Caractersticas del switch de la capa de acceso
Ahora que conoce qu actores debe considerar al elegir un switch, examinemos qu caractersticas se necesitan en cada capa en una red jerarquica. Luego, podra relacionar la especiicacin del switch con su capacidad para uncionar como switch de las capas de acceso, de distribucin o ncleo.
Los switches de la capa de acceso acilitan la conexin de los dispositios de nodo inal a la red. Por esta razn, necesitan admitir caractersticas como seguridad de puerto, VLAN, last Lthernet,Gigabit Lthernet, PoL y agregado de enlaces.
La seguridad de puerto permite que el switch decida cuantos y qu dispositios especicos se permiten conectar al switch. 1odos los switches Cisco admiten seguridad de capa de puerto. La seguridad de puerto se aplica en el acceso. Ln consecuencia, es una importante primera lnea de deensa para una red. Aprendera acerca de seguridad de puerto en el captulo 2.
Las VLAN son un componente importante de una red conergente. Ll traico de oz habitualmente recibe una VLAN separada. De esta manera, el traico de oz puede admitirse con mas ancho de banda, conexiones mas redundantes y seguridad mejorada. Los switches de la capa de acceso permiten establecer las VLAN para los dispositios de nodo inal en su red.
La elocidad de puerto es tambin una caracterstica que se necesita considerar para los switches de la capa de acceso. Segn los requerimientos de rendimiento para su red, debe elegir entre los puertos de switch last Lthernet last y Gigabit Lthernet. last Lthernet permite hasta 100 Mb,s de traico por puerto de switch. last Lthernet es adecuada para teleona IP y traico de datos en la mayora de las redes comerciales. Sin embargo, el rendimiento es mas lento que el de los puertos Gigabit Lthernet. Gigabit Lthernet permite hasta 1000 Mb,s de traico por puerto de switch. La mayora de los dispositios modernos, como las estaciones de trabajo, computadoras portatiles y telonos IP, admite Gigabit Lthernet. Lsto permite transerencias de datos mas eicaces y permite a los usuarios ser mas productios. Gigabit Lthernet presenta una desentaja: los switches que admiten Gigabit Lthernet son mas costosos.
Otro requerimiento de la caracterstica de algunos switches de capa de acceso es PoL. PoL aumenta drasticamente el precio general del switch en todas las lneas de productos de switches Cisco Catalyst, por lo que slo debe considerarse cuando se necesita conergencia de oz o se estan implementando puntos de acceso inalambricos y es dicil o costoso ponerlos en uncionamiento en la ubicacin deseada.
Ll agregado de enlaces es otra caracterstica comn a la mayora de los switches de capa de acceso. Ll agregado de enlaces permite que el switch utilice enlaces mltiples simultaneamente. Los switches de capa de acceso se beneician con el agregado de enlaces cuando se agrega ancho de banda hasta los switches de capa de distribucin.
Debido a que la conexin de enlace entre el switch de capa de acceso y el switch de capa de distribucin es en general el cuello de botella en la comunicacin, la tasa interna de reeno de los switches de capa de acceso no necesita ser tan alta como el enlace entre los switches de capa de distribucin y los de capa de acceso. Las caractersticas como la tasa interna de eno no orecen problemas para los switches de capa de acceso porque slo manejan el traico desde los dispositios inales y lo reenan a los switches de capa de distribucin.
Ln una red conergente que admite traico de red de datos, oz y ideo, los switches de capa de acceso necesitan admitir QoS para mantener la prioridad del traico. Los telonos IP Cisco son tipos de equipos que se hallan en la capa de acceso. Cuando se conecta un telono IP Cisco a un puerto del switch de capa de acceso conigurado para admitir traico de oz, ese puerto del switch indica al telono IP cmo eniar su traico de oz. Ls necesario permitir QoS en los switches de capa de acceso para que el traico de oz del telono IP tenga prioridad, por ejemplo, sobre el traico dedatos.
Caractersticas del switch de la capa de distribucin
Los switches de la capa de distribucin desempenan una uncin muy importante en la red. Recopilan los datos de todos los switches de capa de acceso y los enan a los switches de capa ncleo. Aprendera mas adelante en este curso que el traico generado en la Capa 2 en una red conmutada necesita ser administrado o segmentado en las VLAN para no consumir ancho de banda de orma innecesaria a tras de la red. Los switches de capa de distribucin proporcionan unciones de enrutamiento entre las VLAN, para que una VLAN pueda comunicarse con otra en la red. labitualmente, este enrutamiento se produce en la capa de distribucin porque los switches de capa de distribucin presentan capacidades de procesamiento mas altas que los switches de capa de acceso. Los switches de capa de distribucin reducen la necesidad de que los switches ncleo realicen la tarea, debido a que el ncleo esta ocupado con el manejo del reeno de olmenes muy altos de traico. Debido a que el enrutamiento entre las VLAN se realiza en la capa de distribucin, los switches en esta capa necesitan admitir las unciones de la Capa 3.
Polticas de seguridad
Otro motio por el que se necesita la uncionalidad de la Capa 3 para los switches de capa de distribucin obedece a las polticas de seguridad aanzada que pueden aplicarse al traico de red. Se utilizan listas de acceso para controlar cmo luye el traico a tras de la red. Una Lista de control de acceso ,ACL, permite que el switch impida ciertos tipos de traico y autorice otros. Las ACL tambin permiten controlar qu dispositios de red pueden comunicarse en la red. Ll uso de las ACL es un procesamiento intensio porque el switch necesita inspeccionar cada paquete y obserar si coincide con una de las reglas de la ACL deinida en el switch. Se realiza la inspeccin en la capa de distribucin porque los switches en esta capa habitualmente tienen capacidad de procesamiento como para manejar la carga adicional y tambin dicha capa simpliica el uso de las ACL. Ln ez de utilizar las ACL para cada switch de capa de acceso en la red, las mismas se deinen en los switches de capa de distribucin, que son menos y hacen que la administracin de las ACL sea mas acil.
Calidad de servicio
Los switches de capa de distribucin tambin necesitan admitir QoS para mantener la prioridad del traico que proiene de los switches de capa de acceso que implementaron QoS. Las polticas de prioridad aseguran que se garantice el ancho de banda adecuado para las comunicaciones de audio y ideo a in de mantener una calidad aceptable del sericio. Para mantener la prioridad de los datos de oz a tras de la red, todos los switches que enan datos de oz deben admitir QoS, si la totalidad de los dispositios de la red no admite QoS, sus beneicios se reducen. Lsto produce rendimiento y calidad deicientes en las comunicaciones de ideo.
Los switches de capa de distribucin tienen alta demanda en la red debido a las unciones que desempenan. Ls importante que los switches de distribucin admitan redundancia para una disponibilidad adecuada. La prdida de un switch de capa de distribucin podra aectar en gran medida al resto de la red porque todo el traico de capa de acceso pasa a tras de los switches de capa de distribucin. Normalmente, los switches de capa de distribucin se implementan en pares para asegurar la disponibilidad. Ademas, se recomienda que los switches de capa de distribucin admitan uentes de energa mltiples, intercambiables en caliente. La disposicin de mas de una uente de energa permite que el switch contine operando incluso si una de las uentes de energa all durante el uncionamiento. Si posee uentes de energa intercambiables en caliente, puede cambiar una uente de energa que alla mientras el switch se esta ejecutando. Lsto permite reparar el componente con allas sin aectar la uncionalidad de la red.
linalmente, los switches de capa de distribucin necesitan admitir el agregado de enlaces. labitualmente, los switches de capa de acceso utilizan enlaces mltiples para conectarse a un switch de capa de distribucin para asegurar el adecuado ancho de banda y as adaptar el traico generado en la capa de acceso y aportar tolerancia ante allas en caso de que se pierda un enlace. Debido a que los switches de capa de distribucin aceptan el traico entrante de mltiples switches de capa de acceso, necesitan eniar todo ese traico tan rapido como sea posible a los switches de capa ncleo. Como resultado, los switches de capa de distribucin tambin necesitan enlaces agregados de un alto ancho de banda de regreso a los switches de capa ncleo. Los switches mas nueos de capa de distribucin admiten enlaces agregados de 10 Gigabit Lthernet ,10GbL, en los switches de capa ncleo.
Caractersticas del switch de capa ncleo
La capa ncleo de una topologa jerarquica es una backbone de alta elocidad de la red y requiere switches que pueden manejar tasas muy altas de reeno. La tasa de reeno requerida depende en gran medida del nmero de dispositios que participan en la red. Determine su tasa de reeno necesaria mediante la realizacin y el examen de arios inormes de lujo de traico y analisis de las comunidades de usuarios. Ln base a sus resultados, puede identiicar un switch apropiado para admitir la red. 1ome la precaucin de ealuar sus necesidades para el presente y el uturo cercano. Si opta por un switch inadecuado para ejecutar el ncleo de la red, enrentara los problemas potenciale con cuellos de botella enel ncleo y contribuira a que todas las comunicaciones en la red se uelan mas lentas.
Agregado de enlaces
La capa ncleo tambin necesita admitir el agregado de enlaces para asegurar el ancho de banda adecuado que ingresa al ncleo proeniente de los switches de capa de distribucin. Los switches de capa de distribucin deben tener soporte para conexiones agregadas de 10GbL, que en la actualidad es la opcin de conectiidad Lthernet disponible de mayor elocidad. Lsto permite que los correspondientes switches de capa de distribucin distribuyan el traico con la mayor eiciencia posible al ncleo.
Redundancia
La disponibilidad de la capa ncleo es tambin esencial para crear tanta redundancia como se pueda. Normalmente, la redundancia de la Capa 3 presenta una conergencia mas eloz que la redundancia de la Capa 2 en caso de alla del hardware. La conergencia en este contexto hace reerencia al tiempo que le consume a la red la adaptacin a un cambio y no debe conundirse con una red conergente que admite comunicaciones de datos, audio y ideo. Con ese concepto en mente, necesita asegurarse de que sus switches de capa ncleo admiten las unciones de la Capa 3. Un analisis completo sobre las implicaciones de la redundancia de la Capa 3 excede el alcance de este curso. La necesidad de redundancia de la Capa 2 en este contexto contina siendo una cuestin pendiente. La redundancia de la Capa 2 se examina en el captulo 5, donde se trata el protocolo spanning tree ,S1P,. Ademas, busque los switches de capa ncleo que admiten las caractersticas de redundancia del hardware adicional como uentes de energa redundante que pueden intercambiarse mientras el switch contina uncionando. Debido a la alta carga de trabajo que transportan los switches de capa ncleo, tienden a uncionar con mas temperatura que los switches de capa de acceso o de distribucin, y entonces deben contar con opciones de rerigeracin mas soisticadas. Muchos switches erdaderos con capacidad de capa ncleo presentan la habilidad de intercambiar entiladores de rerigeracin sin necesidad de apagar el switch.
Por ejemplo, sera perjudicial apagar un switch de capa ncleo para cambiar una uente de energa o un entilador en la mitad del da cuando el uso de la red esta en su maximo punto. Para realizar un reemplazo de hardware se podra considerar una interrupcin de la red de al menos 5 minutos si se es muy eloz para realizar el mantenimiento. Ln una situacin mas realista, el switch podra estar desconectado durante 30 minutos o mas y es probable que esta situacin no sea aceptable. Con hardware intercambiable en caliente no se realizan interrupciones durante el mantenimiento de los switches.
QoS es una parte importante de los sericios prestados por los switches de capa ncleo. Por ejemplo, los prestadores de sericios ,que suministran IP, almacenamiento de datos, correo electrnico y otros sericios, y las Redes de area extensa
,\AN, de las empresas, estan adicionando mayor traico de oz y ideo a una cantidad de traico de datos en crecimiento. Ln el ncleo y el extremo de la red, el traico undamental y sensible a los tiempos como la oz debe recibir garantas superiores de QoS que el traico de menor sensibilidad a los tiempos como las transerencias de archios o el correo electrnico. Debido a que el acceso a la \AN de alta elocidad es con recuencia extremadamente costoso, la suma de ancho de banda en la capa ncleo no es una opcin. \a que QoS proporciona una solucin basada en sotware para priorizar el traico, los switches de capa ncleo pueden suministrar una manera rentable de admitir uso ptimo y dierenciado del ancho de banda existente.
1.2.4 SWITCHES PARA PEQUEAS Y MEDIANAS EMPRESAS (SMB) Caractersticas de los switches Cisco Catalyst
Ahora que conoce qu caractersticas de los switches se utilizan en qu capa en una red jerarquica, aprendera acerca de los switches Cisco que son aplicables para cada capa en un modelo de red jerarquica. Actualmente, no se puede seleccionar un switch Cisco teniendo en cuenta slo el tamano de una empresa. Una empresa pequena con 12 empleados podra estar integrada en la red de una empresa multinacional y requerir todos los sericios de LAN aanzados disponibles en la oicina central corporatia. La siguiente clasiicacin de los switches Cisco dentro de un modelo de redes jerarquicas representa un punto de partida para sus decisiones con respecto a qu switch es mejor para una aplicacin dada. La clasiicacin presentada releja cmo podra er el rango de los switches Cisco si uese una empresa multinacional. Por ejemplo, las densidades de los puertos del switch Cisco 6500 slo tienen sentido como un switch de capa de acceso en el que existen muchos cientos de usuarios en un area, como el piso de una bolsa de alores. Si considera las necesidades de una empresa mediana, un switch que se muestra como un switch de capa de acceso, por ejemplo, el switch Cisco 3560, podra utilizarse como un switch de capa de distribucin si cumpliese los criterios determinados por el disenador de red para esa aplicacin.
Cisco tiene siete lneas de productos de switches. Cada lnea de producto orece dierentes caractersticas y unciones, que permiten hallar el switch correcto que cumpla con los requerimientos uncionales de su red. Las lneas de productos de switches de Cisco son:
Catalyst Lxpress 500 es el switch de capa de entrada de Cisco. Orece lo siguiente:
1asas de reeno desde 8,8 Gb,s a 24 Gb,s Seguridad de puerto de la Capa 2
Administracin basada en \eb Soporte de comunicaciones de datos conergentes,IP
Lsta serie de switches es apropiada para las implementaciones de la capa de acceso en las que no se requiere una densi dad alta de puerto. Los switches de la serie Cisco Catalyst Lxpress 500 son escalados para ambitos de pequenas empresas con un nmero de empleados que oscila entre 20 y 250. Los switches de la serie Catalyst Lxpress 500 se encuentran disponibles en dierentes coniguraciones ijas.
Conectiidad last Lthernet y Gigabit Lthernet lasta 24 puertos de 10,100 con PoL opcional 12 puertos de 10,100,1000
Los switches de la serie Catalyst Lxpress 500 no permiten administracin mediante IOS CLI de Cisco. Se administran con el uso de la interaz de administracin de \eb incorporada, Cisco Network Assistant o el nueo Cisco Coniguration Manager desarrollados especicamente para los switches de la serie Catalyst Lxpress 500. Catalyst Lxpress no admite acceso a la consola.
Para obtener mas inormacin acerca de la serie Cisco Lxpress 500 de switches, isite http:,,www.cisco.com,en,US,products,ps6545,index.html.
Catalyst 2960
Los switches de la serie Catalyst 2960 habilitan a las redes de capa de entrada de empresas medianas y de sucursales para prestar sericios de LAN mejorados. Los switches de la serie Catalyst 2960 son apropiados para las implementaciones de la capa de acceso en las que el acceso a la uente de energa y al espacio es limitado. Los laboratorios de Conmutacin de LAN e Inalambrico de CCNA Lxploration 3 se basan en las caractersticas del switch Cisco 2960.
Los switches de la serie Catalyst 2960 orecen lo siguiente:
1asas de reeno de 16 Gb,s a 32 Gb,s Switching de capas mltiples Caractersticas de QoS para admitir comunicaciones IP Listas de control del acceso ,ACL, Conectiidad last Lthernet y Gigabit Lthernet lasta 48 puertos de 10,100 o puertos de 10,100,1000 con enlaces gigabit adicionales de doble propsito
La serie Catalyst 2960 de switches no admite PoL.
La serie Catalyst 2960 admite Cisco IOS CLI, interaz de administracin de \eb integrada y Cisco Network Assistant. La serie de switches admite acceso de consola y auxiliar al switch.
Para obtener mas inormacin acerca de la serie Catalyst 2960 de switches, isite http:,,www.cisco.com,en,US,products,ps6406,index.html.
Catalyst 3560
La serie Cisco Catalyst 3560 es una lnea de switches de clase empresarial que incluyen soporte para PoL, QoS y caractersticas de seguridad aanzada como ACL. Lstos switches son los switches de capa de acceso ideales para acceso a la LAN de pequenas empresas o ambitos de redes conergentes de sucursales.
La serie Cisco Catalyst 3560 admite tasas de reeno de 32 Gb,s a 128 Gb,s ,serie de switches Catalyst 3560-L,.
Los switches de la serie Catalyst 3560 se encuentran disponibles en dierentes coniguraciones ijas:
Conectiidad last Lthernet y Gigabit Lthernet lasta 48 puertos de 10,100,1000, mas cuatro puertos pequenos de actor de orma enchuables ,SlP, Conectiidad opcional de 10 Gigabit Lthernet en los modelos Catalyst 3560-L PoL integrada opcional ,Cisco pre estandar y ILLL 802.3a,, hasta 24 puertos con 15,4 atios o 48 puertos con ,3 atios
Para obtener mas inormacin acerca de la serie de switches Catalyst 3560, isite http:,,www.cisco.com,en,US,products,hw,switches,ps5528,index.html.
Catalyst 3750
La serie de switches Cisco Catalyst 350 es ideal para los switches de capa de acceso en organizaciones medianas y en sucursales empresariales. Lsta serie orece tasas de reeno de 32 Gb,s a 128 Gb,s ,serie de switches Catalyst 350-L,. La serie Catalyst 350 admite la tecnologa Stack\ise de Cisco. La tecnologa Stack\ise permite interconectar hasta nuee switches sicos Catalyst 350 en un switch lgico con el uso de una conexin backplane, redundante, de alto rendimiento ,32 Gb,s,.
Los switches de la serie Catalyst 350 se encuentran disponibles en dierentes coniguraciones ijas apilables:
Conectiidad last Lthernet y Gigabit Lthernet lasta 48 puertos de 10,100,1000, mas cuatro puertos SlP Conectiidad opcional de 10 Gigabit Lthernet en los modelos Catalyst 350-L PoL integrada opcional ,Cisco preestandar y ILLL 802.3a,, hasta 24 puertos con 15,4 atios o 48 puertos con ,3 atios
Para obtener mas inormacin acerca de la serie de switches Catalyst 350, isite http:,,www.cisco.com,en,US,products,hw,switches,ps5023,index.html.
Catalyst 4500
Catalyst 4500 es la primera plataorma de switching modular de rango mediano que orece switchingde multicapas para empresas, pequenas o medianas companas y prestadores de sericios.
Con tasas de reeno de hasta 136 Gb,s, la serie Catalyst 4500 puede administrar el traico a la capa de distribucin. La capacidad modular de la serie Catalyst 4500 permite densidades de puerto muy altas mediante el agregado de tarjetas de lneas del puerto de switches a su chasis modular. La serie Catalyst 4500 orece QoS de multicapas y unciones de enrutamiento soisticadas.
Los switches de la serie Catalyst 4500 se encuentran disponibles en dierentes coniguraciones modulares:
Ll chasis modular de 3, 6, y 10 ranuras orece dierentes capas de escalabilidad Alta densidad de puerto: hasta 384 puertos last Lthernet o Gigabit Lthernet disponibles en cobre o ibra con 10 enlaces Gigabit PoL ,Cisco preestandar y ILLL 802.3a, suministros de energa AC o DC interna, dual, intercambiable en caliente Capacidades de enrutamiento IP aanzadas asistidas por hardware
Para obtener mas inormacin acerca de la serie de switches Catalyst 4500, isite http:,,www.cisco.com,en,US,products,hw,switches,ps4324,index.html.
Catalyst 4900
Los switches de la serie Catalyst 4900 estan disenados y optimizados para el switching del seridor al permitir tasas de reeno muy altas. Cisco Catalyst 4900 no es un switch tpico de la capa de acceso. Ls un switch especial de la capa de acceso disenado para implementaciones del centro de datos en donde es posible que haya muchos seridores cercanos. La serie de switches admite suministros de energa redundante y dual ademas de entiladores que se pueden intercambiar mientras el switch se esta ejecutando. Lsto permite que los switches logren una disponibilidad superior, que es esencial en las implementaciones de centros de datos.
Los switches de la serie Catalyst 4900 admiten caractersticas aanzadas de QoS y se conierten en los candidatos ideales para el hardware de teleona IP de extremo posterior. Los switches de la serie Catalyst 4900 no admiten la caracterstica Stack\ise de la serie Catalyst 350 ni admiten PoL.
Los switches de la serie Catalyst 4900 se encuentran disponibles en dierentes coniguraciones ijas:
lasta 48 puertos de 10,100,1000 con cuatro puertos SlP 48 puertos de 10,100,1000 con dos puertos de 10GbL Suministros de energa AC o DC dual, intercambiable en caliente Bandejas de entiladores intercambiables en caliente
Para obtener mas inormacin acerca de la serie de switches Catalyst 4900, isite http:,,www.cisco.com,en,US,products,ps6021,index.html.
Catalyst 6500
Ll switch modular de la serie Catalyst 6500 se optimiza para redes seguras, conergentes de oz, ideo y datos. Catalyst 6500 puede administrar el traico en las capas de distribucin y ncleo. La serie Catalyst 6500 es el switch de Cisco de mas alto rendimiento, que admite tasas de reeno de hasta 20 Gb,s. Catalyst 6500 es ideal para ambitos de redes muy grandes hallados en empresas, companas medianas y prestadores de sericios.
Los switches de la serie Catalyst 6500 se encuentran disponibles en dierentes coniguraciones modulares:
Chasis modular de 3, 4, 6, 9 y 13 ranuras Mdulos de sericio de LAN,\AN Dispositios PoL hasta 420 ILLL 802.3a de Clase 3 ,15,4\, lasta 1152 puertos de 10,100, 5 puertos de 10,100,1000, 410 puertos SlP Gigabit Lthernet 64 puertos de 10 Gigabit Lthernet Suministros de energa AC o DC internos, duales, intercambiables en caliente Capacidades de enrutamiento IP aanzadas, asistidas por hardware
Para obtener mas inormacin acerca de la serie de switches Catalyst 6500, isite http:,,www.cisco.com,en,US,products,hw,switches,ps08,index.html
La siguiente herramienta puede ayudarlo a identiicar el switch correcto para una implementacin: http:,,www.cisco.com,en,US,products,hw,switches,products_promotion0900aecd8050364.html
La siguiente gua aporta una comparacin detallada de las oertas actuales de switches de Cisco: http:,,www.cisco.com,en,US,prod,switches,ps518,ps08,networking_solutions_products_genericcontent0900aecd80 50955.pd.
CAPITULO II CONFIGURACIN Y CONCEPTOS BSICOS DEL SWITCH
2.0 INTRODUCCIN DEL CAPITULO.- 2.0.1 INTRODUCCIN DEL CAPITULO.- Ln este captulo, el estudiante se basara en los conocimientos adquiridos en CCNA Lxploration 4.0: Aspectos basicos de redes, para repasar y reorzar dichos conocimientos mediante actiidades de practica exhaustia. Adquirira conocimientos sobre ciertas amenazas malintencionadas para los switches y aprendera a actiar un switch con una coniguracin inicial segura.
2.1 INTRODUCCION A LAS LAN 802.3/ETHERNET.- 2.1.1 ELEMENTOS CLAVE DE LAS REDES 802.3/ETHERNET.- Ln este tema, se describiran los componentes clae del estandar Lthernet que desempenan un importante papel en el diseno y en la implementacin de las redes de conmutacin. Se analizara cmo uncionan las comunicaciones Lthernet y el papel que desempenan los switches en el proceso de comunicacin.
CSMA/CD
Las senales de Lthernet se transmiten a todos los hosts que estan conectados a la LAN mediante un conjunto de normas especiales que determinan cual es la estacin que puede tener acceso a la red. Ll conjunto de normas que utiliza Lthernet esta basado en la tecnologa de acceso mltiple por deteccin de portadora y deteccin de colisiones ,CSMA,CD, ILLL. Seguramente recordara de CCNA Lxploration: Aspectos basicos de networking, que CSMA,CD se utiliza solamente con la comunicacin hal-duplex que suele encontrarse en los hubs. Los switches ull-duplex no utilizan CSMA,CD.
Deteccin de portadora
Ln el mtodo de acceso CSMA,CD Mtodo de acceso, todos los dispositios de red que tienen mensajes para eniar deben escuchar antes de transmitir.
Si un dispositio detecta una senal de otro dispositio, espera un perodo determinado antes de intentar transmitirla.
Cuando no se detecta traico alguno, el dispositio transmite su mensaje. Mientras se produce dicha transmisin, el dispositio contina atento al traico o a posibles colisiones en la LAN. Una ez eniado el mensaje, el dispositio uele al modo de escucha predeterminado.
Acceso mltiple
Si la distancia entre los dispositios es tal que la latencia de las senales de un dispositio supone la no deteccin de stas por parte de un segundo dispositio, ste tambin podra comenzar a transmitirlas. De este modo, los medios contaran con dos dispositios transmitiendo senales al mismo tiempo. Los mensajes se propagan en todos los medios hasta que se encuentran. Ln ese momento, las senales se mezclan y los mensajes se destruyen: se ha producido una colisin. Aunque los mensajes se danan, la mezcla de senales contina propagandose en todos los medios.
Deteccin de colisiones
Cuando un dispositio esta en el modo de escucha, puede detectar cuando se produce una colisin en los medios compartidos, ya que todos los dispositios pueden detectar un aumento en la amplitud de la senal que est por encima del niel normal.
Cuando se produce una colisin, los demas dispositios que estan en el modo de escucha, ademas de todos los dispositios de transmisin, detectan el aumento de amplitud de la senal. 1odos los dispositios que estn transmitiendo en ese momento lo seguiran haciendo, para garantizar que todos los dispositios en la red puedan detectar la colisin.
Seal de congestin y postergacin aleatoria
Cuando se detecta una colisin, los dispositios de transmisin enan una senal de congestionamiento. La senal de congestionamiento aisa a los demas dispositios acerca de la colisin para que stos inoquen un algoritmo de postergacin. La uncin de ste es hacer que todos los dispositios detengan su transmisin durante un perodo aleatorio, con lo cual se reducen las senales de colisin.
Una ez que inaliza el retraso asignado a un dispositio, dicho dispositio regresa al modo "escuchar antes de transmitir". Un perodo de postergacin aleatorio garantiza que los dispositios inolucrados en la colisin no intenten eniar traico nueamente al mismo tiempo, lo que proocara que se repita todo el proceso. Sin embargo, durante el perodo de postergacin es posible que un tercer dispositio transmita antes de que cualquiera de los dos inolucrados en la colisin tengan oportunidad de oler a transmitir.
Comunicaciones Ethernet
Consulte el area de Comunicaciones Lthernet seleccionada en la igura.
Las comunicaciones en una red LAN conmutada se producen de tres maneras: unicast, broadcast y multicast:
Unicast: Comunicacin en la que un host ena una trama a un destino especico. Ln la transmisin unicast slo existen un emisor y un receptor. La transmisin unicast es el modo de transmisin predominante en las LAN y en Internet. Algunos ejemplos de transmisiones unicast son: l11P, SM1P, l1P y 1elnet.
Broadcast: Comunicacin en la que se ena una trama desde una direccin hacia todas las demas direcciones. Ln este caso, existe slo un emisor pero se ena la inormacin a todos los receptores conectados. La transmisin broadcast es undamental cuando se ena el mismo mensaje a todos los dispositios de la LAN. Un ejemplo de transmisin broadcast es la consulta de resolucin de direcciones que ena el protocolo de resolucin de direcciones ,ARP, a todas las computadoras en una LAN.
Multicast: Comunicacin en la que se ena una trama a un grupo especico de dispositios o clientes. Los clientes de la transmisin multicast deben ser miembros de un grupo multicast lgico para poder recibir la inormacin. Un ejemplo de transmisin multicast son las transmisiones de oz y ideo relacionadas con las reuniones de negocios en conerencia basadas en la red.
Trama de Ethernet
laga clic en el botn 1rama de Lthernet que se muestra en la igura.
Ll primer curso de la serie, CCNA Lxploration: Aspectos basicos de networking, describe la estructura de la trama de Lthernet en orma detallada. Para realizar un bree resumen, la estructura de la trama de Lthernet agrega encabezados y trailers alrededor de la Capa 3 PDU para encapsular el mensaje que debe eniarse. 1anto el trailer como el encabezado de Lthernet cuentan con arias secciones ,o campos, que el protocolo Lthernet utiliza. Laigura muestra la estructura del estandar de la trama actual de Lthernet, ersin reisada ILLL 802.3 ,Lthernet,.
Desplace el mouse sobre los nombres de los campos para er las descripciones.
Campos Prembulo y Delimitador de inicio de trama
Loa campos Preambulo , bytes, y Delimitador de inicio de trama ,SlD, ,1 byte, se utilizan para la sincronizacin entre los dispositios emisores y receptores. Lstos primeros 8 bytes de la trama se emplean para captar la atencin de los nodos receptores. Basicamente, los primeros bytes siren para que los receptores se preparen para recibir una nuea trama.
Campo Direccin MAC de destino
Ll campo Direccin MAC de destino ,6 bytes, es el identiicador del receptor deseado. La Capa 2 utiliza esta direccin para ayudar a que un dispositio determine si la trama esta dirigida a l. Se compara la direccin de la trama con la direccin MAC del dispositio. Si coinciden, el dispositio acepta la trama.
Campo Direccin MAC origen
Ll campo Direccin MAC de origen ,6 bytes, identiica la NIC o interaz que origina la trama. Los switches utilizan esta direccin para agregar dicha interaz a sus tablas de bsqueda.
Campo Longitud/tipo
Ll campo Longitud,1ipo ,2 bytes, deine la longitud exacta del campo Datos de la trama. Lste campo se utiliza mas adelante como parte de la Secuencia de eriicacin de trama ,lCS, con el objeto de asegurar que se haya recibido el mensaje de manera adecuada. Aqu se puede ingresar solamente el tipo o la longitud de una trama. Si el objetio de un campo es designar un tipo, el campo 1ipo describe cual es el protocolo que se implementa. Cuando un nodo recibe una trama y el campo 1ipo,Longitud designa un tipo, el nodo determina qu protocolo de capa superior esta presente. Si el alor de los dos octetos es igual o mayor que el hexadecimal de 0x0600 o decimal de 1536, el contenido del campo Datos se descira segn el protocolo indicado. Si el alor de dos bytes es menor que 0x0600, entonces el alor representa la longitud de los datos de la trama.
Campos Datos y Relleno
Los campos Datos y Relleno ,de 46 a 1500 bytes, contienen la inormacin encapsulada de una capa superior, que es una PDU de Capa 3 genrica, o, mas comnmente, un paquete de IP4. 1odas las tramas deben tener una longitud mnima de 64 bytes ,longitud mnima que colabora en la deteccin de colisiones,. Si se encapsula un paquete menor, el campo Relleno se utiliza para incrementar el tamano de la trama hasta alcanzar el tamano mnimo.
Campo Secuencia de verificacin de trama
Ll campo lCS ,4 bytes, detecta errores en una trama. Utiliza una comprobacin de redundancia cclica ,CRC,. Ll dispositio emisor incluye los resultados de la CRC en el campo lCS de la trama. Ll dispositio receptor recibe la trama y genera una CRC para buscar errores. Si los calculos coinciden, no se ha producido ningn error. Si los calculos no coinciden, la trama se descarta.
Direccin MAC
laga clic en el botn Direccin MAC que se muestra en la igura.
Ln CCNA Lxploration: Aspectos basicos de networking, aprendi sobre la direccin MAC. Una direccin Lthernet MAC es un alor binario de 48 bits que se compone de dos partes y se expresa como 12 dgitos hexadecimales. Los ormatos de las direcciones pueden ser similares a 00-05-9A-3C-8-00, 00:05:9A:3C:8:00 0005.9A3C.800.
1odos los dispositios conectados a una LAN Lthernet tienen interaces con direcciones MAC. La NIC utiliza la direccin MAC para determinar si deben pasarse los mensajes a las capas superiores para su procesamiento. La direccin MAC esta codiicada de manera permanente dentro de un chip ROM en una NIC. Lste tipo de direccin MAC se denomina direccin grabada ,BIA, Burned In Address,. Algunos abricantes permiten que se modiiquen las direcciones MAC de manera local. La direccin MAC se compone del identiicador exclusio de organizacin ,OUI, y del nmero de asignacin del abricante.
Desplace el mouse sobre los nombres de los campos para er las descripciones.
Identificador Exclusivo de Organizacin
Ll OUI es la primera parte de una direccin MAC. 1iene una longitud de 24 bits e identiica al abricante de la tarjeta NIC. Ll estandar ILLL regula la asignacin de los nmeros de OUI. Dentro del OUI, existen 2 bits que slo tienen signiicado cuando se utilizan en la direccin de destino, como se describe a continuacin:
Bit multicast o broadcast: Indica a la interaz receptora que la trama esta destinada a un grupo o a todas las estaciones inales del segmento de la LAN.
Bit de direcciones administrado de manera local: Si la direccin MAC asignada por el abricante puede modiicarse en orma local, ste es el bit que debe conigurarse.
Nmero de asignacin del fabricante
La parte de la direccin MAC asignada por el abricante es de 24 bits de longitud e identiica exclusiamente el hardware de Lthernet. Puede ser una BIA o bien con el bit modiicado en orma local mediante sotware.
Configuracin de Duplex
Se utilizan dos tipos de parametros duplex para las comunicaciones en una red Lthernet: hal duplex y ull duplex. La igura muestra los dos parametros dplex que estan disponibles en los equipos de red modernos.
Half Duplex: La comunicacin hal-duplex se basa en un lujo de datos unidireccional en el que el eno y la recepcin de datos no se producen al mismo tiempo. Lsto essimilar a la uncin de las radios de dos as o dos walki-talkies en donde una sola persona puede hablar a la ez. Si una persona habla mientras lo hace la otra, se produce una colisin. Por ello, la comunicacin hal-duplex implementa el CSMA,CD con el objeto de reducir las posibilidades de que se produzcan colisiones y detectarlas en caso de que se presenten. Las comunicaciones hal-duplex presentan problemas de uncionamiento debido a la constante espera, ya que el lujo de datos slo se produce en unadireccin a la ez. Las conexiones hal-duplex suelen erse en los dispositios de hardware mas antiguos, como los hubs. Los nodos que estan conectados a los hubs y que comparten su conexin con un puerto de un switch deben uncionar en el modo hal -duplex porque las computadoras inales tienen que tener la capacidad de detectar las colisiones. Los nodos pueden uncionar en el
modo hal-duplex si la tarjeta NIC no puede conigurarse para hacerlo en ull duplex. Ln este caso, el puerto del switch tambin adopta el modo hal-duplex predeterminado. Debido a estas limitaciones, la comunicacin ull-duplex ha reemplazado a la hal duplex en los elementos de hardware mas modernos.
Full duplex: Ln las comunicaciones ull-duplex el lujo de datos es bidireccional, por lo tanto la inormacin puede eniarse y recibirse al mismo tiempo. La capacidad bidireccional mejora el rendimiento, dado que reduce el tiempo de espera entre las transmisiones. Actualmente, la mayora de las tarjetas NIC Lthernet, last Lthernet y Gigabit Lthernet disponibles en el mercado proporciona capacidad ull-duplex. Ln el modo ull-duplex, el circuito de deteccin de colisiones se encuentra desactiado. Las tramas eniadas por los dos nodos inales conectados no pueden colisionar, dado que stos utilizan dos circuitos independientes en el cable de la red. Cada conexin ull-duplex utiliza un solo puerto. Las conexiones ull-duplex requieren un switch que admita esta modalidad o bien una conexin directa entre dos nodos compatibles con el modo ull duplex. Los nodos que se conecten directamente al puerto de un switch dedicado con tarjetas NIC capaces de admitir ull duplex deben conectarse a puertos de switches que estn conigurados para uncionar en el modo ull-duplex.
Ll rendimiento de una coniguracin de red compartida Lthernet estandar basada en hubs es generalmente del 50 al 60 del ancho de banda de 10 Mb,s. Una red last Lthernet ull-duplex, en comparacin con un ancho de banda de 10 Mb,s, orece un rendimiento del 100 en ambas direcciones ,transmisin de 100 Mb,s y recepcin de 100 Mb,s,.
Configuracin del puerto de switch
Ll puerto de un switch debe conigurarse con parametros duplex que coincidan con el tipo de medio. Mas adelante en este captulo se coniguraran los parametros de duplex. Los switches Cisco Catalyst cuentan con tres parametros:
La opcin auto establece el modo autonegociacin de duplex. Cuando este modo se encuentra habilitado, los dos puertos se comunican para decidir el mejor modo de uncionamiento. La opcin ull establece el modo ull-duplex. La opcin hal establece el modo hal-duplex.
Para los puertos 10,100,1000 y last Lthernet, la opcin predeterminada es auto. Para los puertos 100BASL-lX, la opcin predeterminada es ull. Los puertos 10,100,1000 uncionan tanto en el modo hal-duplex como en el ull-duplex cuando se establecen en 10 100 Mb,s, pero slo uncionan en el modo ull-duplex cuando se establecen en 1000 Mb,s.
Nota: Ll modo autonegociacin puede producir resultados impredecibles. De manera predeterminada, cuando la autonegociacin alla, el switch Catalyst establece el correspondiente puerto del switch en el modo hal-duplex. Lste tipo de alla se produce cuando un dispositio conectado no admite el modo autonegociacin. Al conigurar el dispositio en orma manual para que uncione en el modo hal-duplex, coincidira con el modo predeterminado del switch. Sin embargo, pueden producirse errores de autonegociacin si se conigura el dispositio en orma manual para que uncione en el modo ull-
duplex. Al tener hal-duplex en un extremo y ull-duplex en el otro, pueden producirse colisiones tardas en el extremo de hal-duplex. A in de eitar tal situacin, ajuste manualmente los parametros de duplex del switch para que coincidan con el dispositio conectado. Si el puerto del switch esta en el modo ull-duplex y el dispositio conectado, en el modo hal-duplex, eriique si existen errores de lCS en el puerto ull-duplex del switch.
auto-MDIX
Las conexiones entre dispositios especicos, por ejemplo entre switches o entre un switch y un router, solan requerir la utilizacin de ciertos tipos de cables ,de conexin cruzada o conexin directa,. Ahora, en cambio, se puede utilizar el comando de coniguracin de interaz mdix auto de la CLI para habilitar la uncin automatica de conexin cruzada de interaz dependiente del medio ,auto-MDIX,.
Al habilitar la uncin auto-MDIX, el switch detecta el tipo de cable que se requiere para las conexiones Lthernet de cobre y, conorme a ello, conigura las interaces. Por lo tanto, se puede utilizar un cable de conexin directa o cruzada para realizar la conexin con un puerto 10,100,1000 de cobre situado en el switch, independientemente del tipo de dispositio que se encuentre en el otro extremo de la conexin.
La uncin auto-MDIX se habilita de manera predeterminada en los switches que ejecutan el sotware Cisco IOS, ersin 12.2,18,SL o posterior. Ln el caso de las ersiones existentes entre Cisco IOS, ersin 12.1,14,LA1 y 12.2,18,SL, la uncin auto-MDIX esta deshabilitada de manera predeterminada.
Direccionamiento MAC y Tablas de direcciones MAC de los switches
Los switches emplean direcciones MAC para dirigir las comunicaciones de red a tras de su estructura al puerto correspondiente hasta el nodo de destino. La estructura del switch son los circuitos integrados y la programacin de maquina adjunta que permite controlar las rutas de datos a tras del switch. Ll switch debe primero saber qu nodos existen en cada uno de sus puertos para poder deinir cual sera el puerto que utilizara para transmitir una trama unicast.
Ll switch determina cmo manejar las tramas de datos entrantes mediante una tabla de direcciones MAC. Ll switch genera su tabla de direcciones MAC grabando las direcciones MAC de los nodos que se encuentran conectados en cada uno de sus puertos. Una ez que la direccin MAC de un nodo especico en un puerto determinado queda registrada en la tabla de direcciones, el switch ya sabe eniar el traico destinado a ese nodo especico desde el puerto asignado a dicho nodo para posteriores transmisiones.
Cuando un switch recibe una trama de datos entrantes y la direccin MAC de destino no igura en la tabla, ste reena la trama a todos los puertos excepto al que la recibi en primer lugar. Cuando el nodo de destino responde, el switch registra la direccin MAC de ste en la tabla de direcciones del campo direccin de origen de la trama. Ln las redes que cuentan con arios switches interconectados, las tablas de direcciones MAC registran arias direcciones MAC para los puertos que conectan los switches que relejan los nodos de destino. Generalmente, los puertos de los switches que se utilizan para interconectar dos switches cuentan con arias direcciones MAC registradas en la tabla de direcciones.
Para er cmo unciona lo descrito anteriormente, haga clic en los pasos de la igura.
A continuacin se describe este proceso:
Paso 1. Ll switch recibe una trama de broadcast de la PC 1 en el Puerto 1.
Paso 2. Ll switch ingresa la direccin MAC de origen y el puerto del switch que recibi la trama en la tabla de direcciones.
Paso 3. Dado que la direccin de destino es broadcast, el switch genera looding en todos los puertos eniando la trama, excepto el puerto que la recibi.
Paso 4. Ll dispositio de destino responde al broadcast con una trama de unicast dirigida a la PC 1.
Paso 5. Ll switch ingresa la direccin MAC de origen de la PC2 y el nmero de puerto del switch que recibi la trama en la tabla de direcciones. La direccin de destino de la trama y el puerto relacionado a ella se encuentran en la tabla de direcciones MAC.
Paso 6. Ahora el switch puede eniar tramas entre los dispositios de origen y destino sin saturar el traico, ya que cuenta con entradas en la tabla de direcciones que identiican a los puertos asociados.
2.1.2 ASPECTOS QUE SE DEBEN TENER EN CUENTA PARA LAS REDES 802.3/ETHERNET Ln este tema, se describiran las pautas de diseno de Lthernet que se necesitan para interpretar los disenos jerarquicos de las redes para las empresas pequenas y medianas. Lste tema se centra en los dominios de colisines y de broadcast, y en el modo en que stos aectan el diseno de las LAN.
Ancho de banda y rendimiento
Una importante desentaja de las redes Lthernet 802.3 son las colisiones. Las colisiones se producen cuando dos hosts transmiten tramas de orma simultanea. Cuando se produce una colisin, las tramas transmitidas se danan o se destruyen. Los hosts transmisores detienen la transmisin por un perodo aleatorio, conorme a las reglas de Lthernet 802.3 de CSMA,CD.
Dado que Lthernet no tiene orma de controlar cual sera el nodo que transmitira en determinado momento, sabemos que cuando mas de un nodo intente obtener acceso a la red, se produciran colisiones. La solucin de Lthernet para las colisiones no tiene lugar de manera instantanea. Ademas, los nodos que estn inolucrados en la colisin no podran dar comienzo a la transmisin hasta que se resuela el problema. Cuanto mayor sea la cantidad de nodos que se agreguen a los medios compartidos, mayor sera la posibilidad de que se produzcan colisiones. Por ello, es importante comprender que al establecer el ancho de banda de la red Lthernet en 10 Mb,s, el ancho de banda completo para la transmisin estara disponible slo una ez que se hayan resuelto las colisiones. Ll rendimiento neto del puerto ,la cantidad promedio de datos eicazmente transmitidos, disminuira de manera signiicatia segn la cantidad de nodos adicionales que se utilicen en la red. Los hubs no orecen mecanismo alguno que sira para eliminar o reducir estas colisiones y el ancho de banda disponible que cualquier nodo tenga que transmitir se era reducido en consecuencia. Por lo tanto, la cantidad de nodos que comparta la red Lthernet inluira en el rendimiento o la productiidad de dicha red.
Dominios de colisin
Al expandir una LAN Lthernet para alojar mas usuarios con mayores requisitos de ancho de banda, aumenta la posibilidad de que se produzcan colisiones. Para reducir el nmero de nodos en un determinado segmento de red, se pueden crear segmentos sicos de red indiiduales, llamados dominios de colisin.
Ll area de red donde se originan las tramas y se producen las colisiones se denomina dominio de colisiones. 1odos los entornos de los medios compartidos, como aquellos creados mediante el uso de hubs, son dominios de colisin. Cuando un
host se conecta a un puerto de switch, el switch crea una conexin dedicada. Lsta conexin se considera como un dominio de colisiones indiidual, dado que el traico se mantiene separado de cualquier otro y, por consiguiente, se eliminan las posibilidades de colisin. La igura muestra dominios de colisin exclusios en un entorno conmutado. Por ejemplo: si un switch de 12 puertos tiene un dispositio conectado a cada puerto, se crean 12 dominios de colisin.
Como se mencion anteriormente, un switch crea una tabla de direcciones MAC mediante el registro de direcciones MAC de los hosts que estan conectados a cada puerto de switch. Cuando dos hosts conectados desean comunicarse entre s, el switch utiliza la tabla de conmutacin para establecer la conexin entre los puertos. Ll circuito se mantiene hasta que inaliza la sesin. Ln la igura, el lost A y el lost B desean comunicarse entre s. Ll switch crea la conexin a la que se denomina microsegmento. Ll microsegmento se comporta como una red de slo dos hosts, un host que ena y otro que recibe, y se utiliza el maximo ancho de banda disponible.
Los switches reducen las colisiones y permiten una mejor utilizacin del ancho de banda en los segmentos de red, ya que orecen un ancho de banda dedicado para cada segmento de red.
Dominios de broadcast
Si bien los switches iltran la mayora de las tramas segn las direcciones MAC, no hacen lo mismo con las tramas de broadcast. Para que otros switches de la LAN obtengan tramas de broadcast, stas deben ser reeniadas por switches. Una serie de switches interconectados orma un dominio de broadcast simple. Slo una entidad de Capa 3, como un router o una LAN irtual ,VLAN,, puede detener un dominio de broadcast de Capa 3. Los routers y las VLAN se utilizan para segmentar los dominios de colisin y de broadcast. Ll uso de las VLAN para segmentar los dominios de broadcast se analiza en el prximo captulo.
Cuando un dispositio desea eniar un broadcast de Capa 2, la direccin MAC destino en la trama se establece en slo unos. Al conigurar el destino en este alor, todos los dispositios aceptaran y procesaran la trama de broadcast.
Ll dominio de broadcast de la Capa 2 se conoce como dominio de broadcast MAC. Ll dominio de broadcast MAC incluye todos los dispositios de la LAN que reciben broadcasts de tramas a tras de un host a todas las demas maquinas en la LAN. Lsto se muestra en la primera mitad de la animacin.
Cuando un switch recibe una trama de broadcast la reena a cada uno de sus puertos excepto al puerto entrante en el que el switch recibi esa trama. Cada dispositio conectado reconoce la trama de broadcast y la procesa. Lsto prooca una disminucin en la eicacia de la red dado que el ancho de banda se utiliza para propagar el traico de broadcast.
Cuando se conectan dos switches, el dominio de broadcast aumenta. Ln este ejemplo, se reena una trama de broadcast a todos los puertos conectados en el switch S1. Ll switch S1 esta conectado al switch S2. La trama se propaga a todos los dispositios conectados al switch S2. Lsto se muestra en la segunda mitad de la animacin.
Latencia de red
La latencia es el tiempo que una trama o paquete tarda en hacerel recorrido desde la estacin origen hasta su destino inal. Los usuarios de las aplicaciones basadas en redes experimentan la latencia cuando tienen que esperar arios minutos para obtener acceso a la inormacin almacenada en un centro de datos o cuando un sitio \eb tarda arios minutos en cargar el explorador. La latencia consiste en por lo menos tres componentes.
Ln primer lugar, el tiempo que toma la NIC origen en colocar pulsos de oltaje en el cable y el tiempo que tarda la NIC destino en interpretar estos pulsos. Lsto se denomina a eces retraso de la NIC ,por lo general, es de 1 microsegundo para una NIC 10BASL-1,.
Ln segundo lugar, el retardo de propagacin real, ya que la senal tarda un tiempo en recorrer el cable. Normalmente, ste es de unos 0,556 microsegundos por 100 m para Cat 5 U1P. Si la longitud del cable es mayor y la elocidad nominal de propagacin ,NVP, Nominal Velocity o Propagation, es menor, el retraso de propagacin sera mayor.
Ln tercer lugar, la latencia aumenta segn los dispositios de red que se encuentren en la ruta entre dos dispositios. Lstos pueden ser dispositios de Capa 1, Capa 2 o Capa 3. Lstos tres actores que contribuyen a la latencia pueden distinguirse en la animacin a medida que la trama atraiesa la red.
La latencia no depende nicamente de la distancia y de la cantidad de dispositios. Por ejemplo: si dos computadoras estan separadas por tres switches correctamente conigurados, es probable que stas experimenten una latencia menor que la que se producira si estuieran separadas por dos routers correctamente conigurados. Lsto se debe a que los routers ejecutan unciones mas complejas y que llean mas tiempo. Por ejemplo: un router debe analizar datos de Capa 3 mientras que los switches slo analizan los datos de Capa 2. Dado que los datos de la Capa 2 se presentan antes que los de la Capa 3 en la estructura de la trama, los switches pueden procesarla con mayor elocidad. Los switches tambin admiten alta elocidad de transmisin de oz, ideo y redes de datos mediante circuitos integrados de aplicaciones especicas ,ASIC, Application Speciic Integrated Circuits, que proporcionan soporte de hardware para muchas tareas de networking. Otras caractersticas de los switches, como por ejemplo ber de memoria basado en puerto, calidad de sericio ,QoS, de niel de puertos y administracin de congestin, tambin ayudan a reducir la latencia en la red.
La latencia basada en switches puede tambin deberse a un exceso de demanda en la estructura de ste. Muchos switches de niel de entrada no cuentan con el rendimiento interno suiciente como para administrar las capacidades del ancho de banda completo en todos los puertos de manera simultanea. Ll switch debe tener la capacidad de administrar la cantidad maxima de datos que se espera en la red. Dado que la tecnologa de los switches es cada ez mejor, la latencia a tras de ellos ya no es un problema. La causa predominante de latencia de red en una LAN conmutada esta mas relacionada con los medios que se transmiten, los protocolos de enrutamiento utilizados y los tipos de aplicaciones que se ejecutan en la red.
Congestin de red
Ll primer motio por el cual segmentar una LAN en partes mas pequenas es el de aislar el traico y lograr una mejor utilizacin del ancho de banda por usuario. Al no segmentarla, la LAN se obstruye rapidamente debido al traico y a las colisiones. La igura muestra una red que esta sujeta a congestin debido a arios dispositios de nodos en una red basada en hubs.
A continuacin se mencionan las causas mas comunes de congestin de red:
1ecnologa de redes y computadoras cada ez mas potentes. loy en da, las CPU, los buses y los dispositios periricos son mucho mas rapidos y potentes que aquellos utilizados en las LAN anteriores. Porlo tanto, stos pueden eniar una mayor cantidad de datos a tras de la red y tambin procesarlos a una mayor elocidad. Volumen de traico de la red cada ez mayor. Ln la actualidad el traico de la red es mas habitual, ya que se necesitan recursos remotos para llear a cabo tareas basicas. Ademas, los mensajes de broadcast, como las consultas de resolucin de direcciones que ena el ARP, pueden aectar de manera negatia el rendimiento de la red y de las estaciones de trabajo. Aplicaciones con alta demanda de ancho de banda. Las aplicaciones de sotware son cada ez mas ricas en cuanto a uncionalidad y requieren un ancho de banda superior. Por ejemplo: las aplicaciones de edicin, diseno de ingeniera, ideo a pedido ,VoD,, aprendizaje electrnico ,e-learning, y streaming ideo requieren una considerable capacidad y elocidad de procesamiento.
Segmentacin LAN
Las LAN se segmentan en arios dominios de broadcast y de colisin mas pequenos mediante el uso de routers y switches. Anteriormente se utilizaban los puentes pero no suele erse este tipo de equipos de red en una moderna LAN conmutada. La igura muestra los routers y switches que segmentan una LAN.
Ln la igura, la red esta segmentada en dos dominios de colisin mediante el switch.
Desplace el mouse por el Dominio de colisiones para er el tamano de cada uno de ellos.
Sin embargo, en la igura, el dominio de broadcast abarca toda la red.
Desplace el mouse por el Dominio de broadcast para er el tamano de ste.
Puentes y switches
Si bien los puentes y los switches tienen muchos atributos en comn, su tecnologa presenta arias dierencias. Los puentes se utilizan generalmente para diidir una LAN en un par de segmentos mas pequenos. Ln cambio los switches se utilizan, por lo general, para diidir una gran LAN en arios segmentos mas pequenos. Los puentes tienen slo un par de puertos para la conectiidad de la LAN, mientras que los switches cuentan con arios.
Routers
Aunque el switch LAN reduce el tamano de los dominios de colisin, todos los hosts conectados al switch pertenecen al mismo dominio de broadcast. Los routers pueden utilizarse para crear dominios de broadcast, ya que no reenan traico de broadcast predeterminado. Si se crean pequenos dominios de broadcast adicionales con unrouter, se reducira el traico de broadcast y se proporcionara mayor disponibilidad de ancho de banda para las comunicaciones unicast. Cada interaz del router se conecta a una red indiidual que contiene traico de broadcast dentro del segmento de la LANen el que se origin.
laga clic en los botones Dominios de colisin y de broadcast con control para er las consecuencias al introducir routers y mas switches en la red.
Desplace el mouse sobre las dos areas de texto para identiicar los distintos dominios de colisin y de broadcast.
2.1.3 CONSIDERACIONES DEL DISEO DE LA LAN.- Control de la latencia de la red
Al disenar una red para reducir la latencia, se necesita tener en cuenta la latencia originada por cada dispositio de la red. Los switches pueden proocar latencia cuando se saturan en una red ocupada. Por ejemplo: si un switch central tiene que brindar soporte a 48 puertos, siendo cada uno capaz de uncionar a 1000 Mb,s ull duplex, el switch tendra que admitir aproximadamente 96 Gb,s de rendimiento interno para mantener la elocidad plena del cable en todos los puertos al mismo tiempo. Ln este ejemplo, los requisitos de rendimiento mencionados son tpicos de los switches de niel central y no de los switches de niel de acceso.
Ll empleo de dispositios de capas superiores tambin puede aumentar la latencia en la red. Cuando un dispositio de Capa 3, como un router, debe examinar la inormacin de direccionamiento que contiene la trama, debe realizar una lectura mas prounda de la trama que un dispositio de Capa 2, lo cual se traduce en mayor cantidad de tiempo de procesamiento. Al limitar el uso de dispositios de capas superiores, se reducira el niel de latencia de la red. No obstante, la correcta utilizacin de los dispositios de Capa 3 ayuda a eitar la contencin del traico de broadcast en un dominio amplio de broadcast o el alto ndice de colisiones en un dominio de colisiones de gran tamano.
Eliminacin de los cuellos de botellas
Los cuellos de botella son lugares donde la alta congestin de la red prooca un bajo rendimiento.
Haga clic en el botn Eliminacin de los cuellos de botella de la red que se encuentra en la figura.
Ln esta igura, que muestra seis computadoras conectadas a un switch, un nico seridor se encuentra conectado tambin al mismo switch. 1odas las estaciones de trabajo y el seridor estan conectados mediante una tarjeta NIC de 1000 Mb,s. ,Qu sucede cuando las seis computadoras intentan tener acceso al seridor al mismo tiempo ,Cada una de las estaciones de trabajo obtiene un acceso dedicado al seridor de 1000 Mb,s No, todas las computadoras tienen que compartir la conexin de 1000 Mb,s que el seridor tiene con el switch. De manera acumulatia, las computadoras cuentan con una capacidad de 6000 Mb,s con el switch. Si cada conexin se utilizara a plena capacidad, cada computadora podra emplear slo 16 Mb,s, un sexto del ancho de banda de 1000 Mb,s. Para reducir el cuello de botella en el seridor, es posible instalar mas tarjetas de red, y de este modo incrementar el total de ancho de banda que el seridor es capaz de recibir. La igura muestra cinco tarjetas NIC en el seridor y un ancho de banda aproximadamente cinco eces mayor. La misma lgica se aplica a las tipologas de redes. Cuando los switches de arios nodos estan interconectados por una nica conexin de 1000 Mb,s, se crea un cuello de botella en esa nica interconexin.
Si se utilizan enlaces de mayor capacidad ,por ejemplo: ampliar una conexin de 100 Mb,s hasta 1000 Mb,s, y se emplean arios enlaces promoiendo una tecnologa de uniicacin de enlaces ,por ejemplo, combinar dos enlaces como si ueran uno para duplicar la capacidad de la conexin, pueden reducirse los cuellos de botella creados por los enlaces de switches interconectados y de routers. Si bien este curso no abarca el modo de conigurar la uniicacin de enlaces, es importante tener en cuenta las capacidades de un determinado dispositio al ealuar las necesidades de una red. ,Con cuantos puertos cuenta y qu capacidad de elocidad tiene el dispositio ,Cual es el rendimiento interno del dispositio ,Ls capaz de administrar las cargas de traico que se esperan considerando su ubicacin en la red
2.2 REENVO DE TRAMAS MEDIANTE UN SWITCH 2.2.1 METODOS DE REEVO DEL SWITCH.- Mtodos de reenvo de paquetes del switch
Ln este tema, se describira cmo los switches reenan tramas Lthernet en una red. Los switches pueden uncionar de distintos modos y stos pueden tener tanto eectos positios como negatios.
Anteriormente, los switches solan utilizar uno de los siguientes mtodos de reeno para conmutar datos entre los puertos de la red: conmutacin por mtodo de corte o almacenamiento y eno. Ll botn Mtodos de reeno del switch muestra estos dos mtodos. Sin embargo, almacenamiento y eno es el nico mtodo de reeno que se utiliza en los modelos actuales de los switches Cisco Catalyst.
Conmutacin de almacenamiento y envo
Ln este tipo de conmutacin, cuando el switch recibe la trama, la almacena en los buers de datos hasta recibir la trama en su totalidad. Durante el proceso de almacenamiento, el switch analiza la trama para buscar inormacin acerca de su destino. Ln este proceso, el switch tambin llea a cabo una eriicacin de errores utilizando la porcin del trailer de comprobacin de redundancia cclica ,CRC, Cyclic Redundancy Check, de la trama de Lthernet.
La CRC utiliza una rmula matematica, basada en la cantidad de bits ,1, de la trama, para determinar si sta tiene algn error. Despus de conirmar la integridad de la trama, sta se ena desde el puerto correspondiente hasta su destino. Cuando se detecta un error en la trama, el switch la descarta. Ll proceso de descarte de las tramas con errores reduce la cantidad de ancho de banda consumido por datos danados. La conmutacin por almacenamiento y eno se requiere para el analisis de calidad de sericio ,QoS, en las redes conergentes, en donde se necesita una clasiicacin de la trama para decidir el orden de prioridad del traico. Por ejemplo: los lujos de datos de oz sobre IP deben tener prioridad sobre el traico de exploracin \eb.
