Cisco CCNA 3 Exploration

CAPITULO I DISEO DE LAN
1.0 INTRODUCCIN DEL CAPITULO.-

1.0.1 INTRODUCCIN DEL CAPITULO.-
Para pequenas y medianas empresas, la comunicacin digital de datos, oz y ideo es esencial para la superiencia de la
empresa. Ln consecuencia, una LAN con un diseno apropiado es un requisito undamental para hacer negocios en el
presente. Ll usuario debe ser capaz de reconocer una LAN bien disenada y seleccionar los dispositios apropiados para
admitir las especiicaciones de las redes de una empresa pequena o mediana.

Ln este captulo, el usuario comenzara a explorar la arquitectura de la LAN conmutada y algunos de los principios que se
utilizan para disenar una red jerarquica. Ll usuario aprendera sobre las redes conergentes. 1ambin aprendera cmo
seleccionar el switch correcto para una red jerarquica y qu switches Cisco son los mas adecuados para cada capa de red. Las
actiidades y los laboratorios conirman y reuerzan su aprendizaje.

1.1 ARQUITECTURA DE LA LAN CONMUTADA.-
1.1.1 MODELO DE REDES JERRQUICAS.-
La construccin de una LAN que satisaga las necesidades de empresas pequenas o medianas tiene mas probabilidades de
ser exitosa si se utiliza un modelo de diseno jerarquico. Ln comparacin con otros disenos de redes, una red jerarquica se
administra y expande con mas acilidad y los problemas se resuelen con mayor rapidez.

Ll diseno de redes jerarquicas implica la diisin de la red en capas independientes. Cada capa cumple unciones especicas
que deinen su rol dentro de la red general. La separacin de las dierentes unciones existentes en una red hace que el
diseno de la red se uela modular y esto acilita la escalabilidad y el rendimiento. Ll modelo de diseno jerarquico tpico se
separa en tres capas: capa de acceso, capa de distribucin y capa ncleo. Un ejemplo de diseno de red jerarquico de tres
capas se obsera en la igura.

Capa de acceso

La capa de acceso hace interaz con dispositios inales como las PC, impresoras y telonos IP, para proeer acceso al resto
de la red. Lsta capa de acceso puede incluir routers, switches, puentes, hubs y puntos de acceso inalambricos. Ll propsito
principal de la capa de acceso es aportar un medio de conexin de los dispositios a la red y controlar qu dispositios
pueden comunicarse en la red.

Pase el mouse sobre el botn Acceso en la figura.

Capa de distribucin

La capa de distribucin agrega los datos recibidos de los switches de la capa de acceso antes de que se transmitan a la capa
ncleo para el enrutamiento hacia su destino inal. La capa de distribucin controla el lujo de traico de la red con el uso de
polticas y traza los dominios de broadcast al realizar el enrutamiento de las unciones entre las LAN irtuales ,VLAN,
deinidas en la capa de acceso. Las VLAN permiten al usuario segmentar el traico sobre un switch en subredes separadas.
Por ejemplo, en una uniersidad el usuario podra separar el traico segn se trate de proesores, estudiantes y huspedes.
Normalmente, los switches de la capa de distribucin son dispositios que presentan disponibilidad y redundancia altas para
asegurar la iabilidad. Aprendera mas acerca de las VLAN, los dominios de broadcast y el enrutamiento entre las VLAN,
posteriormente en este curso.

Pase el mouse sobre el botn Distribucin en la figura.

Capa ncleo

La capa ncleo del diseno jerarquico es la backbone de alta elocidad de la internetwork. La capa ncleo es esencial para la
interconectiidad entre los dispositios de la capa de distribucin, por lo tanto, es importante que el ncleo sea sumamente
disponible y redundante. Ll area del ncleo tambin puede conectarse a los recursos de Internet. Ll ncleo agrega el traico

de todos los dispositios de la capa de distribucin, por lo tanto debe poder reeniar grandes cantidades de datos
rapidamente.

Pase el mouse por el botn Ncleo en la figura.
Nota: Ln redes mas pequenas, no es inusual que se implemente un modelo de ncleo colapsado, en el que se combinan la
capa de distribucin y la capa ncleo en una capa.

Red jerrquica en una empresa mediana

Lxaminemos un modelo de red jerarquica aplicada a una empresa. Ln la igura, las capas de acceso, de distribucin y ncleo
se encuentran separadas en jerarquas bien deinidas. Lsta representacin lgica contribuye a que resulte acil er qu
switches desempenan qu uncin. Ls mucho mas dicil er estas capas jerarquicas cuando la red se instala en una empresa.

Haga clic en el botn Diseo fsico en la figura.

La igura muestra dos pisos de un ediicio. Las computadoras del usuario y los dispositios de la red que necesitan acceso a
la red se encuentran en un piso. Los recursos, como seridores de correo electrnico y seridores de bases de datos, se
ubican en otro piso. Para asegurar que cada piso tenga acceso a la red, se instalan la capa de acceso y los switches de
distribucin en los armarios de cableado de cada piso y se conectan a todos los dispositios que necesitan acceso a la red. La
igura muestra un pequeno bastidor de switches. Ll switch de la capa de acceso y el switch de la capa de distribucin se
encuentran apilados uno sobre el otro en el armario de cableado.

Aunque no se muestran los switches de la capa ncleo y otros switches de la capa de distribucin, es posible obserar cmo
la distribucin sica de una red diiere de la distribucin lgica de una red.

Beneficios de una red jerrquica

Lxisten muchos beneicios asociados con los disenos de la red jerarquica.

Escalabilidad

Las redes jerarquicas escalan muy bien. La modularidad del diseno le permite reproducir exactamente los elementos del
diseno a medida que la red crece. Debido a que cada instancia del mdulo es consistente, resulta acil planiicar e
implementar la expansin. Por ejemplo, si el modelo del diseno consiste en dos switches de la capa de distribucin por cada
10 switches de la capa de acceso, puede continuar agregando switches de la capa de acceso hasta tener 10 switches de la capa
de acceso interconectados con los dos switches de la capa de distribucin antes de que necesite agregar switches adicionales
de la capa de distribucin a la topologa de la red. Ademas, a medida que se agregan mas switches de la capa de distribucin
para adaptar la carga de los switches de la capa de acceso, se pueden agregar switches adicionales de la capa ncleo para
manejar la carga adicional en el ncleo.

Redundancia

A medida que crece una red, la disponibilidad se torna mas importante. Puede aumentar radicalmente la disponibilidad a
tras de implementaciones redundantes aciles con redes jerarquicas. Los switches de la capa deacceso se conectan con dos
switches dierentes de la capa de distribucin para asegurar la redundancia de la ruta. Si alla uno de los switches de la capa
de distribucin, el switch de la capa de acceso puede conmutar al otro switch de la capa de distribucin. Adicionalmente, los
switches de la capa de distribucin se conectan con dos o mas switches de la capa ncleo para asegurar la disponibilidad de
la ruta si alla un switch del ncleo. La nica capa en donde se limita la redundancia es la capa de acceso. labitualmente, los
dispositios de nodo inal, como PC, impresoras y telonos IP, no tienen la capacidad de conectarse con switches mltiples
de la capa de acceso para redundancia. Si alla un switch de la capa de acceso, slo se eran aectados por la interrupcin los
dispositios conectados a ese switch en particular. Ll resto de la red continuara uncionando sin alteraciones.

Rendimiento

Ll rendimiento de la comunicacin mejora al eitar la transmisin de datos a tras de switches intermediariosde bajo
rendimiento. Los datos se enan a tras de enlaces del puerto del switch agregado desde la capa de acceso a la capa de
distribucin casi a la elocidad de cable en la mayora de los casos. Luego, la capa de distribucin utiliza sus capacidades de
conmutar el alto rendimiento para reeniar el traico hasta el ncleo, donde se enruta hacia su destino inal. Debido a que las
capas ncleo y de distribucin realizan sus operaciones a elocidades muy altas, no existe contencin para el ancho de banda
de la red. Como resultado, las redes jerarquicas con un diseno apropiado pueden lograr casi la elocidad de cable entre todos
los dispositios.

Seguridad

La seguridad mejora y es mas acil de administrar. Ls posible conigurar los switches de la capa de acceso con arias
opciones de seguridad del puerto que proeen control sobre qu dispositios se permite conectar a la red. Ademas, se
cuenta con la lexibilidad de utilizar polticas de seguridad mas aanzadas en la capa de distribucin. Puede aplicar las
polticas de control de acceso que deinen qu protocolos de comunicacin se implementan en su red y dnde se les permite
dirigirse. Por ejemplo, si desea limitar el uso de l11P a una comunidad de usuarios especica conectada a la capa de
acceso, podra aplicar una poltica que bloquee el traico de l11P en la capa de distribucin. La restriccin del traico en
base a protocolos de capas mas eleadas, como IP y l11P, requiere que sus switches puedan procesar las polticas en esa
capa. Algunos switches de la capa de acceso admiten la uncionalidad de la Capa 3, pero en general es responsabilidad de los
switches de la capa de distribucin procesar los datos de la Capa 3, porque pueden procesarlos con mucha mas eicacia.

Facilidad de administracin

La acilidad de administracin es relatiamente simple en una red jerarquica. Cada capa del diseno jerarquico cumple
unciones especicas que son consistentes en toda esa capa. Por consiguiente, si necesita cambiar la uncionalidad de un
switch de la capa de acceso, podra repetir ese cambio en todos los switches de la capa de acceso en la red porque
presumiblemente cumplen las mismas unciones en su capa. La implementacin de switches nueos tambin se simpliica
porque se pueden copiar las coniguraciones del switch entre los dispositios con muy pocas modiicaciones. La consistencia
entre los switches en cada capa permite una recuperacin rapida y la simpliicacin de la resolucin de problemas. Ln
algunas situaciones especiales, podran obserarse inconsistencias de coniguracin entre los dispositios, por eso debe
asegurarse de que las coniguraciones se encuentren bien documentadas, de manera que pueda compararlas antes de la
implementacin.

Capacidad de mantenimiento

Debido a que las redes jerarquicas son modulares en naturaleza y escalan con mucha acilidad, son aciles de mantener. Con
otros disenos de la topologa de la red, la administracin se torna altamente complicada a medida que la red crece. 1ambin,
en algunos modelos de disenos de red, existe un lmite en cuanto a la extensin del crecimiento de la red antes de que se
torne demasiado complicada y costosa de mantener. Ln el modelo del diseno jerarquico se deinen las unciones de los
switches en cada capa haciendo que la seleccin del switch correcto resulte mas acil. La adicin de switches a una capa no
necesariamente signiica que se eitara un cuello de botella u otra limitacin en otra capa. Para que una topologa de red de
malla completa alcance el rendimiento maximo, es necesario que todos los switches sean de alto rendimiento porque es
undamental que cada switch pueda cumplir todas las unciones en la red. Ln el modelo jerarquico, las unciones de los
switches son dierentes en cada capa. Se puede ahorrar dinero con el uso de switches de la capa de acceso menos costosos
en la capa inerior y gastar mas en los switches de la capa de distribucin y la capa ncleo para lograr un rendimiento alto en
la red.

1.1.2 PRINCIPIOS DE DISEO DE REDES JERRQUICAS.-
Principios de diseo de redes jerrquicas

Slo porque aparentemente una red presenta un diseno jerarquico, no signiica que la red est bien disenada. Lstas guas
simples le ayudan a dierenciar entre redes jerarquicas con un buen diseno y las que presentan un diseno deiciente. La
intencin de esta seccin no es proporcionarle todas las destrezas y el conocimiento que necesita para disenar una red
jerarquica sino orecerle una oportunidad de comenzar a practicar sus destrezas a tras de la transormacin de una
topologa de red plana en una topologa de red jerarquica.

Dimetro de la red

Al disenar una topologa de red jerarquica, lo primero que debe considerarse es el diametro de la red. Con recuencia, el
diametro es una medida de distancia pero en este caso se utiliza el trmino para medir el nmero de dispositios. Ll
diametro de la red es el nmero de dispositios que un paquete debe cruzar antes de alcanzar su destino. Mantener bajo el
diametro de la red asegura una latencia baja y predecible entre los dispositios.

Pase el mouse por el botn Dimetro de la red en la figura.

Ln la igura, la PC1 se comunica con la PC3. Ls posible que existan hasta seis switches interconectados entre la PC1 y la
PC3. Ln este caso, el diametro de la red es 6. Cada switch en la ruta introduce cierto grado de latencia. La latencia del
dispositio de red es el tiempo que transcurre mientras un dispositio procesa un paquete o una trama. Cada switch debe
determinar la direccin MAC de destino de la trama, eriicar la tabla de la direccin MAC y eniar la trama al puerto
apropiado. Aunque el proceso completo se produce en una raccin de segundo, el tiempo se acrecienta cuando la trama
debe cruzar arios switches.

Ln el modelo jerarquico de tres capas, la segmentacin de la Capa 2 en la capa de distribucin practicamente elimina el
diametro de la red como consecuencia. Ln una red jerarquica, el diametro de la red siempre a a ser un nmero predecible
de saltos entre el dispositio origen y el dispositio destino.

Agregado de ancho de banda

Cada capa en el modelo de redes jerarquicas es una candidata posible para el agregado de ancho de banda. Ll agregado de
ancho de banda es la practica de considerar los requisitos de ancho de banda especicos de cada parte de la jerarqua.
Despus de que se conocen los requisitos de ancho de banda de la red, se pueden agregar enlaces entre switches especicos,
lo que recibe el nombre de agregado de enlaces. Ll agregado de enlaces permite que se combinen los enlaces de puerto de
los switches mltiples a in de lograr un rendimiento superior entre los switches. Cisco cuenta con una tecnologa de
agregado de enlaces especica llamada LtherChannel, que permite la consolidacin de mltiples enlaces de Lthernet. Un
analisis de LtherChannel excede el alcance de este curso. Para obtener mas inormacin, isite:
http:,,www.cisco.com,en,US,tech,tk389,tk213,tsd_technology_support_protocol_home.html.

Pase el mouse por el botn Agregado de ancho de banda en la figura.

Ln la igura, las computadoras PC1 y PC3 requieren una cantidad signiicatia de ancho de banda porque se utilizan para
desarrollar simulaciones de condiciones climaticas. Ll administrador de la red ha determinado que los switches S1, S3 y S5
de la capa de acceso requieren un aumento del ancho de banda. Lstos switches de lacapa de acceso respetan la jerarqua y se
conectan con los switches de distribucin D1, D2 y D4. Los switches de distribucin se conectan con los switches C1 y C2
de la capa ncleo. Obsere cmo los enlaces especicos en puertos especicos se agregan encada switch. De esta manera,
se suministra un aumento del ancho de banda para una parte especica, seleccionada de la red. Obsere que en esta igura se
indican los enlaces agregados por medio de dos lneas de puntos con un alo que las relaciona. Ln otras iguras, los enlaces
agregados estan representados por una lnea de puntos nica con un alo.

Redundancia

La redundancia es una parte de la creacin de una red altamente disponible. Se puede proeer redundancia de arias
maneras. Por ejemplo, se pueden duplicar las conexiones de red entre los dispositios o se pueden duplicar los propios
dispositios. Lste captulo explora cmo emplear rutas de redes redundantes entre los switches. Un analisis de la duplicacin
de los dispositios de red y del empleo de protocolos especiales de red para asegurar una alta disponibilidad excede el
alcance de este curso. Para acceder a un analisis interesante acerca de la alta disponibilidad, isite:
http:,,www.cisco.com,en,US,products,ps6550,products_ios_technology_home.html.

La implementacin de los enlaces redundantes puede ser costosa. Imagine que cada switch en cada capa de la jerarqua de la
red tiene una conexin con cada switch de la capa siguiente. Ls improbable que sea capaz de implementar la redundancia en
la capa de acceso debido al costo y a las caractersticas limitadas en los dispositios inales pero puede crear redundancia en
las capas de distribucin y ncleo de la red.

Pase el mouse por el botn Enlaces redundantes en la figura.

Ln la igura, los enlaces redundantes se obseran en la capa de distribucin y en la capa ncleo. Ln la capa de distribucin
existen dos switches de capa de distribucin, el mnimo requerido para admitir redundancia en esta capa. Los switches de la
capa de acceso, S1, S3, S4 y S6, se encuentran interconectados con los switches de la capa de distribucin. Lsto protege su
red si alla uno de los switches de distribucin. Ln caso de alla, el switch de la capa de acceso ajusta su ruta de transmisin y
reena el traico a tras del otro switch de distribucin.

Ciertas situaciones de alla de la red nunca pueden impedirse, por ejemplo si la energa elctrica se interrumpe en la ciudad
entera o el ediico completo se derrumba debido a un terremoto. La redundancia no intenta abordar estos tipos de desastres.
Para obtener mas inormacin acerca de cmo una empresa puede continuar uncionando y recuperarse de un desastre,
isite: http:,,www.cisco.com,en,US,netsol,ns516,networking_solutions_package.html.

Comience en la capa de acceso

Imagine que se requiere un diseno nueo de redes. Los requisitos de diseno, como el niel de rendimiento o la redundancia
necesaria, estan determinados por las metas comerciales de la organizacin. Una ez que se documentan los requisitos de
diseno, el disenador puede comenzar a seleccionar el equipo y la inraestructura para implementar el diseno.

Cuando se inicia la seleccin del equipo en la capa de acceso, puede asegurarse de que se adapta a todos los dispositios de
la red que necesitan acceso a la red. Despus de tener en cuenta todos los dispositios inales se tiene una mejor idea de
cuantos switches de la capa de acceso se necesitan. Ll nmero de switches de la capa de acceso y el traico estimado que
cada uno genera ayuda a determinar cuantos switches de la capa de distribucin se necesitan para lograr el rendimiento y la
redundancia necesarios para la red. Despus de determinar el nmero de switches de la capa de distribucin, se puede
identiicar cuantos switches de ncleo se necesitan para mantener el rendimiento de la red.

Un analisis exhaustio acerca de cmo determinar qu switch seleccionar en base al analisis del lujo de traico y cuantos
switches de ncleo se requieren para mantener el rendimiento queda uera del alcance de este curso. Para una buena
introduccin al diseno de red, lea este libro que se encuentra disponible en Ciscopress.com: 1op-Down Network Design, de
Priscilla Oppenheimer ,2004,.

1.1.3 QU ES UNA RED CONVERGENTE?.-
Las empresas pequenas y medianas adoptan la idea de ejecutar sericios de oz y ideo en sus redes de datos. Obseremos
cmo la oz y el ideo sobre IP ,VoIP, aectan una red jerarquica.

Equipos heredados

La conergencia es el proceso de combinacin de las comunicaciones con oz y ideo en una red de datos. Las redes
conergentes han existido durante algn tiempo pero slo ueron actibles en grandes organizaciones empresariales debido a
los requisitos de inraestructura de la red y a la compleja administracin necesaria para hacer que dichas redes uncionen en
orma continua. Los costos de red asociados con la conergencia eran altos porque se necesitaba un hardware de switches
mas costoso para admitir los requisitos adicionales de ancho de banda. Las redes conergentes tambin necesitaban una
administracin extensia en relacin con la Calidad de Sericio ,QoS,, porque era necesario que el traico de datos con oz y
ideo se clasiicara y priorizara en la red. Pocas personas contaban con la experiencia proesional en cuanto a redes de datos,
oz y ideo para hacer que la conergencia uese actible y uncional. Ademas, el equipo antiguo obstaculiza el proceso. La
igura muestra un switch antiguo de una empresa telenica. Ln la actualidad, la mayora de las empresas telenicas ha
cambiado a switches digitales. Sin embargo, existen muchas oicinas que an utilizan telonos analogos por lo que todaa
tienen armarios de cableado de telonos analogos. Debido a que an no se han reemplazado los telonos analogos,

tambin obserara que debe admitir tanto el sistema telenico PBX antiguo como los telonos IP. Con lentitud se
reemplazara esta clase de equipamiento por switches modernos de telonos IP.

Haga clic en el botn Tecnologa avanzada en la figura.

Tecnologa avanzada

La conergencia de redes de oz, ideo y datos se ha uelto muy popular recientemente en el mercado empresarial pequeno
y mediano debido a los aances en la tecnologa. Ln el presente resulta mas acil implementar y administrar la conergencia
y su adquisicin es menos costosa. La igura muestra una combinacin de switch y de telono VoIP de alta tecnologa
apropiada para una empresa mediana de entre 250 y 400 empleados. La igura tambin muestra un switch Cisco Catalyst
Lxpress 500 y un telono Cisco 906G adecuados para empresas pequenas y medianas. Lsta tecnologa VoIP sola
presentar un precio razonable para empresas y entidades gubernamentales.

La transerencia a una red conergente puede ser una decisin dicil si la empresa ya realiz una inersin en redes de oz,
ideo y datos separadas. Ll abandono de una inersin que an unciona resulta arduo pero la conergencia de oz, ideo y
datos en una inraestructura de red nica presenta arias entajas.

Un beneicio de una red conergente es la existencia de slo una red para administrar. Con las redes de oz, ideo y datos
separadas, los cambios realizados en la red deben coordinarse a tras de redes. Ademas, existen costos adicionales que
resultan del uso de tres conjuntos de cableado de redes. Ll uso de una red nica signiica que el usuario slo debe
administrar una inraestructura conectada por cables.

Otro beneicio es el menor costo de implementacin y administracin. Ls menos costoso implementar una inraestructura
de red nica que tres inraestructuras de redes distintas. La administracin de una red nica es tambin menos costosa.
1radicionalmente, si una empresa cuenta con una red separada de oz y datos, necesita a un grupo de personas que
administren la red de oz y otro grupo que administre la red de datos. Con una red conergente, se necesita a un grupo que
administra tanto la red de oz como la de datos.

Haga clic en el botn Opciones nuevas en la figura.

Opciones nuevas

Las redes conergentes orecen opciones que no existan con anterioridad. Ahora se pueden unir las comunicaciones de oz
y ideo directamente en el sistema de la computadora personal de un empleado, segn se obsera en la igura. No es
necesario contar con un aparato telenico o un equipo para ideoconerencias caros. Se puede lograr la misma uncin con
el uso de un sotware especial integrado con una computadora personal. Las herramientas de telesotware, como Cisco IP
Communicator, orecen mucha lexibilidad a las empresas. La persona que se encuentra en la parte superior izquierda de la
igura utiliza una herramienta de telesotware en la computadora. Cuando se utiliza el sotware en lugar de un telono sico,
una empresa puede realizar la conersin a redes conergentes con rapidez porque no hay gastos de capital en la adquisicin
de telonos IP y de los switches necesarios para accionar los telonos. Con la incorporacin de camaras \eb econmicas,
se pueden agregar ideoconerencias al telesotware. Lstos son slo algunos ejemplos proporcionados por una cartera mas
amplia de soluciones de comunicacin que redeinen el proceso comercial en la actualidad.

Redes separadas de voz, video y datos

Como se puede er en la igura, una red de oz contiene lneas telenicas aisladas que ejecutan un switch PBX para permitir
la conectiidad telenica a la Red pblica de teleona conmutada ,PS1N,. Cuando se agrega un telono nueo, se debe
ejecutar una lnea nuea de regreso al PBX. Ll switch del PBX se ubica habitualmente en el armario de cableado de 1elco,
separado de los armarios de cableado de datos y ideo. Los armarios de cableado con recuencia se separan porque el
personal de apoyo necesita acceso a cada sistema. Sin embargo, mediante el uso de una red jerarquica apropiadamente
disenada y la implementacin de polticas de QoS que dan prioridad a los datos de audio, los datos de oz se pueden
conerger en una red de datos existente con muy poco o ningn impacto en la calidad del audio.

Haga clic en el botn Red de video en la figura para er un ejemplo de una red de ideo separada.

Ln esta igura, el equipo para ideoconerencias esta conectado por cable en orma separada de las redes de oz y de datos.
Los datos de ideoconerencias pueden consumir un ancho de banda signiicatio en una red. Como resultado, se
mantuieron las redes de ideos por separado para permitir que los equipos de ideoconerencias uncionen a toda
elocidad sin competir por el ancho de banda con los lujos de oz y de datos. Mediante el uso de una red jerarquica

apropiadamente disenada y la implementacin de polticas de QoS que dan prioridad a los datos de ideo, puede hacerse que
dichos datos conerjan en una red de datos existente con muy poco o ningn impacto en la calidad del ideo.

Haga clic en el botn Red de datos en la figura para er un ejemplo de una red de datos separada.

La red de datos interconecta las estaciones de trabajo y los seridores en una red para acilitar el uso compartido de recursos.
Las redes de datos pueden consumir un ancho de banda de datos signiicatio y ste es el motio por el cual las redes de
oz, ideo y datos se mantuieron separadas por tan largo tiempo. Ahora que las redes jerarquicas con el diseno apropiado
pueden incluir los requerimientos de ancho de banda de las comunicaciones por oz, ideo y datos al mismo tiempo, tiene
sentido hacer que conerjan en una nica red jerarquica.

1.2 RELACIN ENTRE SWITCHES Y LAS FUNCIONES DE LA LAN.-
1.2.1 CONSIDERACIONES PARA LOS SWITCHES DE REDES JERRQUICAS.-
Anlisis de flujo de trfico

Para seleccionar el switch apropiado para una capa en una red jerarquica, es necesario contar con especiicaciones que
detallen los lujos de traico objetio, las comunidades de usuario, los seridores de datos y los seridores de
almacenamiento de datos.

Las empresas necesitan una red que pueda satisacer los requerimientos del desarrollo. Una empresa puede comenzar con
algunas PC interconectadas de manera que puedan compartir datos. A medida que la empresa contrata mas empleados, los
dispositios, como PC, impresoras y seridores, se agregan a la red. La incorporacin de los nueos dispositios implica un
aumento en el traico de la red. Algunas companas reemplazan sus sistemas telenicos existentes por sistemas telenicos
VoIP conergentes, lo que agrega un traico adicional.

Cuando se selecciona el hardware de switch, se determina qu switches se necesitan en las capas ncleo, distribucin y
acceso para adaptarse a los requerimientos del ancho de banda de red. Su plan debe considerar los requerimientos de ancho
de banda en el uturo. Adquiera el hardware del switch Cisco apropiado para incorporar tanto las necesidades actuales como
las uturas. Para contribuir con la eleccin mas precisa de los switches apropiados, realice y registre los analisis de lujo de
traico de orma regular.

Anlisis del flujo de trfico

Ll analisis del lujo de traico es el proceso de medicin del uso del ancho de banda en una red y el analisis de datos con el
in de lograr ajustes del rendimiento, planiicacin de la capacidad y toma de decisiones con respecto a las mejoras del
hardware. Ll analisis del lujo de traico se realiza con el uso de sotware para analisis de lujo de traico. Aunque no existe
una deinicin exacta de lujo de traico de la red, a eectos del analisis del lujo de traico, es posible decir que el traico de
la red es la cantidad de datos eniados durante un cierto perodo de tiempo. 1odos los datos de la red contribuyen con el
traico, independientemente de su propsito u origen. Ll analisis de los dierentes orgenes del traico y su inluencia en la
red, permite realizar ajustes mas exactos y actualizar la red para lograr el mejor rendimiento posible.

Los datos del lujo de traico pueden utilizarse para ayudar a determinar exactamente cuanto tiempo puede continuar
utilizando el hardware de la red existente antes de que tenga sentido actualizarlo para adaptarse segn los requerimientos
adicionales de ancho de banda. Al tomar las decisiones con respecto a qu hardware adquirir, se deben tener en cuenta las

densidades de puerto y las tasas de reeno del switch para asegurarse de lograr una capacidad de crecimiento adecuada. La
densidad de puerto y las tasas de reeno se explican mas adelante en este captulo.

Lxisten muchas ormas de controlar el lujo de traico en una red. Se pueden controlar manualmente los puertos
indiiduales de switch para obtener la utilizacin del ancho de banda con el tiempo. Al analizar los datos de lujo de traico
se deben determinar los requerimientos de lujo de traico uturo en base a la capacidad en ciertos momentos del da y a
dnde se genera y se ena la mayor cantidad de datos. Sin embargo, para obtener resultados exactos es necesario registrar
datos suicientes. Ll registro manual de los datos del traico es un proceso tedioso que requiere mucho tiempo y diligencia.
Aortunadamente existen algunas soluciones automatizadas.

Herramientas de anlisis

Se encuentran disponibles muchas herramientas de analisis de lujo de traico que registran automaticamente los datos de
lujo de traico en una base de datos y realizan un analisis de tendencias. Ln redes mayores, las soluciones del conjunto del
sotware constituyen el nico mtodo eicaz para realizar el analisis de lujo de traico. La igura exhibe un resultado de
muestra obtenido del Solarwinds Orion 8.1 Netllow Analysis, que controla el lujo de traico en una red. Al recopilar datos
mediante el sotware, se puede obserar exactamente cmo se desempena cada interaz en un punto de tiempo dado en la
red. Con el uso de los cuadros incluidos, se pueden identiicar los problemas de lujo de traico isualmente. Lste proceso es
mucho mas sencillo que tener que interpretar los nmeros en una columna de datos de lujo de traico.

Para obtener una lista de algunas herramientas comerciales de recopilacin y de analisis de lujo de traico, isite
http:,,www.cisco.com,warp,public,32,1ech,nmp,netlow,partners,commercial,index.shtml.

Para obtener una lista de algunas herramientas reeware de recopilacin y de analisis de lujo de traico, isite
http:,,www.cisco.com,warp,public,32,1ech,nmp,netlow,partners,reeware,index.shtml.

Anlisis de las comunidades de usuarios

Ll analisis de las comunidades de usuarios es el proceso de identiicacin de arios grupos de usuarios y su inluencia en el
rendimiento de la red. La orma en que se agrupan los usuarios aecta los aspectos relacionados con la densidad de puerto y
con el lujo de traico, que a su ez inluye en la seleccin de los switches de la red. La densidad de puerto se explica con
posterioridad en este captulo.

Ln un ediicio tpico de oicinas, los usuarios inales se agrupan de acuerdo con la uncin que cumplen en su trabajo
porque necesitan un acceso similar a los recursos y aplicaciones. Ls posible que el Departamento de Recursos lumanos
,lR, se encuentre en un piso de un ediicio de oicinas mientras que el Departamento de linanzas esta en otro. Cada
departamento tiene un nmero dierente de usuarios y de necesidades de aplicacin y requiere de acceso a los dierentes
recursos de datos disponibles a tras de la red. Por ejemplo, cuando se seleccionan switches para los armarios de cableado
de los departamentos de Recursos lumanos y de linanzas, se debera elegir un switch que tuiese los puertos suicientes
para satisacer las necesidades del departamento y que uese lo suicientemente poderoso para adaptarse a los requerimientos

de traico para todos los dispositios en ese piso. Ademas, un buen plan de diseno de redes considera el crecimiento de cada
departamento para asegurar que existen puertos de switch lo suicientemente abiertos que se pueden utilizar antes de la
prxima actualizacin planiicada de la red.

Como se muestra en la igura, el Departamento de Recursos lumanos requiere 20 estaciones de trabajo para sus 20
usuarios. Lso se traduce en 20 puertos de switch necesarios para conectar las estaciones de trabajo a la red. Si se seleccionase
un switch apropiado de la capa de acceso para adaptarse al Departamento de Recursos lumanos, probablemente se elegira
un switch de 24 puertos, que cuenta con los puertos suicientes para incluir las 20 estaciones de trabajo y los enlaces a los
switches de la capa de distribucin.

Crecimiento Futuro
Pero este plan no inorma acerca del crecimiento uturo. Considere qu sucedera si se agregan cinco empleados al
Departamento de Recursos lumanos. Un plan de redes slido incluye la tasa de crecimiento de personal en los pasados
cinco anos para poder anticipar el crecimiento uturo. Con ese concepto en mente, se debe adquirir un switch que pueda
incluir mas de 24 puertos, como es el caso de los switches apilables o modulares que pueden escalar.

Ademas de obserar el nmero de dispositios en un cierto switch en una red, se debe inestigar el traico de red generado
por las aplicaciones de los usuarios inales. Algunas comunidades de usuarios utilizan aplicaciones que generan mucho
traico de red mientras que otras comunidades de usuarios no lo hacen. Mediante la medicin del traico de red generado
para todas las aplicaciones en uso por las dierentes comunidades de usuarios y la determinacin de la ubicacin del origen
de los datos, se puede identiicar el eecto de sumar mas usuarios a esa comunidad.

Una comunidad de usuarios que pertenece a un grupo de trabajo en una empresa pequena queda admitida por un par de
switches y en general se conecta al mismo switch que el seridor. Ln empresas o companas medianas, las comunidades de
usuarios son admitidas por muchos switches. Los recursos que las comunidades de usuarios de empresas o companas
medianas necesitan podran ubicarse en areas geograicamente separadas. Ln consecuencia, la ubicacin de las comunidades
de usuarios inluye en el lugar donde se localizan los almacenamientos de datos y los seridores centrales.

Haga clic en el botn Departamento de Finanzas en la figura.

Si los usuarios de linanzas estan utilizando una aplicacin intensia de red y que intercambia datos con un seridor
especico en la red, es posible que resulte til ubicar a la comunidad de usuarios de linanzas cerca de ese seridor. Al ubicar
a los usuarios cerca de sus seridores y de sus medios de almacenamiento de datos, se puede reducir el diametro de la red
para sus comunicaciones y, por consiguiente, reducir el impacto de su traico a tras del resto de la red.

Una complicacin del analisis del uso de la aplicacin segn las comunidades de usuarios es que el uso no siempre esta
unido por departamentos o ubicacin sica. Ls posible que se deba analizar el impacto de la aplicacin a tras de muchos
switches de la red para determinar su impacto general.

Anlisis de los medios de almacenamiento de datos y de los servidores de datos

Al analizar el traico en una red, se debe considerar dnde se ubican los medios de almacenamiento y los seridores de datos
de manera que se pueda determinar el impacto del traico en la red. Los medios de almacenamiento de datos pueden ser
seridores, redes de almacenamiento de datos ,SAN,, almacenamiento adjunto a redes ,NAS,, unidades de copia de respaldo
en cinta o cualquier otro dispositio o componente en los que se almacenan grandes cantidades de datos.

Al considerar el traico para los medios de almacenamiento y los seridores de datos, se debe considerar tanto el traico
segn el modelo cliente-seridor como el traico entre seridor y seridor.

Segn se obsera en la igura, el traico entre el cliente y el seridor es el traico generado cuando el dispositio de un cliente
accede a los datos de los medios de almacenamiento o de los seridores de datos. Ll traico entre el cliente y el seridor
habitualmente atraiesa mltiples switches para alcanzar su destino. Ll agregado de ancho de banda y las tasas de reeno del
switch son actores importantes que se deben considerar cuando se intenta eliminar cuellos de botella para este tipo de
traico.

Haga clic en el botn Comunicacin entre servidor y servidor en la figura.

Ll traico entre seridor y seridor es el traico generado entre los dispositios de almacenamiento de datos en la red.
Algunas aplicaciones del seridor generan olmenes muy altos de traico entre los almacenamientos de datos y otros
seridores. Para optimizar el traico entre seridor y seridor, los seridores que necesitan acceso recuente a ciertos
recursos se deben ubicar a muy corta distancia uno del otro, para que el traico que generan no aecte el rendimiento del
resto de la red. Los medios de almacenamiento y los seridores de datos habitualmente se ubican en los centros de datos
dentro de una empresa. Un centro de datos es un area segura del ediicio donde se ubican los seridores, los medios de
almacenamiento de datos y otros equipos de la red. Un dispositio puede ubicarse sicamente en el centro de datos pero
puede representarse en una ubicacin totalmente dierente en la topologa lgica. Ll traico a tras de los switches del
centro de datos con recuencia es muy alto debido al traico entre seridor y seridor y entre el seridor y el cliente que
atraiesa los switches. Como resultado, los switches seleccionados para los centros de datos deben ser switches de mas alto
rendimiento que los switches que se hallan en los armarios de cableado en la capa de acceso.

Al examinar las rutas de los datos para arias aplicaciones utilizadas por dierentes comunidades de usuarios, se pueden
identiicar los cuellos de botella potenciales cuando el rendimiento de la aplicacin puede erse aectado por el ancho de
banda inadecuado. Para mejorar el rendimiento, se podran agregar enlaces para adaptarse al ancho de banda o reemplazar
los switches mas lentos por switches mas rapidos que puedan manejar la carga del traico.

Diagramas de topologa

Un diagrama de topologa es una representacin graica de la inraestructura de una red. Un diagrama de topologa muestra
cmo se interconectan todos los switches e incluye detalles de qu puerto del switch interconecta los dispositios. Un
diagrama de topologa muestra de orma graica toda ruta redundante o todos los puertos agregados entre los switches que
aportan resiliencia y rendimiento. Demuestra dnde y cuantos switches estan en uso en su red, as como tambin identiica
su coniguracin. Los diagramas de topologa tambin pueden contener inormacin acerca de las densidades de los
dispositios y de las comunidades de usuarios. Al tener un diagrama de topologa, se pueden identiicar isualmente los
potenciales cuellos de botella en un traico de red de manera que se pueda centrar la recopilacin de datos del analisis de
traico en areas en las que las mejoras pueden ejercer el impacto mas signiicatio en el rendimiento.

Ls posible que resulte dicil componer una topologa de red a posteriori si no se ha participado en el proceso de diseno. Los
cables de la red en los armarios de cableado desaparecen en los pisos y techos y este hecho diiculta el trazado de sus
destinos. \ debido a que los dispositios estan dispersos en todo el ediicio, resulta dicil saber cmo se conectan todas las
piezas. Con paciencia, se puede determinar exactamente cmo se interconecta todo y luego documentar la inraestructura de
la red en un diagrama de topologa.

La igura muestra un diagrama simple de topologa de red. Ntese cuantos switches se encuentran presentes en la red, as
como tambin la orma en que cada switch se interconecta. Ll diagrama de topologa identiica cada puerto del switch
utilizado para las comunicaciones inter switches y rutas redundantes entre switches de capa de acceso y switches de capa de
distribucin. Ll diagrama de topologa tambin muestra dnde se ubican las dierentes comunidades de usuarios en la red y
la ubicacin de los seridores y de los medios de almacenamiento de datos.

1.2.2 CARACTERSTICAS DE LOS SWITCHES.-
Factores de forma de los switches
,Cuales son las caractersticas clae de los switches que se utilizan en las redes jerarquicas Al buscar las especiicaciones
para un switch, ,Qu signiican todos los acrnimos y las rases ,Qu signiica "PoL" y qu es "tasa de reeno" Ln este
tema aprendera sobre estas caractersticas.

Al seleccionar un switch se necesita decidir entre una coniguracin ija o una coniguracin modular y entre apilable y no
apilable. Otra consideracin es el grosor del switch expresado en cantidad de bastidores. Por ejemplo, los Switches de
coniguracin ija que se muestran en la igura son todos de 1 bastidor ,1U,. Con recuencia estasopciones se denominan
actores de orma del switch.

Switches de configuracin fija
Los switches de coniguracin ija son slo lo que podra esperarse: ijos en su coniguracin. Lsto signiica que no se
pueden agregar caractersticas u opciones al switch mas alla de las que originalmente ienen con el switch. Ll modelo en
particular que se compra determina las caractersticas y opciones disponibles. Por ejemplo, si se adquiere un switch ijo
gigabit de 24 puertos, no se pueden agregar puertos cuando se les necesite. labitualmente, existen dierentes opciones de
coniguracin que aran en cuanto al nmero y al tipo de puertos incluidos.

Switches modulares
Los switches modulares orecen mas lexibilidad en su coniguracin. labitualmente, los switches modulares ienen con
chasis de dierentes tamanos que permiten la instalacin de dierentes nmeros de tarjetas de lnea modulares. Las tarjetas de
lnea son las que contienen los puertos. La tarjeta de lnea se ajusta al chasis del switch de igual manera que las tarjetas de
expansin se ajustan en la PC. Cuanto mas grande es el chasis, mas mdulos puede admitir. Como se obsera en la igura, es
posible elegir entre muchos tamanos de chasis dierentes. Si se compr un switch modular con una tarjeta de lnea de 24
puertos, con acilidad se podra agregar una tarjeta de lnea de 24 puertos para hacer que el nmero de puertos ascienda a 48.

Switches apilables
Los switches apilables pueden interconectarse con el uso de un cable especial del backplane que otorga rendimiento de
ancho de banda entre los switches. Cisco introdujo la tecnologa Stack\ise en una de sus lneas de productos con switches.
Stack\ise permite interconectar hasta nuee switches con el uso de conexiones backplane totalmente redundantes. Como se
obsera en la igura, los switches estan apilados uno sobre el otro y los cables conectan los switches en orma de cadena
margarita. Los switches apilados operan con eectiidad como un nico switch mas grande. Los switches apilables son
conenientes cuando la tolerancia a allas y la disponibilidad de ancho de banda son crticas y resulta costoso implementar
un switch modular. Ll uso de conexiones cruzadas hace que la red pueda recuperarse rapidamente si alla un nico switch.
Los switches apilables utilizan un puerto especial para las interconexiones y no utilizan puertos de lnea para las conexiones
inter switches. Asimismo, las elocidades son habitualmente mas rapidas que cuando se utilizan puertos de lnea para la
conexin de switches.

Rendimiento

Cuando se selecciona un switch para las capas de acceso, de distribucin y ncleo, se debe considerar la capacidad del switch
para admitir los requerimientos de densidad de puerto, tasas de reeno y agregado de ancho de banda de la red.

Densidad de puerto

La densidad de puerto es el nmero de puertos disponibles en un switch nico. Los switches de coniguracin ija
habitualmente admiten hasta 48 puertos en un nico dispositio, con opciones de cuatro puertos adicionales para
dispositios de actor de orma pequenos enchuables ,SlP,, segn muestra la igura. Las altas densidades de puerto
permiten un mejor uso del espacio y de la energa cuando la uente de ambos es limitada. Si tiene dos switches y cada uno
contiene 24 puertos, se podran admitir hasta 46 dispositios porque se pierde al menos un puerto por switch para conectar
cada switch al resto de la red. Ademas, se requieren dos tomas de alimentacin elctrica. Por otro lado, si tiene un nico
switch con 48 puertos, se pueden admitir 4 dispositios con un slo puerto utilizado para conectar el switch con el resto de
la red y slo una toma de alimentacin elctrica es necesaria para incluir el nico switch.

Los switches modulares pueden admitir densidades de puerto muy altas mediante el agregado de tarjetas de lnea de puerto
de switch mltiples, como muestra la igura. Por ejemplo, el switch Catalyst 6500 puede admitir un exceso de 1000 puertos
de switch en un nico dispositio.

Las grandes redes empresariales que admiten muchos miles de dispositios de red requieren switches modulares de alta
densidad para lograr el mejor uso del espacio y de la energa. Sin el uso de un switch modular de alta densidad, la red
necesitara muchos switches de coniguracin ija para incluir el nmero de dispositios que necesitan acceso a la red. Lste
enoque puede consumir muchas tomas de alimentacin elctrica y mucho espacio en el armario.

Ll usuario tambin debe abordar el tema de los cuellos de botella del enlace. Una serie de switches de coniguracin ija
pueden consumir muchos puertos adicionales para el agregado de ancho de banda entre los switches con el in de lograr el
rendimiento preisto. Con un nico switch modular, el agregado del ancho de banda no constituye un problema porque el
backplane del chasis puede proporcionar el ancho de banda necesario para incluir los dispositios conectados a las tarjetas
de lnea de puerto del switch.

Velocidades de envo

Haga clic en el botn Velocidades de envo en la figura para observar un ejemplo de tasas de reenvo en los
switches con diferentes densidades de puerto.

Las tasas de reeno deinen las capacidades de procesamiento de un switch mediante la estimacin de la cantidad de datos
que puede procesar por segundo el switch. Las lneas de productos con switch se clasiican segn las tasas de reeno. Los
switches de la capa de entrada presentan tasas de reeno ineriores que los switches de la capa empresarial. Ls importante
considerar las tasas de reeno cuando se selecciona un switch. Si la tasa de reeno del switch es demasiado baja, no puede
incluir una comunicacin a elocidad de cable completa a tras de todos sus puertos de switch. La elocidad de cable es la
tasa de datos que cada puerto en el switch puede lograr, 100 Mb,s last Lthernet o 1000 Mb,s Gigabit Lthernet. Por
ejemplo, un switch gigabit con 48 puertos que opera a una elocidad de cable completa genera 48 Gb,s de traico. Si el
switch slo admite una tasa de reeno de 32 Gb,s, no puede ejecutar la elocidad de cable completa a tras de todos los
puertos de orma simultanea. Aortunadamente, es habitual que los switches de la capa de acceso no necesiten operar a
elocidad de cable completa porque se encuentran sicamente limitados por sus enlaces en la capa de distribucin. Lsto
permite utilizar switches menos costosos, de rendimiento inerior en la capa de acceso y switches mas caros pero con un
rendimiento superior en la capa de distribucin y en la capa ncleo, en las que la tasa de reeno es mas importante.

Agregado de enlaces

Haga clic en el botn Agregado de enlace en la figura.

Como parte del agregado de ancho de banda, se debe determinar si existen puertos suicientes en un switch para agregar y
as admitir el ancho de banda requerido. Por ejemplo, considere un puerto Gigabit Lthernet, que transporta hasta 1 Gb,s de
traico. Si tiene un switch con 24 puertos, con todos los puertos capaces de ejecutar a elocidades de gigabit, podra generar
hasta 24 Gb,s de traico de red. Si el switch esta conectado con el resto de la red a tras de un nico cable de red, puede
slo eniar 1 Gb,s de datos al resto de la red. Debido a la contencin para el ancho de banda, los datos se eniaran con
mas lentitud. Ll resultado es una elocidad de cable de 1,24 disponible para cada uno de los 24 dispositios conectados al
switch. La elocidad de cable describe la tasa maxima y terica de transmisin de datos de una conexin. Por ejemplo, la
elocidad de cable de una conexin Lthernet depende de las propiedades sicas y elctricas del cable, combinadas con la
capa mas baja de los protocolos de conexin.

Ll agregado de enlace ayuda a reducir estos cuellos de botella del traico al permitir la unin de hasta ocho puertos de switch
para las comunicaciones de datos y al suministrar hasta 8 Gb,s de rendimiento de datos cuando se utilizan los puertos
Gigabit Lthernet. Con el agregado de enlaces mltiples de 10 Gigabit Lthernet ,10GbL, en algunos switches de la capa
empresarial, es posible lograr tasas de rendimiento muy altas. Cisco utiliza el trmino LtherChannel cuando describe los
puertos de switch agregados.

Como se obsera en la igura, se utilizan cuatro puertos separados en los switches C1 y D1 para crear un LtherChannel de 4
puertos. La tecnologa LtherChannel permite que un grupo de enlaces sicos de Lthernet cree un enlace lgico de Lthernet
con el in de proporcionar tolerancia a allas y enlaces de alta elocidad entre switches, routers y seridores. Ln este ejemplo
hay un rendimiento equialente a cuatro eces el de la conexin de nico puerto entre los switches C1 y D2.

Funcionalidad de la PoE y de la Capa 3

Otras dos caractersticas que se necesita considerar cuando se selecciona un switch son la uncionalidad de Power oer
Lthernet ,PoL, y de la Capa 3.

Power over Ethernet

Power oer Lthernet ,PoL, permite que el switch suministre energa a un dispositio por el cableado de Lthernet existente.
Como se puede obserar en la igura, esta caracterstica puede utilizarse por medio de los telonos IP y algunos puntos de
acceso inalambricos. PoL permite mayor lexibilidad al instalar los puntos de acceso inalambricos y los telonos IP porque

se los puede instalar en cualquier lugar donde se puede tender un cable de Lthernet. No es necesario considerar cmo
suministrar energa elctrica normal al dispositio. Slo se debe elegir un switch que admita PoL si realmente se a a
aproechar esa uncin, porque suma un costo considerable al switch.

Haga clic en el cono del switch para ver los puertos de PoE.
Haga clic en el cono del telfono para ver los puertos del telfono.
Haga clic en el punto de acceso inalmbrico para observar sus puertos.

Funciones de la Capa 3

Haga clic en el botn funciones de la Capa 3 en la figura para obserar algunas unciones de la Capa 3 que pueden
aportar los switches en una red jerarquica.

Normalmente, los switches operan en la Capa 2 del modelo de reerencia OSI, donde pueden ocuparse principalmente de
las direcciones MAC de los dispositios conectados con los puertos del switch. Los switches de la Capa 3 orecen una
uncionalidad aanzada que se analiza en mas detalle en los captulos posteriores de este curso. Los switches de la Capa 3
tambin reciben el nombre de switches multicapas.

1.2.3 CARCTERSTICAS DEL SWITCH EN UNA RED JERRQUICA.-
Caractersticas del switch de la capa de acceso

Ahora que conoce qu actores debe considerar al elegir un switch, examinemos qu caractersticas se necesitan en cada capa
en una red jerarquica. Luego, podra relacionar la especiicacin del switch con su capacidad para uncionar como switch de
las capas de acceso, de distribucin o ncleo.

Los switches de la capa de acceso acilitan la conexin de los dispositios de nodo inal a la red. Por esta razn, necesitan
admitir caractersticas como seguridad de puerto, VLAN, last Lthernet,Gigabit Lthernet, PoL y agregado de enlaces.

La seguridad de puerto permite que el switch decida cuantos y qu dispositios especicos se permiten conectar al switch.
1odos los switches Cisco admiten seguridad de capa de puerto. La seguridad de puerto se aplica en el acceso. Ln
consecuencia, es una importante primera lnea de deensa para una red. Aprendera acerca de seguridad de puerto en el
captulo 2.

Las VLAN son un componente importante de una red conergente. Ll traico de oz habitualmente recibe una VLAN
separada. De esta manera, el traico de oz puede admitirse con mas ancho de banda, conexiones mas redundantes y
seguridad mejorada. Los switches de la capa de acceso permiten establecer las VLAN para los dispositios de nodo inal en
su red.

La elocidad de puerto es tambin una caracterstica que se necesita considerar para los switches de la capa de acceso. Segn
los requerimientos de rendimiento para su red, debe elegir entre los puertos de switch last Lthernet last y Gigabit
Lthernet. last Lthernet permite hasta 100 Mb,s de traico por puerto de switch. last Lthernet es adecuada para teleona
IP y traico de datos en la mayora de las redes comerciales. Sin embargo, el rendimiento es mas lento que el de los puertos
Gigabit Lthernet. Gigabit Lthernet permite hasta 1000 Mb,s de traico por puerto de switch. La mayora de los dispositios
modernos, como las estaciones de trabajo, computadoras portatiles y telonos IP, admite Gigabit Lthernet. Lsto permite
transerencias de datos mas eicaces y permite a los usuarios ser mas productios. Gigabit Lthernet presenta una desentaja:
los switches que admiten Gigabit Lthernet son mas costosos.

Otro requerimiento de la caracterstica de algunos switches de capa de acceso es PoL. PoL aumenta drasticamente el precio
general del switch en todas las lneas de productos de switches Cisco Catalyst, por lo que slo debe considerarse cuando se
necesita conergencia de oz o se estan implementando puntos de acceso inalambricos y es dicil o costoso ponerlos en
uncionamiento en la ubicacin deseada.

Ll agregado de enlaces es otra caracterstica comn a la mayora de los switches de capa de acceso. Ll agregado de enlaces
permite que el switch utilice enlaces mltiples simultaneamente. Los switches de capa de acceso se beneician con el
agregado de enlaces cuando se agrega ancho de banda hasta los switches de capa de distribucin.

Debido a que la conexin de enlace entre el switch de capa de acceso y el switch de capa de distribucin es en general el
cuello de botella en la comunicacin, la tasa interna de reeno de los switches de capa de acceso no necesita ser tan alta
como el enlace entre los switches de capa de distribucin y los de capa de acceso. Las caractersticas como la tasa interna de
eno no orecen problemas para los switches de capa de acceso porque slo manejan el traico desde los dispositios inales
y lo reenan a los switches de capa de distribucin.

Ln una red conergente que admite traico de red de datos, oz y ideo, los switches de capa de acceso necesitan admitir
QoS para mantener la prioridad del traico. Los telonos IP Cisco son tipos de equipos que se hallan en la capa de acceso.
Cuando se conecta un telono IP Cisco a un puerto del switch de capa de acceso conigurado para admitir traico de oz,
ese puerto del switch indica al telono IP cmo eniar su traico de oz. Ls necesario permitir QoS en los switches de capa
de acceso para que el traico de oz del telono IP tenga prioridad, por ejemplo, sobre el traico dedatos.

Caractersticas del switch de la capa de distribucin

Los switches de la capa de distribucin desempenan una uncin muy importante en la red. Recopilan los datos de todos los
switches de capa de acceso y los enan a los switches de capa ncleo. Aprendera mas adelante en este curso que el traico
generado en la Capa 2 en una red conmutada necesita ser administrado o segmentado en las VLAN para no consumir ancho
de banda de orma innecesaria a tras de la red. Los switches de capa de distribucin proporcionan unciones de
enrutamiento entre las VLAN, para que una VLAN pueda comunicarse con otra en la red. labitualmente, este
enrutamiento se produce en la capa de distribucin porque los switches de capa de distribucin presentan capacidades de
procesamiento mas altas que los switches de capa de acceso. Los switches de capa de distribucin reducen la necesidad de
que los switches ncleo realicen la tarea, debido a que el ncleo esta ocupado con el manejo del reeno de olmenes muy
altos de traico. Debido a que el enrutamiento entre las VLAN se realiza en la capa de distribucin, los switches en esta capa
necesitan admitir las unciones de la Capa 3.

Polticas de seguridad

Otro motio por el que se necesita la uncionalidad de la Capa 3 para los switches de capa de distribucin obedece a las
polticas de seguridad aanzada que pueden aplicarse al traico de red. Se utilizan listas de acceso para controlar cmo luye
el traico a tras de la red. Una Lista de control de acceso ,ACL, permite que el switch impida ciertos tipos de traico y
autorice otros. Las ACL tambin permiten controlar qu dispositios de red pueden comunicarse en la red. Ll uso de las
ACL es un procesamiento intensio porque el switch necesita inspeccionar cada paquete y obserar si coincide con una de
las reglas de la ACL deinida en el switch. Se realiza la inspeccin en la capa de distribucin porque los switches en esta capa
habitualmente tienen capacidad de procesamiento como para manejar la carga adicional y tambin dicha capa simpliica el
uso de las ACL. Ln ez de utilizar las ACL para cada switch de capa de acceso en la red, las mismas se deinen en los
switches de capa de distribucin, que son menos y hacen que la administracin de las ACL sea mas acil.

Calidad de servicio

Los switches de capa de distribucin tambin necesitan admitir QoS para mantener la prioridad del traico que proiene de
los switches de capa de acceso que implementaron QoS. Las polticas de prioridad aseguran que se garantice el ancho de
banda adecuado para las comunicaciones de audio y ideo a in de mantener una calidad aceptable del sericio. Para
mantener la prioridad de los datos de oz a tras de la red, todos los switches que enan datos de oz deben admitir QoS,
si la totalidad de los dispositios de la red no admite QoS, sus beneicios se reducen. Lsto produce rendimiento y calidad
deicientes en las comunicaciones de ideo.

Los switches de capa de distribucin tienen alta demanda en la red debido a las unciones que desempenan. Ls importante
que los switches de distribucin admitan redundancia para una disponibilidad adecuada. La prdida de un switch de capa de
distribucin podra aectar en gran medida al resto de la red porque todo el traico de capa de acceso pasa a tras de los
switches de capa de distribucin. Normalmente, los switches de capa de distribucin se implementan en pares para asegurar
la disponibilidad. Ademas, se recomienda que los switches de capa de distribucin admitan uentes de energa mltiples,
intercambiables en caliente. La disposicin de mas de una uente de energa permite que el switch contine operando incluso
si una de las uentes de energa all durante el uncionamiento. Si posee uentes de energa intercambiables en caliente,
puede cambiar una uente de energa que alla mientras el switch se esta ejecutando. Lsto permite reparar el componente
con allas sin aectar la uncionalidad de la red.

linalmente, los switches de capa de distribucin necesitan admitir el agregado de enlaces. labitualmente, los switches de
capa de acceso utilizan enlaces mltiples para conectarse a un switch de capa de distribucin para asegurar el adecuado
ancho de banda y as adaptar el traico generado en la capa de acceso y aportar tolerancia ante allas en caso de que se pierda
un enlace. Debido a que los switches de capa de distribucin aceptan el traico entrante de mltiples switches de capa de
acceso, necesitan eniar todo ese traico tan rapido como sea posible a los switches de capa ncleo. Como resultado, los
switches de capa de distribucin tambin necesitan enlaces agregados de un alto ancho de banda de regreso a los switches de
capa ncleo. Los switches mas nueos de capa de distribucin admiten enlaces agregados de 10 Gigabit Lthernet ,10GbL,
en los switches de capa ncleo.

Caractersticas del switch de capa ncleo

La capa ncleo de una topologa jerarquica es una backbone de alta elocidad de la red y requiere switches que pueden
manejar tasas muy altas de reeno. La tasa de reeno requerida depende en gran medida del nmero de dispositios que
participan en la red. Determine su tasa de reeno necesaria mediante la realizacin y el examen de arios inormes de lujo
de traico y analisis de las comunidades de usuarios. Ln base a sus resultados, puede identiicar un switch apropiado para
admitir la red. 1ome la precaucin de ealuar sus necesidades para el presente y el uturo cercano. Si opta por un switch
inadecuado para ejecutar el ncleo de la red, enrentara los problemas potenciale con cuellos de botella enel ncleo y
contribuira a que todas las comunicaciones en la red se uelan mas lentas.