Haga clic en el botn Conmutacin por almacenamiento y envo para reproducir la animacin y obtener una demostracin del proceso de almacenamiento y eno.
Conmutacin por mtodo de corte
Ln este tipo de conmutacin, el switch acta sobre los datos apenas los recibe, incluso si la transmisin an no se ha completado. Ll switch recopila en el ber slo la inormacin suiciente de la trama como para leer la direccin MAC de destino y as determinar a qu puerto debe reeniar los datos. La direccin MAC de destino se encuentra en los primeros 6 bytes de la trama despus del preambulo. Ll switch busca la direccin MAC de destino en su tabla de conmutacin, determina el puerto de la interaz de salida y reena la trama a su destino mediante el puerto de switch designado. Ll switch no llea a cabo ninguna eriicacin de errores en la trama. Dado que el switch no tiene que esperar que la trama se almacene de manera completa en el ber y que no realiza ninguna eriicacin de errores, la conmutacin por mtodo de corte es mas rapida que la de almacenamiento y eno. No obstante, al no llear a cabo ninguna eriicacin de errores, el switch reena tramas danadas a tras de la red. Las tramas danadas consumen ancho de banda mientras se reenan. Al inal, la NIC de destino descarta las tramas danadas.
laga clic en el botn Conmutacin por mtodo de corte para reproducir la animacin y obtener una demostracin del proceso de conmutacin por mtodo de corte.
A continuacin, se presentan dos ariantes de la conmutacin por mtodo de corte:
Conmutacin por eno rapido: La conmutacin por eno rapido orece el mas bajo niel de latencia. La conmutacin por eno rapido reena el paquete inmediatamente despus de leer la direccin de destino. Como la conmutacin por eno rapido comienza a reeniar el paquete antes de haberlo recibido en orma completa, es probable que a eces los paquetes se entreguen con errores. Lsto ocurre con poca recuencia y el adaptador de red de destino descarta los paquetes deectuosos en el momento de su recepcin. Ln el modo de eno rapido, la latencia se mide desde el primer bit recibido hasta el primer bit transmitido. La conmutacin por eno rapido es el tpico mtodo de corte. Conmutacin Libre de ragmentos: Ln la conmutacin libre de ragmentos, el switch almacena los primeros 64 bytes de la trama antes de reeniarla. Lste tipo de conmutacin puede ser ista como un acuerdo entre la conmutacin por almacenamiento y eno y la conmutacin por mtodo de corte. Ll motio por el cual la conmutacin libre de ragmentos almacena slo los primeros 64 bytes de la trama es que la mayora de los errores y las colisiones de la red se producen en esos primeros 64 bytes. Ll modo libre de ragmentos intenta mejorar la conmutacin por mtodo de corte lleando a cabo una pequena eriicacin de errores en los primeros 64 bytes de la trama a in de asegurar que no se han producido colisiones antes de reeniar la trama. La conmutacin libre de ragmentos supone un equilibrio entre el alto niel de latencia y la gran integridad que orece la conmutacin por almacenamiento y eno, y el bajo niel de latencia y la reducida integridad que brinda la conmutacin por mtodo de corte.
Algunos switches se coniguran para realizar una conmutacin por mtodo de corte por puerto hasta llegar a un umbral de error deinido por el usuario y, luego, cambian la conmutacin al modo de almacenamiento y eno. Si elndice de error esta por debajo del umbral, el puerto uele automaticamente a la conmutacin por mtodo de corte.
2.2.2 CONMUTACIN SIMTRICA Y ASIMTRICA.- Conmutacin simtrica y asimtrica
Ln este tema, se estudiaran las dierencias entre la conmutacin simtrica y asimtrica en una red. La conmutacin LAN se puede clasiicar como simtrica o asimtrica segn la orma en que el ancho de banda se asigna a los puertos de conmutacin.
La conmutacin simtrica proporciona conexiones conmutadas entre puertos con el mismo ancho de banda, por ejemplo, todos los puertos de 100 Mb,s o todos los puertos de 1000 Mb,s. Un switch LAN asimtrica proporciona conexiones conmutadas entre puertos con distinto ancho de banda, por ejemplo, una combinacin de puertos de 10 Mb,s, 100 Mb,s y 1000 Mb,s. La igura muestra las dierencias entre la conmutacin simtrica y la asimtrica.
Asimtrica
La conmutacin asimtrica permite un mayor ancho de banda dedicado al puerto de conmutacin del seridor para eitar que se produzca un cuello de botella. Lsto brinda una mejor calidad en el lujo de traico, donde arios clientes se comunican con un seridor al mismo tiempo. Se requieren buers de memoria en un switch asimtrico. Para que el switch coincida con las distintas elocidades de datos en los distintos puertos, se almacenan tramas enteras en los buers de memoria y se enan al puerto una despus de la otra segn se requiera.
Simtrico
Ln un switch simtrico, todos los puertos cuentan con el mismo ancho de banda. La conmutacin simtrica se e optimizada por una carga de traico distribuida de manera uniorme, como en un entorno de escritorio entre pares.
Ll administrador de la red debe ealuar la cantidad de ancho de banda que se necesita para las conexiones entre dispositios a in de que pueda adaptarse al lujo de datos de las aplicaciones basadas en redes. La mayora de los switches actuales son asimtricos, ya que son los que orecen mayor lexibilidad.
2.2.3 BFER DE MEMORIA.- Bfer de memoria basado en puerto y bfer de memoria compartida
Como se describi en el tema anterior, el switch analiza parte del paquete, o su totalidad, antes de reeniarlo al host de destino mediante el mtodo de reeno. Ll switch almacena el paquete en un ber de memoria durante un bree perodo. Ln este tema, se estudiara cmo se utilizan dos tipos de buers de memoria durante el reeno.
Un switch Lthernet puede usar una tcnica de buers para almacenar tramas antes de eniarlas. Ll almacenamiento en buers tambin puede utilizarse cuando el puerto destino esta ocupado debido a una congestin. Ll switch almacena la trama hasta el momento en que pueda transmitirse. Ll empleo de memoria para almacenar datos se denomina
almacenamiento en buers de memoria. Ll ber de memoria esta integrado al hardware del switch y, ademas de aumentar la cantidad de memoria disponible, no puede conigurarse.
Lxisten dos tipos de almacenamiento en buers de memoria: memoria compartida y memoria basada en puerto.
Bfer de memoria basada en puerto
Ln el ber de memoria basado en puerto, las tramas se almacenan en colas conectadas a puertos de entrada especicos. Una trama se transmite al puerto de salida una ez que todas las tramas que estan delante de ella en la cola se hayan transmitido con xito. Ls posible que una sola trama retarde la transmisin de todas las tramas almacenadas en la memoria debido al traico del puerto de destino. Lste retardo se produce aunque las demas tramas se puedan transmitir a puertos destino abiertos.
Bfer de memoria compartida
Ll ber de memoria compartida deposita todas las tramas en un ber de memoria comn que comparten todos los puertos del switch. La cantidad de memoria de ber que requiere un puerto se asigna de orma dinamica. Las tramas en el ber se inculan de orma dinamica al puerto de destino. Lsto permite la recepcin del paquete por un puerto y la transmisin por otro puerto, sin tener que colocarlo en otra cola.
Ll switch consera un mapa de enlaces de trama a puerto que indica por dnde un paquete debe transmitirse. Ll enlace del mapa se elimina una ez que la trama se ha transmitido con xito. La cantidad de tramas almacenadas en el ber se encuentra limitada por el tamano del ber de memoria en su totalidad y no se limita a un solo ber de puerto. Lsto permite la transmisin de tramas mas amplias y que se descarte una menor cantidad de ellas. Lsto es importante para la conmutacin asimtrica, donde las tramas se intercambian entre puertos de distintas elocidades.
2.2.4 CONMUTACION DE CAPA 2 Y CAPA 3.- Conmutacin de Capa 2 y Capa 3
Ln este tema, se reisara el concepto de conmutacin de Capa 2 y se introducira la conmutacin de Capa 3.
Un switch LAN de Capa 2 llea a cabo los procesos de conmutacin y iltrado basandose solamente en la direccin MAC de la Capa de enlace de datos ,Capa 2, del modelo OSI. Ll switch de Capa 2 es completamente transparente para los protocolos de la red y las aplicaciones del usuario. Recuerde que un switch de Capa 2 crea una tabla de direcciones MAC que utiliza para determinar los enos.
Un switch de Capa 3, como el Catalyst 3560, unciona de modo similar a un switch de Capa 2, como el Catalyst 2960, pero en lugar de utilizar slo la inormacin de las direcciones MAC para determinar los enos, el switch de Capa 3 puede tambin emplear la inormacin de la direccin IP. Ln lugar de aprender qu direcciones MAC estan inculadas con cada uno de sus puertos, el switch de Capa 3 puede tambin conocer qu direcciones IP estan relacionadas con sus interaces. Lsto permite que el switch de Capa 3 pueda dirigir el traico a tras de la red en base a la inormacin de las direcciones IP.
Los switches de Capa 3 son tambin capaces de llear a cabo unciones de enrutamiento de Capa 3, con lo cual se reduce la necesidad de colocar routers dedicados en una LAN. Dado que los switches de Capa 3 cuentan con un hardware de conmutacin especializado, normalmente, pueden eniar datos con la misma rapidez con la que pueden conmutar.
Comparacin entre el switch y el router de Capa 3 Ln el tema anterior, se explic que los switches de Capa 3 examinan la inormacin de Capa 3 de un paquete Lthernet para determinar los enos. Los switches de Capa 3 pueden eniar paquetes entre distintos segmentos de una LAN de modo similar que los routers dedicados. Sin embargo, los switches de Capa 3 no reemplazan completamente la necesidad de utilizar routers en una red. Los routers proporcionan sericios adicionales de Capa 3 que los switches de Capa 3 no pueden realizar. Los routers tambin pueden llear a cabo tareas de reeno de paquetes que no realizan los switches de Capa 3, como establecer conexiones de acceso remoto con dispositios y redes remotas. Los routers dedicados son mas lexibles en cuanto a la admisin de tarjetas de interaz \AN ,\IC, \AN Interace Cards,. Por ello, son la opcin preerida, y a eces incluso la nica, para conectar a una \AN. Los switches de Capa 3 orecen unciones basicas de enrutamiento en una LAN y reducen la necesidad de utilizar routers dedicados.
2.3 CONFIGURACION DE ADMINISTRACION DE SWTCHES.- 2.3.1 NAVEGACION POR LOS MODOS DE LA INTERFAZ DE LINEA DE COMANDOS.- Modos de interfaz de lnea de comando
Ln este tema, se reisara lo aprendido en CCNA Lxploration: Aspectos basicos de redes acerca de cmo naegarpor los distintos modos de la interaz de lnea de comandos ,CLI,.
Como caracterstica de seguridad, el sotware IOS de Cisco diide las sesiones de LXLC en los siguientes nieles de acceso:
EXEC usuario: Permite que una persona tenga acceso solamente a una cantidad limitada de comandos basicos de monitoreo. Ll modo LXLC del usuario es el modo predeterminado al que se ingresa despus de iniciar sesin en un switch de Cisco desde la CLI. Ll modo LXLC del usuario se identiica con la indicacin . EXEC privilegiado: Permite que una persona tenga acceso a todos los comandos del dispositio, como aquellos que se utilizan para la coniguracin y administracin, y es posible protegerlo por contrasena para que tengan acceso al dispositio slo los usuarios autorizados. Ll modo LXLC priilegiado se identiica con la indicacin 4.
Para pasar del modo LXLC del usuario al modo LXLC priilegiado, ingrese el comando enable. Para pasar del modo LXLC priilegiado al modo LXLC del usuario, ingrese el comando disable. Ln una red erdadera, el switch solicita la contrasena. Ingrese la contrasena correcta. De manera predeterminada, la contrasena no se conigura. La igura muestra los comandos del IOS de Cisco que se utilizan para pasar del modo LXLC del usuario al modo LXLC priilegiado y iceersa.
Haga clic en el botn modo EXEC usuario y modo EXEC privilegiado en la figura.
Exploracin de los modos de configuracin
Una ez que ha ingresado el modo LXLC priilegiado en el switch de Cisco, puede tener acceso a otros modos de coniguracin. Ll sotware IOS de Cisco emplea una jerarqua de comandos en su estructura de modos de comandos. Cada modo de comandos admite comandos de Cisco IOS especicos que se relacionan con un tipo de operacin en el dispositio.
Lxisten muchos modos de coniguracin. Por ahora, se analizara cmo naegar por dos modos comunes de coniguracin: modo de coniguracin global y modo de coniguracin de interaz.
laga clic en el botn modos de coniguracin de Naegacin en la igura.
Modo de configuracin global
Ll ejemplo comienza con el switch en el modo LXLC priilegiado. Para conigurar los parametros globales del switch, como el nombre de host o la direccin IP del switch, que se emplean para la administracin de switches, utilice el modo de coniguracin global. Para tener acceso al modo de coniguracin global, ingrese el comando configure terminal en el modo LXLC priilegiado. La indicacin cambia a ,conig,4.
Modo de configuracin de interfaz
Conigurar los parametros especicos de la interaz es una tarea comn. Para obtener acceso al modo de coniguracin de interaz desde el modo de coniguracin global, ingrese el comando interfacenombre de interaz. La indicacin cambia a ,conig-i,4. Para salir del modo de coniguracin de interaz, utilice el comando exit. La indicacin uele a cambiar a ,conig,4, hacindole saber que se encuentra en el modo de coniguracin global. Para salir del modo de coniguracin global, ingrese nueamente el comando exit. La indicacin cambia a 4, que representa al modo LXLC priilegiado.
Alternativas a la CLI basadas en la GUI
Lxiste una cantidad de alternatias de administracin graica para administrar un switch de Cisco. Ll uso de una GUI orece acilidad de administracin y coniguracin de switches, y no requiere tener amplio conocimiento sobre la CLI de Cisco.
Haga clic en el botn Asistente de red Cisco que se muestra en la figura.
Asistente de red Cisco
Ll asistente de red Cisco es una aplicacin de la GUI basada en PC para la administracin de redes y optimizada para las LAN pequenas y medianas. Puede conigurar y administrar grupos de switches o switches independientes. La igura muestra la interaz de administracin del asistente de red. Ll asistente de red Cisco esta disponible sin costo alguno y puede descargarse desde Cisco ,se requiere contrasena,nombre de usuario CCO,:
http:,,www.cisco.com,go,networkassistant .
Haga clic en el botn Aplicacin CiscoView de la figura.
Aplicacin CiscoView
La aplicacin de administracin de dispositios CiscoView proporciona una ista sica del switch que se puede utilizar para establecer parametros de coniguracin y para er la inormacin de uncionamiento y el estado del switch. La aplicacin CiscoView, que se compra por separado, puede ser una aplicacin independiente o bien ormar parte de una plataorma de Protocolo de administracin de red simple ,SNMP, La igura muestra la interaz de administracin del Administrador de dispositios CiscoView. Para obtener mas inormacin sobre el Administrador de dispositios CiscoView, consulte el sitio:
Haga clic en el botn Administrador de dispositivos Cisco que se muestra en la figura.
Administrador de dispositivos Cisco
Ll administrador de dispositios Cisco es un sotware basado en \eb que se encuentra almacenado en la memoria del switch. Puede utilizar el Administrador de dispositios y administrar los switches. Se puede obtener acceso al administrador de dispositios desde cualquier sitio de la red a tras del explorador \eb. La igura muestra la interaz de administracin.
Haga clic en el botn Administracin de red SNMP que se muestra en la figura.
Administracin de red SNMP
Se pueden administrar switches desde una estacin de administracin compatible con SNMP, como lP OpenView. Ll switch es capaz de proporcionar amplia inormacin de administracin y orece cuatro grupos de Monitoreo remoto ,RMON, La administracin de red SNMP es mas recuente en las redes de grandes empresas. Puede obtener mas inormacin sobre lP OpenView en el sitio:
http:,,h20229.www2.hp.com,news,about,index.html.
2.3.2 CMO UTILIZAR EL SEVICIO DE AYUDA.- Ayuda sensible al contexto
La CLI del IOS de Cisco orece dos tipos de ayuda:
Ayuda de palabra: Si no recuerda un comando completo pero s recuerda los primeros caracteres, ingrese la secuencia de caracteres seguidos de un signo de interrogacin ,,. No introduzca ningn espacio antes del signo de interrogacin.
Se mostrara una lista de comandos que comienzan con los caracteres que se han ingresado. Por ejemplo: si ingresa sh, se mostrara una lista de todos los comandos que comiencen con esa secuencia de caracteres.
Ayuda de sintaxis de comando: Si no sabe cuales son los comandos disponibles en su contexto actual en la CLI del IOS de Cisco o si no conoce los parametros que se requieren o estan disponibles para completar un comando determinado, ingrese el comando .
Cuando slo se ingresa , se muestra una lista de todos los comandos disponibles en el contexto. Si se ingresa el signo despus de un comando especico, se mostraran los argumentos de dicho comando. Si se muestra cr, signiica que no se necesita ningn otro argumento para hacer uncionar el comando. Asegrese de dejar un espacio antes del signo de interrogacin para eitar que la CLI del IOS de Cisco llee a cabo una ayuda de palabra en lugar de una ayuda de sintaxis de comando. Por ejemplo: ingrese show ? para obtener una lista de las opciones de comandos que admite el comando show.
La igura muestra las unciones de la ayuda de Cisco.
Se describira cmo unciona la ayuda de la CLI utilizando como ejemplo el ajuste del reloj del dispositio. Si se necesita ajustar el reloj del dispositio pero no se conoce la sintaxis del comando clock, la ayuda contextual proporciona un modo de eriicar dicha sintaxis.
La ayuda contextual proee el comando completo incluso si se ha ingresado slo la primera parte del comando, por ejemplo, cl?.
Si ingresa el comando clock seguido de la tecla Lnter, un mensaje de error indicara que el comando esta incompleto. Para obtener los parametros que se requieren para el comando clock, ingrese ? precedido por un espacio. Ln el ejemplo de clock , el resultado de la ayuda muestra que se requiere la palabra clae set despus de clock.
Si ahora ingresa el comando clock set, aparecera otro mensaje de error indicando que el comando sigue estando incompleto. Agregue un espacio e ingrese el comando para que se muestre una lista de los argumentos de comandos que estan disponibles en ese momento para el comando ingresado.
Se mostraran los argumentos adicionales que se necesitan para ajustar el reloj en el dispositio: la hora actual en horas, minutos y segundos. Para obtener aliosa inormacin sobre el uso de la CLI del IOS de Cisco, isite:
Mensajes de error de consola
Los mensajes de error de la consola ayudan a identiicar problemas cuando se ha ingresado un comando incorrecto. La igura proporciona ejemplos de mensajes de error, qu signiican y cmo obtener ayuda cuando stos se muestran
2.3.3 ACCESO AL HISTORIAL DE COMANDO.- Bfer de historial de comandos
Al conigurar arias interaces en un switch, se puede ahorrar tiempo y eitar escribir los comandos nueamente mediante el ber del historial de comandos del IOS de Cisco. Ln este tema se explicara de qu manera conigurar el ber del historial de comandos para respaldar sus tareas de coniguracin.
La CLI de Cisco proporciona un historial o registro de los comandos que se han ingresado. Lsta caracterstica, llamada historial de comandos, es especialmente til para ayudar a recordar entradas o comandos largos o complejos.
Ll historial de comandos permite llear a cabo las siguientes tareas:
Mostrar los contenidos del ber de comandos. Lstablecer el tamano del ber del historial de comandos. Recordar comandos preiamente ingresados y almacenados en el ber del historial. Cada modo de coniguracin cuenta con un ber exclusio.
De manera predeterminada, el historial de comandos se actia y el sistema registra las ltimas 10 lneas de comandos en el ber de historial. Puede utilizar el comando show history para que se muestren los ltimos comandos LXLC ingresados.
Configurar el bfer de historial de comandos
Ln los productos de redes Cisco que admiten el sotware IOS de Cisco, el historial de comandos se actia de manera predeterminada y se registran las ltimas 10 lneas de comandos en el ber de historial.
Ll historial de comandos puede desactiarse para una determinada sesin de terminal mediante el comando terminal no history en el modo LXLC del usuario o priilegiado. Cuando se desactia el historial de comandos, el dispositio deja de retener las lneas de comandos que se ingresen.
Para reertir el tamano del historial de terminal y establecerlo nueamente al alor predeterminado de 10 lneas, ingrese el comando terminal no history size command in priileged LXLC mode. La igura proporciona una explicacin y ejemplos de estos comandos del IOS de Cisco.
2.3.4 SECUENCIA DE ARRANQUE DEL SWITCH.- Describir la secuencia de arranque
Ln este tema, se explicara la secuencia de comandos del IOS de Cisco que ejecuta un switch desde el estado de apagado hasta que muestra la indicacin para iniciar sesin. Una ez que el switch de Cisco se enciende, atraiesa la siguiente secuencia.
Ll switch carga el sotware del cargador de arranque. Ll cargador de arranque es un pequeno programa que se encuentra almacenado en la NVRAM y que se ejecuta cuando el switch se enciende por primera ez.
Ll cargador de arranque:
Llea a cabo la inicializacin de bajo niel de la CPU. Inicializa los registros de la CPU, que controlan dnde esta asignada la memoria sica, la cantidad de memoria y su elocidad. Realiza el autodiagnstico al encender ,POS1, para el subsistema de la CPU. Comprueba la DRAM de la CPU y la parte del dispositio lash que integra el sistema de archios lash. Inicializa el sistema de archios lash en la tarjeta del sistema. Carga una imagen predeterminada del sotware del sistema operatio en la memoria y hace arrancar al switch. Ll cargador de arranque intenta encontrar la imagen del IOS de Cisco en el switch buscando primero en un directorio que tiene el mismo nombre que el archio de imagen ,sin incluir la extensin .bin,. Si no la encuentra all, el cargador de arranque busca en cada subdirectorio antes de continuar la bsqueda en el directorio original.
Luego, el sistema operatio inicializa las interaces mediante los comandos del IOS de Cisco que se encuentran en el archio de coniguracin del sistema operatio, conig.text, y almacenados en la memoria lash del switch.
Recuperacin tras un colapso del sistema
Ll cargador de arranque tambin proporciona acceso al switch en caso de que el sistema operationo pueda utilizarse. Ll cargador de arranque cuenta con un dispositio de lnea de comandos que permite obtener acceso a los archios almacenados en la memoria lash antes de que se cargue el sistema operatio. Desde la lnea de comandos del cargador de arranque es posible ingresar comandos para ormatear el sistema de archios lash, oler a instalar la imagen de sotware del sistema operatio o recuperar una contrasena perdida u olidada.
2.3.5 PREPARACIN PARA LA CONFIGURACION DEL SWITCH.- Preparacin para la configuracin del switch
Ll inicio de un switch Catalyst requiere la ejecucin de los siguientes pasos:
Paso 1. Antes de poner en uncionamiento el switch, eriique que:
1odos los cables de red estn correctamente conectados.
La PC o el terminal estn conectados al puerto de consola.
La aplicacin del emulador de terminal, como lyper1erminal, est uncionando y est correctamente conigurada.
La igura muestra una PC conectada a un switch mediante el puerto de consola.
Haga clic en el botn Configurar Hyperterminal de la figura.
La igura muestra la correcta coniguracin de lyper1erminal, que puede utilizarse para er la consola de un dispositio Cisco.
Paso 2. Conecte el cable de energa elctrica al socket de la uente de energa. Ll switch se pondra en uncionamiento. Algunos switches Catalyst, incluida la serie Cisco Catalyst 2960, no cuentan con un botn de encendido.
Paso 3. Obsere que la secuencia de arranque transcurra de la siguiente manera:
Cuando se enciende el switch, se inicia la prueba POS1. Durante la POS1, los indicadores de los LLD parpadean mientras una serie de pruebas determina si el switch esta uncionando correctamente. Cuando la POS1 inaliza, el LLD S\S1 parpadea rapidamente en color erde. Si el switch no pasa la POS1, el LLD S\S1 se uele de color ambar. Si un switch no aprueba la POS1, sera necesario repararlo.
Obsere en la consola el texto del resultado del sotware IOS de Cisco.
En la figura, haga clic en el botn Ver proceso de arranque en la consola.
La igura muestra el proceso de arranque en la consola de un switch Cisco.
Ln la primera etapa del inicio del switch, si se detectan allas en la POS1, se ena un inorme a la consola, y el switch no se pone en uncionamiento. Si la prueba POS1 se llea a cabo con xito y el switch no se ha conigurado preiamente, se le requerira que lo haga.
2.3.6 CONFIGURACION BSICA DE SWITCH.- Consideraciones de la interfaz de administracin
Un switch de capa de acceso se parece mucho a una PC en que se necesita conigurar una direccin IP, una mascara de subred y una gateway predeterminada. Para manejar un switch en orma remota mediante 1CP,IP, se necesita asignar al switch una direccin IP. Ln la igura, S1 debe manejarse desde la PC 1, que es una computadora utilizada para administrar la red. Para llear esto a cabo se necesita asignar una direccin IP al switch S1. Se asigna la direccin IP a una interaz irtual denominada LAN irtual ,VLAN, y luego se necesita asegurar que la VLAN se asigne a uno o mas puertos especicos del switch.
La coniguracin predeterminada del switch es que su administracin sea controlada a tras de la VLAN 1. Sin embargo, la coniguracin basica recomendada para el switch es que la administracin est controlada por una VLAN que no sea la VLAN 1. Los undamentos y las implicancias de dicha accin se explicaran en el prximo captulo. La igura ilustra la utilizacin de VLAN 99 como VLAN de administracin. Sin embargo, es importante tener en cuenta que puede utilizarse otra VLAN 99 como interaz de administracin.
Nota: Se proporcionaran mas detalles sobre las VLAN en el prximo captulo. Aqu, el tema central es proporcionar acceso de administracin al switch a tras de una VLAN alternatia. Algunos de los comandos ya introducidos seran explicados con mayor proundidad en el prximo captulo.
Por ahora, se ha creado la VLAN 99 y se le ha asignado una direccin IP. Luego, el correspondiente puerto del switch S1 es asignado a VLAN 99. La igura tambin muestra la inormacin sobre esta coniguracin.
Haga clic en el botn Configurar interfaz de administracin de la figura.
Configurar interfaz de administracin
La coniguracin de una direccin IP y una mascara de subred en la VLAN de administracin del switch debe realizarse desde el modo de coniguracin de interaz VLAN. Utilice el comando interface vlan 99 e ingrese el comando de coniguracin de direccin ip. Se debe utilizar el comando de coniguracin de interaz no shutdown para que esta interaz de Capa 3 se ponga en uncionamiento. Cuando ea "interace VLAN x", se reiere a la interaz de Capa 3 relacionada con la VLAN x. Slo la VLAN de administracin tiene una VLAN inculada a ella.
1enga en cuenta que un switch de Capa 2, como el Cisco Catalyst 2960, permite que slo una interaz de la VLAN se encuentre actia por ez. Lllo signiica que la interaz de Capa 3 VLAN 99 esta actia pero la interaz de Capa 3 VLAN 1 no lo esta.
Haga clic en el botn Configurar gateway predeterminada que se muestra en la figura.
Configurar Gateway predeterminada
Ll switch debe conigurarse de modo tal que pueda reeniar paquetes IP a redes remotas. Ls el mecanismo para llear esto a cabo es la gateway predeterminada. Ll switch reena paquetes IP con direcciones IP de destino uera de la red local a la gateway predeterminada. Ln la igura, el router R1 es el router de siguiente salto. Su direccin IP es 12.1.99.1.
Para configurar una gateway predeterminada para el switch, utilice el comando ip default-gateway. Ingrese la direccin IP de la interaz del router de siguiente salto que esta conectada directamente al switch en el que se ha de conigurar la gateway predeterminada. Asegrese de guardar la coniguracin en ejecucin en un switch o router. Use el comando copy running-config startup-config para realizar una copia de respaldo de la coniguracin.
Haga clic en el botn Verificar Configuracin de la figura.
Verificacin Configuracin
La imagen de pantalla que aparece en la parte superior de la igura es un resultado abreiado de pantalla que indica que se ha conigurado la VLAN 99 con una direccin IP y mascara de subred, y que se ha asignado la interaz de administracin VLAN 99 al puerto last Lthernet l0,18.
Mostrar las interfaces IP
Use el comando show ip interface brief para eriicar el estado y uncionamiento del puerto. Lnsayara el uso del comando switchport access vlan 99 en las practicas de laboratorio y de Packet 1racer.
El comando mdix auto
Se sola requerir la utilizacin de ciertos tipos de cables ,de conexin cruzada o conexin directa, para realizar conexiones entre dispositios, por ejemplo, entre switches o entre un switch y un router. Ahora, en cambio, se puede utilizar el comando de coniguracin de interaz mdix auto de la CLI para habilitar la uncin automatica de conexin cruzada de interaz dependiente del medio ,auto-MDIX,.
Al habilitar la uncin auto-MDIX, el switch detecta el tipo de cable que se requiere para las conexiones Lthernet de cobre y, conorme a ello, conigura las interaces. Por lo tanto, se puede utilizar un cable de conexin directa o cruzada para realizar la conexin con un puerto 10,100,1000 de cobre situado en el switch, independientemente del tipo de dispositio que se encuentre en el otro extremo de la conexin.
La uncin auto-MDIX se habilita de manera predeterminada en los switches que ejecutan el sotware Cisco IOS, ersin 12.2,18,SL o posterior. Ln el caso de las ersiones existentes entre Cisco IOS, ersin 12.1,14,LA1 y 12.2,18,SL, la uncin auto-MDIX esta deshabilitada de manera predeterminada.
Configurar duplex y velocidad
Se puede utilizar el comando de coniguracin de interaz duplex para establecer el modo de operacin dplex en los puertos del switch. Ls posible establecer manualmente el modo dplex y la elocidad de los puertos del switch para eitar problemas entre distintos abricantes con la autonegociacin. Si bien pueden presentarse problemas al conigurar los parametros dplex de los puertos del switch en auto, en este ejemplo los switches S1 y S2 cuentan con los mismos parametros de elocidad y dplex. La igura describe los pasos para conigurar el puerto l0,1 en el switch S1.
Configurar una interfaz de Web
Los switches modernos de Cisco cuentan con una serie de herramientas de coniguracin basadas en \eb que requieren que el switch se conigure como seridor l11P. Lstas aplicaciones incluyen la interaz de usuario de explorador \eb de Cisco, el Administrador de router y dispositio de seguridad de Cisco, y las aplicaciones 1elephony Serice del IOS de Cisco e IP Phone.
Para controlar las personas que obtienen acceso a los sericios l11P del switch, puede conigurarse de manera opcional la autenticacin. Los mtodos de autenticacin pueden ser complejos. Ls probable que sean tantas las personas que utilizan los sericios l11P que se requerira un seridor independiente utilizado especicamente para administrar la autenticacin de los usuarios. Los modos de autenticacin AAA y 1ACACS son ejemplos que utilizan este tipo de mtodo de autenticacin remota. AAA y 1ACACS son protocolos de autenticacin que pueden utilizarse en las redes para alidar las credenciales del usuario. Posiblemente se necesite un mtodo de autenticacin menos complejo. Ll mtodo enable requiere que los usuarios utilicen la contrasena de enable del seridor. Ll mtodo de autenticacin local requiere que el usuario ingrese la combinacin de nombre de usuario de inicio de sesin, contrasena y acceso de niel priilegiado especiicados en la coniguracin del sistema local ,a tras del comando de coniguracin global username,.
Si desea obtener mas inormacin sobre 1ACACS, isite el sitio: http:,,www.cisco.com,en,US,tech,tk583,tk642,tsd_technology_support_sub-protocol_home.html.
Si desea obtener mas inormacin sobre AAA, isite el sitio: http:,,www.cisco.com,en,US,products,ps6638,products_data_sheet09186a00804e332.html.
Gestin de la tabla de direcciones MAC
Los switches utilizan tablas de direcciones MAC para determinar cmo eniar traico de puerto a puerto. Lstas tablasde direcciones MAC incluyen direcciones estaticas y dinamicas. La igura muestra un ejemplo de tabla de direcciones MAC, en el resultado del comando show mac-address-table, que incluye direcciones MAC estaticas y dinamicas.
Nota: La tabla de direcciones MAC ue preiamente deinida como memoria de contenido direccionable ,CAM, o tabla CAM.
Las direcciones dinamicas son las direcciones MAC de origen que el switch registra y que luego expiran cuando no estan en uso. Ls posible cambiar el alor del tiempo de expiracin de las direcciones MAC. Ll tiempo predeterminado es de 300 segundos. Si se establece un perodo de expiracin muy corto, las direcciones podran eliminarse de la tabla de manera prematura. Luego, cuando el switch reciba un paquete para un destino desconocido, lo eniara en orma masia a todos los puertos de una misma LAN ,o VLAN,. Lsta looding innecesaria puede aectar el uncionamiento. Si, en cambio, se establece un perodo de expiracin muy largo, la tabla de direcciones podra llenarse de direcciones no utilizadas e impedir que puedan registrarse las nueas. Lsto tambin puede proocar looding.
Ll switch proporciona direccionamiento dinamico al registrar la direccin MAC de origen de cada trama que recibe en cada puerto y al agregar luego la direccin MAC de origen y el nmero de puerto relacionado con ella a la tabla de direcciones MAC. A medida que se agregan o eliminan computadoras de la red, el switch actualiza la tabla de direcciones MAC al agregar nueas entradas y eliminar las que ya no estan en uso.
Un administrador de red puede asignar direcciones MAC estaticas a determinados puertos de manera especica. Las direcciones estaticas no expiran y el switch siempre sabe a qu puerto eniar el traico destinado a esa direccin MAC en particular. Por lo tanto, no necesita oler a registrar o realizar una actualizacin para saber a qu puerto se encuentra inculada la direccin MAC. Una razn para implementar direcciones MAC estaticas es de proporcionar al administrador de red un completo control sobre el acceso a la red. Slo los dispositios conocidos por el administrador de red podran conectarse a la red.
Para crear una asignacin estatica en la tabla de direcciones MAC, ingrese el comando mac-address-table static direccin MAC vlan {1-4096, ALL} interface ID de interfaz.
Para eliminar una asignacin estatica en la tabla de direcciones MAC, ingrese el comando no mac-address-table static direccin MAC vlan {1-4096, ALL} interface ID de interfaz.
Ll tamano maximo de la tabla de direcciones MAC ara con distintos switches. Por ejemplo: el switch de la serie Catalyst 2960 puede almacenar hasta 8192 direcciones MAC. Lxisten otros protocolos que pueden limitar la cantidad absoluta de direcciones MAC disponibles para un switch.
2.3.7 VERIFICACIN DE LA CONFIGURACIN DEL SWITCH Uso de los comandos Show
\a realizada la coniguracin inicial del switch, se debera conirmar que se ha lleado a cabo de manera correcta. Ln este tema se explicara cmo eriicar la coniguracin del switch a tras de distintos comandos show.
Haga clic en el botn Comandos show de la figura.
Cuando se necesita eriicar la coniguracin del switch Cisco, el comando show es de gran utilidad. Ll comando show se ejecuta desde el modo LXLC priilegiado. La igura presenta algunas de las opciones clae del comando show que eriican casi todas las caractersticas conigurables del switch. Lxisten arios comandos show adicionales que se iran introduciendo a lo largo del curso.
Haga clic en el botn show running-config que se muestra en la figura.
Uno de los comandos show mas importantes es el comando show running-config. Lste comando muestra la coniguracin que se esta ejecutando en el switch. Utilice este comando para eriicar que la coniguracin del switch sehaya realizado de manera correcta. La igura muestra un resultado abreiado del comando show running-conig. Los tres puntos indican que alta contenido. Ln la igura, se encuentra resaltado el resultado de pantalla del switch 1, que muestra:
Interaz last Lthernet 0,18 conigurada con la VLAN 99 de administracin VLAN 99 conigurada con una direccin IP de 12.1.99.11 255.255.0.0 Gateway predeterminada establecida en 12.1.50.1 Seridor l11P conigurado
Haga clic en el botn show interfaces que se muestra en la figura.
Otro comando recuentemente utilizado es show interfaces que muestra la inormacin estadstica y el estado de las interaces de red del switch. Ll comando show interfaces se utiliza habitualmente mientras se coniguran y monitorean los dispositios en la red. Recuerde que puede escribir un comando en orma parcial en la peticin de entrada de comandos y que, siempre y cuando ninguna otra opcin de comando sea la misma, el sotware IOS de Cisco lo interpretara de manera correcta. Por ejemplo: para este comando puede ingresar show int. La igura muestra el resultado de un comando show interfaces FastEthernet 0/1. La primera lnea resaltada en la igura indica que la interaz last Lthernet 0,1 esta actia y en uncionamiento. La siguiente lnea resaltada muestra que la coniguracin de dplex es automatica y la de elocidad tambin lo es.
2.3.8 ADMINISTRACIN BSICA DEL SWITCH.- Respaldar y restaurar el switch
Una tarea tpica del tcnico de red es la de cargar al switch una coniguracin. Ln este tema, se explicara cmo cargar y almacenar una coniguracin en la memoria lash del switch y en un seridor 1l1P.
Haga clic en el botn Respaldar configuraciones en la figura.
Cmo realizar la copia de seguridad de la configuracin
\a se ha explicado cmo realizar la copia de seguridad de la coniguracin en ejecucin de un switch en el archio de coniguracin de inicio. Se ha utilizado el comando copy running-config startup-config del modo LXLC priilegiado para realizar la copia de seguridad de las coniguraciones realizadas hasta el momento. Como es sabido, la coniguracin en ejecucin se guarda en la DRAM y la coniguracin de inicio se almacena en la seccin NVRAM de la memoria llash. Al introducir el comando copy running-config startup-config, el sotware IOS de Cisco copia la coniguracin en ejecucin en la NVRAM, de modo que cuando el switch arranque, la coniguracin de inicio se cargue con la nuea coniguracin.
No siempre se desea guardar los cambios que se realizan en la coniguracin en ejecucin de un switch. Por ejemplo: quizas se necesite cambiar la coniguracin por un bree perodo y no en orma permanente.
Si el usuario desea mantener arios archios de coniguracin de inicio en el dispositio, puede copiar la coniguracin en archios de distinto nombre utilizando el comando copy startup-conig lash:ilename. Ll almacenamiento de arias ersiones de coniguracin de inicio brinda la posibilidad de recurrir a ellos en caso de tener diicultades con la coniguracin en determinado momento. La igura muestra tres maneras de realizar la copia de seguridad de la coniguracin en la memoria llash. La primera es la sintaxis completa y ormal. La segunda es la sintaxis recuentemente utilizada. Utilice la primer sintaxis si no conoce bien el dispositio de red con el que esta trabajando y utilice la segunda sintaxis si sabe que el destino es la NVRAM lash instalada en el switch. La tercera es la sintaxis utilizada para guardar una copia del archio de coniguracin de inicio en la memoria lash.
Haga clic en el botn Restaurar configuraciones en la figura.
Restauracin de la configuracin
La restauracin de una coniguracin es un proceso sencillo. Slo se debe copiar la coniguracin guardada sobre la coniguracin actual. Por ejemplo: si tiene una coniguracin guardada llamada conig.bak1, puede restaurarla sobre la coniguracin de inicio existente ingresando el comando copy lash:conig.bak1 startup-conig del IOS de Cisco. Una ez que se ha restaurado la coniguracin de inicio, se debe proceder a reiniciar el switch, de modo que ste recargue la nuea coniguracin de inicio, por medio del comando reload en el modo LXLC priilegiado.
Ll comando reload detiene el sistema. Si el sistema esta conigurado para reiniciarse en caso de errores, lo hara automaticamente. Despus de introducir la inormacin de coniguracin en un archio y guardarla en la coniguracin de inicio, introduzca el comando reload.
Nota: No puede recargarse desde un terminal irtual si el switch no esta conigurado para reiniciarse automaticamente. Lsta restriccin eita que el sistema se desconecte del monitor ROM ,ROMMON, y quede, por consiguiente, el sistema uera del control del usuario remoto.
Despus de ingresar el comando reload, el sistema preguntara si desea guardar la coniguracin. Normalmente debera responderse "s" pero, en este caso en particular, la respuesta debera ser "no". Si se respondiera en orma airmatia, se sobrescribira el archio recientemente restaurado. Siempre debe considerarse si la coniguracin actual en ejecucin es la que se quiere mantener actia despus de la recarga.
Si desea obtener mas inormacin sobre el comando reload, consulte la gua Cisco IOS Coniguration lundamentals Command Reerence, Release 12.4 en el sitio \eb: http:,,www.cisco.com,en,US,docs,ios,undamentals,command,reerence,c_book.html.
Nota: 1ambin existe la opcin de introducir el comando copy startup-config running-config. Desaortunadamente, este comando no sobrescribe completamente la coniguracin en ejecucin sino que slo agrega los comandos existentes de la coniguracin de inicio a la coniguracin en ejecucin. Se recomienda tener cuidado al hacerlo, ya que podran obtenerse resultados no deseados.
Archivos de configuracin de respaldo en un servidor TFTP
Una ez conigurado el switch con todas las opciones deseadas, se recomienda hacer una copia de seguridad de la coniguracin y colocarla en un archio junto con las otras copias de seguridad del resto de la inormacin de lared. Al tener la coniguracin almacenada de manera segura uera del switch, ste queda protegido en caso de que surja algn problema serio.
Algunas coniguraciones de switch tardan muchas horas en comenzar a uncionar correctamente. Si se pierde la coniguracin debido a una alla en el hardware del switch, se necesitara conigurar uno nueo. Si existe una copia de seguridad de la coniguracin del switch en alla, sta podra cargarse rapidamente en el nueo switch. De no existir dicha copia de seguridad, se debera conigurar el nueo switch desde cero.
Se puede utilizar 1l1P para realizar la copia de seguridad de los archios de coniguracin en la red. Ll sotware IOS de Cisco iene con un cliente de 1l1P incorporado que permite que el usuario se conecte con un seridor 1l1P en su red.
Nota: Lxisten paquetes de sotware de seridores 1l1P gratis en Internet que el usuario puede utilizar en caso de no contar con ninguno de stos. Un seridor 1l1P que se utiliza recuentemente es de www.solarwinds.com.
Creacin de la copia de seguridad de la configuracin
Para subir un archio de coniguracin del switch al seridor 1l1P para su almacenamiento, se deberan seguir los siguientes pasos:
Paso 1. Veriique que el seridor 1l1P se est ejecutando en la red.
Paso 2. Inicie sesin en el switch a tras del puerto de consola o sesin 1elnet. labilite el switch y luego haga ping al seridor 1l1P.
Paso 3. Suba la coniguracin del switch en el seridor 1l1P. Lspeciique la direccin IP o el nombre de host del seridor 1l1P y el nombre del archio de destino. Ll comando del IOS de Cisco es: #copy system:running-config ttp:|||,,ubicacin|,directorio|,nombre del archio| or #copy nvram:startup-config ttp:|||,,ubicacin|,directorio|,nombre del archio|.
La igura muestra un ejemplo de cmo realizar la copia de seguridad de la coniguracin en un seridor 1l1P.
Restauracin de la configuracin
Una ez que la coniguracin se ha almacenado correctamente en el seridor 1l1P, se la puede copiar nueamente en el switch mediante los siguientes pasos:
Paso 1. Copie el archio de coniguracin en el correspondiente directorio del seridor 1l1P ,si es que ya no se encuentra all,.
Paso 2. Veriique que el seridor 1l1P se est ejecutando en la red.
Paso 3. Inicie sesin en el switch a tras del puerto de consola o sesin 1elnet. labilite el switch y luego haga ping al seridor 1l1P.
Paso 4. Descargue el archio de coniguracin del seridor 1l1P para conigurar el switch. Lspeciique la direccin IP o el nombre de host del seridor 1l1P y el nombre del archio que desea descargar. Ll comando del IOS de Cisco es: 4copy tftp:|||,,ubicacin|,directorio|,nombre del archio| system:running-config or #copy tftp:|||,,ubicacin|,directorio|,nombre del archio| nvram:startup-config.
Si el archio de coniguracin se descarga en la coniguracin en ejecucin, los comandos se ejecutan mientras el archio se analiza sintacticamente lnea por lnea. Si el archio de coniguracin se descarga en la coniguracin de inicio, se debera oler a cargar el switch para hacer eectios los cambios.
Eliminacin de los archivos de configuracin
Ls posible borrar la inormacin de la coniguracin de inicio. Puede llear esto a cabo en caso de tener que eniar un switch usado a un cliente o bien a otro departamento y desee asegurarse de que se conigure el switch nueamente. Al borrar el archio de coniguracin de inicio, cuando el switch se reinicia, se ejecuta el programa de coniguracin inicial para que ste pueda reconigurarse con los nueos parametros.
Para borrar el contenido de la coniguracin de inicio, utilice el comando erase nvram: o erase startup-config del modo LXLC priilegiado. La igura muestra un ejemplo de eliminacin de los archios de coniguracin almacenados en NVRAM.
Precaucin: No se podra restaurar el archio de coniguracin de inicio una ez que se ha borrado el archio correspondiente. Por consiguiente, asegrese de guardar una copia de seguridad de ella en caso de necesitar restaurarla mas adelante.
Eliminacin de un archivo de configuracin almacenado
Puede haber estado trabajando en una compleja tarea de coniguracin y haber guardado arias copias de seguridad de los archios en llash. Para borrar un archio de la memoria llash, utilice el comando delete flash: nombre del archio del modo LXLC priilegiado. Segn los parametros del comando de coniguracin global de indicacin de archios, es posible que se le pida una conirmacin antes de borrar el archio. De manera predeterminada, el switch solicita una conirmacin antes de borrar un archio.
Precaucin: No se podra restaurar el archio de coniguracin de inicio una ez que se ha borrado el archio correspondiente. Por consiguiente, asegrese de guardar una copia de seguridad de ella en caso de necesitar restaurarla mas adelante.
Una ez que se ha borrado o eliminado la coniguracin, se puede oler a cargar el switch con una nuea coniguracin.
2.4 CONFIGURACION DE LA SEGURIDAD DEL SWITCH.- 2.4.1 CONFIGURACIN DE OPCIONES DE LAS CONTRASEAS. Configurar el acceso a la consola
Ln este tema, se explicara cmo conigurar las contrasenas para el acceso a la consola, al terminal irtual y al modo LXLC. 1ambin se detallara cmo encriptar y recuperar contrasenas en un switch.
Lsta inormacin es sumamente importante y debe permanecer muy bien guardada y protegida. La Oicina lederal de Inestigacin ,lBI, lederal Bureau o Inestigation, de los Lstados Unidos calcula que las empresas pierden
aproximadamente 6 200 millones de dlares por ano como consecuencia de los delitos relacionados con la inormatica. Ln particular, la inormacin personal de los clientes se ende a precios altsimos. A continuacin, se presentan algunos precios actuales de datos robados:
Cajeros automaticos ,A1M, Automatic 1eller Machine, o tarjeta de dbito con nmero de identiicacin personal ,PIN,: >500 Nmero de licencia de conducir: >150 Nmero del seguro social: >100 Nmero de tarjeta de crdito con echa de encimiento: de >15 a >20
La seguridad de los switches comienza con la proteccin de ellos contra el acceso no autorizado.
Se pueden realizar todas las opciones de coniguracin desde la consola. Para acceder a la consola, se necesita tener acceso sico local al dispositio. Si no se asegura la consola de orma adecuada, usuarios malintencionados podran comprometer la coniguracin del switch.
Proteccin de la consola
Para proteger el puerto de consola contra el acceso no autorizado, establezca una contrasena utilizando el comando de modo de coniguracin de lnea password password. Utilice el comando line console 0 para conmutar del modo de coniguracin global al modo de coniguracin de lnea para la consola 0, que es el puerto de consola de los switches Cisco. La indicacin cambia a ,conig-line,4, senalando que ahora el switch esta en el modo de coniguracin de lnea. Desde el modo de coniguracin de lnea se puede establecer la contrasena para la consola mediante el comando password password. Para asegurar que el usuario que desee tener acceso al puerto de consola deba introducir la contrasena, utilice el comando login. Aun cuando se ha establecido una contrasena, no se solicitara que se la introduzca si no se ha introducido el comando login.
La igura muestra los comandos utilizados para conigurar y solicitar la contrasena para el acceso a la consola. Recuerde que puede utilizar el comando show running-config para eriicar la coniguracin. Antes de completar la coniguracin del switch, recuerde guardar el archio de coniguracin en ejecucin en la coniguracin de inicio.
Lliminacin de la contrasena de consola
Si necesita eliminar la contrasena y la solicitud de ingreso de contrasena al iniciar sesin, siga los pasos a continuacin:
Paso 1.Cambie de modo LXLC priilegiado a modo de coniguracin global. Ingrese el comando configure terminal.
Paso 2. Cambie del modo de coniguracin global al modo de coniguracin de lnea para la consola 0. La indicacin del comando ,conig-line,4 senala que se encuentra en el modo de coniguracin de lnea. Ingrese el comando line console 0.
Paso 3. Llimine la contrasena de la lnea de la consola mediante el comando no password.
Precaucin: Si no se ha establecido ninguna contrasena y el inicio de sesin an se encuentra habilitado, no se podra tener acceso a la consola.
Paso 4. Llimine la solicitud de ingreso de contrasena al iniciar sesin en la consola mediante el comando no login.
Paso 5. Salga del modo de coniguracin de lnea y regrese al modo LXLC priilegiado mediante el comando end.
Proteccin de los Puertos vty
Los puertos ty de un switch Cisco permiten obtener acceso remoto al dispositio. Ls posible llear a cabo todas las opciones de coniguracin mediante los puertos de terminal ty. No se necesita acceso sico al switch para obtener acceso a los puertos ty. Por ello, es muy importante que estn protegidos. Cualquier usuario con acceso de red al switch puede establecer una conexin remota de terminal ty. Si no se aseguran los puertos ty en orma adecuada, usuarios malintencionados podran comprometer la coniguracin del switch.
Para proteger los puertos ty contra el acceso no autorizado, se puede establecer que se requiera una contrasena de ty permitir el acceso.
La contrasena de los puertos ty debe establecerse desde el modo de coniguracin de lnea.
Un switch de Cisco puede contar con arios puertos ty disponibles. Varios puertos permiten que mas de un administrador pueda conectarse y administrar el switch. Para proteger todas las lneas ty, asegrese de que se establezca una contrasena y que el inicio de sesin sea obligatorio en todas las lneas. La alta de proteccin en algunas lneas compromete la seguridad y permite el acceso no autorizado al switch.
Utilice el comando line vty 0 4 para cambiar del modo de coniguracin global al modo de coniguracin de lnea para las lneas ty de 0 a 4.
Nota: Si el switch tiene mas lneas ty disponibles, ajuste el interalo para proteger a todas ellas. Por ejemplo: el Cisco 2960 tiene disponibles desde la lnea 0 hasta la 15.
La igura muestra los comandos utilizados para conigurar y solicitar la contrasena para el acceso a ty. Puede utilizar el comando show running-config para eriicar la coniguracin y el comando copy running-config startup config para guardar el trabajo realizado.
Eliminacin de la contrasea de vty
Si necesita eliminar la contrasena y la solicitud de ingreso de contrasena al iniciar sesin, siga los pasos a continuacin: Paso 1. Cambie de modo LXLC priilegiado a modo de coniguracin global. Ingrese el comando configure terminal. Paso 2. Cambie del modo de coniguracin global al modo de coniguracin de lnea para los terminales de 0 a 4. La indicacin del comando ,conig-line,4 senala que esta en el modo de coniguracin de lnea. Ingrese el comando line vty 0 4. Paso 3. Llimine la contrasena de la lnea de la consola mediante el comando no password. Precaucin: Si no se ha establecido ninguna contrasena y el inicio de sesin an se encuentra habilitado, no se podra tener acceso a la consola. Paso 4. Llimine la solicitud de ingreso de contrasena al iniciar sesin en la consola mediante el comando no login. Paso 5. Salga del modo de coniguracin de lnea y regrese al modo LXLC priilegiado mediante el comando end.
Configurar contraseas del modo EXEC
Ll modo LXLC priilegiado permite que cualquier usuario habilite este modo en un switch Cisco para conigurar cualquier opcin disponible en el switch. 1ambin puede er todos los parametros de la coniguracin en curso del switch e incluso algunas de las contrasenas encriptadas. Por este motio, es importante resguardar el acceso al modo LXLC priilegiado.
Ll comando de coniguracin global enable password permite especiicar una contrasena para restringir el acceso al modo LXLC priilegiado. Sin embargo, una desentaja del comando enable password es que almacena la contrasena en texto legible en la coniguracin de inicio y en la coniguracin en ejecucin. Si alguna persona obtuiese acceso a un archio de coniguracin de inicio almacenado o bien acceso temporal a una sesin de 1elnet o de consola que se encuentre en el modo LXLC priilegiado, podra leer la contrasena. Como consecuencia, Cisco introdujo una nuea opcin de contrasena para controlar el acceso al modo LXLC priilegiado que almacena dicha contrasena en un ormato encriptado.
Se puede asignar una orma encriptada de la contrasena de enable, llamada contrasena secreta de enable, ingresando el comando enable secret con la contrasena deseada en la solicitud del modo de coniguracin global. Si se conigura la contrasena secreta de enable, se utiliza sa en lugar de la contrasena de enable y no ademas de ella. Ll sotware IOS de Cisco tambin cuenta con una salaguarda incorporada que eita que el usuario conigure la contrasena secreta de enablecon la misma contrasena utilizada para la contrasena de enable.
La igura muestra los comandos utilizados para conigurar las contrasenas del modo LXLC priilegiado. Puede utilizar el comando show running-config para eriicar la coniguracin y el comando copy running-config startup config para guardar el trabajo realizado.
Eliminacin de la contrasea del modo EXEC
Si desea eliminar la solicitud de contrasena para obtener acceso al modo LXLC priilegiado, puede utilizar los comandos no enable password y no enable secret desde el modo de coniguracin global.
Configurar contraseas encriptadas
Cuando se coniguran contrasenas en la CLI del IOS de Cisco, todas ellas, excepto la contrasena secreta de enable, se almacenan de manera predeterminada en ormato de texto sin cirar dentro de la coniguracin de inicio y de la coniguracin en ejecucin. La igura muestra un resultado de pantalla abreiado del comando show running-config del switch S1. Las contrasenas en texto sin cirar estan resaltadas en color naranja. Como norma uniersal, las contrasenas deben estar encriptadas y no almacenadas en ormato de texto sin cirar. Ll comando del IOS de Cisco service password- encryption habilita la encriptacin de la contrasena de sericio.
Cuando se ingresa el comando service password-encryption desde el modo de coniguracin global, todas las contrasenas del sistema se almacenan en ormato encriptado. No bien se ingresa el comando, todas las contrasenas establecidas en el momento se conierten en contrasenas encriptadas. Ln la parte inerior de la igura, las contrasenas encriptadas estan resaltadas en color naranja.
Si desea eliminar el requisito de almacenar todas las contrasenas del sistema en ormato encriptado, ingrese el comando no serice password-encryption desde el modo de coniguracin global. La eliminacin de la caracterstica de encriptacin de contrasenas no uele a conertir las contrasenas ya encriptadas en ormato de texto legible. No obstante, todas las contrasenas que se coniguren de all en mas se almacenaran en ormato de texto legible.
Nota: Ll comando serice password-encryption se conoce como tipo . Lste estandar de encriptacin es muy dbil y existen herramientas de acil acceso en Internet para descirar las contrasenas encriptadas con dicho estandar. Ll tipo 5 es mas seguro, pero debe realizarse de orma manual para cada contrasena que se conigure.
Recuperacin de contrasea de Enable
Despus de conigurar contrasenas para controlar el acceso a la CLI del IOS de Cisco, el usuario debe asegurarse de recordarlas. Ln caso de que se pierdan u oliden las contrasenas de acceso, Cisco cuenta con un mecanismo de recuperacin de contrasena que permite a los administradores obtener acceso a los dispositios de Cisco. Ll proceso de recuperacin de contrasena requiere el acceso sico al dispositio. La igura muestra una captura de pantalla del isualizador de la consola que indica que se ha habilitado la recuperacin de contrasena. Ll isualizador se era despus del paso 3 mas abajo.
1enga en cuenta que probablemente no pueda recuperar realmente las contrasenas del dispositio Cisco, especialmente si se ha habilitado la encriptacin de contrasenas, pero s podra restablecerlas con un nueo alor.
Si desea obtener mas inormacin sobre el procedimiento de contrasenas, isite el sitio: http:,,www.cisco.com,en,US,products,sw,iosswrel,ps1831,products_tech_note09186a0080146e6.shtml.
Para recuperar la contrasena de un switch Cisco 2960, llee a cabo los siguientes pasos:
Paso 1. Conecte un terminal o PC, con el sotware de emulacin de terminal, al puerto de consola del switch.
Paso 2. Lstablezca la elocidad de lnea del sotware de emulacin en 9600 baudios.
Paso 3. Apague el switch. Vuela a conectar el cable de alimentacin al switch y, en no mas de 15 segundos, presione el botn Mode mientras la luz erde del LLD del sistema est parpadeando. Siga presionando el botn Mode hasta que el LLD del sistema cambie al color ambar durante unos segundos y luego erde en orma permanente. Suelte el botn Mode.
Paso 4. Inicialice el sistema de archios llash a tras del comando flash_init.
Paso 5. Cargue archios helper mediante el comando load_helper.
Paso 6. Visualice el contenido de la memoria llash a tras del comando dir flash:
Se mostrara el sistema de archios del switch:
Directory o lash:,
13 drwx 192 Mar 01 1993 22:30:48 c2960-lanbase-mz.122-25.lX 11-rwx 5825 Mar 01 1993 22:31:59 conig.text 18 -rwx 20 Mar 01 1993 02:21:30 lan.dat 16128000 bytes total ,10003456 bytes ree,
Paso 7. Cambie el nombre del archio de coniguracin por conig.text.old, que contiene la deinicin de la contrasena, mediante el comando rename flash:config.text flash:config.text.old.
Paso 8. Reinicie el sistema con el comando boot.
Paso 9. Se solicitara que ejecute el programa de coniguracin inicial. Ingrese N ante la solicitud y, luego, cuando el sistema pregunte si desea continuar con el dialogo de coniguracin, ingrese N.
Paso 10. Ante la indicacin de switch, ingrese al modo LXLC priilegiado por medio del comando enable.
Paso 11. Cambie el nombre del archio de coniguracin y uela a colocarle el nombre original mediante el comando rename flash:config.text.old flash:config.text.
Paso 12. Copie el archio de coniguracin en la memoria a tras del comando copy flash:config.text system:running- config. Despus de ingresar este comando, se mostrara el siguiente texto en la consola:
Source ilename |conig.text|
Destination ilename |running-conig|
Presione Return en respuesta a las solicitudes de conirmacin. Ll archio de coniguracin se ha cargado nueamente y, ahora, se puede cambiar la contrasena.
Paso 13. Ingrese al modo de coniguracin global mediante el comando configure terminal.
Paso 14. Cambie la contrasena mediante el comando enable secret password.
Paso 15. Regrese al modo LXLC priilegiado mediante el comando exit.
Paso 16. Lscriba la coniguracin en ejecucin en el archio de coniguracin de inicio mediante el comando copy running-config startup-config.
Paso 17. Vuela a cargar el switch mediante el comando reload.
Nota: Ll procedimiento de recuperacin de contrasena puede ariar segn la serie del switch de Cisco. Por lo tanto, debera consultar la documentacin pertinente al producto antes de intentar recuperaruna contrasena.
2.4.2 MENSAJES DE INICIO DE SESIN.- Configurar un ttulo de inicio de sesin
Ll conjunto del comando IOS de Cisco incluye una caracterstica que permite conigurar los mensajes que cualquier persona puede er cuando inicia sesin en el switch. Lstos mensajes se llaman mensajes de inicio de sesin y mensajes del da ,MO1D,. Ln este tema, aprendera a conigurarlos.
Ll usuario puede deinir un mensaje personalizado para que se muestre antes de los aisos de inicio de sesin del nombre de usuario y la contrasena utilizando el comando banner login en el modo de coniguracin global. Coloque el texto del mensaje en citas o utilizando un delimitador dierente a cualquier caracter que aparece en la cadena de MO1D.
La igura muestra el switch S1 conigurandose con un mensaje de inicio de sesin Personal autorizado nicamente!
Para eliminar el mensaje MO1D, ingrese el ormato no de este comando en el modo de coniguracin global, por ejemplo, S1,conig,4no banner login.
Configurar un ttulo de MOTD
Ll mensaje MO1D se muestra en todos los terminales conectados en el inicio de sesin y es til para eniar mensajes que aectan a todos los usuarios de la red ,como desconexiones inminentes del sistema,. Si se conigura, el mensaje MO1D se muestra antes que el mensaje de inicio de sesin.
Deina el mensaje MO1D utilizando el comando banner motd en el modo de coniguracin global. Coloque el texto del mensaje en citas.
La igura muestra el switch S1 conigurandose con un mensaje MO1D para mostrar El mantenimiento del dispositivo se realizar el viernes!
Para eliminar el mensaje de inicio de sesin, ingrese el ormato no de este comando en el modo de coniguracin global, por ejemplo, S1,conig,4no banner motd.
2.4.3 CONFIGURE TELNET Y SSH.- Telnet y SSH
Los switches mas antiguos quizas no admitan la comunicacin segura con el shell seguro ,SSl, Secure Shell,. Lste tema lo ayudara a elegir entre los mtodos 1elnet y SSl para comunicarse con un switch.
Lxisten dos opciones para acceder en orma remota aty en un switch de Cisco.
1elnet es el mtodo original que los primeros modelos de switch de Cisco admitan. 1elnet es un protocolo popular utilizado para acceder al terminal debido a que la mayora de los sistemas operatios actuales ienen con un cliente 1elnet incorporado. Sin embargo, 1elnet es una manera insegura de acceder a un dispositio de red, porque ena todas las comunicaciones a tras de la red en un texto claro. Mediante el sotware de monitoreo de red, un atacante puede leer todas las teclas que se enan entre el cliente 1elnet y el sericio 1elnet ejecutandose en el switch de Cisco. Debido a las cuestiones de seguridad del protocolo de 1elnet, SSl se ha conertido en el protocolo preerido para acceder remotamente a lneas de terminales irtuales en un dispositio Cisco.
SSl proporciona el mismo tipo de acceso que 1elnet, con el beneicio agregado de seguridad. La comunicacin entre el cliente SSl y el seridor SSl esta encriptada. SSl pas por algunas ersiones, con los dispositios deCisco admitiendo
actualmente SSl1 y SSl2. Se recomienda que implemente SSl2 cuando sea posible, debido a que utiliza un algoritmo de encriptacin de seguridad mejor que SSl1.
La igura presenta las dierencias entre los dos protocolos.
Configuracin de Telnet
1elnet es el protocolo predeterminado que admite ty en un switch de Cisco. Cuando se asigna una direccin IP de administracin al switch de Cisco, puede conectarlo utilizando el cliente 1elnet. Inicialmente, las lneas ty son inseguras al permitir el acceso a cualquier usuario que intenta conectarse a ellas.
Ln el tema anterior, aprendi cmo asegurar el acceso al switch sobre las lneas ty solicitando una autenticacin de contrasena. Lsto hace que la ejecucin del sericio de 1elnet sea un poco mas segura.
Como 1elnet es el transporte predeterminado para las lneas ty, no necesita especiicarlo despus de que se llee a cabo la coniguracin inicial del switch. Sin embargo, si ha conmutado el protocolo de transporte en las lneas ty parapermitir slo SSl, debe habilitar el protocolo de 1elnet para permitir el acceso manual de 1elnet.
Si necesita oler a habilitar el protocolo de 1elnet en un switch 2960 de Cisco, utilice el siguiente comando desde el modo de coniguracin de lnea: ,conig-line,4transport input telnet o ,conig-line,4transport input all.
Al permitir todos los protocolos de transporte, todaa permite el acceso SSl al switch, como tambin el acceso a 1elnet.
Configuracin de SSH
SSl es una caracterstica criptograica de seguridad que esta sujeta a exportar restricciones. Para utilizar esta caracterstica se debe instalar una imagen criptograica en su switch.
La caracterstica SSl tiene un seridor SSl y un cliente integrado SSl, que son aplicaciones que se ejecutan en el switch. Puede utilizar cualquier cliente SSl que se ejecuta en una PC o el cliente SSl de Cisco que se ejecuta en el switch para conectar a un switch que se ejecuta en el seridor SSl.
Ll switch admite SSl1 o SSl2 para el componente de seridor. Ll switch admite slo SSl1 para el componente de cliente.
SSl admite el algoritmo Lstandar de encriptacin de datos ,DLS, , el algoritmo DLS triple ,3DLS, y la autenticacin de usuario basada en la contrasena. DLS orece encriptacin de 56 bits, y 3DLS orece encriptacin de 168 bits. La encriptacin llea tiempo, pero DLS demora menos que 3DLS en encriptar texto. 1picamente, los estandares de encriptacin los especiica el cliente. Lntonces, si tiene que conigurar SSl, pregunte cual utilizar. ,Ll analisis de los mtodos de encriptacin de datos esta mas alla del alcance de este curso,.
Para implementar SSl, debe generar claes RSA. RSA incluye una clae pblica, guardada en un seridor pblico de RSA y una clae priada, guardada slo por el emisor y el receptor. La clae pblica la pueden conocer todos y se utiliza para encriptar mensajes. Los mensajes encriptados con la clae pblica slo se pueden descirar utilizando la clae priada. Lsto se conoce como encriptacin asimtrica y se analizara con mas detalle en Lxploration: Acceso al curso \AN.
Debe generar las claes RSA encriptadas utilizando el comando crypto key generate rsa.
Necesita este proceso si esta conigurando el switch como un seridor SSl. Comenzando en el modo LXLC priilegiado, siga estos pasos para conigurar un nombre de host y nombre de dominio IP y para generar un par de claes RSA.
Paso 1. Ingrese al modo de coniguracin global mediante el comando configure terminal.
Paso 2. Conigure un nombre de host para su switch utilizando el comando hostname nombre de host.
Paso 3. Conigure un dominio de host para su switch utilizando el comando ip domain-name nombre de dominio.
Paso 4. labilite el seridor SSl para la autenticacin remota y local en el switch y genere un par de claes RSA utilizando el comando crypto key generate rsa.
Cuando genera claes RSA, se le indica que ingrese una longitud de mdulo. Cisco recomienda utilizar un tamano de mdulo de 1024 bits. Una longitud de mdulo mas larga puede ser mas segura, pero demora mas en generar y utilizar.
Paso 5. Regrese al modo LXLC priilegiado utilizando el comando end.
Paso 6. Muestre el estado del seridor SSl en el switch utilizando el comando show ip ssh o show ssh.
Para eliminar el par de claes RSA, utilice el comando crypto key zeroize rsa de coniguracin global. Despus de eliminarse el par de claes RSA, el seridor SSl se deshabilita automaticamente.
Configuracin del servidor SSH
Comenzando en el modo LXLC priilegiado, siga estos pasos para conigurar el seridor SSl.
Paso 1. Ingrese al modo de coniguracin global mediante el comando configure terminal.
Paso 2. ,Opcional, Conigure el switch para ejecutar SSl1 o SSl2 utilizando el comando ip ssh version [1 | 2].
Si no ingresa este comando o no especiica una palabra clae, el seridor SSl selecciona la ltima ersin admitida por el cliente SSl. Por ejemplo: si el cliente SSl admite SSl1 y SSl2, el seridor SSl selecciona SSl2.
Paso 3. Conigure los parametros de control de SSl:
Lspeciique el alor del tiempo muerto en segundos, la opcin predeterminada es 120 segundos. Ll interalo es de 0 a 120 segundos Para que se conecte SSl para estar establecido, se deben completar un nmero de ases, como conexin, negociacin de protocolo y negociacin de parametros. Ll alor del tiempo muerto se aplica a la cantidad de tiempo que el switch permite para que se establezca una conexin.
De manera predeterminada, estan disponibles hasta cinco conexiones SSl simultaneas encriptadas para arias sesiones basadas en CLI sobre la red ,sesin 0 a sesin 4,. Despus de que comienza la ejecucin de shell, el alor del tiempo muerto de la sesin basada en CLI regresa a los 10 minutos predeterminados.
Lspeciique el nmero de eces que un cliente puede oler a autenticarse al seridor. La opcin predeterminada es 3, el interalo es de 0 a 5. Por ejemplo: un usuario puede permitir que la sesin SSl se mantenga por mas de 10 minutos tres eces antes de que inalice la sesin SSl.
Repita este paso cuando conigure ambos parametros. Para conigurar ambos parametros utilice el comando ip ssh {timeout segundos | authentication-retries nmero}.
Paso 4. Regrese al modo LXLC priilegiado mediante el comando end.
Paso 5. Muestre el estado de las conexiones del seridor SSl en el switch utilizando el comando show ip ssh o show ssh.
Paso 6. ,Opcional, Guarde sus entradas en el archio de coniguracin utilizando el comando copy running-config startup-config.
Si quiere eitar conexiones que no sean de SSl, agregue el comando transport input ssh en el modo coniguracin en lnea para limitar al switch a conexiones slo de SSl. Las conexiones de 1elnet directas ,no SSl, se rechazan.
Para obtener un analisis mas detallado sobre SSl, isite: http:,,www.cisco.com,en,US,tech,tk583,tk61,tsd_technology_support_protocol_home.html.
Para obtener una descripcin general de la tecnologa de RSA, isite: http:,,en.wikipedia.org,wiki,Public- key_cryptography.
Para obtener un analisis mas detallado sobre tecnologa de RSA, isite: http:,,www.rsa.com,rsalabs,node.aspid~2152.
2.4.4 ATAQUES DE SEGURIDAD COMUNES.- Saturacin de la direccin MAC
Desaortunadamente, la seguridad de switch basica no detiene los ataques maliciosos. Ln este tema aprendera acerca de unos pocos ataques de seguridad comunes y lo peligrosos que pueden ser. Lste tema proporciona inormacin de niel introductorio acerca de los ataques de seguridad. Los detalles sobre la orma en que uncionan estos ataques comunes exceden el alcance de este curso. Si le interesa la seguridad de red, inestigue el curso CCNA Lxploration: acceso a la \AN.
Saturacin de la direccin MAC
La looding de direcciones MAC es un ataque comn. Recuerde que la tabla de direcciones MAC del switch contiene las direcciones MAC disponibles de un puerto sico determinado de un switch y los parametros asociados para cada uno. Cuando un switch de la Capa 2 recibe una trama, el switch busca en la tabla de direcciones MAC la direccin MAC de destino. 1odos los modelos de switches Catalyst utilizan una tabla de direcciones MAC para la conmutacin en la Capa 2. A medida que las tramas llegan a los puertos del switch, las direcciones MAC de origen se aprenden y se registran en la tabla de direcciones MAC. Si existe una entrada para la direccin MAC, el switch ena la trama al puerto designado con esa direccin MAC en la tabla de direcciones MAC. Si la direccin MAC no existe, el switch acta como un hub y ena la trama a todos los puertos del switch. Los ataques de sobrecarga de la tabla de direcciones MAC son tambin conocidos como ataques de looding de MAC. Para comprender el mecanismo de un ataque de sobrecarga de la tabla de direcciones MAC, recuerde el uncionamiento basico del switch.
Haga clic en el botn Paso 1 de la figura para er la orma en que comienza el ataque de sobrecarga de la tabla de direcciones MAC.
Ln la igura, el host A ena traico al host B. Ll switch recibe las tramas y busca la direccin MAC de destino en su tabla de direcciones MAC. Si el switch no encuentra la MAC de destino en la tabla de direcciones MAC, entonces copia la trama y la ena por broadcast a todos los puertos del switch.
Haga clic en el botn Paso 2 de la igura para er el paso siguiente.
Ll host B recibe la trama y ena una respuesta al host A. Ll switch aprende entonces que la direccin MAC para el host B se encuentra en el puerto 2 y escribe esta inormacin en la tabla de direcciones MAC.
Ll host C tambin recibe la trama que a del host A al host B, pero debido a que la direccin MAC de destino de la trama es el host B, el host C la descarta.
Haga clic en el botn Paso 3 de la igura para er el paso siguiente.
Ahora, cualquier trama eniada por el host A ,o por cualquier otro host, al host B se ena al puerto 2 del switch y no a todos los demas puertos.
La clae para entender cmo uncionan los ataques de sobrecarga de la tabla de direcciones MAC es saber que estas tablas poseen un lmite de tamano. Las looding de MAC utilizan esta limitacin para bombardear al switch con direcciones MAC alsas hasta que la tabla de direcciones MAC del switch est llena. Luego el switch ingresa a lo que se conoce como modo de alla de apertura, comienza a actuar como un hub y ena paquetes de broadcast a todas las maquinas de la red. Ln consecuencia, el atacante puede er todas las tramas eniadas por el host ctima a otro host que no posee una entrada en la tabla de direcciones MAC.
Haga clic en el botn Paso 4 de la igura para er la orma en que un atacante utiliza herramientas legtimas de manera maliciosa.
La igura muestra la orma en que un atacante puede utilizar las caractersticas de uncionamiento normales del switch para que deje de uncionar.
Las looding de MAC pueden llearse a cabo mediante una herramienta de ataque de red. Ll intruso de la red utiliza la herramienta de ataque para inundar el switch con una gran cantidad de direcciones MAC de origen no alidas hasta que se llene la tabla de direcciones MAC. Cuando la tabla de direcciones MAC esta llena, el switch satura todos los puertos con traico de entrada, ya que no puede encontrar el nmero de puerto para una direccin MAC en particular en la tabla de direcciones MAC. Ln esencia, el switch acta como un hub.
Algunas herramientas de ataque de red pueden generar 155 000 entradas de MAC en un switch por minuto. Ll tamano maximo de la tabla de direcciones MAC ara en uncin del switch. Ln la igura, la herramienta de ataque se ejecuta en el host con direccin MAC C en la parte inerior derecha de la pantalla. Lsta herramienta satura el switch con paquetes que contienen direcciones MAC e IP de origen y destino generadas de manera aleatoria. Despus de un corto perodo de tiempo, la tabla de direcciones MAC del switch se llena hasta que no puede aceptar entradas nueas. Cuando la tabla de direcciones MAC se llena con direcciones MAC de origen no alidas, el switch comienza a eniar todas las tramas que recibe a todos los puertos.
Haga clic en el botn Paso 5 de la igura para er el paso siguiente.
Mientras la herramienta de ataque de red contine ejecutandose, la tabla de direcciones MAC del switch permanecera llena. Cuando esto sucede, el switch comienza a eniar broadcast de todas las tramas recibidas a todos los puertos, de manera que las tramas eniadas del host A al host B tambin se enan por broadcast al puerto 3 del switch.
Ataques de suplantacin de identidad
Haga clic en el botn Suplantacin de identidad que se muestra en la figura.
Una de las ormas en que un atacante puede acceder al traico de la red es haciendo spoosobre las respuestas eniadas por un seridor de DlCP alido. Ll dispositio DlCP ctima de suplantacin de identidad responde a las solicitudes de clientes de DlCP. Ll seridor legtimo tambin puede responder, pero si el dispositio de suplantacin de identidad esta en el mismo segmento que el cliente, la respuesta de este ltimo llegara primero. La respuesta del DlCP intruso orece una direccin IP e inormacin de soporte que designa al intruso como la gateway predeterminada o como seridor de Sistema de nombres de dominios ,DNS,. Ln el caso de una gateway, los clientes enan paquetes al dispositio atacante, el cual, en respuesta, los ena al destino deseado. Lsto se conoce como ataque de intermediario y puede pasar totalmente desapercibido a medida que el intruso intercepta el lujo de datos de la red.
Debe estar atento a otro tipo de ataque de DlCP denominado ataque de inanicin de DlCP. La PC atacante solicita direcciones IP de manera continua a un seridor de DlCP real cambiando sus direcciones MAC de origen. Si da resultado, este tipo de ataque de DlCP produce que todos los arrendamientos del seridor de DlCP real queden asignados, lo que prooca que los usuarios reales ,clientes de DlCP, no puedan obtener una direccin IP.
Para eitar los ataques de DlCP, se utiliza el snooping DlCP y las unciones de seguridad de puerto de los switches Catalyst de Cisco.
Snooping DHCP y funciones de seguridad de puerto de los switches Catalyst de Cisco
Ll snooping DlCP es una uncin que determina cuales son los puertos de switch que pueden responder a solicitudes de DlCP. Los puertos se identiican como coniables o no coniables. Los puertos coniables pueden recibir todos los mensajes de DlCP, los no coniables slo pueden recibir solicitudes. Los puertos coniables de los hosts se alojan en el seridor de DlCP o pueden ser un enlace hacia dicho seridor. Si un dispositio malicioso de un puerto no coniable intenta eniar un paquete de respuesta de DlCP a la red, el puerto se desactia. Lsta uncin puede unirse con las opciones de DlCP donde la inormacin del switch, como el ID de puerto o la solicitud de DlCP pueden insertarse en el paquete de solicitudes de DlCP.
Haga clic en el botn Snooping de DHCP.
Los puertos no coniables son aquellos que no estan explcitamente conigurados como coniables. Se construye una tabla enlazada de DlCP para los puertos no coniables. Cada entrada contiene una direccin MAC cliente, una direccin IP, un tiempo de arrendamiento, un nmero de VLAN y una ID de puerto registrados como clientes que realizan solicitudes de DlCP. Se utiliza entonces la tabla para iltrar el traico de DlCP subsiguiente. Desde la perspectia del snooping en DlCP, los puertos de acceso no coniables no deben eniar ninguna respuesta a seridoresDlCP.
Lstos pasos ilustran la orma en que se conigura el snooping de DlCP en un switch de Cisco:
Paso 1. labilitar el snooping de DlCP mediante el comando de coniguracin global ip dhcp snooping.
Paso 2. labilitar el snooping de DlCP para VLAN especicas mediante el comando ip dhcp snooping vlan number |nmero|.
Paso 3. Deinir los puertos como coniables o no coniables a niel de interaz identiicando los puertos coniables mediante el comando ip dhcp snooping trust.
Paso 4. ,Opcional, Limitar la tasa a la que un atacante puede eniar solicitudes de DlCP bogus de manera continua a tras de puertos no coniables al seridor de DlCP mediante el comando ip dhcp snooping limit rate rate.
Ataques en CDP
Ll Protocolo de descubrimiento de Cisco ,CDP, es un protocolo de propiedad de Cisco que puede conigurarse en todos los dispositios de Cisco. CDP descubre otros dispositios de Cisco conectados directamente, lo que permite que coniguren sus conexiones en orma automatica, simpliicando la coniguracin y la conectiidad. Los mensajes de CDP no estan encriptados.
De manera predeterminada, la mayora de los routers y switches de Cisco poseen CDP habilitado. La inormacin de CDP se ena en broadcasts peridicos que se actualizan de manera local en cada base de datos de CDP de todos los dispositios. Debido a que CDP es un protocolo de la Capa 2, no se propaga por los routers.
CDP contiene inormacin sobre el dispositio, como la direccin IP, la ersin del sotware, la plataorma, las capacidades y la VLAN natia. Cuando esta inormacin esta disponible para el atacante, puede utilizarla para encontrar ulnerabilidades para atacar la red, en general en la orma de ataque de Denegacin de sericio ,DoS,.
La igura representa una parte de un rastreo de paquete de Lthereal que muestra el interior de un paquete CDP. Ln particular, la ersin de sotware IOS de Cisco descubierta por CDP permitira que el atacante inestigue y determine si existen ulnerabilidades de seguridad especicas para esa ersin del cdigo en particular. Ademas, debido a que CDP no esta autenticado, un atacante puede generar paquetes de CDP bogus y hacer que stos se reciban en el dispositio Cisco conectado en orma directa.
Para enrentar esta ulnerabilidad se recomienda deshabilitar el uso de CDP en los dispositios que no necesitan utilizarlo.
Ataques de Telnet
Un atacante puede utilizar el protocolo de 1elnet para acceder de manera remota a un switch de red de Cisco. Ln temas anteriores se conigur una contrasena de inicio de sesin para las lneas ty y se establecieron dichas lneas para que soliciten autenticacin por contrasena para el acceso. Lsto proporciona un niel de seguridad esencial y basico que ayuda a proteger el switch del acceso no autorizado. Sin embargo, no es un mtodo seguro para proteger el acceso a las lneas ty. Lxisten herramientas disponibles que permiten que un atacante inicie un ataque de decodiicacin de contrasenas de uerza bruta contra las lneas ty del switch.
Ataque de contrasea de fuerza bruta
La primer ase de un ataque de contrasena de uerza bruta comienza con el uso de contrasenas comunes por parte del atacante y de un programa disenado para intentar establecer una sesin de 1elnet mediante todas las palabras del diccionario. Por suerte, el usuario es lo suicientemente listo como para no utilizar una palabra del diccionario, de modo que, por el momento, se encuentra a salo. Ln la segunda ase del ataque de uerza bruta, el atacante utiliza un programa que genera combinaciones de caracteres secuenciales para poder "adiinar" la contrasena. Si dispone del tiempo suiciente, un ataque de contrasena de uerza bruta puede decodiicar casi todas las contrasenas utilizadas.
La accin mas simple que puede llearse a cabo para limitar la ulnerabilidad a los ataques de contrasena de uerza bruta es cambiar la contrasena con recuencia y utilizar contrasenas uertes, que combinen letras en mayscula y minscula con nmeros. Coniguraciones mas aanzadas permiten limitar las comunicaciones con las lneas ty mediante listas de acceso, pero eso excede el alcance de este curso.
Ataque DoS
Otro tipo de ataque de 1elnet es el ataque de DoS. Ln un ataque de DoS, el atacante explota un desperecto del sotware del seridor de 1elnet que se ejecuta en el switch que torna al sericio de 1elnet no disponible. Lste tipo de ataque es en la mayora de los casos una molestia, ya que eita que el administrador llee a cabo las unciones de administracin del switch.
Ln general, las ulnerabilidades en el sericio de 1elnet que permiten que ocurran los ataques de DoS se enrentan mediante parches de seguridad incluidos en las reisiones mas recientes de IOS de Cisco. Si se experimenta un ataque de DoS contra el sericio de 1elnet, o contra algn otro sericio de un dispositio Cisco, eriique si existe una reisin reciente de IOS de Cisco disponible.
2.4.5 HERRAMIENTAS DE SEGURIDAD.- Despus de conigurar la seguridad del switch, se debe eriicar que no hayan quedado debilidades que puedan ser explotadas por un atacante. La seguridad de red es un tema complejo y cambiante. Ln esta seccin se presenta la orma en que las herramientas de seguridad de red orman un componente utilizado para proteger una red de ataques maliciosos.
Las herramientas de seguridad de red ayudan a probar la red en busca de distintas debilidades. Son herramientas que permiten que el usuario acte como pirata inormatico y como analista de seguridad de red. A tras de estas herramientas se puede iniciar un ataque y llear a cabo la auditora de los resultados para determinar la orma de ajustar las polticas de seguridad para eitar un ataque determinado.
Las unciones que utilizan las herramientas de seguridad de red eolucionan de manera constante. Por ejemplo: hubo un tiempo en que las herramientas de seguridad de red se enocaron slo en los sericios de la red y examinaban los posibles deectos de dichos sericios. Actualmente, los irus y gusanos pueden propagarse debido a los deectos en los clientes de correo y en los exploradores \eb. Las herramientas de seguridad de red modernas no slo detectan los deectos remotos de los hosts de la red, sino que tambin determinan si existen deectos a niel de aplicacin, como parches altantes en computadoras de clientes. La seguridad de red no slo inolucra a los dispositios de red, sino tambin a los equipos de escritorios de los clientes. Las auditoras de seguridad y los pruebas de penetracin son dos unciones basicas que llean a cabo las herramientas de seguridad de red.
Auditora de seguridad de red
Las herramientas de seguridad de red permiten realizar una auditora de la red. Una auditora de seguridad reela el tipo de inormacin que un atacante puede recopilar con un simple monitoreo del traico de la red. Las herramientas de auditora de seguridad de red permiten inundar la tabla MAC con direcciones MAC de bogus. Luego se puede realizar la auditora en los puertos de switch a medida que el switch ena el traico a todos los puertos y las asignaciones de direcciones MAC legtimas expiran y son reemplazadas por asignaciones de direcciones MAC de bogus. De esta manera, se pueden determinar los puertos comprometidos y que no han sido conigurados de manera correcta para eitar este tipo de ataque.
Ll tiempo es un actor importante para realizar la auditora en orma correcta. Los dierentes switches admiten distintas cantidades de direcciones MAC en sus tablas MAC. Puede ser diicultoso determinar la cantidad ideal de direcciones MAC suplantadas para ser utilizadas en la red. 1ambin se debe lidiar con el perodo de expiracin de la tabla MAC. Si las direcciones MAC suplantadas comienzan a expirar en el momento en que se realiza la auditora de red, las direcciones MAC alidas comienzan a llenar la tabla MAC, lo que limita la cantidad de datos que pueden monitorearse con una herramienta de auditora de red.
Pruebas de penetracin de red
Las herramientas de seguridad de red tambin pueden utilizarse para pruebas de penetracin en la red. Lsto permite identiicar las debilidades dentro de la coniguracin de los dispositios de red. Se puede llear a cabo una gran cantidad de
ataques y la mayora de los conjuntos de herramientas son acompanados por documentacin completa que detalla la sintaxis necesaria para ejecutar el ataque deseado. Debido a que este tipo de pruebas puede tener eectos adersos en la red, se llean a cabo bajo condiciones muy controladas, respetando procedimientos documentados detallados en una poltica de seguridad de red completa. Por supuesto, si posee una pequena red para saln de clases, puede trabajar con su instructor para ejecutar sus propias pruebas de penetracin de red.
Ln el tema siguiente aprendera la orma de implementar la seguridad de puerto en los switches de Cisco de manera de asegurar que estas pruebas de seguridad de red no reelen ningn deecto en la coniguracin de seguridad.
Caractersticas de las herramientas de seguridad de red
Ln realidad, la seguridad de red es un proceso, no un producto. No alcanza con habilitar el switch con una coniguracin segura y dar por terminado el trabajo. Para airmar que una red es segura se debe contar con un plan de seguridad de red completo que deina la orma de eriicar de manera peridica si la red puede enrentar los mas recientesataques de red maliciosos. Ll panorama cambiante de los riesgos de seguridad implica que se debe contar con herramientas de auditora y penetracin que puedan actualizarse para enrentar los riesgos de seguridad mas recientes. Lntre las caractersticas comunes de una moderna herramienta de seguridad de red, se incluyen:
Identiicacin de sericio: Las herramientas se utilizan para alcanzar los hosts mediante nmeros de puertos de la Autoridad de nmeros asignada por Internet ,IANA,. Lstas herramientas tambin deben descubrir un seridor l1P ejecutandose en un puerto no estandar o un seridor \eb ejecutandose en el puerto 8080. La herramienta tambin debe probar todos los sericios que se ejecutan en el host. Soporte para sericios SSL: Pruebas de sericios que utilizan seguridad a niel SSL, incluyendo l11PS, SM1P, IMAP y certiicado de seguridad. Pruebas destructias y no destructias: Realizacin de auditoras de seguridad no destructias de rutina que no comprometan o que comprometan en orma moderada el rendimiento de la red. Las herramientas tambin deben permitir las auditoras destructias que degradan en orma signiicatia el rendimiento de la red. Las auditoras destructias permiten er cmo enrenta la red los ataques de intrusos. Base de datos de ulnerabilidades: Las ulnerabilidades cambian todo el tiempo.
Las herramientas de seguridad de red deben disenarse para conectarse a un mdulo de cdigo y luego ejecutar una prueba para la ulnerabilidad. De esta manera, se puede mantener una gran base de datos de ulnerabilidades que puede subirse a la herramienta para asegurar que se estan probando las ulnerabilidades mas recientes.
Se pueden utilizar las herramientas de seguridad de red para:
Capturar mensajes de chat Capturar archios de traico de NlS Capturar solicitudes de l11P en lormato de registro comn Capturar mensajes de correo en ormato Berkeley mbox Capturar contrasenas Mostrar URL capturadas del explorador en tiempo real Saturar una LAN conmutada con direcciones MAC aleatorias lalsiicar las respuestas a direcciones DNS y consultas puntuales Interceptar paquetes en una LAN conmutada
2.4.6 CONFIGURACION DE LA SEGURIDAD DEL PUERTO.- Uso de seguridad de puerto para mitigar ataques
Ln este tema, aprendera acerca de los actores a considerar cuando se conigura la seguridad de puerto en un switch. Se resumen los comandos de IOS de Cisco undamentales de seguridad de puerto. 1ambin aprendera acerca de la coniguracin de seguridad de puerto estatica y dinamica.
laga clic en el botn Seguridad de puerto en la igura.
Seguridad del puerto
Un switch que no cuenta con seguridad de puerto permite que un atacante conecte el sistema a un puerto habilitado en desuso, que recopile inormacin o que genere ataques. Un switch puede conigurarsepara actuar como un hub, lo que signiica que todos los sistemas conectados al switch pueden er de manera potencial todo el traico de la red que pasa a tras de l y llega a todos los sistemas conectados a l. Ademas, un atacante puede recopilar traico que contiene nombres de usuario, contrasenas o inormacin de coniguracin acerca de los sistemas de la red.
1odos los puertos e interaces del switch deben asegurarse antes de implementarlo. La seguridad de puerto limita la cantidad de direcciones MAC alidas permitidas en el puerto. Cuando se asignan direcciones MAC seguras a un puerto seguro, el puerto no ena paquetes con direcciones origen que se encuentren uera del grupo de direcciones deinidas.
Si se limita la cantidad de direcciones MAC seguras a uno y se asigna una nica direccin MAC segura a ese puerto, la estacin de trabajo conectada a ese puerto cuenta con todo el ancho de banda de ese puerto y slo esa estacin de trabajo con esa direccin MAC segura en particular puede conectarse de manera adecuada a dicho puerto.
Si se conigura un puerto como seguro y se alcanza la cantidad maxima de direcciones MAC seguras, la iolacin de seguridad se produce cuando la direccin MAC de una estacin de trabajo que intenta acceder al puerto es distinta de cualquiera de las direcciones MAC seguras identiicadas. La igura resume estos puntos.
laga clic en el botn 1ipos de direcciones MAC seguras en la igura.
Tipos de direcciones MAC seguras
Lxisten arias ormas de conigurar la seguridad de puerto. A continuacin, se describen las ormas de conigurar la seguridad de puerto en un switch de Cisco:
Direcciones MAC seguras estticas: Las direcciones MAC se coniguran manualmente mediante el comando de coniguracin de interaz switchport port-security mac-addressmac-address. Las direcciones MAC coniguradas de esta orma se almacenan en la tabla de direcciones y se agregan a la coniguracin en ejecucin del switch. Direcciones MAC seguras dinmicas: Las direcciones MAC se aprenden de manera dinamica y se almacenan slo en la tabla de direcciones. Las direcciones MAC coniguradas de esta manera se eliminan cuando el switch se reinicia.
Direcciones MAC seguras sin modificacin: Se puede conigurar un puerto para que aprenda de manera dinamica las direcciones MAC y luego guardarlas en la coniguracin en ejecucin.
Direcciones MAC sin modificacin
Las direcciones MAC seguras sin modiicacin poseen las siguientes caractersticas:
Cuando se habilita el aprendizaje sin modiicacin en una interaz mediante el comando de coniguracin de interaz switchport port-security mac-address sticky, la interaz conierte todas las direcciones MAC seguras dinamicas, incluyendo aquellas que se aprendieron de manera dinamica antes de habilitar el aprendizaje sin modiicacin, en direcciones MAC seguras sin modiicacin y agrega todas estas ltimas a la coniguracin en ejecucin. Si se deshabilita el aprendizaje sin modiicacin mediante el comando de coniguracin de interaz no switchport port-security mac-address sticky, las direcciones MAC seguras sin modiicacin permanecen como parte de la tabla de direcciones, pero se eliminan de la coniguracin actia. Cuando se coniguran direcciones MAC seguras sin modiicacin mediante el comando de coniguracin de interaz switchport port-security mac-address sticky mac-address, stas se agregan a la tabla de direcciones y a la coniguracin en ejecucin. Si se deshabilita la seguridad de puerto, las direcciones MAC seguras sin modiicacin permanecen en la coniguracin en ejecucin. Si se guardan las direcciones MAC seguras sin modiicacin en el archio de coniguracin, cuando se reinicia el switch o cuando se cierra la interaz, esta ltima no necesita oler a aprender estas direcciones. Si no se guardan las direcciones seguras sin modiicacin, stas se pierden. Si se deshabilita el aprendizaje sin modiicacin y se ingresa el comando de coniguracin de interaz switchport port-security mac-address sticky mac-address, aparece un mensaje de error y la direccin MAC segura sin modiicacin no se agrega a la coniguracin en ejecucin.
laga clic en el botn Modos de iolacin de seguridad en la igura.
Modos de violacin de seguridad
Se considera iolacin de seguridad si se produce alguna de las siguientes situaciones:
Se agreg a la tabla de direcciones la cantidad maxima de direcciones MAC seguras y una estacin cuya direccin MAC no se encuentra en la tabla de direcciones intenta acceder a la interaz. Una direccin aprendida o conigurada en una interaz segura puede erse en otra interaz segura de la misma VLAN.
Se puede conigurar la interaz para uno de tres modos de iolacin, en base a la accin a tomar en caso de que se produzca dicha iolacin. La igura muestra los tipos de traicos de datos que se enan cuando se conigura en el puerto uno de los siguientes modos de iolacin de seguridad.
proteccin: Cuando la cantidad de direcciones MAC seguras alcanza el lmite permitido para el puerto, los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suiciente de direcciones MAC seguras o se aumente la cantidad maxima de direcciones permitida. Ll usuario no adierte que se ha producido una iolacin de seguridad. restriccin: Cuando la cantidad de direcciones MAC seguras alcanza el lmite permitido para el puerto, los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suiciente de direcciones MAC seguras o se aumente la cantidad maxima de direcciones permitida. Ln este modo, el usuario adierte que se ha producido una iolacin de seguridad. De manera especica, se ena una trampa de SNMP, se registra un mensaje de syslog y se aumenta el contador de iolaciones. desactivacin: Ln este modo, una iolacin de seguridad de puerto produce que la interaz de deshabilite por error de manera inmediata y se apaga el LLD del puerto. 1ambin se ena una trampa de SNMP, se registra un mensaje de syslog y se incrementa el contador de iolaciones. Cuando un puerto seguro se encuentra en estado deshabilitado por error, se lo puede sacar de dicho estado mediante los comandos de coniguracin de interaz shutdown y no shutdown. Lste es el modo predeterminado.
Configurar la seguridad del puerto
Haga clic en el botn Configuracin predeterminada de la figura.
Los puertos de un switch de Cisco estan preconigurados de manera predeterminada. La igura resume la coniguracin de seguridad de puerto predeterminada.
Haga clic en el botn Configurar la seguridad de puerto dinmica en la figura.
La igura muestra los comandos de CLI IOS de Cisco necesarios para conigurar la seguridad de puerto en un puerto last Lthernet l0,18 en el switch S1. Obsere que el ejemplo no especiica un modo de iolacin. Ln este ejemplo, el modo de iolacin se establece en desactivacin.
Haga clic en el botn Configurar la seguridad de puerto sin modificacin en la figura.
La igura muestra la orma de habilitar la seguridad de puerto sin modiicacin en el puerto last Lthernet 0,18 del switch S1. Como se mencion con anterioridad, se puede conigurar la cantidad maxima de direcciones MAC seguras. Ln este ejemplo, se puede er la sintaxis del comando IOS de Cisco utilizada para establecer la cantidad maxima de direcciones MAC en 50. Ll modo de iolacin se establece en desactivacin predeterminada.
Lxisten otros parametros de seguridad de puerto que pueden ser de utilidad. Para obtener una lista completa de las opciones de coniguracin de la seguridad del puerto, isite: http:,,www.cisco.com,en,US,docs,switches,lan,catalyst2960,sotware,release,12.2_44_se,coniguration,guide,swtra c.html
Verificar la seguridad de puerto
Despus de haber conigurado la seguridad de puerto para el switch, se debe eriicar que se haya conigurado de manera correcta. Se deben reisar todas las interaces para eriicar que se ha establecido la seguridad de puerto de manera correcta. 1ambin se debe eriicar si se han conigurado las direcciones MAC estaticas en orma correcta.
Verificar la configuracin de seguridad de puerto
Para mostrar la coniguracin de seguridad de puerto para el switch o para la interaz especiicada, utilice el comando show port-security |interfaceinterace-id|.
Ll resultado muestra lo siguiente:
Cantidad maxima de direcciones MAC seguras para cada interaz Cantidad de direcciones MAC seguras en la interaz Cantidad de iolaciones de seguridad que se han producido Modo de iolacin
Verificar las direcciones MAC seguras
Haga clic en el botn Verificar las direcciones MAC seguras en la figura.
Para mostrar todas las direcciones MAC seguras coniguradas en todas las interaces del switch o en una interaz especiicada, con la inormacin de expiracin para cada una, utilice el comando show port-security |interaceinterace-id|.
2.4.7 SEGURIDAD DE LOS PUERTOS NO UTILIZADOS.- Deshabilitar puertos en desuso
Ln este tema aprendera la orma de utilizar un simple comando IOS de Cisco para asegurar los puertos de switch que no se utilizan. Un mtodo simple utilizado por muchos administradores para proteger la red del acceso no autorizado es deshabilitar todos los puertos no utilizados de un switch de la red. Por ejemplo: imagine que un switch 2960 de Cisco posee 24 puertos. Si existen tres conexiones last Lthernet que se utilizan, una buena practica de seguridad demanda la deshabilitacin de los 21 puertos que no se utilizan. La igura muestra el resultado parcial para esta coniguracin.
Ls simple deshabilitar arios puertos en un switch. Lxplore todos los puertos no utilizados y emita el comando IOS de Cisco shutdown. Una orma alternatia de desactiar arios puertos es mediante el comando interface range. Si un puerto debe ser actiado, se puede ingresar el comando no shutdown en orma manual para esa interaz.
Ll proceso de habilitar y deshabilitar puertos puede conertirse en una tarea tediosa, pero el alor obtenido en trminos de aumento de la seguridad de la red hace que el esuerzo no sea en ano.
CAPITULO III VLAN
3.0 INTRODUCCIN DEL CAPITULO.- 3.0.1 INTRODUCCIN DEL CAPITULO.- Ll rendimiento de la red puede ser un actor en la productiidad de una organizacin y su reputacin para realizar sus transmisiones en la orma preista. Una de las tecnologas que contribuyen al excelente rendimiento de la red es la diisin de los grandes dominios de broadcast en dominios mas pequenos con las VLAN. Los dominios de broadcast mas pequenos limitan el nmero de dispositios que participan en los broadcasts y permiten que los dispositios se separen en agrupaciones uncionales, como sericios de base de datos para un departamento contable y transerencia de datos a alta elocidad para un departamento de ingeniera. Ln este captulo, aprendera a conigurar, manejar ysolucionar problemas de las VLAN y los enlaces troncales.
3.1 PRESENTACIN DE LAS VLAN.- 3.1.1 PRESENTACIN DE LAS VLAN.- Antes de las VLAN Para poder apreciar por qu las VLAN se utilizan tanto hoy en da, considere una pequena comunidad con dormitorios de estudiantes y oicinas del cuerpo docente, todo en un solo ediicio. La igura muestra las computadoras de los estudiantes en una LAN y las computadoras del cuerpo docente en otra LAN. Lsto unciona bien debido a que todos los departamentos estan juntos sicamente, por lo tanto, es acil proporcionarles los recursos de la red.
Haga clic en el botn Muchos Edificios en la figura.
Un ano despus, la uniersidad creci y, ahora, tiene tres ediicios. Ln la igura, la red original es la misma pero las computadoras de los estudiantes y del cuerpo docente estan distribuidas en los tres ediicios. Los dormitorios de los estudiantes permanecen en el quinto piso y las oicinas del cuerpo docente en el tercer piso. Sin embargo, el departamento de 1I ahora quiere asegurarse de que todas las computadoras de los estudiantes compartan las mismas caractersticas de seguridad y controles de ancho de banda. ,Cmo puede la red acomodar las necesidades compartidas de los departamentos separados geograicamente ,Crea una LAN grande y conecta por cable a todos los departamentos juntos ,Cuan acil sera realizar cambios a esa red Sera muy bueno agrupar a las personas con los recursos que utilizan sin tener en cuenta su ubicacin geograica, y sera mas acil administrar la seguridad especica y las necesidades de ancho de banda.
Visin general de VLAN La solucin para la comunidad de la uniersidad es utilizar una tecnologa de red denominada LAN ,VLAN, irtual. Una VLAN permite que un administrador de red cree grupos de dispositios conectados a la red de manera lgica que actan como si estuieran en su propia red independiente, incluso si comparten una inraestructura comn con otras VLAN. Cuando conigura una VLAN, puede ponerle un nombre para describir la uncin principal de los usuarios de esa VLAN. Como otro ejemplo, todas las computadoras de los estudiantes se pueden conigurar en la VLAN "Lstudiante". Mediante las VLAN, puede segmentar de manera lgica las redes conmutadas basadas en equipos de proyectos, unciones o departamentos. 1ambin puede utilizar una VLAN para estructurar geograicamente su red para respaldar la conianza en aumento de las empresas sobre trabajadores domsticos. Ln la igura, se crea una VLAN para los estudiantes y otra para el cuerpo docente. Lstas VLAN permiten que el administrador de la red implemente las polticas de acceso y seguridad para grupos particulares de usuarios. Por ejemplo: se puede permitir que el cuerpo docente, pero no los estudiantes, obtenga acceso a los seridores de administracin de e-learning para desarrollar materiales de cursos en lnea.
Haga clic en el botn Detalles en la figura.
Detalles de la VLAN Una VLAN es una subred IP separada de manera lgica. Las VLAN permiten que redes de IP y subredes mltiples existan en la misma red conmutada. La igura muestra una red con tres computadoras. Para que las computadoras se comuniquen en la misma VLAN, cada una debe tener una direccin IP y una mascara de subred consistente con esa VLAN. Ln el switch deben darse de alta las VLANs y cada puerto asignarse a la VLAN correspondiente. Un puerto de switch con una VLAN singular conigurada en el mismo se denomina puerto de acceso. Recuerde que si dos computadoras estan conectadas sicamente en el mismo switch no signiica que se puedan comunicar. Los dispositios en dos redes y subredes separadas se deben comunicar a tras de un router ,Capa 3,, se utilicen o no las VLAN. No necesita las VLAN para tener redes y subredes mltiples en una red conmutada, pero existen entajas reales para utilizar las VLAN.
Ventajas de las VLAN La productiidad del usuario y la adaptabilidad de la red son impulsores clae para el crecimiento y el xito del negocio. La implementacin de la tecnologa de VLAN permite que una red admita de manera mas lexible las metas comerciales. Los principales beneicios de utilizar las VLAN son los siguientes:
Seguridad: los grupos que tienen datos sensibles se separan del resto de la red, disminuyendo las posibilidades de que ocurran iolaciones de inormacin conidencial. Las computadoras del cuerpo docente se encuentran en la VLAN 10 y estan completamente separadas del traico de datos del Initado y de los estudiantes. Reduccin de costo: el ahorro en el costo resulta de la poca necesidad de actualizaciones de red caras y mas usos eicientes de enlaces y ancho de banda existente.
Se guardan en el archio de coniguracin en ejecucin. V1P no aprende las VLAN de rango extendido.
255 VLAN configurables
Un switch de Cisco Catalyst 2960 puede admitir hasta 255 VLAN de rango normal y extendido, a pesar de que el nmero conigurado aecta el rendimiento del hardware del switch. Debido a que la red de una empresa puede necesitar un switch con muchos puertos, Cisco ha desarrollado switches a niel de empresa que se pueden unir o apilar juntos para crear una sola unidad de conmutacin que consiste en nuee switches separados. Cada switch por separado puede tener 48 puertos, lo que suma 432 puertos en una sola unidad de conmutacin. Ln este caso, el lmite de 255 VLAN por un solo switch podra ser una restriccin para algunos clientes de empresas.
3.1.2 TIPOS DE VLAN.- loy en da, existe undamentalmente una manera de implementar las VLAN: VLAN basada en puerto. Una VLAN basada en puerto se asocia con un puerto denominado acceso VLAN.
Sin embargo, en las redes existe una cantidad de trminos para las VLAN. Algunos trminos deinen el tipo de traico de red que enan y otros deinen una uncin especica que desempena una VLAN. A continuacin, se describe la terminologa comn de VLAN:
Pase el mouse sobre el botn VLAN de Datos en la figura.
VLAN de Datos
Una VLAN de datos es una VLAN conigurada para eniarslo traico de datos generado por el usuario. Una VLAN podra eniar traico basado en oz o traico utilizado para administrar el switch, pero este traico no sera parte de una VLAN de datos. Ls una practica comn separar el traico de oz y de administracin del traico de datos. La importancia de separar los datos del usuario del traico de oz y del control de administracin del switch se destaca mediante el uso de un trmino especico para identiicar las VLAN que slo pueden eniar datos del usuario: una "VLAN de datos". A eces, a una VLAN de datos se la denomina VLAN de usuario.
Pase el mouse sobre el botn VLAN Predeterminada en la figura.
VLAN Predeterminada
1odos los puertos de switch se conierten en un miembro de la VLAN predeterminada luego del arranque inicial del switch. lacer participar a todos los puertos de switch en la VLAN predeterminada los hace a todos parte del mismo dominio de broadcast. Lsto admite cualquier dispositio conectado a cualquier puerto de switch para comunicarse con otros dispositios en otros puertos de switch. La VLAN predeterminada para los switches de Cisco es la VLAN 1. La VLAN 1 tiene todas las caractersticas de cualquier VLAN, excepto que no la puede oler a denominar y no la puede eliminar. Ll traico de control de Capa 2, como CDP y el traico del protocolo spanning tree se asociara siempre con la VLAN 1: esto no se puede cambiar. Ln la igura, el traico de la VLAN1 se ena sobre los enlaces troncales de la VLAN conectando los switches S1, S2 y S3. Ls una optimizacin de seguridad para cambiar la VLAN predeterminada a una VLAN que no sea la VLAN 1, esto implica conigurar todos los puertos en el switch para que se asocien con una VLAN predeterminada que no
sea la VLAN 1. Los enlaces troncales de la VLAN admiten la transmisin de traico desde mas de una VLAN. A pesar de que los enlaces troncales de la VLAN se mencionan a lo largo de esta seccin, se explican a detalle en la prxima seccin.
Nota: Algunos administradores de red utilizan el trmino "VLAN predeterminada" para reerirse a una VLAN que no sea la VLAN 1 que el administrador de red deini como la VLAN a la que se asignan todos los puertos cuando no estan en uso. Ln este caso, la nica uncin que cumple la VLAN 1 es la de manejar el traico decontrol de Capa 2 para la red.
Pase el mouse sobre el botn VLAN Nativa en la figura.
VLAN Nativa
Una VLAN natia esta asignada a un puerto troncal 802.1Q. Un puerto de enlace troncal 802.1 Q admite el traico que llega de muchas VLAN ,traico etiquetado, como tambin el traico que no llega de una VLAN ,traico no etiquetado,. Ll puerto de enlace troncal 802.1Q coloca el traico no etiquetado en la VLAN natia. Ln la igura, la VLAN natia es la VLAN 99. Ll traico no etiquetado lo genera una computadora conectada a un puerto de switch que se conigura con la VLAN natia. Las VLAN se establecen en la especiicacin ILLL 802.1Q para mantener la compatibilidad retrospectia con el traico no etiquetado comn para los ejemplos de LAN antigua. Para nuestro in, una VLAN natia sire como un identiicador comn en extremos opuestos de un enlace troncal. Ls una optimizacin usar una VLAN dierente de la VLAN 1 como la VLAN natia.
Pase el mouse sobre el botn VLAN de Administracin en la figura.
VLAN de Administracin
Una VLAN de administracin es cualquier VLAN que usted conigura para acceder a las capacidades de administracin de un switch. La VLAN 1serira como VLAN de administracin si no deini proactiamente una VLAN nica para que sira como VLAN de administracin. Se asigna una direccin IP y una mascara de subred a la VLAN de administracin. Se puede manejar un switch mediante l11P, 1elnet, SSl o SNMP. Debido a que la coniguracin lista para usar de un switch de Cisco tiene a VLAN 1 como la VLAN predeterminada, puede notar que la VLAN 1 sera una mala opcin como VLAN de administracin, no querra que un usuario arbitrario se conectara a un switch para que se conigurara de manera predeterminada la VLAN de administracin. Recuerde que conigur la VLAN de administracin como VLAN 99 en el captulo Coniguracin y conceptos basicos de switch.
Ln la pagina siguiente, inestigaremos el tipo de VLAN remanente: VLAN de oz.
VLAN de voz Ls acil apreciar por qu se necesita una VLAN separada para admitir la Voz sobre IP ,VoIP,. Imagine que esta recibiendo una llamada de urgencia y de repente la calidad de la transmisin se distorsiona tanto que no puede comprender lo que esta diciendo la persona que llama. Ll traico de VoIP requiere:
Ancho de banda garantizado para asegurar la calidad de la oz Prioridad de la transmisin sobre los tipos de traico de la red Capacidad para ser enrutado en areas congestionadas de la red Demora de menos de 150 milisegundos ,ms, a tras de la red
Para cumplir estos requerimientos, se debe disenar la red completa para que admita VoIP. Los detalles sobre cmo conigurar una red para que admita VoIP estan mas alla del alcance del curso, pero es til resumir cmo una VLAN de oz unciona entre un switch, un telono IP de Cisco y una computadora.
Ln la igura, la VLAN 150 se disena para eniar traico de oz. La computadora del estudiante PC5 esta conectada al telono IP de Cisco y el telono esta conectado al switch S3. La PC5 esta en la VLAN 20 que se utiliza para los datos de los estudiantes. Ll puerto l0,18 en S3 se conigura para que est en modo de oz a in de que diga al telono que etiquete las tramas de oz con VLAN 150. Las tramas de datos que ienen a tras del telono IP de Cisco desde la PC5 no se marcan. Los datos que se destinan a la PC5 que llegan del puerto l0,18 se etiquetan con la VLAN 20 en el camino al telono, que elimina la etiqueta de la VLAN antes de que los datos se enen a la PC5. Ltiquetar se reiere a la adicin de bytes a un campo en la trama de datos que utiliza el switch para identiicar a qu VLAN se debe eniar la trama de datos. Mas adelante, aprendera cmo se etiquetan las tramas de datos.
Haga clic en el botn Detalles en la figura.
Un telfono de Cisco es un switch
Ll telono IP de Cisco contiene un switch integrado de tres puertos 10,100, como se muestra en la igura. Los puertos proporcionan conexiones dedicadas para estos dispositios:
Ll puerto 1 se conecta al switch o a otro dispositio de oz sobre IP ,VoIP,. Ll puerto 2 es una interaz interna 10,100 que ena el traico del telono IP. Ll puerto 3 ,puerto de acceso, se conecta a una PC u otro dispositio.
La igura muestra una manera de conectar un telono IP.
La uncin de la VLAN de oz permite que los puertos de switch enen el traico de oz IP desde un telono IP. Cuando se conecta el switch a un telono IP, el switch ena mensajes que indican al telono IP conectado que ene el traico de oz etiquetado con el ID 150 de VLAN de oz. Ll traico de la PC conectada al telono IP pasa por el telono IP sin etiquetar. Cuando se conigur el puerto del switch con una VLAN de oz, el enlace entre el switch y el telono IP unciona como un enlace troncal para eniar tanto el traico de oz etiquetado como el traico de datos no etiquetado.
Nota: La comunicacin entre el switch y el telono IP la acilita el protocolo CDP. Lste protocolo se analizara en detalle en CCNA Lxploration: Curso sobre Conceptos y protocolos de enrutamiento.
Haga clic en el botn Ejemplo de Configuracin en la figura.
Ejemplo de configuracin
La igura muestra el resultado del ejemplo. Un analisis de los comandos IOS de Cisco esta mas alla del alcance de este curso pero puede obserar que las areas destacadas en el resultado del ejemplo muestran la interaz l0,18 conigurada con una VLAN conigurada para datos ,VLAN 20, y una VLAN conigurada para oz ,VLAN 150,.
Tipos de trfico de red Ln CCNA Lxploration: Ln Aspectos basicos de redes, aprendi sobre los dierentes ti pos de traico que puede manejar una LAN. Debido a que una VLAN tiene todas las caractersticas de una LAN, una VLAN debe incorporar el mismo traico de red que una LAN.
Administracin de red y trfico de control
Muchos tipos dierentes de traico de administracin de red y de control pueden estar presentes en la red, como las actualizaciones de Cisco Discoery Protocol ,CDP,, Simple Network Management Protocol ,SNMP, y traico de Remote Monitoring ,RMON,.
Pase el mouse sobre el botn Administracin de red en la figura.
Telefona IP
Los tipos de traico de teleona IP son el traico de senalizacin y el traico de oz. Ll traico de senalizacin es responsable de la coniguracin de la llamada, el progreso y la desconexin y atraiesa la red de extremo a extremo. Ll otro tipo de traico de teleona consiste en paquetes de datos de la conersacin de oz existente. Como acaba de er, en una red conigurada con VLAN, se recomienda con nasis asignar una VLAN dierente a la VLAN 1 como VLAN de administracin. Ll traico de datos debe asociarse con una VLAN de datos ,dierente a la VLAN 1, y el traico de oz se asocia con una VLAN de oz.
Pase el mouse sobre el botn Telefona IP en la figura.
IP Multicast
Ll traico IP multicast se ena desde una direccin de origen particular a un grupo multicast que se identiica mediante un nico IP y un par de direcciones MAC de grupo de destino. Broadcasts Cisco IP,1V son ejemplos de aplicaciones que genera este tipo de traico. Ll traico multicast puede producir una gran cantidad de datos que se transmiten a tras de la red. Cuando la red debe admitir traico multicast, las VLAN deben conigurarse para asegurarse de que el traico multicast se dirija slo a aquellos dispositios de usuario que utilizan el sericio proporcionado, como aplicaciones de audio o ideo remoto. Los routers se deben conigurar para asegurar que el traico multicast se ene a las areas de red cuando se le solicita.
Pase el mouse sobre el botn IP Multicast en la figura.
Datos normales
Ll traico de datos normales se relaciona con el almacenamiento y creacin de archios, sericios de impresin, acceso a la base de datos del correo electrnico y otras aplicaciones de red compartidas que son comunes para usos comerciales. Las VLAN son una solucin natural para este tipo de traico, ya que pueden segmentar a los usuarios por sus unciones o area geograica para administrar de manera mas acil las necesidades especicas.
Pase el mouse sobre el botn Datos normales en la figura.
Clase Scavenger
Se pretende que la clase Scaenger proporcione sericios less-than-best-eort a ciertas aplicaciones. Las aplicaciones que se asignan a esta clase contribuyen poco o nada a los objetios organizatios de la empresa y estan generalmente orientadas, por su naturaleza, al entretenimiento. Lsto incluye aplicaciones compartidas de medios entre pares ,KaZaa, Morpheus, Groekster, Napster, iMesh, y demas,, aplicaciones de juegos ,Doom, Quake, Unreal 1ournament, y demas, y cualquier aplicacin de ideo de entretenimiento.
3.1.3 MODOS DE MEMBRESIS DEL PUERTO DE SWTICH.- Puertos de switch
Los puertos de switch son interaces de Capa 2 nicamente asociados con un puerto sico. Los puertos de switch se utilizan para manejar la interaz sica y los protocolos asociados de Capa 2. No manejan enrutamiento o puenteo. Los puertos de switch pertenecen a una o mas VLAN.
Modos de puertos de switch de VLAN
Cuando conigura una VLAN, debe asignarle un nmero de ID y le puede dar un nombre si lo desea. Ll propsito de las implementaciones de la VLAN es asociar con criterio los puertos con las VLAN particulares. Se conigura el puerto para eniar una trama a una VLAN especica. Como se mencion anteriormente, el usuario puede conigurar una VLAN en el modo de oz para admitir traico de datos y de oz que llega desde un telono IP de Cisco. Ll usuario puede conigurar un puerto para que pertenezca a una VLAN mediante la asignacin de un modo de membresa que especiique el tipo de traico que ena el puerto y las VLAN a las que puede pertenecer. Se puede conigurar un puerto para que admita estos tipos de VLAN:
VLAN esttica: los puertos en un switch se asignan manualmente a una VLAN. Las VLAN estaticas se coniguran por medio de la utilizacin del CLI de Cisco. Lsto tambin se puede llear a cabo con las aplicaciones de administracin de GUI, como el Asistente de red Cisco. Sin embargo, una caracterstica coneniente del CLI es que si asigna una interaz a una VLAN que no existe, se crea la nuea VLAN para el usuario. Para er un ejemplo de coniguracin de VLAN estatica, haga clic en el botn Ljemplo de Modo Lstatico en la igura. Cuado haya inalizado, haga clic en el botn Modos de Puertos en la igura. Lsta coniguracin no se examinara en detalle ahora. Se presentara mas adelante en este captulo. VLAN dinmica: este modo no se utiliza ampliamente en las redes de produccin y no se inestiga en este curso. Sin embargo, es til saber qu es una VLAN dinamica. La membresa de una VLAN de puerto dinamico se conigura utilizando un seridor especial denominado Seridor de poltica de membresa de VLAN ,VMPS,. Con el VMPS, asigna puertos de switch a las VLAN basadas en orma dinamica en la direccin MAC de origen del dispositio conectado al puerto. Ll beneicio llega cuando traslada un host desde un puerto en un switch en la red hacia un puerto sobre otro switch en la red. Ll switch asigna en orma dinamica el puerto nueo a la VLAN adecuada para ese host. VLAN de voz: el puerto esta conigurado para que est en modo de oz a in de que pueda admitir un telono IP conectado al mismo. Antes de que conigure una VLAN de oz en el puerto, primero debe conigurar una VLAN para oz y una VLAN para datos. Ln la igura, la VLAN 150 es la VLAN de oz y la VLAN 20 es la VLAN de datos. Se supone que la red ha sido conigurada para garantizar que el traico de oz se pueda transmitir con un estado prioritario sobre la red. Cuando se enchua por primera ez un telono en un puerto de switch que esta en modo de oz, ste ena mensajes al telono proporcionandole la coniguracin y el ID de VLAN de oz adecuado. Ll telono IP etiqueta las tramas de oz con el ID de VLAN de oz y ena todo el traico de oz a tras de la VLAN de oz.