Agregado de enlaces

La capa ncleo tambin necesita admitir el agregado de enlaces para asegurar el ancho de banda adecuado que ingresa al
ncleo proeniente de los switches de capa de distribucin. Los switches de capa de distribucin deben tener soporte para
conexiones agregadas de 10GbL, que en la actualidad es la opcin de conectiidad Lthernet disponible de mayor elocidad.
Lsto permite que los correspondientes switches de capa de distribucin distribuyan el traico con la mayor eiciencia posible
al ncleo.

Redundancia

La disponibilidad de la capa ncleo es tambin esencial para crear tanta redundancia como se pueda. Normalmente, la
redundancia de la Capa 3 presenta una conergencia mas eloz que la redundancia de la Capa 2 en caso de alla del
hardware. La conergencia en este contexto hace reerencia al tiempo que le consume a la red la adaptacin a un cambio y
no debe conundirse con una red conergente que admite comunicaciones de datos, audio y ideo. Con ese concepto en
mente, necesita asegurarse de que sus switches de capa ncleo admiten las unciones de la Capa 3. Un analisis completo
sobre las implicaciones de la redundancia de la Capa 3 excede el alcance de este curso. La necesidad de redundancia de la
Capa 2 en este contexto contina siendo una cuestin pendiente. La redundancia de la Capa 2 se examina en el captulo 5,
donde se trata el protocolo spanning tree ,S1P,. Ademas, busque los switches de capa ncleo que admiten las caractersticas
de redundancia del hardware adicional como uentes de energa redundante que pueden intercambiarse mientras el switch
contina uncionando. Debido a la alta carga de trabajo que transportan los switches de capa ncleo, tienden a uncionar
con mas temperatura que los switches de capa de acceso o de distribucin, y entonces deben contar con opciones de
rerigeracin mas soisticadas. Muchos switches erdaderos con capacidad de capa ncleo presentan la habilidad de
intercambiar entiladores de rerigeracin sin necesidad de apagar el switch.

Por ejemplo, sera perjudicial apagar un switch de capa ncleo para cambiar una uente de energa o un entilador en la
mitad del da cuando el uso de la red esta en su maximo punto. Para realizar un reemplazo de hardware se podra considerar
una interrupcin de la red de al menos 5 minutos si se es muy eloz para realizar el mantenimiento. Ln una situacin mas
realista, el switch podra estar desconectado durante 30 minutos o mas y es probable que esta situacin no sea aceptable.
Con hardware intercambiable en caliente no se realizan interrupciones durante el mantenimiento de los switches.

QoS es una parte importante de los sericios prestados por los switches de capa ncleo. Por ejemplo, los prestadores de
sericios ,que suministran IP, almacenamiento de datos, correo electrnico y otros sericios, y las Redes de area extensa

,\AN, de las empresas, estan adicionando mayor traico de oz y ideo a una cantidad de traico de datos en crecimiento.
Ln el ncleo y el extremo de la red, el traico undamental y sensible a los tiempos como la oz debe recibir garantas
superiores de QoS que el traico de menor sensibilidad a los tiempos como las transerencias de archios o el correo
electrnico. Debido a que el acceso a la \AN de alta elocidad es con recuencia extremadamente costoso, la suma de
ancho de banda en la capa ncleo no es una opcin. \a que QoS proporciona una solucin basada en sotware para
priorizar el traico, los switches de capa ncleo pueden suministrar una manera rentable de admitir uso ptimo y
dierenciado del ancho de banda existente.

1.2.4 SWITCHES PARA PEQUEAS Y MEDIANAS EMPRESAS (SMB)
Caractersticas de los switches Cisco Catalyst

Ahora que conoce qu caractersticas de los switches se utilizan en qu capa en una red jerarquica, aprendera acerca de los
switches Cisco que son aplicables para cada capa en un modelo de red jerarquica. Actualmente, no se puede seleccionar un
switch Cisco teniendo en cuenta slo el tamano de una empresa. Una empresa pequena con 12 empleados podra estar
integrada en la red de una empresa multinacional y requerir todos los sericios de LAN aanzados disponibles en la oicina
central corporatia. La siguiente clasiicacin de los switches Cisco dentro de un modelo de redes jerarquicas representa un
punto de partida para sus decisiones con respecto a qu switch es mejor para una aplicacin dada. La clasiicacin
presentada releja cmo podra er el rango de los switches Cisco si uese una empresa multinacional. Por ejemplo, las
densidades de los puertos del switch Cisco 6500 slo tienen sentido como un switch de capa de acceso en el que existen
muchos cientos de usuarios en un area, como el piso de una bolsa de alores. Si considera las necesidades de una empresa
mediana, un switch que se muestra como un switch de capa de acceso, por ejemplo, el switch Cisco 3560, podra utilizarse
como un switch de capa de distribucin si cumpliese los criterios determinados por el disenador de red para esa aplicacin.

Cisco tiene siete lneas de productos de switches. Cada lnea de producto orece dierentes caractersticas y unciones, que
permiten hallar el switch correcto que cumpla con los requerimientos uncionales de su red. Las lneas de productos de
switches de Cisco son:

Catalyst Lxpress 500
Catalyst 2960
Catalyst 3560
Catalyst 350
Catalyst 4500
Catalyst 4900
Catalyst 6500

Catalyst Express 500

Catalyst Lxpress 500 es el switch de capa de entrada de Cisco. Orece lo siguiente:

1asas de reeno desde 8,8 Gb,s a 24 Gb,s
Seguridad de puerto de la Capa 2

Administracin basada en \eb
Soporte de comunicaciones de datos conergentes,IP

Lsta serie de switches es apropiada para las implementaciones de la capa de acceso en las que no se requiere una densi dad
alta de puerto. Los switches de la serie Cisco Catalyst Lxpress 500 son escalados para ambitos de pequenas empresas con un
nmero de empleados que oscila entre 20 y 250. Los switches de la serie Catalyst Lxpress 500 se encuentran disponibles en
dierentes coniguraciones ijas.

Conectiidad last Lthernet y Gigabit Lthernet
lasta 24 puertos de 10,100 con PoL opcional 12 puertos de 10,100,1000

Los switches de la serie Catalyst Lxpress 500 no permiten administracin mediante IOS CLI de Cisco. Se administran con el
uso de la interaz de administracin de \eb incorporada, Cisco Network Assistant o el nueo Cisco Coniguration Manager
desarrollados especicamente para los switches de la serie Catalyst Lxpress 500. Catalyst Lxpress no admite acceso a la
consola.

Para obtener mas inormacin acerca de la serie Cisco Lxpress 500 de switches, isite
http:,,www.cisco.com,en,US,products,ps6545,index.html.

Catalyst 2960

Los switches de la serie Catalyst 2960 habilitan a las redes de capa de entrada de empresas medianas y de sucursales para
prestar sericios de LAN mejorados. Los switches de la serie Catalyst 2960 son apropiados para las implementaciones de la
capa de acceso en las que el acceso a la uente de energa y al espacio es limitado. Los laboratorios de Conmutacin de LAN
e Inalambrico de CCNA Lxploration 3 se basan en las caractersticas del switch Cisco 2960.

Los switches de la serie Catalyst 2960 orecen lo siguiente:

1asas de reeno de 16 Gb,s a 32 Gb,s
Switching de capas mltiples
Caractersticas de QoS para admitir comunicaciones IP
Listas de control del acceso ,ACL,
lasta 48 puertos de 10,100 o puertos de 10,100,1000 con enlaces gigabit adicionales de doble propsito

La serie Catalyst 2960 de switches no admite PoL.

La serie Catalyst 2960 admite Cisco IOS CLI, interaz de administracin de \eb integrada y Cisco Network Assistant. La
serie de switches admite acceso de consola y auxiliar al switch.

Para obtener mas inormacin acerca de la serie Catalyst 2960 de switches, isite

Catalyst 3560

La serie Cisco Catalyst 3560 es una lnea de switches de clase empresarial que incluyen soporte para PoL, QoS y
caractersticas de seguridad aanzada como ACL. Lstos switches son los switches de capa de acceso ideales para acceso a la
LAN de pequenas empresas o ambitos de redes conergentes de sucursales.

La serie Cisco Catalyst 3560 admite tasas de reeno de 32 Gb,s a 128 Gb,s ,serie de switches Catalyst 3560-L,.

Los switches de la serie Catalyst 3560 se encuentran disponibles en dierentes coniguraciones ijas:

lasta 48 puertos de 10,100,1000, mas cuatro puertos pequenos de actor de orma enchuables ,SlP,
Conectiidad opcional de 10 Gigabit Lthernet en los modelos Catalyst 3560-L
PoL integrada opcional ,Cisco pre estandar y ILLL 802.3a,, hasta 24 puertos con 15,4 atios o 48 puertos con ,3 atios

Para obtener mas inormacin acerca de la serie de switches Catalyst 3560, isite
http:,,www.cisco.com,en,US,products,hw,switches,ps5528,index.html.

Catalyst 3750

La serie de switches Cisco Catalyst 350 es ideal para los switches de capa de acceso en organizaciones medianas y en
sucursales empresariales. Lsta serie orece tasas de reeno de 32 Gb,s a 128 Gb,s ,serie de switches Catalyst 350-L,. La
serie Catalyst 350 admite la tecnologa Stack\ise de Cisco. La tecnologa Stack\ise permite interconectar hasta nuee
switches sicos Catalyst 350 en un switch lgico con el uso de una conexin backplane, redundante, de alto rendimiento
,32 Gb,s,.

Los switches de la serie Catalyst 350 se encuentran disponibles en dierentes coniguraciones ijas apilables:

lasta 48 puertos de 10,100,1000, mas cuatro puertos SlP
Conectiidad opcional de 10 Gigabit Lthernet en los modelos Catalyst 350-L
PoL integrada opcional ,Cisco preestandar y ILLL 802.3a,, hasta 24 puertos con 15,4 atios o 48 puertos con ,3 atios


Catalyst 4500

Catalyst 4500 es la primera plataorma de switching modular de rango mediano que orece switchingde multicapas para
empresas, pequenas o medianas companas y prestadores de sericios.

Con tasas de reeno de hasta 136 Gb,s, la serie Catalyst 4500 puede administrar el traico a la capa de distribucin. La
capacidad modular de la serie Catalyst 4500 permite densidades de puerto muy altas mediante el agregado de tarjetas de
lneas del puerto de switches a su chasis modular. La serie Catalyst 4500 orece QoS de multicapas y unciones de
enrutamiento soisticadas.

Los switches de la serie Catalyst 4500 se encuentran disponibles en dierentes coniguraciones modulares:

Ll chasis modular de 3, 6, y 10 ranuras orece dierentes capas de escalabilidad
Alta densidad de puerto: hasta 384 puertos last Lthernet o Gigabit Lthernet disponibles en cobre o ibra con 10 enlaces
Gigabit
PoL ,Cisco preestandar y ILLL 802.3a,
suministros de energa AC o DC interna, dual, intercambiable en caliente
Capacidades de enrutamiento IP aanzadas asistidas por hardware


Catalyst 4900

Los switches de la serie Catalyst 4900 estan disenados y optimizados para el switching del seridor al permitir tasas de
reeno muy altas. Cisco Catalyst 4900 no es un switch tpico de la capa de acceso. Ls un switch especial de la capa de
acceso disenado para implementaciones del centro de datos en donde es posible que haya muchos seridores cercanos. La
serie de switches admite suministros de energa redundante y dual ademas de entiladores que se pueden intercambiar
mientras el switch se esta ejecutando. Lsto permite que los switches logren una disponibilidad superior, que es esencial en
las implementaciones de centros de datos.

Los switches de la serie Catalyst 4900 admiten caractersticas aanzadas de QoS y se conierten en los candidatos ideales
para el hardware de teleona IP de extremo posterior. Los switches de la serie Catalyst 4900 no admiten la caracterstica
Stack\ise de la serie Catalyst 350 ni admiten PoL.

Los switches de la serie Catalyst 4900 se encuentran disponibles en dierentes coniguraciones ijas:

lasta 48 puertos de 10,100,1000 con cuatro puertos SlP 48 puertos de 10,100,1000 con dos puertos de 10GbL
Suministros de energa AC o DC dual, intercambiable en caliente
Bandejas de entiladores intercambiables en caliente


Catalyst 6500

Ll switch modular de la serie Catalyst 6500 se optimiza para redes seguras, conergentes de oz, ideo y datos. Catalyst 6500
puede administrar el traico en las capas de distribucin y ncleo. La serie Catalyst 6500 es el switch de Cisco de mas alto
rendimiento, que admite tasas de reeno de hasta 20 Gb,s. Catalyst 6500 es ideal para ambitos de redes muy grandes
hallados en empresas, companas medianas y prestadores de sericios.

Los switches de la serie Catalyst 6500 se encuentran disponibles en dierentes coniguraciones modulares:

Chasis modular de 3, 4, 6, 9 y 13 ranuras
Mdulos de sericio de LAN,\AN
Dispositios PoL hasta 420 ILLL 802.3a de Clase 3 ,15,4\,
lasta 1152 puertos de 10,100, 5 puertos de 10,100,1000, 410 puertos SlP Gigabit Lthernet 64 puertos de 10 Gigabit
Lthernet
Suministros de energa AC o DC internos, duales, intercambiables en caliente
Capacidades de enrutamiento IP aanzadas, asistidas por hardware

http:,,www.cisco.com,en,US,products,hw,switches,ps08,index.html

La siguiente herramienta puede ayudarlo a identiicar el switch correcto para una implementacin:
http:,,www.cisco.com,en,US,products,hw,switches,products_promotion0900aecd8050364.html

La siguiente gua aporta una comparacin detallada de las oertas actuales de switches de Cisco:
http:,,www.cisco.com,en,US,prod,switches,ps518,ps08,networking_solutions_products_genericcontent0900aecd80
50955.pd.

CAPITULO II CONFIGURACIN Y CONCEPTOS BSICOS DEL SWITCH

Ln este captulo, el estudiante se basara en los conocimientos adquiridos en CCNA Lxploration 4.0: Aspectos basicos de
redes, para repasar y reorzar dichos conocimientos mediante actiidades de practica exhaustia. Adquirira conocimientos
sobre ciertas amenazas malintencionadas para los switches y aprendera a actiar un switch con una coniguracin inicial
segura.

2.1 INTRODUCCION A LAS LAN 802.3/ETHERNET.-
2.1.1 ELEMENTOS CLAVE DE LAS REDES 802.3/ETHERNET.-
Ln este tema, se describiran los componentes clae del estandar Lthernet que desempenan un importante papel en el diseno
y en la implementacin de las redes de conmutacin. Se analizara cmo uncionan las comunicaciones Lthernet y el papel
que desempenan los switches en el proceso de comunicacin.

CSMA/CD

Las senales de Lthernet se transmiten a todos los hosts que estan conectados a la LAN mediante un conjunto de normas
especiales que determinan cual es la estacin que puede tener acceso a la red. Ll conjunto de normas que utiliza Lthernet
esta basado en la tecnologa de acceso mltiple por deteccin de portadora y deteccin de colisiones ,CSMA,CD, ILLL.
Seguramente recordara de CCNA Lxploration: Aspectos basicos de networking, que CSMA,CD se utiliza solamente con la
comunicacin hal-duplex que suele encontrarse en los hubs. Los switches ull-duplex no utilizan CSMA,CD.

Deteccin de portadora

Ln el mtodo de acceso CSMA,CD Mtodo de acceso, todos los dispositios de red que tienen mensajes para eniar deben
escuchar antes de transmitir.

Si un dispositio detecta una senal de otro dispositio, espera un perodo determinado antes de intentar transmitirla.

Cuando no se detecta traico alguno, el dispositio transmite su mensaje. Mientras se produce dicha transmisin, el
dispositio contina atento al traico o a posibles colisiones en la LAN. Una ez eniado el mensaje, el dispositio uele al
modo de escucha predeterminado.

Acceso mltiple

Si la distancia entre los dispositios es tal que la latencia de las senales de un dispositio supone la no deteccin de stas por
parte de un segundo dispositio, ste tambin podra comenzar a transmitirlas. De este modo, los medios contaran con dos
dispositios transmitiendo senales al mismo tiempo. Los mensajes se propagan en todos los medios hasta que se encuentran.
Ln ese momento, las senales se mezclan y los mensajes se destruyen: se ha producido una colisin. Aunque los mensajes se
danan, la mezcla de senales contina propagandose en todos los medios.

Deteccin de colisiones

Cuando un dispositio esta en el modo de escucha, puede detectar cuando se produce una colisin en los medios
compartidos, ya que todos los dispositios pueden detectar un aumento en la amplitud de la senal que est por encima del
niel normal.

Cuando se produce una colisin, los demas dispositios que estan en el modo de escucha, ademas de todos los dispositios
de transmisin, detectan el aumento de amplitud de la senal. 1odos los dispositios que estn transmitiendo en ese
momento lo seguiran haciendo, para garantizar que todos los dispositios en la red puedan detectar la colisin.

Seal de congestin y postergacin aleatoria

Cuando se detecta una colisin, los dispositios de transmisin enan una senal de congestionamiento. La senal de
congestionamiento aisa a los demas dispositios acerca de la colisin para que stos inoquen un algoritmo de
postergacin. La uncin de ste es hacer que todos los dispositios detengan su transmisin durante un perodo aleatorio,
con lo cual se reducen las senales de colisin.

Una ez que inaliza el retraso asignado a un dispositio, dicho dispositio regresa al modo "escuchar antes de transmitir".
Un perodo de postergacin aleatorio garantiza que los dispositios inolucrados en la colisin no intenten eniar traico
nueamente al mismo tiempo, lo que proocara que se repita todo el proceso. Sin embargo, durante el perodo de
postergacin es posible que un tercer dispositio transmita antes de que cualquiera de los dos inolucrados en la colisin
tengan oportunidad de oler a transmitir.

Comunicaciones Ethernet

Consulte el area de Comunicaciones Lthernet seleccionada en la igura.

Las comunicaciones en una red LAN conmutada se producen de tres maneras: unicast, broadcast y multicast:

Unicast: Comunicacin en la que un host ena una trama a un destino especico. Ln la transmisin unicast slo existen un
emisor y un receptor. La transmisin unicast es el modo de transmisin predominante en las LAN y en Internet. Algunos
ejemplos de transmisiones unicast son: l11P, SM1P, l1P y 1elnet.

Broadcast: Comunicacin en la que se ena una trama desde una direccin hacia todas las demas direcciones. Ln este caso,
existe slo un emisor pero se ena la inormacin a todos los receptores conectados. La transmisin broadcast es
undamental cuando se ena el mismo mensaje a todos los dispositios de la LAN. Un ejemplo de transmisin broadcast es
la consulta de resolucin de direcciones que ena el protocolo de resolucin de direcciones ,ARP, a todas las computadoras
en una LAN.

Multicast: Comunicacin en la que se ena una trama a un grupo especico de dispositios o clientes. Los clientes de la
transmisin multicast deben ser miembros de un grupo multicast lgico para poder recibir la inormacin. Un ejemplo de
transmisin multicast son las transmisiones de oz y ideo relacionadas con las reuniones de negocios en conerencia
basadas en la red.

Trama de Ethernet

laga clic en el botn 1rama de Lthernet que se muestra en la igura.

Ll primer curso de la serie, CCNA Lxploration: Aspectos basicos de networking, describe la estructura de la trama de
Lthernet en orma detallada. Para realizar un bree resumen, la estructura de la trama de Lthernet agrega encabezados y
trailers alrededor de la Capa 3 PDU para encapsular el mensaje que debe eniarse. 1anto el trailer como el encabezado de
Lthernet cuentan con arias secciones ,o campos, que el protocolo Lthernet utiliza. Laigura muestra la estructura del
estandar de la trama actual de Lthernet, ersin reisada ILLL 802.3 ,Lthernet,.

Desplace el mouse sobre los nombres de los campos para er las descripciones.

Campos Prembulo y Delimitador de inicio de trama

Loa campos Preambulo , bytes, y Delimitador de inicio de trama ,SlD, ,1 byte, se utilizan para la sincronizacin entre los
dispositios emisores y receptores. Lstos primeros 8 bytes de la trama se emplean para captar la atencin de los nodos
receptores. Basicamente, los primeros bytes siren para que los receptores se preparen para recibir una nuea trama.

Campo Direccin MAC de destino

Ll campo Direccin MAC de destino ,6 bytes, es el identiicador del receptor deseado. La Capa 2 utiliza esta direccin para
ayudar a que un dispositio determine si la trama esta dirigida a l. Se compara la direccin de la trama con la direccin
MAC del dispositio. Si coinciden, el dispositio acepta la trama.

Campo Direccin MAC origen

Ll campo Direccin MAC de origen ,6 bytes, identiica la NIC o interaz que origina la trama. Los switches utilizan esta
direccin para agregar dicha interaz a sus tablas de bsqueda.

Campo Longitud/tipo

Ll campo Longitud,1ipo ,2 bytes, deine la longitud exacta del campo Datos de la trama. Lste campo se utiliza mas
adelante como parte de la Secuencia de eriicacin de trama ,lCS, con el objeto de asegurar que se haya recibido el
mensaje de manera adecuada. Aqu se puede ingresar solamente el tipo o la longitud de una trama. Si el objetio de un
campo es designar un tipo, el campo 1ipo describe cual es el protocolo que se implementa. Cuando un nodo recibe una
trama y el campo 1ipo,Longitud designa un tipo, el nodo determina qu protocolo de capa superior esta presente. Si el
alor de los dos octetos es igual o mayor que el hexadecimal de 0x0600 o decimal de 1536, el contenido del campo Datos se
descira segn el protocolo indicado. Si el alor de dos bytes es menor que 0x0600, entonces el alor representa la longitud
de los datos de la trama.

Campos Datos y Relleno

Los campos Datos y Relleno ,de 46 a 1500 bytes, contienen la inormacin encapsulada de una capa superior, que es una
PDU de Capa 3 genrica, o, mas comnmente, un paquete de IP4. 1odas las tramas deben tener una longitud mnima de
64 bytes ,longitud mnima que colabora en la deteccin de colisiones,. Si se encapsula un paquete menor, el campo Relleno
se utiliza para incrementar el tamano de la trama hasta alcanzar el tamano mnimo.

Campo Secuencia de verificacin de trama

Ll campo lCS ,4 bytes, detecta errores en una trama. Utiliza una comprobacin de redundancia cclica ,CRC,. Ll
dispositio emisor incluye los resultados de la CRC en el campo lCS de la trama. Ll dispositio receptor recibe la trama y
genera una CRC para buscar errores. Si los calculos coinciden, no se ha producido ningn error. Si los calculos no coinciden,
la trama se descarta.

Direccin MAC

laga clic en el botn Direccin MAC que se muestra en la igura.

Ln CCNA Lxploration: Aspectos basicos de networking, aprendi sobre la direccin MAC. Una direccin Lthernet MAC
es un alor binario de 48 bits que se compone de dos partes y se expresa como 12 dgitos hexadecimales. Los ormatos de
las direcciones pueden ser similares a 00-05-9A-3C-8-00, 00:05:9A:3C:8:00 0005.9A3C.800.

1odos los dispositios conectados a una LAN Lthernet tienen interaces con direcciones MAC. La NIC utiliza la direccin
MAC para determinar si deben pasarse los mensajes a las capas superiores para su procesamiento. La direccin MAC esta
codiicada de manera permanente dentro de un chip ROM en una NIC. Lste tipo de direccin MAC se denomina direccin
grabada ,BIA, Burned In Address,. Algunos abricantes permiten que se modiiquen las direcciones MAC de manera local.
La direccin MAC se compone del identiicador exclusio de organizacin ,OUI, y del nmero de asignacin del abricante.

Desplace el mouse sobre los nombres de los campos para er las descripciones.

Identificador Exclusivo de Organizacin

Ll OUI es la primera parte de una direccin MAC. 1iene una longitud de 24 bits e identiica al abricante de la tarjeta NIC.
Ll estandar ILLL regula la asignacin de los nmeros de OUI. Dentro del OUI, existen 2 bits que slo tienen signiicado
cuando se utilizan en la direccin de destino, como se describe a continuacin:

Bit multicast o broadcast: Indica a la interaz receptora que la trama esta destinada a un grupo o a todas las estaciones inales
del segmento de la LAN.

Bit de direcciones administrado de manera local: Si la direccin MAC asignada por el abricante puede modiicarse en orma
local, ste es el bit que debe conigurarse.

Nmero de asignacin del fabricante

La parte de la direccin MAC asignada por el abricante es de 24 bits de longitud e identiica exclusiamente el hardware de
Lthernet. Puede ser una BIA o bien con el bit modiicado en orma local mediante sotware.

Configuracin de Duplex

Se utilizan dos tipos de parametros duplex para las comunicaciones en una red Lthernet: hal duplex y ull duplex. La igura
muestra los dos parametros dplex que estan disponibles en los equipos de red modernos.

Half Duplex: La comunicacin hal-duplex se basa en un lujo de datos unidireccional en el que el eno y la recepcin de
datos no se producen al mismo tiempo. Lsto essimilar a la uncin de las radios de dos as o dos walki-talkies en donde
una sola persona puede hablar a la ez. Si una persona habla mientras lo hace la otra, se produce una colisin. Por ello, la
comunicacin hal-duplex implementa el CSMA,CD con el objeto de reducir las posibilidades de que se produzcan
colisiones y detectarlas en caso de que se presenten. Las comunicaciones hal-duplex presentan problemas de
uncionamiento debido a la constante espera, ya que el lujo de datos slo se produce en unadireccin a la ez. Las
conexiones hal-duplex suelen erse en los dispositios de hardware mas antiguos, como los hubs. Los nodos que estan
conectados a los hubs y que comparten su conexin con un puerto de un switch deben uncionar en el modo hal -duplex
porque las computadoras inales tienen que tener la capacidad de detectar las colisiones. Los nodos pueden uncionar en el

modo hal-duplex si la tarjeta NIC no puede conigurarse para hacerlo en ull duplex. Ln este caso, el puerto del switch
tambin adopta el modo hal-duplex predeterminado. Debido a estas limitaciones, la comunicacin ull-duplex ha
reemplazado a la hal duplex en los elementos de hardware mas modernos.

Full duplex: Ln las comunicaciones ull-duplex el lujo de datos es bidireccional, por lo tanto la inormacin puede
eniarse y recibirse al mismo tiempo. La capacidad bidireccional mejora el rendimiento, dado que reduce el tiempo de espera
entre las transmisiones. Actualmente, la mayora de las tarjetas NIC Lthernet, last Lthernet y Gigabit Lthernet disponibles
en el mercado proporciona capacidad ull-duplex. Ln el modo ull-duplex, el circuito de deteccin de colisiones se encuentra
desactiado. Las tramas eniadas por los dos nodos inales conectados no pueden colisionar, dado que stos utilizan dos
circuitos independientes en el cable de la red. Cada conexin ull-duplex utiliza un solo puerto. Las conexiones ull-duplex
requieren un switch que admita esta modalidad o bien una conexin directa entre dos nodos compatibles con el modo ull
duplex. Los nodos que se conecten directamente al puerto de un switch dedicado con tarjetas NIC capaces de admitir ull
duplex deben conectarse a puertos de switches que estn conigurados para uncionar en el modo ull-duplex.

Ll rendimiento de una coniguracin de red compartida Lthernet estandar basada en hubs es generalmente del 50 al 60
del ancho de banda de 10 Mb,s. Una red last Lthernet ull-duplex, en comparacin con un ancho de banda de 10 Mb,s,
orece un rendimiento del 100 en ambas direcciones ,transmisin de 100 Mb,s y recepcin de 100 Mb,s,.

Configuracin del puerto de switch

Ll puerto de un switch debe conigurarse con parametros duplex que coincidan con el tipo de medio. Mas adelante en este
captulo se coniguraran los parametros de duplex. Los switches Cisco Catalyst cuentan con tres parametros:

La opcin auto establece el modo autonegociacin de duplex. Cuando este modo se encuentra habilitado, los dos puertos se
comunican para decidir el mejor modo de uncionamiento.
La opcin ull establece el modo ull-duplex.
La opcin hal establece el modo hal-duplex.

Para los puertos 10,100,1000 y last Lthernet, la opcin predeterminada es auto. Para los puertos 100BASL-lX, la opcin
predeterminada es ull. Los puertos 10,100,1000 uncionan tanto en el modo hal-duplex como en el ull-duplex cuando se
establecen en 10 100 Mb,s, pero slo uncionan en el modo ull-duplex cuando se establecen en 1000 Mb,s.

Nota: Ll modo autonegociacin puede producir resultados impredecibles. De manera predeterminada, cuando la
autonegociacin alla, el switch Catalyst establece el correspondiente puerto del switch en el modo hal-duplex. Lste tipo de
alla se produce cuando un dispositio conectado no admite el modo autonegociacin. Al conigurar el dispositio en orma
manual para que uncione en el modo hal-duplex, coincidira con el modo predeterminado del switch. Sin embargo, pueden
producirse errores de autonegociacin si se conigura el dispositio en orma manual para que uncione en el modo ull-

duplex. Al tener hal-duplex en un extremo y ull-duplex en el otro, pueden producirse colisiones tardas en el extremo de
hal-duplex. A in de eitar tal situacin, ajuste manualmente los parametros de duplex del switch para que coincidan con el
dispositio conectado. Si el puerto del switch esta en el modo ull-duplex y el dispositio conectado, en el modo hal-duplex,
eriique si existen errores de lCS en el puerto ull-duplex del switch.

auto-MDIX

Las conexiones entre dispositios especicos, por ejemplo entre switches o entre un switch y un router, solan requerir la
utilizacin de ciertos tipos de cables ,de conexin cruzada o conexin directa,. Ahora, en cambio, se puede utilizar el
comando de coniguracin de interaz mdix auto de la CLI para habilitar la uncin automatica de conexin cruzada de
interaz dependiente del medio ,auto-MDIX,.

Al habilitar la uncin auto-MDIX, el switch detecta el tipo de cable que se requiere para las conexiones Lthernet de cobre
y, conorme a ello, conigura las interaces. Por lo tanto, se puede utilizar un cable de conexin directa o cruzada para
realizar la conexin con un puerto 10,100,1000 de cobre situado en el switch, independientemente del tipo de dispositio
que se encuentre en el otro extremo de la conexin.

La uncin auto-MDIX se habilita de manera predeterminada en los switches que ejecutan el sotware Cisco IOS, ersin
12.2,18,SL o posterior. Ln el caso de las ersiones existentes entre Cisco IOS, ersin 12.1,14,LA1 y 12.2,18,SL, la uncin
auto-MDIX esta deshabilitada de manera predeterminada.

Direccionamiento MAC y Tablas de direcciones MAC de los switches

Los switches emplean direcciones MAC para dirigir las comunicaciones de red a tras de su estructura al puerto
correspondiente hasta el nodo de destino. La estructura del switch son los circuitos integrados y la programacin de
maquina adjunta que permite controlar las rutas de datos a tras del switch. Ll switch debe primero saber qu nodos
existen en cada uno de sus puertos para poder deinir cual sera el puerto que utilizara para transmitir una trama unicast.

Ll switch determina cmo manejar las tramas de datos entrantes mediante una tabla de direcciones MAC. Ll switch genera
su tabla de direcciones MAC grabando las direcciones MAC de los nodos que se encuentran conectados en cada uno de sus
puertos. Una ez que la direccin MAC de un nodo especico en un puerto determinado queda registrada en la tabla de
direcciones, el switch ya sabe eniar el traico destinado a ese nodo especico desde el puerto asignado a dicho nodo para
posteriores transmisiones.

Cuando un switch recibe una trama de datos entrantes y la direccin MAC de destino no igura en la tabla, ste reena la
trama a todos los puertos excepto al que la recibi en primer lugar. Cuando el nodo de destino responde, el switch registra la
direccin MAC de ste en la tabla de direcciones del campo direccin de origen de la trama. Ln las redes que cuentan con
arios switches interconectados, las tablas de direcciones MAC registran arias direcciones MAC para los puertos que
conectan los switches que relejan los nodos de destino. Generalmente, los puertos de los switches que se utilizan para
interconectar dos switches cuentan con arias direcciones MAC registradas en la tabla de direcciones.

Para er cmo unciona lo descrito anteriormente, haga clic en los pasos de la igura.

A continuacin se describe este proceso:

Paso 1. Ll switch recibe una trama de broadcast de la PC 1 en el Puerto 1.

Paso 2. Ll switch ingresa la direccin MAC de origen y el puerto del switch que recibi la trama en la tabla de direcciones.

Paso 3. Dado que la direccin de destino es broadcast, el switch genera looding en todos los puertos eniando la trama,
excepto el puerto que la recibi.

Paso 4. Ll dispositio de destino responde al broadcast con una trama de unicast dirigida a la PC 1.

Paso 5. Ll switch ingresa la direccin MAC de origen de la PC2 y el nmero de puerto del switch que recibi la trama en la
tabla de direcciones. La direccin de destino de la trama y el puerto relacionado a ella se encuentran en la tabla de
direcciones MAC.

Paso 6. Ahora el switch puede eniar tramas entre los dispositios de origen y destino sin saturar el traico, ya que cuenta
con entradas en la tabla de direcciones que identiican a los puertos asociados.

2.1.2 ASPECTOS QUE SE DEBEN TENER EN CUENTA PARA LAS REDES 802.3/ETHERNET
Ln este tema, se describiran las pautas de diseno de Lthernet que se necesitan para interpretar los disenos jerarquicos de las
redes para las empresas pequenas y medianas. Lste tema se centra en los dominios de colisines y de broadcast, y en el
modo en que stos aectan el diseno de las LAN.

Ancho de banda y rendimiento

Una importante desentaja de las redes Lthernet 802.3 son las colisiones. Las colisiones se producen cuando dos hosts
transmiten tramas de orma simultanea. Cuando se produce una colisin, las tramas transmitidas se danan o se destruyen.
Los hosts transmisores detienen la transmisin por un perodo aleatorio, conorme a las reglas de Lthernet 802.3 de
CSMA,CD.

Dado que Lthernet no tiene orma de controlar cual sera el nodo que transmitira en determinado momento, sabemos que
cuando mas de un nodo intente obtener acceso a la red, se produciran colisiones. La solucin de Lthernet para las colisiones
no tiene lugar de manera instantanea. Ademas, los nodos que estn inolucrados en la colisin no podran dar comienzo a la
transmisin hasta que se resuela el problema. Cuanto mayor sea la cantidad de nodos que se agreguen a los medios
compartidos, mayor sera la posibilidad de que se produzcan colisiones. Por ello, es importante comprender que al establecer
el ancho de banda de la red Lthernet en 10 Mb,s, el ancho de banda completo para la transmisin estara disponible slo
una ez que se hayan resuelto las colisiones. Ll rendimiento neto del puerto ,la cantidad promedio de datos eicazmente
transmitidos, disminuira de manera signiicatia segn la cantidad de nodos adicionales que se utilicen en la red. Los hubs
no orecen mecanismo alguno que sira para eliminar o reducir estas colisiones y el ancho de banda disponible que cualquier
nodo tenga que transmitir se era reducido en consecuencia. Por lo tanto, la cantidad de nodos que comparta la red
Lthernet inluira en el rendimiento o la productiidad de dicha red.

Dominios de colisin

Al expandir una LAN Lthernet para alojar mas usuarios con mayores requisitos de ancho de banda, aumenta la posibilidad
de que se produzcan colisiones. Para reducir el nmero de nodos en un determinado segmento de red, se pueden crear
segmentos sicos de red indiiduales, llamados dominios de colisin.

Ll area de red donde se originan las tramas y se producen las colisiones se denomina dominio de colisiones. 1odos los
entornos de los medios compartidos, como aquellos creados mediante el uso de hubs, son dominios de colisin. Cuando un

host se conecta a un puerto de switch, el switch crea una conexin dedicada. Lsta conexin se considera como un dominio
de colisiones indiidual, dado que el traico se mantiene separado de cualquier otro y, por consiguiente, se eliminan las
posibilidades de colisin. La igura muestra dominios de colisin exclusios en un entorno conmutado. Por ejemplo: si un
switch de 12 puertos tiene un dispositio conectado a cada puerto, se crean 12 dominios de colisin.

Como se mencion anteriormente, un switch crea una tabla de direcciones MAC mediante el registro de direcciones MAC
de los hosts que estan conectados a cada puerto de switch. Cuando dos hosts conectados desean comunicarse entre s, el
switch utiliza la tabla de conmutacin para establecer la conexin entre los puertos. Ll circuito se mantiene hasta que inaliza
la sesin. Ln la igura, el lost A y el lost B desean comunicarse entre s. Ll switch crea la conexin a la que se denomina
microsegmento. Ll microsegmento se comporta como una red de slo dos hosts, un host que ena y otro que recibe, y se
utiliza el maximo ancho de banda disponible.

Los switches reducen las colisiones y permiten una mejor utilizacin del ancho de banda en los segmentos de red, ya que
orecen un ancho de banda dedicado para cada segmento de red.

Dominios de broadcast

Si bien los switches iltran la mayora de las tramas segn las direcciones MAC, no hacen lo mismo con las tramas de
broadcast. Para que otros switches de la LAN obtengan tramas de broadcast, stas deben ser reeniadas por switches. Una
serie de switches interconectados orma un dominio de broadcast simple. Slo una entidad de Capa 3, como un router o una
LAN irtual ,VLAN,, puede detener un dominio de broadcast de Capa 3. Los routers y las VLAN se utilizan para segmentar
los dominios de colisin y de broadcast. Ll uso de las VLAN para segmentar los dominios de broadcast se analiza en el
prximo captulo.

Cuando un dispositio desea eniar un broadcast de Capa 2, la direccin MAC destino en la trama se establece en slo unos.
Al conigurar el destino en este alor, todos los dispositios aceptaran y procesaran la trama de broadcast.

Ll dominio de broadcast de la Capa 2 se conoce como dominio de broadcast MAC. Ll dominio de broadcast MAC incluye
todos los dispositios de la LAN que reciben broadcasts de tramas a tras de un host a todas las demas maquinas en la
LAN. Lsto se muestra en la primera mitad de la animacin.

Cuando un switch recibe una trama de broadcast la reena a cada uno de sus puertos excepto al puerto entrante en el que el
switch recibi esa trama. Cada dispositio conectado reconoce la trama de broadcast y la procesa. Lsto prooca una
disminucin en la eicacia de la red dado que el ancho de banda se utiliza para propagar el traico de broadcast.

Cuando se conectan dos switches, el dominio de broadcast aumenta. Ln este ejemplo, se reena una trama de broadcast a
todos los puertos conectados en el switch S1. Ll switch S1 esta conectado al switch S2. La trama se propaga a todos los
dispositios conectados al switch S2. Lsto se muestra en la segunda mitad de la animacin.

Latencia de red

La latencia es el tiempo que una trama o paquete tarda en hacerel recorrido desde la estacin origen hasta su destino inal.
Los usuarios de las aplicaciones basadas en redes experimentan la latencia cuando tienen que esperar arios minutos para
obtener acceso a la inormacin almacenada en un centro de datos o cuando un sitio \eb tarda arios minutos en cargar el
explorador. La latencia consiste en por lo menos tres componentes.

Ln primer lugar, el tiempo que toma la NIC origen en colocar pulsos de oltaje en el cable y el tiempo que tarda la NIC
destino en interpretar estos pulsos. Lsto se denomina a eces retraso de la NIC ,por lo general, es de 1 microsegundo para
una NIC 10BASL-1,.

Ln segundo lugar, el retardo de propagacin real, ya que la senal tarda un tiempo en recorrer el cable. Normalmente, ste es
de unos 0,556 microsegundos por 100 m para Cat 5 U1P. Si la longitud del cable es mayor y la elocidad nominal de
propagacin ,NVP, Nominal Velocity o Propagation, es menor, el retraso de propagacin sera mayor.

Ln tercer lugar, la latencia aumenta segn los dispositios de red que se encuentren en la ruta entre dos dispositios. Lstos
pueden ser dispositios de Capa 1, Capa 2 o Capa 3. Lstos tres actores que contribuyen a la latencia pueden distinguirse en
la animacin a medida que la trama atraiesa la red.

La latencia no depende nicamente de la distancia y de la cantidad de dispositios. Por ejemplo: si dos computadoras estan
separadas por tres switches correctamente conigurados, es probable que stas experimenten una latencia menor que la que
se producira si estuieran separadas por dos routers correctamente conigurados. Lsto se debe a que los routers ejecutan
unciones mas complejas y que llean mas tiempo. Por ejemplo: un router debe analizar datos de Capa 3 mientras que los
switches slo analizan los datos de Capa 2. Dado que los datos de la Capa 2 se presentan antes que los de la Capa 3 en la
estructura de la trama, los switches pueden procesarla con mayor elocidad. Los switches tambin admiten alta elocidad de
transmisin de oz, ideo y redes de datos mediante circuitos integrados de aplicaciones especicas ,ASIC, Application
Speciic Integrated Circuits, que proporcionan soporte de hardware para muchas tareas de networking. Otras caractersticas
de los switches, como por ejemplo ber de memoria basado en puerto, calidad de sericio ,QoS, de niel de puertos y
administracin de congestin, tambin ayudan a reducir la latencia en la red.

La latencia basada en switches puede tambin deberse a un exceso de demanda en la estructura de ste. Muchos switches de
niel de entrada no cuentan con el rendimiento interno suiciente como para administrar las capacidades del ancho de banda
completo en todos los puertos de manera simultanea. Ll switch debe tener la capacidad de administrar la cantidad maxima
de datos que se espera en la red. Dado que la tecnologa de los switches es cada ez mejor, la latencia a tras de ellos ya no
es un problema. La causa predominante de latencia de red en una LAN conmutada esta mas relacionada con los medios que
se transmiten, los protocolos de enrutamiento utilizados y los tipos de aplicaciones que se ejecutan en la red.

Congestin de red

Ll primer motio por el cual segmentar una LAN en partes mas pequenas es el de aislar el traico y lograr una mejor
utilizacin del ancho de banda por usuario. Al no segmentarla, la LAN se obstruye rapidamente debido al traico y a las
colisiones. La igura muestra una red que esta sujeta a congestin debido a arios dispositios de nodos en una red basada
en hubs.

A continuacin se mencionan las causas mas comunes de congestin de red:

1ecnologa de redes y computadoras cada ez mas potentes. loy en da, las CPU, los buses y los dispositios
periricos son mucho mas rapidos y potentes que aquellos utilizados en las LAN anteriores. Porlo tanto, stos
pueden eniar una mayor cantidad de datos a tras de la red y tambin procesarlos a una mayor elocidad.
Volumen de traico de la red cada ez mayor. Ln la actualidad el traico de la red es mas habitual, ya que se
necesitan recursos remotos para llear a cabo tareas basicas. Ademas, los mensajes de broadcast, como las
consultas de resolucin de direcciones que ena el ARP, pueden aectar de manera negatia el rendimiento de la
red y de las estaciones de trabajo.
Aplicaciones con alta demanda de ancho de banda. Las aplicaciones de sotware son cada ez mas ricas en cuanto a
uncionalidad y requieren un ancho de banda superior. Por ejemplo: las aplicaciones de edicin, diseno de
ingeniera, ideo a pedido ,VoD,, aprendizaje electrnico ,e-learning, y streaming ideo requieren una considerable
capacidad y elocidad de procesamiento.

Segmentacin LAN

Las LAN se segmentan en arios dominios de broadcast y de colisin mas pequenos mediante el uso de routers y switches.
Anteriormente se utilizaban los puentes pero no suele erse este tipo de equipos de red en una moderna LAN conmutada.
La igura muestra los routers y switches que segmentan una LAN.

Ln la igura, la red esta segmentada en dos dominios de colisin mediante el switch.

Desplace el mouse por el Dominio de colisiones para er el tamano de cada uno de ellos.

Sin embargo, en la igura, el dominio de broadcast abarca toda la red.

Desplace el mouse por el Dominio de broadcast para er el tamano de ste.

Puentes y switches

Si bien los puentes y los switches tienen muchos atributos en comn, su tecnologa presenta arias dierencias. Los puentes
se utilizan generalmente para diidir una LAN en un par de segmentos mas pequenos. Ln cambio los switches se utilizan,
por lo general, para diidir una gran LAN en arios segmentos mas pequenos. Los puentes tienen slo un par de puertos
para la conectiidad de la LAN, mientras que los switches cuentan con arios.

Routers

Aunque el switch LAN reduce el tamano de los dominios de colisin, todos los hosts conectados al switch pertenecen al
mismo dominio de broadcast. Los routers pueden utilizarse para crear dominios de broadcast, ya que no reenan traico de
broadcast predeterminado. Si se crean pequenos dominios de broadcast adicionales con unrouter, se reducira el traico de
broadcast y se proporcionara mayor disponibilidad de ancho de banda para las comunicaciones unicast. Cada interaz del
router se conecta a una red indiidual que contiene traico de broadcast dentro del segmento de la LANen el que se origin.

laga clic en los botones Dominios de colisin y de broadcast con control para er las consecuencias al introducir routers y
mas switches en la red.

Desplace el mouse sobre las dos areas de texto para identiicar los distintos dominios de colisin y de broadcast.

2.1.3 CONSIDERACIONES DEL DISEO DE LA LAN.-
Control de la latencia de la red

Al disenar una red para reducir la latencia, se necesita tener en cuenta la latencia originada por cada dispositio de la red. Los
switches pueden proocar latencia cuando se saturan en una red ocupada. Por ejemplo: si un switch central tiene que brindar
soporte a 48 puertos, siendo cada uno capaz de uncionar a 1000 Mb,s ull duplex, el switch tendra que admitir
aproximadamente 96 Gb,s de rendimiento interno para mantener la elocidad plena del cable en todos los puertos al mismo
tiempo. Ln este ejemplo, los requisitos de rendimiento mencionados son tpicos de los switches de niel central y no de los
switches de niel de acceso.

Ll empleo de dispositios de capas superiores tambin puede aumentar la latencia en la red. Cuando un dispositio de Capa
3, como un router, debe examinar la inormacin de direccionamiento que contiene la trama, debe realizar una lectura mas
prounda de la trama que un dispositio de Capa 2, lo cual se traduce en mayor cantidad de tiempo de procesamiento. Al
limitar el uso de dispositios de capas superiores, se reducira el niel de latencia de la red. No obstante, la correcta
utilizacin de los dispositios de Capa 3 ayuda a eitar la contencin del traico de broadcast en un dominio amplio de
broadcast o el alto ndice de colisiones en un dominio de colisiones de gran tamano.

Eliminacin de los cuellos de botellas

Los cuellos de botella son lugares donde la alta congestin de la red prooca un bajo rendimiento.

Haga clic en el botn Eliminacin de los cuellos de botella de la red que se encuentra en la figura.

Ln esta igura, que muestra seis computadoras conectadas a un switch, un nico seridor se encuentra conectado tambin al
mismo switch. 1odas las estaciones de trabajo y el seridor estan conectados mediante una tarjeta NIC de 1000 Mb,s. ,Qu
sucede cuando las seis computadoras intentan tener acceso al seridor al mismo tiempo ,Cada una de las estaciones de
trabajo obtiene un acceso dedicado al seridor de 1000 Mb,s No, todas las computadoras tienen que compartir la conexin
de 1000 Mb,s que el seridor tiene con el switch. De manera acumulatia, las computadoras cuentan con una capacidad de
6000 Mb,s con el switch. Si cada conexin se utilizara a plena capacidad, cada computadora podra emplear slo 16 Mb,s,
un sexto del ancho de banda de 1000 Mb,s. Para reducir el cuello de botella en el seridor, es posible instalar mas tarjetas de
red, y de este modo incrementar el total de ancho de banda que el seridor es capaz de recibir. La igura muestra cinco
tarjetas NIC en el seridor y un ancho de banda aproximadamente cinco eces mayor. La misma lgica se aplica a las
tipologas de redes. Cuando los switches de arios nodos estan interconectados por una nica conexin de 1000 Mb,s, se
crea un cuello de botella en esa nica interconexin.

Si se utilizan enlaces de mayor capacidad ,por ejemplo: ampliar una conexin de 100 Mb,s hasta 1000 Mb,s, y se emplean
arios enlaces promoiendo una tecnologa de uniicacin de enlaces ,por ejemplo, combinar dos enlaces como si ueran
uno para duplicar la capacidad de la conexin, pueden reducirse los cuellos de botella creados por los enlaces de switches
interconectados y de routers. Si bien este curso no abarca el modo de conigurar la uniicacin de enlaces, es importante
tener en cuenta las capacidades de un determinado dispositio al ealuar las necesidades de una red. ,Con cuantos puertos
cuenta y qu capacidad de elocidad tiene el dispositio ,Cual es el rendimiento interno del dispositio ,Ls capaz de
administrar las cargas de traico que se esperan considerando su ubicacin en la red

2.2 REENVO DE TRAMAS MEDIANTE UN SWITCH
2.2.1 METODOS DE REEVO DEL SWITCH.-
Mtodos de reenvo de paquetes del switch

Ln este tema, se describira cmo los switches reenan tramas Lthernet en una red. Los switches pueden uncionar de
distintos modos y stos pueden tener tanto eectos positios como negatios.

Anteriormente, los switches solan utilizar uno de los siguientes mtodos de reeno para conmutar datos entre los puertos
de la red: conmutacin por mtodo de corte o almacenamiento y eno. Ll botn Mtodos de reeno del switch muestra
estos dos mtodos. Sin embargo, almacenamiento y eno es el nico mtodo de reeno que se utiliza en los modelos
actuales de los switches Cisco Catalyst.

Conmutacin de almacenamiento y envo

Ln este tipo de conmutacin, cuando el switch recibe la trama, la almacena en los buers de datos hasta recibir la trama en
su totalidad. Durante el proceso de almacenamiento, el switch analiza la trama para buscar inormacin acerca de su destino.
Ln este proceso, el switch tambin llea a cabo una eriicacin de errores utilizando la porcin del trailer de comprobacin
de redundancia cclica ,CRC, Cyclic Redundancy Check, de la trama de Lthernet.

La CRC utiliza una rmula matematica, basada en la cantidad de bits ,1, de la trama, para determinar si sta tiene algn
error. Despus de conirmar la integridad de la trama, sta se ena desde el puerto correspondiente hasta su destino.
Cuando se detecta un error en la trama, el switch la descarta. Ll proceso de descarte de las tramas con errores reduce la
cantidad de ancho de banda consumido por datos danados. La conmutacin por almacenamiento y eno se requiere para el
analisis de calidad de sericio ,QoS, en las redes conergentes, en donde se necesita una clasiicacin de la trama para decidir
el orden de prioridad del traico. Por ejemplo: los lujos de datos de oz sobre IP deben tener prioridad sobre el traico de
exploracin \eb.

Haga clic en el botn Conmutacin por almacenamiento y envo para reproducir la animacin y obtener una
demostracin del proceso de almacenamiento y eno.

Conmutacin por mtodo de corte

Ln este tipo de conmutacin, el switch acta sobre los datos apenas los recibe, incluso si la transmisin an no se ha
completado. Ll switch recopila en el ber slo la inormacin suiciente de la trama como para leer la direccin MAC de
destino y as determinar a qu puerto debe reeniar los datos. La direccin MAC de destino se encuentra en los primeros 6
bytes de la trama despus del preambulo. Ll switch busca la direccin MAC de destino en su tabla de conmutacin,
determina el puerto de la interaz de salida y reena la trama a su destino mediante el puerto de switch designado. Ll switch
no llea a cabo ninguna eriicacin de errores en la trama. Dado que el switch no tiene que esperar que la trama se
almacene de manera completa en el ber y que no realiza ninguna eriicacin de errores, la conmutacin por mtodo de
corte es mas rapida que la de almacenamiento y eno. No obstante, al no llear a cabo ninguna eriicacin de errores, el
switch reena tramas danadas a tras de la red. Las tramas danadas consumen ancho de banda mientras se reenan. Al
inal, la NIC de destino descarta las tramas danadas.

laga clic en el botn Conmutacin por mtodo de corte para reproducir la animacin y obtener una demostracin del
proceso de conmutacin por mtodo de corte.

A continuacin, se presentan dos ariantes de la conmutacin por mtodo de corte:

Conmutacin por eno rapido: La conmutacin por eno rapido orece el mas bajo niel de latencia. La
conmutacin por eno rapido reena el paquete inmediatamente despus de leer la direccin de destino. Como la
conmutacin por eno rapido comienza a reeniar el paquete antes de haberlo recibido en orma completa, es
probable que a eces los paquetes se entreguen con errores. Lsto ocurre con poca recuencia y el adaptador de red
de destino descarta los paquetes deectuosos en el momento de su recepcin. Ln el modo de eno rapido, la
latencia se mide desde el primer bit recibido hasta el primer bit transmitido. La conmutacin por eno rapido es el
tpico mtodo de corte.
Conmutacin Libre de ragmentos: Ln la conmutacin libre de ragmentos, el switch almacena los primeros 64
bytes de la trama antes de reeniarla. Lste tipo de conmutacin puede ser ista como un acuerdo entre la
conmutacin por almacenamiento y eno y la conmutacin por mtodo de corte. Ll motio por el cual la
conmutacin libre de ragmentos almacena slo los primeros 64 bytes de la trama es que la mayora de los errores y
las colisiones de la red se producen en esos primeros 64 bytes. Ll modo libre de ragmentos intenta mejorar la
conmutacin por mtodo de corte lleando a cabo una pequena eriicacin de errores en los primeros 64 bytes de
la trama a in de asegurar que no se han producido colisiones antes de reeniar la trama. La conmutacin libre de
ragmentos supone un equilibrio entre el alto niel de latencia y la gran integridad que orece la conmutacin por
almacenamiento y eno, y el bajo niel de latencia y la reducida integridad que brinda la conmutacin por mtodo
de corte.

Algunos switches se coniguran para realizar una conmutacin por mtodo de corte por puerto hasta llegar a un umbral de
error deinido por el usuario y, luego, cambian la conmutacin al modo de almacenamiento y eno. Si elndice de error esta
por debajo del umbral, el puerto uele automaticamente a la conmutacin por mtodo de corte.

2.2.2 CONMUTACIN SIMTRICA Y ASIMTRICA.-
Conmutacin simtrica y asimtrica

Ln este tema, se estudiaran las dierencias entre la conmutacin simtrica y asimtrica en una red. La conmutacin LAN se
puede clasiicar como simtrica o asimtrica segn la orma en que el ancho de banda se asigna a los puertos de
conmutacin.

La conmutacin simtrica proporciona conexiones conmutadas entre puertos con el mismo ancho de banda, por ejemplo,
todos los puertos de 100 Mb,s o todos los puertos de 1000 Mb,s. Un switch LAN asimtrica proporciona conexiones
conmutadas entre puertos con distinto ancho de banda, por ejemplo, una combinacin de puertos de 10 Mb,s, 100 Mb,s y
1000 Mb,s. La igura muestra las dierencias entre la conmutacin simtrica y la asimtrica.

Asimtrica

La conmutacin asimtrica permite un mayor ancho de banda dedicado al puerto de conmutacin del seridor para eitar
que se produzca un cuello de botella. Lsto brinda una mejor calidad en el lujo de traico, donde arios clientes se
comunican con un seridor al mismo tiempo. Se requieren buers de memoria en un switch asimtrico. Para que el switch
coincida con las distintas elocidades de datos en los distintos puertos, se almacenan tramas enteras en los buers de
memoria y se enan al puerto una despus de la otra segn se requiera.

Simtrico

Ln un switch simtrico, todos los puertos cuentan con el mismo ancho de banda. La conmutacin simtrica se e
optimizada por una carga de traico distribuida de manera uniorme, como en un entorno de escritorio entre pares.

Ll administrador de la red debe ealuar la cantidad de ancho de banda que se necesita para las conexiones entre dispositios
a in de que pueda adaptarse al lujo de datos de las aplicaciones basadas en redes. La mayora de los switches actuales son
asimtricos, ya que son los que orecen mayor lexibilidad.

2.2.3 BFER DE MEMORIA.-
Bfer de memoria basado en puerto y bfer de memoria compartida

Como se describi en el tema anterior, el switch analiza parte del paquete, o su totalidad, antes de reeniarlo al host de
destino mediante el mtodo de reeno. Ll switch almacena el paquete en un ber de memoria durante un bree perodo.
Ln este tema, se estudiara cmo se utilizan dos tipos de buers de memoria durante el reeno.

Un switch Lthernet puede usar una tcnica de buers para almacenar tramas antes de eniarlas. Ll almacenamiento en
buers tambin puede utilizarse cuando el puerto destino esta ocupado debido a una congestin. Ll switch almacena la
trama hasta el momento en que pueda transmitirse. Ll empleo de memoria para almacenar datos se denomina

almacenamiento en buers de memoria. Ll ber de memoria esta integrado al hardware del switch y, ademas de aumentar
la cantidad de memoria disponible, no puede conigurarse.

Lxisten dos tipos de almacenamiento en buers de memoria: memoria compartida y memoria basada en puerto.

Bfer de memoria basada en puerto

Ln el ber de memoria basado en puerto, las tramas se almacenan en colas conectadas a puertos de entrada especicos.
Una trama se transmite al puerto de salida una ez que todas las tramas que estan delante de ella en la cola se hayan
transmitido con xito. Ls posible que una sola trama retarde la transmisin de todas las tramas almacenadas en la memoria
debido al traico del puerto de destino. Lste retardo se produce aunque las demas tramas se puedan transmitir a puertos
destino abiertos.

Bfer de memoria compartida

Ll ber de memoria compartida deposita todas las tramas en un ber de memoria comn que comparten todos los puertos
del switch. La cantidad de memoria de ber que requiere un puerto se asigna de orma dinamica. Las tramas en el ber se
inculan de orma dinamica al puerto de destino. Lsto permite la recepcin del paquete por un puerto y la transmisin por
otro puerto, sin tener que colocarlo en otra cola.