Para examinar las partes de una coniguracin de modo de oz, haga clic en el botn Ljemplo de modo de oz en la igura:
Ll comando de coniguracin mls qos trust cos garantiza que el traico de oz se identiique como traico prioritario. Recuerde que toda la red debe prepararse para que priorice el traico de oz. No puede simplemente conigurar el puerto con este comando. Ll comando switchport voice VLAN 150 identiica a la VLAN 150 como VLAN de oz. Puede obserar esto eriicado en la parte inerior de la captura de la pantalla: VLAN de oz: 150 ,VLAN0150,. Ll comando switchport access VLAN 20 conigura la VLAN 20 como la VLAN de modo de acceso ,datos,. Puede obserar esto eriicado en la parte inerior de la captura de la pantalla: VLAN de modo de acceso: 20 ,VLAN0020,.
Para obtener mas detalles sobre la coniguracin de una VLAN de oz, isite este sitio de Cisco.com: http:,,www.cisco.com,en,US,products,ps6406,products_coniguration_guide_chapter09186a008081d9a6.html4wp1050 913.
3.1.4 CONTROL DE LOS DOMINIO DE BROADCAST CON LAS VLAN.- Red sin VLAN
Ln uncionamiento normal, cuando un switch recibe una trama de broadcast en uno de sus puertos, ena la trama a todos los demas puertos. Ln la igura, toda la red esta conigurada en la misma subred, 12.1.40.0,24. Como resultado, cuando la computadora del cuerpo docente, PC1, ena una trama de broadcast, el switch S2 ena esa trama de broadcast a todos sus puertos. La red completa la recibe inalmente, la red es un dominio de broadcast.
Haga clic en los Broadcasts de red con segmentacin de VLAN en la figura.
Red con VLAN
Ln la igura, se diidi la red en dos VLAN: Cuerpo docente como VLAN 10 y Lstudiante como VLAN 20. Cuando se ena la trama de broadcast desde la computadora del cuerpo docente, PC1, al switch S2, el switch enaesa trama de broadcast slo a esos puertos de switch conigurados para admitir VLAN 10.
Ln la igura, los puertos que componen la conexin entre los switches S2 y S1 ,puertos l0,1, y entre S1 y S3 ,puertos l0,3, han sido conigurados para admitir todas las VLAN en la red. Lsta conexin se denomina enlace troncal. Mas adelante en este captulo aprendera mas acerca de los enlaces troncales.
Cuando S1 recibe la trama de broadcast en el puerto l0,1, S1 ena la trama de broadcast por el nico puerto conigurado para admitir la VLAN 10, puerto l0,3. Cuando S3 recibe la trama de broadcast en el puerto l0,3, ena la trama de broadcast por el nico puerto conigurado para admitir la VLAN 10, puerto l0,11. La trama de broadcast llega a la nica otra computadora en la red conigurada en la VLAN 10, la computadora PC4 del cuerpo docente.
Cuando las VLAN se implementan en un switch, la transmisin del traico de unicast, multicast y broadcast desde un host en una VLAN en particular, se limitan a los dispositios presentes en la VLAN.
Control de dominios de broadcast con switches y routers La ragmentacin de un gran dominio de broadcast en arias partes mas pequenas reduce el traico de broadcast y mejora el rendimiento de la red. La ragmentacin de dominios en VLAN permite ademas una mejor conidencialidad de inormacin dentro de una organizacin. La ragmentacin de dominios de broadcast puede realizarse con las VLAN ,en los switches, o con routers. Cada ez que dispositios en dierentes redes de Capa 3 necesiten comunicarse, es necesario un router sin tener en cuenta si las VLAN estan en uso.
Haga clic en el botn Comunicacin dentro de la VLAN y en el botn Reproducir para que comience la animacin.
Comunicacin dentro de la VLAN
Ln la igura, la PC1 desea comunicarse con otro dispositio, la PC4. La PC1 y la PC4 se encuentran en la VLAN 10. La comunicacin con un dispositio en la misma VLAN se denomina comunicacin inter VLAN. A continuacin se describe cmo se realiza este proceso:
Paso 1. La PC1 en la VLAN 10 ena su trama de peticin ARP ,broadcast, al switch S2. Los switches S2 y S1 enan la trama de peticin ARP a todos los puertos en la VLAN 10. Ll switch S3 ena la peticin ARP al puerto l0,11 para la PC4 en la VLAN 10.
Paso 2. Los switches en la red enan la trama de respuesta ARP ,unicast, a todos los puertos conigurados para la VLAN 10. La PC1 recibe la respuesta que contiene la direccin MAC de la PC4.
Paso 3. Ahora la PC1 tiene la direccin MAC de destino de la PC4 y la utiliza para crear una trama unicast con la direccin MAC de la PC4 como destino. Los switches S2, S1 y S3 enan la trama a la PC4.
Haga clic en el botn Comunicacin entre VLAN y en el cono reproducir para que comience la animacin.
Comunicacin entre VLAN
Ln la igura, la PC1 en la VLAN 10 desea comunicarse con la PC5 en la VLAN 20. La comunicacin con un dispositio en otra VLAN se denomina comunicacin entre VLAN.
Nota: Lxisten dos conexiones desde el switch S1 hasta el router: una para eniar transmisiones en la VLAN 10 y la otra para eniar transmisiones en la VLAN 20 hacia la interaz del router.
A continuacin se describe cmo se realiza este proceso:
Paso 1. La PC1 en la VLAN 10 desea comunicarse con la PC5 en la VLAN 20. La PC1 ena una trama de peticin ARP para la direccin MAC del gateway predeterminado R1.
Paso 2. Ll router R1 responde con una trama de respuesta ARP desde su interaz conigurada en la VLAN 10.
1odos los switches enan la trama de respuesta ARP y la PC1 la recibe. La respuesta ARP contiene la direccin MAC del gateway predeterminado.
Paso 3. La PC1 crea, entonces, una trama de Lthernet con la direccin MAC del Gateway predeterminado. La trama se ena desde el switch S2 al S1.
Paso 4. Ll router R1 ena una trama de peticin ARP en la VLAN 20 para determinar la direccin MAC de la PC5. Los switches S1, S2 y S3, emiten la trama de peticin ARP a los puertos conigurados para la VLAN 20. La PC5 en la VLAN 20 recibe la trama de peticin ARP del router R1.
Paso 5. La PC5 en la VLAN 20 ena una trama de respuesta ARP al switch S3. Los switches S3 y S1 enan la trama de respuesta ARP al router R1 con la direccin MAC de destino de la interaz l0,2 en el router R1.
Paso 6. Ll router R1 ena la trama recibida de la PC1 a S1 y S3 a la PC5 ,en la lan 20,.
Control de dominios de broadcast con las VLAN y reenvo de capa 3
Ln el ltimo captulo, usted aprendi sobre algunas de las dierencias entre los switches de Capa 2 y Capa 3. La igura muestra el switch Catalyst 350G-24PS, uno de los tantos switches de Cisco que admite el enrutamiento de Capa 3. Ll cono que representa el switch de Capa 3 se isualiza. La explicacin sobre la conmutacin de la Capa 3 excede el alcance de este curso, pero es til una bree descripcin de la tecnologa de interaz irtual del switch ,SVI, por su sigla en ingls, que permite al switch de Capa 3 enrutar transmisiones entre las VLAN.
SVI
SVI es una interaz lgica conigurada para una VLAN especica. Ls necesario conigurar una SVI para una VLAN si desea enrutar entre las VLAN o para proporcionar conectiidad de host IP al switch. De manera predeterminada, una SVI se crea por la VLAN predeterminada ,VLAN 1, para permitir la administracin de switch remota.
Haga clic en el botn Ejemplo de Reenvo de Capa 3 en la igura para er la animacin que presenta una representacin simpliicada de cmo un switch de Capa 3 controla dominios de broadcast.
Reenvo de capa 3
Un switch de Capa 3 tiene la capacidad de enrutar transmisiones entre las VLAN. Ll procedimiento es el mismo que se describi para la comunicacin entre VLAN utilizando un router distinto, excepto que las SVI actan como las interaces del router para enrutar los datos entre las VLAN. La animacin describe este proceso.
Ln la animacin, la PC1 desea comunicarse con la PC5. Los siguientes pasos detallan la comunicacin a tras del switch S1 de Capa 3:
Paso 1. La PC1 ena un broadcast de peticin ARP en la VLAN10. S2 ena la peticin ARP a todos los puertos conigurados para la VLAN 10.
Paso 2. Ll switch S1 ena la peticin ARP a todos los puertos conigurados para la VLAN 10, incluida la SVI para la VLAN 10. Ll switch S3 ena la peticin ARP a todos los puertos conigurados para la VLAN 10.
Paso 3. La SVI para la VLAN 10 en el switch S1 conoce la ubicacin de la VLAN 20. La SVI para la VLAN 10 en el switch S1 ena una respuesta ARP de uelta a la PC1 con esta inormacin.
Paso 4. La PC 1 ena datos, destinados a la PC5, como trama de unicast a tras del switch S2 a la SVI para la VLAN 10 en el switch S1.
Paso 5. La SVI para la VLAN 20 ena un broadcast de peticin ARP a todos los puertos de switch conigurados para la VLAN 20. Ll switch S3 ena ese broadcast de peticin ARP a todos los puertos de switch conigurados para la VLAN 20.
Paso 6. La PC5 en la VLAN 20 ena una respuesta ARP. Ll switch S3 ena esa respuesta ARP a S1. Ll switch S1 ena la respuesta ARP a la SVI para la VLAN 20.
Paso 7. La SVI para la VLAN 20 ena los datos eniados desde la PC1 en una trama de unicast a la PC5, mediante la utilizacin de la direccin de destino que obtuo de la respuesta ARP en el paso 6.
3.2 ENLACE TRONCAL DE LAS VLAN.- 3.2.1 ENLACES TRONCALES DE LA VLAN.- Qu es un enlace troncal? Ls dicil describir las VLAN sin mencionar los enlaces troncales de la VLAN. Aprendi acerca de controlar broadcasts de la red con segmentacin de la VLAN y obser la manera en que los enlaces troncales de la VLAN transmitieron traico a dierentes partes de la red conigurada en una VLAN. Ln la igura, los enlaces entre los switches S1 y S2 y entre S1 y S3 estan conigurados para transmitir el traico que proiene de las VLAN 10, 20, 30 y 99. Ls posible que esta red no uncione sin los enlaces troncales de la VLAN. Ll usuario descubrira que la mayora de las redes que encuentra estan coniguradas con enlaces troncales de la VLAN. Lsta seccin une su conocimiento preio sobre el enlace troncal de la VLAN y proporciona los detalles necesarios para poder conigurar el enlace troncal de la VLAN en una red.
Definicin de enlace troncal de la VLAN
Un enlace troncal es un enlace punto a punto, entre dos dispositios de red, que transporta mas de una VLAN. Un enlace troncal de VLAN le permite extender las VLAN a tras de toda una red. Cisco admite ILLL 802.1Q para la coordinacin de enlaces troncales en interaces last Lthernet y Gigabit Lthernet. Mas adelante en esta seccin, aprendera acerca de 802.1Q.
Un enlace troncal de VLAN no pertenece a una VLAN especica, sino que es un conducto para las VLAN entre switches y routers.
Cul es el problema que resuelve un enlace troncal? Ln la igura, se obsera que la topologa estandar utilizada en este captulo, excepto en lugar del enlace troncal de la VLAN que el usuario esta acostumbrado a er entre los switches S1 y S2, hay un enlace indiidual para cada subred. lay cuatro enlaces indiiduales que conectan los switches S1 y S2, lo que deja tres puertos menos para asignar a dispositios de usuario inal. Cada ez que se tiene en cuenta una subred nuea, se necesita un nueo enlace para cada switch en la red.
Haga clic en el botn Con enlaces troncales de VLAN en la figura.
Ln la igura, la topologa de red muestra un enlace troncal de la VLAN que conecta los switches S1 y S2 con un enlace sico nico. Lsta es la orma en que debe conigurarse una red.
Etiquetado de trama 802.1Q Recuerde que los switches son dispositios de capa 2. Slo utilizan la inormacin del encabezado de trama de Lthernet para eniar paquetes. Ll encabezado de trama no contiene la inormacin que indique a qu VLAN pertenece la trama. Posteriormente, cuando las tramas de Lthernet se ubican en un enlace troncal, necesitan inormacin adicional sobre las VLAN a las que pertenecen. Lsto se logra por medio de la utilizacin del encabezado de encapsulacin 802.1Q. Lste encabezado agrega una etiqueta a la trama de Lthernet original y especiica la VLAN a la que pertenece la trama.
Ll etiquetado de la trama se mencion en dierentes oportunidades. La primera ez se hizo en reerencia a la coniguracin del modo de oz en un puerto de switch. Ln esa seccin aprendi que una ez que se conigura, un telono de Cisco ,que incluye un switch pequeno, etiqueta las tramas de oz con un ID de VLAN. 1ambin aprendi que los ID de VLAN pueden estar en un rango normal, 1-1005 y en un rango ampliado, 1006-4094. ,De qu manera se insertan los ID de la VLAN en la trama
Descripcin general del etiquetado de la trama de la VLAN
Antes de explorar los detalles de una trama 802.1Q, es til comprender lo que hace un switch al eniar una trama a un enlace troncal. Cuando el switch recibe una trama en un puerto conigurado en modo de acceso con una VLAN estatica, el switch quita la trama e inserta una etiqueta de VLAN, uele a calcular la lCS y ena la trama etiquetada a un puerto de enlace troncal.
Nota: Mas adelante, en esta seccin, se presenta una animacin de la operacin de enlace troncal..
Detalles del campo de etiqueta de VLAN
Ll campo de etiqueta de la VLAN consiste de un campo Lther1ype, un campo deinormacin de control de etiqueta y del campo de lCS.
Campo EtherType
Lstablecido al alor hexadecimal de 0x8100. Lste alor se denomina alor de ID de protocolo de etiqueta ,1PID, por su sigla en ingls,. Con el campo Lther1ype conigurado al alor 1PID, el switch que recibe la trama sabe buscar la inormacin en el campo de inormacin de control de etiqueta.
Campo Informacin de control de etiqueta
Ll campo de inormacin de control de etiqueta contiene:
3 bits de prioridad del usuario: utilizado por el estandar 802.1p, que especiica cmo proporcionar transmisin acelerada de las tramas de la Capa 2. Una descripcin de ILLL 802.1p esta mas alla del alcance de este curso, sin embargo el usuario aprendi algo sobre esto anteriormente en el analisis sobre las VLAN de oz.
1 bit de Identificador de formato ideal (CFI, por su sigla en ingls): permite que las tramas 1oken Ring se transporten con acilidad a tras de los enlaces Lthernet. 12 bits del ID de la VLAN (VID): nmeros de identiicacin de la VLAN, admite hasta 4096 ID de VLAN.
Campo FCS
Luego de que el switch inserta los campos de inormacin de control de etiqueta y Lther1ype, uele a calcular los alores lCS y los inserta en la trama.
VLAN nativas y enlace troncal 802.1Q
Ahora que el usuario sabe mas acerca de cmo un switch etiqueta una trama con la VLAN adecuada, es momento de explorar la manera en que la VLAN natia admite el switch en el manejo de tramas etiquetadas y sin etiquetar que llegan en un puerto de enlace troncal 802.1Q.
Tramas etiquetadas en la VLAN nativa
Algunos dispositios que admiten enlaces troncales etiquetan la VLAN natia como comportamiento predeterminado. Ll traico de control eniado en la VLAN natia debe estar sin etiquetar. Si un puerto de enlace troncal 802.1Q recibe una trama etiquetada en la VLAN natia, ste descarta la trama. Como consecuencia, al conigurar un puerto de switch en un switch Cisco, es necesario identiicar estos dispositios y conigurarlos de manera que no enen tramas etiquetadasen la VLAN natia. Los dispositios de otros proeedores que admiten tramas etiquetadas en la VLAN natia incluyen: telonos IP, seridores, routers y switches que no pertenecen a Cisco.
Tramas sin etiquetar en la VLAN nativa
Cuando un puerto de enlace troncal de switch Cisco recibe tramas sin etiquetar, ste ena esas tramas a la VLAN natia. Como debe recordar, la VLAN natia predeterminada es la VLAN 1. Al conigurar un puerto de enlace troncal 802.1Q, ~ s e nati a rto rto b disp R n sp sp la l ste n n n n l n out nnnn n 1. Al cra c
Al utilizar el comando show interfaces interface-id switchport puede eriicar rapidamente si ha uelto a conigurar la VLAN natia desde la VLAN 1 a la VLAN 99 de manera correcta. Ll resultado resaltado en la captura de pantalla indica que la coniguracin ue un xito.
3.2.2 OPERACIN DE ENLACE TRONCAL.- Enlace troncal en accin Ll usuario ha aprendido la manera en que un switch maneja el traico sin etiquetar en un enlace troncal. Ll usuario sabe que las tramas que atraiesan un enlace troncal estan etiquetadas con el ID de la VLAN del puerto de acceso donde lleg la trama. Ln la igura, la PC1 en la VLAN 10 y la PC3 en la VLAN 30 enan tramas de broadcast al switch S2. Ll switch S2 etiqueta esas tramas con el ID adecuado de la VLAN y luego ena las tramas a tras del enlace troncal al switch S1. Ll switch S1 lee el ID de la VLAN en las tramas y los ena en broadcast a cada puerto conigurado para admitir la VLAN 10 y la VLAN 30. Ll switch S3 recibe esas tramas, quita los ID de la VLAN y los ena como tramas sin etiquetar a la PC4 en la VLAN 10 y a la PC 6 en la VLAN 30.
Haga clic en el botn Reproducir en la barra de herramientas de la animacin en la figura.
3.2.3 MODOS DE ENLACES TRONCALES.- Ll usuario ha aprendido la manera en que el enlace troncal 802.1Q unciona en los puertos de switch de Cisco. Ahora es momento de examinar las opciones de coniguracin del modo de puerto de enlace troncal 802.1Q. Primero, es necesario analizar un protocolo de enlace troncal anterior de Cisco denominado enlace entre switch ,ISL, Inter-Switch Link,, debido a que era esta opcin en las guas de coniguracin de sotware del switch.
IEEE, no ISL
Aunque se puede conigurar un switch de Cisco para admitir dos tipos de puertos de enlace troncal, ILLL 802.1Q e ISL, en la actualidad, slo se usa el 802.1Q. Sin embargo, las redes antiguas siguen usando ISL, y es til aprender sobre cada tipo de puerto de enlace troncal.
Un puerto de enlace troncal ILLL 802.1Q admite traico simultaneo etiquetado y sin etiquetar. A un puerto de enlace troncal 802.1Q se le asigna un PVID predeterminado y todo el traico sin etiquetar se transporta en el PVID predeterminado del puerto. Se supone que todo el traico etiquetado y sin etiquetar con un ID nulo de la VLAN pertenece al PVID predeterminado del puerto. Ll paquete con un ID de VLAN igual al PVID predeterminado del puerto de salida se ena sin etiquetar. Ll resto del traico se ena con una etiqueta de VLAN. Ln un puerto de enlace troncal ISL se espera que todos los paquetes recibidos sean encapsulados con un encabezado ISL y que todos los paquetes transmitidos se enen con un encabezado ISL. Las tramas natias ,sin etiquetar, recibidas de un puerto de enlace troncal ISL se descartan. ISL ya no es un modo de puerto de enlace troncal recomendado y no se admite en arios de los switches de Cisco.
DTP
Ll protocolo de enlace troncal dinamico ,D1P, es un protocolo propiedad de Cisco. Los switches de otros proeedores no admiten el D1P. Ll D1P es habilitado automaticamente en un puerto de switch cuando algunos modos de enlace troncal se coniguran en el puerto de switch.
Ll D1P administra la negociacin de enlace troncal slo si el puerto en el otro switch se conigura en modo de enlace troncal que admita D1P. Ll D1P admite los enlaces troncales ISL y 802.1Q. Lste curso se concentra en la implementacin de 802.1Q del D1P. Un analisis detallado sobre el D1P esta mas alla de este curso, sin embargo aprendera sobre esto en las practicas de laboratorio y actiidades asociadas con este captulo. Los switches no necesitan que el D1P realice enlaces troncales, y algunos switches y routers de Cisco no admiten al D1P. Para aprender mas sobre la admisin de D1P en switches de Cisco, isite: http:,,www.cisco.com,en,US,tech,tk389,tk689,technologies_tech_note09186a0080186a.shtml.
Modos de enlaces troncales
Un puerto de switch en un switch de Cisco admite arios modos de enlaces troncales. Ll modo de enlace troncal deine la manera en la que el puerto negocia mediante la utilizacin del D1P para conigurar un enlace troncal con su puerto par. A continuacin, se obsera una bree descripcin de los modos de enlaces troncales disponibles y la manera en que el D1P se implementa en cada uno.
Activado (de manera predeterminada)
Ll puerto del switch ena peridicamente tramas de D1P, denominadas notiicaciones, al puerto remoto. Ll comando utilizado es switchport mode trunk. Ll puerto de switch local notiica al puerto remoto que esta cambiando dinamicamente a un estado de enlace troncal. Luego, el puerto local, sin importar la inormacin de D1P que el puerto remoto ena como respuesta a la notiicacin, cambia al estado de enlace troncal. Ll puerto local se considera que esta en un estado de enlace troncal ,siempre actiado, incondicional.
Dinmico automtico
Ll puerto del switch ena peridicamente tramas de D1P al puerto remoto. Ll comando utilizado es switchport mode dynamic auto. Ll puerto de switch local notiica al puerto de switch remoto que puede establecer enlaces troncales pero no solicita pasar al estado de enlace troncal. Luego de una negociacin de D1P, el puerto local termina en estado de enlace troncal slo si el modo de enlace troncal del puerto remoto ha sido conigurado para estar actio o si es coneniente. Si ambos puertos en los switches se coniguran en automatico, no negocian para estar en un estado de enlace troncal. Negocian para estar en estado de modo de acceso ,sin enlace troncal,.
Las tramas de DTP convenientes y dinmicas
Las tramas de D1P se enan peridicamente al puerto remoto. Ll comando utilizado es switchport mode dynamic desirable. Ll puerto de switch local notiica al puerto de switch remoto que puede establecer enlaces troncales y solicita al puerto de switch remoto pasar al estado de enlace troncal. Si el puerto local detecta que el remoto ha sido conigurado en modo actiado, coneniente o automatico, el puerto local termina en estado de enlace troncal. Si el puerto de switch remoto esta en modo sin negociacin, el puerto de switch local permanece como puerto sin enlace troncal.
Desactivacin del DTP
Puede desactiar el D1P para el enlace troncal para que el puerto local no ene tramas de D1P al puerto remoto. Utilice el comando switchport nonegotiate. Lntonces el puerto local se considera que esta en un estado de enlace troncal incondicional. Utilice esta caracterstica cuando necesite conigurar un enlace troncal con un switch de otro proeedor.
Ejemplo de modo de enlace troncal
Ln la igura, los puertos l0,1 en los switches S1 y S2 se coniguran con modo de enlace troncal actiado. Los puertos l0,3 en los switches S1 y S3 se coniguran para que estn en modo de enlace troncal automatico. Cuando se completen las coniguraciones de switch y los switches estan conigurados por completo, ,Qu enlace se conigurara como enlace troncal
Haga clic en el botn Qu enlace se configurar como enlace troncal? en la figura.
Ll enlace entre los switches S1 y S2 se conierte en enlace troncal porque los puertos l0,1 en los switches S1 y S2 se coniguran para ignorar todas las notiicaciones del D1P y aparecen y permanecen en modo de puerto de enlace troncal. Los puertos l0,3 en los switches S1 y S3 se establecen en automatico, entonces negocian para estar en estado predeterminado, el estado de modo de acceso ,sin enlace troncal,. Lsto da por resultado un enlace troncal inactio. Cuando conigura un puerto de enlace troncal para que est en modo de puerto de enlace troncal, no existe ambigedad sobre en qu estado se encuentra el enlace troncal: esta siempre actio. Ademas, es acil recordar en qu estado estan los puertos de enlaces troncales: si se supone que el puerto es un enlace troncal, el modo de enlace troncal es actio..
Nota: Ll modo switchport predeterminado para una interaz en un switch Catalyst 2950 es coneniente y dinamico, pero el modo switchport predeterminado para una interaz en un switch Catalyst 2960 es automatico y dinamico. Si S1 y S3 ueran
switches Catalyst 2950 con interaz l0,3 en modo switchport predeterminado, el enlace entre S1 y S3 se conertira en un enlace troncal actio.
Haga clic en el botn Modo DTP en la figura para revisar las interacciones de los modos.
Para obtener mas inormacin acerca de qu switches Cisco admiten 802.1Q, ISL y D1P, isite: http:,,www.cisco.com,en,US,tech,tk389,tk689,technologies_tech_note09186a0080186a.shtml4topic1.
Para obtener mas inormacin acerca de cmo admitir ISL en redes antiguas, isite: http:,,www.cisco.com,en,US,tech,tk389,tk689,tsd_technology_support_troubleshooting_technotes_list.html.
3.3 CONFIRUGACIN DE LAS VLAN Y ENLACES TRONCALES.- 3.3.1 DECRIPCIN GENERAL DE LA CONFIGURACIN DE LAS VLAN Y DE LOS TRONCALES Ln este captulo, ha isto ejemplos de los comandos utilizados para conigurar las VLAN y los enlaces troncales de las VLAN. Ln esta seccin aprendera sobre los comandos clae IOS de Cisco necesarios para crear, eliminar y eriicar las VLAN y los enlaces troncales de las VLAN. Por lo general, estos comandos poseen muchos parametros opcionales que extienden las capacidades de la tecnologa de las VLAN y enlaces troncales de las VLAN. Lstos comandos opcionales no se presentan, sin embargo, se suministran reerencias en caso de que desee inestigar estas opciones. Lsta seccin se enoca en suministrarle las habilidades y conocimientos necesarios para conigurar las VLAN y los enlaces troncales de la VLAN con sus caractersticas clae.
Ln esta seccin, se muestra la sintaxis de coniguracin y eriicacin para un lado de la VLAN o del enlace troncal. Ln las practicas de laboratorio y actiidades conigurara ambos lados y eriicara que el enlace ,VLAN o enlace troncal de VLAN, est conigurado correctamente.
Nota: Si desea mantener la coniguracin actia recin conigurada, debe guardarla en la coniguracin de inicio.
3.3.2 CONFIGURACION DE UNA VLAN.- Agregue una VLAN Ln este tema, aprendera a crear una VLAN estatica en un switch Cisco Catalyst mediante el modo de coniguracin global de la VLAN. Lxisten dos modos dierentes para conigurar las VLAN en un switch Cisco Catalyst: modo de coniguracin de base de datos y modo de coniguracin global. A pesar de que la documentacin de Cisco menciona el modo de coniguracin de base de datos de la VLAN, se elimina a aor del modo de coniguracin global de la VLAN.
Ll usuario conigurara las VLAN con los ID en el rango normal. Recuerde que existen dos rangos de ID dela VLAN. Ll rango normal incluye los ID 1 a 1001 y el rango ampliado consiste de los ID 1006 a 4094. VLAN 1 y 1002 a 1005 son nmeros de ID reserados. Cuando conigura las VLAN de rango normal, los detalles de coniguracin se almacenan automaticamente en la memoria lash del switch en un archio llamado lan.dat. Debido a que el usuario conigura recuentemente otros aspectos de un switch Cisco al mismo tiempo, es una buena practica guardar los cambios de la coniguracin actia en la coniguracin de inicio.
laga clic en el botn Sintaxis del comando en la igura.
La igura reisa los comandos IOS de Cisco utilizados para agregar una VLAN a un switch.
laga clic en el botn Ljemplo en la igura.
La igura muestra cmo se conigura la VLAN estudiante, VLAN 20 en el switch S1. Ln el ejemplo de topologa, la computadora del estudiante, la PC2, an no es una VLAN, pero tiene una direccin IP de 12.1.20.22.
laga clic en el botn Veriicacin en la igura.
La igura muestra un ejemplo de uso del comando show lan brie para mostrar los contenidos del archio lan.dat. Ln la captura de pantalla se resalta la VLAN del estudiante, VLAN 20. Los ID de VLAN predeterminada 1 y 1002 a 1005 se muestran en los resultados que aparecen en pantalla.
Nota: Ademas de ingresar un ID simple de VLAN, el usuario puede ingresar una serie de ID de VLAN separada por comas o un rango de ID de VLAN separado por guiones, usando el comando lan lan-id, por ejemplo: switch,conig,4lan 100,102,105-10.
Asignacin de un puerto de switch Despus de crear una VLAN, asgnele un puerto o mas. Cuando asigna un puerto de switch a una VLAN en orma manual, se lo conoce como puerto de acceso estatico. Un puerto de acceso estatico puede pertenecer a slo una VLAN por ez.
laga clic en el botn Sintaxis del comando en la igura para reisar los comandos IOS de Cisco para asignar un puerto de acceso estatico a la VLAN.
laga clic en el botn Ljemplo en la igura para er cmo la VLAN del estudiante, VLAN 20, se asigna estaticamente al puerto l0,18 en el switch S1. Ll puerto l0,18 se ha asignado a la VLAN 20, de manera que la computadora del estudiante, PC2, esta en la VLAN 20. Cuando la VLAN 20 se conigura en otros switches, el administrador de red sabe conigurar las otras computadoras de estudiantes para encontrarse en la misma subred que PC2: 12.1.20.0 ,24.
laga clic en el botn Veriicacin en la igura para conirmar que el comando show lan brie muestra los contenidos del archio lan.dat. Ln la captura de pantalla se resalta la VLAN del estudiante, VLAN 20.
3.3.3 ADMINISTRACIN DE LAS VLAN.- Verificacin de las vinculaciones de puerto y de las VLAN Despus de conigurar la VLAN, puede alidar las coniguraciones de la VLAN mediante la utilizacin de los comandos show del IOS de Cisco.
laga clic en el botn Sintaxis del comando en la igura.
La sintaxis de comando para los diersos comandos show del IOS de Cisco debe conocerse bien. \a ha utilizado el comando show lan brie. Se pueden er ejemplos de estos comandos haciendoclic en los botones de la igura.
laga clic en el botn Mostrar VLAN en la igura.
Ln este ejemplo, el usuario puede er que el comando show lan name student no produce resultados muy legibles. Aqu se preiere utilizar el comando show lan brie. Ll comando show lan summary muestra la cuenta de todas las VLAN coniguradas. Ll resultado muestra seis VLAN: 1, 1002-1005 y la VLAN del estudiante, VLAN 20.
laga clic en el botn Interaces de VLAN en la igura.
Lste comando muestra muchos detalles que exceden el alcance de este captulo. La inormacin clae aparece en la segunda lnea de la captura de pantalla e indica que la VLAN 20 esta actia.
laga clic en el botn Puerto de switch de interaces en la igura.
Lste comando muestra inormacin til para el usuario. Puede determinar que el puerto l0,18 se asigna a la VLAN 20 y que la VLAN natia es la VLAN 1. Ll usuario ha utilizado este comando para reisar la coniguracin de una VLAN de oz.
Para obtener mas detalles acerca de los campos de resultados de los comandos show lan y show interaces, isite: http:,,www.cisco.com,en,US,products,ps6406,products_command_reerence_chapter09186a00808184b.html4wp30 585.
Vnculos al puerto de administracin Lxisten arias ormas de administrar las VLAN y los nculos del puerto de VLAN. La igura muestra la sintaxis para el comando no switchport access lan.
laga clic en el botn Lliminar la VLAN en la igura.
Reasigne un puerto a la VLAN 1
Para reasignar un puerto a la VLAN 1, el usuario puede usar el comando no switchport access lan en modo de coniguracin de interaz. Lxamine la salida del comando show lan brie que aparece inmediatamente a continuacin. Note cmo VLAN 20 sigue actia. Slo se la ha eliminado de la interaz l0,18. Ln el comando show interaces 0,18 switchport, se puede er que la VLAN de acceso para interaz l0,18 se ha reestablecido a la VLAN 1.
laga clic en el botn Reasignar la VLAN en la igura.
Reasigne la VLAN a otro puerto
Un puerto de acceso estatico slo puede tener una VLAN. Con el sotware IOS de Cisco, no necesita quitar primero un puerto de una VLAN para cambiar su membresa de la VLAN. Cuando reasigna un puerto de acceso estatico a una VLAN existente, la VLAN se elimina automaticamente del puerto anterior. Ln el ejemplo, el puerto l0,11 se reasigna a la VLAN 20.
Eliminacin de las VLAN La igura proporciona un ejemplo de uso del comando de coniguracin global no lan lan-id para eliminar la VLAN 20 del sistema. Ll comando show lan brie eriica que la VLAN 20 ya no esta en el archio lan.dat.
Alternatiamente, el archio completo lan.dat puede eliminarse con el comando delete lash:lan.dat del modo LXLC priilegiado. Despus de que el switch se haya uelto a cargar, las VLAN coniguradas preiamente ya no estaran presentes. Lsto ubica al switch, en orma eectia, en "de abrica de manera predeterminada" con respecto a las coniguraciones de la VLAN.
Nota: Antes de eliminar una VLAN, asegrese de reasignar primero todos los puertos miembro a una VLANdierente. 1odo puerto que no se ha moido a una VLAN actia no puede comunicarse con otras estaciones luego de eliminar la VLAN.
3.3.4 CONFIGURACION DE UN ENLACE TRONCAL.- Configuracin de un enlace troncal 802.1Q Para conigurar un enlace troncal en un puerto de switch, utilice el comando switchport mode trunk. Cuando ingresa al modo enlace troncal, la interaz cambia al modo permanente de enlace troncal y el puerto ingresa a una negociacin de D1P para conertir el nculo a un nculo de enlace troncal, por mas que la interaz que la conecta no acepte cambiar. Ln este curso conigurara un enlace troncal utilizando nicamente el comando switchport mode trunk. Ln la igura se muestra la sintaxis de comando IOS de Cisco para especiicar una VLAN natia dierente a la VLAN 1. Ln el ejemplo, el usuario conigura la VLAN 99 como la VLAN natia. Se muestra la sintaxis de comando utilizada para admitir una lista de las VLAN en el enlace troncal. Ln este puerto de enlace troncal, admita las VLAN 10, 20 y 30.
laga clic en el botn 1opologa en la igura.
Ll usuario ya conoce esta topologa. Las VLAN 10, 20 y 30 admitiran las computadoras del Cuerpo Docente, del Lstudiante y del Initado : PC1, PC2 y PC3. Ll puerto l0,1 en el switch S1 se conigura como un puerto de enlace troncal para admitir las VLAN 10, 20 y 30. La VLAN 99 se conigura como la VLAN natia.
laga clic en el botn Ljemplo en la igura.
Ll ejemplo conigura al puerto l0,1 en el switch S1 como puerto de enlace troncal. Lste uele a conigurar la VLAN natia como VLAN 99 y agrega las VLAN 10, 20 y 30 como las VLAN admitidas en el puerto l0,1.
Un analisis sobre el D1P y los detalles de cmo trabaja cada opcin de modo de acceso al puerto de switch supera el alcance del curso. Para mas detalles sobre los parametros asociados con el comando de interaz switchport mode isite: http:,,www.cisco.com,en,US,docs,switches,lan,catalyst2960,sotware,release,12.2_3_se,command,reerence,cli3.ht ml4wp194811.
Verificacin de la configuracin del enlace troncal La igura muestra la coniguracin del puerto de switch l0,1 en el switch S1. Ll comando utilizado es el comando show interaces interace-ID switchport.
La primera area resaltada muestra que el puerto l0,1 tiene el modo administratio establecido enLnlace 1roncal. Ll puerto se encuentra en modo de enlace troncal. La siguiente area resaltada eriica que la VLAN natia sea la VLAN 99, la VLAN de administracin. Ln la parte inerior del resultado, la ltima area resaltada muestra que las VLAN del enlace troncal habilitadas son las VLAN 10, 20 y 30.
Administracin de una configuracin de enlace troncal Ln la igura, se muestran los comandos para reestablecer las VLAN admitidas y la VLAN natia del enlace troncal al estado predeterminado. 1ambin se muestra el comando para reestablecer el puerto de switch a un puerto de acceso y, en eecto, eliminar el puerto de enlace troncal.
laga clic en el botn Restablecer Ljemplo en la igura.
Ln la igura, los comandos utilizados para reestablecer todas las caractersticas de enlace troncal de una interaz de enlace troncal a las coniguraciones predeterminadas, estan resaltados en el resultado de muestra. Ll comando show interaces 0,1 switchport reela que el enlace troncal se ha reconigurado a un estado predeterminado.
laga clic en el botn Lliminar Ljemplo en la igura.
Ll resultado de la igura muestra los comandos utilizados para eliminar la caracterstica de enlace troncal del puerto de switch l0,1 en el switch S1. Ll comando show interaces 0,1 switchport reela que la interaz l0,1 esta ahora en modo de acceso estatico.
3.4 RESOLUCION DE PROBLEMAS DE LAS VLAN Y LOS ENLACES TRONCALES 3.4.1 PROBLEMAS COMUNES CON ENLACES TRONCALES.- Problemas comunes con enlaces troncales Ln este tema, el usuario aprende sobre los problemas comunes de la VLAN y el enlace troncal, que suelen asociarse a coniguraciones incorrectas. Cuando conigura la VLAN y los enlaces troncales en una inraestructura conmutada, estos tipos de errores de coniguracin son los mas comunes,en el siguiente orden:
Faltas de concordancia de la VLAN nativa: los puertos se coniguran con dierentes VLAN natias, por ejemplo si un puerto ha deinido la VLAN 99 como VLAN natia y el otro puerto de enlace troncal ha deinido la VLAN 100 como VLAN natia. Lstos errores de coniguracin generan notiicaciones de consola, hacen que el traico de administracin y control se dirija errneamente y, como ya ha aprendido, representan un riesgo para la seguridad. Faltas de concordancia del modo de enlace troncal: un puerto de enlace troncal se conigura con el modo de enlace troncal "inactio" y el otro con el modo de enlace troncal "actio". Lstos errores de coniguracin hacen que el nculo de enlace troncal deje de uncionar. VLAN admitidas en enlaces troncales: la lista de VLAN admitidas en un enlace troncal no se ha actualizado con los requerimientos de enlace troncal actuales de VLAN. Ln este caso, se ena traico inesperado o ningn traico al enlace troncal.
Si ha descubierto un problema con una VLAN o con un enlace troncal y no sabe cual es, comience la resolucin de problemas examinando los enlaces troncales para er si existe una alta de concordancia de la VLAN natia y luego aya siguiendo los pasos de la lista. Ll resto de este tema examina cmo reparar los problemas comunes con enlaces troncales. Ll prximo tema presenta cmo identiicar y resoler la coniguracin incorrecta de la VLAN y las subredes IP.
Faltas de concordancia de la VLAN nativa Ll usuario es un administrador de red y recibe un llamado que dice que la persona que utiliza la computadora PC4 no se puede conectar al seridor \eb interno, seridor \LB,1l1P de la igura. Sabe que un tcnico nueo ha conigurado recientemente el switch S3. Ll diagrama de topologa parece correcto, entonces ,por qu hay un problema Ll usuario decide eriicar la coniguracin en S3.
laga clic en el botn Coniguracin en la igura.
1an pronto como se conecta al switch S3, el mensaje de error que aparece en el area superior resaltada en la igura aparece en la entana de la consola. Obsera la interaz con el comando show interaces 0,3 switchport. Nota que la VLAN natia, la segunda area resaltada en la igura, se ha establecido como VLAN 100 y se encuentra inactia. Sigue leyendo los resultados y obsera que las VLAN permitidas son 10 y 99, como aparece en el area inerior resaltada.
laga clic en el botn Solucin en la igura.
Debe reconigurar la VLAN natia en el puerto de enlace troncal last Lthernet l0,3 para que sea VLAN 99. Ln la igura, el area superior resaltada muestra el comando para conigurar la VLAN natia en VLAN 99. Las dos areas resaltadas siguientes conirman que el puerto de enlace troncal last Lthernet l0,3 ha reestablecido la VLAN natia a VLAN 99.
Los resultados que aparecen en la pantalla para la computadora PC4 muestran que la conectiidad se ha reestablecido para el seridor \LB,1l1P que se encuentra en la direccin IP 12.1.10.30.
Faltas de concordancia del modo de enlace troncal Ln este curso ha aprendido que los nculos de enlace troncal se coniguran estaticamente con el comando switchport mode trunk. la aprendido que los puertos de enlace troncal utilizan publicaciones de D1P para negociar el estado del nculo con el puerto remoto. Cuando un puerto en un nculo de enlace troncal se conigura con un modo de enlace troncal que no es compatible con el otro puerto de enlace troncal, no se puede ormar un nculo de enlace troncal entre los dos switches.
Ln este caso, surge el mismo problema: la persona que utiliza la computadora PC4 no puede conectarse al seridor \eb interno. Una ez mas, el diagrama de topologa se ha mantenido y muestra una coniguracin correcta. ,Por qu hay un problema
laga clic en el botn Coniguracin en la igura.
Lo primero que hace es eriicar el estado de los puertos de enlace troncal en el switch S1 con el comando show interaces trunk. Ll comando reela en la igura que no hay enlace troncal en la interaz l0,3 del switch S1. Lxamina la interaz l0,3 para darse cuenta de que el puerto de switch esta en modo dinamico automatico, la primera area resaltada en la parte superior de la igura. Un examen de los enlaces troncales en el switch S3 reela que no hay puertos de enlace troncal actios. Mas controles reelan que la interaz l0,3 tambin se encuentra en modo dinamico automatico, la primera area resaltada en la parte inerior de la igura. Ahora ya sabe por qu el enlace troncal esta deshabilitado.
laga clic en el botn Solucin en la igura.
Debe reconigurar el modo de enlace troncal de los puertos last Lthernet l0,3 en los switches S1 y S3. Ln la parte superior izquierda de la igura, el area resaltada muestra que el puerto se encuentra ahora en modo de enlazamiento troncal. La salida superior derecha del switch S3 muestra el comando utilizado para reconigurar el puerto y los resultados del comando show interaces trunk y reela que la interaz l0,3 ha sido reconigurada como modo de enlace troncal. Ll resultado de la
computadora PC4 indica que la PC4 ha recuperado la conectiidad al seridor \LB,1l1P que se encuentra en la direccin IP 12.1.10.30.
Lista de VLAN incorrecta la aprendido que para que el traico de una VLAN se transmita por un enlace troncal, debe haber acceso admitido en el enlace troncal. Ll comando utilizado para lograr esto es el comando switchport access trunk allowed lan add lan-id. Ln la igura, se han agregado la VLAN 20 ,Lstudiante, y la computadora PC5 a la red. La documentacin se ha actualizado para mostrar que las VLAN admitidas en el enlace troncal son las 10, 20 y 99.
Ln este caso, la persona que utiliza la computadora PC5 no puede conectarse al seridor de correo electrnico del estudiante, que se muestra en la igura.
laga clic en el botn Coniguracin en la igura.
Controle los puertos de enlace troncal en el switch S1 con el comando show interaces trunk. Ll comando reela que la interaz l0,3 en el switch S3 esta correctamente conigurada para admitir las VLAN 10, 20 y 99. Un examen de la interaz l0,3 en el switch S1 reela que las interaces l0,1 y l0,3 slo admiten VLAN 10 y 99. Parece que alguien actualiz la documentacin pero olid reconigurar los puertos en el switch S1.
laga clic en el botn Solucin en la igura.
Debe reconigurar los puertos l0,1 y l0,3 en el switch S1 con el comando switchport trunk allowed lan 10,20,99. Los resultados que aparecen en la parte superior de la pantalla en la igura, muestran que las VLAN 10, 20 y 99 se agregan ahora a los puertos l0,1 y l0,3 en el switch S1. Ll comando show interaces trunk es una excelente herramienta para reelar problemas comunes de enlace troncal. La parte inerior de la igura indica que la PC5 ha recuperado la conectiidad con el seridor de correo electrnico del estudiante que se encuentra en la direccin IP 12.1.20.10.
3.4.2 UN PROBLEMA COMN CON CONFIGURACIONES DE VLAN.- VLAN y subredes IP Como ha aprendido, cada VLAN debe corresponder a una subred IP nica. Si dos dispositios en la misma VLAN tienen direcciones de subred dierentes, no se pueden comunicar. Lste tipo de coniguracin incorrecta es un problema comn y de acil resolucin al identiicar el dispositio en controersia y cambiar la direccin de subred por una direccin correcta.
Ln este caso, la persona que utiliza la computadora PC1 no puede conectarse al seridor \eb del estudiante, que se muestra en la igura.
laga clic en el botn Coniguracin en la igura.
Ln la igura, una eriicacin de los ajustes de coniguracin IP de la PC1 reela que el error mas comn al conigurar las VLAN es: una direccin IP conigurada incorrectamente. La computadora PC1 esta conigurada con una direccin IP de 12.12.10.21, pero debera haber estado conigurada con la direccin 12.1.10.21.
laga clic en el botn Solucin en la igura.
La captura de pantalla del cuadro de dialogo de la coniguracin de last Lthernet de la PC1 muestra la direccin IP actualizada de 12.1.10.21. La captura de la parte inerior de la pantalla indica que la PC1 ha recuperado la conectiidad al seridor \LB,1l1P que se encuentra en la direccin IP 12.1.10.30.
CAPITULO IV VTP
4.0 INTRODUCCIN.- 4.0.1 INTRODUCCIN.- A medida que crece el tamano de la red de empresas pequenas y medianas, tambin crece la administracin inolucrada en mantener la red. Ln el captulo anterior aprendi cmo crear y manejar las VLAN y los enlaces troncales usando los comandos del IOS de Cisco. Ll tema era manejar la inormacin de la VLAN en un solo switch. Pero ,qu pasa si tiene muchos switches para administrar ,Cmo administrara la base de datos de la VLAN a tras de muchos switches Ln este captulo, explorara cmo utilizar el protocolo de enlace troncal de la VLAN ,V1P, de los switches Cisco Catalyst para simpliicar la administracin de la base de datos de la VLAN a tras de switches mltiples.
4.1 CONCEPTOS DE VTP.- 4.1.1 QU ES UN VTP?.- El desafo de administrar la VLAN
A medida que aumenta el nmero de switches en una red de empresas pequenas o medianas, la administracin general requerida para administrar las VLAN y los enlaces troncales en una red se uele un desao.
Haga clic para reproducir la visualizacin de una animacin sobre el desafo de administrar la VLAN.
Administracin de una VLAN de red pequea
Ln la animacin, la igura muestra una administracin de red que agrega una nuea VLAN, VLAN30. Ll administrador de red necesita actualizar tres enlaces troncales que permitan a las VLAN 10, 20, 30 y 99. Debe recordar que un error comn es olidarse de actualizar la lista permitida de las VLAN en los enlaces troncales.
Haga clic en el botn Red grande que se muestra en la figura.
Administracin de VLAN en la Red grande
Si considera la red mas grande en la igura, se hace eidente el desao de administrar la VLAN. Despus de haber actualizado manualmente esta red unas pocas eces, puede desear conocer si existe una orma para que los switches sepan cuales son las VLAN y los enlaces troncales, de modo que no tenga que conigurarlos manualmente. Lsta listo para aprender sobre el protocolo de enlace troncal de la VLAN ,V1P,.
Qu es el VTP?
Ll V1P permite a un administrador de red conigurar un switch de modo que propagara las coniguraciones de la VLAN hacia los otros switches en la red. Ll switch se puede conigurar en la uncin de seridor del V1P o de cliente del V1P. Ll V1P slo aprende sobre las VLAN de rango normal ,ID de VLAN 1 a 1005,. Las VLAN de rango extendido ,ID mayor a 1005, no son admitidas por el V1P.
Ln la igura, haga clic en Reproducir para er una animacin general sobre cmo unciona el V1P.
Descripcin general del VTP
Ll V1P permite al administrador de red realizar cambios en un switch que esta conigurado como seridor del V1P. Basicamente, el seridor del V1P distribuye y sincroniza la inormacin de la VLAN a los switches habilitados por el V1P a tras de la red conmutada, lo que minimiza los problemas causados por las coniguraciones incorrectas y las inconsistencias en las coniguraciones. Ll V1P guarda las coniguraciones de la VLAN en la base de datos de la VLAN denominada lan.dat.
laga clic en el botn Dos switches que se muestra en la igura.
Dos switches
Ln la igura haga clic en Reproducir para er una animacin sobre la interaccin basica del V1P entre un seridor del V1P y un cliente del V1P.
Ln la igura, se agrega un enlace troncal entre switch S1, un seridor del V1P y S2, un cliente del V1P. Despus de establecer un enlace troncal entre los dos switches, las publicaciones del V1P se intercambian entre los switches. 1anto el seridor como el cliente intercambian las publicaciones entre ellos para asegurarse de que cada uno tieneun registro preciso de la inormacin de la VLAN. Las publicaciones del V1P no se intercambiaran si el enlace troncal entre los switches esta inactio. Ln el resto de este captulo se explican los detalles de cmo unciona el V1P.
Beneficios del VTP
\a aprendi que el V1P mantiene la consistencia de coniguracin de la VLAN mediante la administracin del agregado, la eliminacin y la redenominacin de las VLAN a tras de los switches mltiples de Cisco en una red. Ll V1P orece un nmero de beneicios para los administradores de red, segn se muestra en la igura.
Componentes del VTP
Lxiste un nmero de componentes clae con los que necesita amiliarizarse al aprender sobre el V1P. Aqu se muestra una bree descripcin de los componentes, que se explicaran mas adelante a medida que se aance en el captulo.
Dominio del VTP: Consiste de uno o mas switches interconectados. 1odos los switches en un dominio comparten los detalles de coniguracin de la VLAN usando las publicaciones del V1P. Un router o switch de Capa 3 deine el lmite de cada dominio. Publicaciones del VTP: Ll V1P usa una jerarqua de publicaciones para distribuir y sincronizar las coniguraciones de la VLAN a tras de la red. Modos del V1P: Un switch se puede conigurar en uno de tres modos: seridor, cliente o transparente.
Servidor del VTP: los seridores del V1P publican la inormacin VLAN del dominio del V1P a otros switches habilitados por el V1P en el mismo dominio del V1P. Los seridores del V1P guardan la inormacin de la VLAN para el dominio completo en la NVRAM. Ll seridor es donde las VLAN se pueden crear, eliminar o redenominar para el dominio. Cliente del VTP: los clientes del V1P uncionan de la misma manera que los seridores del V1P pero no pueden crear, cambiar o eliminar las VLAN en un cliente del V1P. Un cliente del V1P slo guarda la inormacin de la VLAN para el dominio completo mientras el switch esta actiado. Un reinicio del switch borra la inormacin de la VLAN. Debe conigurar el modo de cliente del V1P en un switch. VTP transparente: los switches transparentes enan publicaciones del V1P a los clientes del V1P y seridores del V1P. Los switches transparentes no participan en el V1P. Las VLAN que se crean, redenominan o se eliminan en los switches transparentes son locales para ese switch solamente. Depuracin del VTP: La depuracin del V1P aumenta el ancho de banda disponible para la red mediante la restriccin del traico saturado a esos enlaces troncales que el traico debe utilizar para alcanzar los dispositios de destino. Sin la depuracin del V1P, un switch satura el broadcast, el multicast y el traico desconocido de unicast a tras de los enlaces troncales dentro de un dominio del V1P aunque los switches receptores podran descartarlos.
Ln la igura, pase el mouse sobre los componentes clae del V1P para er dnde se encuentran en la red.
4.2 OPERACIN DEL VTP.- 4.2.1 CONFIGURACION PRETERMINADA DEL VTP.- Ln CCNA Lxploration: Aspectos basicos de red, aprendi que un switch Cisco sale deabrica con coniguraciones por deecto. La igura muestra las coniguraciones predeterminadas del V1P. Ll beneicio del V1P es que automaticamente distribuye y sincroniza las coniguraciones de dominio y VLAN a tras de la red. Sin embargo, este beneicio iene con un costo: slo se pueden agregar switches que estan en la coniguracin predeterminada del V1P. Si se agrega un switch permitido por el V1P cuya coniguracin sustituye a las mismas del V1P de la red existente, los cambios que son diciles de solucionar se propagan automaticamente a tras de la red. Lntonces asegrese de agregar slo switches que estan en la coniguracin predeterminada del V1P Luego, en este captulo, aprendera cmo agregar switches a una red del V1P.
Versiones del VTP
Ll V1P tiene tres ersiones: 1, 2 y 3. Slo se permite una ersin del V1P en un dominio del V1P. La ersin predeterminada es la Versin 1 del V1P. Un switch Cisco 2960 admite la ersin 2 del V1P pero esta deshabilitada. Un debate de las ersiones del V1P esta mas alla del ambito de este curso.
laga clic en el botn Resultado del switch que se muestra en la igura para er las coniguraciones predeterminadas del V1P en el switch S1.
Visualizacin del estado del VTP La igura muestra cmo er las coniguraciones del V1P para un switch Cisco 2960, S1. Ll comando del IOS de Cisco show V1P status isualiza el estado del V1P. La salida muestra que el switch S1 esta en modo del seridor del V1P predeterminado y que no existe nombre de dominio del V1P asignado. La salida tambin muestra que la ersin maxima del V1P disponible para el switch es la ersin 2 y que la ersin 2 del V1P esta deshabilitada. Utilizara el comando show V1P status recuentemente a medida que conigure y administre el V1P en una red. A continuacin, se describen breemente los parametros de show V1P status: Versin del VTP: muestra la ersin del V1P que el switch puede ejecutar. De manera predeterminada, el switch implementa la ersin 1, pero puede conigurarse para la ersin 2. Reisin de la coniguracin: el nmero de la reisin de la coniguracin actual esta en el switch. Mas adelante, en este captulo, aprendera mas acerca de los nmeros de reisiones. VLAN mximas admitidas localmente: Nmero maximo de VLAN admitidas localmente. Nmero de VLAN existentes: Nmero de VLAN existentes. Modo operativo del VTP: puede ser seridor, cliente o transparente. Nombre de dominio del VTP: nombre que identiica el dominio administratio para el switch. Modo de depuracin del VTP: muestra si la depuracin esta habilitada o deshabilitada. Modo de la V2 del VTP: muestra si la ersin 2 del V1P esta habilitada. La ersin 2 del V1P esta deshabilitada de manera predeterminada. Generacin de Traps del VTP: muestra si las traps del V1P se enan hacia la estacin de administracin de red. MD5 Digest: una checksum de 16 bytes de la coniguracin del V1P. ltima configuracin modificada: echa y hora de la ltima modiicacin de coniguracin. Muestra la direccin IP del switch que caus el cambio de coniguracin a la base de datos.
4.2.2 DOMINIOS DEL VTP.- Dominios del VTP
Ll V1P le permite separar su red en dominios de administracin mas pequenos para ayudarlo a reducir la administracin de la VLAN. Un beneicio adicional de conigurar los dominios del V1P es que limita hasta qu punto se propagan los cambios de coniguracin en la red si se produce un error. La igura muestra una red con dos dominios de V1P: Cisco2 y Cisco3. Ln este captulo, se coniguraran los tres switches: S1, S2 y S3 para el V1P.
Un dominio del V1P consiste en un switch o arios switches interconectados que comparten el mismo nombre de dominio del V1P. Mas adelante en este captulo aprendera cmo los switches habilitados por el V1P adquieren un nombre comn de dominio. Un switch puede ser parte de slo un dominio del V1P a la ez. lasta tanto especiique el nombre de dominio del V1P, no puede crear ni modiicar las VLAN en un seridor del V1P, y la inormacin de la VLAN no se propaga a tras de la red.
laga clic en el botn Resultado del switch que se muestra en la igura para er la salida del switch S4.
Propagacin del nombre de dominio del VTP
Para que un switch de cliente o seridor del V1P participe en una red habilitada por el V1P, debe ser parte del mismo dominio. Cuando los switches estan en dierentes dominios de V1P no intercambian los mensajes del V1P. Un seridor del V1P propaga el nombre de dominio del V1P a todos los switches. La propagacin del nombre de dominio usa tres componentes del V1P: seridores, clientes y publicaciones.
Ln la igura, haga clic en Reproducir para er cmo un seridor del V1P propaga el nombre de dominio del V1P en una red.
La red en la igura muestra tres switches: S1, S2 y S3 en su coniguracin predeterminada del V1P. Se coniguran como seridores del V1P. Los nombres de dominio del V1P no han sido conigurados en ninguno de los switches.
Ll administrador de la red conigura el nombre de dominio del V1P como cisco1 en el switch S1 del seridor del V1P. Ll seridor del V1P ena una publicacin de V1P con el nueo nombre de dominio incluido. Los switches del seridor del V1P de S2 y S3 actualizan su coniguracin del V1P al nueo nombre de dominio.
Nota: Cisco recomienda que el acceso a las unciones de coniguracin del nombre de dominio sea protegido por una contrasena. Los detalles de la coniguracin de la contrasena se presentaran mas adelante en el curso.
,Cmo se ubica el nombre de dominio en una publicacin del V1P ,Qu inormacin se intercambia entre los switches habilitados por el V1P Ln el prximo punto, aprendera sobre los detalles de las publicaciones del V1P y encontrara respuestas a estas preguntas.
4.2.3 PUBLICACIN DEL VTP.- Estructura de trama del VTP
Las publicaciones ,o mensajes, del V1P distribuyen nombre de dominio del V1P y cambios en la coniguracin de la VLAN a los switches habilitados por el V1P. Ln este punto, aprendera sobre la estructura de la trama del V1P y cmo los tres tipos de publicaciones permiten al V1P distribuir y sincronizar las coniguraciones de VLAN a tras de toda la red.
laga clic en el botn Descripcin general en la igura y, luego haga clic en Reproducir para er una animacin sobre la estructura de una trama del V1P.
Encapsulacin de la trama del VTP
Una trama del V1P consiste en un campo de encabezado y un campo de mensaje. La inormacin del V1P se inserta en el campo de datos de una trama de Lthernet. La trama de Lthernet luego se encapsula como una trama troncal de 802.1Q ,o trama ISL,. Cada switch en el dominio ena publicaciones peridicas de cada puerto de enlace troncal a una direccin multicast reserada. Los switches ecinos reciben estas publicaciones que actualizan las coniguraciones de sus V1P y VLAN si es necesario.
laga clic en el botn Detalles de trama del V1P que se muestra en la igura.
Detalles de trama del VTP
Ln la igura, se puede er la estructura de la trama del V1P en mas detalle. 1enga presente que una trama del V1P encapsulada como una trama 802.1Q no es estatica. Ll contenido del mensaje del V1P determina qu campos estan presentes. Ll switch receptor habilitado por el V1P busca campos y alores especicos en la trama 802.1Q para saber qu procesar. Los siguientes campos clae estan presentes cuando una trama del V1P esta encapsulada como una trama 802.1Q:
Direccin MAC destino: esta direccin se conigura a 01-00-0C-CC-CC-CC, que es la direccin multicast reserada para todos los mensajes del V1P.
Campo LLC: campo de Control de enlace lgico ,LLC, contiene un punto de acceso al sericio destino ,DSAP, y un punto de acceso al sericio de origen ,SSAP, establecidos al alor de AA.
Campo SNAP: campo del Protocolo de acceso a la subred ,SNAP, tiene un OUI establecido a AAAA y tipo establecido a 2003.
Campo del encabezado del VTP: el contenido ara segn el tipo de resumen del mensaje del V1P, subconjunto o solicitud pero siempre contiene estos campos del V1P:
Nombre de dominio: identiica el dominio administratio para el switch. Longitud de nombre de dominio: la longitud del nombre de dominio. Versin establecida ya sea para V1P 1, V1P 2 o V1P 3. Ll switch Cisco 2960 slo admite a V1P 1 y V1P 2. Nmero de reisin de coniguracin: el nmero de reisin de coniguracin actual en este switch.
Campo de mensaje del VTP: ara segn el tipo de mensaje.
laga clic en el botn Contenido del mensaje del V1P que se muestra en la igura.
Contenido del mensaje del VTP
Las tramas del V1P contienen la siguiente inormacin de dominio global de longitud ija:
Nombre de dominio del V1P Identidad del switch que ena el mensaje y la hora en que es eniado Coniguracin de VLAN del MD5 digest, incluido el tamano de la unidad maxima de transmisin ,M1U, para cada VLAN lormato de trama: ISL o 802.1Q
Las tramas del V1P contienen la siguiente inormacin para cada VLAN conigurada:
ID de VLAN ,ILLL 802.1Q, Nombre de VLAN 1ipo de VLAN Lstado de la VLAN Inormacin adicional de la coniguracin especica de la VLAN al tipo de VLAN
Nota: Una trama de V1P esta encapsulada en una trama de Lthernet 802.1Q. La trama de Lthernet completa de 802.1Q es la publicacin del V1P llamado con recuencia mensaje del V1P. Los trminos trama, publicacin y mensaje se suelen utilizar de modo intercambiable.
Nmero de revisin del VTP
Ll nmero de reisin de la coniguracin es un nmero de 32 bits que incluye el niel de reisin para una trama del V1P. Ll nmero de coniguracin predeterminado para un switch es cero. Cada ez que se agrega o elimina una VLAN, se aumenta el nmero de reisin de la coniguracin. Cada dispositio de V1P rastrea el nmero de reisin de coniguracin del V1P que se le asigna.
Nota: Un cambio de nombre de dominio del V1P no aumenta el nmero de reisin. Ln su lugar, reestablece el nmero de reisin a cero.
Ll nmero de reisin de la coniguracin determina si la inormacin de coniguracin recibida del otro switch habilitado por el V1P es mas reciente que la ersin guardada en el switch. La igura muestra un administrador de red que agrega tres VLAN al switch S1.
laga clic en el botn Resultado de switch que se muestra en la igura para er cmo se ha cambiado el nmero de reisin. Ll area resaltada muestra que el nmero de reisin en el switch S1 es 3, el nmero de VLAN es hasta ocho porque se han agregado tres VLAN a las cinco VLAN predeterminadas.
Ll nmero de reisin juega un rol importante y complejo al habilitar la V1P a distribuir y sincronizar el dominio del V1P y la inormacin de coniguracin de la VLAN. Para comprender qu hace el nmero de reisin, primero necesita aprender los tres tipos de publicaciones del V1P y los tres modos del V1P.
Publicaciones del VTP
Publicaciones de resumen
La publicacin del resumen contiene el nombre de dominio del V1P, el nmero actual de reisin y otros detalles de la coniguracin del V1P.
Se enan publicaciones de resumen:
Cada 5 minutos, por el seridor o cliente del V1P para inormar a los switches ecinos habilitados por el V1P del nmero de reisin actual de la coniguracin del V1P para su dominio del V1P. Inmediatamente despus de haber establecido una coniguracin
laga clic en el botn Resumen y luego en el botn Reproducir que se muestran en la igura para er una animacin sobre las publicaciones del V1P del resumen.
Publicaciones de subconjunto
Una publicacin de subconjunto contiene inormacin de la VLAN. Los cambios que disparan una publicacin de subconjunto incluyen:
Creacin o eliminacin de una VLAN Suspensin o actiacin de una VLAN Cambio de nombre de una VLAN Cambio de M1U de una VLAN
Puede tomar publicaciones de subconjuntos mltiples para actualizar completamente la inormacin de la VLAN.
laga clic en el botn Subconjunto y luego en el botn Reproducir que se muestran en la igura para er una animacin sobre las publicaciones del V1P de subconjuntos.
Publicaciones de solicitud
Cuando una publicacin de solicitud se ena al seridor del V1P en el mismo dominio del V1P, el seridor del V1P responde eniando una publicacin del resumen y luego una publicacin de subconjunto. Las publicaciones de solicitud se enan si:
Ll nombre de dominio del V1P se ha cambiado. Ll switch recibe una publicacin de resumen con un nmero de reisin de coniguracin mas alto que el suyo. Un mensaje de publicacin de subconjunto se pierde por alguna razn Ll switch se ha reconigurado
laga clic en el botn Peticin y, luego, en el botn Reproducir que se muestran en la igura para er una animacin sobre las publicaciones del V1P de solicitud.
Detalles de publicaciones del VTP
Ll V1P utiliza publicaciones para distribuir y sincronizar inormacin sobre los dominios y coniguraciones de VLAN. Lxisten tres publicaciones principales del V1P.
Cada tipo de publicacin del V1P ena inormacin sobre arios parametros utilizados por el V1P. Se presenta una descripcin de los campos en cada una de las publicaciones del V1P.
laga clic en el botn Detalles del resumen que se muestra en la igura.
Publicaciones de resumen
Las publicaciones del resumen comprenden la mayora del traico de publicaciones del V1P. Pase el mouse sobre los campos en la publicacin del resumen para er las descripciones.
Pase el mouse sobre los campos en la publicacin del resumen para er las descripciones.
laga clic en el botn Detalles de subconjunto que se muestra en la igura.
Publicaciones de subconjunto
Los campos encontrados en una publicacin de subconjunto se describen breemente. No se describen los campos en la inormacin de VLAN.
Pase el mouse sobre los campos en la publicacin de subconjunto para er las descripciones.
laga clic en el botn Detalles de peticin que se muestra en la igura.
Publicaciones de solicitud
Los campos encontrados en una publicacin de solicitud se describen breemente.
Pase el mouse sobre los campos en la publicacin de solicitud para er las descripciones.
4.2.4 MODOS DEL VTP.- Visin general de modos del VTP
Un switch Cisco, conigurado con el sotware IOS de Cisco, se puede conigurar ya sea en modo seridor, cliente o transparente. Lstos modos diieren en cmo se utilizan para administrar y publicar los dominios del V1P y VLAN.
Modo servidor
Ln modo seridor, se pueden crear, modiicar y eliminar las VLAN para el dominio completo del V1P. Ll modo seridor del V1P es el modo predeterminado del switch Cisco. Los seridores del V1P publican sus coniguraciones de VLAN a otros switches en el mismo dominio del V1P y sincronizan sus coniguraciones de VLAN con otros switches basados en las publicaciones recibidas sobre los enlaces troncales. Los seridores del V1P mantienen la pista de actualizaciones por medio del nmero de reisin de coniguracin. Otros switches en el mismo dominio del V1P comparan su nmero de reisin de coniguracin con el nmero de reisin recibido desde un seridor del V1P para er si necesitan sincronizar su base de datos de VLAN.
Modo cliente
Si un switch esta en modo cliente, no se pueden crear, cambiar o eliminar las VLAN. Ademas, la inormacin de coniguracin de la VLAN que el switch del cliente del V1P recibe del switch del seridor del V1P se almacena en una base de datos de la VLAN, no en NVRAM. Consecuentemente, los clientes del V1P requieren menos memoria que los seridores del V1P. Cuando un cliente del V1P se desactia y reinicia, ena una publicacin de solicitud a un seridor del V1P para actualizar la inormacin de coniguracin de la VLAN.
Los switches conigurados como clientes del V1P se encuentran mas generalmente en redes grandes, porque en una red que consiste de muchos cientos de switches es mas dicil coordinar las actualizaciones de la red. A menudo existen muchos administradores de red que trabajan a dierentes horas del da. Si se dispone de slo unos pocos switches que pueden sicamente mantener las coniguraciones de la VLAN, es mas acil controlar las actualizaciones de la VLAN y rastrear qu administradores de red las realizaron.
Para redes grandes, tener switches cliente es tambin mucho mas eicaz. De manera predeterminada, todos los switches estan conigurados para que sean seridores de V1P. Lsta coniguracin es adecuada para redes de pequena escala en las que el tamano de la inormacin de la VLAN es pequeno y la inormacin se almacena mas acilmente en la NVRAM de los switches. Ln redes grandes de muchos cientos de switches, el administrador de red debe decidir si el costo de los switches que compra con suiciente NVRAM para almacenar la inormacin de la VLAN duplicada es demasiado. Un administrador de red consciente del costo podra elegir conigurar unos pocos switches bien equipados como seridores de V1P y luego utilizar esos switches con menos memoria como clientes de V1P. Aunque un debate sobre la redundancia de la red esta mas alla del ambito de este curso, sepa que el nmero de seridores de V1P se podra elegir para proeer el grado de redundancia que se desea en la red.
Modo transparente
Los switches conigurados en modo transparente enan publicaciones de V1P que reciben en sus puertos troncales hacia otros switches en la red. Los switches en modo transparente del V1P no publican su coniguracin de VLAN y no sincronizan su coniguracin de VLAN con ningn otro switch. Conigure un switch en modo transparente cuando tiene las coniguraciones de la VLAN que tienen importancia local y no deben compartirse con el resto de la red.
Ln modo transparente, las coniguraciones de VLAN se guardan en la NVRAM ,pero no se publican a otros switches,. De esta manera, la coniguracin esta disponible despus de la recarga de un switch. Lsto signiica que cuando se reinicia un switch en modo transparente del V1P, no uele a modo seridor del V1P de manera predeterminada, pero permanece en modo transparente del V1P.
VTP en accin
Vera ahora cmo las diersas caractersticas del V1P se unen para distribuir y sincronizar el dominio y las coniguraciones de VLAN en una red habilitada por el V1P. La animacin comienza con tres switches nueos: S1, S2 y S3 conigurados de abrica de manera predeterminada y inaliza con los tres switches conigurados y participandoen una red habilitada por el V1P.
Puede pausar y rebobinar la animacin para relexionar y reisar este proceso.
la isto cmo unciona el V1P con tres switches. Lsta animacin examina en mas detalle cmo un switch conigurado en modo transparente de V1P admite la uncionalidad del V1P.
laga clic en el botn Reproducir que se muestra en la igura.
Puede pausar y rebobinar la animacin para relexionar y reisar este proceso.
4.2.5 DEPURACION DEL VTP.- La depuracin del V1P eita looding innecesaria de inormacin de broadcast desde una VLAN a tras de todos los enlaces troncales en un dominio de V1P. La depuracin del V1P permite que los switches negocien qu VLAN estan asignadas a puertos en otros extremos de un enlace troncal y, consiguientemente, depuren aquellas que no estan asignadas a puertos en el switch remoto. La depuracin se deshabilita de manera predeterminada. La depuracin del V1P se habilita utilizando tp pruning ,comando de coniguracin local,. Necesita habilitar la depuracin en slo un switch del seridor de V1P en el dominio. Ln la igura habilitara la depuracin del V1P en el switch S1. La igura muestra una red con VLAN 10 y VLAN 20 coniguradas. Ll switch S3 tiene la VLAN 20 conigurada y el switch S2 tiene la VLAN 10 y VLAN 20 coniguradas. Lxamine la topologa en la igura y, luego, haga clic para er las coniguraciones del switch.
Depuracin del VTP en accin
Recuerde que una VLAN crea un dominio de broadcast aislado. Un switch satura el traico de broadcast, multicast y unicast desconocido a tras de los enlaces troncales dentro de un dominio V1P. Cuando una computadora o un dispositio ena un broadcast por una VLAN, por ejemplo la VLAN 10 en la igura, el traico de broadcast recorre todos los enlaces troncales a tras de la red hacia todos los puertos en todos los switches en la VLAN 10. Ln la igura todos los switches S1, S2 y S3 reciben tramas de broadcast desde la PC1. Ll traico de broadcast desde la PC1 consume el ancho de banda en el enlace troncal entre S1 y S3 y consume el tiempo del procesador en S1 y S2. Ll enlace entre los switches S1 y S3 no llea traico de la VLAN 10, por lo tanto, es un candidato para la depuracin del V1P.
laga clic en el botn Reproducir que se muestra en la igura para er cmo se maneja el traico de saturacin de la VLAN en una red sin depuracin del V1P.
Depuracin del VTP
laga clic en el botn de Depuracin del V1P y, luego, en Reproducir para er la animacin sobre cmo se maneja el traico de saturacin de la VLAN en una red con depuracin del V1P.
Ll traico de saturacin es detenido al ingresar a la red troncal que conecta los switches S1 y S2. La depuracin del V1P slo depura el puerto de egreso l0,1 en el switch S2.
Depuracin del VTP habilitada
La igura muestra una topologa de la red que tiene switches S1, S2 y S3 conigurados con depuracin de V1P. Cuando se habilita la depuracin del V1P en una red, sta reconigura los enlaces troncales basados en qu puertos estan conigurados con cuales VLAN.
laga clic en el botn Switch S1 que se muestra en la igura.
Ll area resaltada muestra que el enlace troncal en el puerto l0,1 permite el traico de VLAN 10. La depuracin del V1P slo depura el puerto de egreso.
laga clic en el botn Switch S2 que se muestra en la igura.
Ll area resaltada muestra que el enlace troncal en el puerto l0,1 no permite el traico de VLAN 10. VLAN 10 no esta en la lista. Para mas detalles sobre depuracin del V1P, isite: http:,,www.cisco.com,en,US,products,ps6406,products_coniguration_guide_chapter09186a008081d9ac.html4wp1035 139.
4.3 CONFIGURAR EL VTP.- 4.3.1 CONFIGURACION DEL VTP.- Gua de Configuracin del VTP
Ahora que esta amiliarizado con la uncionalidad del V1P, esta listo para aprender a conigurar un switch de Cisco Catalyst que usa V1P. La topologa muestra la topologa de reerencia para este captulo. Ll V1P sera conigurado sobre esta topologa.
laga clic en el botn 1abla que se muestra en la igura.
Switches del servidor del VTP
Siga estos pasos y guas asociadas para asegurarse de que conigura el V1P con xito:
Conirme que todos los switches que a a conigurar hayan sido preiamente conigurados de manera predeterminada. Siempre reconigure el nmero de reisin de coniguracin antes de instalar un switch preiamente conigurado en un dominio del V1P. No reconigurar el nmero de reisin de coniguracin permite la potencial discontinuidad en la coniguracin de la VLAN, a tras del resto de los switches en el dominio del V1P. Conigure al menos dos switches del seridor del V1P en su red. Como slo los switches del seridor pueden crear, eliminar y modiicar las VLAN, debe asegurarse de tener un seridor del V1P de respaldo en caso de que el seridor V1P principal se desactie. Si todos los switches en la red estan conigurados en modo cliente del V1P, no puede crear nueas VLAN en la red. Conigure un dominio de V1P en el seridor del V1P. La coniguracin del dominio del V1P en el primer switch habilita al V1P para comenzar la publicacin de la inormacin de la VLAN. Otros switches conectados a tras de enlaces troncales reciben la inormacin del dominio del V1P automaticamente a tras de las publicaciones del V1P. Si hay un dominio de V1P existente, asegrese de coincidir exactamente con el nombre. Los nombres de dominio del V1P distinguen entre mayscula y minscula. Si esta conigurando un contrasena para el V1P, asegrese de que sea la misma contrasena conigurada en todos los switches en el dominio que necesitan poder intercambiar inormacin del V1P. Los switches sin contrasena o con contrasena incorrecta rechazan las publicaciones del V1P. Asegrese de que todos los switches estn conigurados para utilizar la misma ersin de protocolo del V1P. La ersin 1 del V1P no es compatible con la ersin 2 del V1P. De manera predeterminada, los switches Cisco Catalyst 2960 ejecutan la ersin 1 pero pueden ejecutar la ersin 2. Cuando la ersin del V1P se conigura a ersin 2, todos los switches con ersin 2 en el dominio se autoconiguran para utilizar la ersin 2 a tras del proceso de anuncio del V1P. Cualquier ersin 1: slo los switches no pueden participar en el dominio V1P despus de ese punto. Cree la VLAN despus de haber habilitado el V1P en el seridor del V1P. Se eliminan las VLAN creadas antes de habilitar el V1P. Siempre asegrese de que los puertos troncales estn conigurados para interconectar switches en el dominio del V1P. La inormacin del V1P slo se intercambia en los puertos troncales.
Switches del cliente de VTP
Como en el switch del seridor del V1P, conirme que las coniguraciones predeterminadas estn presentes. Conigure el modo cliente del V1P. Recuerde que el switch no esta en modo cliente del V1P de manera predeterminada. 1iene que conigurar este modo. Conigure los enlaces troncales. Ll V1P unciona sobre los enlaces troncales. Conecte al seridor del V1P. Cuando se conecta a un seridor del V1P u otro switch habilitado por el V1P, toma un momento para que las diersas publicaciones ayan y uelan al seridor del V1P. Veriique el estado del V1P Antes de comenzar a conigurar los puertos de acceso, conirme que el modo reisin y nmero de VLAN hayan sido actualizados. Conigure los puertos de acceso Cuando un switch es un modo cliente del V1P, no se pueden agregar VLAN nueas. Solamente puede asignar puertos de acceso a las VLAN existentes.
Configuracin del VTP: Paso 1 - Configure el servidor del VTP
Los prximos tres temas mostraran cmo conigurar el seridor del V1P y dos clientes del V1P.Inicialmente ninguno de los dispositios esta conectado.
La topologa resalta el switch S1. Conigurara este switch para que sea el seridor del V1P. Los comandos para conigurar los puertos troncales se proeen en la interaz l0,1.
laga clic en el botn Conirmar detalles en la igura.
Ll resultado del comando show tp status conirma que el switch es de manera predeterminada un seridor del V1P. Como todaa no se han conigurado las VLAN, el nmero de reisin esta an conigurado en 0, y el switchno pertenece al dominio del V1P.
Si el switch no ue todaa conigurado como seridor del V1P, podra conigurarlo utilizando el comando tp mode serer}.
laga clic en el botn Conigurar nombre de dominio que se muestra en la igura.
Ll nombre de dominio esta conigurado usando el comando tp domain domain-name. Ln la igura, el switch S1 ha sido conigurado con el nombre de dominio cisco1.
Por razones de seguridad, se podra conigurar una contrasena con el comando tp password password.
laga clic en el botn Conigurar ersin que se muestra en la igura.
La mayora de los switches puede admitir la ersin 1 y 2 del V1P. Sin embargo, la coniguracin predeterminada para los switches Catalyst 2960 es la ersin 1. Cuando el comando tp ersion 1 es introducido al switch, nos inorma que el switch ya esta conigurado para que est en la ersin 1. laga clic en el botn Agregar VLAN y enlaces troncales que se muestra en la igura. Asuma que se han conigurado tres VLAN y se les han asignado nombresde VLAN. La salida en la igura esta mostrando el resultado de estos cambios.
Puede usar la ersin no de los comandos.
La topologa resalta los switches S2 y S3. Se le mostrara la coniguracin de cliente del V1P para S2. Para conigurar el S3 como cliente de V1P, seguira el mismo protocolo.
laga clic en el botn Conirmar predeterminados para eriicar el estado del switch.
Antes de conigurar un switch como cliente de V1P, eriique su estado de V1P actual. Una ez que haya conirmado el estado, conigurara el switch para que opere en modo cliente del V1P.
laga clic en el botn labilitar modo de cliente del V1P para er cmo se conigura un switch para modo cliente del V1P.
Conigure el modo cliente del V1P usando la siguiente sintaxis del comando del IOS de Cisco:
Ingrese al modo de coniguracin global mediante el comando conigure terminal.
Conigure el switch en modo cliente con el comando tp mode client}.
Si necesita oler a conigurar el V1P a los alores predeterminados, puede utilizar la ersin no de los comandos.
laga clic en el botn Veriicar estado del V1P para er el resto de la coniguracin del cliente del V1P.
Configuracin del VTP: Paso 3 - Confirmar y conectar
Despus de conigurar el seridor principal del V1P y los clientes del V1P, conectara el switch S2 del cliente del V1P al seridor del V1P del switch S1.
La topologa resalta los enlaces troncales que se agregaran a esta topologa. Ln la igura el switch S2 se conectara al switch S1. Luego se conigurara el switch S2 para admitir a las computadoras PC1 hasta PC3. Ll mismo procedimiento se aplicara al switch S3, aunque los comandos para S3 no se muestren.
Confirmar la operacin del VTP
laga clic en el botn Conirmar operacin del V1P en la igura.
Lxisten dos comandos del IOS de Cisco para conirmar que el dominio de V1P y las coniguraciones de VLAN se han transerido al switch S2. Use el comando show V1P status para eriicar lo siguiente:
Ll nmero de reisin de coniguracin se ha incrementado a 6. Lxisten ahora tres nueas VLAN indicadas por el nmero existente de VLAN que muestra 8. Ll nombre de dominio se ha cambiado a cisco1.
Utilice el comando show tp counters para conirmar que se realizaron las publicaciones.
Configure los puertos de acceso
laga clic en el botn Conigurar puertos de acceso que se muestra en la igura.
Ll resaltado superior en la salida de la pantalla conirma que el switch S2 esta en modo cliente del V1P. La tarea ahora es conigurar el puerto l0,18 en el switch S2 para que est en la VLAN 20. Ll area inerior resaltada muestra el comando del IOS de Cisco utilizado para conigurar el puerto l0,18 en el switch S2 para que est en la VLAN 20.
4.3.2 CONFIGURACION DEL VTP PARA SOLUCIONAR PROBLEMAS.- Solucin de problemas de las conexiones del VTP
la aprendido cmo se puede utilizar el V1P para simpliicar la administracin de una base de datos de VLAN a tras de mltiples switches. Ln este punto, aprendera sobre los problemas mas comunes de coniguracin del V1P.Lsta inormacin, combinada con sus capacidades de coniguracin del V1P, le ayudara a solucionar los problemas de coniguracin del V1P.
La igura enumera los temas comunes de coniguracin del V1P que se exploraran en este punto.
Versiones incompatibles del VTP Las ersiones 1 y 2 del V1P son incompatibles una con la otra. Los modernos switches de Cisco Catalyst, como el 2960, estan conigurados para usar la ersin 1 del V1P de manera predeterminada. Sin embargo, switches mas iejos pueden admitir la ersin 1 del V1P. Los switches que slo admiten la ersin 1 no pueden participar en el dominio del V1P junto con los switches de la ersin 2. Si su red contiene switches que admiten slo los de la ersin 1, necesita conigurar manualmente los switches de la ersin 2 para que operen en el modo de ersin 1.
laga clic en el botn Solucin de ersin del V1P que se muestra en la igura.
Temas de contrasea del VTP
Cuando utiliza una contrasena del V1P para controlar la participacin en el dominio del V1P, asegrese de que la contrasena est correctamente conigurada en todos los switches en el dominio del V1P. Olidarse de conigurar una contrasena del V1P es un problema muy comn. Si se utiliza una contrasena, sta debe ser conigurada en cada switch en el dominio. De manera predeterminada, un switch Cisco no usa una contrasena de V1P. Ll switch no conigura automaticamente el parametro de contrasena, a dierencia de otros parametros que se coniguran automaticamente cuando se recibe una publicacin del V1P.
laga clic en el botn Solucin de contrasena del V1P que se muestra en la igura.
Nombre incorrecto de dominio del VTP
Ll nombre de dominio del V1P es un parametro clae que se conigura en un switch. Un dominio del V1P conigurado incorrectamente aecta la sincronizacin de la VLAN entre switches. Como aprendi anteriormente, si un switch recibe una publicacin errnea de V1P, el switch descarta el mensaje. Si el mensaje descartado contiene la inormacin legtima de la coniguracin, el switch no sincroniza su base de datos de VLAN como se espera.
Ln la igura haga clic en Reproducir para er una animacin sobre este tema.
laga clic en el botn Solucin de dominio del V1P que se muestra en la igura.
Solucin
Para eitar la coniguracin incorrecta de un nombre de dominio del V1P, slo conigure el nombre de dominio del V1P en un switch del seridor del V1P. 1odos los otros switches en el mismo dominio del V1P aceptaran y automaticamente coniguraran su nombre de dominio del V1P cuando reciba la primera publicacin de resumen del V1P.
Switches configurados en modo Cliente del VTP
Ls imposible cambiar el modo operatio de todos los switches a cliente del V1P. Al hacer esto, se pierde toda capacidad de crear, eliminar y administrar las VLAN dentro de un entorno de red. Como los switches del cliente de V1P no guardan la inormacin de la VLAN en la NVRAM, necesitan actualizar la inormacin de la VLAN despus de una recarga.
Ln la igura haga clic en Reproducir para er una animacin sobre este tema.
laga clic en el botn Solucin que se muestra en la igura.
Solucin
Para eitar perder todas las coniguraciones de VLAN en un dominio del V1P accidentalmente al reconigurar el nico seridor del V1P en el dominio como un cliente del V1P, puede conigurar un segundo switch en el mismo dominio como seridor del V1P. Ls comn que redes pequenas que usan V1P tengan todos los switches en modo seridor del V1P. Si la red esta siendo administrada por un par de administradores de red, es poco probable que surjan conlictos de coniguraciones de VLAN.
Nmero de revisin incorrecto
Incluso despus de haber conigurado los switches en el dominio de su V1P correctamente, existen otros actores que pueden aectar adersamente la uncionalidad del V1P.
Temas de Nmero incorrecto de revisin
La topologa en la igura esta conigurada con V1P. Lxiste un switch del seridor del V1P, S1, y dos switches clientes del V1P, S2 y S3,
laga clic en el botn de Nmero de reisin incorrecto que se muestra en la igura para reproducir la animacin que muestra cmo el agregado de un switch con nmeros mayores de reisin de coniguracin aecta al resto de los switches en el dominio del V1P.
S4, que ha sido anteriormente conigurado como un cliente de V1P, se agrega a la red. Ll nmero de reisin del switch S4 es 35, que es mayor que el nmero de reisin de 1 en la red existente. S4 iene preconigurado con las dos VLAN, 30 y 40, que no estan coniguradas en la red existente. La red existente tiene las VLAN 10 y 20.
Cuando se conecta el switch S4 al switch S3, las publicaciones de resumen del V1P anuncian la llegada de un switch habilitado por V1P con el nmero de reisin mas alto en la red. La animacin muestra cmo el switch S3, el switch S1 y
inalmente el switch S2 se reconiguran a la coniguracin encontrada en el switch S4. Como cada switch se auto-reconigura con las VLAN que no son admitidas en la red, los puertos no enan mas traico desde las computadoras porque estan conigurados con las VLAN que no existen mas en los switches nueamente reconigurados.
laga clic en el botn Reconigurar el nmero de reisin que se muestra en la igura.
Solucin
La solucin al problema es reestablecer a cada switch a su coniguracin anterior y luego reconigurar las VLAN correctas, 10 y 20, en switch S1. Ln primer lugar, para eitar este problema, reestablezca el nmero de reisin de coniguracin en los switches preiamente conigurados que se agregaron a una red habilitada por el V1P. La igura muestra los comandos necesarios para reestablecer el switch S4 al nmero de reisin predeterminado.
laga clic en el botn Veriicar el nmero de reisin que se muestra en la igura para er que al switch S4 se le ha reestablecido su nmero de reisin.
4.3.3 ADMINISTRACION DE VLAN EN UN SERVIDOR DEL VTP.- Administracin de VLAN en un servidor del VTP
\a ha aprendido sobre el V1P y cmo puede utilizarse para simpliicar la administracin de las VLAN en una red habilitada por el V1P. Considere la topologa en la igura. Cuando una VLAN nuea, por ejemplo la VLAN 10, es agregada a la red, el administrador de red agrega la VLAN al seridor de V1P, switch S1 en la igura. Como sabe, el V1P se encarga de propagar los detalles de coniguracin de la VLAN al resto de la red. No tiene ningn eecto sobre qu puertos estan conigurados en la VLAN 10 en los switches S1, S2 y S3.
laga clic en el botn Conigurar nueas VLAN y puertos que se muestra en la igura.
La igura muestra los comandos utilizados para conigurar la VLAN 10 y el puerto l0,11 en switch S1. Los comandos para conigurar los puertos correctos para los switches S2 y S3 no se muestran.
Despus de haber conigurado la nuea VLAN en el switch S1 y conigurado los puertos en los switches S1, S2 y S3 para admitir la nuea VLAN, conirme que el V1P actualiz la base de datos de la VLAN en los switches S2 y S3.
laga clic en el botn show tp status que se muestra en la igura.
La salida del comando se usa para eriicar la coniguracin en el switch S2. La eriicacin para S3 no se muestra.
laga clic en el botn show interaces trunk que se muestra en la igura.
La salida conirma que la nuea VLAN se ha agregado a l0,1 en el switch S2. Ll area resaltada muestra que la VLAN 10 esta ahora actia en el dominio de administracin del V1P.
CAPITULO V STP
5.0 INTRODUCCIN DEL CAPITULO.- 5.0.1 INTRODUCCIN.- Ls claro que las redes inormaticas representan un componente undamental para la mayora de las pequenas y medianas empresas. Ln consecuencia, los administradores de 1I deben implementar la redundancia en sus redes jerarquicas. Sin embargo, cuando se agregan enlaces adicionales a switches y routers de la red, se generan bucles en el traico que deben ser administrados de manera dinamica. Cuando se pierde la conexin con un switch, otro enlace debe reemplazarlo rapidamente sin introducir nueos bucles en el traico. Ln este captulo aprendera la orma en que el protocolo spanning-tree ,S1P, eita los inconenientes relacionados con bucles en la red y la manera en que S1P ha eolucionado en un protocolo que determina de orma rapida aquellos puertos que deben bloquearse, de orma que una red basada en red de area local irtual ,VLAN, Virtual Local Area Network, no experimente bucles en el traico.
5.1 TOPOLOGAS REDUNDANTES DE CAPA 2.- 5.1.1 REDUNDANCIA.- Redundancia en una red jerrquica
Ll modelo de diseno jerarquico ue presentado en el captulo 1. Ll modelo de diseno jerarquico se enoca en los temas encontrados en las topologas de red de modelo plano. Uno de esos temas es la redundancia. La redundancia de Capa 2 mejora la disponibilidad de la red implementando rutas de red alternas mediante el agregado de equipos y cables. Al contar con arias rutas para la transmisin de los datos en la red, la interrupcin de una ruta simple no genera impacto en la conectiidad de los dispositios en la red. Como puede erse en la animacin: 1. La PC1 se comunica con la PC4 a tras de una topologa de red conigurada de orma redundante. 2. Cuando el enlace de red entre el switch S1 y el switch S2 se interrumpe, la ruta entre la PC1 y la PC4 se ajusta de manera automatica para compensar la interrupcin. 3. Cuando la conexin de red entre S1 y S2 se restablece, la ruta uele a ajustarse para eniar el traico directamente desde S2 a tras de S1 para llegar a la PC4. A medida que los negocios se uelen cada ez mas dependientes de la red, la disponibilidad de la inraestructura de red se transorma en una inquietud comercial undamental que debe ser tenida en cuenta. La redundancia es la solucin para lograr la disponibilidad necesaria.
Examinar un diseo redundante Ln un diseno jerarquico, la redundancia se logra en las capas de distribucin y ncleo a tras de hardware adicional y rutas alternatias entre dicho hardware.
laga clic en el botn Punto de partida: acceso a la capa de distribucin de la igura.
Ln este ejemplo puede erse una red jerarquica con capas de acceso, distribucin y ncleo. Cada switch de la capa de acceso se conecta a dos switches distintos de la capa de distribucin. Ademas, cada switch de la capa de distribucin se conecta a los dos switches de la capa ncleo. Al contar con arias rutas entre la PC1 y la PC4, existe redundancia que puede generar un nico punto de alla entre las capas de acceso y de distribucin y entre las capas de distribucin y ncleo.
S1P esta habilitado en todos los switches. S1P es el tema de este captulo y sera explicado de orma extensa. Por ahora, obsere que S1P ha colocado algunos puertos de switch en estado de eniar y otros en estado de bloqueo. Lsto es para eitar bucles en la red de la Capa 2. S1P slo utilizara un enlace redundante si existe una alla en el enlace principal.
Ln el ejemplo, la PC1 puede comunicarse con la PC4 a tras de la ruta identiicada.
laga clic en el botn lalla en la ruta: acceso a la capa de distribucin de la igura.
Ll enlace entre el switch S1 y el switch D1 se ha interrumpido, lo que impide que los datos de la PC1 que tienen destino en la PC4 lleguen al switch D1 a tras de su ruta original. Sin embargo, ya que el switch S1 cuenta con una segunda ruta a la PC4 a tras del switch D2, la ruta se actualiza y los datos pueden llegar a la PC4.
laga clic en el botn lalla en la ruta: distribucin a la capa ncleo de la igura.
Ll enlace entre el switch D1 y el switch C2 se ha interrumpido, lo que impide que los datos de la PC1 que tienen destino en la PC4 lleguen al switch C2 a tras de su ruta original. Sin embargo, ya que el switch D1 cuenta con una segunda ruta a la PC4 a tras del switch C1, la ruta se actualiza y los datos pueden llegar a la PC4.
laga clic en el botn lalla en el switch: capa de distribucin de la igura.
Ll switch D1 ha allado, lo que impide que los datos de la PC1 con destino a la PC4 lleguen al switch C2 a tras de su ruta original. Sin embargo, ya que el switch S1 cuenta con una segunda ruta a la PC4 a tras del switch D2, la ruta se actualiza y los datos pueden llegar a la PC4.
laga clic en el botn lalla en el switch: capa ncleo de la igura.
Ll switch C2 ha allado, lo que impide que los datos de la PC1 con destino a la PC4 lleguen al switch D4 a tras de su ruta original. Sin embargo, ya que el switch D1 cuenta con una segunda ruta a la PC4 a tras del switch C1, la ruta se actualiza y los datos pueden llegar a la PC4.
La redundancia proporciona una gran lexibilidad en la eleccin de rutas de la red y permite que los datos se transmitan independientemente de la existencia de allas en una ruta simple o en un dispositio en las capas de distribucin o ncleo. La redundancia cuenta con algunas complicaciones que deben ser tenidas en cuenta antes de que se implemente de orma segura en una red jerarquica.
5.1.2 INCOVENIENTES DE LA REDUNDANCIA.- Bucles de Capa 2
La redundancia es una parte importante del diseno jerarquico. Pese a que es importante para la disponibilidad, existen algunas consideraciones que deben atenderse antes de que la redundancia sea posible en una red.
Cuando existen arias rutas entre dos dispositios en la red y S1P se ha deshabilitado en los switches, puedegenerarse un bucle de Capa 2. Si S1P esta habilitado en estos switches, que es lo que que esta predeterminado, el bucle de Capa 2 puede eitarse.
Las tramas de Lthernet no poseen un tiempo de existencia ,11L, 1ime to Lie, como los paquetes IP que iajan por los routers. Ln consecuencia, si no inalizan de manera adecuada en una red conmutada, las mismas siguen rebotando de switch en switch indeinidamente o hasta que se interrumpa un enlace y elimine el bucle.
Las tramas de broadcast se enan a todos los puertos de switch, excepto el puerto de origen. Lsto asegura que todos los dispositios del dominio de broadcast puedan recibir la trama. Si existe mas de una ruta para eniar la trama, se puede generar un bucle sin in.
Haga clic en el botn Reproducir de la figura para iniciar la animacin.
Ln la animacin:
1. La PC1 ena una trama de broadcast al switch S2.
2. Cuando S2 recibe la trama de broadcast actualiza su tabla de direcciones MAC para registrar que la PC1 esta disponible en el puerto l0,11.
3. \a que es una trama de broadcast, S2 ena la trama a todos los puertos de switch, incluido el Lnlace troncal1 y el Lnlace troncal2.
4. Cuando la trama de broadcast llega a los switches S3 y S1, los mismos actualizan sus tablas de direcciones MACpara indicar que la PC1 esta disponible en el puerto l0,1 para S1 y en el puerto l0,2 para S3.
5. \a que es una trama de broadcast, S3 y S1 la enan a todos los puertos de switch, excepto el que eni la trama.
6. S3 ena entonces la trama a S1 y iceersa. Cada switch actualiza su tabla de direcciones MAC con el puerto incorrecto para la PC1.
. De nueo, cada switch ena la trama de broadcast a todos sus puertos, excepto aquel que la eni, lo que produce que ambos switches enen la trama a S2.
8. Cuando S2 recibe las tramas de broadcast de S3 y S1, la tabla de direcciones MAC uele a actualizarse, esta ez con la ltima entrada recibida de los otros dos switches.
Lste proceso se repite indeinidamente hasta que se elimine el bucle mediante la interrupcin sica de las conexiones que lo producen o de la desconexin de uno de los switches del bucle.
Los bucles producen una alta carga de CPU en todos los switches atrapados en el mismo. \a que se enan las mismas tramas constantemente entre todos los switches del bucle, la CPU del switch debe procesar una gran cantidad de datos. Lsto disminuye el rendimiento del switch cuando llega traico legtimo.
Un host atrapado en un bucle de red es inaccesible para otros hosts de la red. \a que la tablade direcciones MAC cambia de orma constante con las actualizaciones de las tramas de broadcast, el switch no sabe a qu puerto debe eniar las tramas de unicast para que las mismas lleguen a su destino inal. Las tramas de unicast tambin quedan atrapadas en el bucle de red. A medida que aumenta la cantidad de tramas que quedan atrapadas en el bucle de red, se produce una tormenta de broadcast.
Tormentas de broadcast
Una tormenta de broadcast se produce cuando existen tantas tramas de broadcast atrapadas en un bucle de Capa 2 que se consume todo el ancho de banda disponible. Ln consecuencia, no existe ancho de banda disponible para el traico legtimo y la red queda no disponible para la comunicacin de datos.
La tormenta de broadcast es ineitable en una red con bucles. A medida que mas dispositios enan broadcast a la red, aumenta la cantidad de traico que queda atrapado en el bucle, lo que eentualmente genera una tormenta de broadcast que produce la alla de la red.
Lxisten otras consecuencias de las tormentas de broadcast. Debido a que el traico de broadcast se ena a todos los puertos del switch, todos los dispositios conectados deben procesar todo el traico de broadcast que luye indeinidamente en la red con bucles. Lsto puede producir que el dispositio inal no uncione debido a los requerimientos de alto procesamiento para sostener una carga de traico de esas dimensiones en la tarjeta de interaz de red.
Haga clic en el botn Reproducir de la figura para iniciar la animacin.
Ln la animacin:
1. La PC1 ena una trama de broadcast a la red con bucles.
2. La trama de broadcast termina en un bucle generado entre todos los switches interconectados de la red.
3. La PC4 tambin ena una trama de broadcast a la red con bucles.
4. La trama de broadcast de la PC4 tambin queda atrapada en el bucle generado entre todos los switches interconectados, de la misma orma que la trama de broadcast de la PC1.
5. A medida que aumenta la cantidad de tramas de broadcast que otros dispositios enan a la red, tambin aumenta el traico que queda atrapado en el bucle, lo que eentualmente produce una tormenta de broadcast.
6. Cuando la red esta completamente saturada con traico de broadcast atrapado en bucles entre los switches, estos ltimos descartan el traico nueo porque no pueden procesarlo.
Debido a que los dispositios conectados a la red enan tramas de broadcast de manera constante, como solicitudes de ARP, una tormenta de broadcast puede desarrollarse en cuestin de segundos. Ln consecuencia, cuando se genera un bucle, la red se torna no disponible rapidamente.
Tramas de unicast duplicadas
Las tramas de broadcast no son el nico tipo de tramas que son aectadas por los bucles. Las tramas de unicast eniadas a una red con bucles pueden generar tramas duplicadas que llegan al dispositio de destino.
laga clic en el botn Reproducir de la igura para iniciar la animacin.
Ln la animacin:
1. La PC1 ena una trama de unicast con destino a la PC4.
2. Ll switch S2 no cuenta con una entrada para la PC4 en su tabla MAC, de manera que ena la trama de unicast a todos los puertos de switch, en un intento de encontrar a la PC4.
3. La trama llega a los switches S1 y S3.
4. S1 no posee una entrada de direccin MAC para la PC4, de orma que reena la trama a la PC4.
5. S3 tambin cuenta con una entrada en su tabla de direcciones MAC para la PC4, de manera que reena la trama de unicast a tras del Lnlace troncal3 a S1.
6. S1 recibe la trama duplicada y una ez mas la reena a la PC4.
. La PC4 ha recibido ahora la misma trama dos eces.
La mayora de los protocolos de capa superior no estan disenados para reconocer transmisiones duplicadas o para enrentarlas. Ln general, los protocolos que utilizan un mecanismo de numeracin en secuencia asumen que la transmisin ha allado y que el nmero de secuencia se ha reciclado para otra sesin de comunicacin. Otros protocolos intentan eniar la transmisin duplicada al protocolo de capa superior adecuado para que sea procesada y posiblemente descartada.
Aortunadamente, los switches pueden detectar bucles en una red. Ll protocolo spanning tree ,S1P, elimina estos inconenientes relacionados con bucles. Aprendera acerca de S1P en la seccin siguiente.
5.1.3 INCOVENIENTES REALES RELACIONADOS CON LA REDUNDANCIA.- Bucles en el armario de cableado
La redundancia es un componente importante de una topologa de red jerarquica de alta disponibilidad, pero los bucles pueden surgir como resultado de arias rutas coniguradas en la red. Se pueden eitar los bucles mediante el protocolo spanning tree ,S1P,. Sin embargo, si S1P no se ha implementado en la preparacin de una topologa redundante, los bucles pueden ocurrir de improiso.
Ll cableado de red para pequenas y medianas empresas puede tornarse demasiado conuso. Los cables de red entre los switches de la capa de acceso, ubicados en los armarios de cableado, desaparecen en las paredes, pisos y techos donde uelen a los switches de la capa de distribucin de la red. Si los cables de red no estan rotulados de orma adecuada cuando inalizan en el panel de conexin del armario de cableado, es dicil determinar cual es el destino del puerto en el panel de
conexin de la red. Los bucles de red que son el resultado de conexiones duplicadas accidentales en los armarios de cableado son muy comunes.
laga clic en el botn Bucle de dos conexiones al mismo switch que se muestra en la igura.
Ll ejemplo muestra un bucle que se genera cuando dos conexiones del mismo switch se conectana otro switch. Ll bucle se localiza en los switches que estan interconectados. Sin embargo, el bucle aecta al resto de la red debido a la gran cantidad de enos de broadcast que llega a todos los otros switches de la red. Quiza el impacto en los otros switches no sea suiciente como para interrumpir las comunicaciones legtimas, pero puede aectar de manera notable al rendimiento total de los demas switches.
Lste tipo de bucle es muy comn en el armario de cableado. Sucede cuando un administrador conecta de manera errnea un cable al mismo switch al que ya esta conectado. Por lo general, esto sucede cuando los cables de red no estan rotulados o estan mal rotulados o cuando el administrador no se ha tomado tiempo para eriicar dnde estan conectados los mismos.
Lxiste una excepcin para este problema. Un LtherChannel es un grupo de puertos Lthernet en un switch que acta como una nica conexin de red lgica. Debido a que el switch trata a los puertos conigurados para el LtherChannel como un nico enlace de red, los bucles no son posibles. La coniguracin de LtherChannels excede el alcance de este curso. Si desea obtener mas inormacin acerca de LtherChannels, isite: http:,,www.cisco.com,en,US,tech,tk389,tk213,technologies_white_paper09186a0080092944.shtml
laga clic en el botn Bucle de una conexin a un segundo switch en la misma red que se muestra en la igura.
Ll ejemplo muestra un bucle que se genera cuando un switch se conecta a dos switches distintos de la red que a su ez estan interconectados entre s. Ll impacto de este tipo de bucle es mucho mayor, ya que aecta a mas switches de orma directa.
Bucles en los cubculos
Debido a conexiones de datos de red insuicientes, algunos usuarios inales poseen un hub o switch personal ubicado en su entorno de trabajo. Ln ez de incurrir en el costo de mantener conexiones de datos de red adicionales en el lugar de trabajo, un hub o switch simples se conectan a una conexin de datos de red existente, lo que permite que todos los dispositios conectados al hub o switch personal puedan acceder a la red.
Ln general, los armarios de cableado estan asegurados para eitar el acceso no autorizado, de manera que slo el administrador de red posee el control total sobre los dispositios conectados a la redy la orma en que los mismos estan conectados. A dierencia del armario de cableado, el administrador no posee el control sobre la orma en que los switches o hubs personales estan conectados o son utilizados, de manera que el usuario inal puede interconectarlos de orma accidental.
laga clic en botn Bucle en dos hubs interconectados que se muestra en la igura.
Ln el ejemplo, los dos hubs de usuario estan interconectados, lo que genera un bucle de red. Ll bucle interrumpe la comunicacin entre todos los dispositios conectados al switch S1.
5.2 INTRODUCCION A STP.- 5.2.1 EL ALGORITMO SPANNING TREE.- Topologa de STP
La redundancia aumenta la disponibilidad de la topologa de red al proteger la red de un nico punto de alla, como un cable de red o switch que allan. Cuando se introduce la redundancia en un diseno de la Capa 2, pueden generarse bucles y tramas duplicadas. Los bucles y las tramas duplicadas pueden tener consecuencias graes en la red. Ll protocolo spanning tree ,S1P, ue desarrollado para enrentar estos inconenientes.
Algoritmo STP
S1P utiliza el algoritmo spanning tree ,S1A, para determinar los puertos de switch de la red que deben conigurarse para el bloqueo, y as eitar que se generen bucles. Ll S1A designa un nico switch como puente raz y lo utiliza como punto de reerencia para todos los calculos de rutas. Ln la igura, el puente raz, el switch S1, se escoge a tras de un proceso de eleccin. 1odos los switches que comparten S1P intercambian tramas de BPDU para determinar el switch que posee el menor ID de puente ,BID, en la red. Ll switch con el menor BID se transorma en el puente raz de orma automatica segn los calculos del S1A. Ll proceso de eleccin del puente raz se explicara en detalle mas adelante en este captulo.
La BPDU es la trama de mensaje que se intercambia entre los switches en S1P. Cada BPDU contiene un BID que identiica al switch que eni la BPDU. Ll BID contiene un alor de prioridad, la direccin MAC del switch emisor y un ID de sistema extendido opcional. Se determina el BID de menor alor mediante la combinacin de estos tres campos. Aprendera mas acerca del puente raz, la BPDU y el BID en temas posteriores.
Despus de determinar el puente raz, el S1A calcula la ruta mas corta hacia el mismo. 1odos los switches utilizan el S1A para determinar los puertos que deben bloquearse. Al determinar el S1A las mejores rutas hacia el puente raz para todos los destinos del dominio de broadcast, se eita que todo el traico sea eniado a tras de la red. Ll S1A considera los costos tanto de la ruta como del puerto cuando determina la ruta que debe permanecer desbloqueada. Los costos de la ruta se calculan mediante los alores de costo de puerto asociados con las elocidades de los puertos para cada puerto de switch que atraiesa una ruta determinada. La suma de los alores de costo de puerto determina el costo de ruta total para el puente
raz. Si existe mas de una ruta a escoger, el S1A elige la de menor costo de ruta. Aprendera mas acerca de costos de rutas y de puertos en temas posteriores.
Cuando el S1A determina las rutas que deben permanecer disponibles, conigura los puertos de switch de acuerdo con distintas unciones. Las unciones de los puertos describen su relacin en la red con el puente raz y si los mismos pueden eniar traico.
Puertos raz: los puertos de switch mas cercanos al puente raz. Ln el ejemplo, el puerto raz del switch S2 es l0,1, conigurado para el enlace troncal entre el switch S2 y el switch S1. Ll puerto raz del switch S3 es l0,1, conigurado para el enlace troncal entre el switch S3 y el switch S1.
Puertos designados: todos los puertos que no son raz y que an pueden eniar traico a la red. Ln el ejemplo, los puertos de switch l0,1 y l0,2 del switch S1 son puertos designados. Ll switch S2 tambin cuenta con su puerto l0,2 conigurado como puerto designado.
Puertos no designados: todos los puertos conigurados en estado de bloqueo para eitar los bucles. Ln el ejemplo, el S1A conigura al puerto l0,2 del switch S3 en la uncin no designado. Ll puerto l0,2 del switch S3 se encuentra en estado de bloqueo.
Aprendera mas acerca de las unciones y estados de los puertos en temas posteriores.
El puente raz
1oda instancia de spanning-tree ,LAN conmutada o dominio de broadcast, posee un switch designado como puente raz. Ll puente raz sire como punto de reerencia para todos los calculos de spanning-tree para determinar las rutas redundantes que deben bloquearse.
Un proceso de eleccin determina el switch que se transorma en el puente raz.
laga clic en el botn Campos BID que se muestra en la igura.
La igura muestra los campos BID. Los detalles acerca de cada campo BID se explicaran mas adelante, pero es til saber que el BID se compone de un alor de prioridad, un ID de sistema extendido y la direccin MAC del switch.
1odos los switches del dominio de broadcast participan del proceso de eleccin. Cuando se inicia un switch, el mismo ena tramas de BPDU que contienen el BID del switch y el ID de raz cada dos segundos. De manera predeterminada, el ID de
raz coincide con el BID local para todos los switches de la red. Ll ID de raz identiica al puente raz de la red. Inicialmente, cada switch se identiica a s mismo como puente raz despus del arranque.
A medida que los switches enan sus tramas de BPDU, los switches adyacentes del dominio de broadcast leen la inormacin del ID de raz de la trama de BPDU. Si el ID de raz de la BPDU recibida es menor que el ID de raz del switch receptor, este ltimo actualiza su ID de raz mediante la identiicacin del switch adyacente como el puente raz. Nota: Ls posible que no sea un switch adyacente, sino cualquier otro switch del dominio de broadcast. Luego el switch ena nueas tramas de BPDU con el menor ID de raz a los otros switches adyacentes. Lentualmente, el switch con el menor BID es identiicado inalmente como puente raz para la instancia de spanning-tree.
Las mejores rutas al puente raz
Cuando se ha designado el puente raz para la instancia de spanning-tree, el S1A comienza el proceso de determinar las mejores rutas hacia el puente raz desde todos los destinos del dominio de broadcast. La inormacin de ruta se determina mediante la suma de los costos indiiduales de los puertos que atraiesa la ruta desde el destino al puente raz.
Los costos de los puertos predeterminados se deinen por la elocidad a la que uncionan los mismos. Ln la tabla, puede erse que los puertos Lthernet de 10 Gb,s poseen un costo de puerto de 2, los puertos Lthernet de 1 Gb,s poseen un costo de puerto de 4, los puertos last Lthernet de 100 Mb,s poseen un costo de puerto de 19 y los puertos Lthernet de 10 Mb,s poseen un costo de puerto de 100.
Nota: Ll ILLL deine los alores de costos de puertos utilizados por S1P. Actualmente, debido al ingreso reciente al mercado de tecnologas Lthernet mas eloces, los alores de costos de rutas pueden cambiar para ajustarse a las distintas elocidades disponibles. Los nmeros no lineales se ajustan a algunas mejoras del estandar Lthernet, pero tenga en cuenta
que dichos nmeros pueden ser modiicados por el ILLL si uera necesario. Ln la tabla, los alores ya se han modiicado para ajustarse al estandar Lthernet de 10 Gb,s mas reciente.
Pese a que los puertos de switch cuentan con un costo de puerto predeterminado asociado a los mismos, tal costo puede conigurarse. La capacidad para conigurar los costos de puertos indiiduales proporciona al administrador la lexibilidad para controlar las rutas de spanning-tree hacia el puente raz.
laga clic en el botn Conigurar costos de los puertos que se muestra en la igura.
Para conigurar el costo de un puerto en una interaz, ingrese el comando spanning-tree cost alor en modo de coniguracin de interaz. Ll rango de alores puede oscilar entre 1 y 200 000 000.
Ln el ejemplo, el puerto de switch l0,1 se ha conigurado con un costo de puerto de 25 mediante el comando de coniguracin de interaz spanning-tree cost 25 en la interaz de l0,1.
Para oler a establecer el costo de puerto al alor predeterminado, ingrese el comando de coniguracin de interaz no spanning-tree cost.
laga clic en el botn Costos de ruta que se muestra en la igura.
Ll costo de la ruta es la suma de todos los costos de puertos que atraiesan la ruta hacia el puente raz. La ruta con el menor costo de ruta se conierte en la ruta preerida y todas las demas rutas redundantes se bloquean. Ln el ejemplo, el costo de ruta desde el switch S2 hacia el switch puente raz S1, a tras de la ruta 1 es 19 ,en base a los costos de puertos indiiduales especiicados por el ILLL,, mientras que el costo de ruta a tras de la ruta 2 es 38. \a que la ruta 1 poseeel menor costo total de ruta hacia el puente raz, la misma es la ruta preerida. Luego, S1P conigura la ruta redundante que debe bloquearse y eita as la generacin de bucles.
laga clic en el botn Veriicar costos de puerto y de ruta que se muestra en la igura.
Para eriicar el costo de puerto y de ruta hacia el puente raz, ingrese el comando del modo LXLC priilegiado show spanning-tree. Ll campo Costo del resultado es el costo de ruta total hacia el puente raz. Lste alor cambia en uncin de la cantidad de puertos de switch necesarios para llegar al puente raz. Ln el resultado, cada interaz tambin se identiica con un costo de puerto indiidual de 19.
Otro comando para examinar es el comando del modo LXLC priilegiado show spanning-tree detail.
5.2.2 BPDU EN STP.- Campos BPDU
Ln el tema anterior aprendi que S1P determina un puente raz para la instancia de spanning-tree mediante el intercambio de BPDU. Ln este tema aprendera los detalles de la trama de BPDU y la orma en que la misma acilita el proceso de spanning-tree.
La trama de BPDU contiene 12 campos distintos que se utilizan para transmitir inormacin de prioridad y de ruta que S1P necesita para determinar el puente raz y las rutas al mismo.
Desplace el mouse sobre los campos BPDU de la igura para er su contenido.
Los primeros cuatro campos identiican el protocolo, la ersin, el tipo de mensaje y los senaladores de estado. Los cuatro campos siguientes se utilizan para identiicar el puente raz y el costo de la ruta hacia el mismo. Los ltimos cuatro campos son todos campos temporizadores que determinan la recuencia en que se enan los mensajes de BPDU y la cantidad de tiempo que la inormacin recibida a tras del proceso BPDU ,siguiente tema, es retenida. La uncin de los campos temporizadores se explicara con mas detalle posteriormente en este curso.
laga clic en el botn Ljemplo de BPDU que se muestra en la igura.
Ll ejemplo de la igura se captur con \ireshark. Ln el ejemplo, la trama de BPDU contiene mas campos de los que se describieron anteriormente. Ll mensaje de BPDU se encapsula en una trama de Lthernet cuando se transmite a tras de la red. Ll encabezado 802.3 indica las direcciones de origen y destino de la trama de BPDU. Lsta trama posee una direccin MAC de destino 01:80:C2:00:00:00, que corresponde a una direccin multicast para el grupo de spanning-tree. Cuando se ena una trama con esta direccin MAC, todos los switches que estan conigurados para spanning tree aceptan y leen la inormacin de la trama. Al utilizar esta direccin de grupo multicast, todos los otros dispositios en la red que reciben la trama la ignoran.
Ln este ejemplo, el ID de raz y el BID son iguales en la trama de BPDU capturada. Lsto indica que la trama se captur de un switch del puente raz.
1odos los temporizadores se establecen en sus alores predeterminados.
El proceso BPDU
Inicialmente, cada switch del dominio de broadcast supone que es el puente raz para la instancia de spanning-tree, de manera que las tramas de BPDU eniadas contienen el BID del switch local como ID de raz. De manera predeterminada, las tramas de BPDU se enan cada 2 segundos despus de iniciar el switch, esto signiica que el alor predeterminado del temporizador de saludo especiicado en la trama de BPDU es 2 segundos. Cada switch mantiene inormacin local acerca de su propio BID, el ID de raz y el costo de la ruta hacia la raz.
Cuando los switches adyacentes reciben una trama de BPDU, comparan el ID de raz de la trama de BPDU con el ID de raz local. Si el ID de raz del BPDU es menor que el ID de raz local, el switch actualiza el ID de raz local y el ID de sus mensajes de BPDU. Lstos mensajes siren para indicar el nueo puente raz de la red. Ademas, el costo de la ruta se actualiza para indicar cuan lejano se encuentra el puente raz. Por ejemplo: si el BPDU se recibi en un puerto de switch last Lthernet, el costo de la ruta se establece en 19. Si el ID de raz local es menor que el ID de raz recibido en la trama de BPDU, la misma se descarta.
Despus de que se ha actualizado un ID de ruta para identiicar un nueo puente raz, todas las tramas de BPDU subsiguientes eniadas por ese switch contienen el ID de raz nueo y el costo de la ruta actualizado. Deesta manera, todos los otros switches adyacentes pueden er el menor ID de raz identiicado en todo momento. A medida que las tramas de BPDU se transmiten entre otros switches adyacentes, el costo de la ruta se actualiza de orma constante para indicar el costo de ruta total hacia el puente raz. 1odos los switches del spanning tree utilizan sus costos de ruta para identiicar el mejor camino posible al puente raz.
laga clic en cada uno de los pasos de la igura para aprender mas acerca del proceso BPDU.