Ll switch consera un mapa de enlaces de trama a puerto que indica por dnde un paquete debe transmitirse. Ll enlace del
mapa se elimina una ez que la trama se ha transmitido con xito. La cantidad de tramas almacenadas en el ber se
encuentra limitada por el tamano del ber de memoria en su totalidad y no se limita a un solo ber de puerto. Lsto permite
la transmisin de tramas mas amplias y que se descarte una menor cantidad de ellas. Lsto es importante para la conmutacin
asimtrica, donde las tramas se intercambian entre puertos de distintas elocidades.

2.2.4 CONMUTACION DE CAPA 2 Y CAPA 3.-
Conmutacin de Capa 2 y Capa 3

Ln este tema, se reisara el concepto de conmutacin de Capa 2 y se introducira la conmutacin de Capa 3.

Un switch LAN de Capa 2 llea a cabo los procesos de conmutacin y iltrado basandose solamente en la direccin MAC de
la Capa de enlace de datos ,Capa 2, del modelo OSI. Ll switch de Capa 2 es completamente transparente para los
protocolos de la red y las aplicaciones del usuario. Recuerde que un switch de Capa 2 crea una tabla de direcciones MAC
que utiliza para determinar los enos.

Un switch de Capa 3, como el Catalyst 3560, unciona de modo similar a un switch de Capa 2, como el Catalyst 2960, pero
en lugar de utilizar slo la inormacin de las direcciones MAC para determinar los enos, el switch de Capa 3 puede
tambin emplear la inormacin de la direccin IP. Ln lugar de aprender qu direcciones MAC estan inculadas con cada
uno de sus puertos, el switch de Capa 3 puede tambin conocer qu direcciones IP estan relacionadas con sus interaces.
Lsto permite que el switch de Capa 3 pueda dirigir el traico a tras de la red en base a la inormacin de las direcciones IP.

Los switches de Capa 3 son tambin capaces de llear a cabo unciones de enrutamiento de Capa 3, con lo cual se reduce la
necesidad de colocar routers dedicados en una LAN. Dado que los switches de Capa 3 cuentan con un hardware de
conmutacin especializado, normalmente, pueden eniar datos con la misma rapidez con la que pueden conmutar.

Comparacin entre el switch y el router de Capa 3
Ln el tema anterior, se explic que los switches de Capa 3 examinan la inormacin de Capa 3 de un paquete Lthernet para
determinar los enos. Los switches de Capa 3 pueden eniar paquetes entre distintos segmentos de una LAN de modo
similar que los routers dedicados. Sin embargo, los switches de Capa 3 no reemplazan completamente la necesidad de
utilizar routers en una red.
Los routers proporcionan sericios adicionales de Capa 3 que los switches de Capa 3 no pueden realizar. Los routers
tambin pueden llear a cabo tareas de reeno de paquetes que no realizan los switches de Capa 3, como establecer
conexiones de acceso remoto con dispositios y redes remotas. Los routers dedicados son mas lexibles en cuanto a la
admisin de tarjetas de interaz \AN ,\IC, \AN Interace Cards,. Por ello, son la opcin preerida, y a eces incluso la
nica, para conectar a una \AN. Los switches de Capa 3 orecen unciones basicas de enrutamiento en una LAN y reducen
la necesidad de utilizar routers dedicados.

2.3 CONFIGURACION DE ADMINISTRACION DE SWTCHES.-
2.3.1 NAVEGACION POR LOS MODOS DE LA INTERFAZ DE LINEA DE COMANDOS.-
Modos de interfaz de lnea de comando

Ln este tema, se reisara lo aprendido en CCNA Lxploration: Aspectos basicos de redes acerca de cmo naegarpor los
distintos modos de la interaz de lnea de comandos ,CLI,.

Como caracterstica de seguridad, el sotware IOS de Cisco diide las sesiones de LXLC en los siguientes nieles de acceso:

EXEC usuario: Permite que una persona tenga acceso solamente a una cantidad limitada de comandos basicos de
monitoreo. Ll modo LXLC del usuario es el modo predeterminado al que se ingresa despus de iniciar sesin en un switch
de Cisco desde la CLI. Ll modo LXLC del usuario se identiica con la indicacin .
EXEC privilegiado: Permite que una persona tenga acceso a todos los comandos del dispositio, como aquellos que se
utilizan para la coniguracin y administracin, y es posible protegerlo por contrasena para que tengan acceso al dispositio
slo los usuarios autorizados. Ll modo LXLC priilegiado se identiica con la indicacin 4.

Para pasar del modo LXLC del usuario al modo LXLC priilegiado, ingrese el comando enable. Para pasar del modo
LXLC priilegiado al modo LXLC del usuario, ingrese el comando disable. Ln una red erdadera, el switch solicita la
contrasena. Ingrese la contrasena correcta. De manera predeterminada, la contrasena no se conigura. La igura muestra los
comandos del IOS de Cisco que se utilizan para pasar del modo LXLC del usuario al modo LXLC priilegiado y iceersa.

Haga clic en el botn modo EXEC usuario y modo EXEC privilegiado en la figura.

Exploracin de los modos de configuracin

Una ez que ha ingresado el modo LXLC priilegiado en el switch de Cisco, puede tener acceso a otros modos de
coniguracin. Ll sotware IOS de Cisco emplea una jerarqua de comandos en su estructura de modos de comandos. Cada
modo de comandos admite comandos de Cisco IOS especicos que se relacionan con un tipo de operacin en el
dispositio.

Lxisten muchos modos de coniguracin. Por ahora, se analizara cmo naegar por dos modos comunes de coniguracin:
modo de coniguracin global y modo de coniguracin de interaz.

laga clic en el botn modos de coniguracin de Naegacin en la igura.

Modo de configuracin global

Ll ejemplo comienza con el switch en el modo LXLC priilegiado. Para conigurar los parametros globales del switch,
como el nombre de host o la direccin IP del switch, que se emplean para la administracin de switches, utilice el modo de
coniguracin global. Para tener acceso al modo de coniguracin global, ingrese el comando configure terminal en el
modo LXLC priilegiado. La indicacin cambia a ,conig,4.

Modo de configuracin de interfaz

Conigurar los parametros especicos de la interaz es una tarea comn. Para obtener acceso al modo de coniguracin de
interaz desde el modo de coniguracin global, ingrese el comando interfacenombre de interaz. La indicacin cambia a
,conig-i,4. Para salir del modo de coniguracin de interaz, utilice el comando exit. La indicacin uele a cambiar a
,conig,4, hacindole saber que se encuentra en el modo de coniguracin global. Para salir del modo de coniguracin
global, ingrese nueamente el comando exit. La indicacin cambia a 4, que representa al modo LXLC priilegiado.

Alternativas a la CLI basadas en la GUI

Lxiste una cantidad de alternatias de administracin graica para administrar un switch de Cisco. Ll uso de una GUI orece
acilidad de administracin y coniguracin de switches, y no requiere tener amplio conocimiento sobre la CLI de Cisco.

Haga clic en el botn Asistente de red Cisco que se muestra en la figura.

Asistente de red Cisco

Ll asistente de red Cisco es una aplicacin de la GUI basada en PC para la administracin de redes y optimizada para las
LAN pequenas y medianas. Puede conigurar y administrar grupos de switches o switches independientes. La igura muestra
la interaz de administracin del asistente de red. Ll asistente de red Cisco esta disponible sin costo alguno y puede
descargarse desde Cisco ,se requiere contrasena,nombre de usuario CCO,:

http:,,www.cisco.com,go,networkassistant .

Haga clic en el botn Aplicacin CiscoView de la figura.

Aplicacin CiscoView

La aplicacin de administracin de dispositios CiscoView proporciona una ista sica del switch que se puede utilizar para
establecer parametros de coniguracin y para er la inormacin de uncionamiento y el estado del switch. La aplicacin
CiscoView, que se compra por separado, puede ser una aplicacin independiente o bien ormar parte de una plataorma de
Protocolo de administracin de red simple ,SNMP, La igura muestra la interaz de administracin del Administrador de
dispositios CiscoView. Para obtener mas inormacin sobre el Administrador de dispositios CiscoView, consulte el sitio:

http:,,www.cisco.com,en,US,products,sw,cscowork,ps4565,prod_bulletin0900aecd802948b0.html

Haga clic en el botn Administrador de dispositivos Cisco que se muestra en la figura.

Administrador de dispositivos Cisco

Ll administrador de dispositios Cisco es un sotware basado en \eb que se encuentra almacenado en la memoria del
switch. Puede utilizar el Administrador de dispositios y administrar los switches. Se puede obtener acceso al administrador
de dispositios desde cualquier sitio de la red a tras del explorador \eb. La igura muestra la interaz de administracin.

Haga clic en el botn Administracin de red SNMP que se muestra en la figura.

Administracin de red SNMP

Se pueden administrar switches desde una estacin de administracin compatible con SNMP, como lP OpenView. Ll
switch es capaz de proporcionar amplia inormacin de administracin y orece cuatro grupos de Monitoreo remoto
,RMON, La administracin de red SNMP es mas recuente en las redes de grandes empresas. Puede obtener mas
inormacin sobre lP OpenView en el sitio:

http:,,h20229.www2.hp.com,news,about,index.html.

2.3.2 CMO UTILIZAR EL SEVICIO DE AYUDA.-
Ayuda sensible al contexto

La CLI del IOS de Cisco orece dos tipos de ayuda:

Ayuda de palabra: Si no recuerda un comando completo pero s recuerda los primeros caracteres, ingrese la
secuencia de caracteres seguidos de un signo de interrogacin ,,. No introduzca ningn espacio antes del signo de
interrogacin.

Se mostrara una lista de comandos que comienzan con los caracteres que se han ingresado. Por ejemplo: si ingresa sh, se
mostrara una lista de todos los comandos que comiencen con esa secuencia de caracteres.

Ayuda de sintaxis de comando: Si no sabe cuales son los comandos disponibles en su contexto actual en la CLI
del IOS de Cisco o si no conoce los parametros que se requieren o estan disponibles para completar un comando
determinado, ingrese el comando .

Cuando slo se ingresa , se muestra una lista de todos los comandos disponibles en el contexto. Si se ingresa el signo
despus de un comando especico, se mostraran los argumentos de dicho comando. Si se muestra cr, signiica que no se
necesita ningn otro argumento para hacer uncionar el comando. Asegrese de dejar un espacio antes del signo de
interrogacin para eitar que la CLI del IOS de Cisco llee a cabo una ayuda de palabra en lugar de una ayuda de sintaxis de
comando. Por ejemplo: ingrese show ? para obtener una lista de las opciones de comandos que admite el comando show.

La igura muestra las unciones de la ayuda de Cisco.

Se describira cmo unciona la ayuda de la CLI utilizando como ejemplo el ajuste del reloj del dispositio. Si se necesita
ajustar el reloj del dispositio pero no se conoce la sintaxis del comando clock, la ayuda contextual proporciona un modo
de eriicar dicha sintaxis.

La ayuda contextual proee el comando completo incluso si se ha ingresado slo la primera parte del comando, por ejemplo,
cl?.

Si ingresa el comando clock seguido de la tecla Lnter, un mensaje de error indicara que el comando esta incompleto. Para
obtener los parametros que se requieren para el comando clock, ingrese ? precedido por un espacio. Ln el ejemplo de clock
, el resultado de la ayuda muestra que se requiere la palabra clae set despus de clock.

Si ahora ingresa el comando clock set, aparecera otro mensaje de error indicando que el comando sigue estando
incompleto. Agregue un espacio e ingrese el comando para que se muestre una lista de los argumentos de comandos que
estan disponibles en ese momento para el comando ingresado.

Se mostraran los argumentos adicionales que se necesitan para ajustar el reloj en el dispositio: la hora actual en horas,
minutos y segundos. Para obtener aliosa inormacin sobre el uso de la CLI del IOS de Cisco, isite:

Mensajes de error de consola

Los mensajes de error de la consola ayudan a identiicar problemas cuando se ha ingresado un comando incorrecto. La
igura proporciona ejemplos de mensajes de error, qu signiican y cmo obtener ayuda cuando stos se muestran

2.3.3 ACCESO AL HISTORIAL DE COMANDO.-
Bfer de historial de comandos

Al conigurar arias interaces en un switch, se puede ahorrar tiempo y eitar escribir los comandos nueamente mediante el
ber del historial de comandos del IOS de Cisco. Ln este tema se explicara de qu manera conigurar el ber del historial
de comandos para respaldar sus tareas de coniguracin.

La CLI de Cisco proporciona un historial o registro de los comandos que se han ingresado. Lsta caracterstica, llamada
historial de comandos, es especialmente til para ayudar a recordar entradas o comandos largos o complejos.

Ll historial de comandos permite llear a cabo las siguientes tareas:

Mostrar los contenidos del ber de comandos.
Lstablecer el tamano del ber del historial de comandos.
Recordar comandos preiamente ingresados y almacenados en el ber del historial. Cada modo de coniguracin
cuenta con un ber exclusio.

De manera predeterminada, el historial de comandos se actia y el sistema registra las ltimas 10 lneas de comandos en el
ber de historial. Puede utilizar el comando show history para que se muestren los ltimos comandos LXLC ingresados.

Configurar el bfer de historial de comandos

Ln los productos de redes Cisco que admiten el sotware IOS de Cisco, el historial de comandos se actia de manera
predeterminada y se registran las ltimas 10 lneas de comandos en el ber de historial.

Ll historial de comandos puede desactiarse para una determinada sesin de terminal mediante el comando terminal no
history en el modo LXLC del usuario o priilegiado. Cuando se desactia el historial de comandos, el dispositio deja de
retener las lneas de comandos que se ingresen.

Para reertir el tamano del historial de terminal y establecerlo nueamente al alor predeterminado de 10 lneas, ingrese el
comando terminal no history size command in priileged LXLC mode. La igura proporciona una explicacin y ejemplos
de estos comandos del IOS de Cisco.

2.3.4 SECUENCIA DE ARRANQUE DEL SWITCH.-
Describir la secuencia de arranque

Ln este tema, se explicara la secuencia de comandos del IOS de Cisco que ejecuta un switch desde el estado de apagado
hasta que muestra la indicacin para iniciar sesin. Una ez que el switch de Cisco se enciende, atraiesa la siguiente
secuencia.

Ll switch carga el sotware del cargador de arranque. Ll cargador de arranque es un pequeno programa que se encuentra
almacenado en la NVRAM y que se ejecuta cuando el switch se enciende por primera ez.

Ll cargador de arranque:

Llea a cabo la inicializacin de bajo niel de la CPU. Inicializa los registros de la CPU, que controlan dnde esta
asignada la memoria sica, la cantidad de memoria y su elocidad.
Realiza el autodiagnstico al encender ,POS1, para el subsistema de la CPU. Comprueba la DRAM de la CPU y la
parte del dispositio lash que integra el sistema de archios lash.
Inicializa el sistema de archios lash en la tarjeta del sistema.
Carga una imagen predeterminada del sotware del sistema operatio en la memoria y hace arrancar al switch. Ll
cargador de arranque intenta encontrar la imagen del IOS de Cisco en el switch buscando primero en un directorio
que tiene el mismo nombre que el archio de imagen ,sin incluir la extensin .bin,. Si no la encuentra all, el
cargador de arranque busca en cada subdirectorio antes de continuar la bsqueda en el directorio original.

Luego, el sistema operatio inicializa las interaces mediante los comandos del IOS de Cisco que se encuentran en el archio
de coniguracin del sistema operatio, conig.text, y almacenados en la memoria lash del switch.

Recuperacin tras un colapso del sistema

Ll cargador de arranque tambin proporciona acceso al switch en caso de que el sistema operationo pueda utilizarse. Ll
cargador de arranque cuenta con un dispositio de lnea de comandos que permite obtener acceso a los archios
almacenados en la memoria lash antes de que se cargue el sistema operatio. Desde la lnea de comandos del cargador de
arranque es posible ingresar comandos para ormatear el sistema de archios lash, oler a instalar la imagen de sotware
del sistema operatio o recuperar una contrasena perdida u olidada.

2.3.5 PREPARACIN PARA LA CONFIGURACION DEL SWITCH.-
Preparacin para la configuracin del switch

Ll inicio de un switch Catalyst requiere la ejecucin de los siguientes pasos:

Paso 1. Antes de poner en uncionamiento el switch, eriique que:

1odos los cables de red estn correctamente conectados.

La PC o el terminal estn conectados al puerto de consola.

La aplicacin del emulador de terminal, como lyper1erminal, est uncionando y est correctamente conigurada.

La igura muestra una PC conectada a un switch mediante el puerto de consola.

Haga clic en el botn Configurar Hyperterminal de la figura.

La igura muestra la correcta coniguracin de lyper1erminal, que puede utilizarse para er la consola de un dispositio
Cisco.

Paso 2. Conecte el cable de energa elctrica al socket de la uente de energa. Ll switch se pondra en uncionamiento.
Algunos switches Catalyst, incluida la serie Cisco Catalyst 2960, no cuentan con un botn de encendido.

Paso 3. Obsere que la secuencia de arranque transcurra de la siguiente manera:

Cuando se enciende el switch, se inicia la prueba POS1. Durante la POS1, los indicadores de los LLD parpadean mientras
una serie de pruebas determina si el switch esta uncionando correctamente. Cuando la POS1 inaliza, el LLD S\S1
parpadea rapidamente en color erde. Si el switch no pasa la POS1, el LLD S\S1 se uele de color ambar. Si un switch no
aprueba la POS1, sera necesario repararlo.

Obsere en la consola el texto del resultado del sotware IOS de Cisco.

En la figura, haga clic en el botn Ver proceso de arranque en la consola.

La igura muestra el proceso de arranque en la consola de un switch Cisco.

Ln la primera etapa del inicio del switch, si se detectan allas en la POS1, se ena un inorme a la consola, y el switch no se
pone en uncionamiento. Si la prueba POS1 se llea a cabo con xito y el switch no se ha conigurado preiamente, se le
requerira que lo haga.

2.3.6 CONFIGURACION BSICA DE SWITCH.-
Consideraciones de la interfaz de administracin

Un switch de capa de acceso se parece mucho a una PC en que se necesita conigurar una direccin IP, una mascara de
subred y una gateway predeterminada. Para manejar un switch en orma remota mediante 1CP,IP, se necesita asignar al
switch una direccin IP. Ln la igura, S1 debe manejarse desde la PC 1, que es una computadora utilizada para administrar la
red. Para llear esto a cabo se necesita asignar una direccin IP al switch S1. Se asigna la direccin IP a una interaz irtual
denominada LAN irtual ,VLAN, y luego se necesita asegurar que la VLAN se asigne a uno o mas puertos especicos del
switch.

La coniguracin predeterminada del switch es que su administracin sea controlada a tras de la VLAN 1. Sin embargo, la
coniguracin basica recomendada para el switch es que la administracin est controlada por una VLAN que no sea la
VLAN 1. Los undamentos y las implicancias de dicha accin se explicaran en el prximo captulo. La igura ilustra la
utilizacin de VLAN 99 como VLAN de administracin. Sin embargo, es importante tener en cuenta que puede utilizarse
otra VLAN 99 como interaz de administracin.

Nota: Se proporcionaran mas detalles sobre las VLAN en el prximo captulo. Aqu, el tema central es proporcionar acceso
de administracin al switch a tras de una VLAN alternatia. Algunos de los comandos ya introducidos seran explicados
con mayor proundidad en el prximo captulo.

Por ahora, se ha creado la VLAN 99 y se le ha asignado una direccin IP. Luego, el correspondiente puerto del switch S1 es
asignado a VLAN 99. La igura tambin muestra la inormacin sobre esta coniguracin.

Haga clic en el botn Configurar interfaz de administracin de la figura.

Configurar interfaz de administracin

La coniguracin de una direccin IP y una mascara de subred en la VLAN de administracin del switch debe realizarse
desde el modo de coniguracin de interaz VLAN. Utilice el comando interface vlan 99 e ingrese el comando de
coniguracin de direccin ip. Se debe utilizar el comando de coniguracin de interaz no shutdown para que esta interaz
de Capa 3 se ponga en uncionamiento. Cuando ea "interace VLAN x", se reiere a la interaz de Capa 3 relacionada con la
VLAN x. Slo la VLAN de administracin tiene una VLAN inculada a ella.

1enga en cuenta que un switch de Capa 2, como el Cisco Catalyst 2960, permite que slo una interaz de la VLAN se
encuentre actia por ez. Lllo signiica que la interaz de Capa 3 VLAN 99 esta actia pero la interaz de Capa 3 VLAN 1
no lo esta.

Haga clic en el botn Configurar gateway predeterminada que se muestra en la figura.

Configurar Gateway predeterminada

Ll switch debe conigurarse de modo tal que pueda reeniar paquetes IP a redes remotas. Ls el mecanismo para llear esto a
cabo es la gateway predeterminada. Ll switch reena paquetes IP con direcciones IP de destino uera de la red local a la
gateway predeterminada. Ln la igura, el router R1 es el router de siguiente salto. Su direccin IP es 12.1.99.1.

Para configurar una gateway predeterminada para el switch, utilice el comando ip default-gateway. Ingrese la
direccin IP de la interaz del router de siguiente salto que esta conectada directamente al switch en el que se ha de
conigurar la gateway predeterminada. Asegrese de guardar la coniguracin en ejecucin en un switch o router. Use el
comando copy running-config startup-config para realizar una copia de respaldo de la coniguracin.

Haga clic en el botn Verificar Configuracin de la figura.

Verificacin Configuracin

La imagen de pantalla que aparece en la parte superior de la igura es un resultado abreiado de pantalla que indica que se ha
conigurado la VLAN 99 con una direccin IP y mascara de subred, y que se ha asignado la interaz de administracin
VLAN 99 al puerto last Lthernet l0,18.

Mostrar las interfaces IP

Use el comando show ip interface brief para eriicar el estado y uncionamiento del puerto. Lnsayara el uso del comando
switchport access vlan 99 en las practicas de laboratorio y de Packet 1racer.

El comando mdix auto

Se sola requerir la utilizacin de ciertos tipos de cables ,de conexin cruzada o conexin directa, para realizar conexiones
entre dispositios, por ejemplo, entre switches o entre un switch y un router. Ahora, en cambio, se puede utilizar el
comando de coniguracin de interaz mdix auto de la CLI para habilitar la uncin automatica de conexin cruzada de
interaz dependiente del medio ,auto-MDIX,.

Al habilitar la uncin auto-MDIX, el switch detecta el tipo de cable que se requiere para las conexiones Lthernet de cobre
y, conorme a ello, conigura las interaces. Por lo tanto, se puede utilizar un cable de conexin directa o cruzada para
realizar la conexin con un puerto 10,100,1000 de cobre situado en el switch, independientemente del tipo de dispositio
que se encuentre en el otro extremo de la conexin.

La uncin auto-MDIX se habilita de manera predeterminada en los switches que ejecutan el sotware Cisco IOS, ersin
12.2,18,SL o posterior. Ln el caso de las ersiones existentes entre Cisco IOS, ersin 12.1,14,LA1 y 12.2,18,SL, la uncin
auto-MDIX esta deshabilitada de manera predeterminada.

Configurar duplex y velocidad

Se puede utilizar el comando de coniguracin de interaz duplex para establecer el modo de operacin dplex en los
puertos del switch. Ls posible establecer manualmente el modo dplex y la elocidad de los puertos del switch para eitar
problemas entre distintos abricantes con la autonegociacin. Si bien pueden presentarse problemas al conigurar los
parametros dplex de los puertos del switch en auto, en este ejemplo los switches S1 y S2 cuentan con los mismos
parametros de elocidad y dplex. La igura describe los pasos para conigurar el puerto l0,1 en el switch S1.

Configurar una interfaz de Web

Los switches modernos de Cisco cuentan con una serie de herramientas de coniguracin basadas en \eb que requieren que
el switch se conigure como seridor l11P. Lstas aplicaciones incluyen la interaz de usuario de explorador \eb de Cisco,
el Administrador de router y dispositio de seguridad de Cisco, y las aplicaciones 1elephony Serice del IOS de Cisco e IP
Phone.

Para controlar las personas que obtienen acceso a los sericios l11P del switch, puede conigurarse de manera opcional la
autenticacin. Los mtodos de autenticacin pueden ser complejos. Ls probable que sean tantas las personas que utilizan los
sericios l11P que se requerira un seridor independiente utilizado especicamente para administrar la autenticacin de
los usuarios. Los modos de autenticacin AAA y 1ACACS son ejemplos que utilizan este tipo de mtodo de autenticacin
remota. AAA y 1ACACS son protocolos de autenticacin que pueden utilizarse en las redes para alidar las credenciales del
usuario. Posiblemente se necesite un mtodo de autenticacin menos complejo. Ll mtodo enable requiere que los usuarios
utilicen la contrasena de enable del seridor. Ll mtodo de autenticacin local requiere que el usuario ingrese la
combinacin de nombre de usuario de inicio de sesin, contrasena y acceso de niel priilegiado especiicados en la
coniguracin del sistema local ,a tras del comando de coniguracin global username,.

Si desea obtener mas inormacin sobre 1ACACS, isite el sitio:
http:,,www.cisco.com,en,US,tech,tk583,tk642,tsd_technology_support_sub-protocol_home.html.

Si desea obtener mas inormacin sobre AAA, isite el sitio:
http:,,www.cisco.com,en,US,products,ps6638,products_data_sheet09186a00804e332.html.

Gestin de la tabla de direcciones MAC

Los switches utilizan tablas de direcciones MAC para determinar cmo eniar traico de puerto a puerto. Lstas tablasde
direcciones MAC incluyen direcciones estaticas y dinamicas. La igura muestra un ejemplo de tabla de direcciones MAC, en
el resultado del comando show mac-address-table, que incluye direcciones MAC estaticas y dinamicas.

Nota: La tabla de direcciones MAC ue preiamente deinida como memoria de contenido direccionable ,CAM, o tabla
CAM.

Las direcciones dinamicas son las direcciones MAC de origen que el switch registra y que luego expiran cuando no estan en
uso. Ls posible cambiar el alor del tiempo de expiracin de las direcciones MAC. Ll tiempo predeterminado es de 300
segundos. Si se establece un perodo de expiracin muy corto, las direcciones podran eliminarse de la tabla de manera
prematura. Luego, cuando el switch reciba un paquete para un destino desconocido, lo eniara en orma masia a todos los
puertos de una misma LAN ,o VLAN,. Lsta looding innecesaria puede aectar el uncionamiento. Si, en cambio, se
establece un perodo de expiracin muy largo, la tabla de direcciones podra llenarse de direcciones no utilizadas e impedir
que puedan registrarse las nueas. Lsto tambin puede proocar looding.

Ll switch proporciona direccionamiento dinamico al registrar la direccin MAC de origen de cada trama que recibe en cada
puerto y al agregar luego la direccin MAC de origen y el nmero de puerto relacionado con ella a la tabla de direcciones
MAC. A medida que se agregan o eliminan computadoras de la red, el switch actualiza la tabla de direcciones MAC al
agregar nueas entradas y eliminar las que ya no estan en uso.

Un administrador de red puede asignar direcciones MAC estaticas a determinados puertos de manera especica. Las
direcciones estaticas no expiran y el switch siempre sabe a qu puerto eniar el traico destinado a esa direccin MAC en
particular. Por lo tanto, no necesita oler a registrar o realizar una actualizacin para saber a qu puerto se encuentra
inculada la direccin MAC. Una razn para implementar direcciones MAC estaticas es de proporcionar al administrador de
red un completo control sobre el acceso a la red. Slo los dispositios conocidos por el administrador de red podran
conectarse a la red.

Para crear una asignacin estatica en la tabla de direcciones MAC, ingrese el comando mac-address-table static direccin
MAC vlan {1-4096, ALL} interface ID de interfaz.

Para eliminar una asignacin estatica en la tabla de direcciones MAC, ingrese el comando no mac-address-table static
direccin MAC vlan {1-4096, ALL} interface ID de interfaz.

Ll tamano maximo de la tabla de direcciones MAC ara con distintos switches. Por ejemplo: el switch de la serie Catalyst
2960 puede almacenar hasta 8192 direcciones MAC. Lxisten otros protocolos que pueden limitar la cantidad absoluta de
direcciones MAC disponibles para un switch.

2.3.7 VERIFICACIN DE LA CONFIGURACIN DEL SWITCH
Uso de los comandos Show

\a realizada la coniguracin inicial del switch, se debera conirmar que se ha lleado a cabo de manera correcta. Ln este
tema se explicara cmo eriicar la coniguracin del switch a tras de distintos comandos show.

Haga clic en el botn Comandos show de la figura.

Cuando se necesita eriicar la coniguracin del switch Cisco, el comando show es de gran utilidad. Ll comando show se
ejecuta desde el modo LXLC priilegiado. La igura presenta algunas de las opciones clae del comando show que eriican
casi todas las caractersticas conigurables del switch. Lxisten arios comandos show adicionales que se iran introduciendo a
lo largo del curso.

Haga clic en el botn show running-config que se muestra en la figura.

Uno de los comandos show mas importantes es el comando show running-config. Lste comando muestra la
coniguracin que se esta ejecutando en el switch. Utilice este comando para eriicar que la coniguracin del switch sehaya
realizado de manera correcta. La igura muestra un resultado abreiado del comando show running-conig. Los tres puntos
indican que alta contenido. Ln la igura, se encuentra resaltado el resultado de pantalla del switch 1, que muestra:

Interaz last Lthernet 0,18 conigurada con la VLAN 99 de administracin
VLAN 99 conigurada con una direccin IP de 12.1.99.11 255.255.0.0
Gateway predeterminada establecida en 12.1.50.1
Seridor l11P conigurado

Haga clic en el botn show interfaces que se muestra en la figura.

Otro comando recuentemente utilizado es show interfaces que muestra la inormacin estadstica y el estado de las
interaces de red del switch. Ll comando show interfaces se utiliza habitualmente mientras se coniguran y monitorean los
dispositios en la red. Recuerde que puede escribir un comando en orma parcial en la peticin de entrada de comandos y
que, siempre y cuando ninguna otra opcin de comando sea la misma, el sotware IOS de Cisco lo interpretara de manera
correcta. Por ejemplo: para este comando puede ingresar show int. La igura muestra el resultado de un comando show
interfaces FastEthernet 0/1. La primera lnea resaltada en la igura indica que la interaz last Lthernet 0,1 esta actia y en
uncionamiento. La siguiente lnea resaltada muestra que la coniguracin de dplex es automatica y la de elocidad tambin
lo es.

2.3.8 ADMINISTRACIN BSICA DEL SWITCH.-
Respaldar y restaurar el switch

Una tarea tpica del tcnico de red es la de cargar al switch una coniguracin. Ln este tema, se explicara cmo cargar y
almacenar una coniguracin en la memoria lash del switch y en un seridor 1l1P.

Haga clic en el botn Respaldar configuraciones en la figura.

Cmo realizar la copia de seguridad de la configuracin

\a se ha explicado cmo realizar la copia de seguridad de la coniguracin en ejecucin de un switch en el archio de
coniguracin de inicio. Se ha utilizado el comando copy running-config startup-config del modo LXLC priilegiado
para realizar la copia de seguridad de las coniguraciones realizadas hasta el momento. Como es sabido, la coniguracin en
ejecucin se guarda en la DRAM y la coniguracin de inicio se almacena en la seccin NVRAM de la memoria llash. Al
introducir el comando copy running-config startup-config, el sotware IOS de Cisco copia la coniguracin en ejecucin
en la NVRAM, de modo que cuando el switch arranque, la coniguracin de inicio se cargue con la nuea coniguracin.

No siempre se desea guardar los cambios que se realizan en la coniguracin en ejecucin de un switch. Por ejemplo: quizas
se necesite cambiar la coniguracin por un bree perodo y no en orma permanente.

Si el usuario desea mantener arios archios de coniguracin de inicio en el dispositio, puede copiar la coniguracin en
archios de distinto nombre utilizando el comando copy startup-conig lash:ilename. Ll almacenamiento de arias
ersiones de coniguracin de inicio brinda la posibilidad de recurrir a ellos en caso de tener diicultades con la
coniguracin en determinado momento. La igura muestra tres maneras de realizar la copia de seguridad de la coniguracin
en la memoria llash. La primera es la sintaxis completa y ormal. La segunda es la sintaxis recuentemente utilizada. Utilice
la primer sintaxis si no conoce bien el dispositio de red con el que esta trabajando y utilice la segunda sintaxis si sabe que el
destino es la NVRAM lash instalada en el switch. La tercera es la sintaxis utilizada para guardar una copia del archio de
coniguracin de inicio en la memoria lash.

Haga clic en el botn Restaurar configuraciones en la figura.

Restauracin de la configuracin

La restauracin de una coniguracin es un proceso sencillo. Slo se debe copiar la coniguracin guardada sobre la
coniguracin actual. Por ejemplo: si tiene una coniguracin guardada llamada conig.bak1, puede restaurarla sobre la
coniguracin de inicio existente ingresando el comando copy lash:conig.bak1 startup-conig del IOS de Cisco. Una ez
que se ha restaurado la coniguracin de inicio, se debe proceder a reiniciar el switch, de modo que ste recargue la nuea
coniguracin de inicio, por medio del comando reload en el modo LXLC priilegiado.

Ll comando reload detiene el sistema. Si el sistema esta conigurado para reiniciarse en caso de errores, lo hara
automaticamente. Despus de introducir la inormacin de coniguracin en un archio y guardarla en la coniguracin de
inicio, introduzca el comando reload.

Nota: No puede recargarse desde un terminal irtual si el switch no esta conigurado para reiniciarse automaticamente. Lsta
restriccin eita que el sistema se desconecte del monitor ROM ,ROMMON, y quede, por consiguiente, el sistema uera del
control del usuario remoto.

Despus de ingresar el comando reload, el sistema preguntara si desea guardar la coniguracin. Normalmente debera
responderse "s" pero, en este caso en particular, la respuesta debera ser "no". Si se respondiera en orma airmatia, se
sobrescribira el archio recientemente restaurado. Siempre debe considerarse si la coniguracin actual en ejecucin es la
que se quiere mantener actia despus de la recarga.

Si desea obtener mas inormacin sobre el comando reload, consulte la gua Cisco IOS Coniguration lundamentals
Command Reerence, Release 12.4 en el sitio \eb:
http:,,www.cisco.com,en,US,docs,ios,undamentals,command,reerence,c_book.html.

Nota: 1ambin existe la opcin de introducir el comando copy startup-config running-config. Desaortunadamente, este
comando no sobrescribe completamente la coniguracin en ejecucin sino que slo agrega los comandos existentes de la
coniguracin de inicio a la coniguracin en ejecucin. Se recomienda tener cuidado al hacerlo, ya que podran obtenerse
resultados no deseados.

Archivos de configuracin de respaldo en un servidor TFTP

Una ez conigurado el switch con todas las opciones deseadas, se recomienda hacer una copia de seguridad de la
coniguracin y colocarla en un archio junto con las otras copias de seguridad del resto de la inormacin de lared. Al tener
la coniguracin almacenada de manera segura uera del switch, ste queda protegido en caso de que surja algn problema
serio.

Algunas coniguraciones de switch tardan muchas horas en comenzar a uncionar correctamente. Si se pierde la
coniguracin debido a una alla en el hardware del switch, se necesitara conigurar uno nueo. Si existe una copia de
seguridad de la coniguracin del switch en alla, sta podra cargarse rapidamente en el nueo switch. De no existir dicha
copia de seguridad, se debera conigurar el nueo switch desde cero.

Se puede utilizar 1l1P para realizar la copia de seguridad de los archios de coniguracin en la red. Ll sotware IOS de
Cisco iene con un cliente de 1l1P incorporado que permite que el usuario se conecte con un seridor 1l1P en su red.

Nota: Lxisten paquetes de sotware de seridores 1l1P gratis en Internet que el usuario puede utilizar en caso de no contar
con ninguno de stos. Un seridor 1l1P que se utiliza recuentemente es de www.solarwinds.com.

Creacin de la copia de seguridad de la configuracin

Para subir un archio de coniguracin del switch al seridor 1l1P para su almacenamiento, se deberan seguir los siguientes
pasos:

Paso 1. Veriique que el seridor 1l1P se est ejecutando en la red.

Paso 2. Inicie sesin en el switch a tras del puerto de consola o sesin 1elnet. labilite el switch y luego haga ping al
seridor 1l1P.

Paso 3. Suba la coniguracin del switch en el seridor 1l1P. Lspeciique la direccin IP o el nombre de host del seridor
1l1P y el nombre del archio de destino. Ll comando del IOS de Cisco es: #copy system:running-config
ttp:|||,,ubicacin|,directorio|,nombre del archio| or #copy nvram:startup-config
ttp:|||,,ubicacin|,directorio|,nombre del archio|.

La igura muestra un ejemplo de cmo realizar la copia de seguridad de la coniguracin en un seridor 1l1P.

Restauracin de la configuracin

Una ez que la coniguracin se ha almacenado correctamente en el seridor 1l1P, se la puede copiar nueamente en el
switch mediante los siguientes pasos:

Paso 1. Copie el archio de coniguracin en el correspondiente directorio del seridor 1l1P ,si es que ya no se encuentra
all,.

Paso 2. Veriique que el seridor 1l1P se est ejecutando en la red.

Paso 3. Inicie sesin en el switch a tras del puerto de consola o sesin 1elnet. labilite el switch y luego haga ping al
seridor 1l1P.

Paso 4. Descargue el archio de coniguracin del seridor 1l1P para conigurar el switch. Lspeciique la direccin IP o el
nombre de host del seridor 1l1P y el nombre del archio que desea descargar. Ll comando del IOS de Cisco es: 4copy
tftp:|||,,ubicacin|,directorio|,nombre del archio| system:running-config or #copy
tftp:|||,,ubicacin|,directorio|,nombre del archio| nvram:startup-config.

Si el archio de coniguracin se descarga en la coniguracin en ejecucin, los comandos se ejecutan mientras el archio se
analiza sintacticamente lnea por lnea. Si el archio de coniguracin se descarga en la coniguracin de inicio, se debera
oler a cargar el switch para hacer eectios los cambios.

Eliminacin de los archivos de configuracin

Ls posible borrar la inormacin de la coniguracin de inicio. Puede llear esto a cabo en caso de tener que eniar un
switch usado a un cliente o bien a otro departamento y desee asegurarse de que se conigure el switch nueamente. Al borrar
el archio de coniguracin de inicio, cuando el switch se reinicia, se ejecuta el programa de coniguracin inicial para que
ste pueda reconigurarse con los nueos parametros.

Para borrar el contenido de la coniguracin de inicio, utilice el comando erase nvram: o erase startup-config del modo
LXLC priilegiado. La igura muestra un ejemplo de eliminacin de los archios de coniguracin almacenados en
NVRAM.

Precaucin: No se podra restaurar el archio de coniguracin de inicio una ez que se ha borrado el archio
correspondiente. Por consiguiente, asegrese de guardar una copia de seguridad de ella en caso de necesitar restaurarla mas
adelante.

Eliminacin de un archivo de configuracin almacenado

Puede haber estado trabajando en una compleja tarea de coniguracin y haber guardado arias copias de seguridad de los
archios en llash. Para borrar un archio de la memoria llash, utilice el comando delete flash: nombre del archio del
modo LXLC priilegiado. Segn los parametros del comando de coniguracin global de indicacin de archios, es posible
que se le pida una conirmacin antes de borrar el archio. De manera predeterminada, el switch solicita una conirmacin
antes de borrar un archio.

Precaucin: No se podra restaurar el archio de coniguracin de inicio una ez que se ha borrado el archio
correspondiente. Por consiguiente, asegrese de guardar una copia de seguridad de ella en caso de necesitar restaurarla mas
adelante.

Una ez que se ha borrado o eliminado la coniguracin, se puede oler a cargar el switch con una nuea coniguracin.

2.4 CONFIGURACION DE LA SEGURIDAD DEL SWITCH.-
2.4.1 CONFIGURACIN DE OPCIONES DE LAS CONTRASEAS.
Configurar el acceso a la consola

Ln este tema, se explicara cmo conigurar las contrasenas para el acceso a la consola, al terminal irtual y al modo LXLC.
1ambin se detallara cmo encriptar y recuperar contrasenas en un switch.

Lsta inormacin es sumamente importante y debe permanecer muy bien guardada y protegida. La Oicina lederal de
Inestigacin ,lBI, lederal Bureau o Inestigation, de los Lstados Unidos calcula que las empresas pierden

aproximadamente 6 200 millones de dlares por ano como consecuencia de los delitos relacionados con la inormatica. Ln
particular, la inormacin personal de los clientes se ende a precios altsimos. A continuacin, se presentan algunos precios
actuales de datos robados:

Cajeros automaticos ,A1M, Automatic 1eller Machine, o tarjeta de dbito con nmero de identiicacin personal
,PIN,: >500
Nmero de licencia de conducir: >150
Nmero del seguro social: >100
Nmero de tarjeta de crdito con echa de encimiento: de >15 a >20

La seguridad de los switches comienza con la proteccin de ellos contra el acceso no autorizado.

Se pueden realizar todas las opciones de coniguracin desde la consola. Para acceder a la consola, se necesita tener acceso
sico local al dispositio. Si no se asegura la consola de orma adecuada, usuarios malintencionados podran comprometer la
coniguracin del switch.

Proteccin de la consola

Para proteger el puerto de consola contra el acceso no autorizado, establezca una contrasena utilizando el comando de
modo de coniguracin de lnea password password. Utilice el comando line console 0 para conmutar del modo de
coniguracin global al modo de coniguracin de lnea para la consola 0, que es el puerto de consola de los switches Cisco.
La indicacin cambia a ,conig-line,4, senalando que ahora el switch esta en el modo de coniguracin de lnea. Desde el
modo de coniguracin de lnea se puede establecer la contrasena para la consola mediante el comando password
password. Para asegurar que el usuario que desee tener acceso al puerto de consola deba introducir la contrasena, utilice
el comando login. Aun cuando se ha establecido una contrasena, no se solicitara que se la introduzca si no se ha introducido
el comando login.

La igura muestra los comandos utilizados para conigurar y solicitar la contrasena para el acceso a la consola. Recuerde que
puede utilizar el comando show running-config para eriicar la coniguracin. Antes de completar la coniguracin del
switch, recuerde guardar el archio de coniguracin en ejecucin en la coniguracin de inicio.

Lliminacin de la contrasena de consola

Si necesita eliminar la contrasena y la solicitud de ingreso de contrasena al iniciar sesin, siga los pasos a continuacin:

Paso 1.Cambie de modo LXLC priilegiado a modo de coniguracin global. Ingrese el comando configure terminal.

Paso 2. Cambie del modo de coniguracin global al modo de coniguracin de lnea para la consola 0. La indicacin del
comando ,conig-line,4 senala que se encuentra en el modo de coniguracin de lnea. Ingrese el comando line console 0.

Paso 3. Llimine la contrasena de la lnea de la consola mediante el comando no password.

Precaucin: Si no se ha establecido ninguna contrasena y el inicio de sesin an se encuentra habilitado, no se podra tener
acceso a la consola.

Paso 4. Llimine la solicitud de ingreso de contrasena al iniciar sesin en la consola mediante el comando no login.

Paso 5. Salga del modo de coniguracin de lnea y regrese al modo LXLC priilegiado mediante el comando end.

Proteccin de los Puertos vty

Los puertos ty de un switch Cisco permiten obtener acceso remoto al dispositio. Ls posible llear a cabo todas las
opciones de coniguracin mediante los puertos de terminal ty. No se necesita acceso sico al switch para obtener acceso a
los puertos ty. Por ello, es muy importante que estn protegidos. Cualquier usuario con acceso de red al switch puede
establecer una conexin remota de terminal ty. Si no se aseguran los puertos ty en orma adecuada, usuarios
malintencionados podran comprometer la coniguracin del switch.

Para proteger los puertos ty contra el acceso no autorizado, se puede establecer que se requiera una contrasena de ty
permitir el acceso.

La contrasena de los puertos ty debe establecerse desde el modo de coniguracin de lnea.

Un switch de Cisco puede contar con arios puertos ty disponibles. Varios puertos permiten que mas de un administrador
pueda conectarse y administrar el switch. Para proteger todas las lneas ty, asegrese de que se establezca una contrasena y
que el inicio de sesin sea obligatorio en todas las lneas. La alta de proteccin en algunas lneas compromete la seguridad y
permite el acceso no autorizado al switch.

Utilice el comando line vty 0 4 para cambiar del modo de coniguracin global al modo de coniguracin de lnea para las
lneas ty de 0 a 4.

Nota: Si el switch tiene mas lneas ty disponibles, ajuste el interalo para proteger a todas ellas. Por ejemplo: el Cisco 2960
tiene disponibles desde la lnea 0 hasta la 15.

La igura muestra los comandos utilizados para conigurar y solicitar la contrasena para el acceso a ty. Puede utilizar el
comando show running-config para eriicar la coniguracin y el comando copy running-config startup config para
guardar el trabajo realizado.

Eliminacin de la contrasea de vty

Si necesita eliminar la contrasena y la solicitud de ingreso de contrasena al iniciar sesin, siga los pasos a continuacin:
Paso 1. Cambie de modo LXLC priilegiado a modo de coniguracin global. Ingrese el comando configure terminal.
Paso 2. Cambie del modo de coniguracin global al modo de coniguracin de lnea para los terminales de 0 a 4. La
indicacin del comando ,conig-line,4 senala que esta en el modo de coniguracin de lnea. Ingrese el comando line vty 0
4.
Paso 3. Llimine la contrasena de la lnea de la consola mediante el comando no password.
Precaucin: Si no se ha establecido ninguna contrasena y el inicio de sesin an se encuentra habilitado, no se podra tener
acceso a la consola.
Paso 4. Llimine la solicitud de ingreso de contrasena al iniciar sesin en la consola mediante el comando no login.
Paso 5. Salga del modo de coniguracin de lnea y regrese al modo LXLC priilegiado mediante el comando end.

Configurar contraseas del modo EXEC

Ll modo LXLC priilegiado permite que cualquier usuario habilite este modo en un switch Cisco para conigurar cualquier
opcin disponible en el switch. 1ambin puede er todos los parametros de la coniguracin en curso del switch e incluso
algunas de las contrasenas encriptadas. Por este motio, es importante resguardar el acceso al modo LXLC priilegiado.

Ll comando de coniguracin global enable password permite especiicar una contrasena para restringir el acceso al modo
LXLC priilegiado. Sin embargo, una desentaja del comando enable password es que almacena la contrasena en texto
legible en la coniguracin de inicio y en la coniguracin en ejecucin. Si alguna persona obtuiese acceso a un archio de
coniguracin de inicio almacenado o bien acceso temporal a una sesin de 1elnet o de consola que se encuentre en el modo
LXLC priilegiado, podra leer la contrasena. Como consecuencia, Cisco introdujo una nuea opcin de contrasena para
controlar el acceso al modo LXLC priilegiado que almacena dicha contrasena en un ormato encriptado.

Se puede asignar una orma encriptada de la contrasena de enable, llamada contrasena secreta de enable, ingresando el
comando enable secret con la contrasena deseada en la solicitud del modo de coniguracin global. Si se conigura la
contrasena secreta de enable, se utiliza sa en lugar de la contrasena de enable y no ademas de ella. Ll sotware IOS de Cisco
tambin cuenta con una salaguarda incorporada que eita que el usuario conigure la contrasena secreta de enablecon la
misma contrasena utilizada para la contrasena de enable.

La igura muestra los comandos utilizados para conigurar las contrasenas del modo LXLC priilegiado. Puede utilizar el
comando show running-config para eriicar la coniguracin y el comando copy running-config startup config para
guardar el trabajo realizado.

Eliminacin de la contrasea del modo EXEC

Si desea eliminar la solicitud de contrasena para obtener acceso al modo LXLC priilegiado, puede utilizar los comandos no
enable password y no enable secret desde el modo de coniguracin global.

Configurar contraseas encriptadas

Cuando se coniguran contrasenas en la CLI del IOS de Cisco, todas ellas, excepto la contrasena secreta de enable, se
almacenan de manera predeterminada en ormato de texto sin cirar dentro de la coniguracin de inicio y de la
coniguracin en ejecucin. La igura muestra un resultado de pantalla abreiado del comando show running-config del
switch S1. Las contrasenas en texto sin cirar estan resaltadas en color naranja. Como norma uniersal, las contrasenas
deben estar encriptadas y no almacenadas en ormato de texto sin cirar. Ll comando del IOS de Cisco service password-
encryption habilita la encriptacin de la contrasena de sericio.

Cuando se ingresa el comando service password-encryption desde el modo de coniguracin global, todas las contrasenas
del sistema se almacenan en ormato encriptado. No bien se ingresa el comando, todas las contrasenas establecidas en el
momento se conierten en contrasenas encriptadas. Ln la parte inerior de la igura, las contrasenas encriptadas estan
resaltadas en color naranja.

Si desea eliminar el requisito de almacenar todas las contrasenas del sistema en ormato encriptado, ingrese el comando no
serice password-encryption desde el modo de coniguracin global. La eliminacin de la caracterstica de encriptacin de
contrasenas no uele a conertir las contrasenas ya encriptadas en ormato de texto legible. No obstante, todas las
contrasenas que se coniguren de all en mas se almacenaran en ormato de texto legible.

Nota: Ll comando serice password-encryption se conoce como tipo . Lste estandar de encriptacin es muy dbil y existen
herramientas de acil acceso en Internet para descirar las contrasenas encriptadas con dicho estandar. Ll tipo 5 es mas
seguro, pero debe realizarse de orma manual para cada contrasena que se conigure.

Recuperacin de contrasea de Enable

Despus de conigurar contrasenas para controlar el acceso a la CLI del IOS de Cisco, el usuario debe asegurarse de
recordarlas. Ln caso de que se pierdan u oliden las contrasenas de acceso, Cisco cuenta con un mecanismo de recuperacin
de contrasena que permite a los administradores obtener acceso a los dispositios de Cisco. Ll proceso de recuperacin de
contrasena requiere el acceso sico al dispositio. La igura muestra una captura de pantalla del isualizador de la consola
que indica que se ha habilitado la recuperacin de contrasena. Ll isualizador se era despus del paso 3 mas abajo.

1enga en cuenta que probablemente no pueda recuperar realmente las contrasenas del dispositio Cisco, especialmente si se
ha habilitado la encriptacin de contrasenas, pero s podra restablecerlas con un nueo alor.

Si desea obtener mas inormacin sobre el procedimiento de contrasenas, isite el sitio:
http:,,www.cisco.com,en,US,products,sw,iosswrel,ps1831,products_tech_note09186a0080146e6.shtml.

Para recuperar la contrasena de un switch Cisco 2960, llee a cabo los siguientes pasos:

Paso 1. Conecte un terminal o PC, con el sotware de emulacin de terminal, al puerto de consola del switch.

Paso 2. Lstablezca la elocidad de lnea del sotware de emulacin en 9600 baudios.

Paso 3. Apague el switch. Vuela a conectar el cable de alimentacin al switch y, en no mas de 15 segundos, presione el
botn Mode mientras la luz erde del LLD del sistema est parpadeando. Siga presionando el botn Mode hasta que el
LLD del sistema cambie al color ambar durante unos segundos y luego erde en orma permanente. Suelte el botn Mode.

Paso 4. Inicialice el sistema de archios llash a tras del comando flash_init.

Paso 5. Cargue archios helper mediante el comando load_helper.

Paso 6. Visualice el contenido de la memoria llash a tras del comando dir flash:

Se mostrara el sistema de archios del switch:

Directory o lash:,

13 drwx 192 Mar 01 1993 22:30:48 c2960-lanbase-mz.122-25.lX
11-rwx 5825 Mar 01 1993 22:31:59 conig.text
18 -rwx 20 Mar 01 1993 02:21:30 lan.dat
16128000 bytes total ,10003456 bytes ree,

Paso 7. Cambie el nombre del archio de coniguracin por conig.text.old, que contiene la deinicin de la contrasena,
mediante el comando rename flash:config.text flash:config.text.old.

Paso 8. Reinicie el sistema con el comando boot.

Paso 9. Se solicitara que ejecute el programa de coniguracin inicial. Ingrese N ante la solicitud y, luego, cuando el sistema
pregunte si desea continuar con el dialogo de coniguracin, ingrese N.

Paso 10. Ante la indicacin de switch, ingrese al modo LXLC priilegiado por medio del comando enable.

Paso 11. Cambie el nombre del archio de coniguracin y uela a colocarle el nombre original mediante el comando
rename flash:config.text.old flash:config.text.

Paso 12. Copie el archio de coniguracin en la memoria a tras del comando copy flash:config.text system:running-
config. Despus de ingresar este comando, se mostrara el siguiente texto en la consola:

Source ilename |conig.text|

Destination ilename |running-conig|

Presione Return en respuesta a las solicitudes de conirmacin. Ll archio de coniguracin se ha cargado nueamente y,
ahora, se puede cambiar la contrasena.

Paso 13. Ingrese al modo de coniguracin global mediante el comando configure terminal.

Paso 14. Cambie la contrasena mediante el comando enable secret password.

Paso 15. Regrese al modo LXLC priilegiado mediante el comando exit.

Paso 16. Lscriba la coniguracin en ejecucin en el archio de coniguracin de inicio mediante el comando copy
running-config startup-config.

Paso 17. Vuela a cargar el switch mediante el comando reload.

Nota: Ll procedimiento de recuperacin de contrasena puede ariar segn la serie del switch de Cisco. Por lo tanto, debera
consultar la documentacin pertinente al producto antes de intentar recuperaruna contrasena.

2.4.2 MENSAJES DE INICIO DE SESIN.-
Configurar un ttulo de inicio de sesin

Ll conjunto del comando IOS de Cisco incluye una caracterstica que permite conigurar los mensajes que cualquier persona
puede er cuando inicia sesin en el switch. Lstos mensajes se llaman mensajes de inicio de sesin y mensajes del da
,MO1D,. Ln este tema, aprendera a conigurarlos.

Ll usuario puede deinir un mensaje personalizado para que se muestre antes de los aisos de inicio de sesin del nombre de
usuario y la contrasena utilizando el comando banner login en el modo de coniguracin global. Coloque el texto del
mensaje en citas o utilizando un delimitador dierente a cualquier caracter que aparece en la cadena de MO1D.

La igura muestra el switch S1 conigurandose con un mensaje de inicio de sesin Personal autorizado nicamente!

Para eliminar el mensaje MO1D, ingrese el ormato no de este comando en el modo de coniguracin global, por ejemplo,
S1,conig,4no banner login.

Configurar un ttulo de MOTD

Ll mensaje MO1D se muestra en todos los terminales conectados en el inicio de sesin y es til para eniar mensajes que
aectan a todos los usuarios de la red ,como desconexiones inminentes del sistema,. Si se conigura, el mensaje MO1D se
muestra antes que el mensaje de inicio de sesin.

Deina el mensaje MO1D utilizando el comando banner motd en el modo de coniguracin global. Coloque el texto del
mensaje en citas.

La igura muestra el switch S1 conigurandose con un mensaje MO1D para mostrar El mantenimiento del dispositivo
se realizar el viernes!

Para eliminar el mensaje de inicio de sesin, ingrese el ormato no de este comando en el modo de coniguracin global, por
ejemplo, S1,conig,4no banner motd.

2.4.3 CONFIGURE TELNET Y SSH.-
Telnet y SSH

Los switches mas antiguos quizas no admitan la comunicacin segura con el shell seguro ,SSl, Secure Shell,. Lste tema lo
ayudara a elegir entre los mtodos 1elnet y SSl para comunicarse con un switch.

Lxisten dos opciones para acceder en orma remota aty en un switch de Cisco.

1elnet es el mtodo original que los primeros modelos de switch de Cisco admitan. 1elnet es un protocolo popular
utilizado para acceder al terminal debido a que la mayora de los sistemas operatios actuales ienen con un cliente 1elnet
incorporado. Sin embargo, 1elnet es una manera insegura de acceder a un dispositio de red, porque ena todas las
comunicaciones a tras de la red en un texto claro. Mediante el sotware de monitoreo de red, un atacante puede leer todas
las teclas que se enan entre el cliente 1elnet y el sericio 1elnet ejecutandose en el switch de Cisco. Debido a las cuestiones
de seguridad del protocolo de 1elnet, SSl se ha conertido en el protocolo preerido para acceder remotamente a lneas de
terminales irtuales en un dispositio Cisco.

SSl proporciona el mismo tipo de acceso que 1elnet, con el beneicio agregado de seguridad. La comunicacin entre el
cliente SSl y el seridor SSl esta encriptada. SSl pas por algunas ersiones, con los dispositios deCisco admitiendo

actualmente SSl1 y SSl2. Se recomienda que implemente SSl2 cuando sea posible, debido a que utiliza un algoritmo
de encriptacin de seguridad mejor que SSl1.

La igura presenta las dierencias entre los dos protocolos.

Configuracin de Telnet

1elnet es el protocolo predeterminado que admite ty en un switch de Cisco. Cuando se asigna una direccin IP de
administracin al switch de Cisco, puede conectarlo utilizando el cliente 1elnet. Inicialmente, las lneas ty son inseguras al
permitir el acceso a cualquier usuario que intenta conectarse a ellas.

Ln el tema anterior, aprendi cmo asegurar el acceso al switch sobre las lneas ty solicitando una autenticacin de
contrasena. Lsto hace que la ejecucin del sericio de 1elnet sea un poco mas segura.

Como 1elnet es el transporte predeterminado para las lneas ty, no necesita especiicarlo despus de que se llee a cabo la
coniguracin inicial del switch. Sin embargo, si ha conmutado el protocolo de transporte en las lneas ty parapermitir slo
SSl, debe habilitar el protocolo de 1elnet para permitir el acceso manual de 1elnet.

Si necesita oler a habilitar el protocolo de 1elnet en un switch 2960 de Cisco, utilice el siguiente comando desde el modo
de coniguracin de lnea: ,conig-line,4transport input telnet o ,conig-line,4transport input all.

Al permitir todos los protocolos de transporte, todaa permite el acceso SSl al switch, como tambin el acceso a 1elnet.

Configuracin de SSH

SSl es una caracterstica criptograica de seguridad que esta sujeta a exportar restricciones. Para utilizar esta caracterstica se
debe instalar una imagen criptograica en su switch.

La caracterstica SSl tiene un seridor SSl y un cliente integrado SSl, que son aplicaciones que se ejecutan en el switch.
Puede utilizar cualquier cliente SSl que se ejecuta en una PC o el cliente SSl de Cisco que se ejecuta en el switch para
conectar a un switch que se ejecuta en el seridor SSl.

Ll switch admite SSl1 o SSl2 para el componente de seridor. Ll switch admite slo SSl1 para el componente de
cliente.

SSl admite el algoritmo Lstandar de encriptacin de datos ,DLS, , el algoritmo DLS triple ,3DLS, y la autenticacin de
usuario basada en la contrasena. DLS orece encriptacin de 56 bits, y 3DLS orece encriptacin de 168 bits. La
encriptacin llea tiempo, pero DLS demora menos que 3DLS en encriptar texto. 1picamente, los estandares de
encriptacin los especiica el cliente. Lntonces, si tiene que conigurar SSl, pregunte cual utilizar. ,Ll analisis de los
mtodos de encriptacin de datos esta mas alla del alcance de este curso,.

Para implementar SSl, debe generar claes RSA. RSA incluye una clae pblica, guardada en un seridor pblico de RSA y
una clae priada, guardada slo por el emisor y el receptor. La clae pblica la pueden conocer todos y se utiliza para
encriptar mensajes. Los mensajes encriptados con la clae pblica slo se pueden descirar utilizando la clae priada. Lsto
se conoce como encriptacin asimtrica y se analizara con mas detalle en Lxploration: Acceso al curso \AN.

Debe generar las claes RSA encriptadas utilizando el comando crypto key generate rsa.

Necesita este proceso si esta conigurando el switch como un seridor SSl. Comenzando en el modo LXLC priilegiado,
siga estos pasos para conigurar un nombre de host y nombre de dominio IP y para generar un par de claes RSA.


Paso 2. Conigure un nombre de host para su switch utilizando el comando hostname nombre de host.

Paso 3. Conigure un dominio de host para su switch utilizando el comando ip domain-name nombre de dominio.

Paso 4. labilite el seridor SSl para la autenticacin remota y local en el switch y genere un par de claes RSA utilizando el
comando crypto key generate rsa.

Cuando genera claes RSA, se le indica que ingrese una longitud de mdulo. Cisco recomienda utilizar un tamano de
mdulo de 1024 bits. Una longitud de mdulo mas larga puede ser mas segura, pero demora mas en generar y utilizar.

Paso 5. Regrese al modo LXLC priilegiado utilizando el comando end.

Paso 6. Muestre el estado del seridor SSl en el switch utilizando el comando show ip ssh o show ssh.

Para eliminar el par de claes RSA, utilice el comando crypto key zeroize rsa de coniguracin global. Despus de eliminarse
el par de claes RSA, el seridor SSl se deshabilita automaticamente.

Configuracin del servidor SSH

Comenzando en el modo LXLC priilegiado, siga estos pasos para conigurar el seridor SSl.


Paso 2. ,Opcional, Conigure el switch para ejecutar SSl1 o SSl2 utilizando el comando ip ssh version [1 | 2].

Si no ingresa este comando o no especiica una palabra clae, el seridor SSl selecciona la ltima ersin admitida por el
cliente SSl. Por ejemplo: si el cliente SSl admite SSl1 y SSl2, el seridor SSl selecciona SSl2.

Paso 3. Conigure los parametros de control de SSl:

Lspeciique el alor del tiempo muerto en segundos, la opcin predeterminada es 120 segundos. Ll interalo es de 0 a 120
segundos Para que se conecte SSl para estar establecido, se deben completar un nmero de ases, como conexin,
negociacin de protocolo y negociacin de parametros. Ll alor del tiempo muerto se aplica a la cantidad de tiempo que el
switch permite para que se establezca una conexin.

De manera predeterminada, estan disponibles hasta cinco conexiones SSl simultaneas encriptadas para arias sesiones
basadas en CLI sobre la red ,sesin 0 a sesin 4,. Despus de que comienza la ejecucin de shell, el alor del tiempo muerto
de la sesin basada en CLI regresa a los 10 minutos predeterminados.

Lspeciique el nmero de eces que un cliente puede oler a autenticarse al seridor. La opcin predeterminada es 3, el
interalo es de 0 a 5. Por ejemplo: un usuario puede permitir que la sesin SSl se mantenga por mas de 10 minutos tres
eces antes de que inalice la sesin SSl.

Repita este paso cuando conigure ambos parametros. Para conigurar ambos parametros utilice el comando ip ssh
{timeout segundos | authentication-retries nmero}.

Paso 4. Regrese al modo LXLC priilegiado mediante el comando end.

Paso 5. Muestre el estado de las conexiones del seridor SSl en el switch utilizando el comando show ip ssh o show ssh.

Paso 6. ,Opcional, Guarde sus entradas en el archio de coniguracin utilizando el comando copy running-config
startup-config.

Si quiere eitar conexiones que no sean de SSl, agregue el comando transport input ssh en el modo coniguracin en lnea
para limitar al switch a conexiones slo de SSl. Las conexiones de 1elnet directas ,no SSl, se rechazan.

Para obtener un analisis mas detallado sobre SSl, isite:
http:,,www.cisco.com,en,US,tech,tk583,tk61,tsd_technology_support_protocol_home.html.

Para obtener una descripcin general de la tecnologa de RSA, isite: http:,,en.wikipedia.org,wiki,Public-
key_cryptography.

Para obtener un analisis mas detallado sobre tecnologa de RSA, isite: http:,,www.rsa.com,rsalabs,node.aspid~2152.

2.4.4 ATAQUES DE SEGURIDAD COMUNES.-
Saturacin de la direccin MAC

Desaortunadamente, la seguridad de switch basica no detiene los ataques maliciosos. Ln este tema aprendera acerca de
unos pocos ataques de seguridad comunes y lo peligrosos que pueden ser. Lste tema proporciona inormacin de niel
introductorio acerca de los ataques de seguridad. Los detalles sobre la orma en que uncionan estos ataques comunes
exceden el alcance de este curso. Si le interesa la seguridad de red, inestigue el curso CCNA Lxploration: acceso a la \AN.

Saturacin de la direccin MAC

La looding de direcciones MAC es un ataque comn. Recuerde que la tabla de direcciones MAC del switch contiene las
direcciones MAC disponibles de un puerto sico determinado de un switch y los parametros asociados para cada uno.
Cuando un switch de la Capa 2 recibe una trama, el switch busca en la tabla de direcciones MAC la direccin MAC de
destino. 1odos los modelos de switches Catalyst utilizan una tabla de direcciones MAC para la conmutacin en la Capa 2. A
medida que las tramas llegan a los puertos del switch, las direcciones MAC de origen se aprenden y se registran en la tabla de
direcciones MAC. Si existe una entrada para la direccin MAC, el switch ena la trama al puerto designado con esa
direccin MAC en la tabla de direcciones MAC. Si la direccin MAC no existe, el switch acta como un hub y ena la trama
a todos los puertos del switch. Los ataques de sobrecarga de la tabla de direcciones MAC son tambin conocidos como
ataques de looding de MAC. Para comprender el mecanismo de un ataque de sobrecarga de la tabla de direcciones MAC,
recuerde el uncionamiento basico del switch.

Haga clic en el botn Paso 1 de la figura para er la orma en que comienza el ataque de sobrecarga de la tabla de
direcciones MAC.

Ln la igura, el host A ena traico al host B. Ll switch recibe las tramas y busca la direccin MAC de destino en su tabla de
direcciones MAC. Si el switch no encuentra la MAC de destino en la tabla de direcciones MAC, entonces copia la trama y la
ena por broadcast a todos los puertos del switch.

Haga clic en el botn Paso 2 de la igura para er el paso siguiente.

Ll host B recibe la trama y ena una respuesta al host A. Ll switch aprende entonces que la direccin MAC para el host B
se encuentra en el puerto 2 y escribe esta inormacin en la tabla de direcciones MAC.

Ll host C tambin recibe la trama que a del host A al host B, pero debido a que la direccin MAC de destino de la trama es
el host B, el host C la descarta.


Ahora, cualquier trama eniada por el host A ,o por cualquier otro host, al host B se ena al puerto 2 del switch y no a
todos los demas puertos.

La clae para entender cmo uncionan los ataques de sobrecarga de la tabla de direcciones MAC es saber que estas tablas
poseen un lmite de tamano. Las looding de MAC utilizan esta limitacin para bombardear al switch con direcciones MAC
alsas hasta que la tabla de direcciones MAC del switch est llena. Luego el switch ingresa a lo que se conoce como modo de
alla de apertura, comienza a actuar como un hub y ena paquetes de broadcast a todas las maquinas de la red. Ln
consecuencia, el atacante puede er todas las tramas eniadas por el host ctima a otro host que no posee una entrada en la
tabla de direcciones MAC.

Haga clic en el botn Paso 4 de la igura para er la orma en que un atacante utiliza herramientas legtimas de manera
maliciosa.

La igura muestra la orma en que un atacante puede utilizar las caractersticas de uncionamiento normales del switch para
que deje de uncionar.

Las looding de MAC pueden llearse a cabo mediante una herramienta de ataque de red. Ll intruso de la red utiliza la
herramienta de ataque para inundar el switch con una gran cantidad de direcciones MAC de origen no alidas hasta que se
llene la tabla de direcciones MAC. Cuando la tabla de direcciones MAC esta llena, el switch satura todos los puertos con
traico de entrada, ya que no puede encontrar el nmero de puerto para una direccin MAC en particular en la tabla de
direcciones MAC. Ln esencia, el switch acta como un hub.

Algunas herramientas de ataque de red pueden generar 155 000 entradas de MAC en un switch por minuto. Ll tamano
maximo de la tabla de direcciones MAC ara en uncin del switch. Ln la igura, la herramienta de ataque se ejecuta en el
host con direccin MAC C en la parte inerior derecha de la pantalla. Lsta herramienta satura el switch con paquetes que
contienen direcciones MAC e IP de origen y destino generadas de manera aleatoria. Despus de un corto perodo de tiempo,
la tabla de direcciones MAC del switch se llena hasta que no puede aceptar entradas nueas. Cuando la tabla de direcciones
MAC se llena con direcciones MAC de origen no alidas, el switch comienza a eniar todas las tramas que recibe a todos los
puertos.


Mientras la herramienta de ataque de red contine ejecutandose, la tabla de direcciones MAC del switch permanecera llena.
Cuando esto sucede, el switch comienza a eniar broadcast de todas las tramas recibidas a todos los puertos, de manera que
las tramas eniadas del host A al host B tambin se enan por broadcast al puerto 3 del switch.

Ataques de suplantacin de identidad

Haga clic en el botn Suplantacin de identidad que se muestra en la figura.

Una de las ormas en que un atacante puede acceder al traico de la red es haciendo spoosobre las respuestas eniadas por
un seridor de DlCP alido. Ll dispositio DlCP ctima de suplantacin de identidad responde a las solicitudes de
clientes de DlCP. Ll seridor legtimo tambin puede responder, pero si el dispositio de suplantacin de identidad esta en
el mismo segmento que el cliente, la respuesta de este ltimo llegara primero. La respuesta del DlCP intruso orece una
direccin IP e inormacin de soporte que designa al intruso como la gateway predeterminada o como seridor de Sistema
de nombres de dominios ,DNS,. Ln el caso de una gateway, los clientes enan paquetes al dispositio atacante, el cual, en
respuesta, los ena al destino deseado. Lsto se conoce como ataque de intermediario y puede pasar totalmente
desapercibido a medida que el intruso intercepta el lujo de datos de la red.

Debe estar atento a otro tipo de ataque de DlCP denominado ataque de inanicin de DlCP. La PC atacante solicita
direcciones IP de manera continua a un seridor de DlCP real cambiando sus direcciones MAC de origen. Si da resultado,
este tipo de ataque de DlCP produce que todos los arrendamientos del seridor de DlCP real queden asignados, lo que
prooca que los usuarios reales ,clientes de DlCP, no puedan obtener una direccin IP.

Para eitar los ataques de DlCP, se utiliza el snooping DlCP y las unciones de seguridad de puerto de los switches
Catalyst de Cisco.

Snooping DHCP y funciones de seguridad de puerto de los switches Catalyst de Cisco

Ll snooping DlCP es una uncin que determina cuales son los puertos de switch que pueden responder a solicitudes de
DlCP. Los puertos se identiican como coniables o no coniables. Los puertos coniables pueden recibir todos los
mensajes de DlCP, los no coniables slo pueden recibir solicitudes. Los puertos coniables de los hosts se alojan en el
seridor de DlCP o pueden ser un enlace hacia dicho seridor. Si un dispositio malicioso de un puerto no coniable
intenta eniar un paquete de respuesta de DlCP a la red, el puerto se desactia. Lsta uncin puede unirse con las opciones
de DlCP donde la inormacin del switch, como el ID de puerto o la solicitud de DlCP pueden insertarse en el paquete
de solicitudes de DlCP.

Haga clic en el botn Snooping de DHCP.

Los puertos no coniables son aquellos que no estan explcitamente conigurados como coniables. Se construye una tabla
enlazada de DlCP para los puertos no coniables. Cada entrada contiene una direccin MAC cliente, una direccin IP, un
tiempo de arrendamiento, un nmero de VLAN y una ID de puerto registrados como clientes que realizan solicitudes de
DlCP. Se utiliza entonces la tabla para iltrar el traico de DlCP subsiguiente. Desde la perspectia del snooping en
DlCP, los puertos de acceso no coniables no deben eniar ninguna respuesta a seridoresDlCP.

Lstos pasos ilustran la orma en que se conigura el snooping de DlCP en un switch de Cisco:

Paso 1. labilitar el snooping de DlCP mediante el comando de coniguracin global ip dhcp snooping.

Paso 2. labilitar el snooping de DlCP para VLAN especicas mediante el comando ip dhcp snooping vlan number
|nmero|.

Paso 3. Deinir los puertos como coniables o no coniables a niel de interaz identiicando los puertos coniables
mediante el comando ip dhcp snooping trust.

Paso 4. ,Opcional, Limitar la tasa a la que un atacante puede eniar solicitudes de DlCP bogus de manera continua a
tras de puertos no coniables al seridor de DlCP mediante el comando ip dhcp snooping limit rate rate.

Ataques en CDP

Ll Protocolo de descubrimiento de Cisco ,CDP, es un protocolo de propiedad de Cisco que puede conigurarse en todos
los dispositios de Cisco. CDP descubre otros dispositios de Cisco conectados directamente, lo que permite que
coniguren sus conexiones en orma automatica, simpliicando la coniguracin y la conectiidad. Los mensajes de CDP no
estan encriptados.

De manera predeterminada, la mayora de los routers y switches de Cisco poseen CDP habilitado. La inormacin de CDP
se ena en broadcasts peridicos que se actualizan de manera local en cada base de datos de CDP de todos los dispositios.
Debido a que CDP es un protocolo de la Capa 2, no se propaga por los routers.

CDP contiene inormacin sobre el dispositio, como la direccin IP, la ersin del sotware, la plataorma, las capacidades
y la VLAN natia. Cuando esta inormacin esta disponible para el atacante, puede utilizarla para encontrar ulnerabilidades
para atacar la red, en general en la orma de ataque de Denegacin de sericio ,DoS,.

La igura representa una parte de un rastreo de paquete de Lthereal que muestra el interior de un paquete CDP. Ln
particular, la ersin de sotware IOS de Cisco descubierta por CDP permitira que el atacante inestigue y determine si
existen ulnerabilidades de seguridad especicas para esa ersin del cdigo en particular. Ademas, debido a que CDP no
esta autenticado, un atacante puede generar paquetes de CDP bogus y hacer que stos se reciban en el dispositio Cisco
conectado en orma directa.

Para enrentar esta ulnerabilidad se recomienda deshabilitar el uso de CDP en los dispositios que no necesitan utilizarlo.

Ataques de Telnet

Un atacante puede utilizar el protocolo de 1elnet para acceder de manera remota a un switch de red de Cisco. Ln temas
anteriores se conigur una contrasena de inicio de sesin para las lneas ty y se establecieron dichas lneas para que
soliciten autenticacin por contrasena para el acceso. Lsto proporciona un niel de seguridad esencial y basico que ayuda a
proteger el switch del acceso no autorizado. Sin embargo, no es un mtodo seguro para proteger el acceso a las lneas ty.
Lxisten herramientas disponibles que permiten que un atacante inicie un ataque de decodiicacin de contrasenas de uerza
bruta contra las lneas ty del switch.

Ataque de contrasea de fuerza bruta

La primer ase de un ataque de contrasena de uerza bruta comienza con el uso de contrasenas comunes por parte del
atacante y de un programa disenado para intentar establecer una sesin de 1elnet mediante todas las palabras del
diccionario. Por suerte, el usuario es lo suicientemente listo como para no utilizar una palabra del diccionario, de modo que,
por el momento, se encuentra a salo. Ln la segunda ase del ataque de uerza bruta, el atacante utiliza un programa que
genera combinaciones de caracteres secuenciales para poder "adiinar" la contrasena. Si dispone del tiempo suiciente, un
ataque de contrasena de uerza bruta puede decodiicar casi todas las contrasenas utilizadas.

La accin mas simple que puede llearse a cabo para limitar la ulnerabilidad a los ataques de contrasena de uerza bruta es
cambiar la contrasena con recuencia y utilizar contrasenas uertes, que combinen letras en mayscula y minscula con
nmeros. Coniguraciones mas aanzadas permiten limitar las comunicaciones con las lneas ty mediante listas de acceso,
pero eso excede el alcance de este curso.

Ataque DoS

Otro tipo de ataque de 1elnet es el ataque de DoS. Ln un ataque de DoS, el atacante explota un desperecto del sotware del
seridor de 1elnet que se ejecuta en el switch que torna al sericio de 1elnet no disponible. Lste tipo de ataque es en la
mayora de los casos una molestia, ya que eita que el administrador llee a cabo las unciones de administracin del switch.

Ln general, las ulnerabilidades en el sericio de 1elnet que permiten que ocurran los ataques de DoS se enrentan mediante
parches de seguridad incluidos en las reisiones mas recientes de IOS de Cisco. Si se experimenta un ataque de DoS contra
el sericio de 1elnet, o contra algn otro sericio de un dispositio Cisco, eriique si existe una reisin reciente de IOS de
Cisco disponible.

2.4.5 HERRAMIENTAS DE SEGURIDAD.-
Despus de conigurar la seguridad del switch, se debe eriicar que no hayan quedado debilidades que puedan ser
explotadas por un atacante. La seguridad de red es un tema complejo y cambiante. Ln esta seccin se presenta la orma en
que las herramientas de seguridad de red orman un componente utilizado para proteger una red de ataques maliciosos.

Las herramientas de seguridad de red ayudan a probar la red en busca de distintas debilidades. Son herramientas que
permiten que el usuario acte como pirata inormatico y como analista de seguridad de red. A tras de estas herramientas
se puede iniciar un ataque y llear a cabo la auditora de los resultados para determinar la orma de ajustar las polticas de
seguridad para eitar un ataque determinado.

Las unciones que utilizan las herramientas de seguridad de red eolucionan de manera constante. Por ejemplo: hubo un
tiempo en que las herramientas de seguridad de red se enocaron slo en los sericios de la red y examinaban los posibles
deectos de dichos sericios. Actualmente, los irus y gusanos pueden propagarse debido a los deectos en los clientes de
correo y en los exploradores \eb. Las herramientas de seguridad de red modernas no slo detectan los deectos remotos de
los hosts de la red, sino que tambin determinan si existen deectos a niel de aplicacin, como parches altantes en
computadoras de clientes. La seguridad de red no slo inolucra a los dispositios de red, sino tambin a los equipos de
escritorios de los clientes. Las auditoras de seguridad y los pruebas de penetracin son dos unciones basicas que llean a
cabo las herramientas de seguridad de red.

Auditora de seguridad de red

Las herramientas de seguridad de red permiten realizar una auditora de la red. Una auditora de seguridad reela el tipo de
inormacin que un atacante puede recopilar con un simple monitoreo del traico de la red. Las herramientas de auditora de
seguridad de red permiten inundar la tabla MAC con direcciones MAC de bogus. Luego se puede realizar la auditora en los
puertos de switch a medida que el switch ena el traico a todos los puertos y las asignaciones de direcciones MAC legtimas
expiran y son reemplazadas por asignaciones de direcciones MAC de bogus. De esta manera, se pueden determinar los
puertos comprometidos y que no han sido conigurados de manera correcta para eitar este tipo de ataque.

Ll tiempo es un actor importante para realizar la auditora en orma correcta. Los dierentes switches admiten distintas
cantidades de direcciones MAC en sus tablas MAC. Puede ser diicultoso determinar la cantidad ideal de direcciones MAC
suplantadas para ser utilizadas en la red. 1ambin se debe lidiar con el perodo de expiracin de la tabla MAC. Si las
direcciones MAC suplantadas comienzan a expirar en el momento en que se realiza la auditora de red, las direcciones MAC
alidas comienzan a llenar la tabla MAC, lo que limita la cantidad de datos que pueden monitorearse con una herramienta de
auditora de red.

Pruebas de penetracin de red

Las herramientas de seguridad de red tambin pueden utilizarse para pruebas de penetracin en la red. Lsto permite
identiicar las debilidades dentro de la coniguracin de los dispositios de red. Se puede llear a cabo una gran cantidad de

ataques y la mayora de los conjuntos de herramientas son acompanados por documentacin completa que detalla la sintaxis
necesaria para ejecutar el ataque deseado. Debido a que este tipo de pruebas puede tener eectos adersos en la red, se llean
a cabo bajo condiciones muy controladas, respetando procedimientos documentados detallados en una poltica de seguridad
de red completa. Por supuesto, si posee una pequena red para saln de clases, puede trabajar con su instructor para ejecutar
sus propias pruebas de penetracin de red.

Ln el tema siguiente aprendera la orma de implementar la seguridad de puerto en los switches de Cisco de manera de
asegurar que estas pruebas de seguridad de red no reelen ningn deecto en la coniguracin de seguridad.

Caractersticas de las herramientas de seguridad de red

Ln realidad, la seguridad de red es un proceso, no un producto. No alcanza con habilitar el switch con una coniguracin
segura y dar por terminado el trabajo. Para airmar que una red es segura se debe contar con un plan de seguridad de red
completo que deina la orma de eriicar de manera peridica si la red puede enrentar los mas recientesataques de red
maliciosos. Ll panorama cambiante de los riesgos de seguridad implica que se debe contar con herramientas de auditora y
penetracin que puedan actualizarse para enrentar los riesgos de seguridad mas recientes. Lntre las caractersticas comunes
de una moderna herramienta de seguridad de red, se incluyen:

Identiicacin de sericio: Las herramientas se utilizan para alcanzar los hosts mediante nmeros de puertos de la
Autoridad de nmeros asignada por Internet ,IANA,. Lstas herramientas tambin deben descubrir un seridor
l1P ejecutandose en un puerto no estandar o un seridor \eb ejecutandose en el puerto 8080. La herramienta
tambin debe probar todos los sericios que se ejecutan en el host.
Soporte para sericios SSL: Pruebas de sericios que utilizan seguridad a niel SSL, incluyendo l11PS, SM1P,
IMAP y certiicado de seguridad.
Pruebas destructias y no destructias: Realizacin de auditoras de seguridad no destructias de rutina que no
comprometan o que comprometan en orma moderada el rendimiento de la red. Las herramientas tambin deben
permitir las auditoras destructias que degradan en orma signiicatia el rendimiento de la red. Las auditoras
destructias permiten er cmo enrenta la red los ataques de intrusos.
Base de datos de ulnerabilidades: Las ulnerabilidades cambian todo el tiempo.

Las herramientas de seguridad de red deben disenarse para conectarse a un mdulo de cdigo y luego ejecutar una prueba
para la ulnerabilidad. De esta manera, se puede mantener una gran base de datos de ulnerabilidades que puede subirse a la
herramienta para asegurar que se estan probando las ulnerabilidades mas recientes.

Se pueden utilizar las herramientas de seguridad de red para:

Capturar mensajes de chat
Capturar archios de traico de NlS
Capturar solicitudes de l11P en lormato de registro comn
Capturar mensajes de correo en ormato Berkeley mbox
Capturar contrasenas
Mostrar URL capturadas del explorador en tiempo real
Saturar una LAN conmutada con direcciones MAC aleatorias
lalsiicar las respuestas a direcciones DNS y consultas puntuales
Interceptar paquetes en una LAN conmutada

2.4.6 CONFIGURACION DE LA SEGURIDAD DEL PUERTO.-
Uso de seguridad de puerto para mitigar ataques

Ln este tema, aprendera acerca de los actores a considerar cuando se conigura la seguridad de puerto en un switch. Se
resumen los comandos de IOS de Cisco undamentales de seguridad de puerto. 1ambin aprendera acerca de la
coniguracin de seguridad de puerto estatica y dinamica.

laga clic en el botn Seguridad de puerto en la igura.

Seguridad del puerto

Un switch que no cuenta con seguridad de puerto permite que un atacante conecte el sistema a un puerto habilitado en
desuso, que recopile inormacin o que genere ataques. Un switch puede conigurarsepara actuar como un hub, lo que
signiica que todos los sistemas conectados al switch pueden er de manera potencial todo el traico de la red que pasa a
tras de l y llega a todos los sistemas conectados a l. Ademas, un atacante puede recopilar traico que contiene nombres
de usuario, contrasenas o inormacin de coniguracin acerca de los sistemas de la red.

1odos los puertos e interaces del switch deben asegurarse antes de implementarlo. La seguridad de puerto limita la cantidad
de direcciones MAC alidas permitidas en el puerto. Cuando se asignan direcciones MAC seguras a un puerto seguro, el
puerto no ena paquetes con direcciones origen que se encuentren uera del grupo de direcciones deinidas.

Si se limita la cantidad de direcciones MAC seguras a uno y se asigna una nica direccin MAC segura a ese puerto, la
estacin de trabajo conectada a ese puerto cuenta con todo el ancho de banda de ese puerto y slo esa estacin de trabajo
con esa direccin MAC segura en particular puede conectarse de manera adecuada a dicho puerto.

Si se conigura un puerto como seguro y se alcanza la cantidad maxima de direcciones MAC seguras, la iolacin de
seguridad se produce cuando la direccin MAC de una estacin de trabajo que intenta acceder al puerto es distinta de
cualquiera de las direcciones MAC seguras identiicadas. La igura resume estos puntos.

laga clic en el botn 1ipos de direcciones MAC seguras en la igura.

Tipos de direcciones MAC seguras

Lxisten arias ormas de conigurar la seguridad de puerto. A continuacin, se describen las ormas de conigurar la
seguridad de puerto en un switch de Cisco:

Direcciones MAC seguras estticas: Las direcciones MAC se coniguran manualmente mediante el comando de
coniguracin de interaz switchport port-security mac-addressmac-address. Las direcciones MAC
coniguradas de esta orma se almacenan en la tabla de direcciones y se agregan a la coniguracin en ejecucin del
switch.
Direcciones MAC seguras dinmicas: Las direcciones MAC se aprenden de manera dinamica y se almacenan
slo en la tabla de direcciones. Las direcciones MAC coniguradas de esta manera se eliminan cuando el switch se
reinicia.

Direcciones MAC seguras sin modificacin: Se puede conigurar un puerto para que aprenda de manera
dinamica las direcciones MAC y luego guardarlas en la coniguracin en ejecucin.

Direcciones MAC sin modificacin

Las direcciones MAC seguras sin modiicacin poseen las siguientes caractersticas:

Cuando se habilita el aprendizaje sin modiicacin en una interaz mediante el comando de coniguracin de
interaz switchport port-security mac-address sticky, la interaz conierte todas las direcciones MAC seguras
dinamicas, incluyendo aquellas que se aprendieron de manera dinamica antes de habilitar el aprendizaje sin
modiicacin, en direcciones MAC seguras sin modiicacin y agrega todas estas ltimas a la coniguracin en
ejecucin.
Si se deshabilita el aprendizaje sin modiicacin mediante el comando de coniguracin de interaz no switchport
port-security mac-address sticky, las direcciones MAC seguras sin modiicacin permanecen como parte de la
tabla de direcciones, pero se eliminan de la coniguracin actia.
Cuando se coniguran direcciones MAC seguras sin modiicacin mediante el comando de coniguracin de
interaz switchport port-security mac-address sticky mac-address, stas se agregan a la tabla de direcciones y a
la coniguracin en ejecucin. Si se deshabilita la seguridad de puerto, las direcciones MAC seguras sin
modiicacin permanecen en la coniguracin en ejecucin.
Si se guardan las direcciones MAC seguras sin modiicacin en el archio de coniguracin, cuando se reinicia el
switch o cuando se cierra la interaz, esta ltima no necesita oler a aprender estas direcciones. Si no se guardan
las direcciones seguras sin modiicacin, stas se pierden.
Si se deshabilita el aprendizaje sin modiicacin y se ingresa el comando de coniguracin de interaz switchport
port-security mac-address sticky mac-address, aparece un mensaje de error y la direccin MAC segura sin
modiicacin no se agrega a la coniguracin en ejecucin.

laga clic en el botn Modos de iolacin de seguridad en la igura.

Modos de violacin de seguridad

Se considera iolacin de seguridad si se produce alguna de las siguientes situaciones:

Se agreg a la tabla de direcciones la cantidad maxima de direcciones MAC seguras y una estacin cuya direccin MAC no
se encuentra en la tabla de direcciones intenta acceder a la interaz.
Una direccin aprendida o conigurada en una interaz segura puede erse en otra interaz segura de la misma VLAN.

Se puede conigurar la interaz para uno de tres modos de iolacin, en base a la accin a tomar en caso de que se produzca
dicha iolacin. La igura muestra los tipos de traicos de datos que se enan cuando se conigura en el puerto uno de los
siguientes modos de iolacin de seguridad.

proteccin: Cuando la cantidad de direcciones MAC seguras alcanza el lmite permitido para el puerto, los paquetes con
direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suiciente de direcciones MAC seguras o
se aumente la cantidad maxima de direcciones permitida. Ll usuario no adierte que se ha producido una iolacin de
seguridad.
restriccin: Cuando la cantidad de direcciones MAC seguras alcanza el lmite permitido para el puerto, los paquetes con
direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suiciente de direcciones MAC seguras o
se aumente la cantidad maxima de direcciones permitida. Ln este modo, el usuario adierte que se ha producido una
iolacin de seguridad. De manera especica, se ena una trampa de SNMP, se registra un mensaje de syslog y se aumenta
el contador de iolaciones.
desactivacin: Ln este modo, una iolacin de seguridad de puerto produce que la interaz de deshabilite por error de
manera inmediata y se apaga el LLD del puerto. 1ambin se ena una trampa de SNMP, se registra un mensaje de syslog y
se incrementa el contador de iolaciones. Cuando un puerto seguro se encuentra en estado deshabilitado por error, se lo
puede sacar de dicho estado mediante los comandos de coniguracin de interaz shutdown y no shutdown. Lste es el
modo predeterminado.

Configurar la seguridad del puerto

Haga clic en el botn Configuracin predeterminada de la figura.

Los puertos de un switch de Cisco estan preconigurados de manera predeterminada. La igura resume la coniguracin de
seguridad de puerto predeterminada.

Haga clic en el botn Configurar la seguridad de puerto dinmica en la figura.

La igura muestra los comandos de CLI IOS de Cisco necesarios para conigurar la seguridad de puerto en un puerto last
Lthernet l0,18 en el switch S1. Obsere que el ejemplo no especiica un modo de iolacin. Ln este ejemplo, el modo de
iolacin se establece en desactivacin.

Haga clic en el botn Configurar la seguridad de puerto sin modificacin en la figura.

La igura muestra la orma de habilitar la seguridad de puerto sin modiicacin en el puerto last Lthernet 0,18 del switch
S1. Como se mencion con anterioridad, se puede conigurar la cantidad maxima de direcciones MAC seguras. Ln este
ejemplo, se puede er la sintaxis del comando IOS de Cisco utilizada para establecer la cantidad maxima de direcciones
MAC en 50. Ll modo de iolacin se establece en desactivacin predeterminada.

Lxisten otros parametros de seguridad de puerto que pueden ser de utilidad. Para obtener una lista completa de las opciones
de coniguracin de la seguridad del puerto, isite:
http:,,www.cisco.com,en,US,docs,switches,lan,catalyst2960,sotware,release,12.2_44_se,coniguration,guide,swtra
c.html

Verificar la seguridad de puerto

Despus de haber conigurado la seguridad de puerto para el switch, se debe eriicar que se haya conigurado de manera
correcta. Se deben reisar todas las interaces para eriicar que se ha establecido la seguridad de puerto de manera correcta.
1ambin se debe eriicar si se han conigurado las direcciones MAC estaticas en orma correcta.

Verificar la configuracin de seguridad de puerto

Para mostrar la coniguracin de seguridad de puerto para el switch o para la interaz especiicada, utilice el comando show
port-security |interfaceinterace-id|.

Ll resultado muestra lo siguiente:

Cantidad maxima de direcciones MAC seguras para cada interaz
Cantidad de direcciones MAC seguras en la interaz
Cantidad de iolaciones de seguridad que se han producido
Modo de iolacin

Verificar las direcciones MAC seguras

Haga clic en el botn Verificar las direcciones MAC seguras en la figura.

Para mostrar todas las direcciones MAC seguras coniguradas en todas las interaces del switch o en una interaz
especiicada, con la inormacin de expiracin para cada una, utilice el comando show port-security |interaceinterace-id|.

2.4.7 SEGURIDAD DE LOS PUERTOS NO UTILIZADOS.-
Deshabilitar puertos en desuso

Ln este tema aprendera la orma de utilizar un simple comando IOS de Cisco para asegurar los puertos de switch que no se
utilizan. Un mtodo simple utilizado por muchos administradores para proteger la red del acceso no autorizado es
deshabilitar todos los puertos no utilizados de un switch de la red. Por ejemplo: imagine que un switch 2960 de Cisco posee
24 puertos. Si existen tres conexiones last Lthernet que se utilizan, una buena practica de seguridad demanda la
deshabilitacin de los 21 puertos que no se utilizan. La igura muestra el resultado parcial para esta coniguracin.

Ls simple deshabilitar arios puertos en un switch. Lxplore todos los puertos no utilizados y emita el comando IOS de
Cisco shutdown. Una orma alternatia de desactiar arios puertos es mediante el comando interface range. Si un puerto
debe ser actiado, se puede ingresar el comando no shutdown en orma manual para esa interaz.

Ll proceso de habilitar y deshabilitar puertos puede conertirse en una tarea tediosa, pero el alor obtenido en trminos de
aumento de la seguridad de la red hace que el esuerzo no sea en ano.

CAPITULO III VLAN

Ll rendimiento de la red puede ser un actor en la productiidad de una organizacin y su reputacin para realizar sus
transmisiones en la orma preista. Una de las tecnologas que contribuyen al excelente rendimiento de la red es la diisin
de los grandes dominios de broadcast en dominios mas pequenos con las VLAN. Los dominios de broadcast mas pequenos
limitan el nmero de dispositios que participan en los broadcasts y permiten que los dispositios se separen en
agrupaciones uncionales, como sericios de base de datos para un departamento contable y transerencia de datos a alta
elocidad para un departamento de ingeniera. Ln este captulo, aprendera a conigurar, manejar ysolucionar problemas de
las VLAN y los enlaces troncales.

3.1 PRESENTACIN DE LAS VLAN.-
3.1.1 PRESENTACIN DE LAS VLAN.-
Antes de las VLAN
Para poder apreciar por qu las VLAN se utilizan tanto hoy en da, considere una pequena comunidad con dormitorios de
estudiantes y oicinas del cuerpo docente, todo en un solo ediicio. La igura muestra las computadoras de los estudiantes en
una LAN y las computadoras del cuerpo docente en otra LAN. Lsto unciona bien debido a que todos los departamentos
estan juntos sicamente, por lo tanto, es acil proporcionarles los recursos de la red.

Haga clic en el botn Muchos Edificios en la figura.

Un ano despus, la uniersidad creci y, ahora, tiene tres ediicios. Ln la igura, la red original es la misma pero las
computadoras de los estudiantes y del cuerpo docente estan distribuidas en los tres ediicios. Los dormitorios de los
estudiantes permanecen en el quinto piso y las oicinas del cuerpo docente en el tercer piso. Sin embargo, el departamento
de 1I ahora quiere asegurarse de que todas las computadoras de los estudiantes compartan las mismas caractersticas de
seguridad y controles de ancho de banda. ,Cmo puede la red acomodar las necesidades compartidas de los departamentos
separados geograicamente ,Crea una LAN grande y conecta por cable a todos los departamentos juntos ,Cuan acil sera
realizar cambios a esa red Sera muy bueno agrupar a las personas con los recursos que utilizan sin tener en cuenta su
ubicacin geograica, y sera mas acil administrar la seguridad especica y las necesidades de ancho de banda.

Visin general de VLAN
La solucin para la comunidad de la uniersidad es utilizar una tecnologa de red denominada LAN ,VLAN, irtual. Una
VLAN permite que un administrador de red cree grupos de dispositios conectados a la red de manera lgica que actan
como si estuieran en su propia red independiente, incluso si comparten una inraestructura comn con otras VLAN.
Cuando conigura una VLAN, puede ponerle un nombre para describir la uncin principal de los usuarios de esa VLAN.
Como otro ejemplo, todas las computadoras de los estudiantes se pueden conigurar en la VLAN "Lstudiante". Mediante las
VLAN, puede segmentar de manera lgica las redes conmutadas basadas en equipos de proyectos, unciones o
departamentos. 1ambin puede utilizar una VLAN para estructurar geograicamente su red para respaldar la conianza en
aumento de las empresas sobre trabajadores domsticos. Ln la igura, se crea una VLAN para los estudiantes y otra para el
cuerpo docente. Lstas VLAN permiten que el administrador de la red implemente las polticas de acceso y seguridad para
grupos particulares de usuarios. Por ejemplo: se puede permitir que el cuerpo docente, pero no los estudiantes, obtenga
acceso a los seridores de administracin de e-learning para desarrollar materiales de cursos en lnea.

Haga clic en el botn Detalles en la figura.

Detalles de la VLAN
Una VLAN es una subred IP separada de manera lgica. Las VLAN permiten que redes de IP y subredes mltiples existan
en la misma red conmutada. La igura muestra una red con tres computadoras. Para que las computadoras se comuniquen
en la misma VLAN, cada una debe tener una direccin IP y una mascara de subred consistente con esa VLAN. Ln el switch
deben darse de alta las VLANs y cada puerto asignarse a la VLAN correspondiente. Un puerto de switch con una VLAN
singular conigurada en el mismo se denomina puerto de acceso. Recuerde que si dos computadoras estan conectadas
sicamente en el mismo switch no signiica que se puedan comunicar. Los dispositios en dos redes y subredes separadas se
deben comunicar a tras de un router ,Capa 3,, se utilicen o no las VLAN. No necesita las VLAN para tener redes y
subredes mltiples en una red conmutada, pero existen entajas reales para utilizar las VLAN.

Ventajas de las VLAN
La productiidad del usuario y la adaptabilidad de la red son impulsores clae para el crecimiento y el xito del negocio. La
implementacin de la tecnologa de VLAN permite que una red admita de manera mas lexible las metas comerciales. Los
principales beneicios de utilizar las VLAN son los siguientes:

Seguridad: los grupos que tienen datos sensibles se separan del resto de la red, disminuyendo las posibilidades de que
ocurran iolaciones de inormacin conidencial. Las computadoras del cuerpo docente se encuentran en la VLAN 10 y
estan completamente separadas del traico de datos del Initado y de los estudiantes.
Reduccin de costo: el ahorro en el costo resulta de la poca necesidad de actualizaciones de red caras y mas usos eicientes
de enlaces y ancho de banda existente.

Se guardan en el archio de coniguracin en ejecucin.
V1P no aprende las VLAN de rango extendido.

255 VLAN configurables

Un switch de Cisco Catalyst 2960 puede admitir hasta 255 VLAN de rango normal y extendido, a pesar de que el nmero
conigurado aecta el rendimiento del hardware del switch. Debido a que la red de una empresa puede necesitar un switch
con muchos puertos, Cisco ha desarrollado switches a niel de empresa que se pueden unir o apilar juntos para crear una
sola unidad de conmutacin que consiste en nuee switches separados. Cada switch por separado puede tener 48 puertos, lo
que suma 432 puertos en una sola unidad de conmutacin. Ln este caso, el lmite de 255 VLAN por un solo switch podra
ser una restriccin para algunos clientes de empresas.

3.1.2 TIPOS DE VLAN.-
loy en da, existe undamentalmente una manera de implementar las VLAN: VLAN basada en puerto. Una VLAN basada
en puerto se asocia con un puerto denominado acceso VLAN.

Sin embargo, en las redes existe una cantidad de trminos para las VLAN. Algunos trminos deinen el tipo de traico de red
que enan y otros deinen una uncin especica que desempena una VLAN. A continuacin, se describe la terminologa
comn de VLAN:

Pase el mouse sobre el botn VLAN de Datos en la figura.

VLAN de Datos

Una VLAN de datos es una VLAN conigurada para eniarslo traico de datos generado por el usuario. Una VLAN
podra eniar traico basado en oz o traico utilizado para administrar el switch, pero este traico no sera parte de una
VLAN de datos. Ls una practica comn separar el traico de oz y de administracin del traico de datos. La importancia de
separar los datos del usuario del traico de oz y del control de administracin del switch se destaca mediante el uso de un
trmino especico para identiicar las VLAN que slo pueden eniar datos del usuario: una "VLAN de datos". A eces, a
una VLAN de datos se la denomina VLAN de usuario.

Pase el mouse sobre el botn VLAN Predeterminada en la figura.

VLAN Predeterminada

1odos los puertos de switch se conierten en un miembro de la VLAN predeterminada luego del arranque inicial del switch.
lacer participar a todos los puertos de switch en la VLAN predeterminada los hace a todos parte del mismo dominio de
broadcast. Lsto admite cualquier dispositio conectado a cualquier puerto de switch para comunicarse con otros
dispositios en otros puertos de switch. La VLAN predeterminada para los switches de Cisco es la VLAN 1. La VLAN 1
tiene todas las caractersticas de cualquier VLAN, excepto que no la puede oler a denominar y no la puede eliminar. Ll
traico de control de Capa 2, como CDP y el traico del protocolo spanning tree se asociara siempre con la VLAN 1: esto no
se puede cambiar. Ln la igura, el traico de la VLAN1 se ena sobre los enlaces troncales de la VLAN conectando los
switches S1, S2 y S3. Ls una optimizacin de seguridad para cambiar la VLAN predeterminada a una VLAN que no sea la
VLAN 1, esto implica conigurar todos los puertos en el switch para que se asocien con una VLAN predeterminada que no

sea la VLAN 1. Los enlaces troncales de la VLAN admiten la transmisin de traico desde mas de una VLAN. A pesar de
que los enlaces troncales de la VLAN se mencionan a lo largo de esta seccin, se explican a detalle en la prxima seccin.

Nota: Algunos administradores de red utilizan el trmino "VLAN predeterminada" para reerirse a una VLAN que no sea la
VLAN 1 que el administrador de red deini como la VLAN a la que se asignan todos los puertos cuando no estan en uso.
Ln este caso, la nica uncin que cumple la VLAN 1 es la de manejar el traico decontrol de Capa 2 para la red.

Pase el mouse sobre el botn VLAN Nativa en la figura.

VLAN Nativa

Una VLAN natia esta asignada a un puerto troncal 802.1Q. Un puerto de enlace troncal 802.1 Q admite el traico que llega
de muchas VLAN ,traico etiquetado, como tambin el traico que no llega de una VLAN ,traico no etiquetado,. Ll puerto
de enlace troncal 802.1Q coloca el traico no etiquetado en la VLAN natia. Ln la igura, la VLAN natia es la VLAN 99. Ll
traico no etiquetado lo genera una computadora conectada a un puerto de switch que se conigura con la VLAN natia. Las
VLAN se establecen en la especiicacin ILLL 802.1Q para mantener la compatibilidad retrospectia con el traico no
etiquetado comn para los ejemplos de LAN antigua. Para nuestro in, una VLAN natia sire como un identiicador
comn en extremos opuestos de un enlace troncal. Ls una optimizacin usar una VLAN dierente de la VLAN 1 como la
VLAN natia.

Pase el mouse sobre el botn VLAN de Administracin en la figura.

VLAN de Administracin

Una VLAN de administracin es cualquier VLAN que usted conigura para acceder a las capacidades de administracin de
un switch. La VLAN 1serira como VLAN de administracin si no deini proactiamente una VLAN nica para que sira
como VLAN de administracin. Se asigna una direccin IP y una mascara de subred a la VLAN de administracin. Se puede
manejar un switch mediante l11P, 1elnet, SSl o SNMP. Debido a que la coniguracin lista para usar de un switch de
Cisco tiene a VLAN 1 como la VLAN predeterminada, puede notar que la VLAN 1 sera una mala opcin como VLAN de
administracin, no querra que un usuario arbitrario se conectara a un switch para que se conigurara de manera
predeterminada la VLAN de administracin. Recuerde que conigur la VLAN de administracin como VLAN 99 en el
captulo Coniguracin y conceptos basicos de switch.

Ln la pagina siguiente, inestigaremos el tipo de VLAN remanente: VLAN de oz.

VLAN de voz
Ls acil apreciar por qu se necesita una VLAN separada para admitir la Voz sobre IP ,VoIP,. Imagine que esta recibiendo
una llamada de urgencia y de repente la calidad de la transmisin se distorsiona tanto que no puede comprender lo que esta
diciendo la persona que llama. Ll traico de VoIP requiere:

Ancho de banda garantizado para asegurar la calidad de la oz
Prioridad de la transmisin sobre los tipos de traico de la red
Capacidad para ser enrutado en areas congestionadas de la red
Demora de menos de 150 milisegundos ,ms, a tras de la red

Para cumplir estos requerimientos, se debe disenar la red completa para que admita VoIP. Los detalles sobre cmo
conigurar una red para que admita VoIP estan mas alla del alcance del curso, pero es til resumir cmo una VLAN de oz
unciona entre un switch, un telono IP de Cisco y una computadora.

Ln la igura, la VLAN 150 se disena para eniar traico de oz. La computadora del estudiante PC5 esta conectada al
telono IP de Cisco y el telono esta conectado al switch S3. La PC5 esta en la VLAN 20 que se utiliza para los datos de
los estudiantes. Ll puerto l0,18 en S3 se conigura para que est en modo de oz a in de que diga al telono que etiquete
las tramas de oz con VLAN 150. Las tramas de datos que ienen a tras del telono IP de Cisco desde la PC5 no se
marcan. Los datos que se destinan a la PC5 que llegan del puerto l0,18 se etiquetan con la VLAN 20 en el camino al
telono, que elimina la etiqueta de la VLAN antes de que los datos se enen a la PC5. Ltiquetar se reiere a la adicin de
bytes a un campo en la trama de datos que utiliza el switch para identiicar a qu VLAN se debe eniar la trama de datos.
Mas adelante, aprendera cmo se etiquetan las tramas de datos.

Haga clic en el botn Detalles en la figura.

Un telfono de Cisco es un switch

Ll telono IP de Cisco contiene un switch integrado de tres puertos 10,100, como se muestra en la igura. Los puertos
proporcionan conexiones dedicadas para estos dispositios:

Ll puerto 1 se conecta al switch o a otro dispositio de oz sobre IP ,VoIP,.
Ll puerto 2 es una interaz interna 10,100 que ena el traico del telono IP.
Ll puerto 3 ,puerto de acceso, se conecta a una PC u otro dispositio.

La igura muestra una manera de conectar un telono IP.

La uncin de la VLAN de oz permite que los puertos de switch enen el traico de oz IP desde un telono IP. Cuando
se conecta el switch a un telono IP, el switch ena mensajes que indican al telono IP conectado que ene el traico de
oz etiquetado con el ID 150 de VLAN de oz. Ll traico de la PC conectada al telono IP pasa por el telono IP sin
etiquetar. Cuando se conigur el puerto del switch con una VLAN de oz, el enlace entre el switch y el telono IP
unciona como un enlace troncal para eniar tanto el traico de oz etiquetado como el traico de datos no etiquetado.

Nota: La comunicacin entre el switch y el telono IP la acilita el protocolo CDP. Lste protocolo se analizara en detalle en
CCNA Lxploration: Curso sobre Conceptos y protocolos de enrutamiento.

Haga clic en el botn Ejemplo de Configuracin en la figura.

Ejemplo de configuracin

La igura muestra el resultado del ejemplo. Un analisis de los comandos IOS de Cisco esta mas alla del alcance de este curso
pero puede obserar que las areas destacadas en el resultado del ejemplo muestran la interaz l0,18 conigurada con una
VLAN conigurada para datos ,VLAN 20, y una VLAN conigurada para oz ,VLAN 150,.

Tipos de trfico de red
Ln CCNA Lxploration: Ln Aspectos basicos de redes, aprendi sobre los dierentes ti pos de traico que puede manejar una
LAN. Debido a que una VLAN tiene todas las caractersticas de una LAN, una VLAN debe incorporar el mismo traico de
red que una LAN.

Administracin de red y trfico de control

Muchos tipos dierentes de traico de administracin de red y de control pueden estar presentes en la red, como las
actualizaciones de Cisco Discoery Protocol ,CDP,, Simple Network Management Protocol ,SNMP, y traico de Remote
Monitoring ,RMON,.

Pase el mouse sobre el botn Administracin de red en la figura.

Telefona IP

Los tipos de traico de teleona IP son el traico de senalizacin y el traico de oz. Ll traico de senalizacin es responsable
de la coniguracin de la llamada, el progreso y la desconexin y atraiesa la red de extremo a extremo. Ll otro tipo de
traico de teleona consiste en paquetes de datos de la conersacin de oz existente. Como acaba de er, en una red
conigurada con VLAN, se recomienda con nasis asignar una VLAN dierente a la VLAN 1 como VLAN de
administracin. Ll traico de datos debe asociarse con una VLAN de datos ,dierente a la VLAN 1, y el traico de oz se
asocia con una VLAN de oz.

Pase el mouse sobre el botn Telefona IP en la figura.

IP Multicast

Ll traico IP multicast se ena desde una direccin de origen particular a un grupo multicast que se identiica mediante un
nico IP y un par de direcciones MAC de grupo de destino. Broadcasts Cisco IP,1V son ejemplos de aplicaciones que
genera este tipo de traico. Ll traico multicast puede producir una gran cantidad de datos que se transmiten a tras de la
red. Cuando la red debe admitir traico multicast, las VLAN deben conigurarse para asegurarse de que el traico multicast se
dirija slo a aquellos dispositios de usuario que utilizan el sericio proporcionado, como aplicaciones de audio o ideo
remoto. Los routers se deben conigurar para asegurar que el traico multicast se ene a las areas de red cuando se le
solicita.

Pase el mouse sobre el botn IP Multicast en la figura.

Datos normales

Ll traico de datos normales se relaciona con el almacenamiento y creacin de archios, sericios de impresin, acceso a la
base de datos del correo electrnico y otras aplicaciones de red compartidas que son comunes para usos comerciales. Las
VLAN son una solucin natural para este tipo de traico, ya que pueden segmentar a los usuarios por sus unciones o area
geograica para administrar de manera mas acil las necesidades especicas.

Pase el mouse sobre el botn Datos normales en la figura.

Clase Scavenger

Se pretende que la clase Scaenger proporcione sericios less-than-best-eort a ciertas aplicaciones. Las aplicaciones que se
asignan a esta clase contribuyen poco o nada a los objetios organizatios de la empresa y estan generalmente orientadas,
por su naturaleza, al entretenimiento. Lsto incluye aplicaciones compartidas de medios entre pares ,KaZaa, Morpheus,
Groekster, Napster, iMesh, y demas,, aplicaciones de juegos ,Doom, Quake, Unreal 1ournament, y demas, y cualquier
aplicacin de ideo de entretenimiento.

3.1.3 MODOS DE MEMBRESIS DEL PUERTO DE SWTICH.-
Puertos de switch

Los puertos de switch son interaces de Capa 2 nicamente asociados con un puerto sico. Los puertos de switch se utilizan
para manejar la interaz sica y los protocolos asociados de Capa 2. No manejan enrutamiento o puenteo. Los puertos de
switch pertenecen a una o mas VLAN.

Modos de puertos de switch de VLAN

Cuando conigura una VLAN, debe asignarle un nmero de ID y le puede dar un nombre si lo desea. Ll propsito de las
implementaciones de la VLAN es asociar con criterio los puertos con las VLAN particulares. Se conigura el puerto para
eniar una trama a una VLAN especica. Como se mencion anteriormente, el usuario puede conigurar una VLAN en el
modo de oz para admitir traico de datos y de oz que llega desde un telono IP de Cisco. Ll usuario puede conigurar un
puerto para que pertenezca a una VLAN mediante la asignacin de un modo de membresa que especiique el tipo de traico
que ena el puerto y las VLAN a las que puede pertenecer. Se puede conigurar un puerto para que admita estos tipos de
VLAN:

VLAN esttica: los puertos en un switch se asignan manualmente a una VLAN. Las VLAN estaticas se
coniguran por medio de la utilizacin del CLI de Cisco. Lsto tambin se puede llear a cabo con las aplicaciones
de administracin de GUI, como el Asistente de red Cisco. Sin embargo, una caracterstica coneniente del CLI es
que si asigna una interaz a una VLAN que no existe, se crea la nuea VLAN para el usuario. Para er un ejemplo
de coniguracin de VLAN estatica, haga clic en el botn Ljemplo de Modo Lstatico en la igura. Cuado haya
inalizado, haga clic en el botn Modos de Puertos en la igura. Lsta coniguracin no se examinara en detalle
ahora. Se presentara mas adelante en este captulo.
VLAN dinmica: este modo no se utiliza ampliamente en las redes de produccin y no se inestiga en este curso.
Sin embargo, es til saber qu es una VLAN dinamica. La membresa de una VLAN de puerto dinamico se
conigura utilizando un seridor especial denominado Seridor de poltica de membresa de VLAN ,VMPS,. Con
el VMPS, asigna puertos de switch a las VLAN basadas en orma dinamica en la direccin MAC de origen del
dispositio conectado al puerto. Ll beneicio llega cuando traslada un host desde un puerto en un switch en la red
hacia un puerto sobre otro switch en la red. Ll switch asigna en orma dinamica el puerto nueo a la VLAN
adecuada para ese host.
VLAN de voz: el puerto esta conigurado para que est en modo de oz a in de que pueda admitir un telono IP
conectado al mismo. Antes de que conigure una VLAN de oz en el puerto, primero debe conigurar una VLAN
para oz y una VLAN para datos. Ln la igura, la VLAN 150 es la VLAN de oz y la VLAN 20 es la VLAN de
datos. Se supone que la red ha sido conigurada para garantizar que el traico de oz se pueda transmitir con un
estado prioritario sobre la red. Cuando se enchua por primera ez un telono en un puerto de switch que esta en
modo de oz, ste ena mensajes al telono proporcionandole la coniguracin y el ID de VLAN de oz
adecuado. Ll telono IP etiqueta las tramas de oz con el ID de VLAN de oz y ena todo el traico de oz a
tras de la VLAN de oz.

Para examinar las partes de una coniguracin de modo de oz, haga clic en el botn Ljemplo de modo de oz en la igura:

Ll comando de coniguracin mls qos trust cos garantiza que el traico de oz se identiique como traico
prioritario. Recuerde que toda la red debe prepararse para que priorice el traico de oz. No puede simplemente
conigurar el puerto con este comando.
Ll comando switchport voice VLAN 150 identiica a la VLAN 150 como VLAN de oz. Puede obserar esto
eriicado en la parte inerior de la captura de la pantalla: VLAN de oz: 150 ,VLAN0150,.
Ll comando switchport access VLAN 20 conigura la VLAN 20 como la VLAN de modo de acceso ,datos,.
Puede obserar esto eriicado en la parte inerior de la captura de la pantalla: VLAN de modo de acceso: 20
,VLAN0020,.

Para obtener mas detalles sobre la coniguracin de una VLAN de oz, isite este sitio de Cisco.com:
http:,,www.cisco.com,en,US,products,ps6406,products_coniguration_guide_chapter09186a008081d9a6.html4wp1050
913.

3.1.4 CONTROL DE LOS DOMINIO DE BROADCAST CON LAS VLAN.-
Red sin VLAN

Ln uncionamiento normal, cuando un switch recibe una trama de broadcast en uno de sus puertos, ena la trama a todos
los demas puertos. Ln la igura, toda la red esta conigurada en la misma subred, 12.1.40.0,24. Como resultado, cuando la
computadora del cuerpo docente, PC1, ena una trama de broadcast, el switch S2 ena esa trama de broadcast a todos sus
puertos. La red completa la recibe inalmente, la red es un dominio de broadcast.

Haga clic en los Broadcasts de red con segmentacin de VLAN en la figura.