A continuacin se resume el proceso BPDU:
Paso 1. Inicialmente, cada switch se identiica a s mismo como puente raz. Ll switch S1 es el de menor prioridad de los tres switches. Debido a que la prioridad es un actor de decisin inicial a la hora de elegir un puente raz, S1 se conierte en el puente raz. Si la prioridad de todos los switches uera la misma, la direccin MAC sera el actor de decisin.
Paso 2. Cuando el switch S3 recibe una BPDU del switch S2, S3 compara su ID de raz con la trama de BPDU recibida. Las prioridades son iguales, de manera que el switch debe examinar la parte de direccin MAC para determinar cual es la de menor alor. \a que S2 cuenta con un alor de direccin MAC menor, S3 actualiza su ID de raz con el ID de raz de S2. Ln este momento, S3 considera a S2 como el puente raz.
Paso 3. Cuando S1 compara su ID de raz con el que se recibi en la trama de BPDU, identiica al ID de raz local como el de menor alor y descarta la BPDU de S2.
Paso 4. Cuando S3 ena sus tramas de BPDU, el ID de raz contenido en la trama de BPDU es el de S2.
Paso 5. Cuando S2 recibe la trama de BPDU, la descarta despus de eriicar que el ID de raz de la BPDU coincide con su ID de raz local.
Paso 6. Debido a que S1 posee un alor de prioridad menor en su ID de raz, descarta la trama de BPDU recibida de S3.
Paso . S1 ena sus tramas de BPDU.
Paso 8. S3 identiica el ID de raz en la trama de BPDU como el de menor alor y, por lo tanto, actualiza sus alores de ID de raz para indicar que S1 es ahora el puente raz.
Paso 9. S2 identiica el ID de raz en la trama de BPDU como el de menor alor y, por lo tanto, actualiza sus alores de ID de raz para indicar que S1 es ahora el puente raz.
Cuando dos switches se coniguran con la misma prioridad y poseenel mismo ID de sistema extendido, el switch con la direccin MAC con el menor alor hexadecimal es el de menor BID. Inicialmente, todos los switches se coniguran con el mismo alor de prioridad predeterminado. Luego, la direccin MAC es el actor de decisin sobre el cual el switch se conertira en puente raz. Lsto resulta en una eleccin impredecible para el puente raz. Se recomienda conigurar el switch de puente raz deseado con la menor prioridad para asegurar que sea elegido como tal. Lsto tambin asegura que el agregado de switches a la red no prooque una nuea eleccin de spanning-tree, lo que podra interrumpir la comunicacin en la red mientras se elige un nueo puente raz.
laga clic en el botn Decisin basada en la prioridad que se muestra en la igura.
Ln el ejemplo, S1 posee menor prioridad que los otros switches y, por lo tanto, es el preerido como puente raz para esa instancia de spanning-tree.
laga clic en el botn Decisin basada en la direccin MAC que se muestra en la igura.
Cuando todos los switches se coniguran con la misma prioridad, como ocurre en el caso de todos los switches mantenidos en la coniguracin predeterminada con prioridad de 32 68, la direccin MAC se transorma en el actor de decisin para determinar el switch que sera puente raz.
Nota: Ln el ejemplo, la prioridad de todos los switches es 32 69. Ll alor se basa en la prioridad predeterminada de 32 68 y la asignacin de la VLAN 1 asociada con cada switch ,1-32 68,.
La direccin MAC con el menor alor hexadecimal se considera como preerida para puente raz. Ln el ejemplo, S2 posee el menor alor de direccin MAC y es, por lo tanto, designado como puente raz para esa instancia de spanning-tree.
Configurar y verificar el BID
Cuando un switch especico se transorma en puente raz, el alor de prioridad de puente debe ajustarse para asegurar que sea menor que los alores de prioridad de puente de todos los otros switches de la red. Lxisten dos mtodos de coniguracin distintos que pueden utilizarse para conigurar el alor de prioridad de puente en un switch Cisco Catalyst.
Mtodo 1: para asegurar que el switch posea el menor alor de prioridad de puente, utilice el comando spanning-tree vlan vlan-id root primary en modo de coniguracin global. La prioridad del switch se establece en el alor predeinido 24 56 o en el siguiente alor de incremento de 4096 por debajo de la menor prioridad de puente detectada en la red.
Si desea contar con un puente raz alternatio, utilice el comando spanning-tree vlan vlan-id root secondary en modo de coniguracin global. Lste comando establece la prioridad para el switch al alor preerido 28 62. Lsto asegura que este
5.2.4 FUNCIONES DE LOS PUERTOS.- Funciones de los puertos
Ll puente raz es elegido para la instancia de spanning-tree. La ubicacin del puente raz en la topologa de red determina la orma en que se calculan las unciones de los puertos. Lste tema describe la orma en que los puertos de switch se coniguran para unciones especicas para eitar la posibilidad de bucles en la red.
Lxisten cuatro unciones de puertos distintas en las que los puertos de switch se coniguran durante el proceso de spanning- tree.
Puerto raz
Ll puerto raz existe en los puentes que no son raz y es el puerto de switch con el mejor camino hacia el puente raz. Los puertos raz enan el traico a tras del puente raz. Las direcciones MAC de origen de las tramas recibidas en el puerto raz pueden llenar por completo la tabla MAC. Slo se permite un puerto raz por puente.
Ln el ejemplo, el switch S1 es el puente raz y los switches S2 y S3 poseen puertos raz deinidos en los enlaces troncales que los conectan con S1.
Puerto designado
Ll puerto designado existe en los puentes raz y en los que no son raz. Para los puentes raz, todos los puertos de switch son designados. Para los puentes que no son raz, un puerto designado es el switch que recibe y ena tramas a tras del puente raz segn sea necesario. Slo se permite un puerto designado por segmento. Si existen arios switches en el mismo segmento, un proceso de eleccin determina el switch designado y el puerto de switch correspondiente comienza a eniar tramas para ese segmento. Los puertos designados pueden llenar por completo la tabla MAC.
Ln el ejemplo, el switch S1 posee ambos conjuntos de puertos para sus dos enlaces troncales conigurados como puertos designados. Ll switch S2 tambin cuenta con un puerto designado conigurado en el enlace troncal que a hacia el switch S3.
Puerto no designado
Ll puerto no designado es aquel puerto de switch que esta bloqueado, de manera que no ena tramas de datos ni llena la tabla de direcciones MAC con direcciones de origen. Un puerto no designado no es un puerto raz o un puerto designado. Para algunas ariantes de S1P, el puerto no designado se denomina puerto alternatio.
Ln el ejemplo, el switch S3 posee el nico puerto no designado de la topologa. Los puertos no designados eitan la generacin de bucles.
Puerto deshabilitado
Ll puerto deshabilitado es un puerto de switch que esta administratiamente desconectado. Un puerto deshabilitado no unciona en el proceso de spanning-tree. No hay puertos deshabilitados en el ejemplo.
Funciones de los puertos
Ll S1A determina la uncin de puerto que debe asignarse a cada puerto de switch.
Cuando se determina el puerto raz de un switch, este ltimo compara los costos de rutas de todos lospuertos de switch que participan en el spanning tree. Al puerto de switch con el menor costo de ruta total hacia la raz se le asigna de manera automatica la uncin de puerto raz, ya que es el mas cercano al puente raz. Ln una topologa de la red, todos los switches que utilizan spanning tree, excepto el puente raz, poseen un nico puerto raz deinido.
Cuando existen dos puertos de switch con el mismo costo de ruta hacia el puente raz y ambos son los de menor costo de ruta en el switch, este ltimo debe determinar cual de los dos es el puerto raz. Ll switch utiliza el alor de prioridad de puerto personalizable o el menor ID de puerto si ambos alores de prioridad de puerto coinciden.
Ll ID de puerto es el ID de interaz del puerto de switch. Por ejemplo: la igura muestra cuatro switches. Los puertos l0,1 y l0,2 del switch S2 poseen el mismo alor de costo de ruta hacia el puente raz. Sin embargo, el puerto l0,1 del switch S2 es el puerto preerido, ya que posee el menor alor de ID de puerto.
Ll ID de puerto esta adjunto a la prioridad del puerto. Por ejemplo: el puerto de switch l0,1 posee un alor de prioridad de puerto predeterminado de 128.1, donde 128 es el alor de prioridad de puerto conigurable y .1 es el ID de puerto. Ll puerto de switch l0,2 posee un alor de prioridad de puerto de 128.2 de manera predeterminada.
Configurar prioridad del puerto
Se puede conigurar el alor de prioridad del puerto a tras del comando spanning-tree port-priority alor en modo de coniguracin de interaz. Los alores de prioridad de puerto oscilan entre 0 y 240, en incrementos de 16. Ll alor de prioridad de puerto predeterminado es 128. Al igual que con la prioridad de puente, los alores de prioridad de puerto menores proporcionan al puerto una mayor prioridad.
Ln el ejemplo, la prioridad de puerto para el puerto l0,1 se ha establecido en 112, que esta por debajo de la prioridad de puerto predeterminada, que es 128. Lsto asegura que el puerto sea el preerido cuando compita con otro puerto para una uncin de puerto especica.
Cuando el switch decide utilizar un puerto por sobre otro como puerto raz, este ltimo se conigura como puerto no designado para eitar la generacin de bucles.
Decisiones de las funciones de los puertos
Ln el ejemplo, el switch S1 es el puente raz. Los switches S2 y S3 cuentan con puertos raz conigurados para los puertos que se conectan con S1.
Despus de que el switch ha determinado cual de sus puertos esta conigurado en la uncin de puerto raz, debe decidir qu puertos poseen las unciones de designados y no designados.
Ll puente raz conigura de orma automatica todos sus puertos de switch en la uncin de designado. Otros switches de la topologa coniguran sus puertos que no son raz como designados o nodesignados.
Los puertos designados se coniguran para todos los segmentos de LAN. Cuando dos switches estan conectados al mismo segmento de LAN y los puertos raz ya se han deinido, los dos switches deben decidir el puerto que debe conigurarse como designado y el que debe permanecer como no designado.
Los switches del segmento de LAN en cuestin intercambian tramas de BPDU, que contienen el BID del switch. Ln general, el switch con el menor BID posee su puerto conigurado como designado, mientras que el switch con el mayor BID posee su puerto conigurado como no designado. Sin embargo, tenga en cuenta que la primera prioridad es el menor costo de ruta hacia el puente raz y que el BID del emisor slo lo es cuando los costos de los puertos son iguales.
Ln consecuencia, cada switch determina las unciones de puertos que se asignan a cada uno de sus puertos para crear el spanning tree sin bucles.
laga clic en cada paso de la igura para aprender la orma en que se determinan las unciones de los puertos.
Verificacin de las funciones y la prioridad de los puertos
Ahora que spanning tree ha determinado la topologa de la red lgica sin bucles, se deben conirmar las unciones y prioridades de los puertos que deben conigurarse para todos los puertos de switch de la red.
Para eriicar las unciones y las prioridades de los puertos para los puertos de switch, utilice el comando show spanning- tree en modo LXLC priilegiado.
Ln el ejemplo, el resultado de show spanning-tree muestra todos los puertos de switch y sus unciones deinidas. Los puertos de switch l0,1 y l0,2 se coniguran como puertos designados. Ll resultado tambin muestra la prioridad de puerto de cada puerto de switch. Ll puerto de switch l0,1 posee una prioridad de puerto de 128.1.
5.2.5 ESTADOS DE LOS PUERTOS Y TEMPORIZADORES DE BDPU EN STP.- Estados de los puertos
S1P determina la ruta lgica sin bucles a tras de todo el dominio de broadcast. Ll spanning tree se determina a tras de la inormacin obtenida en el intercambio de tramas de BPDU entre los switches interconectados. Para acilitar el aprendizaje del spanning tree lgico, cada puerto de switch sure una transicin a tras de cinco estados posibles y tres temporizadores de BPDU.
Ll spanning tree queda determinado inmediatamente despus de que el switch inaliza el proceso de arranque. Si un puerto de switch experimenta una transicin directa desde el estado de bloqueo al estado de eniar, dicho puerto puede crear temporalmente un bucle de datos si el switch no adierte toda la inormacin de la topologa en ese momento. Por esta razn, S1P introduce cinco estados de puertos. La tabla resume cada uno de los estados de puertos. A continuacin se proporciona inormacin adicional acerca de la orma en que los estados delos puertos aseguran la ausencia de bucles durante la creacin del spanning tree lgico.
Bloqueo: el puerto es un puerto no designado y no participa en el eno de tramas. Ll puerto recibe tramas de BPDU para determinar la ubicacin y el ID de raz del switch del puente raz y las unciones de puertos que cada uno de los mismos debe asumir en la topologa inal de S1P actia. Escuchar: S1P determina que el puerto puede participar en el eno de tramas de acuerdo a las tramas de BPDU que el switch ha recibido hasta ahora. Ln este momento, el puerto de switch no slo recibe tramas de BPDU, sino que tambin transmite sus propias tramas de BPDU e inorma a los switches adyacentes que el mismo se prepara para participar en la topologa actia. Aprender: el puerto se prepara para participar en el eno de tramas y comienza a llenar la tabla de direcciones MAC. Lniar: el puerto se considera parte de la topologa actia, ena tramas y ena y recibe tramas de BPDU. Deshabilitado: el puerto de la Capa 2 no participa en el spanning tree y no ena tramas. Ll estado deshabilitado se establece cuando el puerto de switch se encuentra administratiamente deshabilitado.
Temporizadores de BPDU
La cantidad de tiempo que un puerto permanece en los distintos estados depende de los temporizadores de BPDU. Slo el switch con uncin de puente raz puede eniar inormacin a tras del arbol para ajustar los temporizadores. Los siguientes temporizadores determinan el rendimiento de S1P y los cambios de estado:
1iempo de saludo Retraso en el eno Antigedad maxima
laga clic en lunciones y temporizadores en la igura.
Cuando S1P esta habilitado, todos los puertos de switch de la red atraiesan el estado de bloqueo y los estados transitorios escuchar y aprender al iniciarse. Luego los puertos se estabilizan al estado de eniar o de bloqueo, como se e en el ejemplo. Durante un cambio en la topologa, el puerto implementa temporalmente los estados escuchar y aprender durante un perodo de tiempo especico denominado "interalo de retraso de eno".
Lstos alores permiten el tiempo adecuado para la conergencia en la red con un diametro de switch de alor siete. Recuerde que el diametro de switch es la cantidad de switches que debe atraesar una trama para iajar a tras de los dos puntos mas lejanos del dominio de broadcast. Un diametro de switch de siete es el alor mayor permitido por S1P debido a los tiempos de conergencia. La conergencia en relacin a spanning tree es el tiempo que toma oler a calcular el spanning tree en el caso de una alla en un switch o en un enlace. Aprendera la orma en que unciona la conergencia en la seccin siguiente.
laga clic en el botn Conigurar diametro de la red en la igura.
Se recomienda que los temporizadores BPDU no se ajusten de orma directa, ya que estos alores se han optimizado para el diametro de switch de siete. Si se ajusta el alor del diametro del spanning-tree en el puente raz a un alor menor, automaticamente se ajustan los temporizadores de retraso de eno y la antigedad maxima de orma proporcional segn el nueo diametro. Ln general, no deben ajustarse los temporizadores BPDU ni reconigurar el diametro de la red. Sin embargo, si despus de la bsqueda un administrador de red determina que el tiempo de conergencia de la red puede optimizarse, el mismo lo hace mediante la reconiguracin del diametro de la red, pero no los temporizadores BPDU.
Para conigurar un diametro de red distinto en S1P, utilice el comando spanning-tree lan lan id root primary diameter alor en modo de coniguracin global en el switch puente raz.
Ln el ejemplo, el comando del modo de coniguracin global spanning-tree lan 1 root primary diameter 5 se ingres para ajustar el diametro de spanning tree en cinco switches.
Tecnologa PortFast de Cisco
Portlast es una tecnologa de Cisco. Cuando un switch de puerto conigurado con Portlast se establece como puerto de acceso, sure una transicin del estado de bloqueo al de eniar de manera inmediata, saltando los pasos tpicos de escuchar y aprender. Puede utilizarse Portlast en puertos de acceso, conectados a una nica estacin de trabajo o seridor, para permitir que dichos dispositios se conecten a la red de manera inmediata sin esperar la conergencia del arbol de expansin. Si una interaz conigurada con Portlast recibe una trama de BPDU, spanning tree puede colocar el puerto en estado de bloqueo mediante una uncin denominada proteccin de BPDU. La coniguracin de proteccin de BPDU excede el alcance de este curso.
Nota: La tecnologa Portlast de Cisco puede utilizarse para el soporte de DlCP. Sin Portlast, un equipo puede eniar una solicitud de DlCP antes de que el puerto se encuentre en estado de eniar e impedirle al host la posibilidad de obtener una direccin IP utilizable y cualquier otra inormacin. Debido a que Portlast cambia el estado a eniar de manera inmediata, el equipo siempre obtiene una direccin IP utilizable.
Para obtener mas inormacin acerca de la coniguracin de la proteccin BPDU, consulte:
Nota: Debido a que el objetio de Portlast es minimizar el tiempo que los puertos de acceso deben esperar para la conergencia de spanning tree, slo debe utilizarse en puertos de acceso. Si se habilita Portlast en un puerto conectado a otro switch, se corre el riesgo de generar un bucle de spanning-tree.
laga clic en el botn Conigurar Portlast que se muestra en la igura.
Para conigurar Portlast en un puerto de switch, ingrese el comando spanning-tree portast en modo de coniguracin de interaz en todas las interaces en las que se habilitara Portlast.
Para deshabilitar Portlast, ingrese el comando no spanning-tree portast en modo de coniguracin de interaz en todas las interaces en las que se deshabilitara Portlast.
laga clic en el botn Veriicar Portlast que se muestra en la igura.
Para eriicar que Portlast se ha habilitado para un puerto de switch, utilice el comando show running-conig en modo LXLC priilegiado. La ausencia del comando spanning-tree portast en la coniguracin en ejecucin de una interaz indica que Portlast se ha deshabilitado para la misma. Portlast esta deshabilitado en todas las interaces de manera predeterminada.
5.3 CONVERGENCIA DE STP.- 5.3.1 CONVERGENCIA DE STP.- Pasos de convergencia de STP
La seccin anterior describa los componentes que permiten a S1P crear la topologa de la red lgica sin bucles. Ln esta seccin se examinara el proceso de S1P completo, desde el principiohasta el inal.
La conergencia es un aspecto importante del proceso de spanning-tree. La conergencia es el tiempo que le toma a la red determinar el switch que asumira la uncin del puente raz, atraesar todos los otros estados de puerto y conigurartodos los puertos de switch en sus unciones de puertos inales de spanning-tree, donde se eliminan todos los posibles bucles. Ll proceso de conergencia demora un tiempo en completarse debido a los distintos temporizadores que se utilizan para coordinar el proceso.
Para comprender el proceso de conergencia de orma mas prounda, el mismo se ha diidido en tres pasos distintos:
Paso 1. Llegir un puente raz
Paso 2. Llegir los puertos raz
Paso 3. Llegir los puertos designados y no designados
Ll resto de esta seccin explora cada paso del proceso de conergencia.
5.3.2 ELEGIR UN PUENTE RAIZ.- Paso 1. Elegir un puente raz
Ll primer paso de la conergencia en el proceso spanning-tree es la eleccin del puente raz. Ll puente raz es la base para todos los calculos de costos de ruta de spanning-tree y en deinitia conduce a la asignacin de las distintas unciones de puertos utilizadas para eitar la generacin de bucles.
La eleccin de un puente raz se genera despus de que el switch ha inalizado el proceso de arranque o cuando se detecta una alla en alguna ruta de la red. Inicialmente, todos los puertos de switch se coniguran en estado de bloqueo, que demora 20 segundos de manera predeterminada. Lsto se llea a cabo para eitar la generacin de un bucle antes de que S1P haya contado con el tiempo para calcular las mejores rutas a la raz y conigurar todos los puertos de switch en sus unciones especicas. Como los puertos de switch se encuentran en estado de bloqueo, an pueden eniar y recibir tramas de BPDU, de manera que pueda continuar la eleccin de la raz del spanning-tree. Spanning tree admite un diametro de red maximo de siete saltos de switch de extremo a extremo. Lsto permite que todo el proceso de eleccin del puente raz suceda en 14 segundos, que es menor que el tiempo que el puerto de switch permanece en estado de bloqueo.
Inmediatamente despus de que los switches inalizan el proceso de arranque, comienzan a eniar tramas de BPDU publicando sus BID, en un intento de conertirse en el puente raz. Inicialmente, todos los switches de la red asumen que son el puente raz para ese dominio de broadcast. La saturacin de las tramas de BPDU en la red tiene el campo de ID en coincidencia con campo BID, lo que indica que cada switch se considera a s mismo el puente raz. Lstas tramas de BPDU se enan cada 2 segundos en base al alor predeterminado del temporizador de saludo.
A medida que los switches reciben las tramas de BPDU de sus switches ecinos, comparan el ID de raz de la trama de BPDU recibida con el ID de raz conigurado localmente. Si el ID de raz de la trama de BPDU recibida es menor que el propio, el campo ID de raz se actualiza y se indica el nueo mejor candidato para la uncin de puente raz.
Despus de que el campo ID de raz se actualiza en un switch, este ltimo incorpora el ID de raz nueo en todas las transmisiones de tramas de BPDU uturas. Lsto asegura que el menor ID de raz sea siempre eniado a todos los switches adyacentes de la red. La eleccin del puente raz inaliza una ez que el menor ID de raz llena el campo ID de raz de todos los switches del dominio de broadcast.
Aunque el proceso de eleccin del puente raz inaliza, los switches continan eniando sus tramas de BPDU y publicando el ID de raz del puente raz cada 2 segundos. Cada switch se conigura con un temporizador de antigedad maxima que determina la cantidad de tiempo que el switch mantiene la coniguracin de BPDU actual en el caso de que deje de recibir las actualizaciones de los switches ecinos. De manera predeterminada, el temporizador de antigedad maxima se establece en 20 segundos. Por lo tanto, si un switch no puede recibir 10 tramas de BPDU consecutias de uno de sus ecinos, asume que ha allado una ruta lgica del spanning tree y que la inormacin de la BPDU ya no es alida. Lsto prooca otra eleccin de puente raz de spanning-tree.
laga clic en el botn Reproducir de la igura para oler a er los pasos que utiliza S1P para elegir un puente raz
A medida que repase la orma en que S1P elige un puente raz, recuerde que el proceso de eleccin del puente raz se produce con todos los switches que enan y reciben tramas de BPDU al mismo tiempo. La realizacin del proceso de eleccin de orma simultanea permite a los switches determinar de manera mas rapida el switch que se conertira en el puente raz.
Verificar la eleccin del puente raz
Cuando inaliza la eleccin del puente raz, se puede eriicar la identidad del mismo a tras del comando show spanning- tree en modo LXLC priilegiado
Ln la topologa de ejemplo, el switch S1 posee el menor alor de prioridad de los tres switches, de manera que se puede asumir que el mismo se conertira en el puente raz.
laga clic en el botn Resultado del switch S1 que se muestra en la igura.
Ln el ejemplo, el resultado de show spanning-tree para el switch S1 reela que es el puente raz. Se puede obserar que el BID coincide con el ID de raz, lo que conirma que S1 es el puente raz.
laga clic en el botn Resultado del switch S2 que se muestra en la igura.
Ln el ejemplo, el resultado de show spanning-tree para el switch S2 muestra que el ID de raz coincide con el ID de raz esperado del switch S1, lo que indica que S2 considera a S1 como el puente raz.
laga clic en el botn Resultado del switch S3 que se muestra en la igura.
Ln el ejemplo, el resultado de show spanning-tree para el switch S3 muestra que el ID de raz coincide con el ID de raz esperado del switch S1, lo que indica que S3 considera a S1 como el puente raz.
Verificar el puerto raz
Cuando inaliza la eleccin del puente raz, se puede eriicar la coniguracin de los puertos raz a tras del comando show spanning-tree en modo LXLC priilegiado.
Ln la topologa de ejemplo, el switch S1 ha sido identiicado como puente raz. Ll puerto l0,1 de S2 y el puerto l0,1 del switch S3 son los dos mas cercanos al puente raz y, por lo tanto, deben conigurarse como puertos raz. Se puede conirmar la coniguracin del puerto mediante el comando show spanning-tree en modo LXLC priilegiado.
laga clic en el botn Resultado del switch S1 que se muestra en la igura.
Ln el ejemplo, el resultado de show spanning-tree para el switch S1 reela que es el puente raz y en consecuencia no posee puertos raz conigurados.
laga clic en el botn Resultado del switch S2 que se muestra en la igura. Ln el ejemplo, el resultado de show spanning-tree para el switch S2 muestra que el puerto de switch l0,1 esta conigurado como puerto raz. Ll ID de raz muestra la prioridad y la direccin MAC del switch S1.
laga clic en el botn Resultado del switch S3 que se muestra en la igura.
Ln el ejemplo, el resultado de show spanning-tree para el switch S3 muestra que el puerto de switch l0,1 esta conigurado como puerto raz. Ll ID de raz muestra la prioridad y la direccin MAC del switch S1.
5.3.4 EEGIR PUERTOS DESIGNADOS Y PUERTOS NO DESIGNADOS.- Paso 3. Elegir puertos designados y puertos no designados
Despus de que el switch determina qu puerto es el raz, los puertos restantes deben conigurarse como puerto designado ,DP, o puerto no designado ,no DP, para inalizar la creacin del spanning tree lgico sin bucles.
1odos los segmentos de una red conmutada slo pueden contar con un puerto designado. Cuando dos puertos de switch que no son raz se conectan al mismo segmento de LAN, se llea a cabo una competencia por las unciones de puertos. Los dos switches intercambian tramas de BPDU para decidir cual de los puertos se establececomo designado y cual como no designado.
Ln general, cuando un puerto de switch se conigura como designado, se basa en el BID. Sin embargo, tenga en cuenta que la primera prioridad es el menor costo de ruta hacia el puente raz y que el BID del emisor slo lo es cuando los costos de los puertos son iguales.
Cuando dos switches intercambian sus tramas de BPDU, examinan el BID eniado en la trama de BPDU recibida para eriicar si es menor que los propios. Ll switch con el menor BID gana la competencia ysu puerto se conigura con la uncin de designado. Ll switch restante conigura su puerto de switch como no designado y, por lo tanto, en el estado de bloqueo para eitar la generacin de bucles.
Ll proceso de determinar las unciones de los puertos se produce de orma conjunta con la eleccin del puente raz y con la designacin del puerto raz. Ln consecuencia, las unciones de designado y no designado pueden cambiar arias eces durante el proceso de conergencia hasta que se haya determinado el ltimo puente raz. Ll proceso completo de seleccionar el puente raz, determinar los puertos raz y los puertos designados y no designados se llea a cabo dentro de los 20 segundos que transcurren durante el estado de bloqueo. Lste tiempo de conergencia se basa en el temporizador de saludo de 2 segundos para las transmisiones de tramas de BPDU y el diametro de siete switches que admite S1P. La demora de antigedad maxima de 20 segundos proee el tiempo suiciente para el diametro de siete switches con el temporizador de saludo de 2 segundos entre transmisiones de tramas de BPDU.
laga clic en cada paso de la igura para aprender acerca de la eleccin de puertos designados y no designados.
Verificar DP y no DP
Despus de que se asignaron los puertos raz, los switches determinan cuales de los puertos restantes se coniguran como designados y cuales como no designados. Se puede eriicar la coniguracin de los puertos designados y no designados mediante el comando show spanning-tree en modo LXLC priilegiado.
Ln la topologa:
1. Ll switch S1 se identiica como puente raz y, por lo tanto, conigura sus dos puertos de switch como designados.
2. Ll puerto l0,1 de switch S2 y el puerto l0,1 del switch S3 son los dos mas cercanos al puente raz y se coniguran como puertos raz.
3. Los restantes, el puerto l0,2 del switch S2 y el puerto l0,2 del switch S3 deben decidir cual de los dos sera el designado y cual sera el no designado.
4. Ll switch S2 y el switch S3 comparan sus alores de BID para determinar cual es el menor. Ll que posee el menor BID se conigura como puerto designado.
5. Debido a que ambos switches cuentan con la misma prioridad, la direccin MAC se conierte en el actor de decisin.
6. \a que el switch S2 posee una direccin MAC menor, conigura su puerto l0,2 como designado.
. Ln consecuencia, el switch S3 conigura su puerto l0,2 como no designado para eitar la generacin de bucles.
Se puede conirmar la coniguracin de puerto mediante el comando show spanning-tree en modo LXLC priilegiado.
laga clic en el botn Resultado del switch S1 que se muestra en la igura.
Ln el ejemplo, el resultado de show spanning-tree para el switch S1 reela que es el puente raz y en consecuencia sus dos puertos se coniguran como designados.
laga clic en el botn Resultado del switch S2 que se muestra en la igura.
Ln el ejemplo, el resultado de show spanning-tree para el switch S2 muestra que el puerto de switch l0,2 esta conigurado como puerto designado.
laga clic en el botn Resultado del switch S3 que se muestra en la igura.
Ln el ejemplo, el resultado de show spanning-tree para el switch S3 muestra que el puerto de switch l0,2 esta conigurado como puerto no designado.
5.3.5 CAMBIO EN LA TOPOLOGIA DE STP.- Proceso de notificacin de cambio en la topologa de STP
Un switch considera que ha detectado un cambio en la topologa cuando un puerto que ena se desactia ,se bloquea, por ejemplo, o cuando un puerto cambia al estado de eniar y el switch cuenta con un puerto designado. Cuando se detecta un cambio, el switch notiica al puente raz del spanning tree. Luego, el puente raz ena un broadcast con dicha inormacin a toda la red.
Cuando S1P unciona de orma normal, el switch contina recibiendo tramas de BPDU de coniguracin desde el puente raz en su puerto raz. Sin embargo, nunca ena una BPDU hacia el puente raz. Para lograr esto se introduce una BPDU especial denominada notiicacin de cambio en la topologa ,1CN,. Cuando un switch necesita aisar acerca de un cambio
5.4 PVST+, RSTP Y PVST+ RPIDO.- 5.4.1 VARIANTES DE CISCO Y STP.- Al igual que con muchos estandares de redes, la eolucin de S1P se ha enocado en la necesidad de crear especiicaciones para toda la industria cuando los protocolos de propiedad son estandares de hecho. Cuando un protocolo de propiedad es tan predominante que todos sus competidores del mercado deben contar con soporte para el mismo, las agencias como el ILLL interienen y crean una especiicacin pblica. La eolucin de S1P ha seguido este mismo camino, como puede erse en la tabla.
Cuando se lee acerca de S1P en el sitio Cisco.com, se adierte que existen muchos tipos de ariantes de S1P. Algunas de estas ariantes son propiedad de Cisco y otras son estandares de ILLL. Aprendera mas detalles acerca de algunas de estas
ariantes de S1P pero para comenzar necesita poseer un conocimiento general de cuales son las ariantes de S1P mas importantes. La tabla resume las descripciones siguientes de las ariantes principales de S1P de Cisco e ILLL.
Propiedad de Cisco
Protocolo spanning tree por VLAN ,PVS1,: Mantiene una instancia de spanning-tree para cada VLAN conigurada en la red. Utiliza el protocolo de enlace troncal ISL propiedad de Cisco que permite que un enlace troncal de la VLAN se encuentre en estado de eniar para algunas VLAN y en estado de bloqueo para otras. Debido a que PVS1 trata a cada VLAN como una red independiente, puede balancear la carga de traico de la Capa 2 mediante el eno de algunas VLAN de un enlace troncal y otras de otro enlace troncal sin generar bucles. Para PVS1, Cisco desarroll arias extensiones de propiedad del ILLL 802.1D S1P original, como Backbonelast, Uplinklast y Portlast. Lstas extensiones de S1P de Cisco no se cubren en este curso. Para obtener mas inormacin acerca de estas extensiones, isite: http:,,www.cisco.com,en,US,docs,switches,lan,catalyst4000,.4,coniguration,guide,stp_enha.html.
Protocolo spanning tree por VLAN plus ,PVS1-,: Cisco desarroll PVS1- para proporcionar soporte a los enlaces troncales de ILLL 802.1Q. PVS1- proporciona la misma uncionalidad que PVS1, incluidas las extensiones de S1P propiedad de Cisco. PVS1- no cuenta con soporte en aquellos dispositios que no son de Cisco. PVS1- incluye una mejora de Portlast denominada proteccin de BPDU y proteccin de raz. Para obtener mas inormacin acerca de la proteccin de BPDU, isite: http:,,www.cisco.com,en,US,tech,tk389,tk621,technologies_tech_note09186a008009482.shtml.
Para obtener mas inormacin acerca de la proteccin de raz, isite: http:,,www.cisco.com,en,US,tech,tk389,tk621,technologies_tech_note09186a00800ae96b.shtml.
Protocolo spanning tree por VLAN rapido ,PVS1- rapido,: Se basa en el estandar ILLL 802.1w y posee una conergencia mas eloz que S1P ,estandar 802.1D,. PVS1- rapido incluye las extensiones propiedad de Cisco, como Backbonelast, Uplinklast y Portlast.
Lstandares ILLL
Protocolo Rapid spanning tree ,RS1P,: Se introdujo por primera ez en 1982 como eolucin de S1P ,estandar 802.1D,. Proporciona una conergencia de spanning-tree mas eloz despus de un cambio de topologa. RS1P implementa las extensiones de S1P propiedad de Cisco, como Backbonelast, Uplinklast y Portlast en el estandar pblico. A partir de 2004, el ILLL incorpor RS1P a 802.1D, mediante la identiicacin de la especiicacin como ILLL 802.1D-2004. De manera que cuando se haga reerencia a S1P, debe pensarse en RS1P. Aprendera mas acerca de RS1P posteriormente en esta seccin.
S1P mltiple ,MS1P,: permite que se asignen VLAN mltiples a la misma instancia de spanning-tree, de modo tal que se reduce la cantidad de instancias necesarias para admitir una gran cantidad de VLAN. MS1P se inspir en S1P de instancias mltiples ,MIS1P, propiedad de Cisco y es una eolucin de S1P y RS1P. Se introdujo en el ILLL 802.1s como enmienda de la edicin de 802.1Q de 1998. Ll estandar ILLL 802.1Q-2003 ahora incluye a MS1P. MS1P proporciona arias rutas de eno para el traico de datos y permite el balanceo de carga. La explicacin de MS1P excede el alcance de este curso. Para obtener mas inormacin acerca de MS1P, isite: http:,,www.cisco.com,en,US,docs,switches,lan,catalyst2950,sotware,release,12.1_19_ea1,coniguration,guide,swms tp.html.
5.4.2 PVST+.- PVST+
Cisco desarroll PVS1- para que una red pueda ejecutar una instancia de S1P para cada VLAN de la red. Con PVS1- puede bloquearse mas de un enlace troncal en una VLAN y puede implementarse la carga compartida. Sin embargo, implementar PVS1- implica que todos los switches de la red se comprometan con la conergencia de la red y los puertos de switch deben ajustarse al ancho de banda adicional utilizado para cada instancia de PVS1- a in de poder eniar sus propias BPDU.
Ln un entorno de PVS1- de Cisco se pueden ajustar los parametros de spanning-tree de manera que la mitad de las VLAN puedan eniar en todos los enlaces troncales. Ln la igura, el puerto l0,3 del switch S2 es el puerto emisor para la VLAN 20 y l0,2 del switch S2 es el puerto emisor para la VLAN 10. Lsto se logra mediante la coniguracin de un switch para elegirlo como puente raz para la mitad de la cantidad total de VLAN de la red y de otro para elegirlo como puente raz para la otra mitad de las VLAN. Ln la igura, el switch S3 es el puente raz para la VLAN 20 y el switch S1 es el puente raz para la VLAN 10. La creacin de distintos switches raz en S1P por VLAN genera una red mas redundante.
ID de puente en PVST+
Como recordara, en el estandar 802.1D original, un BID de 8 bytes se compone de una prioridad de puente de 2 bytes y una direccin MAC de 6 bytes de switch. No haba necesidad de identiicar una VLAN debido a que slo exista un spanning tree en la red. PVS1- requiere que se ejecute una instancia de spanning tree independiente por cada VLAN. Para admitir PVS1-, el campo BID de 8 bytes se modiica para transportar un ID de VLAN ,VID,. Ln la igura, el campo de prioridad de puente se reduce a 4 bits y un nueo campo de 12 bits, el ID de sistema extendido, contiene el VID. La direccin MAC de 6 bytes permanece sin cambios.
A continuacin se brindan mas detalles acerca de los campos de PVS1-:
Prioridad de puente: un campo de 4 bits contiene la prioridad de puente. Debido a la cantidad de bits limitados, la prioridad se transporta en alores discretos en incrementos de 4096 en lugar de alores discretos con incrementos de 1, como sera si se dispusiera del campo de 16 bits. La prioridad predeterminada, de acuerdo al ILLL 802.1D, es 32 68, que es el alor medio. ID de sistema extendido: un campo de 12 bits que contiene el VID para PVS1-. Direccin MAC: un campo de 6 bytes con la direccin MAC de un solo switch.
La direccin MAC es lo que identiica unocamente al BID. Cuando la prioridad y el ID de sistema extensio se anexan a la direccin MAC del switch, cada VLAN del switch puede representarse por un nico BID.
laga clic en el botn Ljemplo de ID de puente en PVS1- que se muestra en la igura.
Ln la igura se muestran los alores de prioridad, VLAN y direccin MAC para el switch S1. Se combinan para ormar el BID.
Precaucin: Si no se ha conigurado la prioridad, cada switch posee la misma prioridad predeterminada y la eleccin del puente raz para cada VLAN se basa en la direccin MAC. Por lo tanto, para asegurar que se obtendra el puente raz deseado, se aconseja asignar un alor de prioridad menor al switch que debera serir como puente raz.
La tabla muestra la coniguracin predeterminada de spanning-tree para un switch de la serie Cisco Catalyst 2960. Obsere que el modo predeterminado de spanning-tree es PVS1-.
Configurar PVST+
La topologa muestra tres switches con enlaces troncales 802.1Q que los conectan. Se pueden obserar dos VLAN, 10 y 20, que cuentan con enlaces troncales entre s. Lsta red no se ha conigurado para spanning tree. Ll objetio es conigurar S3 como puente raz para la VLAN 20 y S1 como puente raz para la VLAN 10. Ll puerto l0,3 de S2 es el puerto en estado de eniar para la VLAN 20 y el puerto en estado de bloqueo para la VLAN 10. Ll puerto l0,2 de S2 es el puerto en estado de eniar para la VLAN 10 y el puerto en estado de bloqueo para la VLAN 20. Los pasos para conigurar PVS1- en este ejemplo son:
Paso 1. Seleccionar los switches que desea como puentes raz principal y secundario para cada VLAN.
Paso 2. Conigurar el switch que sera puente principal para una VLAN, por ejemplo: el switch S3 es el puente principal para la VLAN 20.
Paso 3. Conigurar el switch que sera puente secundario para la otra VLAN, por ejemplo: el switch S3 es el puente secundario para la VLAN 10.
De orma opcional, se conigura la prioridad de spanning-tree para que sea lo suicientemente baja como para que sea seleccionado como puente principal.
laga clic en el botn Puentes raz principal y secundario de la igura.
Conigurar los puentes raz principales
Ll objetio es conigurar el switch S3 como puente raz principal para la VLAN 20 y conigurar el switch S1 como puente raz principal para la VLAN 10. Para conigurar un switch para que se conierta en puente raz para una VLAN especica, utilice el comando spanning-tree lan lan-ID root primary en modo de coniguracin global. Recuerde que se comienza con una red que no se ha conigurado con spanning tree, as que se supone que todos los switches se encuentran en su coniguracin predeterminada. Ln este ejemplo, el switch S1, que cuenta con las VLAN 10 y 20 habilitadas, retiene su prioridad de S1P predeterminada.
Conigurar los puentes raz secundarios
Una raz secundaria es un switch que puede conertirse en puente raz para una VLAN en el caso de alla en el puente raz principal. Para conigurar un switch como puente raz secundario, utilice el comando spanning-tree lan lan-ID root secondary en modo de coniguracin global. Si se tiene en cuenta que los otros puentes de la VLAN retienen su priori dad de S1P predeterminada, este switch se conierte en el puente raz en el caso de producirse una alla en el puente raz principal. Lste comando puede ejecutarse en mas de un switch para conigurar arios puentes raz de respaldo.
La graica muestra la sintaxis del comando del IOS de Cisco para especiicar a S3 como puente raz principal para la VLAN 20 y como puente raz secundario para la VLAN 10. Ademas, el switch S1 se conierte en el puente raz principal para la VLAN 10 y en el puente raz secundario para la VLAN 20. Lsta coniguracin permite el balanceo de carga en spanning tree, donde el traico de la VLAN 10 pasa a tras del switch S1 y el traico de la VLAN 20 pasa a tras del switch S3.
laga clic en el botn Prioridad de switch en PVS1- que se muestra en la igura.
Prioridad de switch en PVS1-
Anteriormente en este captulo se aprendi que la coniguracin predeterminada utilizada para spanning tree es la adecuada para la mayora de las redes. Lsto tambin es cierto para PVS1- de Cisco. Lxisten arias ormas de ajustar PVS1-. La explicacin de la orma en que se ajusta la implementacin de PVS1- excede el alcance de este curso. Sin embargo, se puede establecer la prioridad de switch para la instancia de spanning-tree especiicada. Lsta coniguracin aecta a la posibilidad de que el switch sea seleccionado como switch raz. Un alor menor prooca el aumento de la probabilidad de que el switch sea seleccionado. Lste rango oscila entre 0 y 61 440 en incrementos de 4096. Por ejemplo: un alor de prioridad alido es 4096 x 2 ~ 8 192. 1odos los demas alores se rechazan.
Los ejemplos muestran la sintaxis del comando del IOS de Cisco.
laga clic en el botn Veriicar que se muestra en la igura.
Ll comando del modo LXLC priilegiado show spanning tree actie muestra los detalles de la coniguracin de spanning- tree slo para las interaces actias. Ll resultado que se muestra es para el switch S1 conigurado con PVS1-. Lxiste una gran cantidad de parametros del comando del IOS de Cisco asociados con el comando show spanning tree. Para obtener una descripcin completa, isite: http:,,www.cisco.com,en,US,docs,switches,lan,catalyst2960,sotware,release,12.2_3_se,command,reerence,cli2.ht ml4wpxre4293.
laga clic en el botn show run de la igura.
Puede er en el resultado que la prioridad para la VLAN 10 es 4096, la menor de las tres prioridades de la VLAN. Lsta coniguracin de prioridades asegura que este switch sea el puente raz principal para la VLAN 10.
RS1P ,ILLL 802.1w, es una eolucin del estandar 802.1D. Principalmente, la terminologa de 802.1w S1P sigue siendo la misma que la del ILLL 802.1D S1P. La mayora de los parametros no se modiican, de modo que los usuarios amiliarizados con S1P puedan conigurar rapidamente el nueo protocolo.
Ln la igura, la red muestra un ejemplo de RS1P. Ll switch S1 es el puente raz con dos puertos designados en estado de eniar. RS1P admite un nueo tipo de puerto. Ll puerto l0,3 del switch S2 es un puerto alternatio en estado de descarte. Obsere que no existen puertos bloqueados. RS1P no posee el estado de puerto de bloqueo. RS1P deine los estados de puertos como de descarte, aprender o eniar. Aprendera mas acerca de tipos y estados de puertos posteriormente en este captulo.
laga clic en el botn Caractersticas de RS1P en la igura.
Caractersticas de RSTP
RS1P aumenta la elocidad de recalculo del spanning tree cuando cambia la topologa de la red de la Capa 2. RS1P puede lograr una conergencia mucho mas rapida en una red conigurada de orma adecuada, a eces slo en unos pocos cientos de milisegundos. RS1P redeine los tipos de puertos y sus estados. Si un puerto se conigura para ser alternatio o de respaldo, puede cambiar de manera automatica al estado de eniar sin esperar la conergencia de la red. A continuacin se describen breemente las caractersticas de RS1P:
RS1P es el protocolo preerido para eitar los bucles de Capa 2 en un entorno de red conmutada. Muchas de las dierencias se inormaron en las mejoras de 802.1D propiedad de Cisco. Lstas mejoras, como las BPDU que transportan y enan inormacin acerca de las unciones de los puertos a los switches ecinos, no requieren coniguracin adicional y por lo general poseen un mejor rendimiento que las ersiones anteriores propiedad de Cisco. Ahora son transparentes y estan integradas al uncionamiento del protocolo. Las mejoras al 802.1D propiedad de Cisco, como Uplinklast y Backbonelast, no son compatibles con RS1P. RS1P ,802.1w, reemplaza a S1P ,802.1D, a la ez que mantiene la compatibilidad retrospectia. Mucha de la terminologa de S1P permanece y la mayora de los parametros no presentan cambios. Ademas, 802.1w puede oler a la ersin 802.1D para inter-operar con switches antiguos por puerto. Por ejemplo: el algoritmo spanning-tree de RS1P selecciona un puente raz exactamente de la misma orma que 802.1D. RS1P mantiene el mismo ormato de BPDU que ILLL 802.1D, excepto que el campo de ersin seestablece en 2 para indicar que es RS1P y todos los campos de senaladores utilizan 8 bits. Las BPDU en RS1P se explican mas adelante.
RS1P puede conirmar de manera actia que un puerto puede surir una transicin segura al estado de eniar sin depender de ninguna coniguracin de temporizadores.
BPDU en RSTP
RS1P ,802.1w, utiliza BPDU tipo 2, ersin 2, de manera que un puente en RS1P puede comunicar a 802.1D en cualquier enlace compartido o con cualquier switch que ejecute 802.1D. RS1P ena BPDU y completa el byte senalizador de una manera ligeramente distinta que en 802.1D:
La inormacin de protocolo puede expirar de orma inmediata en un puerto si no se reciben saludos durante tres tiempos de saludo consecutios, 6 segundos de manera predeterminada, o si expira el temporizador de antigedad maxima. Debido a que las BPDU se utilizan como un mecanismo de actiidad, tres BPDU perdidas de orma consecutia indican la prdida de la conectiidad entre un puente y su raz ecino o puente designado. La rapida expiracin de la inormacin permite que las allas se detecten muy rapidamente.
Nota: Al igual que S1P, un puente en RS1P ena una BPDU con su inormacin actual en todos los perodos de tiempo de saludo ,2 segundos de manera predeterminada,, an si el puente de RS1P no recibe ninguna BPDU del puente raz.
RS1P utiliza el byte de senalizacin de la BPDU ersin 2 como se muestra en la igura:
Los bits 0 y se utilizan para notiicacin de cambio en la topologa y acuse de recibo de la misma orma que en 802.1D. Los bits 1 y 6 se utilizan para el proceso de Acuerdo de propuesta ,para la conergencia rapida,. Los bits del 2 al 5 contienen la uncin y el estado del puerto que origina la BPDU. Los bits 4 y 5 se utilizan para codiicar la uncin del puerto mediante un cdigo de 2 bits.
5.4.4 PUERTOS DE EXTREMO.- Puertos de extremo
Un puerto de extremo en RS1P es un puerto de switch que nunca se conecta con otro dispositio de switch. Sure la transicin al estado de eniar de manera inmediata cuando se encuentra habilitado.
Ll concepto de puerto de extremo es muy conocido entre los usuarios de spanning-tree de Cisco, ya que corresponde a la uncin de Portlast en la que todos los puertos conectados directamente a estaciones inales anticipan que no hay dispositios de switch conectados a los mismos. Los puertos de Portlast suren la transicin al estado de eniar de S1P de orma inmediata, lo que permite eitar el uso de los estados de escuchar y aprender, que consumen tiempo. Ni los puertos de extremo ni los puertos con Portlast habilitado generan cambios de topologa cuando el puerto experimenta una transicin al estado habilitado o deshabilitado.
A dierencia de Portlast, un puerto de extremo de RS1P que recibe una BPDU pierde su estado de puerto de extremo de orma inmediata y se conierte en un puerto normal de spanning-tree.
La implementacin de RS1P de Cisco mantiene la palabra clae Portlast mediante el comando spanning-tree portfast para la coniguracin del puerto de extremo. Lsto permite que la transicin de red total a RS1P sea mas transparente. La coniguracin de un puerto de extremo para que se conecte a otro switch puede tener implicancias negatias para RS1P cuando se encuentra en estado sincronizado, ya que puede generarse un bucle temporal, lo que posiblemente proocara una demora en la conergencia de RS1P debido a la contencin de BPDU con el traico de bucles.
5.4.6 ESTADOS Y FUNCIONES DE LOS PUERTOS EN RSTP.- Estados de los puertos en RSTP
RS1P proporciona una conergencia rapida despus de una alla o durante el restablecimiento de un switch, puerto de switch o enlace. Un cambio de topologa en RS1P produce una transicin en los estados de puertos de switch adecuados a tras de intercambios de senales explcitas o del proceso y sincronizacin de propuesta y acuerdo. Aprendera mas acerca del proceso de propuesta y acuerdo mas adelante.
Con RS1P, la uncin de un puerto es independiente del estado del mismo. Por ejemplo: un puerto designado puede encontrarse en estado de descarte de orma temporal, aun si su estado inal es el de eniar. La igura muestra los tres posibles estados de puertos en RS1P: descarte, aprender y eniar.
laga clic en el botn Descripciones que se muestra en la igura.
La tabla de la igura describe las caractersticas de cada uno de los tres estados de puertos en RS1P. Ln todos los estados, el puerto acepta y procesa las tramas de BPDU.
laga clic en el botn Puertos de S1P y RS1P que se muestra en la igura.
La tabla de la igura compara los estados de puertos en S1P y en RS1P. Recuerde que en los estados de puertos de S1P de bloqueo, escuchar y deshabilitado no se enan tramas. Lstos estados de puertos se han unido en el estado de puerto de descarte en RS1P.
Funciones de los puertos en RSTP
La uncin del puerto deine el objetio principal de un puerto de switch y la orma en que gestiona las tramas de datos. Las unciones y los estados de los puertos pueden experimentar transiciones de orma independiente. La creacin de unciones de puertos adicionales permite que RS1P deina un puerto de switch de resera antes de una alla o un cambio de topologa. Ll puerto alternatio pasa al estado de eniar si existe una alla en el puerto designado para el segmento.
Desplace el mouse por las unciones de los puertos en la igura para aprender mas acerca de cada uncin del puerto en RS1P.
Proceso de propuesta y acuerdo en RSTP
Ln S1P ILLL 802.1D, una ez que el puerto ue seleccionado por spanning tree para conertirse en puerto designado, debe esperar el equialente a dos eces el retraso de eno antes de pasar el puerto al estado de eniar. RS1P agiliza el proceso de recalculo de orma signiicatia despus de un cambio de topologa, ya que conerge enlace por enlace y no depende de que los temporizadores expiren antes de que los puertos experimenten la transicin. La transicin rapida al estado de eniar slo puede lograrse en los puertos de extremo y en los enlaces punto a punto. Ln RS1P, esta condicinse corresponde con el puerto designado en estado de descarte.
laga clic en el botn Reproducir de la igura para iniciar la animacin.
5.4.7 CONFIGURACION DE STP PARA EVITAR PROBLEMAS.- PVS1- rapido es una implementacin de Cisco de RS1P. Admite spanning tree para cada VLAN y es la ariante rapida de S1P para utilizar en redes de Cisco. La topologa de la igura posee dos VLAN: 10 y 20. La coniguracin inal implementara PVS1- rapido en el switch S1, que es el puente raz.
Pautas para la coniguracin
Ls de utilidad oler a er algunas de las pautas de coniguracin de spanning tree. Si desea oler a er la coniguracin predeterminada de spanning-tree para un switch 2960 de Cisco, consulte la seccin Coniguracin de un switch de manera predeterminada en la parte inicial de este captulo. 1enga en cuenta esas pautas a la hora de implementar PVS1- rapido.
Los comandos de PVS1- rapido controlan la coniguracin de las instancias de spanning-tree en una VLAN. Una instancia de spanning-tree se genera cuando se asigna una interaz a una VLAN y se elimina cuando la ltima interaz se traslada a otra VLAN. 1ambin se pueden conigurar los parametros de switch y puerto en S1P antes de crear una instancia de spanning-tree. Lstos parametros se aplican cuando se genera un bucle y se crea una instancia de spanning-tree. Sin embargo, asegrese de que al menos un switch de cada bucle de la VLAN ejecute spanning tree, ya que de otra manera puede producirse una tormenta de broadcast.
Ll switch Cisco 2960 admite PVS1-, PVS1- rapido y MS1P, pero slo una ersin puede permanecer actia para todas las VLAN en todo momento.
Para obtener detalles sobre la coniguracin de las unciones del sotware de S1P en un switch de la serie Cisco 2960 series, isite el sitio de Cisco:
laga clic en el botn Comandos de coniguracin en la igura.
La igura muestra la sintaxis del comando del IOS de Cisco necesaria para conigurar PVS1- rapido en un switch de Cisco. 1ambin se pueden conigurar otros parametros.
Nota: Si se conecta un puerto conigurado con el comando spanning-tree link-type point-to-point a un puerto remoto mediante un enlace punto a punto y el puerto local se conierte en designado, el switch negocia con el puerto remoto y cambia rapidamente el puerto local al estado de eniar.
Nota: Cuando un puerto se conigura con el comando clear spanning-tree detected-protocols y el mismo esta conectado a un puerto de un switch antiguo de ILLL 802.1D, el sotware IOS de Cisco uele a iniciar el proceso de migracin de protocolo en todo el switch. Lste paso es opcional, pese a que se recomienda como practica estandar, an si el switch designado detecta que el switch ejecuta PVS1- rapido.
Para obtener detalles completos sobre todos los parametros asociados con los comandos del IOS de Cisco, isite: http:,,www.cisco.com,en,US,docs,switches,lan,catalyst2960,sotware,release,12.2_3_se,command,reerence,cli3.ht ml.
laga clic en el botn Ljemplo de coniguracin que se muestra en la igura.
La coniguracin de ejemplo muestra los comandos de PVS1- rapido habilitados en el switch S1.
laga clic en el botn Veriicar que se muestra en la igura.
Ll comando show spanning-tree lan lan-id muestra la coniguracin de la VLAN 10 en el switch S1. Obsere que la prioridad de BID se establece en 4 096. Ll BID se conigur mediante el comando spanning-tree lan lan-id priority alor de prioridad.
laga clic en el botn show run que se muestra en la igura.
Ln el ejemplo, el comando show running-coniguration se utiliza para eriicar la coniguracin de PVS1- rapido en S1.
5.4.8 RESOLUCION DE PROBLEMAS DE FUNCIONAMIENTO DE STP.- Conozca dnde se encuentra la raz
Ahora sabe que la uncin principal del S1A es eitar los bucles que producen los enlaces redundantes en redes de puentes. S1P unciona en la Capa 2 del modelo OSI. S1P puede allar en algunos casos especicos. La resolucin de problemas puede ser muy complicada y depende del diseno de la red. Ls por eso que se recomienda que llee a cabo la parte mas importante de la resolucin de problemas antes de que ocurran los mismos.
Ls muy comn que la inormacin acerca de la ubicacin de la raz no est disponible a la hora de resoler los problemas. No permita que la decisin del puente raz dependa de S1P. Por lo general, para cada VLAN se puede identiicar cual es el switch que mejor puede uncionar como raz. Ln general, elija un switch poderoso en el medio de la red. Si coloca el puente raz en el centro de la red con una conexin directa a los seridores y routers, se reduce la distancia promedio desde los clientes a los seridores y routers.
La igura muestra:
Si el switch S2 es la raz, el enlace desde S1 a S3 se encuentra bloqueado en S1 o en S3. Ln este caso, los hosts que se conectan al switch S2 pueden acceder al seridor y al router en dos saltos. Los hosts que se conectan al puente S3 pueden acceder al seridor y al router en tres saltos. La distancia promedio es de dos saltos y medio. Si el switch S1 es la raz, el router y el seridor son alcanzables en dos saltos para los dos hosts que se conectan a S2 y S3. La distancia promedio ahora es de dos saltos.
La lgica detras de este ejemplo simple se traslada a topologas mas complejas. Nota: Para cada VLAN, conigure el puente raz y el puente raz de respaldo a tras de prioridades menores.
Para acilitar la solucin de problemas en S1P, planiique la organizacin de los enlaces redundantes. Ln redes no jerarquicas puede necesitar ajustar el parametro de costo de S1P para decidir los puertos que deben bloquearse. Sin embargo, este ajuste por lo general no es necesario si cuenta con un diseno jerarquico y con un puente razbien ubicado.
Nota: Para cada VLAN, debe conocer los puertos que deben bloquearse en la red estable. 1enga a mano un diagrama de red que muestre de orma clara todos los bucles sicos de la red y cuales son los puertos bloqueados que eliminan esos bucles.
Conocer la ubicacin de los enlaces redundantes lo ayudara a identiicar los bucles de puenteo accidentales y sus causas. Ademas, si conoce la ubicacin de los puertos bloqueados podra determinar la ubicacin del error.
Minimizar la cantidad de puertos bloqueados
La nica accin crtica que S1P llea a cabo es el bloqueo de puertos. Un nico puerto bloqueado que por error pasa al estado de eniar puede impactar de orma negatia en gran parte de la red. Una buena orma de limitar el riesgo inherente al uso de S1P es reducir el nmero de puertos bloqueados al mnimo posible.
Depuracin de VTP No se requieren mas de dos enlaces redundantes entre dos nodos de una red conmutada. Sin embargo, la coniguracin mostrada en la igura es muy comn. Los switches de distribucin poseen una conexin doble a dos switches del ncleo, C1 y C2. Los usuarios de los switches S1 y S2 que se conectan a los switches de distribucin se encuentran slo en un subconjunto de las VLAN disponibles en la red. Ln la igura, los usuarios que se conectan al switch D1 se encuentran todos en la VLAN 20, el switch D2 conecta a los usuarios a la VLAN 30. De manera predeterminada, los enlaces troncales transportan todas las VLAN deinidas en el dominio de V1P. Slo el switch D1 recibe traico de broadcast y multicast innecesario para la VLAN 20, pero tambin cuenta con uno de sus puertos bloqueados para la VLAN 30. Lxisten tres rutas redundantes entre los switches C1 y C2 de la capa ncleo. Lsta redundancia tiene como consecuencia mas puertos bloqueados y una mas alta probabilidad de bucles.
Nota: Depure todas las VLAN que no necesite en sus enlaces troncales.
laga clic en el botn Depuracin manual que se muestra en la igura.
Depuracin manual
La depuracin de V1P puede ayudar pero esta uncin no es necesaria en el ncleo de la red. Ln la igura, slo se utiliza una VLAN de acceso para conectar los switches de distribucin al ncleo. Ln este diseno, slo hay un puerto bloqueado por VLAN. Ademas, con este diseno se pueden eliminar todos los enlaces redundantes en un solo paso si desconecta C1 o C2.
Utilice la conmutacin de Capa 3
La conmutacin de Capa 3 implica que el enrutamiento se llea a cabo a la elocidad de la conmutacin. Un router realiza dos unciones principales:
Construye una tabla de enos. Ln general, el router intercambia inormacin con sus pares mediante los protocolos de enrutamiento.
Recibe paquetes y los ena a la interaz correcta en base a la direccin de destino.
Los switches Cisco de niel superior de la Capa 3 ahora pueden realizar esta segunda uncin a la misma elocidad que la uncin de conmutacin de Capa 2. Ln la igura:
No existe penalizacin de elocidad para el salto de enrutamiento y en un segmento adicional entre C1 y C2. Ll switch C1 del ncleo y el switch C2 del ncleo corresponden a la Capa 3. La VLAN 20 y la VLAN 30 ya no poseen puentes entre C1 y C2, de manera que no existe la posibilidad de bucles.
La redundancia an esta presente, con dependencia en los protocolos de enrutamiento de la Capa 3. Ll diseno asegura que la conergencia sea mas rapida que en S1P.
S1P ya no bloquea los puertos, de manera que no existe la posibilidad de bucles de puenteo. Al establecer la VLAN segn la conmutacin de Capa 3 permite que la elocidad sea tan alta como si se contara con puenteo dentro de la VLAN.
Puntos finales
Mantenga S1P aun si no es necesario
Asumiendo que ha eliminado todos los puertos bloqueados de la red y que no existe redundancia sica, se recomienda altamente no deshabilitar S1P.
Ln general, S1P no es muy exigente para el procesador, la conmutacin de paquetes no inolucra a la CPU en la mayora de los switches Cisco. Ademas, las pocas BPDU que se enan en cada enlace no reducen de orma signiicatia el ancho de banda disponible. Sin embargo, si un tcnico comete un error de conexin en un panel de conexin y genera un bucle de manera accidental, la red surira un impacto negatio. Ln general, deshabilitar S1P en una red conmutada no ale el riesgo.
Mantenga el traico uera de la VLAN administratia y no permita que una nica VLAN se expanda por toda la red
Ln general, un switch de Cisco posee una nica direccin IP que lo conecta a una VLAN, conocida como VLAN administratia. Ln esta VLAN, el switch se comporta como unhost IP genrico. Ln particular, todo paquete de broadcast o multicast se ena a la CPU. Una tasa alta de traico de broadcast o multicast en la VLAN administratia puede impactar de orma adersa en la CPU y en su capacidad para procesar las BPDU itales. Por lo tanto, mantenga el traico de usuario uera de la VLAN administratia.
lasta hace poco tiempo no exista manera de eliminar la VLAN 1 de un enlace troncal en una implementacin de Cisco. Ln general, la VLAN 1 cumple la uncin de VLAN administratia, donde todos los switches son accesibles en la misma subred IP. Pese a que es de utilidad, esta coniguracin puede ser peligrosa, ya que un bucle de puenteo en la VLAN 1 aecta a todos los enlaces troncales, lo que puede hacer que toda la red deje de uncionar. Por supuesto, el mismo problema se repite independientemente de la VLAN que se utilice. Intente segmentar los dominios de puenteo mediante los switches de alta elocidad de la Capa 3.
Nota: A partir de la ersin 12.1,11b,L del sotware IOS de Cisco, se puede eliminar la VLAN 1 de los enlaces troncales. La VLAN 1 an existe pero bloquea el traico, lo que eita la posibilidad de bucles.
PUNTOS FINALES
Mantenga S1P incluso si no es necesario. No deshabilite S1P. S1P no es muy exigente para el procesador. Las pocas BPDU eniadas a cada enlace no reducen el ancho de banda. Pero una red de puentes sin S1P puede dejar de uncionar en una raccin de segundo.
Mantenga el trfico fuera de la VLAN administrativa. Una tasa alta de traico de broadcast o multicast en la VLAN administratia produce un eecto aderso sobre la capacidad de la CPU para procesar las BPDU itales. Mantenga el traico de usuario uera de la VLAN administratia.
No permita que una nica VLAN se expanda por toda la red. La VLAN 1 sire como VLAN administratia, donde todos los switches son accesibles en la misma subred IP. Un bucle de puenteo en la VLAN 1 aecta a todos los enlaces troncales y la red puede dejar de uncionar. Segmente los dominios de puenteo mediante los switches de alta elocidad de la Capa 3.
5.4.9 RESOLUCION DE PROBLEMAS DE FUNCIONAMIENTO STP Falla del switch o del enlace
Ln la animacin se puede er que cuando alla un puerto de una red conigurada con S1P, se puede producir una tormenta de broadcast.
Ln el estado inicial de la situacin de alla en S1P, el switch S3 posee un BID menor que S2, en consecuencia el puerto designado entre S3 y S2 es el puerto S0,1 del switch S3. Se considera que el switch S3 posee una "mejor BPDU" que el switch S2.
laga clic en el botn Reproducir de la igura para er la alla en S1P.
Resolucin de problemas ante una falla
Desaortunadamente, no existe ningn procedimiento sistematico para la resolucin de problemas ante una alla con S1P. Lsta seccin resume algunas de las acciones disponibles. La mayora de los pasos se aplican para la resolucin de problemas relacionados con los bucles de puenteo en general. Puede utilizar un enoque mas conencional para identiicar otras allas de S1P que proocan la prdida de la conectiidad. Por ejemplo: puede explorar la ruta que sigue el traico que esta experimentando el problema.
Nota: Ls posible que el acceso dentro de la banda no se encuentre disponible durante un bucle de puenteo. Por ejemplo: es posible que no pueda hacer 1elnet a los dispositios de la inraestructura durante una tormenta de broadcast. Por lo tanto, puede necesitar la conectiidad uera de banda, como el acceso de consola.
Antes de llear a cabo la resolucin de problemas de un bucle de puenteo, debe conocer al menos estos actores:
1opologa de la red de puentes Ubicacin del puente raz Ubicacin de los puertos bloqueados y de los enlaces redundantes
Lste conocimiento es esencial. Para saber lo que debe repararse en la red, necesita saber cmo se e la red cuando unciona de orma correcta. La mayora de los pasos de la resolucin de problemas slo utiliza los comandos show para intentar identiicar situaciones de error. Ll conocimiento de la red ayuda a enocarse en los puertos undamentales en los dispositios clae.
Ll resto de este tema se enoca breemente en dos problemas comunes de spanning tree, un error de coniguracin de Portlast y los inconenientes relacionados con el diametro de la red. Para aprender mas acerca de otros inconenientes con S1P, isite: http:,,www.cisco.com,en,US,tech,tk389,tk621,technologies_tech_note09186a00800951ac.shtml.
Lrror de coniguracin de Portlast
Ln general, slo se habilita Portlast en un puerto o interaz que se conecta a un host. Cuando se enciende el enlace en dicho puerto, el puente salta las primeras etapas del S1A y directamente pasa al modo eniar.
Precaucin: No utilice Portlast en puertos de switch o interaces que se conectan a otros switches, hubs o routers. De otra orma, puede generar un bucle en la red.
Ln este ejemplo, el puerto l0,1 del switch S1 ya se encuentra eniando. Ll puerto l0,2 se ha conigurado de orma errnea con la uncin Portlast. Por lo tanto, cuando se conecta la segunda conexin desde el switch S2 a l0,2 de S1, el puerto pasa a modo eniar de manera automatica y genera un bucle. Lentualmente, uno de los switches eniara una BPDU y proocara la transicin de un puerto al modo de bloqueo. Sin embargo, existe un problema con este tipo de bucle de transicin. Si el traico atrapado en el bucle es muy intenso, el switch puede tener problemas al intentar transmitir de orma adecuada la BPDU que detiene el bucle. Lste problema puede demorar la conergencia de manera considerable o, en algunos casos extremos, puede hacer que la red deje de uncionar.
Aun con una coniguracin de Portlast, el puerto o interaz contina participando en el S1P. Si un switch con una prioridad de puente menor que la del puente raz actio actual se conecta a un puerto o interaz con Portlast conigurado, el mismo puede resultar elegido como puente raz. Lste cambio de puente raz puede aectar de orma adersa a la topologa de S1P actia y puede hacer que la red no est ptima. Para eitar esta situacin, la mayora de los switches Catalyst que ejecutan el sotware IOS de Cisco cuenta con una uncin denominada proteccin de BPDU. La proteccin de BPDU deshabilita un puerto o interaz conigurados con Portlast si los mismos reciben una BPDU.
Para obtener mas inormacin acerca del uso de Portlast en switches que ejecutan el sotware IOS de Cisco, consulte el documento "Using Portlast and Other Commands to lix \orkstation Startup Connectiity Delays," disponible en: http:,,www.cisco.com,en,US,products,hw,switches,ps00,products_tech_note09186a00800b1500.shtml.
Para obtener mas inormacin acerca del uso de la proteccin de BPDU en switches que ejecutan el sotware IOS de Cisco, isite: http:,,www.cisco.com,en,US,tech,tk389,tk621,technologies_tech_note09186a008009482.shtml.
Inconvenientes relacionados con el dimetro de la red
Otro inconeniente del cual no existe demasiada inormacin se relaciona con el diametro de la red conmutada. Los alores conseradores predeterminados para los temporizadores de S1P imponen un diametro maximo de red de siete.Ln la igura, este diseno crea un diametro de red de ocho. Ll diametro de red maximo restringe la distancia que puede existir entre los switches de la red. Ln este caso, no puede haber mas de ocho saltos entre dos switches distintos. Parte de esta restriccin se obtiene del campo de antigedad que transporta la BPDU.
Cuando una BPDU se propaga desde el puente raz hacia las hojas del arbol, el campo de antigedad se incrementa cada ez que la misma atraiesa un switch. Lentualmente, el switch descarta la BPDU cuando el campo de antigedad llega a la antigedad maxima. Si la raz se encuentra demasiado lejos de algunos switches de la red, las BPDU se descartan. Lste inconeniente aecta a la conergencia del spanning tree.
Se debe tener mucho cuidado si se planea cambiar los alores predeterminados de los temporizadores de S1P. Se corre peligro si se intenta agilizar la conergencia de esta manera. Un cambio de temporizador de S1P impacta en el diametro de la red y en la estabilidad de S1P. Se puede cambiar la prioridad del switch para seleccionar el puente raz y el parametro de costo o prioridad de puerto para controlar la redundancia y el balanceo de carga.
Ll proceso de enrutamiento requiere del dispositio de origen para determinar si el dispositio de destino es local o remoto con respecto a la subred local. Ll dispositio de origen realiza esta accin comparando las direcciones de origen y destino con la mascara de subred. Una ez que se determin que la direccin de destino esta en una red remota, el dispositio de origen debe identiicar si es necesario reeniar el paquete para alcanzar el dispositio de destino. Ll dispositio de origen examina la tabla de enrutamiento local para determinar si es necesario eniar los datos. Generalmente, los dispositios utilizan los gateways predeterminados como destino para todo el traico que necesita abandonar la subred local. Ll gateway predeterminado es la ruta que el dispositio utiliza cuando no tiene otra ruta explcitamente deinida hacia la red de destino. La interaz del router en la subred local acta como el gateway predeterminado para el dispositio emisor.
Una ez que el dispositio de origen determin que el paquete debe iajar a tras de la interaz del router local en la VLAN conectada, el dispositio de origen ena una solicitud de ARP para determinar la direccin MAC de la interaz del router local. Una ez que el router reena la respuesta ARP al dispositio de origen, ste puede utilizar la direccin MAC para inalizar el entramado del paquete, antes de eniarlo a la red como traico unicast.
Dado que la trama de Lthernet tiene la direccin MAC de destino de la interaz del router, el switch sabe exactamente a qu puerto del switch reeniar el traico unicast para alcanzar la interaz del router en dicha VLAN. Cuando la trama llega al router, el router elimina la inormacin de la direccin MAC de origen y destino para examinar la direccin IP de destino del paquete. Ll router compara la direccin de destino con las entradas en la tabla de enrutamiento para determinar si es necesario reeniar los datos para alcanzar el destino inal. Si el router determina que la red de destino es una red conectada en orma local, como sera el caso en el enrutamiento inter VLAN, el router ena una solicitud de ARP uera de la interaz conectada sicamente a la VLAN de destino. Ll dispositio de destino responde al router con la direccin MAC, la cual luego utiliza el router para entramar el paquete. Ll router ena el traico unicast al switch, que lo reena por el puerto donde se encuentra conectado el dispositio de destino.
laga clic en el botn Reproducir que se muestra en la igura para er cmo se realiza el enrutamiento tradicional.
Aunque existen muchos pasos en el proceso de enrutamiento inter VLAN cuando dos dispositios en dierentes VLAN se comunican a tras de un router, el proceso completo se produce en una raccin de segundo.
Para superar las limitaciones de hardware del enrutamiento inter VLAN basado en interaces sicas del router, se utilizan subinteraces irtuales y enlaces troncales, como en el ejemplo del router-on-a-stick descrito anteriormente. Las subinteraces son interaces irtuales basadas en sotware asignadas a interaces sicas. Cada subinteraz se conigura con su propia direccin IP, mascara de subred y asignacin de VLAN nica, permitiendo que una interaz sica nica sea parte en orma simultanea de mltiples redes lgicas. Lsto resulta til cuando se realiza el enrutamiento inter VLAN en redes con mltiples VLAN y pocas interaces sicas del router.
Al conigurar el enrutamiento inter VLAN mediante el modelo router-on-a-stick, la interaz sica del router debe estar conectada al enlace troncal en el switch adyacente. Las subinteraces se crean para cada VLAN,subred nica en la red. A cada subinteraz se le asigna una direccin IP especica a la subred de la cual sera parte y se conigura en tramas con etiqueta de la VLAN para la VLAN con la cual interactuara la interaz. De esa manera, el router puede mantener separado el traico de cada subinteraz a medida que atraiesa el enlace troncal hacia el switch.
luncionalmente, el modelo router-on-a-stick para el enrutamiento inter VLAN es el mismo que se utiliza para el modelo de enrutamiento tradicional, pero en lugar de utilizar las interaces sicas para realizar el enrutamiento, se utilizan las subinteraces de una interaz nica.
Analicemos un ejemplo. Ln la igura, PC1 desea comunicarse con PC3. PC1 esta en la VLAN10 y PC3 esta en la VLAN30. Para que PC1 se comunique con PC3, PC1 necesita tener los datos enrutados a tras del router R1 mediante las subinteraces coniguradas.
laga clic en el botn Reproducir que se muestra en la igura para er cmo se utilizan las subinteraces para enrutar entre las VLAN.
Coniguracin de la subinteraz La coniguracin de las subinteraces del router es similar a la coniguracin de las interaces sicas, excepto que es necesario crear la subinteraz y asignarla a una VLAN.
Ln el ejemplo, ingrese el comando interace 0,0.10 en el modo de coniguracin global para crear la subinteraz del router. La sintaxis para la subinteraz es siempre la interaz sica, en este caso 0,0, seguida de un punto y un nmero de subinteraz. Ll nmero de la subinteraz es conigurable, pero generalmente esta asociado para relejar el nmero de VLAN. Ln el ejemplo, las subinteraces utilizan 10 y 30 como nmeros de subinteraz para recordar con mas acilidad las VLAN a las que se encuentran asociadas. La interaz sica esta especiicada porque puede haber mltiples interaces en el router, cada una conigurada para admitir muchas subinteraces.
Antes de asignar una direccin IP a una subinteraz, es necesario conigurar la subinteraz para que uncione en una VLAN especica mediante el comando encapsulation dot1q lan id. Ln el ejemplo, la subinteraz la0,0.10 esta asignada a la VLAN10. Una ez asignada la VLAN, el comando ip address 12.1.10.1 255.255.255.0 asigna la subinteraz a la direccin IP apropiada para esa VLAN.
A dierencia de una interaz sica tpica, las subinteraces no estan habilitadas con el comando no shutdown en el niel de modo de coniguracin de la subinteraz del sotware IOS de Cisco. Sin embargo, cuando la interaz sica esta habilitada con el comando no shutdown, todas las subinteraces coniguradas estan habilitadas. De manera similar, si la interaz sica esta deshabilitada, todas las subinteraces estan deshabilitadas.
laga clic en el botn 1abla de enrutamiento que se muestra en la igura para er un ejemplo de una tabla de enrutamiento cuando las subinteraces estan coniguradas.
Resultado de la tabla del router Como muestra la igura, las rutas deinidas en la tabla de enrutamiento indican que estan asociadas con las subinteraces especicas, en lugar de las interaces sicas separadas.
Una entaja de utilizar un enlace troncal es que se reduce el nmero de puertos del switch y del router. Lsto no slo permite un ahorro de dinero sino tambin reduce la complejidad de la coniguracin. Como consecuencia, el enoque de la subinteraz del router puede ampliarse hasta un nmero mucho mas alto de VLAN que una coniguracin con una interaz sica por diseno de VLAN.
Como hemos analizado, tanto las interaces sicas como las subinteraces se utilizan para realizar el enrutamiento inter VLAN. Lstas son las entajas y desentajas de cada mtodo.
Lmites del puerto Las interaces sicas estan coniguradas para tener una interaz por VLAN en la red. Lnlas redes con muchas VLAN, no es posible utilizar un nico router para realizar el enrutamiento inter VLAN. Los routers tienen limitaciones sicas para eitar que contengan una gran cantidad de interaces sicas. Sin embargo, si es una prioridad eitar el uso de subinteraces, puede utilizar mltiples routers para realizar el enrutamiento inter VLAN para todas las VLAN.
Las subinteraces permiten ampliar el router para acomodar mas VLAN que las permitidas por las interaces sicas. Ll enrutamiento inter VLAN en grandes ambientes con muchas VLAN puede acomodarse mejor si se utiliza una interaz sica nica con muchas subinteraces.
Rendimiento
Debido a que no existe contencin para ancho de banda en interaces sicas separadas, las interaces sicastienen un mejor rendimiento cuando se las compara con el uso de subinteraces. Ll traico de cada VLAN conectada tiene acceso al ancho de banda completo de la interaz sica del router conectado a dicha VLAN para el enrutamiento inter VLAN.
Cuando se utilizan subinteraces para el enrutamiento inter VLAN, el traico que se esta enrutando compite por ancho de banda en la interaz sica nica. Ln una red ocupada, esto puede causar un cuello de botella en la comunicacin. Para balancear la carga de traico en una interaz sica, las subinteraces se coniguran en mltiples interaces sicas, lo que da como resultado una menor contencin entre el traico de la VLAN.
6.2.2 CONFIGURAR EL ENRUTAMIENTO INTER VLAN DEL ROUTER-ON-A-STICK.- Antes de conigurar el router, conigure el switch al cual ste se conectara.
Como muestra la igura, el router R1 esta conectado al switch S1 en el puerto de enlace troncal l0,5. 1ambin se agregaron las VLAN 10 y 30 al switch S1.
laga clic en el botn Coniguracin del switch que se muestra en la igura para er un ejemplo de coniguracin del switch.
Para reisar, las VLAN se crean en el modo de coniguracin global mediante el comando vlan lan id. Ln este ejemplo, las VLAN 10 y 30 se crearon en el switch S1 con los comandos vlan 10 y vlan 30.
Dado que el puerto del switch l0,5 se conigura como un puerto de enlace troncal, el usuario no tiene que asignar ninguna VLAN al puerto. Para conigurar el puerto del switch l0,5 como un puerto de enlace troncal, ejecute el comando switchport mode trunk en el modo de coniguracin de la interaz, en la interaz l0,5. No puede utilizar los comandos switchport mode dynamic auto o switchport mode dynamic desirable porque el router no admite el protocolo de enlace troncal dinamico.
linalmente, para proteger la coniguracin y no perderla despus de una recarga del switch, se ejecuta el comando copy running-config startup-config en el modo LXLC priilegiado para guardar una copia de seguridad de la coniguracin en ejecucin en la coniguracin de inicio.
laga clic en el botn Coniguracin del router que se muestra en la igura para er un ejemplo de coniguracin del router.
Coniguracin del router
A continuacin, se puede conigurar el router para realizar el enrutamiento inter VLAN.
Como muestra la igura, la coniguracin de mltiples subinteraces es dierente a cuando se utilizan interaces sicas.
Cada subinteraz se crea con el comando interace interace_id.Subinterace_id en el modo de coniguracin global.Ln este ejemplo, la subinteraz la0,0.10 se crea mediante el comando interace a0,0.10 en el modo de coniguracin global. Una ez creada la subinteraz, se asigna el ID de la VLAN mediante el comando encapsulation dot1q lan_id en el modo de coniguracin de la subinteraz.
A continuacin, asigne la direccin IP para la subinteraz mediante el comando ip address ip_address subnet_mask en el modo de coniguracin de la subinteraz. Ln este ejemplo, la subinteraz l0,0.10 es asignada a la direccin IP 12.1.10.1 mediante el comando ip address 12.1.10.1 255.255.255.0. No es necesario que ejecute un comando no shutdown en el niel de la subinteraz porque ste no habilita la interaz sica.
Lste proceso se repite para todas las subinteraces del router necesarias para enrutar entre las VLAN coniguradas en la red. Ls necesario asignar una direccin IP a cada subinteraz del router en una subred nica para que tenga lugar el enrutamiento. Ln este ejemplo, se conigur la otra subinteraz del router, l0,0.30, para utilizar la direccin IP 12.1.30.1, que esta en una subred dierente a la subinteraz l0,0.10.
Una ez coniguradas todas las subinteraces en la interaz sica del router, se habilita la interaz sica. Ln el ejemplo, la interaz l0,0 tiene ejecutado el comando no shutdown para habilitar la interaz, la cual habilita todas las subinteraces coniguradas.
Los routers Cisco estan conigurados de manera predeterminada para enrutar el traico entre las subinteraces locales. Por lo tanto, no es necesario que est habilitado el enrutamiento.
Tabla de enrutamiento
Luego, examine la tabla de enrutamiento mediante el comando show ip route en el modo LXLC priilegiado. Ln el ejemplo, hay dos rutas en la tabla de enrutamiento. Una ruta es la subred 12.1.10.0, que esta conectada a la subinteraz local l0,0.10. La otra ruta es la subred 12.1.30.0, que esta conectada a la subinteraz local l0,0.30. Ll router utiliza la tabla de enrutamiento para determinar dnde eniar el traico que recibe. Por ejemplo: si el router recibe un paquete en la
subinteraz l0,0.10 destinado a la subred 12.1.30.0, el router identiicara que debe eniar el paquete uera de la subinteraz l0,0.30 para alcanzar los hosts en la subred 12.1.30.0.
laga clic en el botn Veriicar coniguracin del router que se muestra en la igura para er un ejemplo de coniguracin del router.
Veriicar coniguracin del router
Para eriicar la coniguracin del router, utilice el comando show running-conig en el modo LXLC priilegiado. Ll comando show running-conig muestra la coniguracin operatia actual del router. Obsere cuales son las direcciones IP coniguradas para cada subinteraz del router, as como tambin si la interaz sica qued deshabilitada o habilitada, mediante el comando no shutdown.
Ln este ejemplo, obsere que la interaz l0,0.10 se conigur correctamente con la direccin IP 12.1.10.1. Ademas, obsere la ausencia del comando shutdown debajo de la interaz l0,0. La ausencia del comando shutdown coni rma que se ejecut el comando no shutdown y se habilit la interaz.
Puede obtener inormacin mas detallada sobre las interaces del router, como inormacin de diagnstico, estado, direccin MAC y errores de transmisin y recepcin, mediante el comando show interace en el modo LXLC priilegiado.
Una ez conigurados el router y el switch para realizar el enrutamiento inter VLAN, el siguiente paso es eriicar que el router uncione correctamente. Puede probar el acceso a los dispositios en las VLAN remotas utilizando el comando ping.
Para el ejemplo que se muestra en la igura, debe iniciar un ping y un tracert desde PC1 hacia la direccin de destino de PC3.
Prueba de ping
Ll comando ping ena una solicitud de eco del ICMP a la direccin de destino. Cuando un host recibe una solicitud de eco del ICMP, ste responde con una respuesta de eco del ICMP para conirmar que recibi dicha solicitud. Ll comando ping calcula el tiempo transcurrido, para lo cual utiliza la dierencia de tiempo entre el momento en que se eni el ping y el momento en que se recibi la respuesta de eco. Ll tiempo transcurrido se utiliza para determinar la latencia de la conexin. Al recibir una respuesta con xito, conirma que existe una ruta entre el dispositio emisor y el dispositio receptor.
Prueba del tracert
1racert es una utilidad practica utilizada para conirmar la ruta enrutada tomada entre dos dispositios. Ln los sistemas UNIX, la utilidad esta especiicada por traceroute. 1racert tambin utiliza el ICMP para determinar la ruta tomada, pero utiliza las solicitudes de eco del ICMP con alores de tiempo de ida especicos deinidos en la trama.
Ll alor de tiempo de ida determina con exactitud la cantidad de saltos del router que el eco del ICMP puede alcanzar. La primera solicitud de eco del ICMP se ena con un alor de tiempo de ida conigurado para expirar en el primer router en la ruta hacia el dispositio de destino.
Cuando la solicitud de eco del ICMP expira en la primera ruta, se reena una conirmacin desde el router al dispositio de origen. Ll dispositio registra la respuesta desde el router y procede a eniar otra solicitud de eco del ICMP, pero esta ez con un alor de tiempo de ida mayor. Lsto permite a la solicitud de eco del ICMP atraesar el primer router y llegar al segundo dispositio en la ruta hacia el destino inal. Ll proceso se repite hasta que inalmente se ena la solicitud de eco del ICMP hacia el dispositio de destino inal. Una ez que la utilidad tracert deja de uncionar, se le presenta al usuario una lista de todas las interaces del router que la solicitud de eco del ICMP alcanz hasta llegar al destino.
laga clic en el botn Resultados del dispositio que se muestra en la igura para er una muestra del resultado de los comandos ping y tracert.
Ln el ejemplo, la utilidad ping pudo eniar una solicitud de eco del ICMP a la direccin IP del PC3. Ademas, la utilidad tracert conirma que la ruta a PC3 es a tras de la direccin IP de la subinteraz 12.1.10.1 del router R1.
6.3 RESOLUCION DE PROBLEMAS DE ENRUTAMIENTO ENTRE VLAN.- 6.3.1 TEMAS DE CONFIGURACION DEL SWITCH.- Ln este tema analizamos los retos asociados con la coniguracin de mltiples VLAN en una red. Lste tema explora los problemas comunes y describe los mtodos de resolucin de problemas para identiicarlos y corregirlos.
Al utilizar el modelo de enrutamiento tradicional para el enrutamiento inter VLAN, asegrese de que los puertos del switch que conectan a las interaces del router estn conigurados en las VLAN correctas. Si los puertos del switch no estan conigurados en la VLAN correcta, los dispositios conigurados en dicha VLAN no pueden conectarse a la interaz del router y en consecuencia no pueden enrutarse a las demas VLAN.
laga clic en el botn 1opologa 1 que se muestra en la igura.
Como puede er en 1opologa 1, PC1 y la interaz l0,0 del router R1 estan conigurados para estar en la misma subred lgica, como lo indica la asignacin de la direccin IP. Sin embargo, el puerto del switch l0,4 que conecta a la interaz l0,0 del router R1 no se conigur y permanece en la VLAN predeterminada. Dado que el router R1 esta en una VLAN dierente que PC1, no pueden comunicarse.
Para corregir este problema, ejecute el comando switchport access lan 10 en la coniguracin de la interaz en el puerto del switch l0,4 en el switch S1. Cuando el puerto del switch esta conigurado para la VLAN correcta, PC1 puede comunicarse con la interaz l0,0 del router R1, que le permite acceder a las otras VLAN conectadas al router R1.
laga clic en el botn 1opologa 2 que se muestra en la igura para er otro problema en la coniguracin del switch.
Ln 1opologa 2, se eligi el modelo de enrutamiento del router-on-a-stick. Sin embargo, la interaz l0,5 en el switch S1 no esta conigurada como un enlace troncal y posteriormente se le dej en la VLAN predeterminada para el puerto. Como consecuencia, el router no puede uncionar correctamente porque cada una de las subinteraces coniguradas no puede eniar o recibir el traico etiquetado de la VLAN. Lsto eita que todas las VLAN coniguradas desde el enrutamiento a tras del router R1 lleguen a las demas VLAN.
Para corregir este problema, ejecute el comando switchport mode trunk en la coniguracin de la interaz en el puerto del switch l0,5 en el switch S1. Lsto conierte a la interaz en enlace troncal, lo que le permite a ste establecer con xito una conexin con el router R1. Una ez establecido el enlace troncal en orma exitosa, los dispositios conectados a cada una de las VLAN pueden comunicarse con la subinteraz asignada a su VLAN, permitiendo, de esta manera, que tenga lugar el enrutamiento inter VLAN.
laga clic en el botn 1opologa 3 que se muestra en la igura para er otro problema en la coniguracin del switch.
Ln 1opologa 3, el enlace troncal entre el switch S1 y el switch S2 esta cado. Dado que no hay una conexin o ruta redundante entre los dispositios, todos los dispositios conectados al switch S2 no pueden llegar al router R1. Por lo tanto, todos los dispositios conectados al switch S2 no pueden enrutar con otras VLAN a tras del router R1.
Para reducir el riesgo de que acontezca un enlace inter switch allado, y de esta manera interrumpa el enrutamiento inter VLAN, deben conigurarse los enlaces redundantes y las rutas alternatias entre el switch S1 y el switch S2. Los enlaces redundantes se coniguran en orma de un LtherChannel que protege contra una alla de enlace nico. La tecnologa LtherChannel de Cisco le permite agregar mltiples enlaces sicos a un enlace lgico. Lsto puede proporcionar hasta 80 Gb,s de ancho de banda agregado con 10 Gigabit LtherChannel.
Ademas, se pueden conigurar las rutas alternatias a tras de otros switches interconectados. Lste enoque depende del protocolo spanning tree ,S1P, para eitar la posibilidad de bucles dentro del ambiente del switch. Puede haber una pequena disrupcin en el acceso al router mientras el S1P determina si el enlace actual esta cado y encuentra una ruta alternatia.
Ll currculo CCNP dirige la tecnologa LtherChannel, ademas, para obtener mas inormacin sobre la tecnologa LtherChannel de Cisco, isite: http:,,www.cisco.com,en,US,tech,tk389,tk213,technologies_white_paper09186a0080092944.shtml.
Para obtener mas inormacin sobre la coniguracin de LtherChannel en un switch Catalyst 2960 de Cisco, isite: http:,,www.cisco.com,en,US,products,ps6406,products_coniguration_guide_chapter09186a0080852d9.html.
Comandos IOS del switch Cisco
Cuando sospeche que hay un problema con una coniguracin del switch, utilice los distintos comandos de eriicacin para examinar la coniguracin e identiicar el problema.
laga clic en el botn Asignacin incorrecta de una VLAN que se muestra en la igura.
La pantalla muestra los resultados del comando show interace interace-id switchport. Supongamos que ejecut estos comandos porque sospecha que la VLAN 10 no se asign al puerto l0,4 en el switch S1. Ll area superior resaltada muestra que el puerto l0,4 en el switch S1 esta en el modo de acceso, pero no muestra que se asign directamente a la VLAN 10. Ll area inerior resaltada conirma que el puerto l0,4 an esta conigurado en la VLAN predeterminada. Los comandos show running-conig y show interace interace-id switchport son tiles para identiicar las asignaciones de la VLAN y los problemas de coniguracin del puerto.
laga clic en el botn Modo de acceso incorrecto que se muestra en la igura.
Despus de un esuerzo de reconiguracin, se detuo la comunicacin entre el router R1 y el switch S1. Se supone que el enlace entre el router y el switch es un enlace troncal. La pantalla muestra los resultados de los comandos show interace interace-id switchport y show running-conig. Ll area superior resaltada conirma que el puerto l0,4 en el switch S1 esta en el modo de acceso, no en el modo de enlace troncal. Ll area inerior resaltada tambin conirma que el puerto l0,4 se conigur para el modo de acceso.
6.3.2 TEMAS DE CONFIGURACION DE ROUTER.- Uno de los errores de coniguracin del router inter VLAN mas comunes es conectar la interaz sica del router al puerto del switch incorrecto, ya que la coloca en la VLAN incorrecta y eita que llegue a las demas VLAN.
Como puede er en 1opologa 1, la interaz l0,0 del router R1 esta conectada al puerto l0,9 del switch S1. Ll puerto del switch l0,9 esta conigurado para la VLAN predeterminada, no para la VLAN10. Lsto eita que PC1 pueda comunicarse con la interaz del router y, en consecuencia, enrutarse con la VLAN30.
Para corregir este problema, conecte sicamente la interaz l0,0 del router R1 al puerto l0,4 del switch S1. Lsto coloca la interaz del router en la VLAN correcta y permite que uncione el enrutamiento inter VLAN. Otra alternatia es cambiar la asignacin de la VLAN del puerto del switch l0,9 para que est en la VLAN10. Lsto tambin permite a PC1 comunicarse con la interaz l0,0 del router R1.
laga clic en el botn 1opologa 2 que se muestra en la igura para er otro problema en la coniguracin del router.
Ln 1opologa 2, el router R1 se conigur para utilizar la VLAN incorrecta en la subinteraz l0,0.10, eitando que los dispositios conigurados en la VLAN10 se comuniquen con la subinteraz l0,0.10. Luego, eita que dichos dispositios puedan enrutarse con otras VLAN en la red.
Para corregir este problema, conigure la subinteraz l0,0.10 en la VLAN correcta mediante el comando encapsulation dot1q 10 en el modo de coniguracin de la subinteraz. Una ez asignada la subinteraz a la VLAN correcta, se puede acceder por medio de los dispositios a esa VLAN y realizar el enrutamiento inter VLAN.
Verificar la configuracin del router
Ln este escenario de resolucin de problemas, el usuario sospecha que hay un problema con el router R1. La subinteraz l0,0.10 debe permitir el acceso al traico de la VLAN 10 y la subinteraz l0,0.30 debe permitir el traico de la VLAN 30. La captura de pantalla muestra los resultados de la ejecucin de los comandos show interace y show running-conig.
La seccin superior resaltada muestra que la subinteraz l0,0.10 en el router R1 utiliza la VLAN 100. Ll comando show interace produce muchos resultados, y esto diiculta la isin del problema.
Ll comando show running-conig conirma que la subinteraz l0,0.10 en el router R1 se conigur para permitir el acceso al traico de la VLAN 100 y no de la VLAN 10. Quizas esto ue un error de mecanograa.
Con la correcta eriicacin, los problemas de coniguracin del router se resuelen rapidamente, lo que permite que el enrutamiento inter VLAN uncione bien nueamente. Recuerde que las VLAN estan conectadas directamente, siendo sta la manera en que ingresan a la tabla de enrutamiento.
6.3.3 TEMAS DE DIRECCIONAMIENTO IP.- Como analizamos, las subredes son la clae para implementar el enrutamiento inter VLAN. Las VLAN corresponden a subredes nicas en la red. Para que el enrutamiento inter VLAN uncione, es necesario conectar un router a todas las VLAN, ya sea por medio de interaces sicas separadas o subinteraces de enlace troncal. 1oda interaz o subinteraz necesita que se le asigne una direccin IP que corresponda a la subred para la cual esta conectada. Lsto permite que los dispositios en la VLAN se comuniquen con la interaz del router y habiliten el enrutamiento del traico a otras VLAN conectadas al router.
Lxaminemos algunos errores comunes.
Como puede er en 1opologa 1, el router R1 se conigur con una direccin IP incorrecta en la interaz l0,0. Lsto eita que PC1 pueda comunicarse con el router R1 en la VLAN10.
Para corregir este problema, asigne la direccin IP correcta a la interaz l0,0 del router R1 mediante el comando ip address 12.1.10.1 255.255.255.0 en el modo de coniguracin de la interaz. Una ez asignada la interaz del router a la direccin IP correcta, PC1 puede utilizar la interaz como un gateway predeterminado para acceder a las otras VLAN.
laga clic en el botn 1opologa 2 que se muestra en la igura para er otro problema en la coniguracin de la direccin IP.
Ln 1opologa 2, PC1 se conigur con la direccin IP incorrecta para la subred asociada con la VLAN10. Lsto eita que PC1 pueda comunicarse con el router R1 en la VLAN10.
Para corregir este problema, asigne la direccin IP correcta a PC1. Segn el tipo de computadora que utilice, los detalles de coniguracin pueden ser dierentes.
laga clic en el botn 1opologa 3 que se muestra en la igura para er otro problema en la coniguracin de la direccin IP.
Ln 1opologa 3, PC1 se conigur con la mascara de subred incorrecta. Segn la mascara de subred conigurada para PC1, PC1 esta en la red 12.1.0.0. Lsto da como resultado que PC1 determine que PC3, con la direccin IP 12.1.30.23, esta en la subred local. Por lo tanto, PC1 no reena el traico destinado a PC3 a la interaz l0,0 del router R1. Lntonces, el traico nunca llega a PC3.
Para corregir este problema, cambie la mascara de subred en PC1 a 255.255.255.0. Segn el tipo de computadora que utilice, los detalles de coniguracin pueden ser dierentes.
Comandos de verificacin
Antes aprendi que toda interaz, o subinteraz, necesita que se le asigne una direccin IP que corresponda a la subred para la cual esta conectada. Un error comn es conigurar incorrectamente una direccin IP para una subinteraz. La captura de pantalla muestra los resultados del comando show running-conig. Ll area resaltada muestra que la subinteraz l0,0.10 en el router R1 tiene una direccin IP de 12.1.20.1. La VLAN para esta subinteraz debe permitir el traico de la VLAN 10. lay una direccin IP que se conigur incorrectamente. Ll comando show ip interace es otro comando til. La segunda area resaltada muestra la direccin IP incorrecta.
laga clic en el botn Problema en el direccionamiento IP de la computadora.
Algunas eces es el dispositio de usuario inal, como por ejemplo una computadora personal, el que ocasiona el problema. Ln la coniguracin de pantalla de la computadora PC1, la direccin IP es 12.1.20.21, con una mascara de subred de 255.255.255.0. Pero en este escenario, PC1 debe estar en la VLAN10, con una direccin de 12.1.10.21 y una mascara de subred de 255.255.255.0.
CAPITULO VII CONCEPTOS Y CONFIGURACION BSICOS DE LA CONEXIN INALMBRICA
7.0 INTRODUCCIN DEL CAPITULO.- 7.0.1 INTRODUCCIN DEL CAPITULO.- Ln los captulos anteriores, aprendi cmo las unciones del switch pueden acilitar la interconexin de dispositios en una red conectada por cable. Las redes comerciales tpicas hacen uso extensio de las redes conectadas por cable. Las conexiones sicas se realizan entre sistemas de computacin, sistemas de telono y otros dispositios periricos a switches ubicados en los armarios de cableado.
Administrar una inraestructura de cableado puede ser desaiante. Considere qu sucede cuando un trabajador decide que preiere ubicar su sistema de computacin en otro lugar de su oicina, o cuando un administrador quiere llear su computadora portatil a la sala de conerencias y conectarse a la red desde all. Ln una red conectada por cable, necesitara moer el cable de conexin de la red a una nuea ubicacin en la oicina del trabajador y asegurarse de que exista una conexin de red disponible en la sala de conerencias. Cada ez son mas comunes las redes inalambricas para eitar estos cambios sicos.
Ln este captulo, aprendera cmo las redes inalambricas de area local ,\LAN, orecen un entorno de red lexible a las empresas. Aprendera los distintos estandares inalambricos que estan disponibles hoy y las caractersticas que cada estandar orece. Aprendera qu componentes de hardware son usualmente necesarios en una inraestructura inalambrica, cmo operan las \LAN y cmo asegurarlas. linalmente, aprendera a conigurar un punto de acceso inalambrico y un cliente inalambrico.
7.1 LAN INALMBRICA.- 7.1.1 POR QU UTIULIZAR INALMBRICA?.- Por qu las LAN inalmbricas se han vuelto tan populares?
Las redes comerciales actuales eolucionan para dar soporte a la gente que esta en continuo moimiento. Lmpleados y empleadores, estudiantes y docentes, agentes del gobierno y aquellos a quienes siren, aicionados a los deportes y compradores estan todos en continuo moimiento y muchos de ell os estan "conectados". 1al ez usted tiene un telono celular al que ena mensajes instantaneos cuando se encuentra lejos de su computadora. Lsta es la isin de ambiente mil donde las personas pueden llear su conexin a la red consigo cuando se trasladan.
lay muchas inraestructuras dierentes ,LAN conectada por cable, redes del proeedor de sericios, que permiten que exista este tipo de moilidad, pero en un ambiente de negocios, lo mas importante es la \LAN.
La productiidad ya no esta restringida a una ubicacin de trabajo ija o a un perodo de tiempo deinido. Las personas esperan ahora estar conectadas en cualquier momento y en cualquier lugar, desde la oicina hasta el aeropuerto o incluso en el hogar. Los empleados que iajan solan estar restringidos a utilizar telonos pblicos para eriicar sus mensajes y para deoler algunas llamadas telenicas entre uelos. Ahora pueden eriicar su correo electrnico, correo de oz y estado de los productos en asistentes personales digitales ,PDA, mientras estan en ubicaciones temporales dierentes.
Muchas personas cambiaron su orma de iir y aprender en el hogar. Internet es un sericio estandar en muchos hogares, junto con el sericio de 1V y telono. Incluso el mtodo para acceder a Internet cambi de sericio temporal de discado a mdem a DSL dedicado o sericio por cable. Los usuarios domsticos buscan muchas de las mismas soluciones lexibles inalambricas que buscan los trabajadores de oicina. Por primera ez, en 2005, se compraron mas computadoras portatiles con \i-li habilitado que computadoras personales ijas.
Ademas de la lexibilidad que orecen las \LAN, el costo reducido es un beneicio importante. Por ejemplo: con una inraestructura inalambrica ya ubicada, se ahorra al moerse una persona dentro del ediicio, al reorganizar un laboratorio, o al moerse a ubicaciones temporarias o sitios de proyectos. Ln promedio, el costo de I1 de moer a un empleado a una nuea ubicacin dentro del sitio es de >35 ,USD,.
Otro ejemplo es cuando la compana se muda a un nueo ediicio que no tiene ninguna inraestructura de cableado. Ln este caso, el ahorro resultante de utilizar las \LAN puede ser incluso mas notorio, dado que se eita el gran costo de pasar cables a tras de paredes, techos y suelos.
Aunque es dicil de medir, las \LAN pueden dar como resultado una mejor productiidad y empleados mas relajados, y as obtener mejores resultados para los clientes y mayores ingresos.
LAN inalmbricas
Ln los captulos anteriores, aprendi sobre unciones y tecnologas de switch. Muchas redes de negocios actuales dependen de las LAN basadas en switch para las operaciones diarias dentro de las oicinas. Sin embargo, los trabajadores son cada ez mas miles y desean mantener el acceso a los recursos de LAN de sus negocios desde otras ubicaciones ademas de sus escritorios. Los trabajadores en la oicina desean llear sus computadoras portatiles a reuniones o a la oicina de sus colegas. Cuando se utiliza una computadora portatil en otra ubicacin, no es coneniente depender de una conexin conectada por cable. Ln este tema, aprendera acerca de las LAN inalambricas y cmo beneician a su negocio. 1ambin explorara las consideraciones de seguridad asociadas con las \LAN.
Las comunicaciones portatiles se conirtieron en una expectatia en muchos pases alrededor del mundo. Puede er moilidad y portabilidad en todo, desde teclados inalambricos y audonos, hasta telonos satelitales y sistemas de posicionamiento global ,GPS,. La mezcla de tecnologas inalambricas en dierentes tipos de redes permite que los trabajadores tengan moilidad.
laga clic en el botn de LAN inalambricas en la igura.
Puede er que la \LAN es una extensin de la LAN Lthernet. La uncin de la LAN se ha uelto mil. Aprendera acerca de la tecnologa \LAN y los estandares detras de la moilidad que permiten a las personas continuar con una conerencia mientras caminan, en el taxi o en el aeropuerto.
Comparacin entre una WLAN y una LAN
Las LAN inalambricas comparten un origen similar con las LAN Lthernet. Ll ILLL adopt la cartera 802 LAN,MAN de estandares de arquitectura de red de computadoras. Los dos grupos de trabajo 802 dominantes son 802.3 Lthernet y ILLL 802.11 LAN inalambrica. Sin embargo, hay dierencias importantes entre ellos.
Las \LAN utilizan recuencias de radio ,Rl,, en lugar de cables en la Capa sica y la sub-capa MAC de la Capa de enlace de datos. Comparada con el cable, la Rl tiene las siguientes caractersticas:
La Rl no tiene lmites, como los lmites de un cable enuelto. La alta de dicho lmite permite a las tramas de datos iajar sobre el medio Rl para estar disponibles para cualquiera que pueda recibir la senal Rl. La senal Rl no esta protegida de senales exteriores, como s lo esta el cable ensu enoltura aislante. Las radios que uncionan independientemente en la misma area geograica, pero que utilizan la misma Rl o similar, pueden intererirse mutuamente. La transmisin Rl esta sujeta a los mismos desaos inherentes a cualquier tecnologabasada en ondas, como la radio comercial. Por ejemplo: a medida que usted se aleja del origen, puede or estaciones superpuestas una sobre otra o escuchar estatica en la transmisin. Con el tiempo, puede perder la senal por completo. Las LAN conectadas ti enen cables que son del largo apropiado para mantener la uerza de la senal. Las bandas Rl se regulan en orma dierente en cada pas. La utilizacin de las \LAN esta sujeta a regulaciones adicionales y a conjuntos de estandares que no se aplican a las LAN conectadas por cable.
Las \LAN conectan a los clientes a la red a tras de un punto de acceso inalambrico ,AP, en lugar de un switch Lthernet.
Las \LAN conectan los dispositios miles que, en general, estan alimentados por batera, en lugar de los dispositios enchuados de la LAN. Las tarjetas de interaz de la red inalambrica ,NIC, tienden a reducir la ida de la batera de un dispositio mil.
Las \LAN admiten hosts que se disputan el acceso a los medios Rl ,bandas de recuencia,. 802.11 recomienda la preencin de colisiones, en lugar de la deteccin de colisiones para el acceso a medios, para eitar -en orma proactia- colisiones dentro del medio.
Las \LAN utilizan un ormato de trama dierente al de las LAN Lthernet conectadas por cable. Las \LAN requieren inormacin adicional en el encabezado de la Capa 2 de la trama.
Las \LAN tienen mayores inconenientes de priacidad debido a que las recuencias de radio pueden salir uera de las instalaciones.
Introduccin de las LAN inalmbricas
Las LAN inalambricas 802.11 extienden las inraestructuras LAN Lthernet 802.3 para proeer opciones adicionales de conectiidad. Sin embargo, se utilizan componentes y protocolos adicionales para completar las conexiones inalambricas.
Ln una LAN Lthernet 802.3 cada cliente tiene un cable que conecta el NIC del cliente a un switch. Ll switch es el punto en el que el cliente obtiene acceso a la red.
laga clic en el botn de Dispositios \LAN en la igura.
Ln una LAN inalambrica, cada cliente utiliza un adaptador inalambrico para obtener acceso a la red a tras de un dispositio inalambrico como un router inalambrico o punto de acceso.
laga clic en el botn Clientes en la igura.
Ll adaptador inalambrico en el cliente se comunica con el router inalambrico o punto de acceso mediante senales Rl. Una ez conectados a la red, los clientes inalambricos pueden acceder a los recursos de la red como si estuieran conectados a la red mediante cable.
7.1.2 ESTNDARES DE LAN INALMBRICAS.- Estndares de LAN inalmbricas
LAN inalambrica 802.11 es un estandar ILLL que deine cmo se utiliza la radiorecuencia ,Rl, en las bandas sin licencia de recuencia mdica, cientica e industrial ,ISM, para la Capa sica y la sub-capa MAC de enlaces inalambricos.
Cuando el 802.11 se emiti por primera ez, prescriba tasas de datos de 1 - 2 Mb,s en la banda de 2,4 Glz. Ln ese momento, las LAN conectadas por cable operaban a 10 Mb,s, de modo que la nuea tecnologa inalambrica no se adopt con entusiasmo. A partir de entonces, los estandares de LAN inalambricas mejoraron continuamente con la edicin de ILLL 802.11a, ILLL 802.11b, ILLL 802.11g, y el borrador 802.11n.
La eleccin tpica sobre qu estandar \LAN utilizar se basa en las tasas de datos. Por ejemplo: 802.11a y g pueden admitir hasta 54 Mb,s, mientras que 802.11b admite hasta un maximo de 11 Mb,s, lo que implica que 802.11b es un estandar "lento" y que 802.11 a y g son los preeridos. Un cuarto borrador \LAN, 802.11n, excede las tasas de datos disponibles en la actualidad. Ll ILLL 802.11n debe ser ratiicado para septiembre de 2008. La igura compara los estandares ILLL 802.11a, b y g.
laga clic en el botn 1abla en la igura para er detalles sobre cada estandar.
Las tasas de datos de los dierentes estandares de LAN inalambrica estan aectadas por algo llamado tcnica de modulacin. Las dos tcnicas de modulacin comprendidas en este curso son: Lspectro de dispersin de secuencia directa ,DSSS, y Multiplexacin por diisin de recuencias octagonales ,OlDM,. No necesita saber cmo trabajan estas tcnicas para este curso, pero debe saber que cuando un estandar utilice OlDM, tendra tasas de datos mas eloces. Ademas, el DSSS es mas simple que el OlDM, de modo que su implementacin es mas econmica.
802.11a
Ll ILLL 802.11a adopt la tcnica de modulacin OlDM y utiliza la banda de 5 Glz.
Los dispositios 802.11a que operan en la banda de 5 Glz tienen menos probabilidades de surir intererencia que los dispositios que operan en la banda de 2,4 Glz porque existen menos dispositios comerciales que utilizan la banda de 5 Glz. Ademas, las recuencias mas altas permiten la utilizacin de antenas mas pequenas.
Lxisten algunas desentajas importantes al utilizar la banda de 5 Glz. La primera es que, a recuencia de radio mas alta, mayor es el ndice de absorcin por parte de obstaculos tales como paredes, y esto puede ocasionar un rendimiento pobre del 802.11a debido a las obstrucciones. Ll segundo es que esta banda de recuencia alta tiene un rango mas acotado que el 802.11b o el g. Ademas, algunos pases, incluida Rusia, no permiten la utilizacin de la banda de 5 Glz, lo que puede restringir mas su implementacin.
802.11b y 802.11g
802.11b especiic las tasas de datos de 1, 2, 5,5 y 11 Mb,s en la banda de 2,4 Glz ISM que utiliza DSSS. 802.11g logra tasas de datos superiores en esa banda mediante la tcnica de modulacin OlDM. ILLL 802.11g tambin especiica la utilizacin de DSSS para la compatibilidad retrospectia de los sistemas ILLL 802.11b. Ll DSSS admite tasas de datos de 1, 2, 5,5 y 11 Mb,s, como tambin las tasas de datos OlDM de 6, 9, 12, 18, 24, 48 y 54 Mb,s.
Lxisten entajas en la utilizacin de la banda de 2,4 Glz. Los dispositios en la banda de 2,4 Glz tendran mejor alcance que aquellos en la banda de 5 Glz. Ademas, las transmisiones en esta banda no se obstruyen acilmente como en 802.11a.
lay una desentaja importante al utilizar la banda de 2,4 Glz. Muchos dispositios de clientes tambin utilizan la banda de 2,4 Glz y proocan que los dispositios 802.11b y g tiendan a tener intererencia.
802.11n
Ll borrador del estandar ILLL 802.11n ue pensado para mejorar las tasas de datos y el alcance de la \LAN sin requerir energa adicional o asignacin de la banda Rl. 802.11n utiliza radios y antenas mltiples en los puntos inales, y cada uno transmite en la misma recuencia para establecer streams mltiples. La tecnologa de entrada mltiple,salida mltiple ,MIMO, diide un stream rapido de tasa de datos en mltiples streams de menor tasa y los transmite simultaneamente por las radios y antenas disponibles. Lsto permite una tasa de datos terica maxima de 248 Mb,s por medio de dos streams.
Se espera que el estandar se ratiique para septiembre de 2008.
Importante: Ll sector de comunicaciones de la Unin internacional de telecomunicaciones ,I1U-R, asigna las bandas Rl. La I1U-R designa las recuencias de banda de 900 Mlz, 2,4 Glz, y 5 Glz como sin licencia para las comunidades ISM. A pesar de que las bandas ISM no tienen licencia a niel global, s estan sujetas a regulaciones locales. La lCC administra la utilizacin de estas bandas en los LL. UU., y la L1SI hace lo propio en Luropa. Lstos temas tendran un impacto en su decisin a la hora de seleccionar los componentes inalambricos en una implementacin inalambrica.
Certificacin Wi-Fi
La certiicacin \i-li la proee la \i-li Alliance ,http:,,www.wi-i.org,, una asociacin de comercio industrial global sin ines de lucro, dedicada a promoer el crecimiento y aceptacin de las \LAN. Apreciara mejor la importancia de la certiicacin \i-li si considera el rol de la \i-li Alliance en el contexto de los estandares \LAN.
Los estandares aseguran interoperabilidad entre dispositios hechos por dierentes abricantes. Las tres organizaciones clae que inluencian los estandares \LAN en todo el mundo son:
I1U-R ILLL \i-li Alliance
Ll I1U-R regula la asignacin del espectro Rl y rbitas satelitales. Lstos se describen como recursos naturales initos que se encuentran en demanda por parte de clientes, como redes inalambricas ijas, redes inalambricas miles y sistemas de posicionamiento global.
Ll ILLL desarroll y mantiene los estandares para redes de area local y metropolitanas con la amilia de estandares ILLL 802 LAN,MAN. Ll ILLL 802 es administrado por el comit de estandares ILLL 802 LAN,MAN ,LMSC,, que superisa mltiples grupos de trabajo. Los estandares dominantes en la amilia ILLL 802 son 802.3 Lthernet, 802.5 1oken Ring, y 802.11 LAN inalambrica.
A pesar de que el ILLL especiic estandares para los dispositios de modulacin Rl, no especiic estandares de abricacin, de modo que las interpretaciones de los estandares 802.11 por parte de los dierentes proeedores pueden causar problemas de interoperabilidad entre sus dispositios.
La \i-li Alliance es una asociacin de proeedores cuyo objetio es mejorar la interoperabilidad de productos que estan basados en el estandar 802.11, y certiica proeedores en conormidad con las normas de la industria y adhesin a los estandares. La certiicacin incluye las tres tecnologas Rl ILLL 802.11, as como la adopcin temprana de los borradores pendientes de la ILLL, como el estandar 802.11n, y los estandares de seguridad \PA y \PA2 basados en ILLL 802.11i.
Los roles de estas tres organizaciones pueden resumirse de la siguiente manera:
Ll I1U-R regula la asignacin de las bandas Rl. ILLL especiica cmo se modula Rl para transportar inormacin. \i-li asegura que los proeedores abriquen dispositios que sean interoperables.
7.1.3 COMPONENTES DE INFRAESTRUCTURA INALMBRICA? NIC inalmbricos
Puede que ya est utilizando una red inalambrica en su hogar, en un cyber ca local o en la escuela a la que concurre. ,Alguna ez se pregunt qu componentes de hardware estan inolucrados en su acceso inalambrico a l a red local o a Internet Ln este tema, aprendera qu componentes estan disponibles para implementar las \LAN y cmo se utiliza cada uno de ellos en la inraestructura inalambrica.
Para reisar, los componentes constitutios de una \LAN son estaciones cliente que conectan a los puntos de acceso, que se conectan, a su ez, a la inraestructura de la red. Ll dispositio que hace que una estacin cliente pueda eniar y recibir senales Rl es el NIC inalambrico.
Como un NIC Lthernet, el NIC inalambrico, utiliza la tcnica de modulacin para la que esta conigurado y codiica un stream de datos dentro de la senal Rl. Los NIC inalambricos se asocian mas recuentemente a dispositios miles, como computadoras portatiles. Ln la dcada de los noenta, los NIC inalambricos para computadoras portatiles eran tarjetas que se deslizaban dentro de la ranura PCMCIA. Los NIC inalambricos PCMCIA son todaa comunes, pero muchos abricantes comenzaron a incorporar el NIC inalambrico dentro de la computadora portatil. A dierencia de las interaces Lthernet 802.3 incorporadas en las PC, el NIC inalambrico no es isible, ya que no es necesario conectar un cable a ste.
1ambin surgieron otras opciones a tras de los anos. Las computadoras personales ubicadas en una instalacinexistente no conectada por cable pueden tener instalado un NIC PCI inalambrico. Lxisten, ademas, muchas opciones USB disponibles para conigurar rapidamente una computadora, ya sea portatil o de escritorio, con o sin NIC inalambrico.
Puntos de acceso inalmbricos
Un punto de acceso conecta a los clientes ,o estaciones, inalambricas a la LAN cableada. Los dispositios de los clientes, por lo general, no se comunican directamente entre ellos, se comunican con el AP. Ln esencia, un punto de acceso conierte los paquetes de datos 1CP,IP desde su ormato de encapsulacin en el aire 802.11 al ormato de trama de Lthernet 802.3 en la red Lthernet conectada por cable.
Ln una inraestructura de red, los clientes deben asociarse con un punto de acceso para obtener sericios de red. La asociacin es el proceso por el cual un cliente se une a una red 802.11. Ls similar a conectarse a una red LAN conectada por cable. La asociacin se discute en temas posteriores.
Un punto de acceso es un dispositio de Capa 2 que unciona como un hub Lthernet 802.3. La Rl es un medio compartido y los puntos de acceso escuchan todo el traico de radio ,recuencia,. Al igual que con el Lthernet 802.3, los dispositios que intentan utilizar el medio compiten por l. A dierencia de los NIC Lthernet, sin embargo, es costoso realizar NIC inalambricos que puedan transmitir y recibir inormacin al mismo tiempo, de modo que los dispositios de radio no detectan colisiones. Ln cambio, los dispositios \LAN estan disenados para eitarlos.
CSMA/CA
Los puntos de acceso superisan una uncin de coordinacin distribuida ,DCl, llamada Acceso mltiple por deteccin de portadora con preencin de colisiones ,CSMA,CA,. Lsto simplemente signiica que los dispositios en una \LAN deben detectar la energa del medio ,estimulacin de la Rl sobre cierto umbral, y esperar hasta que ste se libere antes de eniar. Dado que se requiere que todos los dispositios lo realicen, se distribuye la uncin de coordinar el acceso al medio. Si un punto de acceso recibe inormacin desde la estacin de un cliente, le ena un acuse de recibo para conirmar que se recibi la inormacin. Lste acuse de recibo eita que el cliente suponga que se produjo una colisin e impide la retransmisin de inormacin por parte del cliente.
laga clic en el botn de Nodos ocultos en la igura. Atenuacin de las senales Rl. Lso signiica que pueden perder energa a medida que se alejan de su punto de origen. Piense en alejarse del alcance de una estacin de radio. Lsta atenuacin de la senal puede ser un problema en una \LAN donde las estaciones se disputan el medio.