Red con VLAN

Ln la igura, se diidi la red en dos VLAN: Cuerpo docente como VLAN 10 y Lstudiante como VLAN 20. Cuando se
ena la trama de broadcast desde la computadora del cuerpo docente, PC1, al switch S2, el switch enaesa trama de
broadcast slo a esos puertos de switch conigurados para admitir VLAN 10.

Ln la igura, los puertos que componen la conexin entre los switches S2 y S1 ,puertos l0,1, y entre S1 y S3 ,puertos l0,3,
han sido conigurados para admitir todas las VLAN en la red. Lsta conexin se denomina enlace troncal. Mas adelante en
este captulo aprendera mas acerca de los enlaces troncales.

Cuando S1 recibe la trama de broadcast en el puerto l0,1, S1 ena la trama de broadcast por el nico puerto conigurado
para admitir la VLAN 10, puerto l0,3. Cuando S3 recibe la trama de broadcast en el puerto l0,3, ena la trama de
broadcast por el nico puerto conigurado para admitir la VLAN 10, puerto l0,11. La trama de broadcast llega a la nica
otra computadora en la red conigurada en la VLAN 10, la computadora PC4 del cuerpo docente.

Cuando las VLAN se implementan en un switch, la transmisin del traico de unicast, multicast y broadcast desde un host
en una VLAN en particular, se limitan a los dispositios presentes en la VLAN.

Control de dominios de broadcast con switches y routers
La ragmentacin de un gran dominio de broadcast en arias partes mas pequenas reduce el traico de broadcast y mejora el
rendimiento de la red. La ragmentacin de dominios en VLAN permite ademas una mejor conidencialidad de inormacin
dentro de una organizacin. La ragmentacin de dominios de broadcast puede realizarse con las VLAN ,en los switches, o
con routers. Cada ez que dispositios en dierentes redes de Capa 3 necesiten comunicarse, es necesario un router sin tener
en cuenta si las VLAN estan en uso.

Haga clic en el botn Comunicacin dentro de la VLAN y en el botn Reproducir para que comience la
animacin.

Comunicacin dentro de la VLAN

Ln la igura, la PC1 desea comunicarse con otro dispositio, la PC4. La PC1 y la PC4 se encuentran en la VLAN 10. La
comunicacin con un dispositio en la misma VLAN se denomina comunicacin inter VLAN. A continuacin se describe
cmo se realiza este proceso:

Paso 1. La PC1 en la VLAN 10 ena su trama de peticin ARP ,broadcast, al switch S2. Los switches S2 y S1 enan la
trama de peticin ARP a todos los puertos en la VLAN 10. Ll switch S3 ena la peticin ARP al puerto l0,11 para la PC4
en la VLAN 10.

Paso 2. Los switches en la red enan la trama de respuesta ARP ,unicast, a todos los puertos conigurados para la VLAN
10. La PC1 recibe la respuesta que contiene la direccin MAC de la PC4.

Paso 3. Ahora la PC1 tiene la direccin MAC de destino de la PC4 y la utiliza para crear una trama unicast con la direccin
MAC de la PC4 como destino. Los switches S2, S1 y S3 enan la trama a la PC4.

Haga clic en el botn Comunicacin entre VLAN y en el cono reproducir para que comience la animacin.

Comunicacin entre VLAN

Ln la igura, la PC1 en la VLAN 10 desea comunicarse con la PC5 en la VLAN 20. La comunicacin con un dispositio en
otra VLAN se denomina comunicacin entre VLAN.

Nota: Lxisten dos conexiones desde el switch S1 hasta el router: una para eniar transmisiones en la VLAN 10 y la otra
para eniar transmisiones en la VLAN 20 hacia la interaz del router.

A continuacin se describe cmo se realiza este proceso:

Paso 1. La PC1 en la VLAN 10 desea comunicarse con la PC5 en la VLAN 20. La PC1 ena una trama de peticin ARP
para la direccin MAC del gateway predeterminado R1.

Paso 2. Ll router R1 responde con una trama de respuesta ARP desde su interaz conigurada en la VLAN 10.

1odos los switches enan la trama de respuesta ARP y la PC1 la recibe. La respuesta ARP contiene la direccin MAC del
gateway predeterminado.

Paso 3. La PC1 crea, entonces, una trama de Lthernet con la direccin MAC del Gateway predeterminado. La trama se
ena desde el switch S2 al S1.

Paso 4. Ll router R1 ena una trama de peticin ARP en la VLAN 20 para determinar la direccin MAC de la PC5. Los
switches S1, S2 y S3, emiten la trama de peticin ARP a los puertos conigurados para la VLAN 20. La PC5 en la VLAN 20
recibe la trama de peticin ARP del router R1.

Paso 5. La PC5 en la VLAN 20 ena una trama de respuesta ARP al switch S3. Los switches S3 y S1 enan la trama de
respuesta ARP al router R1 con la direccin MAC de destino de la interaz l0,2 en el router R1.

Paso 6. Ll router R1 ena la trama recibida de la PC1 a S1 y S3 a la PC5 ,en la lan 20,.

Control de dominios de broadcast con las VLAN y reenvo de capa 3

Ln el ltimo captulo, usted aprendi sobre algunas de las dierencias entre los switches de Capa 2 y Capa 3. La igura
muestra el switch Catalyst 350G-24PS, uno de los tantos switches de Cisco que admite el enrutamiento de Capa 3. Ll cono
que representa el switch de Capa 3 se isualiza. La explicacin sobre la conmutacin de la Capa 3 excede el alcance de este
curso, pero es til una bree descripcin de la tecnologa de interaz irtual del switch ,SVI, por su sigla en ingls, que
permite al switch de Capa 3 enrutar transmisiones entre las VLAN.

SVI

SVI es una interaz lgica conigurada para una VLAN especica. Ls necesario conigurar una SVI para una VLAN si desea
enrutar entre las VLAN o para proporcionar conectiidad de host IP al switch. De manera predeterminada, una SVI se crea
por la VLAN predeterminada ,VLAN 1, para permitir la administracin de switch remota.

Haga clic en el botn Ejemplo de Reenvo de Capa 3 en la igura para er la animacin que presenta una representacin
simpliicada de cmo un switch de Capa 3 controla dominios de broadcast.

Reenvo de capa 3

Un switch de Capa 3 tiene la capacidad de enrutar transmisiones entre las VLAN. Ll procedimiento es el mismo que se
describi para la comunicacin entre VLAN utilizando un router distinto, excepto que las SVI actan como las interaces
del router para enrutar los datos entre las VLAN. La animacin describe este proceso.

Ln la animacin, la PC1 desea comunicarse con la PC5. Los siguientes pasos detallan la comunicacin a tras del switch S1
de Capa 3:

Paso 1. La PC1 ena un broadcast de peticin ARP en la VLAN10. S2 ena la peticin ARP a todos los puertos
conigurados para la VLAN 10.

Paso 2. Ll switch S1 ena la peticin ARP a todos los puertos conigurados para la VLAN 10, incluida la SVI para la
VLAN 10. Ll switch S3 ena la peticin ARP a todos los puertos conigurados para la VLAN 10.

Paso 3. La SVI para la VLAN 10 en el switch S1 conoce la ubicacin de la VLAN 20. La SVI para la VLAN 10 en el switch
S1 ena una respuesta ARP de uelta a la PC1 con esta inormacin.

Paso 4. La PC 1 ena datos, destinados a la PC5, como trama de unicast a tras del switch S2 a la SVI para la VLAN 10
en el switch S1.

Paso 5. La SVI para la VLAN 20 ena un broadcast de peticin ARP a todos los puertos de switch conigurados para la
VLAN 20. Ll switch S3 ena ese broadcast de peticin ARP a todos los puertos de switch conigurados para la VLAN 20.

Paso 6. La PC5 en la VLAN 20 ena una respuesta ARP. Ll switch S3 ena esa respuesta ARP a S1. Ll switch S1 ena la
respuesta ARP a la SVI para la VLAN 20.

Paso 7. La SVI para la VLAN 20 ena los datos eniados desde la PC1 en una trama de unicast a la PC5, mediante la
utilizacin de la direccin de destino que obtuo de la respuesta ARP en el paso 6.

3.2 ENLACE TRONCAL DE LAS VLAN.-
3.2.1 ENLACES TRONCALES DE LA VLAN.-
Qu es un enlace troncal?
Ls dicil describir las VLAN sin mencionar los enlaces troncales de la VLAN. Aprendi acerca de controlar broadcasts de la
red con segmentacin de la VLAN y obser la manera en que los enlaces troncales de la VLAN transmitieron traico a
dierentes partes de la red conigurada en una VLAN. Ln la igura, los enlaces entre los switches S1 y S2 y entre S1 y S3
estan conigurados para transmitir el traico que proiene de las VLAN 10, 20, 30 y 99. Ls posible que esta red no uncione
sin los enlaces troncales de la VLAN. Ll usuario descubrira que la mayora de las redes que encuentra estan coniguradas
con enlaces troncales de la VLAN. Lsta seccin une su conocimiento preio sobre el enlace troncal de la VLAN y
proporciona los detalles necesarios para poder conigurar el enlace troncal de la VLAN en una red.

Definicin de enlace troncal de la VLAN

Un enlace troncal es un enlace punto a punto, entre dos dispositios de red, que transporta mas de una VLAN. Un enlace
troncal de VLAN le permite extender las VLAN a tras de toda una red. Cisco admite ILLL 802.1Q para la coordinacin
de enlaces troncales en interaces last Lthernet y Gigabit Lthernet. Mas adelante en esta seccin, aprendera acerca de
802.1Q.

Un enlace troncal de VLAN no pertenece a una VLAN especica, sino que es un conducto para las VLAN entre switches y
routers.

Cul es el problema que resuelve un enlace troncal?
Ln la igura, se obsera que la topologa estandar utilizada en este captulo, excepto en lugar del enlace troncal de la VLAN
que el usuario esta acostumbrado a er entre los switches S1 y S2, hay un enlace indiidual para cada subred. lay cuatro
enlaces indiiduales que conectan los switches S1 y S2, lo que deja tres puertos menos para asignar a dispositios de usuario
inal. Cada ez que se tiene en cuenta una subred nuea, se necesita un nueo enlace para cada switch en la red.

Haga clic en el botn Con enlaces troncales de VLAN en la figura.

Ln la igura, la topologa de red muestra un enlace troncal de la VLAN que conecta los switches S1 y S2 con un enlace sico
nico. Lsta es la orma en que debe conigurarse una red.

Etiquetado de trama 802.1Q
Recuerde que los switches son dispositios de capa 2. Slo utilizan la inormacin del encabezado de trama de Lthernet para
eniar paquetes. Ll encabezado de trama no contiene la inormacin que indique a qu VLAN pertenece la trama.
Posteriormente, cuando las tramas de Lthernet se ubican en un enlace troncal, necesitan inormacin adicional sobre las
VLAN a las que pertenecen. Lsto se logra por medio de la utilizacin del encabezado de encapsulacin 802.1Q. Lste
encabezado agrega una etiqueta a la trama de Lthernet original y especiica la VLAN a la que pertenece la trama.

Ll etiquetado de la trama se mencion en dierentes oportunidades. La primera ez se hizo en reerencia a la coniguracin
del modo de oz en un puerto de switch. Ln esa seccin aprendi que una ez que se conigura, un telono de Cisco ,que
incluye un switch pequeno, etiqueta las tramas de oz con un ID de VLAN. 1ambin aprendi que los ID de VLAN
pueden estar en un rango normal, 1-1005 y en un rango ampliado, 1006-4094. ,De qu manera se insertan los ID de la
VLAN en la trama

Descripcin general del etiquetado de la trama de la VLAN

Antes de explorar los detalles de una trama 802.1Q, es til comprender lo que hace un switch al eniar una trama a un
enlace troncal. Cuando el switch recibe una trama en un puerto conigurado en modo de acceso con una VLAN estatica, el
switch quita la trama e inserta una etiqueta de VLAN, uele a calcular la lCS y ena la trama etiquetada a un puerto de
enlace troncal.

Nota: Mas adelante, en esta seccin, se presenta una animacin de la operacin de enlace troncal..

Detalles del campo de etiqueta de VLAN

Ll campo de etiqueta de la VLAN consiste de un campo Lther1ype, un campo deinormacin de control de etiqueta y del
campo de lCS.

Campo EtherType

Lstablecido al alor hexadecimal de 0x8100. Lste alor se denomina alor de ID de protocolo de etiqueta ,1PID, por su
sigla en ingls,. Con el campo Lther1ype conigurado al alor 1PID, el switch que recibe la trama sabe buscar la
inormacin en el campo de inormacin de control de etiqueta.

Campo Informacin de control de etiqueta

Ll campo de inormacin de control de etiqueta contiene:

3 bits de prioridad del usuario: utilizado por el estandar 802.1p, que especiica cmo proporcionar transmisin
acelerada de las tramas de la Capa 2. Una descripcin de ILLL 802.1p esta mas alla del alcance de este curso, sin
embargo el usuario aprendi algo sobre esto anteriormente en el analisis sobre las VLAN de oz.

1 bit de Identificador de formato ideal (CFI, por su sigla en ingls): permite que las tramas 1oken Ring se
transporten con acilidad a tras de los enlaces Lthernet.
12 bits del ID de la VLAN (VID): nmeros de identiicacin de la VLAN, admite hasta 4096 ID de VLAN.

Campo FCS

Luego de que el switch inserta los campos de inormacin de control de etiqueta y Lther1ype, uele a calcular los alores
lCS y los inserta en la trama.

VLAN nativas y enlace troncal 802.1Q

Ahora que el usuario sabe mas acerca de cmo un switch etiqueta una trama con la VLAN adecuada, es momento de
explorar la manera en que la VLAN natia admite el switch en el manejo de tramas etiquetadas y sin etiquetar que llegan en
un puerto de enlace troncal 802.1Q.

Tramas etiquetadas en la VLAN nativa

Algunos dispositios que admiten enlaces troncales etiquetan la VLAN natia como comportamiento predeterminado. Ll
traico de control eniado en la VLAN natia debe estar sin etiquetar. Si un puerto de enlace troncal 802.1Q recibe una
trama etiquetada en la VLAN natia, ste descarta la trama. Como consecuencia, al conigurar un puerto de switch en un
switch Cisco, es necesario identiicar estos dispositios y conigurarlos de manera que no enen tramas etiquetadasen la
VLAN natia. Los dispositios de otros proeedores que admiten tramas etiquetadas en la VLAN natia incluyen: telonos
IP, seridores, routers y switches que no pertenecen a Cisco.

Tramas sin etiquetar en la VLAN nativa

Cuando un puerto de enlace troncal de switch Cisco recibe tramas sin etiquetar, ste ena esas tramas a la VLAN natia.
Como debe recordar, la VLAN natia predeterminada es la VLAN 1. Al conigurar un puerto de enlace troncal 802.1Q, ~ s e nati a rto rto b disp R n sp sp la l ste n n n n l n out nnnn n 1. Al cra c

Al utilizar el comando show interfaces interface-id switchport puede eriicar rapidamente si ha uelto a conigurar la
VLAN natia desde la VLAN 1 a la VLAN 99 de manera correcta. Ll resultado resaltado en la captura de pantalla indica que
la coniguracin ue un xito.

3.2.2 OPERACIN DE ENLACE TRONCAL.-
Enlace troncal en accin
Ll usuario ha aprendido la manera en que un switch maneja el traico sin etiquetar en un enlace troncal. Ll usuario sabe que
las tramas que atraiesan un enlace troncal estan etiquetadas con el ID de la VLAN del puerto de acceso donde lleg la
trama. Ln la igura, la PC1 en la VLAN 10 y la PC3 en la VLAN 30 enan tramas de broadcast al switch S2. Ll switch S2
etiqueta esas tramas con el ID adecuado de la VLAN y luego ena las tramas a tras del enlace troncal al switch S1. Ll
switch S1 lee el ID de la VLAN en las tramas y los ena en broadcast a cada puerto conigurado para admitir la VLAN 10 y
la VLAN 30. Ll switch S3 recibe esas tramas, quita los ID de la VLAN y los ena como tramas sin etiquetar a la PC4 en la
VLAN 10 y a la PC 6 en la VLAN 30.

Haga clic en el botn Reproducir en la barra de herramientas de la animacin en la figura.

3.2.3 MODOS DE ENLACES TRONCALES.-
Ll usuario ha aprendido la manera en que el enlace troncal 802.1Q unciona en los puertos de switch de Cisco. Ahora es
momento de examinar las opciones de coniguracin del modo de puerto de enlace troncal 802.1Q. Primero, es necesario
analizar un protocolo de enlace troncal anterior de Cisco denominado enlace entre switch ,ISL, Inter-Switch Link,, debido a
que era esta opcin en las guas de coniguracin de sotware del switch.

IEEE, no ISL

Aunque se puede conigurar un switch de Cisco para admitir dos tipos de puertos de enlace troncal, ILLL 802.1Q e ISL, en
la actualidad, slo se usa el 802.1Q. Sin embargo, las redes antiguas siguen usando ISL, y es til aprender sobre cada tipo de
puerto de enlace troncal.

Un puerto de enlace troncal ILLL 802.1Q admite traico simultaneo etiquetado y sin etiquetar. A un puerto de
enlace troncal 802.1Q se le asigna un PVID predeterminado y todo el traico sin etiquetar se transporta en el PVID
predeterminado del puerto. Se supone que todo el traico etiquetado y sin etiquetar con un ID nulo de la VLAN
pertenece al PVID predeterminado del puerto. Ll paquete con un ID de VLAN igual al PVID predeterminado del
puerto de salida se ena sin etiquetar. Ll resto del traico se ena con una etiqueta de VLAN.
Ln un puerto de enlace troncal ISL se espera que todos los paquetes recibidos sean encapsulados con un
encabezado ISL y que todos los paquetes transmitidos se enen con un encabezado ISL. Las tramas natias ,sin
etiquetar, recibidas de un puerto de enlace troncal ISL se descartan. ISL ya no es un modo de puerto de enlace
troncal recomendado y no se admite en arios de los switches de Cisco.

DTP

Ll protocolo de enlace troncal dinamico ,D1P, es un protocolo propiedad de Cisco. Los switches de otros proeedores no
admiten el D1P. Ll D1P es habilitado automaticamente en un puerto de switch cuando algunos modos de enlace troncal se
coniguran en el puerto de switch.

Ll D1P administra la negociacin de enlace troncal slo si el puerto en el otro switch se conigura en modo de enlace
troncal que admita D1P. Ll D1P admite los enlaces troncales ISL y 802.1Q. Lste curso se concentra en la implementacin
de 802.1Q del D1P. Un analisis detallado sobre el D1P esta mas alla de este curso, sin embargo aprendera sobre esto en las
practicas de laboratorio y actiidades asociadas con este captulo. Los switches no necesitan que el D1P realice enlaces
troncales, y algunos switches y routers de Cisco no admiten al D1P. Para aprender mas sobre la admisin de D1P en
switches de Cisco, isite:
http:,,www.cisco.com,en,US,tech,tk389,tk689,technologies_tech_note09186a0080186a.shtml.

Modos de enlaces troncales

Un puerto de switch en un switch de Cisco admite arios modos de enlaces troncales. Ll modo de enlace troncal deine la
manera en la que el puerto negocia mediante la utilizacin del D1P para conigurar un enlace troncal con su puerto par. A
continuacin, se obsera una bree descripcin de los modos de enlaces troncales disponibles y la manera en que el D1P se
implementa en cada uno.

Activado (de manera predeterminada)

Ll puerto del switch ena peridicamente tramas de D1P, denominadas notiicaciones, al puerto remoto. Ll comando
utilizado es switchport mode trunk. Ll puerto de switch local notiica al puerto remoto que esta cambiando dinamicamente
a un estado de enlace troncal. Luego, el puerto local, sin importar la inormacin de D1P que el puerto remoto ena como
respuesta a la notiicacin, cambia al estado de enlace troncal. Ll puerto local se considera que esta en un estado de enlace
troncal ,siempre actiado, incondicional.

Dinmico automtico

Ll puerto del switch ena peridicamente tramas de D1P al puerto remoto. Ll comando utilizado es switchport mode
dynamic auto. Ll puerto de switch local notiica al puerto de switch remoto que puede establecer enlaces troncales pero no
solicita pasar al estado de enlace troncal. Luego de una negociacin de D1P, el puerto local termina en estado de enlace
troncal slo si el modo de enlace troncal del puerto remoto ha sido conigurado para estar actio o si es coneniente. Si
ambos puertos en los switches se coniguran en automatico, no negocian para estar en un estado de enlace troncal.
Negocian para estar en estado de modo de acceso ,sin enlace troncal,.

Las tramas de DTP convenientes y dinmicas

Las tramas de D1P se enan peridicamente al puerto remoto. Ll comando utilizado es switchport mode dynamic
desirable. Ll puerto de switch local notiica al puerto de switch remoto que puede establecer enlaces troncales y solicita al
puerto de switch remoto pasar al estado de enlace troncal. Si el puerto local detecta que el remoto ha sido conigurado en
modo actiado, coneniente o automatico, el puerto local termina en estado de enlace troncal. Si el puerto de switch remoto
esta en modo sin negociacin, el puerto de switch local permanece como puerto sin enlace troncal.

Desactivacin del DTP

Puede desactiar el D1P para el enlace troncal para que el puerto local no ene tramas de D1P al puerto remoto. Utilice el
comando switchport nonegotiate. Lntonces el puerto local se considera que esta en un estado de enlace troncal
incondicional. Utilice esta caracterstica cuando necesite conigurar un enlace troncal con un switch de otro proeedor.

Ejemplo de modo de enlace troncal

Ln la igura, los puertos l0,1 en los switches S1 y S2 se coniguran con modo de enlace troncal actiado. Los puertos l0,3
en los switches S1 y S3 se coniguran para que estn en modo de enlace troncal automatico. Cuando se completen las
coniguraciones de switch y los switches estan conigurados por completo, ,Qu enlace se conigurara como enlace troncal

Haga clic en el botn Qu enlace se configurar como enlace troncal? en la figura.

Ll enlace entre los switches S1 y S2 se conierte en enlace troncal porque los puertos l0,1 en los switches S1 y S2 se
coniguran para ignorar todas las notiicaciones del D1P y aparecen y permanecen en modo de puerto de enlace troncal.
Los puertos l0,3 en los switches S1 y S3 se establecen en automatico, entonces negocian para estar en estado
predeterminado, el estado de modo de acceso ,sin enlace troncal,. Lsto da por resultado un enlace troncal inactio. Cuando
conigura un puerto de enlace troncal para que est en modo de puerto de enlace troncal, no existe ambigedad sobre en
qu estado se encuentra el enlace troncal: esta siempre actio. Ademas, es acil recordar en qu estado estan los puertos de
enlaces troncales: si se supone que el puerto es un enlace troncal, el modo de enlace troncal es actio..

Nota: Ll modo switchport predeterminado para una interaz en un switch Catalyst 2950 es coneniente y dinamico, pero el
modo switchport predeterminado para una interaz en un switch Catalyst 2960 es automatico y dinamico. Si S1 y S3 ueran

switches Catalyst 2950 con interaz l0,3 en modo switchport predeterminado, el enlace entre S1 y S3 se conertira en un
enlace troncal actio.

Haga clic en el botn Modo DTP en la figura para revisar las interacciones de los modos.

Para obtener mas inormacin acerca de qu switches Cisco admiten 802.1Q, ISL y D1P, isite:
http:,,www.cisco.com,en,US,tech,tk389,tk689,technologies_tech_note09186a0080186a.shtml4topic1.

Para obtener mas inormacin acerca de cmo admitir ISL en redes antiguas, isite:
http:,,www.cisco.com,en,US,tech,tk389,tk689,tsd_technology_support_troubleshooting_technotes_list.html.

3.3 CONFIRUGACIN DE LAS VLAN Y ENLACES TRONCALES.-
3.3.1 DECRIPCIN GENERAL DE LA CONFIGURACIN DE LAS VLAN Y DE LOS TRONCALES
Ln este captulo, ha isto ejemplos de los comandos utilizados para conigurar las VLAN y los enlaces troncales de las
VLAN. Ln esta seccin aprendera sobre los comandos clae IOS de Cisco necesarios para crear, eliminar y eriicar las
VLAN y los enlaces troncales de las VLAN. Por lo general, estos comandos poseen muchos parametros opcionales que
extienden las capacidades de la tecnologa de las VLAN y enlaces troncales de las VLAN. Lstos comandos opcionales no se
presentan, sin embargo, se suministran reerencias en caso de que desee inestigar estas opciones. Lsta seccin se enoca en
suministrarle las habilidades y conocimientos necesarios para conigurar las VLAN y los enlaces troncales de la VLAN con
sus caractersticas clae.

Ln esta seccin, se muestra la sintaxis de coniguracin y eriicacin para un lado de la VLAN o del enlace troncal. Ln las
practicas de laboratorio y actiidades conigurara ambos lados y eriicara que el enlace ,VLAN o enlace troncal de VLAN,
est conigurado correctamente.

Nota: Si desea mantener la coniguracin actia recin conigurada, debe guardarla en la coniguracin de inicio.

3.3.2 CONFIGURACION DE UNA VLAN.-
Agregue una VLAN
Ln este tema, aprendera a crear una VLAN estatica en un switch Cisco Catalyst mediante el modo de coniguracin global
de la VLAN. Lxisten dos modos dierentes para conigurar las VLAN en un switch Cisco Catalyst: modo de coniguracin
de base de datos y modo de coniguracin global. A pesar de que la documentacin de Cisco menciona el modo de
coniguracin de base de datos de la VLAN, se elimina a aor del modo de coniguracin global de la VLAN.

Ll usuario conigurara las VLAN con los ID en el rango normal. Recuerde que existen dos rangos de ID dela VLAN. Ll
rango normal incluye los ID 1 a 1001 y el rango ampliado consiste de los ID 1006 a 4094. VLAN 1 y 1002 a 1005 son
nmeros de ID reserados. Cuando conigura las VLAN de rango normal, los detalles de coniguracin se almacenan
automaticamente en la memoria lash del switch en un archio llamado lan.dat. Debido a que el usuario conigura
recuentemente otros aspectos de un switch Cisco al mismo tiempo, es una buena practica guardar los cambios de la
coniguracin actia en la coniguracin de inicio.

laga clic en el botn Sintaxis del comando en la igura.

La igura reisa los comandos IOS de Cisco utilizados para agregar una VLAN a un switch.

laga clic en el botn Ljemplo en la igura.

La igura muestra cmo se conigura la VLAN estudiante, VLAN 20 en el switch S1. Ln el ejemplo de topologa, la
computadora del estudiante, la PC2, an no es una VLAN, pero tiene una direccin IP de 12.1.20.22.

laga clic en el botn Veriicacin en la igura.

La igura muestra un ejemplo de uso del comando show lan brie para mostrar los contenidos del archio lan.dat. Ln la
captura de pantalla se resalta la VLAN del estudiante, VLAN 20. Los ID de VLAN predeterminada 1 y 1002 a 1005 se
muestran en los resultados que aparecen en pantalla.

Nota: Ademas de ingresar un ID simple de VLAN, el usuario puede ingresar una serie de ID de VLAN separada por comas
o un rango de ID de VLAN separado por guiones, usando el comando lan lan-id, por ejemplo: switch,conig,4lan
100,102,105-10.

Asignacin de un puerto de switch
Despus de crear una VLAN, asgnele un puerto o mas. Cuando asigna un puerto de switch a una VLAN en orma manual,
se lo conoce como puerto de acceso estatico. Un puerto de acceso estatico puede pertenecer a slo una VLAN por ez.

laga clic en el botn Sintaxis del comando en la igura para reisar los comandos IOS de Cisco para asignar un puerto de
acceso estatico a la VLAN.

laga clic en el botn Ljemplo en la igura para er cmo la VLAN del estudiante, VLAN 20, se asigna estaticamente al
puerto l0,18 en el switch S1. Ll puerto l0,18 se ha asignado a la VLAN 20, de manera que la computadora del estudiante,
PC2, esta en la VLAN 20. Cuando la VLAN 20 se conigura en otros switches, el administrador de red sabe conigurar las
otras computadoras de estudiantes para encontrarse en la misma subred que PC2: 12.1.20.0 ,24.

laga clic en el botn Veriicacin en la igura para conirmar que el comando show lan brie muestra los contenidos del
archio lan.dat. Ln la captura de pantalla se resalta la VLAN del estudiante, VLAN 20.

3.3.3 ADMINISTRACIN DE LAS VLAN.-
Verificacin de las vinculaciones de puerto y de las VLAN
Despus de conigurar la VLAN, puede alidar las coniguraciones de la VLAN mediante la utilizacin de los comandos
show del IOS de Cisco.

laga clic en el botn Sintaxis del comando en la igura.

La sintaxis de comando para los diersos comandos show del IOS de Cisco debe conocerse bien. \a ha utilizado el
comando show lan brie. Se pueden er ejemplos de estos comandos haciendoclic en los botones de la igura.

laga clic en el botn Mostrar VLAN en la igura.

Ln este ejemplo, el usuario puede er que el comando show lan name student no produce resultados muy legibles. Aqu se
preiere utilizar el comando show lan brie. Ll comando show lan summary muestra la cuenta de todas las VLAN
coniguradas. Ll resultado muestra seis VLAN: 1, 1002-1005 y la VLAN del estudiante, VLAN 20.

laga clic en el botn Interaces de VLAN en la igura.

Lste comando muestra muchos detalles que exceden el alcance de este captulo. La inormacin clae aparece en la segunda
lnea de la captura de pantalla e indica que la VLAN 20 esta actia.

laga clic en el botn Puerto de switch de interaces en la igura.

Lste comando muestra inormacin til para el usuario. Puede determinar que el puerto l0,18 se asigna a la VLAN 20 y
que la VLAN natia es la VLAN 1. Ll usuario ha utilizado este comando para reisar la coniguracin de una VLAN de oz.

Para obtener mas detalles acerca de los campos de resultados de los comandos show lan y show interaces, isite:
http:,,www.cisco.com,en,US,products,ps6406,products_command_reerence_chapter09186a00808184b.html4wp30
585.

Vnculos al puerto de administracin
Lxisten arias ormas de administrar las VLAN y los nculos del puerto de VLAN. La igura muestra la sintaxis para el
comando no switchport access lan.

laga clic en el botn Lliminar la VLAN en la igura.

Reasigne un puerto a la VLAN 1

Para reasignar un puerto a la VLAN 1, el usuario puede usar el comando no switchport access lan en modo de
coniguracin de interaz. Lxamine la salida del comando show lan brie que aparece inmediatamente a continuacin. Note
cmo VLAN 20 sigue actia. Slo se la ha eliminado de la interaz l0,18. Ln el comando show interaces 0,18 switchport,
se puede er que la VLAN de acceso para interaz l0,18 se ha reestablecido a la VLAN 1.

laga clic en el botn Reasignar la VLAN en la igura.

Reasigne la VLAN a otro puerto

Un puerto de acceso estatico slo puede tener una VLAN. Con el sotware IOS de Cisco, no necesita quitar primero un
puerto de una VLAN para cambiar su membresa de la VLAN. Cuando reasigna un puerto de acceso estatico a una VLAN
existente, la VLAN se elimina automaticamente del puerto anterior. Ln el ejemplo, el puerto l0,11 se reasigna a la VLAN
20.

Eliminacin de las VLAN
La igura proporciona un ejemplo de uso del comando de coniguracin global no lan lan-id para eliminar la VLAN 20
del sistema. Ll comando show lan brie eriica que la VLAN 20 ya no esta en el archio lan.dat.

Alternatiamente, el archio completo lan.dat puede eliminarse con el comando delete lash:lan.dat del modo LXLC
priilegiado. Despus de que el switch se haya uelto a cargar, las VLAN coniguradas preiamente ya no estaran presentes.
Lsto ubica al switch, en orma eectia, en "de abrica de manera predeterminada" con respecto a las coniguraciones de la
VLAN.

Nota: Antes de eliminar una VLAN, asegrese de reasignar primero todos los puertos miembro a una VLANdierente.
1odo puerto que no se ha moido a una VLAN actia no puede comunicarse con otras estaciones luego de eliminar la
VLAN.

3.3.4 CONFIGURACION DE UN ENLACE TRONCAL.-
Configuracin de un enlace troncal 802.1Q
Para conigurar un enlace troncal en un puerto de switch, utilice el comando switchport mode trunk. Cuando ingresa al
modo enlace troncal, la interaz cambia al modo permanente de enlace troncal y el puerto ingresa a una negociacin de D1P
para conertir el nculo a un nculo de enlace troncal, por mas que la interaz que la conecta no acepte cambiar. Ln este
curso conigurara un enlace troncal utilizando nicamente el comando switchport mode trunk. Ln la igura se muestra la
sintaxis de comando IOS de Cisco para especiicar una VLAN natia dierente a la VLAN 1. Ln el ejemplo, el usuario
conigura la VLAN 99 como la VLAN natia. Se muestra la sintaxis de comando utilizada para admitir una lista de las
VLAN en el enlace troncal. Ln este puerto de enlace troncal, admita las VLAN 10, 20 y 30.

laga clic en el botn 1opologa en la igura.

Ll usuario ya conoce esta topologa. Las VLAN 10, 20 y 30 admitiran las computadoras del Cuerpo Docente, del Lstudiante
y del Initado : PC1, PC2 y PC3. Ll puerto l0,1 en el switch S1 se conigura como un puerto de enlace troncal para admitir
las VLAN 10, 20 y 30. La VLAN 99 se conigura como la VLAN natia.

laga clic en el botn Ljemplo en la igura.

Ll ejemplo conigura al puerto l0,1 en el switch S1 como puerto de enlace troncal. Lste uele a conigurar la VLAN
natia como VLAN 99 y agrega las VLAN 10, 20 y 30 como las VLAN admitidas en el puerto l0,1.

Un analisis sobre el D1P y los detalles de cmo trabaja cada opcin de modo de acceso al puerto de switch supera el alcance
del curso. Para mas detalles sobre los parametros asociados con el comando de interaz switchport mode isite:
http:,,www.cisco.com,en,US,docs,switches,lan,catalyst2960,sotware,release,12.2_3_se,command,reerence,cli3.ht
ml4wp194811.

Verificacin de la configuracin del enlace troncal
La igura muestra la coniguracin del puerto de switch l0,1 en el switch S1. Ll comando utilizado es el comando show
interaces interace-ID switchport.

La primera area resaltada muestra que el puerto l0,1 tiene el modo administratio establecido enLnlace 1roncal. Ll puerto
se encuentra en modo de enlace troncal. La siguiente area resaltada eriica que la VLAN natia sea la VLAN 99, la VLAN
de administracin. Ln la parte inerior del resultado, la ltima area resaltada muestra que las VLAN del enlace troncal
habilitadas son las VLAN 10, 20 y 30.

Administracin de una configuracin de enlace troncal
Ln la igura, se muestran los comandos para reestablecer las VLAN admitidas y la VLAN natia del enlace troncal al estado
predeterminado. 1ambin se muestra el comando para reestablecer el puerto de switch a un puerto de acceso y, en eecto,
eliminar el puerto de enlace troncal.

laga clic en el botn Restablecer Ljemplo en la igura.

Ln la igura, los comandos utilizados para reestablecer todas las caractersticas de enlace troncal de una interaz de enlace
troncal a las coniguraciones predeterminadas, estan resaltados en el resultado de muestra. Ll comando show interaces 0,1
switchport reela que el enlace troncal se ha reconigurado a un estado predeterminado.

laga clic en el botn Lliminar Ljemplo en la igura.

Ll resultado de la igura muestra los comandos utilizados para eliminar la caracterstica de enlace troncal del puerto de
switch l0,1 en el switch S1. Ll comando show interaces 0,1 switchport reela que la interaz l0,1 esta ahora en modo de
acceso estatico.

3.4 RESOLUCION DE PROBLEMAS DE LAS VLAN Y LOS ENLACES TRONCALES
3.4.1 PROBLEMAS COMUNES CON ENLACES TRONCALES.-
Problemas comunes con enlaces troncales
Ln este tema, el usuario aprende sobre los problemas comunes de la VLAN y el enlace troncal, que suelen asociarse a
coniguraciones incorrectas. Cuando conigura la VLAN y los enlaces troncales en una inraestructura conmutada, estos
tipos de errores de coniguracin son los mas comunes,en el siguiente orden:

Faltas de concordancia de la VLAN nativa: los puertos se coniguran con dierentes VLAN natias, por
ejemplo si un puerto ha deinido la VLAN 99 como VLAN natia y el otro puerto de enlace troncal ha deinido la
VLAN 100 como VLAN natia. Lstos errores de coniguracin generan notiicaciones de consola, hacen que el
traico de administracin y control se dirija errneamente y, como ya ha aprendido, representan un riesgo para la
seguridad.
Faltas de concordancia del modo de enlace troncal: un puerto de enlace troncal se conigura con el modo de
enlace troncal "inactio" y el otro con el modo de enlace troncal "actio". Lstos errores de coniguracin hacen
que el nculo de enlace troncal deje de uncionar.
VLAN admitidas en enlaces troncales: la lista de VLAN admitidas en un enlace troncal no se ha actualizado
con los requerimientos de enlace troncal actuales de VLAN. Ln este caso, se ena traico inesperado o ningn
traico al enlace troncal.

Si ha descubierto un problema con una VLAN o con un enlace troncal y no sabe cual es, comience la resolucin de
problemas examinando los enlaces troncales para er si existe una alta de concordancia de la VLAN natia y luego aya
siguiendo los pasos de la lista. Ll resto de este tema examina cmo reparar los problemas comunes con enlaces troncales. Ll
prximo tema presenta cmo identiicar y resoler la coniguracin incorrecta de la VLAN y las subredes IP.

Faltas de concordancia de la VLAN nativa
Ll usuario es un administrador de red y recibe un llamado que dice que la persona que utiliza la computadora PC4 no se
puede conectar al seridor \eb interno, seridor \LB,1l1P de la igura. Sabe que un tcnico nueo ha conigurado
recientemente el switch S3. Ll diagrama de topologa parece correcto, entonces ,por qu hay un problema Ll usuario
decide eriicar la coniguracin en S3.

laga clic en el botn Coniguracin en la igura.

1an pronto como se conecta al switch S3, el mensaje de error que aparece en el area superior resaltada en la igura aparece
en la entana de la consola. Obsera la interaz con el comando show interaces 0,3 switchport. Nota que la VLAN natia,
la segunda area resaltada en la igura, se ha establecido como VLAN 100 y se encuentra inactia. Sigue leyendo los
resultados y obsera que las VLAN permitidas son 10 y 99, como aparece en el area inerior resaltada.

laga clic en el botn Solucin en la igura.

Debe reconigurar la VLAN natia en el puerto de enlace troncal last Lthernet l0,3 para que sea VLAN 99. Ln la igura, el
area superior resaltada muestra el comando para conigurar la VLAN natia en VLAN 99. Las dos areas resaltadas siguientes
conirman que el puerto de enlace troncal last Lthernet l0,3 ha reestablecido la VLAN natia a VLAN 99.

Los resultados que aparecen en la pantalla para la computadora PC4 muestran que la conectiidad se ha reestablecido para el
seridor \LB,1l1P que se encuentra en la direccin IP 12.1.10.30.

Faltas de concordancia del modo de enlace troncal
Ln este curso ha aprendido que los nculos de enlace troncal se coniguran estaticamente con el comando switchport mode
trunk. la aprendido que los puertos de enlace troncal utilizan publicaciones de D1P para negociar el estado del nculo con
el puerto remoto. Cuando un puerto en un nculo de enlace troncal se conigura con un modo de enlace troncal que no es
compatible con el otro puerto de enlace troncal, no se puede ormar un nculo de enlace troncal entre los dos switches.

Ln este caso, surge el mismo problema: la persona que utiliza la computadora PC4 no puede conectarse al seridor \eb
interno. Una ez mas, el diagrama de topologa se ha mantenido y muestra una coniguracin correcta. ,Por qu hay un
problema


Lo primero que hace es eriicar el estado de los puertos de enlace troncal en el switch S1 con el comando show interaces
trunk. Ll comando reela en la igura que no hay enlace troncal en la interaz l0,3 del switch S1. Lxamina la interaz l0,3
para darse cuenta de que el puerto de switch esta en modo dinamico automatico, la primera area resaltada en la parte
superior de la igura. Un examen de los enlaces troncales en el switch S3 reela que no hay puertos de enlace troncal actios.
Mas controles reelan que la interaz l0,3 tambin se encuentra en modo dinamico automatico, la primera area resaltada en
la parte inerior de la igura. Ahora ya sabe por qu el enlace troncal esta deshabilitado.


Debe reconigurar el modo de enlace troncal de los puertos last Lthernet l0,3 en los switches S1 y S3. Ln la parte superior
izquierda de la igura, el area resaltada muestra que el puerto se encuentra ahora en modo de enlazamiento troncal. La salida
superior derecha del switch S3 muestra el comando utilizado para reconigurar el puerto y los resultados del comando show
interaces trunk y reela que la interaz l0,3 ha sido reconigurada como modo de enlace troncal. Ll resultado de la

computadora PC4 indica que la PC4 ha recuperado la conectiidad al seridor \LB,1l1P que se encuentra en la direccin
IP 12.1.10.30.

Lista de VLAN incorrecta
la aprendido que para que el traico de una VLAN se transmita por un enlace troncal, debe haber acceso admitido en el
enlace troncal. Ll comando utilizado para lograr esto es el comando switchport access trunk allowed lan add lan-id. Ln la
igura, se han agregado la VLAN 20 ,Lstudiante, y la computadora PC5 a la red. La documentacin se ha actualizado para
mostrar que las VLAN admitidas en el enlace troncal son las 10, 20 y 99.

Ln este caso, la persona que utiliza la computadora PC5 no puede conectarse al seridor de correo electrnico del
estudiante, que se muestra en la igura.


Controle los puertos de enlace troncal en el switch S1 con el comando show interaces trunk. Ll comando reela que la
interaz l0,3 en el switch S3 esta correctamente conigurada para admitir las VLAN 10, 20 y 99. Un examen de la interaz
l0,3 en el switch S1 reela que las interaces l0,1 y l0,3 slo admiten VLAN 10 y 99. Parece que alguien actualiz la
documentacin pero olid reconigurar los puertos en el switch S1.


Debe reconigurar los puertos l0,1 y l0,3 en el switch S1 con el comando switchport trunk allowed lan 10,20,99. Los
resultados que aparecen en la parte superior de la pantalla en la igura, muestran que las VLAN 10, 20 y 99 se agregan ahora
a los puertos l0,1 y l0,3 en el switch S1. Ll comando show interaces trunk es una excelente herramienta para reelar
problemas comunes de enlace troncal. La parte inerior de la igura indica que la PC5 ha recuperado la conectiidad con el
seridor de correo electrnico del estudiante que se encuentra en la direccin IP 12.1.20.10.

3.4.2 UN PROBLEMA COMN CON CONFIGURACIONES DE VLAN.-
VLAN y subredes IP
Como ha aprendido, cada VLAN debe corresponder a una subred IP nica. Si dos dispositios en la misma VLAN tienen
direcciones de subred dierentes, no se pueden comunicar. Lste tipo de coniguracin incorrecta es un problema comn y
de acil resolucin al identiicar el dispositio en controersia y cambiar la direccin de subred por una direccin correcta.

Ln este caso, la persona que utiliza la computadora PC1 no puede conectarse al seridor \eb del estudiante, que se muestra
en la igura.


Ln la igura, una eriicacin de los ajustes de coniguracin IP de la PC1 reela que el error mas comn al conigurar las
VLAN es: una direccin IP conigurada incorrectamente. La computadora PC1 esta conigurada con una direccin IP de
12.12.10.21, pero debera haber estado conigurada con la direccin 12.1.10.21.


La captura de pantalla del cuadro de dialogo de la coniguracin de last Lthernet de la PC1 muestra la direccin IP
actualizada de 12.1.10.21. La captura de la parte inerior de la pantalla indica que la PC1 ha recuperado la conectiidad al
seridor \LB,1l1P que se encuentra en la direccin IP 12.1.10.30.

CAPITULO IV VTP

4.0 INTRODUCCIN.-
4.0.1 INTRODUCCIN.-
A medida que crece el tamano de la red de empresas pequenas y medianas, tambin crece la administracin inolucrada en
mantener la red. Ln el captulo anterior aprendi cmo crear y manejar las VLAN y los enlaces troncales usando los
comandos del IOS de Cisco. Ll tema era manejar la inormacin de la VLAN en un solo switch. Pero ,qu pasa si tiene
muchos switches para administrar ,Cmo administrara la base de datos de la VLAN a tras de muchos switches Ln este
captulo, explorara cmo utilizar el protocolo de enlace troncal de la VLAN ,V1P, de los switches Cisco Catalyst para
simpliicar la administracin de la base de datos de la VLAN a tras de switches mltiples.

4.1 CONCEPTOS DE VTP.-
4.1.1 QU ES UN VTP?.-
El desafo de administrar la VLAN

A medida que aumenta el nmero de switches en una red de empresas pequenas o medianas, la administracin general
requerida para administrar las VLAN y los enlaces troncales en una red se uele un desao.

Haga clic para reproducir la visualizacin de una animacin sobre el desafo de administrar la VLAN.

Administracin de una VLAN de red pequea

Ln la animacin, la igura muestra una administracin de red que agrega una nuea VLAN, VLAN30. Ll administrador de
red necesita actualizar tres enlaces troncales que permitan a las VLAN 10, 20, 30 y 99. Debe recordar que un error comn es
olidarse de actualizar la lista permitida de las VLAN en los enlaces troncales.

Haga clic en el botn Red grande que se muestra en la figura.

Administracin de VLAN en la Red grande

Si considera la red mas grande en la igura, se hace eidente el desao de administrar la VLAN. Despus de haber
actualizado manualmente esta red unas pocas eces, puede desear conocer si existe una orma para que los switches sepan
cuales son las VLAN y los enlaces troncales, de modo que no tenga que conigurarlos manualmente. Lsta listo para
aprender sobre el protocolo de enlace troncal de la VLAN ,V1P,.

Qu es el VTP?

Ll V1P permite a un administrador de red conigurar un switch de modo que propagara las coniguraciones de la VLAN
hacia los otros switches en la red. Ll switch se puede conigurar en la uncin de seridor del V1P o de cliente del V1P. Ll
V1P slo aprende sobre las VLAN de rango normal ,ID de VLAN 1 a 1005,. Las VLAN de rango extendido ,ID mayor a
1005, no son admitidas por el V1P.

Ln la igura, haga clic en Reproducir para er una animacin general sobre cmo unciona el V1P.

Descripcin general del VTP

Ll V1P permite al administrador de red realizar cambios en un switch que esta conigurado como seridor del V1P.
Basicamente, el seridor del V1P distribuye y sincroniza la inormacin de la VLAN a los switches habilitados por el V1P a
tras de la red conmutada, lo que minimiza los problemas causados por las coniguraciones incorrectas y las inconsistencias
en las coniguraciones. Ll V1P guarda las coniguraciones de la VLAN en la base de datos de la VLAN denominada
lan.dat.

laga clic en el botn Dos switches que se muestra en la igura.

Dos switches

Ln la igura haga clic en Reproducir para er una animacin sobre la interaccin basica del V1P entre un seridor del V1P y
un cliente del V1P.

Ln la igura, se agrega un enlace troncal entre switch S1, un seridor del V1P y S2, un cliente del V1P. Despus de
establecer un enlace troncal entre los dos switches, las publicaciones del V1P se intercambian entre los switches. 1anto el
seridor como el cliente intercambian las publicaciones entre ellos para asegurarse de que cada uno tieneun registro preciso
de la inormacin de la VLAN. Las publicaciones del V1P no se intercambiaran si el enlace troncal entre los switches esta
inactio. Ln el resto de este captulo se explican los detalles de cmo unciona el V1P.

Beneficios del VTP

\a aprendi que el V1P mantiene la consistencia de coniguracin de la VLAN mediante la administracin del agregado, la
eliminacin y la redenominacin de las VLAN a tras de los switches mltiples de Cisco en una red. Ll V1P orece un
nmero de beneicios para los administradores de red, segn se muestra en la igura.

Componentes del VTP

Lxiste un nmero de componentes clae con los que necesita amiliarizarse al aprender sobre el V1P. Aqu se muestra una
bree descripcin de los componentes, que se explicaran mas adelante a medida que se aance en el captulo.

Dominio del VTP: Consiste de uno o mas switches interconectados. 1odos los switches en un dominio
comparten los detalles de coniguracin de la VLAN usando las publicaciones del V1P. Un router o switch de
Capa 3 deine el lmite de cada dominio.
Publicaciones del VTP: Ll V1P usa una jerarqua de publicaciones para distribuir y sincronizar las
coniguraciones de la VLAN a tras de la red.
Modos del V1P: Un switch se puede conigurar en uno de tres modos: seridor, cliente o transparente.

Servidor del VTP: los seridores del V1P publican la inormacin VLAN del dominio del V1P a otros switches
habilitados por el V1P en el mismo dominio del V1P. Los seridores del V1P guardan la inormacin de la
VLAN para el dominio completo en la NVRAM. Ll seridor es donde las VLAN se pueden crear, eliminar o
redenominar para el dominio.
Cliente del VTP: los clientes del V1P uncionan de la misma manera que los seridores del V1P pero no pueden
crear, cambiar o eliminar las VLAN en un cliente del V1P. Un cliente del V1P slo guarda la inormacin de la
VLAN para el dominio completo mientras el switch esta actiado. Un reinicio del switch borra la inormacin de la
VLAN. Debe conigurar el modo de cliente del V1P en un switch.
VTP transparente: los switches transparentes enan publicaciones del V1P a los clientes del V1P y seridores
del V1P. Los switches transparentes no participan en el V1P. Las VLAN que se crean, redenominan o se eliminan
en los switches transparentes son locales para ese switch solamente.
Depuracin del VTP: La depuracin del V1P aumenta el ancho de banda disponible para la red mediante la
restriccin del traico saturado a esos enlaces troncales que el traico debe utilizar para alcanzar los dispositios de
destino. Sin la depuracin del V1P, un switch satura el broadcast, el multicast y el traico desconocido de unicast a
tras de los enlaces troncales dentro de un dominio del V1P aunque los switches receptores podran descartarlos.

Ln la igura, pase el mouse sobre los componentes clae del V1P para er dnde se encuentran en la red.

4.2 OPERACIN DEL VTP.-
4.2.1 CONFIGURACION PRETERMINADA DEL VTP.-
Ln CCNA Lxploration: Aspectos basicos de red, aprendi que un switch Cisco sale deabrica con coniguraciones por
deecto. La igura muestra las coniguraciones predeterminadas del V1P. Ll beneicio del V1P es que automaticamente
distribuye y sincroniza las coniguraciones de dominio y VLAN a tras de la red. Sin embargo, este beneicio iene con un
costo: slo se pueden agregar switches que estan en la coniguracin predeterminada del V1P. Si se agrega un switch
permitido por el V1P cuya coniguracin sustituye a las mismas del V1P de la red existente, los cambios que son diciles de
solucionar se propagan automaticamente a tras de la red. Lntonces asegrese de agregar slo switches que estan en la
coniguracin predeterminada del V1P Luego, en este captulo, aprendera cmo agregar switches a una red del V1P.

Versiones del VTP

Ll V1P tiene tres ersiones: 1, 2 y 3. Slo se permite una ersin del V1P en un dominio del V1P. La ersin
predeterminada es la Versin 1 del V1P. Un switch Cisco 2960 admite la ersin 2 del V1P pero esta deshabilitada. Un
debate de las ersiones del V1P esta mas alla del ambito de este curso.

laga clic en el botn Resultado del switch que se muestra en la igura para er las coniguraciones predeterminadas del V1P
en el switch S1.

Visualizacin del estado del VTP
La igura muestra cmo er las coniguraciones del V1P para un switch Cisco 2960, S1. Ll comando del IOS de Cisco show
V1P status isualiza el estado del V1P. La salida muestra que el switch S1 esta en modo del seridor del V1P
predeterminado y que no existe nombre de dominio del V1P asignado. La salida tambin muestra que la ersin maxima del
V1P disponible para el switch es la ersin 2 y que la ersin 2 del V1P esta deshabilitada. Utilizara el comando show V1P
status recuentemente a medida que conigure y administre el V1P en una red. A continuacin, se describen breemente los
parametros de show V1P status:
Versin del VTP: muestra la ersin del V1P que el switch puede ejecutar. De manera predeterminada, el switch
implementa la ersin 1, pero puede conigurarse para la ersin 2.
Reisin de la coniguracin: el nmero de la reisin de la coniguracin actual esta en el switch. Mas adelante, en
este captulo, aprendera mas acerca de los nmeros de reisiones.
VLAN mximas admitidas localmente: Nmero maximo de VLAN admitidas localmente.
Nmero de VLAN existentes: Nmero de VLAN existentes.
Modo operativo del VTP: puede ser seridor, cliente o transparente.
Nombre de dominio del VTP: nombre que identiica el dominio administratio para el switch.
Modo de depuracin del VTP: muestra si la depuracin esta habilitada o deshabilitada.
Modo de la V2 del VTP: muestra si la ersin 2 del V1P esta habilitada. La ersin 2 del V1P esta deshabilitada
de manera predeterminada.
Generacin de Traps del VTP: muestra si las traps del V1P se enan hacia la estacin de administracin de red.
MD5 Digest: una checksum de 16 bytes de la coniguracin del V1P.
ltima configuracin modificada: echa y hora de la ltima modiicacin de coniguracin. Muestra la direccin
IP del switch que caus el cambio de coniguracin a la base de datos.

4.2.2 DOMINIOS DEL VTP.-
Dominios del VTP

Ll V1P le permite separar su red en dominios de administracin mas pequenos para ayudarlo a reducir la administracin de
la VLAN. Un beneicio adicional de conigurar los dominios del V1P es que limita hasta qu punto se propagan los cambios
de coniguracin en la red si se produce un error. La igura muestra una red con dos dominios de V1P: Cisco2 y Cisco3. Ln
este captulo, se coniguraran los tres switches: S1, S2 y S3 para el V1P.

Un dominio del V1P consiste en un switch o arios switches interconectados que comparten el mismo nombre de dominio
del V1P. Mas adelante en este captulo aprendera cmo los switches habilitados por el V1P adquieren un nombre comn de
dominio. Un switch puede ser parte de slo un dominio del V1P a la ez. lasta tanto especiique el nombre de dominio del
V1P, no puede crear ni modiicar las VLAN en un seridor del V1P, y la inormacin de la VLAN no se propaga a tras
de la red.

laga clic en el botn Resultado del switch que se muestra en la igura para er la salida del switch S4.

Propagacin del nombre de dominio del VTP

Para que un switch de cliente o seridor del V1P participe en una red habilitada por el V1P, debe ser parte del mismo
dominio. Cuando los switches estan en dierentes dominios de V1P no intercambian los mensajes del V1P. Un seridor del
V1P propaga el nombre de dominio del V1P a todos los switches. La propagacin del nombre de dominio usa tres
componentes del V1P: seridores, clientes y publicaciones.

Ln la igura, haga clic en Reproducir para er cmo un seridor del V1P propaga el nombre de dominio del V1P en una
red.

La red en la igura muestra tres switches: S1, S2 y S3 en su coniguracin predeterminada del V1P. Se coniguran como
seridores del V1P. Los nombres de dominio del V1P no han sido conigurados en ninguno de los switches.

Ll administrador de la red conigura el nombre de dominio del V1P como cisco1 en el switch S1 del seridor del V1P. Ll
seridor del V1P ena una publicacin de V1P con el nueo nombre de dominio incluido. Los switches del seridor del
V1P de S2 y S3 actualizan su coniguracin del V1P al nueo nombre de dominio.

Nota: Cisco recomienda que el acceso a las unciones de coniguracin del nombre de dominio sea protegido por una
contrasena. Los detalles de la coniguracin de la contrasena se presentaran mas adelante en el curso.

,Cmo se ubica el nombre de dominio en una publicacin del V1P ,Qu inormacin se intercambia entre los switches
habilitados por el V1P Ln el prximo punto, aprendera sobre los detalles de las publicaciones del V1P y encontrara
respuestas a estas preguntas.

4.2.3 PUBLICACIN DEL VTP.-
Estructura de trama del VTP

Las publicaciones ,o mensajes, del V1P distribuyen nombre de dominio del V1P y cambios en la coniguracin de la
VLAN a los switches habilitados por el V1P. Ln este punto, aprendera sobre la estructura de la trama del V1P y cmo los
tres tipos de publicaciones permiten al V1P distribuir y sincronizar las coniguraciones de VLAN a tras de toda la red.

laga clic en el botn Descripcin general en la igura y, luego haga clic en Reproducir para er una animacin sobre la
estructura de una trama del V1P.

Encapsulacin de la trama del VTP

Una trama del V1P consiste en un campo de encabezado y un campo de mensaje. La inormacin del V1P se inserta en el
campo de datos de una trama de Lthernet. La trama de Lthernet luego se encapsula como una trama troncal de 802.1Q ,o
trama ISL,. Cada switch en el dominio ena publicaciones peridicas de cada puerto de enlace troncal a una direccin
multicast reserada. Los switches ecinos reciben estas publicaciones que actualizan las coniguraciones de sus V1P y
VLAN si es necesario.

laga clic en el botn Detalles de trama del V1P que se muestra en la igura.

Detalles de trama del VTP

Ln la igura, se puede er la estructura de la trama del V1P en mas detalle. 1enga presente que una trama del V1P
encapsulada como una trama 802.1Q no es estatica. Ll contenido del mensaje del V1P determina qu campos estan
presentes. Ll switch receptor habilitado por el V1P busca campos y alores especicos en la trama 802.1Q para saber qu
procesar. Los siguientes campos clae estan presentes cuando una trama del V1P esta encapsulada como una trama 802.1Q:

Direccin MAC destino: esta direccin se conigura a 01-00-0C-CC-CC-CC, que es la direccin multicast reserada para
todos los mensajes del V1P.