Imagine dos estaciones cliente que conectan al punto de acceso, pero estan en lugares opuestos de su alcance. Si estan del alcance maximo del punto de acceso, no podran conectarse entre s. De esta manera, ninguna de esas estaciones detecta a la otra en el medio, y pueden terminar por transmitir en simultaneo. A esto se lo llama problema de nodo ,o estacin, escondido.
Una manera de resoler este problema de nodo escondido es una caracterstica de CSMA,CA llamada peticin para eniar,listo para eniar ,R1S,C1S,. Ll R1S,C1S se desarroll para permitir una negociacin entre un cliente y un punto de acceso. Cuando esta actiado el R1S,C1S en una red, los puntos de acceso asignan un medio para la estacin que lo solicite por el tiempo que sea necesario para completar la transmisin. Cuando se completa la transmisin, otras estaciones pueden solicitar el canal de modo similar. De otra orma, se retoma la uncin de preencin de colisiones normal.
Routers inalmbricos
Los routers inalambricos cumplen el rol de punto de acceso, switch Lthernet y router. Por ejemplo: los Linksys \R1300N utilizados son en realidad tres dispositios en una caja. Primero esta el punto de accesoinalambrico, que cumple las unciones tpicas de un punto de acceso. Un switch integrado de cuatro puertos ull-duplex, 10,100 proporciona la conectiidad a los dispositios conectados por cable. linalmente, la uncin de router proee un gateway para conectar a otras inraestructuras de red.
Ll \R1300N se utiliza mas recuentemente como dispositio de acceso inalambrico en residencias o negocios pequenos. La carga esperada en el dispositio es lo suicientemente pequena como para administrar la proisin de \LAN, 802.3 Lthernet, y conectar a un ISP.
7.1.4 OPERACIN INALMBRICA.- Parmetros configurables para los puntos finales inalmbricos
La igura muestra la pantalla inicial para la coniguracin inalambrica en un router Linksys inalambrico. Varios procesos deben tener lugar para crear una conexin entre cliente y punto de acceso. Debe conigurar los parametros en el punto de acceso y, posteriormente, en el dispositio de su cliente, para permitir la negociacin de estos procesos.
laga clic en el botn Modos en la igura para er el parametro de Modo de red inalambrica.
Ll modo de red inalambrica se remite a los protocolos \LAN: 802.11a, b, g, o n. Dado que 802.11g es compatible con ersiones anteriores de 802.11b, los puntos de acceso admiten ambos estandares. Recuerde que si todos los clientes se conectan a un punto de acceso con 802.11g, se beneiciaran con las mejores elocidades de transmisin de datos. Cuando los clientes 802.11b se asocian con el punto de acceso, todos los clientes mas eloces que se disputan el canal deben esperar que los clientes en 802.11b lo despejen antes de poder transmitir. Cuando un punto de acceso Linksys se conigura para permitir clientes de 802.11b y 802.11g, opera en modo mixto.
Para que un punto de acceso admita tanto el 802.11a como los 802.11b y g, debera tener una segunda radio para operar en la banda Rl dierente.
laga clic en el botn SSID en la igura para er una lista de SSID para un cliente de \indows.
Un identiicador de sericio compartido ,SSID, es un identiicador nico que utiliza los dispositios cliente para distinguir entre mltiples redes inalambricas cercanas. Varios puntos de acceso en la red pueden compartir un SSID. La igura muestra un ejemplo de los SSID que se distinguen entre las \LAN, cada uno de los cuales puede ser alanumrico, con entrada de 2 a 32 caracteres de longitud, con distincin entre maysculas y minsculas.
laga clic en el botn Canal en la igura para er una graica de canales no superpuestos.
Ll estandar ILLL 802.11 establece el esquema de canalizacin para el uso de las bandas ISM Rl no licenciadas en las \LAN. La banda de 2,4 Glz se diide en 11 canales para Norteamrica y 13 canales para Luropa. Lstos canales tienen una separacin de recuencia central de slo 5 Mlz y un ancho de banda total ,u ocupacin de recuencia, de 22 Mlz. Ll ancho de banda del canal de 22 Mlz combinado con la separacin de 5 Mlz entre las recuencias centrales signiica que existe una superposicin entre los canales sucesios. Las optimizaciones para las \LAN que requieren puntos de acceso mltiple se coniguran para utilizar canales no superpuestos. Si existen tres puntos de acceso adyacentes, utilice los canales 1, 6 y 11. Si slo hay dos, seleccione dos canales cualesquiera con al menos 5 canales de separacin entre ellos, como el canal 5 y el canal 10. Muchos puntos de acceso pueden seleccionar automaticamente un canal basado en el uso de canales adyacentes. Algunos productos monitorean continuamente el espacio de radio para ajustar la coniguracin de canal de modo dinamico en respuesta a los cambios del ambiente.
Topologas 802.11
Las LAN inalambricas pueden utilizar dierentes topologas de red. Al describir estas topologas, la pieza undamental de la arquitectura de la \LAN ILLL 802.11 es el conjunto de sericio basico ,BSS,. Ll estandar deine al BSS como un grupo de estaciones que se comunican entre ellas. laga clic en el botn Ad loc en la igura. Redes Ad hoc
Las redes inalambricas pueden operar sin puntos de acceso, se llama topologa ad hoc. Las estaciones cliente que estan coniguradas para operar en modo ad hoc coniguran los parametros inalambricos entre ellas. Ll estandar ILLL 802.11 se reiere a una red ad hoc como un BSS ,IBSS, independiente.
laga clic en el botn de BSS en la igura. Conjunto de sericios basicos
Los puntos de acceso proeen una inraestructura que agrega sericios y mejora el alcance para los clientes. Un punto de acceso simple en modo inraestructura administra los parametros inalambricos y la topologa es simplemente un BSS. Ll area de cobertura para un IBSS y un BSS es el area de sericio basica ,BSA,.
laga clic en el botn de LSS en la igura. Conjuntos de sericios extendidos
Cuando un BSS simple no proee la suiciente cobertura Rl, uno o mas se pueden unir a tras de un sistema de distribucin simple hacia un conjunto de sericios extendidos ,LSS,. Ln un LSS, un BSS se dierencia de otro mediante el identiicador BSS ,BSSID,, que es la direccin MAC del punto de acceso que sire al BSS. Ll area de cobertura es el area de sericio extendida ,LSA,.
Sistema de distribucin comn
Ll sistema de distribucin comn permite a los puntos de acceso mltiple en un LSS aparentar ser un BSS simple. Un LSS incluye generalmente un SSID comn para permitir al usuario moerse de un punto de acceso a otro.
Las celdas representan el area de cobertura proporcionada por un nico canal. Un LSS debe tener de 10 a 15 por ciento de superposicin entre celdas en un area de sericio extendida. Con un 15 por ciento de superposicin entre celdas, un SSID y canales no superpuestos ,una celda en canal 1 y la otra en canal 6,, se puede crear la capacidad de roaming.
laga clic en el botn Resumen en la igura para er las comparaciones de las topologas \LAN.
Asociacin punto de acceso y cliente
Una parte clae del proceso de 802.11 es descubrir una \LAN y, luego, conectarse a ella. Los componentes principales de este proceso son los siguientes:
Beacons - 1ramas que utiliza la red \LAN para comunicar su presencia. Sondas - 1ramas que utilizan los clientes de la \LAN para encontrar sus redes. Autenticacin - Proceso que unciona como instrumento del estandar original 802.11, que el estandar todaa exige. Asociacin - Proceso para establecer la conexin de datos entre un punto de acceso y un cliente \LAN.
Ll propsito principal de la beacon es permitir a los clientes de la \LAN conocer qu redes y puntos de acceso estan disponibles en un area dada, permitindoles, por lo tanto, elegir qu red y punto de acceso utilizar. Los puntos de acceso pueden transmitir beacons peridicamente.
Aunque las beacons pueden transmitirse regularmente por un punto de acceso, las tramas para sondeo, autenticacin y asociacin se utilizan slo durante el proceso de asociacin ,o reasociacin,.
Proceso conjunto 802.11 ,Asociacin,
Antes de que un cliente 802.11 pueda eniar inormacin a tras de una red \LAN, debe atraesar el siguiente proceso de tres etapas:
laga clic en el botn Sondear en la igura. Etapa 1 - Sondeo de 802.11
Los clientes buscan una red especica mediante un pedido de sondeo a mltiples canales. Ll pedido de sondeo especiica el nombre de la red ,SSID, y las tasas de bit. Un cliente tpico de \LAN se conigura con el SSID deseado, de modo que los pedidos de sondeo del cliente \LAN contienen el SSID de la red \LAN deseada.
Si el cliente \LAN slo quiere conocer las redes \LAN disponibles, puede eniar un pedido de sondeo sin SSID, y todos los puntos de acceso que estn conigurados para responder este tipo de consulta, responderan. Las \LAN con la caracterstica de broadcast SSID deshabilitada no responderan.
laga clic en el botn Autenticar en la igura.
Etapa 2 - Autenticacin 802.11
802.11 se desarroll originalmente con dos mecanismos de autenticacin. Ll primero, llamado autenticacin abierta, es undamentalmente una autenticacin NULL donde el cliente dice "autentcame", y el punto de acceso responde con "s". Lste es el mecanismo utilizado en casi todas las implementaciones de 802.11.
Un segundo mecanismo de autenticacin se basa en una clae que es compartida por la estacin del cliente y el punto de acceso llamado Proteccin de equialencia por cable ,cable \LP,. La idea de la clae \LP compartida es que le permita a una conexin inalambrica la priacidad equialente a una conexin por cable, pero cuando originalmente se implement este mtodo de autenticacin result deiciente. A pesar de que la clae de autenticacin compartida necesita estar incluida en las implementaciones de cliente y de punto de acceso para el cumplimiento general de los estandares, no se utiliza ni se recomienda.
laga clic en el botn Asociar en la igura.
Etapa 3 - asociacin 802.11
Lsta etapa inaliza la seguridad y las opciones de tasa de bit, y establece el enlace de datos entre el cliente \LAN y el punto de acceso. Como parte de esta etapa, el cliente aprende el BSSID, que es la direccin MAC del punto de acceso, y el punto de acceso traza un camino a un puerto lgico conocido como el identiicador de asociacin ,AID, al cliente \LAN. Ll AID es equialente a un puerto en un switch. Ll proceso de asociacin permite al switch de inraestructura seguir la pista de las tramas destinadas para el cliente \LAN, de modo que puedan ser reeniadas.
Una ez que un cliente \LAN se asoci con un punto de acceso, el traico puede iajar de un dispositio a otro.
7.1.5 PLANIFICACIN DE LA LAN INALMBRICA.- Planificacin de la LAN inalmbrica
Implementar una \LAN que saque el mejor proecho de los recursos y entregue el mejor sericio puede requerir de una planiicacin cuidadosa. Las \LAN pueden abarcar desde instalaciones relatiamente simples a disenos intrincados y muy complejos. Se necesita un plan bien disenado antes de poder implementar una red inalambrica. Ln este tema, presentamos las consideraciones que deben tenerse en cuenta para el diseno y la planiicacin de una LAN inalambrica.
Ll nmero de usuarios que una \LAN puede admitir no es un calculo simple. Ll nmero de usuarios depende de la distribucin geograica de sus instalaciones ,cuantos cuerpos y dispositios entran en un espacio,, las elocidades de transmisin de datos que los usuarios esperan ,porque la Rl es un medio compartido y, a mayor cantidad de usuarios, hay una mayor cantidad de disputa por la Rl,, el uso de canales no superpuestos mediante puntos de acceso mltiples en un LSS y la coniguracin de la energa de transmisin ,que estan limitadas por regulacin local,.1endra suiciente soporte inalambrico para sus clientes si planiica su red para una cobertura Rl adecuada en un LSS. Las consideraciones detalladas acerca de cmo planiicar nmeros especicos de usuarios estan mas alla del alcance de este curso.
laga clic en el botn Asignar en la igura.
Al planiicar la ubicacin de los puntos de acceso, puede que no sea capaz de simplemente dibujar los crculos del area de cobertura y olcarlos en un plano. Ll area de cobertura circular aproximada es muy importante, pero existen algunas recomendaciones adicionales.
Si los puntos de acceso utilizaran cableado existente o si existen ubicaciones donde los puntos de acceso no pueden ubicarse, anote estas ubicaciones en el mapa.
Posicione los puntos de acceso sobre las obstrucciones. Posicione los puntos de acceso en orma ertical, cerca del techo en el centro de cada area de cobertura, de ser posible. Posicione los puntos de acceso en las ubicaciones donde se espera que estn los usuarios. Por ejemplo: las salas de conerencia son una mejor ubicacin para los puntos de acceso que un estbulo.
Cuando estas indicaciones se hayan tenido en cuenta, estime el area de cobertura esperada de un punto de acceso. Lste alor ara dependiendo del estandar \LAN o el conjunto de estandares que est distribuyendo, la naturaleza de las instalaciones, la energa de transmisin para la cual el punto de acceso esta conigurado, etc. Siempre consulte las especiicaciones para el punto de acceso cuando planiica las areas de cobertura.
Basandose en su plano, ubique los puntos de acceso en el plano del piso, de modo que los crculos de cobertura se superpongan, como se ilustra en el siguiente ejemplo.
Calculo de ejemplo
Ll auditorio abierto ,un ediicio del tipo Depsito,labrica, que se muestra en la igura es de aproximadamente 20 000 pies cuadrados.
Los requerimientos de la red especiican que debe haber un mnimo de 6 Mb,s 802.11b de rendimiento en cada BSA, porque hay una oz inalambrica sobre la implementacin de la \LAN superpuesta en esta red. Con los puntos de acceso se pueden lograr 6 Mbps en areas abiertas como las del mapa, con un area de cobertura de 5000 pies cuadrados en muchos ambientes.
Nota: Ll area de cobertura de 5000 pies cuadrados es para un cuadrado. Ll BSA toma su radio diagonalmente desde el centro de este cuadrado.
Determinemos dnde ubicar los puntos de acceso.
laga clic en el botn rea de cobertura en la igura.
Las instalaciones tienen 20 000 pies cuadrados, por lo tanto, diidir 20 000 pies cuadrados por un area de cobertura de 5000 pies cuadrados por punto de acceso resulta en, al menos, cuatro puntos de acceso requeridos para el auditorio. A continuacin, determine la dimensin de las areas de cobertura y acomdelas en el plano de la planta.
Dado que el area de cobertura es un cuadrado con un lado "Z", el crculo tangente a sus cuatro esquinas tiene un radio de 50 pies, como se muestra en los calculos. Cuando las dimensiones del area de cobertura se determinen, debe acomodarlas de manera similar a las que se muestran para las reas de cobertura alineadas en la igura. laga clic en el botn Alineacin de areas de cobertura en la igura. Ln su mapa de plano de planta, dibuje cuatro crculos de cobertura de 50 pies de radio de modo que se superpongan, como se muestra en el Plano. laga clic en el botn Plano en la igura.
7.2 SEGURIDAD LAN INALMBRICA.- 7.2.1 AMENAZAS A LA SEGURIDAD INALMBRICA.- Acceso no autorizado
La seguridad debe ser una prioridad para cualquiera que utilice o administre redes. Las diicultades para mantener segura una red conectada por cable se multiplican con una red inalambrica. Una \LAN esta abierta a cualquiera dentro del alcance de un punto de acceso y de las credenciales apropiadas para asociarse a l. Con un NIC inalambrico y conocimiento de tcnicas de decodiicacin, un atacante no tendra que entrar sicamente al espacio de trabajo para obtener acceso a una \LAN.
Ln este primer tema de esta seccin, describimos cmo eolucionaron las amenazas de seguridad. Lstas preocupaciones de seguridad son incluso mas signiicatias cuando se trata con redes de empresas, porque el sustento de ida de la empresa depende de la proteccin de su inormacin. Ln estos casos, las iolaciones a la seguridad pueden tener graes repercusiones, sobre todo si la empresa guarda inormacin inanciera relacionada con sus clientes.
lay tres categoras importantes de amenaza que llean a acceso no autorizado:
Buscadores de redes inalambricas abiertas Piratas inormaticos ,Crackers, Lmpleados
"Bsqueda de redes inalambricas abiertas" se reera originalmente a la utilizacin de un dispositio de rastreo para buscar nmeros de telonos celulares para explotar. Bsqueda de redes inalambricas abiertas, ahora tambin signiica conducir alrededor de un ecindario con una computadora portatil y una tarjeta de cliente 802.11b,g en bsqueda de un sistema 802.11b,g no seguro para explotar.
Ll trmino pirata inormatico originalmente signiicaba una persona que explora a ondo los sistemas de computacin para entender y tal ez explotar por razones creatias, la estructura y complejidadde un sistema. loy en da, los trminos pirata inormatico y cracker describen a intrusos maliciosos que ingresan en sistemas como delincuentes y roban inormacin o danan los sistemas deliberadamente. Los piratas inormaticos con la intencin de danar son capaces de explotar las medidas de seguridad dbiles.
La mayora de los dispositios endidos hoy en da estan preparados para uncionar en una \LAN. Ln otras palabras, los dispositios tienen coniguraciones predeterminadas y pueden instalarse y utilizarse con poca o ninguna coniguracin por parte de los usuarios. Generalmente, los usuarios inales no cambian la coniguracin predeterminada, y dejan la autenticacin de cliente abierta, o pueden implementar solamente una seguridad \LP estandar. Desaortunadamente, como mencionamos antes, las claes \LP compartidas son deectuosas y por consiguiente, aciles de atacar.
lerramientas con propsito legtimo, como los husmeadores inalambricos, permiten a los ingenieros de red capturar paquetes de inormacin para depurar el sistema. Los intrusos pueden utilizar estas mismas herramientas para explotar las debilidades de seguridad.
Puntos de acceso no autorizados
Un punto de acceso no autorizado es un punto de acceso ubicado en una \LAN que se utiliza para i ntererir con la operacin normal de la red. Si un punto de acceso no autorizado se conigura correctamente, se puede capturar inormacin del cliente. Un punto de acceso no autorizado tambin puede conigurarse para proeer acceso no autorizado a usuarioscon inormacin como las direcciones MAC de los clientes ,tanto inalambricas como conectadas por cable,, o capturar y camular paquetes de datos o, en el peor de lo casos, obtener acceso a seridores y archios.
Una ersin simple y comn de un punto de acceso no autorizado es uno instalado por empleados sin autorizacin. Los empleados instalan puntos de acceso con la intencin de utilizar la red de la empresa en su hogar. Lstos puntos de acceso no tienen la coniguracin de seguridad tpica necesaria, por lo tanto la red termina con una brecha en su seguridad.
Ataques de Hombre-en-el-medio
Uno de los ataques mas soisticados que un usuario no autorizado puede realizar se llama ataque de hombre-en-el-medio ,MI1M,. Ll atacante selecciona un host como objetio y se posiciona logsticamente entre el objetio y el router o gateway del objetio. Ln un ambiente de LAN conectada por cable, el atacante necesita poder acceder sicamente a la LAN para insertar un dispositio lgico dentro de la topologa. Con una \LAN, las ondas de radio emitidas por los puntos de acceso pueden proeer la conexin.
Las senales de radio desde las estaciones y puntos de acceso son "audibles" para cualquiera en un BSS con el equipo apropiado, como una computadora portatil y un NIC. Dado que los puntos de acceso actan como hubs Lthernet, cada NIC en el BSS escucha todo el traico. Ll dispositio descarta cualquier traico no dirigido al mismo. Los atacantes pueden modiicar el NIC de su computadora portatil con un sotware especial para que acepte todo el traico. Con esta modiicacin, el atacante puede llear a cabo ataques MI1M inalambricos, usando el NIC de la computadora portatil como punto de acceso.
Para llear a cabo este ataque, un pirata inormatico selecciona una estacincomo objetio y utiliza sotware husmeador de paquetes, como \ireshark, para obserar la estacin cliente que se conecta al punto de acceso. Ll pirata inormatico puede ser capaz de leer y copiar el nombre de usuario objetio, nombre del seridor y direccin IP del seridor y cliente, el ID
utilizado para computar la respuesta y el desao y su respuesta asociada, que se pasa no cirada entre la estacin y el punto de acceso.
Si un atacante puede comprometer un punto de acceso, puede comprometer potencial mente a todos los usuarios en el BSS. Ll atacante puede monitorear un segmento de red inalambrica completo y causar estragos en cualquier usuario conectado al mismo.
Preenir un ataque MI1M depende de la soisticacin de la inraestructura de su \LAN y su actiidad de monitoreo y igilancia en la red. Ll proceso comienza identiicando los dispositios legtimos en su \LAN. Para hacer esto, debe autenticar a los usuarios de su \LAN.
Cuando se conocen todos los usuarios legtimos, debe monitorear la red enbusca de dispositios y traico que no deberan estar all. Las \LAN de empresas que utilizan dispositios \LAN de tecnologa aanzada proeen herramientas a los administradores que trabajan juntas como un sistema de preencin de intrusin inalambrica ,IPS,. Lstas herramientas incluyen escaners que identiican puntos de acceso no autorizados y redes ad hoc y tambin administracin de recursos de radio ,RRM, que monitorean la banda Rl en busca de actiidad y carga de puntos de acceso. Un punto de acceso que esta mas ocupado que de costumbre alerta al administrador sobre un posible traico no autorizado.
La explicacin detallada de estas tcnicas de mitigacin escapa del alcance de este curso. Para mayor inormacin, consulte al documento de CISCO "Addressing \ireless 1hreats with Integrated \ireless IDS and IPS" disponible en http:,,www.cisco.com,en,US,products,ps6521,products_white_paper0900aecd804155b.shtml.
Denegacin de servicio
Las \LAN 802.11b y g utilizan la banda 2,4 Glz ISM sin licencia. Lsta es la misma banda utilizada por la mayora de los productos de consumo, incluyendo monitores de beb, telonos inalambricos y hornos de microondas. Con estos dispositios que congestionan la banda Rl, los atacantes pueden crear ruido en todos los canalesde la banda con dispositios comnmente disponibles.
laga clic en el botn DoS 2 en la igura.
Anteriormente discutimos sobre cmo un atacante puede conertir un NIC en un punto de acceso. Lse truco tambin se puede utilizar para crear un ataque DoS. Ll atacante, mediante una PC como punto de acceso, puede inundar el BSS con mensajes listos para eniar ,C1S,, que inhabilitan la uncin de CSMA,CA utilizada por las estaciones. Los puntos de acceso, a su ez, inundan la BSS con traico simultaneo y causan un stream constante de colisiones.
Otro ataque DoS que puede lanzarse en un BSS es cuando un atacante ena una serie de comandos desinculados que causa que todas las estaciones en el BSS se desconecten. Cuando las estaciones estan desconectadas, tratan de reasociarse inmediatamente, lo que crea una explosin de traico. Ll atacante ena otro comando desinculado y el ciclo se repite.
7.2.2 PROTOCOLOS DE SEGURIDAD INALMBRICOS.- Descripcin general del protocolo inalmbrico
Ln este tema, aprendera acerca de las caractersticas de los protocolos inalambricos comunes y del niel de seguridad que cada uno proee.
Se introdujeron dos tipos de autenticacin con el estandar 802.11 original: clae de autenticacin \LP abierta y compartida. Mientras la autenticacin abierta en realidad es "no autenticacin", ,un cliente requiere autenticacin y el punto de acceso la permite,, la autenticacin \LP deba proeer priacidad a un enlace, como si uera un cable conectado de una PC a una conexin de pared Lthernet. Como se mencion anteriormente, las claes \LP compartidas demostraron ser deectuosas y se requera algo mejor. Para contrarrestar las debilidades de la clae \LP compartida, el primer enoque de las companas ue tratar tcnicas como SSID camulados y iltrado de direcciones MAC. Lstas tcnicas tambin son muy dbiles. Aprendera mas acerca de las debilidades de estas tcnicas mas adelante.
Las allas con la encriptacin de la clae \LP compartida estan desdobladas. Primero, el algoritmo utilizado para encriptar la inormacin poda ser descirado por crackers. Segundo, la escalabilidad era un problema. Las claes \LP de 32 bit se
administraban manualmente, de modo que los usuarios ingresaban manualmente, por lo general, de manera incorrecta, lo que creaba llamadas a las mesas de ayuda de soporte tcnico.
Luego de las debilidades de una seguridad basada en \LP, hubo un perodo de medidas de seguridad interinas. Los proeedores como Cisco, al querer cumplir con la demanda de mejor seguridad, desarrollaron suspropios sistemas mientras ayudaban simultaneamente a desarrollar el estandar 802.11i. Ln el camino hacia el 802.11i, se cre el algoritmo de encriptacin 1KIP, que estaba enlazado con el mtodo de seguridad de Acceso protegido \ili ,\PA, de la \i-li Alliance.
loy, el estandar que se debe seguir en la mayora de las redes de empresas es el estandar 802.11i. Ls similar al estandar \PA2 de la \i-li Alliance. Para empresas, el \PA2 incluye una conexin a una base de datos del Sericio de autenticacin remota de usuario de acceso telenico ,RADIUS,. Ll RADIUS se describira mas adelante en el captulo.
Para mas inormacin acerca de las debilidades de la seguridad \LP, ea el inorme "Security o the \LP algorithm" disponible en http:,,www.isaac.cs.berkeley.edu,isaac,wep-aq.html.
Autenticacin de una LAN inalmbrica
Ln una red abierta, como una red de hogar, la asociacin puede ser todo lo que se requiera para garantizar el acceso del cliente a sericios y dispositios en la \LAN. Ln redes que tengan requerimientos de seguridad mas estrictos, se requiere una autenticacin o conexin para garantizar dicho acceso a los clientes. Lste proceso de conexin lo administra el Protocolo de autenticacin extensible ,LAP,. Ll LAP es una estructura para autenticar el acceso a la red. Ll ILLL desarroll el estandar 802.11i \LAN para autenticacin y autorizacin, para utilizar ILLL 802.1x.
laga clic en el botn LAP en la igura para er el proceso de autenticacin. Ll proceso de autenticacin \LAN de la empresa se resume de la siguiente manera:
Ll proceso de asociacin 802.11 crea un puerto irtual para cada cliente \LAN en el punto de acceso. Ll punto de acceso bloquea todas las tramas de datos, con excepcin del traico basado en 802.1x. Las tramas 802.1x llean los paquetes de autenticacin LAP a tras del punto de acceso al seridor que mantiene las credenciales de autenticacin. Lste seridor tiene en ejecucin un protocolo RADIUS y es un seridor de Autenticacin, autorizacin y auditoria ,AAA,. Si la autenticacin LAP es exitosa, el seridor AAA ena un mensaje LAP de xito al punto de acceso, que permite entonces que el traico de datos atraiese el puerto irtual desde el cliente de la \LAN. Antes de abrir un puerto irtual se establece un enlace de datos encriptados entre el cliente de la \LAN y el punto de acceso establecido para asegurar que ningn otro cliente de la \LAN pueda acceder al puerto que se haya establecido para un cliente autenticado especico.
Antes de que se utilicen el 802.11i ,\PA2, o incluso el \PA, algunas companas intentaron asegurar sus \LAN al iltrar sus direcciones MAC y eitar transmitir SSID. loy, es acil utilizar sotware para modiicar las direcciones MAC adjuntas a los adaptadores, de esta manera, el iltrado de las direcciones MAC se eita acilmente. No signiica que no debe hacerlo, sino que si utiliza este mtodo, debe respaldarlo con seguridad adicional, como \PA2.
Incluso si un SSID no se trasmite mediante un punto de acceso, el traico que iaja de un punto a otro entre el cliente y el punto de acceso reela, eentualmente, el SSID. Si un atacante monitorea pasiamente la banda Rl, puede husmear el SSID en una de estas transacciones, porque se ena no cirado. Lsta acilidad para descubrir los SSID lle a algunas personas a dejar encendido el broadcast SSID. De hacerlo, debe probablemente ser una decisin organizacional registrada en la poltica de seguridad.
La idea de que puede asegurar su \LAN con nada mas que el iltrado MAC y apagando los broadcasts SSID, puedellear a tener una \LAN totalmente insegura. La mejor manera de asegurar cuales de los usuarios inales deben estar en la \LAN es utilizar un mtodo de seguridad que incorpore un control de acceso a la red basado en puertos, como el \PA2.
Encriptacin
lay dos mecanismos de encriptacin a niel empresa especiicados por el 802.11i certiicados como \PA y \PA2 por la \i-li Alliance: Protocolo de integridad de clae temporal ,1KIP, y Lstandar de encriptacin aanzada ,ALS,.
Ll 1KIP es el mtodo de encriptacin certiicado como \PA. Proee apoyo para el equipo \LAN heredado que atiende las allas originales asociadas con el mtodo de encriptacin \LP 802.11. Utiliza el algoritmo de encriptacin original utilizado por \LP.
Ll 1KIP tiene dos unciones primarias:
Lncripta el contenido de la Capa 2 Llea a cabo una comprobacin de la integridad del mensaje ,MIC, en el paquete encriptado. Lsto ayuda a asegurar que no se altere un mensaje.
Aunque el 1KIP resuele todas las debilidades conocidas del \LP, la encriptacin ALS de \PA2 es el mtodo preerido, porque alinea los estandares de encriptacin \LAN con los mas amplios estandares I1 y las optimizaciones de la industria, mas notablemente el ILLL 802.11i.
Ll ALS tiene las mismas unciones que el 1KIP, pero utiliza inormacin adicional del encabezado de la MAC que les permite a los hosts de destino reconocer si se alteraron los bits no encriptados. Ademas, agrega un nmero de secuencia al encabezado de inormacin encriptada.
Cuando conigura los puntos de acceso Linksys o los routers inalambricos, como el \R1300N, puede que no ea el \PA o el \PA2, en lugar de eso, podra er reerencias a algo llamado clae precompartida ,PSK,. A continuacin, los distintos tipos de PSK:
PSK o PSK2 con 1KIP es el mismo que \PA PSK o PSK2 con ALS es el mismo que \PA2 PSK2, sin un mtodo de encriptacin especiicado, es el mismo que \PA2.
7.2.3 PROTECCION DE UNA LAN INALMBRICA.- Control del acceso a la LAN inalmbrica
Ll concepto de proundidad signiica que hay mltiples soluciones disponibles. Ls como tener un sistema de seguridad en su casa pero, de todas maneras, cerrar las puertas y entanas y pedirle a los ecinos que la igilen por usted. Los mtodos de seguridad que ha isto, especialmente el \PA2, son como tener un sistema de seguridad. Si quiere realizar algo extra para proteger el acceso a su \LAN, puede agregar proundidad, como se muestra en la igura, y as implementar este enoque de tres pasos:
Camulaje SSID - Deshabilite los broadcasts SSID de los puntos de acceso liltrado de direcciones MAC - Las 1ablas se construyen a mano en el punto de acceso para permitir o impedir el acceso de clientes basado en sus direccin de hardware Implementacin de la seguridad \LAN - \PA o \PA2
Una consideracin adicional para un administrador de redes alerta es conigurar puntos de acceso cercanos a las paredes exteriores de ediicios para transmitir en una coniguracin de energa menor que los otros puntos de acceso cercanos al centro del ediicio. Lsto es simplemente para reducir la irma Rl en el exterior del ediicio donde cualquiera que ejecute una aplicacin como Netstumbler ,http:,,www.netstumbler.com,, \ireshark, o incluso \indows XP, pueda asignar las \LAN.
Ni el SSID camulado ni el iltrado de direcciones MAC se consideran medios alidos para proteger a una \LAN, por los siguientes motios:
Se puede suplantar la identidad de las direcciones MAC acilmente. Los SSID se descubren con acilidad, incluso si los puntos de acceso no los transmiten.
7.3 CONFIGURACION DEL ACCESO A LA LAN INALMBRICA.- 7.3.1 CONFIGURACION DEL PUNTO DE ACCESO INALAMBRICO.- Descripcin general del punto de acceso inalmbrico
Ln este tema, aprendera cmo conigurar un punto de acceso inalambrico. Aprendera cmo establecer el SSID, actiar la seguridad, conigurar el canal y ajustar la coniguracin de energa de un punto de acceso inalambrico. 1ambin aprendera cmo realizar un respaldo y restauracin de la coniguracin de un punto de acceso inalambrico tpico.
Un enoque basico a la implementacin inalambrica, como en cualquier trabajo de red basico, es conigurar y probar progresiamente. Antes de implementar cualquier dispositio inalambrico, eriique la red existente y el acceso a Internet para los hosts conectados por cable. Inicie el proceso de implementacin de la \LAN con un nico punto de acceso y un nico cliente, sin habilitar la seguridad inalambrica. Veriique que el cliente inalambrico haya recibido una direccin IP DlCP y pueda hacer ping al router predeterminado conectado por cable y luego explore hacia la Internet externa. linalmente, conigure la seguridad inalambrica con \PA2. Utilice \LP slo si el hardware no admite \PA.
La mayora de los puntos de acceso estan disenados para que sean uncionales ni bien salen de su embalaje con la coniguracin predeterminada. Ls una buena practica cambiar las coniguraciones predeterminadas iniciales. Muchos puntos de acceso se pueden conigurar a tras de una interaz web GUI.
Con un plan para la implementacin en mente, la conectiidad de la red conectada por cable conirmada y el punto de acceso instalado, conigurara la red. Ll siguiente ejemplo utiliza el dispositio multiuncin Linksys \R1300N. Lste dispositio incluye un punto de acceso.
Los pasos para conigurar el Linksys \R1300N son los siguientes:
Asegrese de que su PC est conectada al punto de acceso mediante una conexin por cable y el acceso a la utilidad web con un explorador \eb. Para acceder a la utilidad basada en la web del punto de acceso, inicie Internet Lxplorer o Netscape Naigator e ingrese la direccin IP predeterminada del \R1300N, 192.168.1.1, en el campo direccin. Presione la tecla Lnter.
Aparece una pantalla que le pide su nombre de usuario y contrasena. Deje el campo Nombre de usuario en blanco. Ingrese admin en el campo Contrasena. Lsta es la coniguracin predeterminada para un Linksys \R1300N. Si ya se conigur el dispositio, el nombre de usuario y la contrasena pueden haber cambiado. laga clic en Aceptar para continuar.
Para una coniguracin basica de red, utilice las siguientes pantallas, como se muestra cuando hace clic en los botones Coniguracin, Administracin, e Inalambrico en la igura:
Coniguracin - Ingrese la coniguracin basica de red ,direccin IP,. Administracin - laga clic en la etiqueta Administracin y luego seleccione la pantalla de Administracin La contrasena predeterminada es admin. Para proteger el punto de acceso, cambie la contrasena predeterminada. Inalambrico - Cambie el SSID predeterminado en la etiqueta de Coniguracin inalambrica basica . Seleccione el niel de seguridad en la etiqueta de Seguridad inalambrica y complete las opciones para el modo de seguridad elegido.
Realice los cambios necesarios dentro de la utilidad. Cuando termine de realizar los cambios a la pantalla, haga clic en el botn Guardar cambios , o haga clic en el botn Cancelar cambios para deshacer sus cambios. Para inormacin en una etiqueta, haga clic en Ayuda.
La igura resume los pasos de implementacin para un punto de acceso.
Configuracin de la configuracin inalmbrica bsica
La pantalla de Coniguracin basica es la primera pantalla que e cuando accede a la utilidad basada en la web. laga clic en la etiqueta Inalambrica y luego seleccione la etiqueta Coniguracin inalambrica basica.
Coniguraciones basicas inalambricas
laga clic en los botones a lo largo de la parte inerior de la igura para er el GUI para cada coniguracin.
Modo de red - Si tiene los dispositios \ireless-N, \ireless-G, y 802.11b en su red, mantenga Mixta, la coniguracin predeterminada. Si tiene los dispositios \ireless-G y 802.11b, seleccione BG-Mixto. Si slo tiene dispositios \ireless-N, seleccione \ireless-N solamente. Si slo tiene dispositios \ireless-G, seleccione \ireless-G solamente. Si slo tiene dispositios \ireless-B, seleccione \ireless-B solamente. Si quiere desactiar el networking, seleccione Deshabilitar. Nombre de la red ,SSID, - Ll SSID es el nombre de red compartido entre todos los puntos en la red inalambrica. Ll SSID debe ser idntico para todos los dispositios en la red inalambrica. Distingue entre maysculas y minsculas, y no debe exceder los 32 caracteres ,utilice cualquier caracter en el teclado,. Para mayor seguridad, debe cambiar el SSID predeterminado ,linksys, a un nombre nico.
Broadcast SSID - Cuando los clientes inalambricos inspeccionan el area local para buscar redes inalambricas para asociarse, detectan el broadcast del SSID mediante el punto de acceso. Para transmitir el SSID, mantenga labilitado, que es la coniguracin predeterminada. Si no quiere transmitir el SSID, seleccione Deshabilitado. Cuando termine de realizar los cambios a esta pantalla, haga clic en el botn Guardar cambios , o haga clic en el botn Cancelar cambios para deshacer sus cambios. Para mayor inormacin, haga clic en Ayuda.
Banda de radio - Para un mejor rendimiento en una red que utiliza dispositios \ireless-N, \ireless-G, y \ireless-B, mantenga el Auto predeterminado. Para dispositios \ireless-N, nicamente, seleccione Ancho - Canal 40Mlz. Para networking, nicamente, \ireless-G y \ireless-B, seleccione Lstandar - Canal 20Mlz. Canal ancho. Si seleccion Ancho - Canal 40Mlz para la coniguracin de la Banda de radio, esta coniguracin esta disponible para su canal \ireless-N principal. Seleccione cualquier canal del men desplegable. Canal estandar. Seleccione el canal para networking \ireless-N, \ireless-G y \ireless-B. Si seleccion Ancho - canal 40Mlz para la coniguracin de la Banda de radio, el canal estandar es un canal secundario para \ireless-N.
Configuracin de seguridad
laga clic en el botn Descripcin general en la igura.
Lsta opcin conigurara la seguridad de su red inalambrica. Lxisten siete modos de seguridad inalambrica que el \1R300N admite. Se listan aqu en el orden en que los e en el GUI, desde el mas dbil al mas uerte, con excepcin de la ltima opcin, que esta deshabilitada:
\LP PSK-Personal, o \PA-Personal en 0.93.9 irmware o anterior PSK2-Personal, o \PA2-Personal en 0.93.9 irmware o anterior PSK-Lmpresa, o \PA-Lmpresa en 0.93.9 irmware o anterior PSK2-Lmpresa, o \PA2-Lmpresa en 0.93.9 irmware o anterior RADIUS Deshabilitado
Cuando ea "Personal" en un modo de seguridad, no se esta utilizando un seridor AAA. "Lmpresa" en el modo seguridad signiica un seridor AAA y la utilizacin de una autenticacin LAP.
Aprendi que el \LP es un modo de seguridad con allas. PSK2, que es lo mismo que \PA2 o ILLL 802.11i, es la opcin preerida para una mejor seguridad. Si \PA2 es la mejor, se preguntara por qu hay tantas otras opciones. La respuesta es que muchas LAN inalambricas admiten dispositios iejos. Dado que todos los dispositios de clientes que se asocian a un punto de acceso deben ejecutar el mismo modo de seguridad que ejecuta el punto de acceso, ste debe estar conigurado para admitir el dispositio que ejecuta el modo de seguridad mas dbil. 1odos los dispositios de LAN inalambricas abricados luego de marzo de 2006 deben poder admitir \PA2 o, en el caso de los routers Linksys, PSK2, por lo que en el tiempo, a medida que se mejoren los dispositios, sera capaz de conmutar el modo de seguridad de su red a PSK2.
La opcin RADIUS que esta disponible para un router Linksys inalambrico permite utilizar un seridor RADIUS en combinacin con \LP.
laga clic en los botones a lo largo de la parte inerior de la igura para er el GUI para cada coniguracin.
Para conigurar la seguridad, realice lo siguiente:
Modo seguridad - Seleccione el modo que quiera utilizar: PSK-Personal, PSK2-Personal, PSK-Lmpresa, PSK2-Lmpresa, RADIUS, o \LP. Modo Parametros - Cada uno de los modos PSK y PSK2 tiene parametros que puede conigurar. Si selecciona la ersin de seguridad PSK2-Lmpresa, debe tener un seridor RADIUS adjunto a su punto de acceso. Si tiene esta coniguracin, necesita conigurar el punto de acceso para que apunte al seridor RADIUS. Direccin IP del seridor RADIUS - Ingrese la direccin IP del seridor RADIUS. Puerto del seridor RADIUS - Ingrese el nmero de puerto utilizado por el seridor
RADIUS. De manera predeterminada, es 1812.
Lncriptacin - Seleccione el algoritmo que quiere utilizar, ALS o 1KIP. ,ALS es un mtodo de encriptacin mas slido que 1KIP., Clae precompartida - Ingrese la clae compartida por el router y sus otros dispositios de red. Debe tener entre 8 y 63 caracteres. Renoacin de la clae - Ingrese el perodo de renoacin de la clae, que le dira al router con qu recuencia debe cambiar las claes de encriptacin.
Cuando termine de realizar los cambios a esta pantalla, haga clic en el botn Guardar cambios , o haga clic en el botn Cancelar cambios para deshacer sus cambios.
7.3.2 CONFIGURACION DE UN NIC INALMBRICO.- Busque los SSID
Cuando se haya conigurado un punto de acceso, necesitara conigurar el NIC inalambrico en un dispositio cliente para permitirle conectase a la red inalambrica. Debera eriicar, ademas, que el cliente inalambrico se haya conectado exitosamente a la red inalambrica correcta, especialmente porque pueden existir muchas \LAN disponibles a las cuales conectarse. 1ambin introducimos algunos pasos basicos de resolucin de problemas e identiicacin de problemas comunes asociados con la conectiidad \LAN.
Si su PC esta equipada con un NIC inalambrico, debe estar listo para buscar redes inalambricas. Las PC que ejecutan \indows XP tienen monitor de redes inalambricas y utilidades de cliente incorporados. Puede tener instalada una utilidad dierente en lugar de la ersin de Microsot \indows XP.
Los pasos que se mencionan a continuacin indican cmo utilizar el dispositio Ver redes inalambricas en Microsot \indows XP.
laga clic en los pasos numerados en la igura para seguir el proceso.
Paso 1. Ln la barra de herramientas de la bandeja del sistema de Microsot \indows XP, ubique el cono de conexin en red similar al que se muestra en la igura. laga doble clic en el cono para abrir el cuadro de dialogo de Conexiones de red.
Paso 2. laga clic en el botn Ver redes inalambricas en el cuadro de dialogo.
Paso 3. Obsere las redes inalambricas que puede detectar su NIC inalambrico.
Si tiene una \LAN que no puede erse en la lista de redes, puede que tenga deshabilitada el broadcast SSID en el punto de acceso. Si este el caso, debe ingresar manualmente el SSID.
Seleccione el protocolo de seguridad inalambrica
Luego de haber conigurado su punto de acceso para autenticar clientes con un tipo de seguridad slida, debe coincidir la coniguracin del cliente con los parametros del punto de acceso. Los siguientes pasos describen cmo conigurar los parametros de seguridad de su red inalambrica en el cliente:
Paso 1. laga doble clic en el cono de conexiones de red en la bandeja del sistema de Microsot \indows XP.
Paso 2. laga clic en el botn Propiedades en el cuadro de dialogo Lstado de conexiones de red inalambricas.
Paso 3. Ln el cuadro de dialogo Propiedades, haga clic en la etiqueta Redes inalambricas.
Paso 4. Ln la etiqueta Redes inalambricas, haga clic en el botn Agregar. Ademas, podra guardar periles inalambricos mltiples con dierentes parametros de seguridad, lo que le permite conectarse rapidamente a las \LAN que pueda utilizar regularmente.
Paso 5. Ln el cuadro de dialogo de Propiedades de red inalambrica, ingrese el SSID de la \LAN que quiere conigurar.
Paso 6. Ln el cuadro de clae de red inalambrica, seleccione su mtodo de autenticacin preerido del men desplegable Autenticacin de red. Se preieren \PA2 y PSK2 por su solidez.
Paso . Seleccione el mtodo de Lncriptacin de datos del men desplegable. Recuerde que el ALS es un cdigo mas slido que 1KIP, pero debe coincidir con la coniguracin de su punto de acceso aqu en su PC.
Luego de seleccionar el mtodo de encriptacin, ingrese y conirme la Clae de red. Nueamente, ste es un alor quedebe ingresar en el punto de acceso.
Paso 8. laga clic en Aceptar.
Verifique la conectividad a la LAN inalmbrica
Con las coniguraciones establecidas para el punto de acceso y el cliente, el prximo paso es conirmar la conectiidad. Lsto se realiza eniando un ping a los dispositios en la red.
Abra la entana peticin de entrada del comando DOS en la PC.
1rate de hacer ping a una direccin IP conocida para el dispositio en la red. Ln la igura, la direccin IP es 192.168.1.254. Ll ping ue exitoso, lo que indica una conexin exitosa.
7.4 RESOLUCIN DE PROBLEMAS DE WLAN SIMPLES.- 7.4.1 RESOLVER EL RADIO DE PUNTO DE ACCESO Y TEMAS DE FIRMWARE.- Un enfoque sistemtico a la resolucin de problemas de WLAN
La resolucin de problemas de cualquier tipo de problema de red debe seguir un enoque sistematico y trabajar la stack de 1CP,IP desde la capa lsica hasta la Capa de aplicacin. Lsto ayuda a eliminar cualquier inconeniente que pueda resoler usted mismo.
laga clic en el botn Lnoque en la igura.
\a debe estar amiliarizado con los primeros tres pasos de un enoque sistematico de la resolucin de problemas, dado que trabaj con las LAN 802.3 Lthernet. Se repiten aqu en el contexto de la \LAN:
Paso 1 - Eliminar la PC del usuario como origen del problema.
Intente determinar la seeridad del problema. Si no hay conectiidad, compruebe lo siguiente:
Conirme la coniguracin de la red en la PC mediante el comando ipconig. Veriique que la PC recibi una direccin IP a tras de DlCP o esta conigurada con una direccin IP estatica. Conirme que el dispositio puede conectarse a una red conectada por cable. Conecte el dispositio a la LAN conectada por cable y ene un ping a una direccin IP conocida. Puede ser necesario intentar un NIC inalambrico dierente. De ser necesario, recargue los controladores y irmware como sea apropiado para el dispositio cliente. Si el NIC inalambrico del cliente unciona, compruebe el modo seguridad y la coniguracin de encriptacin en el cliente. Si las coniguraciones de seguridad no concuerdan, el cliente no podra acceder a la \LAN.
Si la PC del usuario unciona pero lo hace con poco rendimiento, compruebe lo siguiente:
,Cuan lejos esta la PC del punto de acceso ,La PC esta uera del area de cobertura ,BSA, planeada Compruebe la coniguracin de canal en el cliente. Ll sotware cliente debe detectar el canal apropiado siempre y cuando el SSID sea correcto. Compruebe la presencia de otros dispositios en el area que operen en la banda de 2,4 Glz. Ljemplos de otros dispositios son los telonos inalambricos, monitores de beb, hornos de microondas, sistemas de seguridad inalambricos y puntos de acceso no autorizados potenciales. Los datos de estos dispositios pueden causar intererencia en la \LAN y problemas de conexin intermitente entre un cliente y un punto de acceso.
Paso 2 - Confirme el estado fsico de los dispositivos.
,1odos los dispositios estan en su lugar Considere un tema de seguridad sica posible. ,lay energa en todos los dispositios y estan encendidos
Paso 3 - Inspeccione los enlaces.
Inspeccione los enlaces entre los dispositios conectados por cable buscando conectores danados o que no uncionen o cables altantes. Si la planta sica esta ubicada correctamente, utilice la LAN conectada por cables para er si puede hacer ping a los dispositios, incluido el punto de acceso.
Si an alla la conectiidad en este punto, probablemente hay algo mal con el punto de acceso o su coniguracin.
Mientras soluciona problemas en una \LAN, se recomienda un proceso de eliminacin que trabaje desde posibilidades sicas a las relacionadas con las aplicaciones. Cuando alcance el punto donde ya elimin la PC del usuario como problema y tambin conirm el estado sico de los dispositios, comience a inestigar el rendimiento del punto de acceso. Compruebe el estado de energa del punto de acceso.
Cuando se conirm la coniguracin del punto de acceso, si la radio contina allando, intente conectarse a otro punto de acceso. Puede intentar instalar nueos controladores de radio y irmware, como se explica a continuacin.
7.4.2 CONFIGURACION DE CANAL INCORRECTA.- Actualizar el Firmware del punto de acceso
Precaucin: No actualice el irmware a menos que experimente problemas con el punto de acceso o que el nueo irmware tenga una caracterstica que quiera utilizar.
Ll irmware para un dispositio Linksys, como el utilizado en las practicas de laboratorio de este curso, se actualiza con una utilidad basada en la web. Siga las siguientes instrucciones:
laga clic en el botn Descargar irmware en la igura.
Paso 1. Descargue el irmware desde la web. Para un Linksys \1R300N, dirjase a http:,,www.linksys.com.
laga clic en el botn Seleccionar irmware para instalar, en la igura.
Paso 2. Lxtraiga el archio del irmware en su computadora.
Paso 3. Abra la utilidad basada en la web y haga clic en la etiqueta Administracin.
Paso 4. Seleccione la etiqueta Actualizacin de irmware.
Paso 5. Ingrese la ubicacin del archio de irmware o haga clic en el botn Lxplorar para encontrar el archio.
laga clic en el botn Ljecutar actualizacin de irmware en la igura.
Paso 6. laga clic en el botn Iniciar actualizacin y siga las instrucciones.
Haga clic en el botn Problema en la figura.
Si los usuarios inorman que existen problemas de conectiidad en el area entre los puntos de acceso en un conjunto de sericios extendidos \LAN, puede haber un problema de coniguracin de canal.
laga clic en el botn Razn en la igura.
La mayora de las \LAN operan en la banda de 2,4 Glz, que puede tener hasta 14 canales, cada uno ocupando un ancho de banda de 22 Mlz. La energa no esta distribuida en orma pareja en los 22 Mlz, sino que el canal es mas uerte en su recuencia central y la energa disminuye hacia los bordes del canal. Ll concepto de energa menguante en un canal se muestra en la lnea cura utilizada para indicar cada canal. Ll punto alto en el medio de cada canal es el punto de mayor energa. La igura proee una representacin graica de los canales en la banda de 2,4 Glz.
Una explicacin completa de la manera en que la energa se dispersa a tras de las recuencias en un canal excede el alcance de este curso.
laga clic en el botn Solucin que se muestra en la igura.
Puede producirse intererencia cuando hay una superposicin de canales. Ls peor si los canales se superponen cerca del centro de las recuencias, pero, incluso si la superposicin es menor, las senales intereriran una con la otra. Lstablezca los canales a interalos de cinco canales, como canal 1, canal 6 y canal 11.
7.4.3 RESOLVER EL RADIO DE PUNTO DE ACCESO Y TEMAS DE FIRMWARE.- Resolver la interferencia RF
La coniguracin incorrecta de canales es parte de un grupo de problemas mayores con la intererencia Rl. Los administradores de \LAN pueden controlar la intererencia causada por la coniguracin de canal con buen planeamiento, incluida la distancia apropiada entre canales.
laga clic en el botn Problema en la igura.
Se pueden hallar otros orgenes de intererencia Rl alrededor del espacio de trabajo o en el hogar. 1al ez haya experimentado la interrupcin tipo lluia de una senal de teleisin cuando alguien cercano al teleisor utiliza una aspiradora. Dicha intererencia puede ser moderada con un buen planeamiento. Por ejemplo: planee ubicar los hornos de microondas lejos de los puntos de acceso y clientes potenciales. Desaortunadamente, el rango total de problemas de intererencia Rl posible no puede planearse porque simplemente hay demasiadas posibilidades.
laga clic en el botn Razn en la igura.
Ll problema con dispositios como los telonos inalambricos, monitores de beb y hornos de microondas, es que no son parte de un BSS, por lo que no compiten por el canal, simplemente lo utilizan. ,Cmo puede descubrir qu canales en un area son los mas congestionados
Ln un ambiente \LAN pequeno, intente conigurar su punto de acceso \LAN al canal 1 u 11. Muchos artculos, como los telonos inalambricos, operan en el canal 6.
Releamientos del sitio
Ln ambientes mas congestionados, se puede necesitar un releamiento del sitio. A pesar de no conducir releamientos del sitio como parte de este curso, debe saber que hay dos categoras de releamientos del sitio: manual y asistida por utilidades.
Los releamientos manuales del sitio pueden incluir ealuacin del sitio seguido por un releamiento del sitio mas proundo asistido por utilidades. Una ealuacin de sitio inolucra la inspeccin del area con el objetio de identiicar temas potenciales que pueden tener un impacto en la red. Lspecicamente, busque la presencia de \LAN mltiples, estructuras de ediicio nicas, como pisos abiertos y atrios, y grandes ariaciones de utilizacin de cliente, como aquellas causadas por las dierencias en nieles de turnos de personal de da y de noche.
laga clic en el botn Solucin que se muestra en la igura.
lay muchos enoques para realizar los releamientos del sitio asistidos por utilidades. Si no tiene acceso a las herramientas dedicadas al releamiento del sitio, como Airmagnet, puede montar puntos de acceso en trpodes y establecerlos en ubicaciones que cree son apropiadas y de acuerdo con el plan proyectado del sitio. Con los puntos de acceso montados, puede moerlos en las instalaciones mediante un medidor de releamientos del sitio en la utilidad \LAN de cliente de su PC, como se muestra en la captura de pantalla 1 en la igura.
Alternatiamente, existen herramientas soisticadas que le permiten entrar a un plano de planta de las instalaciones. Puede entonces iniciar un registro de las caractersticas Rl del sitio, que luego se muestran en el plano de planta, a medida que se muee a tras de las instalaciones con su computadora portatil inalambrica. Un ejemplo del resultado de un releamiento del sitio Airmagnet se muestra en la captura de pantalla 2 en la igura.
Parte de la entaja de realizar releamientos del sitio asistidos por utilidades es que la actiidad Rl en los dierentes canales de las bandas sin licencia ,900 Mlz, 2,4 Glz, y 5 Glz, se documenta y luego el usuario puede elegir los canales para su \LAN, o al menos identiicar las areas de actiidad Rl alta y tomar las precauciones necesarias.
7.4.4 RESOLVER EL RADIO DE PUNTO DE ACCESO Y TEMAS DE FIRMWARE.- Identificar problemas de mala ubicacin de puntos de acceso
Ln este tema, aprendera cmo identiicar cuando un punto de acceso esta mal ubicado y cmo ubicarlo correctamente en una empresa pequena o mediana.
laga clic en el botn Problema en la igura.
Pudo haber experimentado una \LAN que simplemente no pareca uncionar como debera. 1al ez pierda constantemente la asociacin con un punto de acceso, o su transerencia de datos es mucho menor a lo que debera ser. Incluso puede haber realizado un paseo rapido por las instalaciones para conirmar que realmente puede er los puntos de acceso. Una ez conirmado que estan all, se pregunta por qu el sericio sigue siendo pobre.
laga clic en el botn Razn en la igura.
Lxisten dos problemas importantes de implementacin que pueden producirsecon la ubicacin de los puntos de acceso:
La distancia que separa los puntos de acceso es demasiada como para permitir la superposicin de cobertura. La orientacin de la antena de los puntos de acceso en los estbulos y esquinas disminuye la cobertura.
laga clic en el botn Solucin que se muestra en la igura.
Ubique el punto de acceso de la siguiente manera:
Conirme la coniguracin de energa y rangos operacionales de los puntos de acceso y ubquelos para un mnimo de 10 a 15 de superposicin de celdas, como aprendi anteriormente en este captulo.
Cambie la orientacin y posicin de los puntos de acceso:
Posicione los puntos de acceso sobre las obstrucciones. Posicione los puntos de acceso en orma ertical, cerca del techo en el centro de cada area de cobertura, de ser posible. Posicione los puntos de acceso en las ubicaciones donde se espera que estn los usuarios. Por ejemplo: las salas grandes son una mejor ubicacin para los puntos de acceso que un estbulo.
La igura explora estos temas en la secuencia problema, motio y solucin.
laga clic en los botones para aanzar a tras de la graica.
Algunos detalles especicos adicionales concernientes a la ubicacin del punto de acceso y de la antena son los siguientes:
Asegrese de que los puntos de acceso no estn montados a menos de ,9 pulgadas ,20 cm, del cuerpo de cualquier persona. No monte el punto de acceso dentro de un radio de 3 pies ,91,4 cm, de obstrucciones metalicas. Instale el punto de acceso lejos de hornos de microondas. Los hornos de microondas operan en la misma recuencia que los puntos de acceso y pueden causar intererencia en la senal. Siempre monte el punto de acceso de manera ertical ,parado o colgando,. No monte el punto de acceso uera de los ediicios. No monte el punto de acceso en las paredes perimetrales de ediicios, a menos que se desee cobertura uera de ste. Cuando monte un punto de acceso en la esquina derecha de un estbulo con interseccin a la derecha, hagalo a un angulo de 45 hacia ambos estbulos. Las antenas internas de los puntos de acceso no son omnidireccionales y cubren un area mayor si se los monta de esa manera.
7.4.5 PROBLEMAS CON LA AUTENTIFICACION Y ENCRIPTACION.- Los problemas de autenticacin y encriptacin de la \LAN que masprobablemente aya a enrentar y que podra resoler son causados por coniguraciones de cliente incorrectas. Si un punto de acceso espera un tipo de encriptacin y el cliente orece uno dierente, el proceso de autenticacin alla.
Los problemas de encriptacin que inolucran la creacin de claes dinamicas y las conersaciones entre un seridor de autenticacin, como un seridor RADIUS y un cliente a tras de un punto de acceso, estan uera del alcance de este curso.
Recuerde que todos los dispositios que se conectan a un punto de acceso deben utilizar el mismo tipo de seguridad que el conigurado en el punto de acceso. Por lo tanto, si un punto de acceso esta conigurado para \LP, tanto el tipo de encriptacin ,\LP, como la clae compartida deben coincidir entre el cliente y el punto de acceso. Si se utiliza \PA, el algoritmo de encriptacin es 1KIP. De manera similar, si se utiliza \PA2 u 802.11i, se requiere ALS como algoritmo de encriptacin.
La Construcción de Una LAN Que Satisfaga Las Necesidades de Empresas Pequeñas o Medianas Tiene Más Probabilidades de Ser Exitosa Si Se Utiliza Un Modelo de Diseño Jerárquico