Campo LLC: campo de Control de enlace lgico ,LLC, contiene un punto de acceso al sericio destino ,DSAP, y un punto
de acceso al sericio de origen ,SSAP, establecidos al alor de AA.

Campo SNAP: campo del Protocolo de acceso a la subred ,SNAP, tiene un OUI establecido a AAAA y tipo establecido a
2003.

Campo del encabezado del VTP: el contenido ara segn el tipo de resumen del mensaje del V1P, subconjunto o
solicitud pero siempre contiene estos campos del V1P:

Nombre de dominio: identiica el dominio administratio para el switch.
Longitud de nombre de dominio: la longitud del nombre de dominio.
Versin establecida ya sea para V1P 1, V1P 2 o V1P 3. Ll switch Cisco 2960 slo admite a V1P 1 y V1P 2.
Nmero de reisin de coniguracin: el nmero de reisin de coniguracin actual en este switch.

Campo de mensaje del VTP: ara segn el tipo de mensaje.

laga clic en el botn Contenido del mensaje del V1P que se muestra en la igura.

Contenido del mensaje del VTP

Las tramas del V1P contienen la siguiente inormacin de dominio global de longitud ija:

Nombre de dominio del V1P
Identidad del switch que ena el mensaje y la hora en que es eniado
Coniguracin de VLAN del MD5 digest, incluido el tamano de la unidad maxima de transmisin ,M1U, para cada
VLAN
lormato de trama: ISL o 802.1Q

Las tramas del V1P contienen la siguiente inormacin para cada VLAN conigurada:

ID de VLAN ,ILLL 802.1Q,
Nombre de VLAN
1ipo de VLAN
Lstado de la VLAN
Inormacin adicional de la coniguracin especica de la VLAN al tipo de VLAN

Nota: Una trama de V1P esta encapsulada en una trama de Lthernet 802.1Q. La trama de Lthernet completa de 802.1Q es
la publicacin del V1P llamado con recuencia mensaje del V1P. Los trminos trama, publicacin y mensaje se suelen
utilizar de modo intercambiable.

Nmero de revisin del VTP

Ll nmero de reisin de la coniguracin es un nmero de 32 bits que incluye el niel de reisin para una trama del V1P.
Ll nmero de coniguracin predeterminado para un switch es cero. Cada ez que se agrega o elimina una VLAN, se
aumenta el nmero de reisin de la coniguracin. Cada dispositio de V1P rastrea el nmero de reisin de coniguracin
del V1P que se le asigna.

Nota: Un cambio de nombre de dominio del V1P no aumenta el nmero de reisin. Ln su lugar, reestablece el nmero de
reisin a cero.

Ll nmero de reisin de la coniguracin determina si la inormacin de coniguracin recibida del otro switch habilitado
por el V1P es mas reciente que la ersin guardada en el switch. La igura muestra un administrador de red que agrega tres
VLAN al switch S1.

laga clic en el botn Resultado de switch que se muestra en la igura para er cmo se ha cambiado el nmero de reisin.
Ll area resaltada muestra que el nmero de reisin en el switch S1 es 3, el nmero de VLAN es hasta ocho porque se han
agregado tres VLAN a las cinco VLAN predeterminadas.

Ll nmero de reisin juega un rol importante y complejo al habilitar la V1P a distribuir y sincronizar el dominio del V1P y
la inormacin de coniguracin de la VLAN. Para comprender qu hace el nmero de reisin, primero necesita aprender
los tres tipos de publicaciones del V1P y los tres modos del V1P.

Publicaciones del VTP

Publicaciones de resumen

La publicacin del resumen contiene el nombre de dominio del V1P, el nmero actual de reisin y otros detalles de la
coniguracin del V1P.

Se enan publicaciones de resumen:

Cada 5 minutos, por el seridor o cliente del V1P para inormar a los switches ecinos habilitados por el V1P del
nmero de reisin actual de la coniguracin del V1P para su dominio del V1P.
Inmediatamente despus de haber establecido una coniguracin

laga clic en el botn Resumen y luego en el botn Reproducir que se muestran en la igura para er una animacin sobre
las publicaciones del V1P del resumen.

Publicaciones de subconjunto

Una publicacin de subconjunto contiene inormacin de la VLAN. Los cambios que disparan una publicacin de
subconjunto incluyen:

Creacin o eliminacin de una VLAN
Suspensin o actiacin de una VLAN
Cambio de nombre de una VLAN
Cambio de M1U de una VLAN

Puede tomar publicaciones de subconjuntos mltiples para actualizar completamente la inormacin de la VLAN.

laga clic en el botn Subconjunto y luego en el botn Reproducir que se muestran en la igura para er una animacin
sobre las publicaciones del V1P de subconjuntos.

Publicaciones de solicitud

Cuando una publicacin de solicitud se ena al seridor del V1P en el mismo dominio del V1P, el seridor del V1P
responde eniando una publicacin del resumen y luego una publicacin de subconjunto. Las publicaciones de solicitud se
enan si:

Ll nombre de dominio del V1P se ha cambiado.
Ll switch recibe una publicacin de resumen con un nmero de reisin de coniguracin mas alto que el suyo.
Un mensaje de publicacin de subconjunto se pierde por alguna razn
Ll switch se ha reconigurado

laga clic en el botn Peticin y, luego, en el botn Reproducir que se muestran en la igura para er una animacin sobre
las publicaciones del V1P de solicitud.

Detalles de publicaciones del VTP

Ll V1P utiliza publicaciones para distribuir y sincronizar inormacin sobre los dominios y coniguraciones de VLAN.
Lxisten tres publicaciones principales del V1P.

Cada tipo de publicacin del V1P ena inormacin sobre arios parametros utilizados por el V1P. Se presenta una
descripcin de los campos en cada una de las publicaciones del V1P.

laga clic en el botn Detalles del resumen que se muestra en la igura.

Publicaciones de resumen

Las publicaciones del resumen comprenden la mayora del traico de publicaciones del V1P. Pase el mouse sobre los
campos en la publicacin del resumen para er las descripciones.

Pase el mouse sobre los campos en la publicacin del resumen para er las descripciones.

laga clic en el botn Detalles de subconjunto que se muestra en la igura.

Publicaciones de subconjunto

Los campos encontrados en una publicacin de subconjunto se describen breemente. No se describen los campos en la
inormacin de VLAN.

Pase el mouse sobre los campos en la publicacin de subconjunto para er las descripciones.

laga clic en el botn Detalles de peticin que se muestra en la igura.

Publicaciones de solicitud

Los campos encontrados en una publicacin de solicitud se describen breemente.

Pase el mouse sobre los campos en la publicacin de solicitud para er las descripciones.

4.2.4 MODOS DEL VTP.-
Visin general de modos del VTP

Un switch Cisco, conigurado con el sotware IOS de Cisco, se puede conigurar ya sea en modo seridor, cliente o
transparente. Lstos modos diieren en cmo se utilizan para administrar y publicar los dominios del V1P y VLAN.

Modo servidor

Ln modo seridor, se pueden crear, modiicar y eliminar las VLAN para el dominio completo del V1P. Ll modo seridor
del V1P es el modo predeterminado del switch Cisco. Los seridores del V1P publican sus coniguraciones de VLAN a
otros switches en el mismo dominio del V1P y sincronizan sus coniguraciones de VLAN con otros switches basados en las
publicaciones recibidas sobre los enlaces troncales. Los seridores del V1P mantienen la pista de actualizaciones por medio
del nmero de reisin de coniguracin. Otros switches en el mismo dominio del V1P comparan su nmero de reisin de
coniguracin con el nmero de reisin recibido desde un seridor del V1P para er si necesitan sincronizar su base de
datos de VLAN.

Modo cliente

Si un switch esta en modo cliente, no se pueden crear, cambiar o eliminar las VLAN. Ademas, la inormacin de
coniguracin de la VLAN que el switch del cliente del V1P recibe del switch del seridor del V1P se almacena en una base
de datos de la VLAN, no en NVRAM. Consecuentemente, los clientes del V1P requieren menos memoria que los
seridores del V1P. Cuando un cliente del V1P se desactia y reinicia, ena una publicacin de solicitud a un seridor del
V1P para actualizar la inormacin de coniguracin de la VLAN.

Los switches conigurados como clientes del V1P se encuentran mas generalmente en redes grandes, porque en una red que
consiste de muchos cientos de switches es mas dicil coordinar las actualizaciones de la red. A menudo existen muchos
administradores de red que trabajan a dierentes horas del da. Si se dispone de slo unos pocos switches que pueden
sicamente mantener las coniguraciones de la VLAN, es mas acil controlar las actualizaciones de la VLAN y rastrear qu
administradores de red las realizaron.

Para redes grandes, tener switches cliente es tambin mucho mas eicaz. De manera predeterminada, todos los switches
estan conigurados para que sean seridores de V1P. Lsta coniguracin es adecuada para redes de pequena escala en las
que el tamano de la inormacin de la VLAN es pequeno y la inormacin se almacena mas acilmente en la NVRAM de los
switches. Ln redes grandes de muchos cientos de switches, el administrador de red debe decidir si el costo de los switches
que compra con suiciente NVRAM para almacenar la inormacin de la VLAN duplicada es demasiado. Un administrador
de red consciente del costo podra elegir conigurar unos pocos switches bien equipados como seridores de V1P y luego
utilizar esos switches con menos memoria como clientes de V1P. Aunque un debate sobre la redundancia de la red esta mas
alla del ambito de este curso, sepa que el nmero de seridores de V1P se podra elegir para proeer el grado de
redundancia que se desea en la red.

Modo transparente

Los switches conigurados en modo transparente enan publicaciones de V1P que reciben en sus puertos troncales hacia
otros switches en la red. Los switches en modo transparente del V1P no publican su coniguracin de VLAN y no
sincronizan su coniguracin de VLAN con ningn otro switch. Conigure un switch en modo transparente cuando tiene las
coniguraciones de la VLAN que tienen importancia local y no deben compartirse con el resto de la red.

Ln modo transparente, las coniguraciones de VLAN se guardan en la NVRAM ,pero no se publican a otros switches,. De
esta manera, la coniguracin esta disponible despus de la recarga de un switch. Lsto signiica que cuando se reinicia un
switch en modo transparente del V1P, no uele a modo seridor del V1P de manera predeterminada, pero permanece en
modo transparente del V1P.

VTP en accin

Vera ahora cmo las diersas caractersticas del V1P se unen para distribuir y sincronizar el dominio y las coniguraciones
de VLAN en una red habilitada por el V1P. La animacin comienza con tres switches nueos: S1, S2 y S3 conigurados de
abrica de manera predeterminada y inaliza con los tres switches conigurados y participandoen una red habilitada por el
V1P.

Puede pausar y rebobinar la animacin para relexionar y reisar este proceso.

la isto cmo unciona el V1P con tres switches. Lsta animacin examina en mas detalle cmo un switch conigurado en
modo transparente de V1P admite la uncionalidad del V1P.

laga clic en el botn Reproducir que se muestra en la igura.

Puede pausar y rebobinar la animacin para relexionar y reisar este proceso.

4.2.5 DEPURACION DEL VTP.-
La depuracin del V1P eita looding innecesaria de inormacin de broadcast desde una VLAN a tras de todos los
enlaces troncales en un dominio de V1P. La depuracin del V1P permite que los switches negocien qu VLAN estan
asignadas a puertos en otros extremos de un enlace troncal y, consiguientemente, depuren aquellas que no estan asignadas a
puertos en el switch remoto. La depuracin se deshabilita de manera predeterminada. La depuracin del V1P se habilita
utilizando tp pruning ,comando de coniguracin local,. Necesita habilitar la depuracin en slo un switch del seridor de
V1P en el dominio. Ln la igura habilitara la depuracin del V1P en el switch S1. La igura muestra una red con VLAN 10
y VLAN 20 coniguradas. Ll switch S3 tiene la VLAN 20 conigurada y el switch S2 tiene la VLAN 10 y VLAN 20
coniguradas. Lxamine la topologa en la igura y, luego, haga clic para er las coniguraciones del switch.

Depuracin del VTP en accin

Recuerde que una VLAN crea un dominio de broadcast aislado. Un switch satura el traico de broadcast, multicast y unicast
desconocido a tras de los enlaces troncales dentro de un dominio V1P. Cuando una computadora o un dispositio ena
un broadcast por una VLAN, por ejemplo la VLAN 10 en la igura, el traico de broadcast recorre todos los enlaces
troncales a tras de la red hacia todos los puertos en todos los switches en la VLAN 10. Ln la igura todos los switches S1,
S2 y S3 reciben tramas de broadcast desde la PC1. Ll traico de broadcast desde la PC1 consume el ancho de banda en el
enlace troncal entre S1 y S3 y consume el tiempo del procesador en S1 y S2. Ll enlace entre los switches S1 y S3 no llea
traico de la VLAN 10, por lo tanto, es un candidato para la depuracin del V1P.

laga clic en el botn Reproducir que se muestra en la igura para er cmo se maneja el traico de saturacin de la VLAN
en una red sin depuracin del V1P.

Depuracin del VTP

laga clic en el botn de Depuracin del V1P y, luego, en Reproducir para er la animacin sobre cmo se maneja el traico
de saturacin de la VLAN en una red con depuracin del V1P.

Ll traico de saturacin es detenido al ingresar a la red troncal que conecta los switches S1 y S2. La depuracin del V1P slo
depura el puerto de egreso l0,1 en el switch S2.

Depuracin del VTP habilitada

La igura muestra una topologa de la red que tiene switches S1, S2 y S3 conigurados con depuracin de V1P. Cuando se
habilita la depuracin del V1P en una red, sta reconigura los enlaces troncales basados en qu puertos estan conigurados
con cuales VLAN.

laga clic en el botn Switch S1 que se muestra en la igura.

Ll area resaltada muestra que el enlace troncal en el puerto l0,1 permite el traico de VLAN 10. La depuracin del V1P
slo depura el puerto de egreso.

laga clic en el botn Switch S2 que se muestra en la igura.

Ll area resaltada muestra que el enlace troncal en el puerto l0,1 no permite el traico de VLAN 10. VLAN 10 no esta en la
lista. Para mas detalles sobre depuracin del V1P, isite:
http:,,www.cisco.com,en,US,products,ps6406,products_coniguration_guide_chapter09186a008081d9ac.html4wp1035
139.

4.3 CONFIGURAR EL VTP.-
4.3.1 CONFIGURACION DEL VTP.-
Gua de Configuracin del VTP

Ahora que esta amiliarizado con la uncionalidad del V1P, esta listo para aprender a conigurar un switch de Cisco Catalyst
que usa V1P. La topologa muestra la topologa de reerencia para este captulo. Ll V1P sera conigurado sobre esta
topologa.

laga clic en el botn 1abla que se muestra en la igura.

Switches del servidor del VTP

Siga estos pasos y guas asociadas para asegurarse de que conigura el V1P con xito:

Conirme que todos los switches que a a conigurar hayan sido preiamente conigurados de manera
predeterminada.
Siempre reconigure el nmero de reisin de coniguracin antes de instalar un switch preiamente conigurado
en un dominio del V1P. No reconigurar el nmero de reisin de coniguracin permite la potencial
discontinuidad en la coniguracin de la VLAN, a tras del resto de los switches en el dominio del V1P.
Conigure al menos dos switches del seridor del V1P en su red. Como slo los switches del seridor pueden
crear, eliminar y modiicar las VLAN, debe asegurarse de tener un seridor del V1P de respaldo en caso de que el
seridor V1P principal se desactie. Si todos los switches en la red estan conigurados en modo cliente del V1P,
no puede crear nueas VLAN en la red.
Conigure un dominio de V1P en el seridor del V1P. La coniguracin del dominio del V1P en el primer switch
habilita al V1P para comenzar la publicacin de la inormacin de la VLAN. Otros switches conectados a tras
de enlaces troncales reciben la inormacin del dominio del V1P automaticamente a tras de las publicaciones del
V1P.
Si hay un dominio de V1P existente, asegrese de coincidir exactamente con el nombre. Los nombres de dominio
del V1P distinguen entre mayscula y minscula.
Si esta conigurando un contrasena para el V1P, asegrese de que sea la misma contrasena conigurada en todos
los switches en el dominio que necesitan poder intercambiar inormacin del V1P. Los switches sin contrasena o
con contrasena incorrecta rechazan las publicaciones del V1P.
Asegrese de que todos los switches estn conigurados para utilizar la misma ersin de protocolo del V1P. La
ersin 1 del V1P no es compatible con la ersin 2 del V1P. De manera predeterminada, los switches Cisco
Catalyst 2960 ejecutan la ersin 1 pero pueden ejecutar la ersin 2. Cuando la ersin del V1P se conigura a
ersin 2, todos los switches con ersin 2 en el dominio se autoconiguran para utilizar la ersin 2 a tras del
proceso de anuncio del V1P. Cualquier ersin 1: slo los switches no pueden participar en el dominio V1P
despus de ese punto.
Cree la VLAN despus de haber habilitado el V1P en el seridor del V1P. Se eliminan las VLAN creadas antes de
habilitar el V1P. Siempre asegrese de que los puertos troncales estn conigurados para interconectar switches en
el dominio del V1P. La inormacin del V1P slo se intercambia en los puertos troncales.

Switches del cliente de VTP

Como en el switch del seridor del V1P, conirme que las coniguraciones predeterminadas estn presentes.
Conigure el modo cliente del V1P. Recuerde que el switch no esta en modo cliente del V1P de manera
predeterminada. 1iene que conigurar este modo.
Conigure los enlaces troncales. Ll V1P unciona sobre los enlaces troncales.
Conecte al seridor del V1P. Cuando se conecta a un seridor del V1P u otro switch habilitado por el V1P, toma
un momento para que las diersas publicaciones ayan y uelan al seridor del V1P.
Veriique el estado del V1P Antes de comenzar a conigurar los puertos de acceso, conirme que el modo reisin
y nmero de VLAN hayan sido actualizados.
Conigure los puertos de acceso Cuando un switch es un modo cliente del V1P, no se pueden agregar VLAN
nueas. Solamente puede asignar puertos de acceso a las VLAN existentes.

Configuracin del VTP: Paso 1 - Configure el servidor del VTP

Los prximos tres temas mostraran cmo conigurar el seridor del V1P y dos clientes del V1P.Inicialmente ninguno de
los dispositios esta conectado.

La topologa resalta el switch S1. Conigurara este switch para que sea el seridor del V1P. Los comandos para conigurar
los puertos troncales se proeen en la interaz l0,1.

laga clic en el botn Conirmar detalles en la igura.

Ll resultado del comando show tp status conirma que el switch es de manera predeterminada un seridor del V1P. Como
todaa no se han conigurado las VLAN, el nmero de reisin esta an conigurado en 0, y el switchno pertenece al
dominio del V1P.

Si el switch no ue todaa conigurado como seridor del V1P, podra conigurarlo utilizando el comando tp mode
serer}.

laga clic en el botn Conigurar nombre de dominio que se muestra en la igura.

Ll nombre de dominio esta conigurado usando el comando tp domain domain-name. Ln la igura, el switch S1 ha sido
conigurado con el nombre de dominio cisco1.

Por razones de seguridad, se podra conigurar una contrasena con el comando tp password password.

laga clic en el botn Conigurar ersin que se muestra en la igura.

La mayora de los switches puede admitir la ersin 1 y 2 del V1P. Sin embargo, la coniguracin predeterminada para los
switches Catalyst 2960 es la ersin 1. Cuando el comando tp ersion 1 es introducido al switch, nos inorma que el switch
ya esta conigurado para que est en la ersin 1.
laga clic en el botn Agregar VLAN y enlaces troncales que se muestra en la igura.
Asuma que se han conigurado tres VLAN y se les han asignado nombresde VLAN. La salida en la igura esta mostrando el
resultado de estos cambios.

Puede usar la ersin no de los comandos.

La topologa resalta los switches S2 y S3. Se le mostrara la coniguracin de cliente del V1P para S2. Para conigurar el S3
como cliente de V1P, seguira el mismo protocolo.

laga clic en el botn Conirmar predeterminados para eriicar el estado del switch.

Antes de conigurar un switch como cliente de V1P, eriique su estado de V1P actual. Una ez que haya conirmado el
estado, conigurara el switch para que opere en modo cliente del V1P.

laga clic en el botn labilitar modo de cliente del V1P para er cmo se conigura un switch para modo cliente del V1P.

Conigure el modo cliente del V1P usando la siguiente sintaxis del comando del IOS de Cisco:

Ingrese al modo de coniguracin global mediante el comando conigure terminal.

Conigure el switch en modo cliente con el comando tp mode client}.

Si necesita oler a conigurar el V1P a los alores predeterminados, puede utilizar la ersin no de los comandos.

laga clic en el botn Veriicar estado del V1P para er el resto de la coniguracin del cliente del V1P.

Configuracin del VTP: Paso 3 - Confirmar y conectar

Despus de conigurar el seridor principal del V1P y los clientes del V1P, conectara el switch S2 del cliente del V1P al
seridor del V1P del switch S1.

La topologa resalta los enlaces troncales que se agregaran a esta topologa. Ln la igura el switch S2 se conectara al switch
S1. Luego se conigurara el switch S2 para admitir a las computadoras PC1 hasta PC3. Ll mismo procedimiento se aplicara
al switch S3, aunque los comandos para S3 no se muestren.

Confirmar la operacin del VTP

laga clic en el botn Conirmar operacin del V1P en la igura.

Lxisten dos comandos del IOS de Cisco para conirmar que el dominio de V1P y las coniguraciones de VLAN se han
transerido al switch S2. Use el comando show V1P status para eriicar lo siguiente:

Ll nmero de reisin de coniguracin se ha incrementado a 6.
Lxisten ahora tres nueas VLAN indicadas por el nmero existente de VLAN que muestra 8.
Ll nombre de dominio se ha cambiado a cisco1.

Utilice el comando show tp counters para conirmar que se realizaron las publicaciones.

Configure los puertos de acceso

laga clic en el botn Conigurar puertos de acceso que se muestra en la igura.

Ll resaltado superior en la salida de la pantalla conirma que el switch S2 esta en modo cliente del V1P. La tarea ahora es
conigurar el puerto l0,18 en el switch S2 para que est en la VLAN 20. Ll area inerior resaltada muestra el comando del
IOS de Cisco utilizado para conigurar el puerto l0,18 en el switch S2 para que est en la VLAN 20.

4.3.2 CONFIGURACION DEL VTP PARA SOLUCIONAR PROBLEMAS.-
Solucin de problemas de las conexiones del VTP

la aprendido cmo se puede utilizar el V1P para simpliicar la administracin de una base de datos de VLAN a tras de
mltiples switches. Ln este punto, aprendera sobre los problemas mas comunes de coniguracin del V1P.Lsta
inormacin, combinada con sus capacidades de coniguracin del V1P, le ayudara a solucionar los problemas de
coniguracin del V1P.

La igura enumera los temas comunes de coniguracin del V1P que se exploraran en este punto.

Versiones incompatibles del VTP
Las ersiones 1 y 2 del V1P son incompatibles una con la otra. Los modernos switches de Cisco Catalyst, como el 2960,
estan conigurados para usar la ersin 1 del V1P de manera predeterminada. Sin embargo, switches mas iejos pueden
admitir la ersin 1 del V1P. Los switches que slo admiten la ersin 1 no pueden participar en el dominio del V1P junto
con los switches de la ersin 2. Si su red contiene switches que admiten slo los de la ersin 1, necesita conigurar
manualmente los switches de la ersin 2 para que operen en el modo de ersin 1.

laga clic en el botn Solucin de ersin del V1P que se muestra en la igura.

Temas de contrasea del VTP

Cuando utiliza una contrasena del V1P para controlar la participacin en el dominio del V1P, asegrese de que la
contrasena est correctamente conigurada en todos los switches en el dominio del V1P. Olidarse de conigurar una
contrasena del V1P es un problema muy comn. Si se utiliza una contrasena, sta debe ser conigurada en cada switch en el
dominio. De manera predeterminada, un switch Cisco no usa una contrasena de V1P. Ll switch no conigura
automaticamente el parametro de contrasena, a dierencia de otros parametros que se coniguran automaticamente cuando
se recibe una publicacin del V1P.

laga clic en el botn Solucin de contrasena del V1P que se muestra en la igura.

Nombre incorrecto de dominio del VTP

Ll nombre de dominio del V1P es un parametro clae que se conigura en un switch. Un dominio del V1P conigurado
incorrectamente aecta la sincronizacin de la VLAN entre switches. Como aprendi anteriormente, si un switch recibe una
publicacin errnea de V1P, el switch descarta el mensaje. Si el mensaje descartado contiene la inormacin legtima de la
coniguracin, el switch no sincroniza su base de datos de VLAN como se espera.

Ln la igura haga clic en Reproducir para er una animacin sobre este tema.

laga clic en el botn Solucin de dominio del V1P que se muestra en la igura.

Solucin

Para eitar la coniguracin incorrecta de un nombre de dominio del V1P, slo conigure el nombre de dominio del V1P en
un switch del seridor del V1P. 1odos los otros switches en el mismo dominio del V1P aceptaran y automaticamente
coniguraran su nombre de dominio del V1P cuando reciba la primera publicacin de resumen del V1P.

Switches configurados en modo Cliente del VTP

Ls imposible cambiar el modo operatio de todos los switches a cliente del V1P. Al hacer esto, se pierde toda capacidad de
crear, eliminar y administrar las VLAN dentro de un entorno de red. Como los switches del cliente de V1P no guardan la
inormacin de la VLAN en la NVRAM, necesitan actualizar la inormacin de la VLAN despus de una recarga.

Ln la igura haga clic en Reproducir para er una animacin sobre este tema.

laga clic en el botn Solucin que se muestra en la igura.

Solucin

Para eitar perder todas las coniguraciones de VLAN en un dominio del V1P accidentalmente al reconigurar el nico
seridor del V1P en el dominio como un cliente del V1P, puede conigurar un segundo switch en el mismo dominio como
seridor del V1P. Ls comn que redes pequenas que usan V1P tengan todos los switches en modo seridor del V1P. Si la
red esta siendo administrada por un par de administradores de red, es poco probable que surjan conlictos de
coniguraciones de VLAN.

Nmero de revisin incorrecto

Incluso despus de haber conigurado los switches en el dominio de su V1P correctamente, existen otros actores que
pueden aectar adersamente la uncionalidad del V1P.

Temas de Nmero incorrecto de revisin

La topologa en la igura esta conigurada con V1P. Lxiste un switch del seridor del V1P, S1, y dos switches clientes del
V1P, S2 y S3,

laga clic en el botn de Nmero de reisin incorrecto que se muestra en la igura para reproducir la animacin que
muestra cmo el agregado de un switch con nmeros mayores de reisin de coniguracin aecta al resto de los switches en
el dominio del V1P.

S4, que ha sido anteriormente conigurado como un cliente de V1P, se agrega a la red. Ll nmero de reisin del switch S4
es 35, que es mayor que el nmero de reisin de 1 en la red existente. S4 iene preconigurado con las dos VLAN, 30 y
40, que no estan coniguradas en la red existente. La red existente tiene las VLAN 10 y 20.

Cuando se conecta el switch S4 al switch S3, las publicaciones de resumen del V1P anuncian la llegada de un switch
habilitado por V1P con el nmero de reisin mas alto en la red. La animacin muestra cmo el switch S3, el switch S1 y

inalmente el switch S2 se reconiguran a la coniguracin encontrada en el switch S4. Como cada switch se auto-reconigura
con las VLAN que no son admitidas en la red, los puertos no enan mas traico desde las computadoras porque estan
conigurados con las VLAN que no existen mas en los switches nueamente reconigurados.

laga clic en el botn Reconigurar el nmero de reisin que se muestra en la igura.

Solucin

La solucin al problema es reestablecer a cada switch a su coniguracin anterior y luego reconigurar las VLAN correctas,
10 y 20, en switch S1. Ln primer lugar, para eitar este problema, reestablezca el nmero de reisin de coniguracin en los
switches preiamente conigurados que se agregaron a una red habilitada por el V1P. La igura muestra los comandos
necesarios para reestablecer el switch S4 al nmero de reisin predeterminado.

laga clic en el botn Veriicar el nmero de reisin que se muestra en la igura para er que al switch S4 se le ha
reestablecido su nmero de reisin.

4.3.3 ADMINISTRACION DE VLAN EN UN SERVIDOR DEL VTP.-
Administracin de VLAN en un servidor del VTP

\a ha aprendido sobre el V1P y cmo puede utilizarse para simpliicar la administracin de las VLAN en una red habilitada
por el V1P. Considere la topologa en la igura. Cuando una VLAN nuea, por ejemplo la VLAN 10, es agregada a la red, el
administrador de red agrega la VLAN al seridor de V1P, switch S1 en la igura. Como sabe, el V1P se encarga de propagar
los detalles de coniguracin de la VLAN al resto de la red. No tiene ningn eecto sobre qu puertos estan conigurados en
la VLAN 10 en los switches S1, S2 y S3.

laga clic en el botn Conigurar nueas VLAN y puertos que se muestra en la igura.

La igura muestra los comandos utilizados para conigurar la VLAN 10 y el puerto l0,11 en switch S1. Los comandos para
conigurar los puertos correctos para los switches S2 y S3 no se muestran.

Despus de haber conigurado la nuea VLAN en el switch S1 y conigurado los puertos en los switches S1, S2 y S3 para
admitir la nuea VLAN, conirme que el V1P actualiz la base de datos de la VLAN en los switches S2 y S3.

laga clic en el botn show tp status que se muestra en la igura.

La salida del comando se usa para eriicar la coniguracin en el switch S2. La eriicacin para S3 no se muestra.

laga clic en el botn show interaces trunk que se muestra en la igura.

La salida conirma que la nuea VLAN se ha agregado a l0,1 en el switch S2. Ll area resaltada muestra que la VLAN 10
esta ahora actia en el dominio de administracin del V1P.

CAPITULO V STP

5.0.1 INTRODUCCIN.-
Ls claro que las redes inormaticas representan un componente undamental para la mayora de las pequenas y medianas
empresas. Ln consecuencia, los administradores de 1I deben implementar la redundancia en sus redes jerarquicas. Sin
embargo, cuando se agregan enlaces adicionales a switches y routers de la red, se generan bucles en el traico que deben ser
administrados de manera dinamica. Cuando se pierde la conexin con un switch, otro enlace debe reemplazarlo rapidamente
sin introducir nueos bucles en el traico. Ln este captulo aprendera la orma en que el protocolo spanning-tree ,S1P, eita
los inconenientes relacionados con bucles en la red y la manera en que S1P ha eolucionado en un protocolo que
determina de orma rapida aquellos puertos que deben bloquearse, de orma que una red basada en red de area local irtual
,VLAN, Virtual Local Area Network, no experimente bucles en el traico.

5.1 TOPOLOGAS REDUNDANTES DE CAPA 2.-
5.1.1 REDUNDANCIA.-
Redundancia en una red jerrquica

Ll modelo de diseno jerarquico ue presentado en el captulo 1. Ll modelo de diseno jerarquico se enoca en los temas
encontrados en las topologas de red de modelo plano. Uno de esos temas es la redundancia. La redundancia de Capa 2
mejora la disponibilidad de la red implementando rutas de red alternas mediante el agregado de equipos y cables. Al contar
con arias rutas para la transmisin de los datos en la red, la interrupcin de una ruta simple no genera impacto en la
conectiidad de los dispositios en la red.
Como puede erse en la animacin:
1. La PC1 se comunica con la PC4 a tras de una topologa de red conigurada de orma redundante.
2. Cuando el enlace de red entre el switch S1 y el switch S2 se interrumpe, la ruta entre la PC1 y la PC4 se ajusta de manera
automatica para compensar la interrupcin.
3. Cuando la conexin de red entre S1 y S2 se restablece, la ruta uele a ajustarse para eniar el traico directamente desde
S2 a tras de S1 para llegar a la PC4.
A medida que los negocios se uelen cada ez mas dependientes de la red, la disponibilidad de la inraestructura de red se
transorma en una inquietud comercial undamental que debe ser tenida en cuenta. La redundancia es la solucin para lograr
la disponibilidad necesaria.

Examinar un diseo redundante
Ln un diseno jerarquico, la redundancia se logra en las capas de distribucin y ncleo a tras de hardware adicional y rutas
alternatias entre dicho hardware.

laga clic en el botn Punto de partida: acceso a la capa de distribucin de la igura.

Ln este ejemplo puede erse una red jerarquica con capas de acceso, distribucin y ncleo. Cada switch de la capa de acceso
se conecta a dos switches distintos de la capa de distribucin. Ademas, cada switch de la capa de distribucin se conecta a
los dos switches de la capa ncleo. Al contar con arias rutas entre la PC1 y la PC4, existe redundancia que puede generar un
nico punto de alla entre las capas de acceso y de distribucin y entre las capas de distribucin y ncleo.

S1P esta habilitado en todos los switches. S1P es el tema de este captulo y sera explicado de orma extensa. Por ahora,
obsere que S1P ha colocado algunos puertos de switch en estado de eniar y otros en estado de bloqueo. Lsto es para
eitar bucles en la red de la Capa 2. S1P slo utilizara un enlace redundante si existe una alla en el enlace principal.

Ln el ejemplo, la PC1 puede comunicarse con la PC4 a tras de la ruta identiicada.

laga clic en el botn lalla en la ruta: acceso a la capa de distribucin de la igura.

Ll enlace entre el switch S1 y el switch D1 se ha interrumpido, lo que impide que los datos de la PC1 que tienen destino en
la PC4 lleguen al switch D1 a tras de su ruta original. Sin embargo, ya que el switch S1 cuenta con una segunda ruta a la
PC4 a tras del switch D2, la ruta se actualiza y los datos pueden llegar a la PC4.

laga clic en el botn lalla en la ruta: distribucin a la capa ncleo de la igura.

Ll enlace entre el switch D1 y el switch C2 se ha interrumpido, lo que impide que los datos de la PC1 que tienen destino en
la PC4 lleguen al switch C2 a tras de su ruta original. Sin embargo, ya que el switch D1 cuenta con una segunda ruta a la
PC4 a tras del switch C1, la ruta se actualiza y los datos pueden llegar a la PC4.

laga clic en el botn lalla en el switch: capa de distribucin de la igura.

Ll switch D1 ha allado, lo que impide que los datos de la PC1 con destino a la PC4 lleguen al switch C2 a tras de su ruta
original. Sin embargo, ya que el switch S1 cuenta con una segunda ruta a la PC4 a tras del switch D2, la ruta se actualiza y
los datos pueden llegar a la PC4.

laga clic en el botn lalla en el switch: capa ncleo de la igura.

Ll switch C2 ha allado, lo que impide que los datos de la PC1 con destino a la PC4 lleguen al switch D4 a tras de su ruta
original. Sin embargo, ya que el switch D1 cuenta con una segunda ruta a la PC4 a tras del switch C1, la ruta se actualiza y
los datos pueden llegar a la PC4.

La redundancia proporciona una gran lexibilidad en la eleccin de rutas de la red y permite que los datos se transmitan
independientemente de la existencia de allas en una ruta simple o en un dispositio en las capas de distribucin o ncleo. La
redundancia cuenta con algunas complicaciones que deben ser tenidas en cuenta antes de que se implemente de orma
segura en una red jerarquica.

5.1.2 INCOVENIENTES DE LA REDUNDANCIA.-
Bucles de Capa 2

La redundancia es una parte importante del diseno jerarquico. Pese a que es importante para la disponibilidad, existen
algunas consideraciones que deben atenderse antes de que la redundancia sea posible en una red.

Cuando existen arias rutas entre dos dispositios en la red y S1P se ha deshabilitado en los switches, puedegenerarse un
bucle de Capa 2. Si S1P esta habilitado en estos switches, que es lo que que esta predeterminado, el bucle de Capa 2 puede
eitarse.

Las tramas de Lthernet no poseen un tiempo de existencia ,11L, 1ime to Lie, como los paquetes IP que iajan por los
routers. Ln consecuencia, si no inalizan de manera adecuada en una red conmutada, las mismas siguen rebotando de switch
en switch indeinidamente o hasta que se interrumpa un enlace y elimine el bucle.

Las tramas de broadcast se enan a todos los puertos de switch, excepto el puerto de origen. Lsto asegura que todos los
dispositios del dominio de broadcast puedan recibir la trama. Si existe mas de una ruta para eniar la trama, se puede
generar un bucle sin in.

Haga clic en el botn Reproducir de la figura para iniciar la animacin.

Ln la animacin:

1. La PC1 ena una trama de broadcast al switch S2.

2. Cuando S2 recibe la trama de broadcast actualiza su tabla de direcciones MAC para registrar que la PC1 esta disponible en
el puerto l0,11.

3. \a que es una trama de broadcast, S2 ena la trama a todos los puertos de switch, incluido el Lnlace troncal1 y el Lnlace
troncal2.

4. Cuando la trama de broadcast llega a los switches S3 y S1, los mismos actualizan sus tablas de direcciones MACpara
indicar que la PC1 esta disponible en el puerto l0,1 para S1 y en el puerto l0,2 para S3.

5. \a que es una trama de broadcast, S3 y S1 la enan a todos los puertos de switch, excepto el que eni la trama.

6. S3 ena entonces la trama a S1 y iceersa. Cada switch actualiza su tabla de direcciones MAC con el puerto incorrecto
para la PC1.

. De nueo, cada switch ena la trama de broadcast a todos sus puertos, excepto aquel que la eni, lo que produce que
ambos switches enen la trama a S2.

8. Cuando S2 recibe las tramas de broadcast de S3 y S1, la tabla de direcciones MAC uele a actualizarse, esta ez con la
ltima entrada recibida de los otros dos switches.

Lste proceso se repite indeinidamente hasta que se elimine el bucle mediante la interrupcin sica de las conexiones que lo
producen o de la desconexin de uno de los switches del bucle.

Los bucles producen una alta carga de CPU en todos los switches atrapados en el mismo. \a que se enan las mismas
tramas constantemente entre todos los switches del bucle, la CPU del switch debe procesar una gran cantidad de datos. Lsto
disminuye el rendimiento del switch cuando llega traico legtimo.

Un host atrapado en un bucle de red es inaccesible para otros hosts de la red. \a que la tablade direcciones MAC cambia de
orma constante con las actualizaciones de las tramas de broadcast, el switch no sabe a qu puerto debe eniar las tramas de
unicast para que las mismas lleguen a su destino inal. Las tramas de unicast tambin quedan atrapadas en el bucle de red. A
medida que aumenta la cantidad de tramas que quedan atrapadas en el bucle de red, se produce una tormenta de broadcast.

Tormentas de broadcast

Una tormenta de broadcast se produce cuando existen tantas tramas de broadcast atrapadas en un bucle de Capa 2 que se
consume todo el ancho de banda disponible. Ln consecuencia, no existe ancho de banda disponible para el traico legtimo y
la red queda no disponible para la comunicacin de datos.

La tormenta de broadcast es ineitable en una red con bucles. A medida que mas dispositios enan broadcast a la red,
aumenta la cantidad de traico que queda atrapado en el bucle, lo que eentualmente genera una tormenta de broadcast que
produce la alla de la red.

Lxisten otras consecuencias de las tormentas de broadcast. Debido a que el traico de broadcast se ena a todos los puertos
del switch, todos los dispositios conectados deben procesar todo el traico de broadcast que luye indeinidamente en la red
con bucles. Lsto puede producir que el dispositio inal no uncione debido a los requerimientos de alto procesamiento para
sostener una carga de traico de esas dimensiones en la tarjeta de interaz de red.

Haga clic en el botn Reproducir de la figura para iniciar la animacin.

Ln la animacin:

1. La PC1 ena una trama de broadcast a la red con bucles.

2. La trama de broadcast termina en un bucle generado entre todos los switches interconectados de la red.

3. La PC4 tambin ena una trama de broadcast a la red con bucles.

4. La trama de broadcast de la PC4 tambin queda atrapada en el bucle generado entre todos los switches interconectados,
de la misma orma que la trama de broadcast de la PC1.

5. A medida que aumenta la cantidad de tramas de broadcast que otros dispositios enan a la red, tambin aumenta el
traico que queda atrapado en el bucle, lo que eentualmente produce una tormenta de broadcast.

6. Cuando la red esta completamente saturada con traico de broadcast atrapado en bucles entre los switches, estos ltimos
descartan el traico nueo porque no pueden procesarlo.

Debido a que los dispositios conectados a la red enan tramas de broadcast de manera constante, como solicitudes de
ARP, una tormenta de broadcast puede desarrollarse en cuestin de segundos. Ln consecuencia, cuando se genera un bucle,
la red se torna no disponible rapidamente.

Tramas de unicast duplicadas

Las tramas de broadcast no son el nico tipo de tramas que son aectadas por los bucles. Las tramas de unicast eniadas a
una red con bucles pueden generar tramas duplicadas que llegan al dispositio de destino.

laga clic en el botn Reproducir de la igura para iniciar la animacin.

Ln la animacin:

1. La PC1 ena una trama de unicast con destino a la PC4.

2. Ll switch S2 no cuenta con una entrada para la PC4 en su tabla MAC, de manera que ena la trama de unicast a todos los
puertos de switch, en un intento de encontrar a la PC4.

3. La trama llega a los switches S1 y S3.

4. S1 no posee una entrada de direccin MAC para la PC4, de orma que reena la trama a la PC4.

5. S3 tambin cuenta con una entrada en su tabla de direcciones MAC para la PC4, de manera que reena la trama de
unicast a tras del Lnlace troncal3 a S1.

6. S1 recibe la trama duplicada y una ez mas la reena a la PC4.

. La PC4 ha recibido ahora la misma trama dos eces.

La mayora de los protocolos de capa superior no estan disenados para reconocer transmisiones duplicadas o para
enrentarlas. Ln general, los protocolos que utilizan un mecanismo de numeracin en secuencia asumen que la transmisin
ha allado y que el nmero de secuencia se ha reciclado para otra sesin de comunicacin. Otros protocolos intentan eniar
la transmisin duplicada al protocolo de capa superior adecuado para que sea procesada y posiblemente descartada.

Aortunadamente, los switches pueden detectar bucles en una red. Ll protocolo spanning tree ,S1P, elimina estos
inconenientes relacionados con bucles. Aprendera acerca de S1P en la seccin siguiente.

5.1.3 INCOVENIENTES REALES RELACIONADOS CON LA REDUNDANCIA.-
Bucles en el armario de cableado

La redundancia es un componente importante de una topologa de red jerarquica de alta disponibilidad, pero los bucles
pueden surgir como resultado de arias rutas coniguradas en la red. Se pueden eitar los bucles mediante el protocolo
spanning tree ,S1P,. Sin embargo, si S1P no se ha implementado en la preparacin de una topologa redundante, los bucles
pueden ocurrir de improiso.

Ll cableado de red para pequenas y medianas empresas puede tornarse demasiado conuso. Los cables de red entre los
switches de la capa de acceso, ubicados en los armarios de cableado, desaparecen en las paredes, pisos y techos donde
uelen a los switches de la capa de distribucin de la red. Si los cables de red no estan rotulados de orma adecuada cuando
inalizan en el panel de conexin del armario de cableado, es dicil determinar cual es el destino del puerto en el panel de

conexin de la red. Los bucles de red que son el resultado de conexiones duplicadas accidentales en los armarios de
cableado son muy comunes.

laga clic en el botn Bucle de dos conexiones al mismo switch que se muestra en la igura.

Ll ejemplo muestra un bucle que se genera cuando dos conexiones del mismo switch se conectana otro switch. Ll bucle se
localiza en los switches que estan interconectados. Sin embargo, el bucle aecta al resto de la red debido a la gran cantidad de
enos de broadcast que llega a todos los otros switches de la red. Quiza el impacto en los otros switches no sea suiciente
como para interrumpir las comunicaciones legtimas, pero puede aectar de manera notable al rendimiento total de los
demas switches.

Lste tipo de bucle es muy comn en el armario de cableado. Sucede cuando un administrador conecta de manera errnea un
cable al mismo switch al que ya esta conectado. Por lo general, esto sucede cuando los cables de red no estan rotulados o
estan mal rotulados o cuando el administrador no se ha tomado tiempo para eriicar dnde estan conectados los mismos.

Lxiste una excepcin para este problema. Un LtherChannel es un grupo de puertos Lthernet en un switch que acta como
una nica conexin de red lgica. Debido a que el switch trata a los puertos conigurados para el LtherChannel como un
nico enlace de red, los bucles no son posibles. La coniguracin de LtherChannels excede el alcance de este curso. Si desea
obtener mas inormacin acerca de LtherChannels, isite:
http:,,www.cisco.com,en,US,tech,tk389,tk213,technologies_white_paper09186a0080092944.shtml

laga clic en el botn Bucle de una conexin a un segundo switch en la misma red que se muestra en la igura.

Ll ejemplo muestra un bucle que se genera cuando un switch se conecta a dos switches distintos de la red que a su ez estan
interconectados entre s. Ll impacto de este tipo de bucle es mucho mayor, ya que aecta a mas switches de orma directa.

Bucles en los cubculos

Debido a conexiones de datos de red insuicientes, algunos usuarios inales poseen un hub o switch personal ubicado en su
entorno de trabajo. Ln ez de incurrir en el costo de mantener conexiones de datos de red adicionales en el lugar de trabajo,
un hub o switch simples se conectan a una conexin de datos de red existente, lo que permite que todos los dispositios
conectados al hub o switch personal puedan acceder a la red.

Ln general, los armarios de cableado estan asegurados para eitar el acceso no autorizado, de manera que slo el
administrador de red posee el control total sobre los dispositios conectados a la redy la orma en que los mismos estan
conectados. A dierencia del armario de cableado, el administrador no posee el control sobre la orma en que los switches o
hubs personales estan conectados o son utilizados, de manera que el usuario inal puede interconectarlos de orma
accidental.

laga clic en botn Bucle en dos hubs interconectados que se muestra en la igura.

Ln el ejemplo, los dos hubs de usuario estan interconectados, lo que genera un bucle de red. Ll bucle interrumpe la
comunicacin entre todos los dispositios conectados al switch S1.

5.2 INTRODUCCION A STP.-
5.2.1 EL ALGORITMO SPANNING TREE.-
Topologa de STP

La redundancia aumenta la disponibilidad de la topologa de red al proteger la red de un nico punto de alla, como un cable
de red o switch que allan. Cuando se introduce la redundancia en un diseno de la Capa 2, pueden generarse bucles y tramas
duplicadas. Los bucles y las tramas duplicadas pueden tener consecuencias graes en la red. Ll protocolo spanning tree
,S1P, ue desarrollado para enrentar estos inconenientes.

Algoritmo STP

S1P utiliza el algoritmo spanning tree ,S1A, para determinar los puertos de switch de la red que deben conigurarse para el
bloqueo, y as eitar que se generen bucles. Ll S1A designa un nico switch como puente raz y lo utiliza como punto de
reerencia para todos los calculos de rutas. Ln la igura, el puente raz, el switch S1, se escoge a tras de un proceso de
eleccin. 1odos los switches que comparten S1P intercambian tramas de BPDU para determinar el switch que posee el
menor ID de puente ,BID, en la red. Ll switch con el menor BID se transorma en el puente raz de orma automatica
segn los calculos del S1A. Ll proceso de eleccin del puente raz se explicara en detalle mas adelante en este captulo.

La BPDU es la trama de mensaje que se intercambia entre los switches en S1P. Cada BPDU contiene un BID que identiica
al switch que eni la BPDU. Ll BID contiene un alor de prioridad, la direccin MAC del switch emisor y un ID de
sistema extendido opcional. Se determina el BID de menor alor mediante la combinacin de estos tres campos. Aprendera
mas acerca del puente raz, la BPDU y el BID en temas posteriores.

Despus de determinar el puente raz, el S1A calcula la ruta mas corta hacia el mismo. 1odos los switches utilizan el S1A
para determinar los puertos que deben bloquearse. Al determinar el S1A las mejores rutas hacia el puente raz para todos los
destinos del dominio de broadcast, se eita que todo el traico sea eniado a tras de la red. Ll S1A considera los costos
tanto de la ruta como del puerto cuando determina la ruta que debe permanecer desbloqueada. Los costos de la ruta se
calculan mediante los alores de costo de puerto asociados con las elocidades de los puertos para cada puerto de switch
que atraiesa una ruta determinada. La suma de los alores de costo de puerto determina el costo de ruta total para el puente

raz. Si existe mas de una ruta a escoger, el S1A elige la de menor costo de ruta. Aprendera mas acerca de costos de rutas y
de puertos en temas posteriores.

Cuando el S1A determina las rutas que deben permanecer disponibles, conigura los puertos de switch de acuerdo con
distintas unciones. Las unciones de los puertos describen su relacin en la red con el puente raz y si los mismos pueden
eniar traico.

Puertos raz: los puertos de switch mas cercanos al puente raz. Ln el ejemplo, el puerto raz del switch S2 es l0,1,
conigurado para el enlace troncal entre el switch S2 y el switch S1. Ll puerto raz del switch S3 es l0,1, conigurado para el
enlace troncal entre el switch S3 y el switch S1.

Puertos designados: todos los puertos que no son raz y que an pueden eniar traico a la red. Ln el ejemplo, los puertos
de switch l0,1 y l0,2 del switch S1 son puertos designados. Ll switch S2 tambin cuenta con su puerto l0,2 conigurado
como puerto designado.

Puertos no designados: todos los puertos conigurados en estado de bloqueo para eitar los bucles. Ln el ejemplo, el S1A
conigura al puerto l0,2 del switch S3 en la uncin no designado. Ll puerto l0,2 del switch S3 se encuentra en estado de
bloqueo.

Aprendera mas acerca de las unciones y estados de los puertos en temas posteriores.

El puente raz

1oda instancia de spanning-tree ,LAN conmutada o dominio de broadcast, posee un switch designado como puente raz. Ll
puente raz sire como punto de reerencia para todos los calculos de spanning-tree para determinar las rutas redundantes
que deben bloquearse.

Un proceso de eleccin determina el switch que se transorma en el puente raz.

laga clic en el botn Campos BID que se muestra en la igura.

La igura muestra los campos BID. Los detalles acerca de cada campo BID se explicaran mas adelante, pero es til saber que
el BID se compone de un alor de prioridad, un ID de sistema extendido y la direccin MAC del switch.

1odos los switches del dominio de broadcast participan del proceso de eleccin. Cuando se inicia un switch, el mismo ena
tramas de BPDU que contienen el BID del switch y el ID de raz cada dos segundos. De manera predeterminada, el ID de

raz coincide con el BID local para todos los switches de la red. Ll ID de raz identiica al puente raz de la red. Inicialmente,
cada switch se identiica a s mismo como puente raz despus del arranque.

A medida que los switches enan sus tramas de BPDU, los switches adyacentes del dominio de broadcast leen la
inormacin del ID de raz de la trama de BPDU. Si el ID de raz de la BPDU recibida es menor que el ID de raz del switch
receptor, este ltimo actualiza su ID de raz mediante la identiicacin del switch adyacente como el puente raz. Nota: Ls
posible que no sea un switch adyacente, sino cualquier otro switch del dominio de broadcast. Luego el switch ena nueas
tramas de BPDU con el menor ID de raz a los otros switches adyacentes. Lentualmente, el switch con el menor BID es
identiicado inalmente como puente raz para la instancia de spanning-tree.

Las mejores rutas al puente raz

Cuando se ha designado el puente raz para la instancia de spanning-tree, el S1A comienza el proceso de determinar las
mejores rutas hacia el puente raz desde todos los destinos del dominio de broadcast. La inormacin de ruta se determina
mediante la suma de los costos indiiduales de los puertos que atraiesa la ruta desde el destino al puente raz.

Los costos de los puertos predeterminados se deinen por la elocidad a la que uncionan los mismos. Ln la tabla, puede
erse que los puertos Lthernet de 10 Gb,s poseen un costo de puerto de 2, los puertos Lthernet de 1 Gb,s poseen un
costo de puerto de 4, los puertos last Lthernet de 100 Mb,s poseen un costo de puerto de 19 y los puertos Lthernet de 10
Mb,s poseen un costo de puerto de 100.

Nota: Ll ILLL deine los alores de costos de puertos utilizados por S1P. Actualmente, debido al ingreso reciente al
mercado de tecnologas Lthernet mas eloces, los alores de costos de rutas pueden cambiar para ajustarse a las distintas
elocidades disponibles. Los nmeros no lineales se ajustan a algunas mejoras del estandar Lthernet, pero tenga en cuenta

que dichos nmeros pueden ser modiicados por el ILLL si uera necesario. Ln la tabla, los alores ya se han modiicado
para ajustarse al estandar Lthernet de 10 Gb,s mas reciente.

Pese a que los puertos de switch cuentan con un costo de puerto predeterminado asociado a los mismos, tal costo puede
conigurarse. La capacidad para conigurar los costos de puertos indiiduales proporciona al administrador la lexibilidad
para controlar las rutas de spanning-tree hacia el puente raz.

laga clic en el botn Conigurar costos de los puertos que se muestra en la igura.

Para conigurar el costo de un puerto en una interaz, ingrese el comando spanning-tree cost alor en modo de
coniguracin de interaz. Ll rango de alores puede oscilar entre 1 y 200 000 000.

Ln el ejemplo, el puerto de switch l0,1 se ha conigurado con un costo de puerto de 25 mediante el comando de
coniguracin de interaz spanning-tree cost 25 en la interaz de l0,1.

Para oler a establecer el costo de puerto al alor predeterminado, ingrese el comando de coniguracin de interaz no
spanning-tree cost.

laga clic en el botn Costos de ruta que se muestra en la igura.

Ll costo de la ruta es la suma de todos los costos de puertos que atraiesan la ruta hacia el puente raz. La ruta con el menor
costo de ruta se conierte en la ruta preerida y todas las demas rutas redundantes se bloquean. Ln el ejemplo, el costo de
ruta desde el switch S2 hacia el switch puente raz S1, a tras de la ruta 1 es 19 ,en base a los costos de puertos indiiduales
especiicados por el ILLL,, mientras que el costo de ruta a tras de la ruta 2 es 38. \a que la ruta 1 poseeel menor costo
total de ruta hacia el puente raz, la misma es la ruta preerida. Luego, S1P conigura la ruta redundante que debe bloquearse
y eita as la generacin de bucles.

laga clic en el botn Veriicar costos de puerto y de ruta que se muestra en la igura.

Para eriicar el costo de puerto y de ruta hacia el puente raz, ingrese el comando del modo LXLC priilegiado show
spanning-tree. Ll campo Costo del resultado es el costo de ruta total hacia el puente raz. Lste alor cambia en uncin de
la cantidad de puertos de switch necesarios para llegar al puente raz. Ln el resultado, cada interaz tambin se identiica con
un costo de puerto indiidual de 19.

Otro comando para examinar es el comando del modo LXLC priilegiado show spanning-tree detail.

5.2.2 BPDU EN STP.-
Campos BPDU

Ln el tema anterior aprendi que S1P determina un puente raz para la instancia de spanning-tree mediante el intercambio
de BPDU. Ln este tema aprendera los detalles de la trama de BPDU y la orma en que la misma acilita el proceso de
spanning-tree.

La trama de BPDU contiene 12 campos distintos que se utilizan para transmitir inormacin de prioridad y de ruta que S1P
necesita para determinar el puente raz y las rutas al mismo.

Desplace el mouse sobre los campos BPDU de la igura para er su contenido.

Los primeros cuatro campos identiican el protocolo, la ersin, el tipo de mensaje y los senaladores de estado.
Los cuatro campos siguientes se utilizan para identiicar el puente raz y el costo de la ruta hacia el mismo.
Los ltimos cuatro campos son todos campos temporizadores que determinan la recuencia en que se enan los mensajes
de BPDU y la cantidad de tiempo que la inormacin recibida a tras del proceso BPDU ,siguiente tema, es retenida. La
uncin de los campos temporizadores se explicara con mas detalle posteriormente en este curso.

laga clic en el botn Ljemplo de BPDU que se muestra en la igura.

Ll ejemplo de la igura se captur con \ireshark. Ln el ejemplo, la trama de BPDU contiene mas campos de los que se
describieron anteriormente. Ll mensaje de BPDU se encapsula en una trama de Lthernet cuando se transmite a tras de la
red. Ll encabezado 802.3 indica las direcciones de origen y destino de la trama de BPDU. Lsta trama posee una direccin
MAC de destino 01:80:C2:00:00:00, que corresponde a una direccin multicast para el grupo de spanning-tree. Cuando se
ena una trama con esta direccin MAC, todos los switches que estan conigurados para spanning tree aceptan y leen la
inormacin de la trama. Al utilizar esta direccin de grupo multicast, todos los otros dispositios en la red que reciben la
trama la ignoran.

Ln este ejemplo, el ID de raz y el BID son iguales en la trama de BPDU capturada. Lsto indica que la trama se captur de
un switch del puente raz.

1odos los temporizadores se establecen en sus alores predeterminados.

El proceso BPDU

Inicialmente, cada switch del dominio de broadcast supone que es el puente raz para la instancia de spanning-tree, de
manera que las tramas de BPDU eniadas contienen el BID del switch local como ID de raz. De manera predeterminada,
las tramas de BPDU se enan cada 2 segundos despus de iniciar el switch, esto signiica que el alor predeterminado del
temporizador de saludo especiicado en la trama de BPDU es 2 segundos. Cada switch mantiene inormacin local acerca de
su propio BID, el ID de raz y el costo de la ruta hacia la raz.

Cuando los switches adyacentes reciben una trama de BPDU, comparan el ID de raz de la trama de BPDU con el ID de
raz local. Si el ID de raz del BPDU es menor que el ID de raz local, el switch actualiza el ID de raz local y el ID de sus
mensajes de BPDU. Lstos mensajes siren para indicar el nueo puente raz de la red. Ademas, el costo de la ruta se
actualiza para indicar cuan lejano se encuentra el puente raz. Por ejemplo: si el BPDU se recibi en un puerto de switch
last Lthernet, el costo de la ruta se establece en 19. Si el ID de raz local es menor que el ID de raz recibido en la trama de
BPDU, la misma se descarta.

Despus de que se ha actualizado un ID de ruta para identiicar un nueo puente raz, todas las tramas de BPDU
subsiguientes eniadas por ese switch contienen el ID de raz nueo y el costo de la ruta actualizado. Deesta manera, todos
los otros switches adyacentes pueden er el menor ID de raz identiicado en todo momento. A medida que las tramas de
BPDU se transmiten entre otros switches adyacentes, el costo de la ruta se actualiza de orma constante para indicar el costo
de ruta total hacia el puente raz. 1odos los switches del spanning tree utilizan sus costos de ruta para identiicar el mejor
camino posible al puente raz.

laga clic en cada uno de los pasos de la igura para aprender mas acerca del proceso BPDU.

A continuacin se resume el proceso BPDU:

Paso 1. Inicialmente, cada switch se identiica a s mismo como puente raz. Ll switch S1 es el de menor prioridad de los tres
switches. Debido a que la prioridad es un actor de decisin inicial a la hora de elegir un puente raz, S1 se conierte en el
puente raz. Si la prioridad de todos los switches uera la misma, la direccin MAC sera el actor de decisin.

Paso 2. Cuando el switch S3 recibe una BPDU del switch S2, S3 compara su ID de raz con la trama de BPDU recibida. Las
prioridades son iguales, de manera que el switch debe examinar la parte de direccin MAC para determinar cual es la de
menor alor. \a que S2 cuenta con un alor de direccin MAC menor, S3 actualiza su ID de raz con el ID de raz de S2.
Ln este momento, S3 considera a S2 como el puente raz.

Paso 3. Cuando S1 compara su ID de raz con el que se recibi en la trama de BPDU, identiica al ID de raz local como el
de menor alor y descarta la BPDU de S2.

Paso 4. Cuando S3 ena sus tramas de BPDU, el ID de raz contenido en la trama de BPDU es el de S2.

Paso 5. Cuando S2 recibe la trama de BPDU, la descarta despus de eriicar que el ID de raz de la BPDU coincide con su
ID de raz local.

Paso 6. Debido a que S1 posee un alor de prioridad menor en su ID de raz, descarta la trama de BPDU recibida de S3.

Paso . S1 ena sus tramas de BPDU.

Paso 8. S3 identiica el ID de raz en la trama de BPDU como el de menor alor y, por lo tanto, actualiza sus alores de ID
de raz para indicar que S1 es ahora el puente raz.

Paso 9. S2 identiica el ID de raz en la trama de BPDU como el de menor alor y, por lo tanto, actualiza sus alores de ID
de raz para indicar que S1 es ahora el puente raz.

Cuando dos switches se coniguran con la misma prioridad y poseenel mismo ID de sistema extendido, el switch con la
direccin MAC con el menor alor hexadecimal es el de menor BID. Inicialmente, todos los switches se coniguran con el
mismo alor de prioridad predeterminado. Luego, la direccin MAC es el actor de decisin sobre el cual el switch se
conertira en puente raz. Lsto resulta en una eleccin impredecible para el puente raz. Se recomienda conigurar el switch
de puente raz deseado con la menor prioridad para asegurar que sea elegido como tal. Lsto tambin asegura que el agregado
de switches a la red no prooque una nuea eleccin de spanning-tree, lo que podra interrumpir la comunicacin en la red
mientras se elige un nueo puente raz.

laga clic en el botn Decisin basada en la prioridad que se muestra en la igura.

Ln el ejemplo, S1 posee menor prioridad que los otros switches y, por lo tanto, es el preerido como puente raz para esa
instancia de spanning-tree.

laga clic en el botn Decisin basada en la direccin MAC que se muestra en la igura.

Cuando todos los switches se coniguran con la misma prioridad, como ocurre en el caso de todos los switches mantenidos
en la coniguracin predeterminada con prioridad de 32 68, la direccin MAC se transorma en el actor de decisin para
determinar el switch que sera puente raz.

Nota: Ln el ejemplo, la prioridad de todos los switches es 32 69. Ll alor se basa en la prioridad predeterminada de 32 68
y la asignacin de la VLAN 1 asociada con cada switch ,1-32 68,.

La direccin MAC con el menor alor hexadecimal se considera como preerida para puente raz. Ln el ejemplo, S2 posee el
menor alor de direccin MAC y es, por lo tanto, designado como puente raz para esa instancia de spanning-tree.

Configurar y verificar el BID

Cuando un switch especico se transorma en puente raz, el alor de prioridad de puente debe ajustarse para asegurar que
sea menor que los alores de prioridad de puente de todos los otros switches de la red. Lxisten dos mtodos de
coniguracin distintos que pueden utilizarse para conigurar el alor de prioridad de puente en un switch Cisco Catalyst.

Mtodo 1: para asegurar que el switch posea el menor alor de prioridad de puente, utilice el comando spanning-tree vlan
vlan-id root primary en modo de coniguracin global. La prioridad del switch se establece en el alor predeinido 24 56
o en el siguiente alor de incremento de 4096 por debajo de la menor prioridad de puente detectada en la red.

Si desea contar con un puente raz alternatio, utilice el comando spanning-tree vlan vlan-id root secondary en modo de
coniguracin global. Lste comando establece la prioridad para el switch al alor preerido 28 62. Lsto asegura que este

5.2.4 FUNCIONES DE LOS PUERTOS.-
Funciones de los puertos

Ll puente raz es elegido para la instancia de spanning-tree. La ubicacin del puente raz en la topologa de red determina la
orma en que se calculan las unciones de los puertos. Lste tema describe la orma en que los puertos de switch se
coniguran para unciones especicas para eitar la posibilidad de bucles en la red.

Lxisten cuatro unciones de puertos distintas en las que los puertos de switch se coniguran durante el proceso de spanning-
tree.

Puerto raz

Ll puerto raz existe en los puentes que no son raz y es el puerto de switch con el mejor camino hacia el puente raz. Los
puertos raz enan el traico a tras del puente raz. Las direcciones MAC de origen de las tramas recibidas en el puerto
raz pueden llenar por completo la tabla MAC. Slo se permite un puerto raz por puente.

Ln el ejemplo, el switch S1 es el puente raz y los switches S2 y S3 poseen puertos raz deinidos en los enlaces troncales que
los conectan con S1.

Puerto designado

Ll puerto designado existe en los puentes raz y en los que no son raz. Para los puentes raz, todos los puertos de switch
son designados. Para los puentes que no son raz, un puerto designado es el switch que recibe y ena tramas a tras del
puente raz segn sea necesario. Slo se permite un puerto designado por segmento. Si existen arios switches en el mismo
segmento, un proceso de eleccin determina el switch designado y el puerto de switch correspondiente comienza a eniar
tramas para ese segmento. Los puertos designados pueden llenar por completo la tabla MAC.

Ln el ejemplo, el switch S1 posee ambos conjuntos de puertos para sus dos enlaces troncales conigurados como puertos
designados. Ll switch S2 tambin cuenta con un puerto designado conigurado en el enlace troncal que a hacia el switch S3.

Puerto no designado

Ll puerto no designado es aquel puerto de switch que esta bloqueado, de manera que no ena tramas de datos ni llena la
tabla de direcciones MAC con direcciones de origen. Un puerto no designado no es un puerto raz o un puerto designado.
Para algunas ariantes de S1P, el puerto no designado se denomina puerto alternatio.

Ln el ejemplo, el switch S3 posee el nico puerto no designado de la topologa. Los puertos no designados eitan la
generacin de bucles.

Puerto deshabilitado

Ll puerto deshabilitado es un puerto de switch que esta administratiamente desconectado. Un puerto deshabilitado no
unciona en el proceso de spanning-tree. No hay puertos deshabilitados en el ejemplo.

Funciones de los puertos

Ll S1A determina la uncin de puerto que debe asignarse a cada puerto de switch.

Cuando se determina el puerto raz de un switch, este ltimo compara los costos de rutas de todos lospuertos de switch que
participan en el spanning tree. Al puerto de switch con el menor costo de ruta total hacia la raz se le asigna de manera
automatica la uncin de puerto raz, ya que es el mas cercano al puente raz. Ln una topologa de la red, todos los switches
que utilizan spanning tree, excepto el puente raz, poseen un nico puerto raz deinido.

Cuando existen dos puertos de switch con el mismo costo de ruta hacia el puente raz y ambos son los de menor costo de
ruta en el switch, este ltimo debe determinar cual de los dos es el puerto raz. Ll switch utiliza el alor de prioridad de
puerto personalizable o el menor ID de puerto si ambos alores de prioridad de puerto coinciden.

Ll ID de puerto es el ID de interaz del puerto de switch. Por ejemplo: la igura muestra cuatro switches. Los puertos l0,1
y l0,2 del switch S2 poseen el mismo alor de costo de ruta hacia el puente raz. Sin embargo, el puerto l0,1 del switch S2
es el puerto preerido, ya que posee el menor alor de ID de puerto.

Ll ID de puerto esta adjunto a la prioridad del puerto. Por ejemplo: el puerto de switch l0,1 posee un alor de prioridad de
puerto predeterminado de 128.1, donde 128 es el alor de prioridad de puerto conigurable y .1 es el ID de puerto. Ll puerto
de switch l0,2 posee un alor de prioridad de puerto de 128.2 de manera predeterminada.

Configurar prioridad del puerto

Se puede conigurar el alor de prioridad del puerto a tras del comando spanning-tree port-priority alor en modo de
coniguracin de interaz. Los alores de prioridad de puerto oscilan entre 0 y 240, en incrementos de 16. Ll alor de
prioridad de puerto predeterminado es 128. Al igual que con la prioridad de puente, los alores de prioridad de puerto
menores proporcionan al puerto una mayor prioridad.

Ln el ejemplo, la prioridad de puerto para el puerto l0,1 se ha establecido en 112, que esta por debajo de la prioridad de
puerto predeterminada, que es 128. Lsto asegura que el puerto sea el preerido cuando compita con otro puerto para una
uncin de puerto especica.

Cuando el switch decide utilizar un puerto por sobre otro como puerto raz, este ltimo se conigura como puerto no
designado para eitar la generacin de bucles.

Decisiones de las funciones de los puertos

Ln el ejemplo, el switch S1 es el puente raz. Los switches S2 y S3 cuentan con puertos raz conigurados para los puertos
que se conectan con S1.

Despus de que el switch ha determinado cual de sus puertos esta conigurado en la uncin de puerto raz, debe decidir qu
puertos poseen las unciones de designados y no designados.

Ll puente raz conigura de orma automatica todos sus puertos de switch en la uncin de designado. Otros switches de la
topologa coniguran sus puertos que no son raz como designados o nodesignados.

Los puertos designados se coniguran para todos los segmentos de LAN. Cuando dos switches estan conectados al mismo
segmento de LAN y los puertos raz ya se han deinido, los dos switches deben decidir el puerto que debe conigurarse
como designado y el que debe permanecer como no designado.

Los switches del segmento de LAN en cuestin intercambian tramas de BPDU, que contienen el BID del switch. Ln
general, el switch con el menor BID posee su puerto conigurado como designado, mientras que el switch con el mayor BID
posee su puerto conigurado como no designado. Sin embargo, tenga en cuenta que la primera prioridad es el menor costo
de ruta hacia el puente raz y que el BID del emisor slo lo es cuando los costos de los puertos son iguales.

Ln consecuencia, cada switch determina las unciones de puertos que se asignan a cada uno de sus puertos para crear el
spanning tree sin bucles.

laga clic en cada paso de la igura para aprender la orma en que se determinan las unciones de los puertos.

Verificacin de las funciones y la prioridad de los puertos

Ahora que spanning tree ha determinado la topologa de la red lgica sin bucles, se deben conirmar las unciones y
prioridades de los puertos que deben conigurarse para todos los puertos de switch de la red.

Para eriicar las unciones y las prioridades de los puertos para los puertos de switch, utilice el comando show spanning-
tree en modo LXLC priilegiado.

Ln el ejemplo, el resultado de show spanning-tree muestra todos los puertos de switch y sus unciones deinidas. Los
puertos de switch l0,1 y l0,2 se coniguran como puertos designados. Ll resultado tambin muestra la prioridad de puerto
de cada puerto de switch. Ll puerto de switch l0,1 posee una prioridad de puerto de 128.1.

5.2.5 ESTADOS DE LOS PUERTOS Y TEMPORIZADORES DE BDPU EN STP.-
Estados de los puertos

S1P determina la ruta lgica sin bucles a tras de todo el dominio de broadcast. Ll spanning tree se determina a tras de la
inormacin obtenida en el intercambio de tramas de BPDU entre los switches interconectados. Para acilitar el aprendizaje
del spanning tree lgico, cada puerto de switch sure una transicin a tras de cinco estados posibles y tres temporizadores
de BPDU.

Ll spanning tree queda determinado inmediatamente despus de que el switch inaliza el proceso de arranque. Si un puerto
de switch experimenta una transicin directa desde el estado de bloqueo al estado de eniar, dicho puerto puede crear
temporalmente un bucle de datos si el switch no adierte toda la inormacin de la topologa en ese momento. Por esta
razn, S1P introduce cinco estados de puertos. La tabla resume cada uno de los estados de puertos. A continuacin se
proporciona inormacin adicional acerca de la orma en que los estados delos puertos aseguran la ausencia de bucles
durante la creacin del spanning tree lgico.

Bloqueo: el puerto es un puerto no designado y no participa en el eno de tramas. Ll puerto recibe tramas de BPDU para
determinar la ubicacin y el ID de raz del switch del puente raz y las unciones de puertos que cada uno de los mismos
debe asumir en la topologa inal de S1P actia.
Escuchar: S1P determina que el puerto puede participar en el eno de tramas de acuerdo a las tramas de BPDU que el
switch ha recibido hasta ahora. Ln este momento, el puerto de switch no slo recibe tramas de BPDU, sino que tambin
transmite sus propias tramas de BPDU e inorma a los switches adyacentes que el mismo se prepara para participar en la
topologa actia.
Aprender: el puerto se prepara para participar en el eno de tramas y comienza a llenar la tabla de direcciones MAC.
Lniar: el puerto se considera parte de la topologa actia, ena tramas y ena y recibe tramas de BPDU.
Deshabilitado: el puerto de la Capa 2 no participa en el spanning tree y no ena tramas. Ll estado deshabilitado se
establece cuando el puerto de switch se encuentra administratiamente deshabilitado.

Temporizadores de BPDU

La cantidad de tiempo que un puerto permanece en los distintos estados depende de los temporizadores de BPDU. Slo el
switch con uncin de puente raz puede eniar inormacin a tras del arbol para ajustar los temporizadores. Los
siguientes temporizadores determinan el rendimiento de S1P y los cambios de estado:

1iempo de saludo
Retraso en el eno
Antigedad maxima

laga clic en lunciones y temporizadores en la igura.

Cuando S1P esta habilitado, todos los puertos de switch de la red atraiesan el estado de bloqueo y los estados transitorios
escuchar y aprender al iniciarse. Luego los puertos se estabilizan al estado de eniar o de bloqueo, como se e en el ejemplo.
Durante un cambio en la topologa, el puerto implementa temporalmente los estados escuchar y aprender durante un
perodo de tiempo especico denominado "interalo de retraso de eno".

Lstos alores permiten el tiempo adecuado para la conergencia en la red con un diametro de switch de alor siete.
Recuerde que el diametro de switch es la cantidad de switches que debe atraesar una trama para iajar a tras de los dos
puntos mas lejanos del dominio de broadcast. Un diametro de switch de siete es el alor mayor permitido por S1P debido a
los tiempos de conergencia. La conergencia en relacin a spanning tree es el tiempo que toma oler a calcular el
spanning tree en el caso de una alla en un switch o en un enlace. Aprendera la orma en que unciona la conergencia en la
seccin siguiente.

laga clic en el botn Conigurar diametro de la red en la igura.

Se recomienda que los temporizadores BPDU no se ajusten de orma directa, ya que estos alores se han optimizado para el
diametro de switch de siete. Si se ajusta el alor del diametro del spanning-tree en el puente raz a un alor menor,
automaticamente se ajustan los temporizadores de retraso de eno y la antigedad maxima de orma proporcional segn el
nueo diametro. Ln general, no deben ajustarse los temporizadores BPDU ni reconigurar el diametro de la red. Sin
embargo, si despus de la bsqueda un administrador de red determina que el tiempo de conergencia de la red puede
optimizarse, el mismo lo hace mediante la reconiguracin del diametro de la red, pero no los temporizadores BPDU.

Para conigurar un diametro de red distinto en S1P, utilice el comando spanning-tree lan lan id root primary diameter
alor en modo de coniguracin global en el switch puente raz.

Ln el ejemplo, el comando del modo de coniguracin global spanning-tree lan 1 root primary diameter 5 se ingres para
ajustar el diametro de spanning tree en cinco switches.

Tecnologa PortFast de Cisco

Portlast es una tecnologa de Cisco. Cuando un switch de puerto conigurado con Portlast se establece como puerto de
acceso, sure una transicin del estado de bloqueo al de eniar de manera inmediata, saltando los pasos tpicos de escuchar y
aprender. Puede utilizarse Portlast en puertos de acceso, conectados a una nica estacin de trabajo o seridor, para
permitir que dichos dispositios se conecten a la red de manera inmediata sin esperar la conergencia del arbol de
expansin. Si una interaz conigurada con Portlast recibe una trama de BPDU, spanning tree puede colocar el puerto en
estado de bloqueo mediante una uncin denominada proteccin de BPDU. La coniguracin de proteccin de BPDU
excede el alcance de este curso.

Nota: La tecnologa Portlast de Cisco puede utilizarse para el soporte de DlCP. Sin Portlast, un equipo puede eniar una
solicitud de DlCP antes de que el puerto se encuentre en estado de eniar e impedirle al host la posibilidad de obtener una
direccin IP utilizable y cualquier otra inormacin. Debido a que Portlast cambia el estado a eniar de manera inmediata,
el equipo siempre obtiene una direccin IP utilizable.

Para obtener mas inormacin acerca de la coniguracin de la proteccin BPDU, consulte:

http:,,www.cisco.com,en,US,tech,tk389,tk621,technologies_tech_note09186a008009482.shtml.

Nota: Debido a que el objetio de Portlast es minimizar el tiempo que los puertos de acceso deben esperar para la
conergencia de spanning tree, slo debe utilizarse en puertos de acceso. Si se habilita Portlast en un puerto conectado a
otro switch, se corre el riesgo de generar un bucle de spanning-tree.

laga clic en el botn Conigurar Portlast que se muestra en la igura.

Para conigurar Portlast en un puerto de switch, ingrese el comando spanning-tree portast en modo de coniguracin de
interaz en todas las interaces en las que se habilitara Portlast.

Para deshabilitar Portlast, ingrese el comando no spanning-tree portast en modo de coniguracin de interaz en todas las
interaces en las que se deshabilitara Portlast.

laga clic en el botn Veriicar Portlast que se muestra en la igura.

Para eriicar que Portlast se ha habilitado para un puerto de switch, utilice el comando show running-conig en modo
LXLC priilegiado. La ausencia del comando spanning-tree portast en la coniguracin en ejecucin de una interaz indica
que Portlast se ha deshabilitado para la misma. Portlast esta deshabilitado en todas las interaces de manera
predeterminada.

5.3 CONVERGENCIA DE STP.-
5.3.1 CONVERGENCIA DE STP.-
Pasos de convergencia de STP

La seccin anterior describa los componentes que permiten a S1P crear la topologa de la red lgica sin bucles. Ln esta
seccin se examinara el proceso de S1P completo, desde el principiohasta el inal.

La conergencia es un aspecto importante del proceso de spanning-tree. La conergencia es el tiempo que le toma a la red
determinar el switch que asumira la uncin del puente raz, atraesar todos los otros estados de puerto y conigurartodos
los puertos de switch en sus unciones de puertos inales de spanning-tree, donde se eliminan todos los posibles bucles. Ll
proceso de conergencia demora un tiempo en completarse debido a los distintos temporizadores que se utilizan para
coordinar el proceso.

Para comprender el proceso de conergencia de orma mas prounda, el mismo se ha diidido en tres pasos distintos:

Paso 1. Llegir un puente raz

Paso 2. Llegir los puertos raz

Paso 3. Llegir los puertos designados y no designados

Ll resto de esta seccin explora cada paso del proceso de conergencia.

5.3.2 ELEGIR UN PUENTE RAIZ.-
Paso 1. Elegir un puente raz

Ll primer paso de la conergencia en el proceso spanning-tree es la eleccin del puente raz. Ll puente raz es la base para
todos los calculos de costos de ruta de spanning-tree y en deinitia conduce a la asignacin de las distintas unciones de
puertos utilizadas para eitar la generacin de bucles.

La eleccin de un puente raz se genera despus de que el switch ha inalizado el proceso de arranque o cuando se detecta
una alla en alguna ruta de la red. Inicialmente, todos los puertos de switch se coniguran en estado de bloqueo, que demora
20 segundos de manera predeterminada. Lsto se llea a cabo para eitar la generacin de un bucle antes de que S1P haya
contado con el tiempo para calcular las mejores rutas a la raz y conigurar todos los puertos de switch en sus unciones
especicas. Como los puertos de switch se encuentran en estado de bloqueo, an pueden eniar y recibir tramas de BPDU,
de manera que pueda continuar la eleccin de la raz del spanning-tree. Spanning tree admite un diametro de red maximo de
siete saltos de switch de extremo a extremo. Lsto permite que todo el proceso de eleccin del puente raz suceda en 14
segundos, que es menor que el tiempo que el puerto de switch permanece en estado de bloqueo.

Inmediatamente despus de que los switches inalizan el proceso de arranque, comienzan a eniar tramas de BPDU
publicando sus BID, en un intento de conertirse en el puente raz. Inicialmente, todos los switches de la red asumen que
son el puente raz para ese dominio de broadcast. La saturacin de las tramas de BPDU en la red tiene el campo de ID en
coincidencia con campo BID, lo que indica que cada switch se considera a s mismo el puente raz. Lstas tramas de BPDU
se enan cada 2 segundos en base al alor predeterminado del temporizador de saludo.

A medida que los switches reciben las tramas de BPDU de sus switches ecinos, comparan el ID de raz de la trama de
BPDU recibida con el ID de raz conigurado localmente. Si el ID de raz de la trama de BPDU recibida es menor que el
propio, el campo ID de raz se actualiza y se indica el nueo mejor candidato para la uncin de puente raz.

Despus de que el campo ID de raz se actualiza en un switch, este ltimo incorpora el ID de raz nueo en todas las
transmisiones de tramas de BPDU uturas. Lsto asegura que el menor ID de raz sea siempre eniado a todos los switches
adyacentes de la red. La eleccin del puente raz inaliza una ez que el menor ID de raz llena el campo ID de raz de todos
los switches del dominio de broadcast.

Aunque el proceso de eleccin del puente raz inaliza, los switches continan eniando sus tramas de BPDU y publicando
el ID de raz del puente raz cada 2 segundos. Cada switch se conigura con un temporizador de antigedad maxima que
determina la cantidad de tiempo que el switch mantiene la coniguracin de BPDU actual en el caso de que deje de recibir
las actualizaciones de los switches ecinos. De manera predeterminada, el temporizador de antigedad maxima se establece
en 20 segundos. Por lo tanto, si un switch no puede recibir 10 tramas de BPDU consecutias de uno de sus ecinos, asume
que ha allado una ruta lgica del spanning tree y que la inormacin de la BPDU ya no es alida. Lsto prooca otra eleccin
de puente raz de spanning-tree.

laga clic en el botn Reproducir de la igura para oler a er los pasos que utiliza S1P para elegir un puente raz

A medida que repase la orma en que S1P elige un puente raz, recuerde que el proceso de eleccin del puente raz se
produce con todos los switches que enan y reciben tramas de BPDU al mismo tiempo. La realizacin del proceso de
eleccin de orma simultanea permite a los switches determinar de manera mas rapida el switch que se conertira en el
puente raz.

Verificar la eleccin del puente raz

Cuando inaliza la eleccin del puente raz, se puede eriicar la identidad del mismo a tras del comando show spanning-
tree en modo LXLC priilegiado

Ln la topologa de ejemplo, el switch S1 posee el menor alor de prioridad de los tres switches, de manera que se puede
asumir que el mismo se conertira en el puente raz.

laga clic en el botn Resultado del switch S1 que se muestra en la igura.

Ln el ejemplo, el resultado de show spanning-tree para el switch S1 reela que es el puente raz. Se puede obserar que el
BID coincide con el ID de raz, lo que conirma que S1 es el puente raz.


Ln el ejemplo, el resultado de show spanning-tree para el switch S2 muestra que el ID de raz coincide con el ID de raz
esperado del switch S1, lo que indica que S2 considera a S1 como el puente raz.


Ln el ejemplo, el resultado de show spanning-tree para el switch S3 muestra que el ID de raz coincide con el ID de raz
esperado del switch S1, lo que indica que S3 considera a S1 como el puente raz.

Verificar el puerto raz

Cuando inaliza la eleccin del puente raz, se puede eriicar la coniguracin de los puertos raz a tras del comando show
spanning-tree en modo LXLC priilegiado.

Ln la topologa de ejemplo, el switch S1 ha sido identiicado como puente raz. Ll puerto l0,1 de S2 y el puerto l0,1 del
switch S3 son los dos mas cercanos al puente raz y, por lo tanto, deben conigurarse como puertos raz. Se puede conirmar
la coniguracin del puerto mediante el comando show spanning-tree en modo LXLC priilegiado.


Ln el ejemplo, el resultado de show spanning-tree para el switch S1 reela que es el puente raz y en consecuencia no posee
puertos raz conigurados.

Ln el ejemplo, el resultado de show spanning-tree para el switch S2 muestra que el puerto de switch l0,1 esta conigurado
como puerto raz. Ll ID de raz muestra la prioridad y la direccin MAC del switch S1.


como puerto raz. Ll ID de raz muestra la prioridad y la direccin MAC del switch S1.

5.3.4 EEGIR PUERTOS DESIGNADOS Y PUERTOS NO DESIGNADOS.-
Paso 3. Elegir puertos designados y puertos no designados

Despus de que el switch determina qu puerto es el raz, los puertos restantes deben conigurarse como puerto designado
,DP, o puerto no designado ,no DP, para inalizar la creacin del spanning tree lgico sin bucles.

1odos los segmentos de una red conmutada slo pueden contar con un puerto designado. Cuando dos puertos de switch
que no son raz se conectan al mismo segmento de LAN, se llea a cabo una competencia por las unciones de puertos. Los
dos switches intercambian tramas de BPDU para decidir cual de los puertos se establececomo designado y cual como no
designado.

Ln general, cuando un puerto de switch se conigura como designado, se basa en el BID. Sin embargo, tenga en cuenta que
la primera prioridad es el menor costo de ruta hacia el puente raz y que el BID del emisor slo lo es cuando los costos de
los puertos son iguales.

Cuando dos switches intercambian sus tramas de BPDU, examinan el BID eniado en la trama de BPDU recibida para
eriicar si es menor que los propios. Ll switch con el menor BID gana la competencia ysu puerto se conigura con la
uncin de designado. Ll switch restante conigura su puerto de switch como no designado y, por lo tanto, en el estado de
bloqueo para eitar la generacin de bucles.

Ll proceso de determinar las unciones de los puertos se produce de orma conjunta con la eleccin del puente raz y con la
designacin del puerto raz. Ln consecuencia, las unciones de designado y no designado pueden cambiar arias eces
durante el proceso de conergencia hasta que se haya determinado el ltimo puente raz. Ll proceso completo de seleccionar
el puente raz, determinar los puertos raz y los puertos designados y no designados se llea a cabo dentro de los 20
segundos que transcurren durante el estado de bloqueo. Lste tiempo de conergencia se basa en el temporizador de saludo
de 2 segundos para las transmisiones de tramas de BPDU y el diametro de siete switches que admite S1P. La demora de
antigedad maxima de 20 segundos proee el tiempo suiciente para el diametro de siete switches con el temporizador de
saludo de 2 segundos entre transmisiones de tramas de BPDU.

laga clic en cada paso de la igura para aprender acerca de la eleccin de puertos designados y no designados.

Verificar DP y no DP

Despus de que se asignaron los puertos raz, los switches determinan cuales de los puertos restantes se coniguran como
designados y cuales como no designados. Se puede eriicar la coniguracin de los puertos designados y no designados
mediante el comando show spanning-tree en modo LXLC priilegiado.

Ln la topologa:

1. Ll switch S1 se identiica como puente raz y, por lo tanto, conigura sus dos puertos de switch como designados.

2. Ll puerto l0,1 de switch S2 y el puerto l0,1 del switch S3 son los dos mas cercanos al puente raz y se coniguran como
puertos raz.

3. Los restantes, el puerto l0,2 del switch S2 y el puerto l0,2 del switch S3 deben decidir cual de los dos sera el designado
y cual sera el no designado.

4. Ll switch S2 y el switch S3 comparan sus alores de BID para determinar cual es el menor. Ll que posee el menor BID se
conigura como puerto designado.

5. Debido a que ambos switches cuentan con la misma prioridad, la direccin MAC se conierte en el actor de decisin.

6. \a que el switch S2 posee una direccin MAC menor, conigura su puerto l0,2 como designado.

. Ln consecuencia, el switch S3 conigura su puerto l0,2 como no designado para eitar la generacin de bucles.

Se puede conirmar la coniguracin de puerto mediante el comando show spanning-tree en modo LXLC priilegiado.


Ln el ejemplo, el resultado de show spanning-tree para el switch S1 reela que es el puente raz y en consecuencia sus dos
puertos se coniguran como designados.


como puerto designado.


como puerto no designado.

5.3.5 CAMBIO EN LA TOPOLOGIA DE STP.-
Proceso de notificacin de cambio en la topologa de STP

Un switch considera que ha detectado un cambio en la topologa cuando un puerto que ena se desactia ,se bloquea, por
ejemplo, o cuando un puerto cambia al estado de eniar y el switch cuenta con un puerto designado. Cuando se detecta un
cambio, el switch notiica al puente raz del spanning tree. Luego, el puente raz ena un broadcast con dicha inormacin a
toda la red.

Cuando S1P unciona de orma normal, el switch contina recibiendo tramas de BPDU de coniguracin desde el puente
raz en su puerto raz. Sin embargo, nunca ena una BPDU hacia el puente raz. Para lograr esto se introduce una BPDU
especial denominada notiicacin de cambio en la topologa ,1CN,. Cuando un switch necesita aisar acerca de un cambio

5.4 PVST+, RSTP Y PVST+ RPIDO.-
5.4.1 VARIANTES DE CISCO Y STP.-
Al igual que con muchos estandares de redes, la eolucin de S1P se ha enocado en la necesidad de crear especiicaciones
para toda la industria cuando los protocolos de propiedad son estandares de hecho. Cuando un protocolo de propiedad es
tan predominante que todos sus competidores del mercado deben contar con soporte para el mismo, las agencias como el
ILLL interienen y crean una especiicacin pblica. La eolucin de S1P ha seguido este mismo camino, como puede
erse en la tabla.

Cuando se lee acerca de S1P en el sitio Cisco.com, se adierte que existen muchos tipos de ariantes de S1P. Algunas de
estas ariantes son propiedad de Cisco y otras son estandares de ILLL. Aprendera mas detalles acerca de algunas de estas

ariantes de S1P pero para comenzar necesita poseer un conocimiento general de cuales son las ariantes de S1P mas
importantes. La tabla resume las descripciones siguientes de las ariantes principales de S1P de Cisco e ILLL.

Propiedad de Cisco

Protocolo spanning tree por VLAN ,PVS1,: Mantiene una instancia de spanning-tree para cada VLAN conigurada en la
red. Utiliza el protocolo de enlace troncal ISL propiedad de Cisco que permite que un enlace troncal de la VLAN se
encuentre en estado de eniar para algunas VLAN y en estado de bloqueo para otras. Debido a que PVS1 trata a cada
VLAN como una red independiente, puede balancear la carga de traico de la Capa 2 mediante el eno de algunas VLAN
de un enlace troncal y otras de otro enlace troncal sin generar bucles. Para PVS1, Cisco desarroll arias extensiones de
propiedad del ILLL 802.1D S1P original, como Backbonelast, Uplinklast y Portlast. Lstas extensiones de S1P de Cisco
no se cubren en este curso. Para obtener mas inormacin acerca de estas extensiones, isite:
http:,,www.cisco.com,en,US,docs,switches,lan,catalyst4000,.4,coniguration,guide,stp_enha.html.

Protocolo spanning tree por VLAN plus ,PVS1-,: Cisco desarroll PVS1- para proporcionar soporte a los enlaces
troncales de ILLL 802.1Q. PVS1- proporciona la misma uncionalidad que PVS1, incluidas las extensiones de S1P
propiedad de Cisco. PVS1- no cuenta con soporte en aquellos dispositios que no son de Cisco. PVS1- incluye una
mejora de Portlast denominada proteccin de BPDU y proteccin de raz. Para obtener mas inormacin acerca de la
proteccin de BPDU, isite:
http:,,www.cisco.com,en,US,tech,tk389,tk621,technologies_tech_note09186a008009482.shtml.

Para obtener mas inormacin acerca de la proteccin de raz, isite:
http:,,www.cisco.com,en,US,tech,tk389,tk621,technologies_tech_note09186a00800ae96b.shtml.

Protocolo spanning tree por VLAN rapido ,PVS1- rapido,: Se basa en el estandar ILLL 802.1w y posee una conergencia
mas eloz que S1P ,estandar 802.1D,. PVS1- rapido incluye las extensiones propiedad de Cisco, como Backbonelast,
Uplinklast y Portlast.

Lstandares ILLL

Protocolo Rapid spanning tree ,RS1P,: Se introdujo por primera ez en 1982 como eolucin de S1P ,estandar 802.1D,.
Proporciona una conergencia de spanning-tree mas eloz despus de un cambio de topologa. RS1P implementa las
extensiones de S1P propiedad de Cisco, como Backbonelast, Uplinklast y Portlast en el estandar pblico. A partir de
2004, el ILLL incorpor RS1P a 802.1D, mediante la identiicacin de la especiicacin como ILLL 802.1D-2004. De
manera que cuando se haga reerencia a S1P, debe pensarse en RS1P. Aprendera mas acerca de RS1P posteriormente en
esta seccin.

S1P mltiple ,MS1P,: permite que se asignen VLAN mltiples a la misma instancia de spanning-tree, de modo tal que se
reduce la cantidad de instancias necesarias para admitir una gran cantidad de VLAN. MS1P se inspir en S1P de instancias
mltiples ,MIS1P, propiedad de Cisco y es una eolucin de S1P y RS1P. Se introdujo en el ILLL 802.1s como enmienda
de la edicin de 802.1Q de 1998. Ll estandar ILLL 802.1Q-2003 ahora incluye a MS1P. MS1P proporciona arias rutas de
eno para el traico de datos y permite el balanceo de carga. La explicacin de MS1P excede el alcance de este curso. Para
obtener mas inormacin acerca de MS1P, isite:
http:,,www.cisco.com,en,US,docs,switches,lan,catalyst2950,sotware,release,12.1_19_ea1,coniguration,guide,swms
tp.html.

5.4.2 PVST+.-
PVST+

Cisco desarroll PVS1- para que una red pueda ejecutar una instancia de S1P para cada VLAN de la red. Con PVS1-
puede bloquearse mas de un enlace troncal en una VLAN y puede implementarse la carga compartida. Sin embargo,
implementar PVS1- implica que todos los switches de la red se comprometan con la conergencia de la red y los puertos
de switch deben ajustarse al ancho de banda adicional utilizado para cada instancia de PVS1- a in de poder eniar sus
propias BPDU.

Ln un entorno de PVS1- de Cisco se pueden ajustar los parametros de spanning-tree de manera que la mitad de las VLAN
puedan eniar en todos los enlaces troncales. Ln la igura, el puerto l0,3 del switch S2 es el puerto emisor para la VLAN 20
y l0,2 del switch S2 es el puerto emisor para la VLAN 10. Lsto se logra mediante la coniguracin de un switch para
elegirlo como puente raz para la mitad de la cantidad total de VLAN de la red y de otro para elegirlo como puente raz para
la otra mitad de las VLAN. Ln la igura, el switch S3 es el puente raz para la VLAN 20 y el switch S1 es el puente raz para
la VLAN 10. La creacin de distintos switches raz en S1P por VLAN genera una red mas redundante.

ID de puente en PVST+

Como recordara, en el estandar 802.1D original, un BID de 8 bytes se compone de una prioridad de puente de 2 bytes y una
direccin MAC de 6 bytes de switch. No haba necesidad de identiicar una VLAN debido a que slo exista un spanning
tree en la red. PVS1- requiere que se ejecute una instancia de spanning tree independiente por cada VLAN. Para admitir
PVS1-, el campo BID de 8 bytes se modiica para transportar un ID de VLAN ,VID,. Ln la igura, el campo de prioridad
de puente se reduce a 4 bits y un nueo campo de 12 bits, el ID de sistema extendido, contiene el VID. La direccin MAC
de 6 bytes permanece sin cambios.

A continuacin se brindan mas detalles acerca de los campos de PVS1-:

Prioridad de puente: un campo de 4 bits contiene la prioridad de puente. Debido a la cantidad de bits limitados, la prioridad
se transporta en alores discretos en incrementos de 4096 en lugar de alores discretos con incrementos de 1, como sera si
se dispusiera del campo de 16 bits. La prioridad predeterminada, de acuerdo al ILLL 802.1D, es 32 68, que es el alor
medio.
ID de sistema extendido: un campo de 12 bits que contiene el VID para PVS1-.
Direccin MAC: un campo de 6 bytes con la direccin MAC de un solo switch.

La direccin MAC es lo que identiica unocamente al BID. Cuando la prioridad y el ID de sistema extensio se anexan a la
direccin MAC del switch, cada VLAN del switch puede representarse por un nico BID.

laga clic en el botn Ljemplo de ID de puente en PVS1- que se muestra en la igura.

Ln la igura se muestran los alores de prioridad, VLAN y direccin MAC para el switch S1. Se combinan para ormar el
BID.

Precaucin: Si no se ha conigurado la prioridad, cada switch posee la misma prioridad predeterminada y la eleccin del
puente raz para cada VLAN se basa en la direccin MAC. Por lo tanto, para asegurar que se obtendra el puente raz
deseado, se aconseja asignar un alor de prioridad menor al switch que debera serir como puente raz.

La tabla muestra la coniguracin predeterminada de spanning-tree para un switch de la serie Cisco Catalyst 2960. Obsere
que el modo predeterminado de spanning-tree es PVS1-.

Configurar PVST+

La topologa muestra tres switches con enlaces troncales 802.1Q que los conectan. Se pueden obserar dos VLAN, 10 y 20,
que cuentan con enlaces troncales entre s. Lsta red no se ha conigurado para spanning tree. Ll objetio es conigurar S3
como puente raz para la VLAN 20 y S1 como puente raz para la VLAN 10. Ll puerto l0,3 de S2 es el puerto en estado de
eniar para la VLAN 20 y el puerto en estado de bloqueo para la VLAN 10. Ll puerto l0,2 de S2 es el puerto en estado de
eniar para la VLAN 10 y el puerto en estado de bloqueo para la VLAN 20. Los pasos para conigurar PVS1- en este
ejemplo son:

Paso 1. Seleccionar los switches que desea como puentes raz principal y secundario para cada VLAN.

Paso 2. Conigurar el switch que sera puente principal para una VLAN, por ejemplo: el switch S3 es el puente principal para
la VLAN 20.

Paso 3. Conigurar el switch que sera puente secundario para la otra VLAN, por ejemplo: el switch S3 es el puente
secundario para la VLAN 10.

De orma opcional, se conigura la prioridad de spanning-tree para que sea lo suicientemente baja como para que sea
seleccionado como puente principal.

laga clic en el botn Puentes raz principal y secundario de la igura.

Conigurar los puentes raz principales

Ll objetio es conigurar el switch S3 como puente raz principal para la VLAN 20 y conigurar el switch S1 como puente
raz principal para la VLAN 10. Para conigurar un switch para que se conierta en puente raz para una VLAN especica,
utilice el comando spanning-tree lan lan-ID root primary en modo de coniguracin global. Recuerde que se comienza
con una red que no se ha conigurado con spanning tree, as que se supone que todos los switches se encuentran en su
coniguracin predeterminada. Ln este ejemplo, el switch S1, que cuenta con las VLAN 10 y 20 habilitadas, retiene su
prioridad de S1P predeterminada.

Conigurar los puentes raz secundarios

Una raz secundaria es un switch que puede conertirse en puente raz para una VLAN en el caso de alla en el puente raz
principal. Para conigurar un switch como puente raz secundario, utilice el comando spanning-tree lan lan-ID root
secondary en modo de coniguracin global. Si se tiene en cuenta que los otros puentes de la VLAN retienen su priori dad de
S1P predeterminada, este switch se conierte en el puente raz en el caso de producirse una alla en el puente raz principal.
Lste comando puede ejecutarse en mas de un switch para conigurar arios puentes raz de respaldo.

La graica muestra la sintaxis del comando del IOS de Cisco para especiicar a S3 como puente raz principal para la VLAN
20 y como puente raz secundario para la VLAN 10. Ademas, el switch S1 se conierte en el puente raz principal para la
VLAN 10 y en el puente raz secundario para la VLAN 20. Lsta coniguracin permite el balanceo de carga en spanning
tree, donde el traico de la VLAN 10 pasa a tras del switch S1 y el traico de la VLAN 20 pasa a tras del switch S3.

laga clic en el botn Prioridad de switch en PVS1- que se muestra en la igura.

Prioridad de switch en PVS1-

Anteriormente en este captulo se aprendi que la coniguracin predeterminada utilizada para spanning tree es la adecuada
para la mayora de las redes. Lsto tambin es cierto para PVS1- de Cisco. Lxisten arias ormas de ajustar PVS1-. La
explicacin de la orma en que se ajusta la implementacin de PVS1- excede el alcance de este curso. Sin embargo, se
puede establecer la prioridad de switch para la instancia de spanning-tree especiicada. Lsta coniguracin aecta a la
posibilidad de que el switch sea seleccionado como switch raz. Un alor menor prooca el aumento de la probabilidad de
que el switch sea seleccionado. Lste rango oscila entre 0 y 61 440 en incrementos de 4096. Por ejemplo: un alor de
prioridad alido es 4096 x 2 ~ 8 192. 1odos los demas alores se rechazan.

Los ejemplos muestran la sintaxis del comando del IOS de Cisco.

laga clic en el botn Veriicar que se muestra en la igura.

Ll comando del modo LXLC priilegiado show spanning tree actie muestra los detalles de la coniguracin de spanning-
tree slo para las interaces actias. Ll resultado que se muestra es para el switch S1 conigurado con PVS1-. Lxiste una
gran cantidad de parametros del comando del IOS de Cisco asociados con el comando show spanning tree. Para obtener
una descripcin completa, isite:
ml4wpxre4293.

laga clic en el botn show run de la igura.

Puede er en el resultado que la prioridad para la VLAN 10 es 4096, la menor de las tres prioridades de la VLAN. Lsta
coniguracin de prioridades asegura que este switch sea el puente raz principal para la VLAN 10.

------------------------------------------------------------------------------------------------------------------------------------------------------

---------------------------------------------------------------------------------------------------------------------------------------- --------------

5.4.3 RSTP.-
Qu es RSTP?

RS1P ,ILLL 802.1w, es una eolucin del estandar 802.1D. Principalmente, la terminologa de 802.1w S1P sigue siendo la
misma que la del ILLL 802.1D S1P. La mayora de los parametros no se modiican, de modo que los usuarios
amiliarizados con S1P puedan conigurar rapidamente el nueo protocolo.

Ln la igura, la red muestra un ejemplo de RS1P. Ll switch S1 es el puente raz con dos puertos designados en estado de
eniar. RS1P admite un nueo tipo de puerto. Ll puerto l0,3 del switch S2 es un puerto alternatio en estado de descarte.
Obsere que no existen puertos bloqueados. RS1P no posee el estado de puerto de bloqueo. RS1P deine los estados de
puertos como de descarte, aprender o eniar. Aprendera mas acerca de tipos y estados de puertos posteriormente en este
captulo.

laga clic en el botn Caractersticas de RS1P en la igura.

Caractersticas de RSTP

RS1P aumenta la elocidad de recalculo del spanning tree cuando cambia la topologa de la red de la Capa 2. RS1P puede
lograr una conergencia mucho mas rapida en una red conigurada de orma adecuada, a eces slo en unos pocos cientos
de milisegundos. RS1P redeine los tipos de puertos y sus estados. Si un puerto se conigura para ser alternatio o de
respaldo, puede cambiar de manera automatica al estado de eniar sin esperar la conergencia de la red. A continuacin se
describen breemente las caractersticas de RS1P:

RS1P es el protocolo preerido para eitar los bucles de Capa 2 en un entorno de red conmutada. Muchas de las dierencias
se inormaron en las mejoras de 802.1D propiedad de Cisco. Lstas mejoras, como las BPDU que transportan y enan
inormacin acerca de las unciones de los puertos a los switches ecinos, no requieren coniguracin adicional y por lo
general poseen un mejor rendimiento que las ersiones anteriores propiedad de Cisco. Ahora son transparentes y estan
integradas al uncionamiento del protocolo.
Las mejoras al 802.1D propiedad de Cisco, como Uplinklast y Backbonelast, no son compatibles con RS1P.
RS1P ,802.1w, reemplaza a S1P ,802.1D, a la ez que mantiene la compatibilidad retrospectia. Mucha de la terminologa
de S1P permanece y la mayora de los parametros no presentan cambios. Ademas, 802.1w puede oler a la ersin 802.1D
para inter-operar con switches antiguos por puerto. Por ejemplo: el algoritmo spanning-tree de RS1P selecciona un puente
raz exactamente de la misma orma que 802.1D.
RS1P mantiene el mismo ormato de BPDU que ILLL 802.1D, excepto que el campo de ersin seestablece en 2 para
indicar que es RS1P y todos los campos de senaladores utilizan 8 bits. Las BPDU en RS1P se explican mas adelante.

RS1P puede conirmar de manera actia que un puerto puede surir una transicin segura al estado de eniar sin depender
de ninguna coniguracin de temporizadores.

BPDU en RSTP

RS1P ,802.1w, utiliza BPDU tipo 2, ersin 2, de manera que un puente en RS1P puede comunicar a 802.1D en cualquier
enlace compartido o con cualquier switch que ejecute 802.1D. RS1P ena BPDU y completa el byte senalizador de una
manera ligeramente distinta que en 802.1D:

La inormacin de protocolo puede expirar de orma inmediata en un puerto si no se reciben saludos durante tres tiempos
de saludo consecutios, 6 segundos de manera predeterminada, o si expira el temporizador de antigedad maxima.
Debido a que las BPDU se utilizan como un mecanismo de actiidad, tres BPDU perdidas de orma consecutia indican la
prdida de la conectiidad entre un puente y su raz ecino o puente designado. La rapida expiracin de la inormacin
permite que las allas se detecten muy rapidamente.

Nota: Al igual que S1P, un puente en RS1P ena una BPDU con su inormacin actual en todos los perodos de tiempo
de saludo ,2 segundos de manera predeterminada,, an si el puente de RS1P no recibe ninguna BPDU del puente raz.

RS1P utiliza el byte de senalizacin de la BPDU ersin 2 como se muestra en la igura:

Los bits 0 y se utilizan para notiicacin de cambio en la topologa y acuse de recibo de la misma orma que en 802.1D.
Los bits 1 y 6 se utilizan para el proceso de Acuerdo de propuesta ,para la conergencia rapida,.
Los bits del 2 al 5 contienen la uncin y el estado del puerto que origina la BPDU.
Los bits 4 y 5 se utilizan para codiicar la uncin del puerto mediante un cdigo de 2 bits.

5.4.4 PUERTOS DE EXTREMO.-
Puertos de extremo

Un puerto de extremo en RS1P es un puerto de switch que nunca se conecta con otro dispositio de switch. Sure la
transicin al estado de eniar de manera inmediata cuando se encuentra habilitado.

Ll concepto de puerto de extremo es muy conocido entre los usuarios de spanning-tree de Cisco, ya que corresponde a la
uncin de Portlast en la que todos los puertos conectados directamente a estaciones inales anticipan que no hay
dispositios de switch conectados a los mismos. Los puertos de Portlast suren la transicin al estado de eniar de S1P de
orma inmediata, lo que permite eitar el uso de los estados de escuchar y aprender, que consumen tiempo. Ni los puertos
de extremo ni los puertos con Portlast habilitado generan cambios de topologa cuando el puerto experimenta una
transicin al estado habilitado o deshabilitado.

A dierencia de Portlast, un puerto de extremo de RS1P que recibe una BPDU pierde su estado de puerto de extremo de
orma inmediata y se conierte en un puerto normal de spanning-tree.

La implementacin de RS1P de Cisco mantiene la palabra clae Portlast mediante el comando spanning-tree portfast
para la coniguracin del puerto de extremo. Lsto permite que la transicin de red total a RS1P sea mas transparente. La
coniguracin de un puerto de extremo para que se conecte a otro switch puede tener implicancias negatias para RS1P
cuando se encuentra en estado sincronizado, ya que puede generarse un bucle temporal, lo que posiblemente proocara una
demora en la conergencia de RS1P debido a la contencin de BPDU con el traico de bucles.

5.4.6 ESTADOS Y FUNCIONES DE LOS PUERTOS EN RSTP.-
Estados de los puertos en RSTP

RS1P proporciona una conergencia rapida despus de una alla o durante el restablecimiento de un switch, puerto de
switch o enlace. Un cambio de topologa en RS1P produce una transicin en los estados de puertos de switch adecuados a
tras de intercambios de senales explcitas o del proceso y sincronizacin de propuesta y acuerdo. Aprendera mas acerca
del proceso de propuesta y acuerdo mas adelante.

Con RS1P, la uncin de un puerto es independiente del estado del mismo. Por ejemplo: un puerto designado puede
encontrarse en estado de descarte de orma temporal, aun si su estado inal es el de eniar. La igura muestra los tres
posibles estados de puertos en RS1P: descarte, aprender y eniar.

laga clic en el botn Descripciones que se muestra en la igura.

La tabla de la igura describe las caractersticas de cada uno de los tres estados de puertos en RS1P. Ln todos los estados, el
puerto acepta y procesa las tramas de BPDU.

laga clic en el botn Puertos de S1P y RS1P que se muestra en la igura.

La tabla de la igura compara los estados de puertos en S1P y en RS1P. Recuerde que en los estados de puertos de S1P de
bloqueo, escuchar y deshabilitado no se enan tramas. Lstos estados de puertos se han unido en el estado de puerto de
descarte en RS1P.

Funciones de los puertos en RSTP

La uncin del puerto deine el objetio principal de un puerto de switch y la orma en que gestiona las tramas de datos. Las
unciones y los estados de los puertos pueden experimentar transiciones de orma independiente. La creacin de unciones
de puertos adicionales permite que RS1P deina un puerto de switch de resera antes de una alla o un cambio de topologa.
Ll puerto alternatio pasa al estado de eniar si existe una alla en el puerto designado para el segmento.

Desplace el mouse por las unciones de los puertos en la igura para aprender mas acerca de cada uncin del puerto en
RS1P.

Proceso de propuesta y acuerdo en RSTP

Ln S1P ILLL 802.1D, una ez que el puerto ue seleccionado por spanning tree para conertirse en puerto designado, debe
esperar el equialente a dos eces el retraso de eno antes de pasar el puerto al estado de eniar. RS1P agiliza el proceso de
recalculo de orma signiicatia despus de un cambio de topologa, ya que conerge enlace por enlace y no depende de que
los temporizadores expiren antes de que los puertos experimenten la transicin. La transicin rapida al estado de eniar slo
puede lograrse en los puertos de extremo y en los enlaces punto a punto. Ln RS1P, esta condicinse corresponde con el
puerto designado en estado de descarte.

laga clic en el botn Reproducir de la igura para iniciar la animacin.

5.4.7 CONFIGURACION DE STP PARA EVITAR PROBLEMAS.-
PVS1- rapido es una implementacin de Cisco de RS1P. Admite spanning tree para cada VLAN y es la ariante rapida de
S1P para utilizar en redes de Cisco. La topologa de la igura posee dos VLAN: 10 y 20. La coniguracin inal implementara
PVS1- rapido en el switch S1, que es el puente raz.

Pautas para la coniguracin

Ls de utilidad oler a er algunas de las pautas de coniguracin de spanning tree. Si desea oler a er la coniguracin
predeterminada de spanning-tree para un switch 2960 de Cisco, consulte la seccin Coniguracin de un switch de manera
predeterminada en la parte inicial de este captulo. 1enga en cuenta esas pautas a la hora de implementar PVS1- rapido.

Los comandos de PVS1- rapido controlan la coniguracin de las instancias de spanning-tree en una VLAN. Una instancia
de spanning-tree se genera cuando se asigna una interaz a una VLAN y se elimina cuando la ltima interaz se traslada a
otra VLAN. 1ambin se pueden conigurar los parametros de switch y puerto en S1P antes de crear una instancia de
spanning-tree. Lstos parametros se aplican cuando se genera un bucle y se crea una instancia de spanning-tree. Sin embargo,
asegrese de que al menos un switch de cada bucle de la VLAN ejecute spanning tree, ya que de otra manera puede
producirse una tormenta de broadcast.

Ll switch Cisco 2960 admite PVS1-, PVS1- rapido y MS1P, pero slo una ersin puede permanecer actia para todas las
VLAN en todo momento.

Para obtener detalles sobre la coniguracin de las unciones del sotware de S1P en un switch de la serie Cisco 2960 series,
isite el sitio de Cisco:

http:,,www.cisco.com,en,US,products,ps6406,products_coniguration_guide_chapter09186a0080853.html.

laga clic en el botn Comandos de coniguracin en la igura.

La igura muestra la sintaxis del comando del IOS de Cisco necesaria para conigurar PVS1- rapido en un switch de Cisco.
1ambin se pueden conigurar otros parametros.

Nota: Si se conecta un puerto conigurado con el comando spanning-tree link-type point-to-point a un puerto remoto
mediante un enlace punto a punto y el puerto local se conierte en designado, el switch negocia con el puerto remoto y
cambia rapidamente el puerto local al estado de eniar.

Nota: Cuando un puerto se conigura con el comando clear spanning-tree detected-protocols y el mismo esta conectado a
un puerto de un switch antiguo de ILLL 802.1D, el sotware IOS de Cisco uele a iniciar el proceso de migracin de
protocolo en todo el switch. Lste paso es opcional, pese a que se recomienda como practica estandar, an si el switch
designado detecta que el switch ejecuta PVS1- rapido.

Para obtener detalles completos sobre todos los parametros asociados con los comandos del IOS de Cisco, isite:
ml.

laga clic en el botn Ljemplo de coniguracin que se muestra en la igura.

La coniguracin de ejemplo muestra los comandos de PVS1- rapido habilitados en el switch S1.

laga clic en el botn Veriicar que se muestra en la igura.

Ll comando show spanning-tree lan lan-id muestra la coniguracin de la VLAN 10 en el switch S1. Obsere que la
prioridad de BID se establece en 4 096. Ll BID se conigur mediante el comando spanning-tree lan lan-id priority alor
de prioridad.

laga clic en el botn show run que se muestra en la igura.

Ln el ejemplo, el comando show running-coniguration se utiliza para eriicar la coniguracin de PVS1- rapido en S1.

5.4.8 RESOLUCION DE PROBLEMAS DE FUNCIONAMIENTO DE STP.-
Conozca dnde se encuentra la raz

Ahora sabe que la uncin principal del S1A es eitar los bucles que producen los enlaces redundantes en redes de puentes.
S1P unciona en la Capa 2 del modelo OSI. S1P puede allar en algunos casos especicos. La resolucin de problemas
puede ser muy complicada y depende del diseno de la red. Ls por eso que se recomienda que llee a cabo la parte mas
importante de la resolucin de problemas antes de que ocurran los mismos.

Ls muy comn que la inormacin acerca de la ubicacin de la raz no est disponible a la hora de resoler los problemas.
No permita que la decisin del puente raz dependa de S1P. Por lo general, para cada VLAN se puede identiicar cual es el
switch que mejor puede uncionar como raz. Ln general, elija un switch poderoso en el medio de la red. Si coloca el puente
raz en el centro de la red con una conexin directa a los seridores y routers, se reduce la distancia promedio desde los
clientes a los seridores y routers.

La igura muestra:

Si el switch S2 es la raz, el enlace desde S1 a S3 se encuentra bloqueado en S1 o en S3. Ln este caso, los hosts que se
conectan al switch S2 pueden acceder al seridor y al router en dos saltos. Los hosts que se conectan al puente S3 pueden
acceder al seridor y al router en tres saltos. La distancia promedio es de dos saltos y medio.
Si el switch S1 es la raz, el router y el seridor son alcanzables en dos saltos para los dos hosts que se conectan a S2 y S3. La
distancia promedio ahora es de dos saltos.

La lgica detras de este ejemplo simple se traslada a topologas mas complejas.
Nota: Para cada VLAN, conigure el puente raz y el puente raz de respaldo a tras de prioridades menores.

Para acilitar la solucin de problemas en S1P, planiique la organizacin de los enlaces redundantes. Ln redes no
jerarquicas puede necesitar ajustar el parametro de costo de S1P para decidir los puertos que deben bloquearse. Sin
embargo, este ajuste por lo general no es necesario si cuenta con un diseno jerarquico y con un puente razbien ubicado.

Nota: Para cada VLAN, debe conocer los puertos que deben bloquearse en la red estable. 1enga a mano un diagrama de red
que muestre de orma clara todos los bucles sicos de la red y cuales son los puertos bloqueados que eliminan esos bucles.

Conocer la ubicacin de los enlaces redundantes lo ayudara a identiicar los bucles de puenteo accidentales y sus causas.
Ademas, si conoce la ubicacin de los puertos bloqueados podra determinar la ubicacin del error.

Minimizar la cantidad de puertos bloqueados

La nica accin crtica que S1P llea a cabo es el bloqueo de puertos. Un nico puerto bloqueado que por error pasa al
estado de eniar puede impactar de orma negatia en gran parte de la red. Una buena orma de limitar el riesgo inherente al
uso de S1P es reducir el nmero de puertos bloqueados al mnimo posible.

Depuracin de VTP
No se requieren mas de dos enlaces redundantes entre dos nodos de una red conmutada. Sin embargo, la coniguracin
mostrada en la igura es muy comn. Los switches de distribucin poseen una conexin doble a dos switches del ncleo, C1
y C2. Los usuarios de los switches S1 y S2 que se conectan a los switches de distribucin se encuentran slo en un
subconjunto de las VLAN disponibles en la red. Ln la igura, los usuarios que se conectan al switch D1 se encuentran todos
en la VLAN 20, el switch D2 conecta a los usuarios a la VLAN 30. De manera predeterminada, los enlaces troncales
transportan todas las VLAN deinidas en el dominio de V1P. Slo el switch D1 recibe traico de broadcast y multicast
innecesario para la VLAN 20, pero tambin cuenta con uno de sus puertos bloqueados para la VLAN 30. Lxisten tres rutas
redundantes entre los switches C1 y C2 de la capa ncleo. Lsta redundancia tiene como consecuencia mas puertos
bloqueados y una mas alta probabilidad de bucles.

Nota: Depure todas las VLAN que no necesite en sus enlaces troncales.

laga clic en el botn Depuracin manual que se muestra en la igura.

Depuracin manual

La depuracin de V1P puede ayudar pero esta uncin no es necesaria en el ncleo de la red. Ln la igura, slo se utiliza una
VLAN de acceso para conectar los switches de distribucin al ncleo. Ln este diseno, slo hay un puerto bloqueado por
VLAN. Ademas, con este diseno se pueden eliminar todos los enlaces redundantes en un solo paso si desconecta C1 o C2.

Utilice la conmutacin de Capa 3

La conmutacin de Capa 3 implica que el enrutamiento se llea a cabo a la elocidad de la conmutacin. Un router realiza
dos unciones principales:

Construye una tabla de enos. Ln general, el router intercambia inormacin con sus pares mediante los protocolos de
enrutamiento.

Recibe paquetes y los ena a la interaz correcta en base a la direccin de destino.

Los switches Cisco de niel superior de la Capa 3 ahora pueden realizar esta segunda uncin a la misma elocidad que la
uncin de conmutacin de Capa 2. Ln la igura:

No existe penalizacin de elocidad para el salto de enrutamiento y en un segmento adicional entre C1 y C2.
Ll switch C1 del ncleo y el switch C2 del ncleo corresponden a la Capa 3. La VLAN 20 y la VLAN 30 ya no poseen
puentes entre C1 y C2, de manera que no existe la posibilidad de bucles.

La redundancia an esta presente, con dependencia en los protocolos de enrutamiento de la Capa 3. Ll diseno asegura que la
conergencia sea mas rapida que en S1P.

S1P ya no bloquea los puertos, de manera que no existe la posibilidad de bucles de puenteo.
Al establecer la VLAN segn la conmutacin de Capa 3 permite que la elocidad sea tan alta como si se contara con
puenteo dentro de la VLAN.

Puntos finales

Mantenga S1P aun si no es necesario

Asumiendo que ha eliminado todos los puertos bloqueados de la red y que no existe redundancia sica, se recomienda
altamente no deshabilitar S1P.

Ln general, S1P no es muy exigente para el procesador, la conmutacin de paquetes no inolucra a la CPU en la mayora de
los switches Cisco. Ademas, las pocas BPDU que se enan en cada enlace no reducen de orma signiicatia el ancho de
banda disponible. Sin embargo, si un tcnico comete un error de conexin en un panel de conexin y genera un bucle de
manera accidental, la red surira un impacto negatio. Ln general, deshabilitar S1P en una red conmutada no ale el riesgo.

Mantenga el traico uera de la VLAN administratia y no permita que una nica VLAN se expanda por toda la red

Ln general, un switch de Cisco posee una nica direccin IP que lo conecta a una VLAN, conocida como VLAN
administratia. Ln esta VLAN, el switch se comporta como unhost IP genrico. Ln particular, todo paquete de broadcast o
multicast se ena a la CPU. Una tasa alta de traico de broadcast o multicast en la VLAN administratia puede impactar de
orma adersa en la CPU y en su capacidad para procesar las BPDU itales. Por lo tanto, mantenga el traico de usuario
uera de la VLAN administratia.

lasta hace poco tiempo no exista manera de eliminar la VLAN 1 de un enlace troncal en una implementacin de Cisco. Ln
general, la VLAN 1 cumple la uncin de VLAN administratia, donde todos los switches son accesibles en la misma subred
IP. Pese a que es de utilidad, esta coniguracin puede ser peligrosa, ya que un bucle de puenteo en la VLAN 1 aecta a
todos los enlaces troncales, lo que puede hacer que toda la red deje de uncionar. Por supuesto, el mismo problema se repite
independientemente de la VLAN que se utilice. Intente segmentar los dominios de puenteo mediante los switches de alta
elocidad de la Capa 3.

Nota: A partir de la ersin 12.1,11b,L del sotware IOS de Cisco, se puede eliminar la VLAN 1 de los enlaces troncales. La
VLAN 1 an existe pero bloquea el traico, lo que eita la posibilidad de bucles.

PUNTOS FINALES

Mantenga S1P incluso si no es necesario.
No deshabilite S1P.
S1P no es muy exigente para el procesador.
Las pocas BPDU eniadas a cada enlace no reducen el ancho de banda.
Pero una red de puentes sin S1P puede dejar de uncionar en una raccin de segundo.

Mantenga el trfico fuera de la VLAN administrativa.
Una tasa alta de traico de broadcast o multicast en la VLAN administratia produce un eecto aderso sobre la capacidad
de la CPU para procesar las BPDU itales.
Mantenga el traico de usuario uera de la VLAN administratia.

No permita que una nica VLAN se expanda por toda la red.
La VLAN 1 sire como VLAN administratia, donde todos los switches son accesibles en la misma subred IP.
Un bucle de puenteo en la VLAN 1 aecta a todos los enlaces troncales y la red puede dejar de uncionar.
Segmente los dominios de puenteo mediante los switches de alta elocidad de la Capa 3.

5.4.9 RESOLUCION DE PROBLEMAS DE FUNCIONAMIENTO STP
Falla del switch o del enlace

Ln la animacin se puede er que cuando alla un puerto de una red conigurada con S1P, se puede producir una tormenta
de broadcast.

Ln el estado inicial de la situacin de alla en S1P, el switch S3 posee un BID menor que S2, en consecuencia el puerto
designado entre S3 y S2 es el puerto S0,1 del switch S3. Se considera que el switch S3 posee una "mejor BPDU" que el
switch S2.

laga clic en el botn Reproducir de la igura para er la alla en S1P.

Resolucin de problemas ante una falla

Desaortunadamente, no existe ningn procedimiento sistematico para la resolucin de problemas ante una alla con S1P.
Lsta seccin resume algunas de las acciones disponibles. La mayora de los pasos se aplican para la resolucin de problemas
relacionados con los bucles de puenteo en general. Puede utilizar un enoque mas conencional para identiicar otras allas
de S1P que proocan la prdida de la conectiidad. Por ejemplo: puede explorar la ruta que sigue el traico que esta
experimentando el problema.

Nota: Ls posible que el acceso dentro de la banda no se encuentre disponible durante un bucle de puenteo. Por ejemplo: es
posible que no pueda hacer 1elnet a los dispositios de la inraestructura durante una tormenta de broadcast. Por lo tanto,
puede necesitar la conectiidad uera de banda, como el acceso de consola.

Antes de llear a cabo la resolucin de problemas de un bucle de puenteo, debe conocer al menos estos actores:

1opologa de la red de puentes
Ubicacin del puente raz
Ubicacin de los puertos bloqueados y de los enlaces redundantes

Lste conocimiento es esencial. Para saber lo que debe repararse en la red, necesita saber cmo se e la red cuando unciona
de orma correcta. La mayora de los pasos de la resolucin de problemas slo utiliza los comandos show para intentar
identiicar situaciones de error. Ll conocimiento de la red ayuda a enocarse en los puertos undamentales en los
dispositios clae.

Ll resto de este tema se enoca breemente en dos problemas comunes de spanning tree, un error de coniguracin de
Portlast y los inconenientes relacionados con el diametro de la red. Para aprender mas acerca de otros inconenientes con
S1P, isite: http:,,www.cisco.com,en,US,tech,tk389,tk621,technologies_tech_note09186a00800951ac.shtml.

Lrror de coniguracin de Portlast

Ln general, slo se habilita Portlast en un puerto o interaz que se conecta a un host. Cuando se enciende el enlace en dicho
puerto, el puente salta las primeras etapas del S1A y directamente pasa al modo eniar.

Precaucin: No utilice Portlast en puertos de switch o interaces que se conectan a otros switches, hubs o routers. De otra
orma, puede generar un bucle en la red.

Ln este ejemplo, el puerto l0,1 del switch S1 ya se encuentra eniando. Ll puerto l0,2 se ha conigurado de orma errnea
con la uncin Portlast. Por lo tanto, cuando se conecta la segunda conexin desde el switch S2 a l0,2 de S1, el puerto
pasa a modo eniar de manera automatica y genera un bucle.
Lentualmente, uno de los switches eniara una BPDU y proocara la transicin de un puerto al modo de bloqueo.
Sin embargo, existe un problema con este tipo de bucle de transicin. Si el traico atrapado en el bucle es muy intenso, el
switch puede tener problemas al intentar transmitir de orma adecuada la BPDU que detiene el bucle. Lste problema puede
demorar la conergencia de manera considerable o, en algunos casos extremos, puede hacer que la red deje de uncionar.

Aun con una coniguracin de Portlast, el puerto o interaz contina participando en el S1P. Si un switch con una
prioridad de puente menor que la del puente raz actio actual se conecta a un puerto o interaz con Portlast conigurado, el
mismo puede resultar elegido como puente raz. Lste cambio de puente raz puede aectar de orma adersa a la topologa
de S1P actia y puede hacer que la red no est ptima. Para eitar esta situacin, la mayora de los switches Catalyst que
ejecutan el sotware IOS de Cisco cuenta con una uncin denominada proteccin de BPDU. La proteccin de BPDU
deshabilita un puerto o interaz conigurados con Portlast si los mismos reciben una BPDU.

Para obtener mas inormacin acerca del uso de Portlast en switches que ejecutan el sotware IOS de Cisco, consulte el
documento "Using Portlast and Other Commands to lix \orkstation Startup Connectiity Delays," disponible en:
http:,,www.cisco.com,en,US,products,hw,switches,ps00,products_tech_note09186a00800b1500.shtml.

Para obtener mas inormacin acerca del uso de la proteccin de BPDU en switches que ejecutan el sotware IOS de Cisco,
isite: http:,,www.cisco.com,en,US,tech,tk389,tk621,technologies_tech_note09186a008009482.shtml.

Inconvenientes relacionados con el dimetro de la red

Otro inconeniente del cual no existe demasiada inormacin se relaciona con el diametro de la red conmutada. Los alores
conseradores predeterminados para los temporizadores de S1P imponen un diametro maximo de red de siete.Ln la igura,
este diseno crea un diametro de red de ocho. Ll diametro de red maximo restringe la distancia que puede existir entre los
switches de la red. Ln este caso, no puede haber mas de ocho saltos entre dos switches distintos. Parte de esta restriccin se
obtiene del campo de antigedad que transporta la BPDU.

Cuando una BPDU se propaga desde el puente raz hacia las hojas del arbol, el campo de antigedad se incrementa cada ez
que la misma atraiesa un switch. Lentualmente, el switch descarta la BPDU cuando el campo de antigedad llega a la
antigedad maxima. Si la raz se encuentra demasiado lejos de algunos switches de la red, las BPDU se descartan. Lste
inconeniente aecta a la conergencia del spanning tree.

Se debe tener mucho cuidado si se planea cambiar los alores predeterminados de los temporizadores de S1P. Se corre
peligro si se intenta agilizar la conergencia de esta manera. Un cambio de temporizador de S1P impacta en el diametro de
la red y en la estabilidad de S1P. Se puede cambiar la prioridad del switch para seleccionar el puente raz y el parametro de
costo o prioridad de puerto para controlar la redundancia y el balanceo de carga.

Ll proceso de enrutamiento requiere del dispositio de origen para determinar si el dispositio de destino es local o remoto
con respecto a la subred local. Ll dispositio de origen realiza esta accin comparando las direcciones de origen y destino
con la mascara de subred. Una ez que se determin que la direccin de destino esta en una red remota, el dispositio de
origen debe identiicar si es necesario reeniar el paquete para alcanzar el dispositio de destino. Ll dispositio de origen
examina la tabla de enrutamiento local para determinar si es necesario eniar los datos. Generalmente, los dispositios
utilizan los gateways predeterminados como destino para todo el traico que necesita abandonar la subred local. Ll gateway
predeterminado es la ruta que el dispositio utiliza cuando no tiene otra ruta explcitamente deinida hacia la red de destino.
La interaz del router en la subred local acta como el gateway predeterminado para el dispositio emisor.

Una ez que el dispositio de origen determin que el paquete debe iajar a tras de la interaz del router local en la VLAN
conectada, el dispositio de origen ena una solicitud de ARP para determinar la direccin MAC de la interaz del router
local. Una ez que el router reena la respuesta ARP al dispositio de origen, ste puede utilizar la direccin MAC para
inalizar el entramado del paquete, antes de eniarlo a la red como traico unicast.

Dado que la trama de Lthernet tiene la direccin MAC de destino de la interaz del router, el switch sabe exactamente a qu
puerto del switch reeniar el traico unicast para alcanzar la interaz del router en dicha VLAN. Cuando la trama llega al
router, el router elimina la inormacin de la direccin MAC de origen y destino para examinar la direccin IP de destino del
paquete. Ll router compara la direccin de destino con las entradas en la tabla de enrutamiento para determinar si es
necesario reeniar los datos para alcanzar el destino inal. Si el router determina que la red de destino es una red conectada
en orma local, como sera el caso en el enrutamiento inter VLAN, el router ena una solicitud de ARP uera de la interaz
conectada sicamente a la VLAN de destino. Ll dispositio de destino responde al router con la direccin MAC, la cual
luego utiliza el router para entramar el paquete. Ll router ena el traico unicast al switch, que lo reena por el puerto
donde se encuentra conectado el dispositio de destino.

laga clic en el botn Reproducir que se muestra en la igura para er cmo se realiza el enrutamiento tradicional.

Aunque existen muchos pasos en el proceso de enrutamiento inter VLAN cuando dos dispositios en dierentes VLAN se
comunican a tras de un router, el proceso completo se produce en una raccin de segundo.

Para superar las limitaciones de hardware del enrutamiento inter VLAN basado en interaces sicas del router, se utilizan
subinteraces irtuales y enlaces troncales, como en el ejemplo del router-on-a-stick descrito anteriormente. Las
subinteraces son interaces irtuales basadas en sotware asignadas a interaces sicas. Cada subinteraz se conigura con su
propia direccin IP, mascara de subred y asignacin de VLAN nica, permitiendo que una interaz sica nica sea parte en
orma simultanea de mltiples redes lgicas. Lsto resulta til cuando se realiza el enrutamiento inter VLAN en redes con
mltiples VLAN y pocas interaces sicas del router.

Al conigurar el enrutamiento inter VLAN mediante el modelo router-on-a-stick, la interaz sica del router debe estar
conectada al enlace troncal en el switch adyacente. Las subinteraces se crean para cada VLAN,subred nica en la red. A
cada subinteraz se le asigna una direccin IP especica a la subred de la cual sera parte y se conigura en tramas con
etiqueta de la VLAN para la VLAN con la cual interactuara la interaz. De esa manera, el router puede mantener separado el
traico de cada subinteraz a medida que atraiesa el enlace troncal hacia el switch.

luncionalmente, el modelo router-on-a-stick para el enrutamiento inter VLAN es el mismo que se utiliza para el modelo de
enrutamiento tradicional, pero en lugar de utilizar las interaces sicas para realizar el enrutamiento, se utilizan las
subinteraces de una interaz nica.

Analicemos un ejemplo. Ln la igura, PC1 desea comunicarse con PC3. PC1 esta en la VLAN10 y PC3 esta en la VLAN30.
Para que PC1 se comunique con PC3, PC1 necesita tener los datos enrutados a tras del router R1 mediante las
subinteraces coniguradas.

laga clic en el botn Reproducir que se muestra en la igura para er cmo se utilizan las subinteraces para enrutar entre
las VLAN.

Coniguracin de la subinteraz
La coniguracin de las subinteraces del router es similar a la coniguracin de las interaces sicas, excepto que es
necesario crear la subinteraz y asignarla a una VLAN.

Ln el ejemplo, ingrese el comando interace 0,0.10 en el modo de coniguracin global para crear la subinteraz del router.
La sintaxis para la subinteraz es siempre la interaz sica, en este caso 0,0, seguida de un punto y un nmero de
subinteraz. Ll nmero de la subinteraz es conigurable, pero generalmente esta asociado para relejar el nmero de VLAN.
Ln el ejemplo, las subinteraces utilizan 10 y 30 como nmeros de subinteraz para recordar con mas acilidad las VLAN a
las que se encuentran asociadas. La interaz sica esta especiicada porque puede haber mltiples interaces en el router,
cada una conigurada para admitir muchas subinteraces.

Antes de asignar una direccin IP a una subinteraz, es necesario conigurar la subinteraz para que uncione en una VLAN
especica mediante el comando encapsulation dot1q lan id. Ln el ejemplo, la subinteraz la0,0.10 esta asignada a la
VLAN10. Una ez asignada la VLAN, el comando ip address 12.1.10.1 255.255.255.0 asigna la subinteraz a la direccin
IP apropiada para esa VLAN.

A dierencia de una interaz sica tpica, las subinteraces no estan habilitadas con el comando no shutdown en el niel de
modo de coniguracin de la subinteraz del sotware IOS de Cisco. Sin embargo, cuando la interaz sica esta habilitada
con el comando no shutdown, todas las subinteraces coniguradas estan habilitadas. De manera similar, si la interaz sica
esta deshabilitada, todas las subinteraces estan deshabilitadas.

laga clic en el botn 1abla de enrutamiento que se muestra en la igura para er un ejemplo de una tabla de enrutamiento
cuando las subinteraces estan coniguradas.

Resultado de la tabla del router
Como muestra la igura, las rutas deinidas en la tabla de enrutamiento indican que estan asociadas con las subinteraces
especicas, en lugar de las interaces sicas separadas.

Una entaja de utilizar un enlace troncal es que se reduce el nmero de puertos del switch y del router. Lsto no slo permite
un ahorro de dinero sino tambin reduce la complejidad de la coniguracin. Como consecuencia, el enoque de la
subinteraz del router puede ampliarse hasta un nmero mucho mas alto de VLAN que una coniguracin con una interaz
sica por diseno de VLAN.

Como hemos analizado, tanto las interaces sicas como las subinteraces se utilizan para realizar el enrutamiento inter
VLAN. Lstas son las entajas y desentajas de cada mtodo.

Lmites del puerto
Las interaces sicas estan coniguradas para tener una interaz por VLAN en la red. Lnlas redes con muchas VLAN, no es
posible utilizar un nico router para realizar el enrutamiento inter VLAN. Los routers tienen limitaciones sicas para eitar
que contengan una gran cantidad de interaces sicas. Sin embargo, si es una prioridad eitar el uso de subinteraces, puede
utilizar mltiples routers para realizar el enrutamiento inter VLAN para todas las VLAN.

Las subinteraces permiten ampliar el router para acomodar mas VLAN que las permitidas por las interaces sicas. Ll
enrutamiento inter VLAN en grandes ambientes con muchas VLAN puede acomodarse mejor si se utiliza una interaz sica
nica con muchas subinteraces.

Rendimiento

Debido a que no existe contencin para ancho de banda en interaces sicas separadas, las interaces sicastienen un mejor
rendimiento cuando se las compara con el uso de subinteraces. Ll traico de cada VLAN conectada tiene acceso al ancho
de banda completo de la interaz sica del router conectado a dicha VLAN para el enrutamiento inter VLAN.

Cuando se utilizan subinteraces para el enrutamiento inter VLAN, el traico que se esta enrutando compite por ancho de
banda en la interaz sica nica. Ln una red ocupada, esto puede causar un cuello de botella en la comunicacin. Para
balancear la carga de traico en una interaz sica, las subinteraces se coniguran en mltiples interaces sicas, lo que da
como resultado una menor contencin entre el traico de la VLAN.

6.2.2 CONFIGURAR EL ENRUTAMIENTO INTER VLAN DEL ROUTER-ON-A-STICK.-
Antes de conigurar el router, conigure el switch al cual ste se conectara.

Como muestra la igura, el router R1 esta conectado al switch S1 en el puerto de enlace troncal l0,5. 1ambin se agregaron
las VLAN 10 y 30 al switch S1.

laga clic en el botn Coniguracin del switch que se muestra en la igura para er un ejemplo de coniguracin del switch.

Para reisar, las VLAN se crean en el modo de coniguracin global mediante el comando vlan lan id. Ln este ejemplo, las
VLAN 10 y 30 se crearon en el switch S1 con los comandos vlan 10 y vlan 30.

Dado que el puerto del switch l0,5 se conigura como un puerto de enlace troncal, el usuario no tiene que asignar ninguna
VLAN al puerto. Para conigurar el puerto del switch l0,5 como un puerto de enlace troncal, ejecute el comando
switchport mode trunk en el modo de coniguracin de la interaz, en la interaz l0,5. No puede utilizar los comandos
switchport mode dynamic auto o switchport mode dynamic desirable porque el router no admite el protocolo de
enlace troncal dinamico.

linalmente, para proteger la coniguracin y no perderla despus de una recarga del switch, se ejecuta el comando copy
running-config startup-config en el modo LXLC priilegiado para guardar una copia de seguridad de la coniguracin en
ejecucin en la coniguracin de inicio.

laga clic en el botn Coniguracin del router que se muestra en la igura para er un ejemplo de coniguracin del router.

Coniguracin del router

A continuacin, se puede conigurar el router para realizar el enrutamiento inter VLAN.

Como muestra la igura, la coniguracin de mltiples subinteraces es dierente a cuando se utilizan interaces sicas.

Cada subinteraz se crea con el comando interace interace_id.Subinterace_id en el modo de coniguracin global.Ln este
ejemplo, la subinteraz la0,0.10 se crea mediante el comando interace a0,0.10 en el modo de coniguracin global. Una
ez creada la subinteraz, se asigna el ID de la VLAN mediante el comando encapsulation dot1q lan_id en el modo de
coniguracin de la subinteraz.

A continuacin, asigne la direccin IP para la subinteraz mediante el comando ip address ip_address subnet_mask en el
modo de coniguracin de la subinteraz. Ln este ejemplo, la subinteraz l0,0.10 es asignada a la direccin IP 12.1.10.1
mediante el comando ip address 12.1.10.1 255.255.255.0. No es necesario que ejecute un comando no shutdown en el
niel de la subinteraz porque ste no habilita la interaz sica.

Lste proceso se repite para todas las subinteraces del router necesarias para enrutar entre las VLAN coniguradas en la red.
Ls necesario asignar una direccin IP a cada subinteraz del router en una subred nica para que tenga lugar el
enrutamiento. Ln este ejemplo, se conigur la otra subinteraz del router, l0,0.30, para utilizar la direccin IP 12.1.30.1,
que esta en una subred dierente a la subinteraz l0,0.10.

Una ez coniguradas todas las subinteraces en la interaz sica del router, se habilita la interaz sica. Ln el ejemplo, la
interaz l0,0 tiene ejecutado el comando no shutdown para habilitar la interaz, la cual habilita todas las subinteraces
coniguradas.

Los routers Cisco estan conigurados de manera predeterminada para enrutar el traico entre las subinteraces locales. Por lo
tanto, no es necesario que est habilitado el enrutamiento.

Tabla de enrutamiento

Luego, examine la tabla de enrutamiento mediante el comando show ip route en el modo LXLC priilegiado. Ln el ejemplo,
hay dos rutas en la tabla de enrutamiento. Una ruta es la subred 12.1.10.0, que esta conectada a la subinteraz local
l0,0.10. La otra ruta es la subred 12.1.30.0, que esta conectada a la subinteraz local l0,0.30. Ll router utiliza la tabla de
enrutamiento para determinar dnde eniar el traico que recibe. Por ejemplo: si el router recibe un paquete en la

subinteraz l0,0.10 destinado a la subred 12.1.30.0, el router identiicara que debe eniar el paquete uera de la
subinteraz l0,0.30 para alcanzar los hosts en la subred 12.1.30.0.

laga clic en el botn Veriicar coniguracin del router que se muestra en la igura para er un ejemplo de coniguracin del
router.

Veriicar coniguracin del router

Para eriicar la coniguracin del router, utilice el comando show running-conig en el modo LXLC priilegiado. Ll
comando show running-conig muestra la coniguracin operatia actual del router. Obsere cuales son las direcciones IP
coniguradas para cada subinteraz del router, as como tambin si la interaz sica qued deshabilitada o habilitada,
mediante el comando no shutdown.

Ln este ejemplo, obsere que la interaz l0,0.10 se conigur correctamente con la direccin IP 12.1.10.1. Ademas,
obsere la ausencia del comando shutdown debajo de la interaz l0,0. La ausencia del comando shutdown coni rma que se
ejecut el comando no shutdown y se habilit la interaz.

Puede obtener inormacin mas detallada sobre las interaces del router, como inormacin de diagnstico, estado, direccin
MAC y errores de transmisin y recepcin, mediante el comando show interace en el modo LXLC priilegiado.

Una ez conigurados el router y el switch para realizar el enrutamiento inter VLAN, el siguiente paso es eriicar que el
router uncione correctamente. Puede probar el acceso a los dispositios en las VLAN remotas utilizando el comando ping.

Para el ejemplo que se muestra en la igura, debe iniciar un ping y un tracert desde PC1 hacia la direccin de destino de PC3.

Prueba de ping

Ll comando ping ena una solicitud de eco del ICMP a la direccin de destino. Cuando un host recibe una solicitud de eco
del ICMP, ste responde con una respuesta de eco del ICMP para conirmar que recibi dicha solicitud. Ll comando ping
calcula el tiempo transcurrido, para lo cual utiliza la dierencia de tiempo entre el momento en que se eni el ping y el
momento en que se recibi la respuesta de eco. Ll tiempo transcurrido se utiliza para determinar la latencia de la conexin.
Al recibir una respuesta con xito, conirma que existe una ruta entre el dispositio emisor y el dispositio receptor.

Prueba del tracert

1racert es una utilidad practica utilizada para conirmar la ruta enrutada tomada entre dos dispositios. Ln los sistemas
UNIX, la utilidad esta especiicada por traceroute. 1racert tambin utiliza el ICMP para determinar la ruta tomada, pero
utiliza las solicitudes de eco del ICMP con alores de tiempo de ida especicos deinidos en la trama.

Ll alor de tiempo de ida determina con exactitud la cantidad de saltos del router que el eco del ICMP puede alcanzar. La
primera solicitud de eco del ICMP se ena con un alor de tiempo de ida conigurado para expirar en el primer router en
la ruta hacia el dispositio de destino.

Cuando la solicitud de eco del ICMP expira en la primera ruta, se reena una conirmacin desde el router al dispositio de
origen. Ll dispositio registra la respuesta desde el router y procede a eniar otra solicitud de eco del ICMP, pero esta ez
con un alor de tiempo de ida mayor. Lsto permite a la solicitud de eco del ICMP atraesar el primer router y llegar al
segundo dispositio en la ruta hacia el destino inal. Ll proceso se repite hasta que inalmente se ena la solicitud de eco del
ICMP hacia el dispositio de destino inal. Una ez que la utilidad tracert deja de uncionar, se le presenta al usuario una lista
de todas las interaces del router que la solicitud de eco del ICMP alcanz hasta llegar al destino.

laga clic en el botn Resultados del dispositio que se muestra en la igura para er una muestra del resultado de los
comandos ping y tracert.

Ln el ejemplo, la utilidad ping pudo eniar una solicitud de eco del ICMP a la direccin IP del PC3. Ademas, la utilidad
tracert conirma que la ruta a PC3 es a tras de la direccin IP de la subinteraz 12.1.10.1 del router R1.

6.3 RESOLUCION DE PROBLEMAS DE ENRUTAMIENTO ENTRE VLAN.-
6.3.1 TEMAS DE CONFIGURACION DEL SWITCH.-
Ln este tema analizamos los retos asociados con la coniguracin de mltiples VLAN en una red. Lste tema explora los
problemas comunes y describe los mtodos de resolucin de problemas para identiicarlos y corregirlos.

Al utilizar el modelo de enrutamiento tradicional para el enrutamiento inter VLAN, asegrese de que los puertos del switch
que conectan a las interaces del router estn conigurados en las VLAN correctas. Si los puertos del switch no estan
conigurados en la VLAN correcta, los dispositios conigurados en dicha VLAN no pueden conectarse a la interaz del
router y en consecuencia no pueden enrutarse a las demas VLAN.

laga clic en el botn 1opologa 1 que se muestra en la igura.

Como puede er en 1opologa 1, PC1 y la interaz l0,0 del router R1 estan conigurados para estar en la misma subred
lgica, como lo indica la asignacin de la direccin IP. Sin embargo, el puerto del switch l0,4 que conecta a la interaz l0,0
del router R1 no se conigur y permanece en la VLAN predeterminada. Dado que el router R1 esta en una VLAN
dierente que PC1, no pueden comunicarse.

Para corregir este problema, ejecute el comando switchport access lan 10 en la coniguracin de la interaz en el puerto del
switch l0,4 en el switch S1. Cuando el puerto del switch esta conigurado para la VLAN correcta, PC1 puede comunicarse
con la interaz l0,0 del router R1, que le permite acceder a las otras VLAN conectadas al router R1.

laga clic en el botn 1opologa 2 que se muestra en la igura para er otro problema en la coniguracin del switch.

Ln 1opologa 2, se eligi el modelo de enrutamiento del router-on-a-stick. Sin embargo, la interaz l0,5 en el switch S1 no
esta conigurada como un enlace troncal y posteriormente se le dej en la VLAN predeterminada para el puerto. Como
consecuencia, el router no puede uncionar correctamente porque cada una de las subinteraces coniguradas no puede
eniar o recibir el traico etiquetado de la VLAN. Lsto eita que todas las VLAN coniguradas desde el enrutamiento a
tras del router R1 lleguen a las demas VLAN.

Para corregir este problema, ejecute el comando switchport mode trunk en la coniguracin de la interaz en el puerto del
switch l0,5 en el switch S1. Lsto conierte a la interaz en enlace troncal, lo que le permite a ste establecer con xito una
conexin con el router R1. Una ez establecido el enlace troncal en orma exitosa, los dispositios conectados a cada una de
las VLAN pueden comunicarse con la subinteraz asignada a su VLAN, permitiendo, de esta manera, que tenga lugar el
enrutamiento inter VLAN.

laga clic en el botn 1opologa 3 que se muestra en la igura para er otro problema en la coniguracin del switch.

Ln 1opologa 3, el enlace troncal entre el switch S1 y el switch S2 esta cado. Dado que no hay una conexin o ruta
redundante entre los dispositios, todos los dispositios conectados al switch S2 no pueden llegar al router R1. Por lo tanto,
todos los dispositios conectados al switch S2 no pueden enrutar con otras VLAN a tras del router R1.

Para reducir el riesgo de que acontezca un enlace inter switch allado, y de esta manera interrumpa el enrutamiento inter
VLAN, deben conigurarse los enlaces redundantes y las rutas alternatias entre el switch S1 y el switch S2. Los enlaces
redundantes se coniguran en orma de un LtherChannel que protege contra una alla de enlace nico. La tecnologa
LtherChannel de Cisco le permite agregar mltiples enlaces sicos a un enlace lgico. Lsto puede proporcionar hasta 80
Gb,s de ancho de banda agregado con 10 Gigabit LtherChannel.

Ademas, se pueden conigurar las rutas alternatias a tras de otros switches interconectados. Lste enoque depende del
protocolo spanning tree ,S1P, para eitar la posibilidad de bucles dentro del ambiente del switch. Puede haber una pequena
disrupcin en el acceso al router mientras el S1P determina si el enlace actual esta cado y encuentra una ruta alternatia.

Ll currculo CCNP dirige la tecnologa LtherChannel, ademas, para obtener mas inormacin sobre la tecnologa
LtherChannel de Cisco, isite:
http:,,www.cisco.com,en,US,tech,tk389,tk213,technologies_white_paper09186a0080092944.shtml.

Para obtener mas inormacin sobre la coniguracin de LtherChannel en un switch Catalyst 2960 de Cisco, isite:
http:,,www.cisco.com,en,US,products,ps6406,products_coniguration_guide_chapter09186a0080852d9.html.

Comandos IOS del switch Cisco

Cuando sospeche que hay un problema con una coniguracin del switch, utilice los distintos comandos de eriicacin para
examinar la coniguracin e identiicar el problema.

laga clic en el botn Asignacin incorrecta de una VLAN que se muestra en la igura.

La pantalla muestra los resultados del comando show interace interace-id switchport. Supongamos que ejecut estos
comandos porque sospecha que la VLAN 10 no se asign al puerto l0,4 en el switch S1. Ll area superior resaltada muestra
que el puerto l0,4 en el switch S1 esta en el modo de acceso, pero no muestra que se asign directamente a la VLAN 10. Ll
area inerior resaltada conirma que el puerto l0,4 an esta conigurado en la VLAN predeterminada. Los comandos show
running-conig y show interace interace-id switchport son tiles para identiicar las asignaciones de la VLAN y los
problemas de coniguracin del puerto.

laga clic en el botn Modo de acceso incorrecto que se muestra en la igura.

Despus de un esuerzo de reconiguracin, se detuo la comunicacin entre el router R1 y el switch S1. Se supone que el
enlace entre el router y el switch es un enlace troncal. La pantalla muestra los resultados de los comandos show interace
interace-id switchport y show running-conig. Ll area superior resaltada conirma que el puerto l0,4 en el switch S1 esta
en el modo de acceso, no en el modo de enlace troncal. Ll area inerior resaltada tambin conirma que el puerto l0,4 se
conigur para el modo de acceso.

6.3.2 TEMAS DE CONFIGURACION DE ROUTER.-
Uno de los errores de coniguracin del router inter VLAN mas comunes es conectar la interaz sica del router al puerto
del switch incorrecto, ya que la coloca en la VLAN incorrecta y eita que llegue a las demas VLAN.

Como puede er en 1opologa 1, la interaz l0,0 del router R1 esta conectada al puerto l0,9 del switch S1. Ll puerto del
switch l0,9 esta conigurado para la VLAN predeterminada, no para la VLAN10. Lsto eita que PC1 pueda comunicarse
con la interaz del router y, en consecuencia, enrutarse con la VLAN30.

Para corregir este problema, conecte sicamente la interaz l0,0 del router R1 al puerto l0,4 del switch S1. Lsto coloca la
interaz del router en la VLAN correcta y permite que uncione el enrutamiento inter VLAN. Otra alternatia es cambiar la
asignacin de la VLAN del puerto del switch l0,9 para que est en la VLAN10. Lsto tambin permite a PC1 comunicarse
con la interaz l0,0 del router R1.

laga clic en el botn 1opologa 2 que se muestra en la igura para er otro problema en la coniguracin del router.

Ln 1opologa 2, el router R1 se conigur para utilizar la VLAN incorrecta en la subinteraz l0,0.10, eitando que los
dispositios conigurados en la VLAN10 se comuniquen con la subinteraz l0,0.10. Luego, eita que dichos dispositios
puedan enrutarse con otras VLAN en la red.

Para corregir este problema, conigure la subinteraz l0,0.10 en la VLAN correcta mediante el comando encapsulation
dot1q 10 en el modo de coniguracin de la subinteraz. Una ez asignada la subinteraz a la VLAN correcta, se puede
acceder por medio de los dispositios a esa VLAN y realizar el enrutamiento inter VLAN.

Verificar la configuracin del router

Ln este escenario de resolucin de problemas, el usuario sospecha que hay un problema con el router R1. La subinteraz
l0,0.10 debe permitir el acceso al traico de la VLAN 10 y la subinteraz l0,0.30 debe permitir el traico de la VLAN 30.
La captura de pantalla muestra los resultados de la ejecucin de los comandos show interace y show running-conig.

La seccin superior resaltada muestra que la subinteraz l0,0.10 en el router R1 utiliza la VLAN 100. Ll comando show
interace produce muchos resultados, y esto diiculta la isin del problema.

Ll comando show running-conig conirma que la subinteraz l0,0.10 en el router R1 se conigur para permitir el acceso
al traico de la VLAN 100 y no de la VLAN 10. Quizas esto ue un error de mecanograa.

Con la correcta eriicacin, los problemas de coniguracin del router se resuelen rapidamente, lo que permite que el
enrutamiento inter VLAN uncione bien nueamente. Recuerde que las VLAN estan conectadas directamente, siendo sta
la manera en que ingresan a la tabla de enrutamiento.

6.3.3 TEMAS DE DIRECCIONAMIENTO IP.-
Como analizamos, las subredes son la clae para implementar el enrutamiento inter VLAN. Las VLAN corresponden a
subredes nicas en la red. Para que el enrutamiento inter VLAN uncione, es necesario conectar un router a todas las
VLAN, ya sea por medio de interaces sicas separadas o subinteraces de enlace troncal. 1oda interaz o subinteraz
necesita que se le asigne una direccin IP que corresponda a la subred para la cual esta conectada. Lsto permite que los
dispositios en la VLAN se comuniquen con la interaz del router y habiliten el enrutamiento del traico a otras VLAN
conectadas al router.

Lxaminemos algunos errores comunes.

Como puede er en 1opologa 1, el router R1 se conigur con una direccin IP incorrecta en la interaz l0,0. Lsto eita
que PC1 pueda comunicarse con el router R1 en la VLAN10.

Para corregir este problema, asigne la direccin IP correcta a la interaz l0,0 del router R1 mediante el comando ip address
12.1.10.1 255.255.255.0 en el modo de coniguracin de la interaz. Una ez asignada la interaz del router a la direccin
IP correcta, PC1 puede utilizar la interaz como un gateway predeterminado para acceder a las otras VLAN.

laga clic en el botn 1opologa 2 que se muestra en la igura para er otro problema en la coniguracin de la direccin IP.

Ln 1opologa 2, PC1 se conigur con la direccin IP incorrecta para la subred asociada con la VLAN10. Lsto eita que
PC1 pueda comunicarse con el router R1 en la VLAN10.

Para corregir este problema, asigne la direccin IP correcta a PC1. Segn el tipo de computadora que utilice, los detalles de
coniguracin pueden ser dierentes.

laga clic en el botn 1opologa 3 que se muestra en la igura para er otro problema en la coniguracin de la direccin IP.

Ln 1opologa 3, PC1 se conigur con la mascara de subred incorrecta. Segn la mascara de subred conigurada para PC1,
PC1 esta en la red 12.1.0.0. Lsto da como resultado que PC1 determine que PC3, con la direccin IP 12.1.30.23, esta en
la subred local. Por lo tanto, PC1 no reena el traico destinado a PC3 a la interaz l0,0 del router R1. Lntonces, el traico
nunca llega a PC3.

Para corregir este problema, cambie la mascara de subred en PC1 a 255.255.255.0. Segn el tipo de computadora que utilice,
los detalles de coniguracin pueden ser dierentes.

Comandos de verificacin

Antes aprendi que toda interaz, o subinteraz, necesita que se le asigne una direccin IP que corresponda a la subred para
la cual esta conectada. Un error comn es conigurar incorrectamente una direccin IP para una subinteraz. La captura de
pantalla muestra los resultados del comando show running-conig. Ll area resaltada muestra que la subinteraz l0,0.10 en el
router R1 tiene una direccin IP de 12.1.20.1. La VLAN para esta subinteraz debe permitir el traico de la VLAN 10.
lay una direccin IP que se conigur incorrectamente. Ll comando show ip interace es otro comando til. La segunda
area resaltada muestra la direccin IP incorrecta.

laga clic en el botn Problema en el direccionamiento IP de la computadora.

Algunas eces es el dispositio de usuario inal, como por ejemplo una computadora personal, el que ocasiona el problema.
Ln la coniguracin de pantalla de la computadora PC1, la direccin IP es 12.1.20.21, con una mascara de subred de
255.255.255.0. Pero en este escenario, PC1 debe estar en la VLAN10, con una direccin de 12.1.10.21 y una mascara de
subred de 255.255.255.0.

CAPITULO VII CONCEPTOS Y CONFIGURACION BSICOS DE LA CONEXIN
INALMBRICA

Ln los captulos anteriores, aprendi cmo las unciones del switch pueden acilitar la interconexin de dispositios en una
red conectada por cable. Las redes comerciales tpicas hacen uso extensio de las redes conectadas por cable. Las
conexiones sicas se realizan entre sistemas de computacin, sistemas de telono y otros dispositios periricos a switches
ubicados en los armarios de cableado.

Administrar una inraestructura de cableado puede ser desaiante. Considere qu sucede cuando un trabajador decide que
preiere ubicar su sistema de computacin en otro lugar de su oicina, o cuando un administrador quiere llear su
computadora portatil a la sala de conerencias y conectarse a la red desde all. Ln una red conectada por cable, necesitara
moer el cable de conexin de la red a una nuea ubicacin en la oicina del trabajador y asegurarse de que exista una
conexin de red disponible en la sala de conerencias. Cada ez son mas comunes las redes inalambricas para eitar estos
cambios sicos.

Ln este captulo, aprendera cmo las redes inalambricas de area local ,\LAN, orecen un entorno de red lexible a las
empresas. Aprendera los distintos estandares inalambricos que estan disponibles hoy y las caractersticas que cada estandar
orece. Aprendera qu componentes de hardware son usualmente necesarios en una inraestructura inalambrica, cmo
operan las \LAN y cmo asegurarlas. linalmente, aprendera a conigurar un punto de acceso inalambrico y un cliente
inalambrico.

7.1 LAN INALMBRICA.-
7.1.1 POR QU UTIULIZAR INALMBRICA?.-
Por qu las LAN inalmbricas se han vuelto tan populares?

Las redes comerciales actuales eolucionan para dar soporte a la gente que esta en continuo moimiento. Lmpleados y
empleadores, estudiantes y docentes, agentes del gobierno y aquellos a quienes siren, aicionados a los deportes y
compradores estan todos en continuo moimiento y muchos de ell os estan "conectados". 1al ez usted tiene un telono
celular al que ena mensajes instantaneos cuando se encuentra lejos de su computadora. Lsta es la isin de ambiente mil
donde las personas pueden llear su conexin a la red consigo cuando se trasladan.

lay muchas inraestructuras dierentes ,LAN conectada por cable, redes del proeedor de sericios, que permiten que
exista este tipo de moilidad, pero en un ambiente de negocios, lo mas importante es la \LAN.

La productiidad ya no esta restringida a una ubicacin de trabajo ija o a un perodo de tiempo deinido. Las personas
esperan ahora estar conectadas en cualquier momento y en cualquier lugar, desde la oicina hasta el aeropuerto o incluso en
el hogar. Los empleados que iajan solan estar restringidos a utilizar telonos pblicos para eriicar sus mensajes y para
deoler algunas llamadas telenicas entre uelos. Ahora pueden eriicar su correo electrnico, correo de oz y estado de
los productos en asistentes personales digitales ,PDA, mientras estan en ubicaciones temporales dierentes.

Muchas personas cambiaron su orma de iir y aprender en el hogar. Internet es un sericio estandar en muchos hogares,
junto con el sericio de 1V y telono. Incluso el mtodo para acceder a Internet cambi de sericio temporal de discado a
mdem a DSL dedicado o sericio por cable. Los usuarios domsticos buscan muchas de las mismas soluciones lexibles
inalambricas que buscan los trabajadores de oicina. Por primera ez, en 2005, se compraron mas computadoras portatiles
con \i-li habilitado que computadoras personales ijas.

Ademas de la lexibilidad que orecen las \LAN, el costo reducido es un beneicio importante. Por ejemplo: con una
inraestructura inalambrica ya ubicada, se ahorra al moerse una persona dentro del ediicio, al reorganizar un laboratorio, o
al moerse a ubicaciones temporarias o sitios de proyectos. Ln promedio, el costo de I1 de moer a un empleado a una
nuea ubicacin dentro del sitio es de >35 ,USD,.

Otro ejemplo es cuando la compana se muda a un nueo ediicio que no tiene ninguna inraestructura de cableado. Ln este
caso, el ahorro resultante de utilizar las \LAN puede ser incluso mas notorio, dado que se eita el gran costo de pasar
cables a tras de paredes, techos y suelos.

Aunque es dicil de medir, las \LAN pueden dar como resultado una mejor productiidad y empleados mas relajados, y as
obtener mejores resultados para los clientes y mayores ingresos.

LAN inalmbricas

Ln los captulos anteriores, aprendi sobre unciones y tecnologas de switch. Muchas redes de negocios actuales dependen
de las LAN basadas en switch para las operaciones diarias dentro de las oicinas. Sin embargo, los trabajadores son cada ez
mas miles y desean mantener el acceso a los recursos de LAN de sus negocios desde otras ubicaciones ademas de sus
escritorios. Los trabajadores en la oicina desean llear sus computadoras portatiles a reuniones o a la oicina de sus colegas.
Cuando se utiliza una computadora portatil en otra ubicacin, no es coneniente depender de una conexin conectada por
cable. Ln este tema, aprendera acerca de las LAN inalambricas y cmo beneician a su negocio. 1ambin explorara las
consideraciones de seguridad asociadas con las \LAN.

Las comunicaciones portatiles se conirtieron en una expectatia en muchos pases alrededor del mundo. Puede er
moilidad y portabilidad en todo, desde teclados inalambricos y audonos, hasta telonos satelitales y sistemas de
posicionamiento global ,GPS,. La mezcla de tecnologas inalambricas en dierentes tipos de redes permite que los
trabajadores tengan moilidad.

laga clic en el botn de LAN inalambricas en la igura.

Puede er que la \LAN es una extensin de la LAN Lthernet. La uncin de la LAN se ha uelto mil. Aprendera acerca
de la tecnologa \LAN y los estandares detras de la moilidad que permiten a las personas continuar con una conerencia
mientras caminan, en el taxi o en el aeropuerto.

Comparacin entre una WLAN y una LAN

Las LAN inalambricas comparten un origen similar con las LAN Lthernet. Ll ILLL adopt la cartera 802 LAN,MAN de
estandares de arquitectura de red de computadoras. Los dos grupos de trabajo 802 dominantes son 802.3 Lthernet y ILLL
802.11 LAN inalambrica. Sin embargo, hay dierencias importantes entre ellos.

Las \LAN utilizan recuencias de radio ,Rl,, en lugar de cables en la Capa sica y la sub-capa MAC de la Capa de enlace
de datos. Comparada con el cable, la Rl tiene las siguientes caractersticas:

La Rl no tiene lmites, como los lmites de un cable enuelto. La alta de dicho lmite permite a las tramas de datos iajar
sobre el medio Rl para estar disponibles para cualquiera que pueda recibir la senal Rl.
La senal Rl no esta protegida de senales exteriores, como s lo esta el cable ensu enoltura aislante. Las radios que
uncionan independientemente en la misma area geograica, pero que utilizan la misma Rl o similar, pueden intererirse
mutuamente.
La transmisin Rl esta sujeta a los mismos desaos inherentes a cualquier tecnologabasada en ondas, como la radio
comercial. Por ejemplo: a medida que usted se aleja del origen, puede or estaciones superpuestas una sobre otra o escuchar
estatica en la transmisin. Con el tiempo, puede perder la senal por completo. Las LAN conectadas ti enen cables que son
del largo apropiado para mantener la uerza de la senal.
Las bandas Rl se regulan en orma dierente en cada pas. La utilizacin de las \LAN esta sujeta a regulaciones adicionales
y a conjuntos de estandares que no se aplican a las LAN conectadas por cable.

Las \LAN conectan a los clientes a la red a tras de un punto de acceso inalambrico ,AP, en lugar de un switch Lthernet.

Las \LAN conectan los dispositios miles que, en general, estan alimentados por batera, en lugar de los dispositios
enchuados de la LAN. Las tarjetas de interaz de la red inalambrica ,NIC, tienden a reducir la ida de la batera de un
dispositio mil.

Las \LAN admiten hosts que se disputan el acceso a los medios Rl ,bandas de recuencia,. 802.11 recomienda la
preencin de colisiones, en lugar de la deteccin de colisiones para el acceso a medios, para eitar -en orma proactia-
colisiones dentro del medio.

Las \LAN utilizan un ormato de trama dierente al de las LAN Lthernet conectadas por cable. Las \LAN requieren
inormacin adicional en el encabezado de la Capa 2 de la trama.

Las \LAN tienen mayores inconenientes de priacidad debido a que las recuencias de radio pueden salir uera de las
instalaciones.

Introduccin de las LAN inalmbricas

Las LAN inalambricas 802.11 extienden las inraestructuras LAN Lthernet 802.3 para proeer opciones adicionales de
conectiidad. Sin embargo, se utilizan componentes y protocolos adicionales para completar las conexiones inalambricas.

Ln una LAN Lthernet 802.3 cada cliente tiene un cable que conecta el NIC del cliente a un switch. Ll switch es el punto en
el que el cliente obtiene acceso a la red.

laga clic en el botn de Dispositios \LAN en la igura.

Ln una LAN inalambrica, cada cliente utiliza un adaptador inalambrico para obtener acceso a la red a tras de un
dispositio inalambrico como un router inalambrico o punto de acceso.

laga clic en el botn Clientes en la igura.

Ll adaptador inalambrico en el cliente se comunica con el router inalambrico o punto de acceso mediante senales Rl. Una
ez conectados a la red, los clientes inalambricos pueden acceder a los recursos de la red como si estuieran conectados a la
red mediante cable.

7.1.2 ESTNDARES DE LAN INALMBRICAS.-
Estndares de LAN inalmbricas

LAN inalambrica 802.11 es un estandar ILLL que deine cmo se utiliza la radiorecuencia ,Rl, en las bandas sin licencia
de recuencia mdica, cientica e industrial ,ISM, para la Capa sica y la sub-capa MAC de enlaces inalambricos.

Cuando el 802.11 se emiti por primera ez, prescriba tasas de datos de 1 - 2 Mb,s en la banda de 2,4 Glz. Ln ese
momento, las LAN conectadas por cable operaban a 10 Mb,s, de modo que la nuea tecnologa inalambrica no se adopt
con entusiasmo. A partir de entonces, los estandares de LAN inalambricas mejoraron continuamente con la edicin de
ILLL 802.11a, ILLL 802.11b, ILLL 802.11g, y el borrador 802.11n.

La eleccin tpica sobre qu estandar \LAN utilizar se basa en las tasas de datos. Por ejemplo: 802.11a y g pueden admitir
hasta 54 Mb,s, mientras que 802.11b admite hasta un maximo de 11 Mb,s, lo que implica que 802.11b es un estandar
"lento" y que 802.11 a y g son los preeridos. Un cuarto borrador \LAN, 802.11n, excede las tasas de datos disponibles en
la actualidad. Ll ILLL 802.11n debe ser ratiicado para septiembre de 2008. La igura compara los estandares ILLL
802.11a, b y g.

laga clic en el botn 1abla en la igura para er detalles sobre cada estandar.

Las tasas de datos de los dierentes estandares de LAN inalambrica estan aectadas por algo llamado tcnica de modulacin.
Las dos tcnicas de modulacin comprendidas en este curso son: Lspectro de dispersin de secuencia directa ,DSSS, y
Multiplexacin por diisin de recuencias octagonales ,OlDM,. No necesita saber cmo trabajan estas tcnicas para este
curso, pero debe saber que cuando un estandar utilice OlDM, tendra tasas de datos mas eloces. Ademas, el DSSS es mas
simple que el OlDM, de modo que su implementacin es mas econmica.

802.11a

Ll ILLL 802.11a adopt la tcnica de modulacin OlDM y utiliza la banda de 5 Glz.

Los dispositios 802.11a que operan en la banda de 5 Glz tienen menos probabilidades de surir intererencia que los
dispositios que operan en la banda de 2,4 Glz porque existen menos dispositios comerciales que utilizan la banda de 5
Glz. Ademas, las recuencias mas altas permiten la utilizacin de antenas mas pequenas.

Lxisten algunas desentajas importantes al utilizar la banda de 5 Glz. La primera es que, a recuencia de radio mas alta,
mayor es el ndice de absorcin por parte de obstaculos tales como paredes, y esto puede ocasionar un rendimiento pobre
del 802.11a debido a las obstrucciones. Ll segundo es que esta banda de recuencia alta tiene un rango mas acotado que el
802.11b o el g. Ademas, algunos pases, incluida Rusia, no permiten la utilizacin de la banda de 5 Glz, lo que puede
restringir mas su implementacin.

802.11b y 802.11g

802.11b especiic las tasas de datos de 1, 2, 5,5 y 11 Mb,s en la banda de 2,4 Glz ISM que utiliza DSSS. 802.11g logra
tasas de datos superiores en esa banda mediante la tcnica de modulacin OlDM. ILLL 802.11g tambin especiica la
utilizacin de DSSS para la compatibilidad retrospectia de los sistemas ILLL 802.11b. Ll DSSS admite tasas de datos de 1,
2, 5,5 y 11 Mb,s, como tambin las tasas de datos OlDM de 6, 9, 12, 18, 24, 48 y 54 Mb,s.

Lxisten entajas en la utilizacin de la banda de 2,4 Glz. Los dispositios en la banda de 2,4 Glz tendran mejor alcance
que aquellos en la banda de 5 Glz. Ademas, las transmisiones en esta banda no se obstruyen acilmente como en 802.11a.

lay una desentaja importante al utilizar la banda de 2,4 Glz. Muchos dispositios de clientes tambin utilizan la banda de
2,4 Glz y proocan que los dispositios 802.11b y g tiendan a tener intererencia.

802.11n

Ll borrador del estandar ILLL 802.11n ue pensado para mejorar las tasas de datos y el alcance de la \LAN sin requerir
energa adicional o asignacin de la banda Rl. 802.11n utiliza radios y antenas mltiples en los puntos inales, y cada uno
transmite en la misma recuencia para establecer streams mltiples. La tecnologa de entrada mltiple,salida mltiple
,MIMO, diide un stream rapido de tasa de datos en mltiples streams de menor tasa y los transmite simultaneamente por
las radios y antenas disponibles. Lsto permite una tasa de datos terica maxima de 248 Mb,s por medio de dos streams.

Se espera que el estandar se ratiique para septiembre de 2008.

Importante: Ll sector de comunicaciones de la Unin internacional de telecomunicaciones ,I1U-R, asigna las bandas Rl.
La I1U-R designa las recuencias de banda de 900 Mlz, 2,4 Glz, y 5 Glz como sin licencia para las comunidades ISM. A
pesar de que las bandas ISM no tienen licencia a niel global, s estan sujetas a regulaciones locales. La lCC administra la
utilizacin de estas bandas en los LL. UU., y la L1SI hace lo propio en Luropa. Lstos temas tendran un impacto en su
decisin a la hora de seleccionar los componentes inalambricos en una implementacin inalambrica.

Certificacin Wi-Fi

La certiicacin \i-li la proee la \i-li Alliance ,http:,,www.wi-i.org,, una asociacin de comercio industrial global sin
ines de lucro, dedicada a promoer el crecimiento y aceptacin de las \LAN. Apreciara mejor la importancia de la
certiicacin \i-li si considera el rol de la \i-li Alliance en el contexto de los estandares \LAN.

Los estandares aseguran interoperabilidad entre dispositios hechos por dierentes abricantes. Las tres organizaciones clae
que inluencian los estandares \LAN en todo el mundo son:

I1U-R
ILLL
\i-li Alliance

Ll I1U-R regula la asignacin del espectro Rl y rbitas satelitales. Lstos se describen como recursos naturales initos que se
encuentran en demanda por parte de clientes, como redes inalambricas ijas, redes inalambricas miles y sistemas de
posicionamiento global.

Ll ILLL desarroll y mantiene los estandares para redes de area local y metropolitanas con la amilia de estandares ILLL
802 LAN,MAN. Ll ILLL 802 es administrado por el comit de estandares ILLL 802 LAN,MAN ,LMSC,, que superisa
mltiples grupos de trabajo. Los estandares dominantes en la amilia ILLL 802 son 802.3 Lthernet, 802.5 1oken Ring, y
802.11 LAN inalambrica.

A pesar de que el ILLL especiic estandares para los dispositios de modulacin Rl, no especiic estandares de
abricacin, de modo que las interpretaciones de los estandares 802.11 por parte de los dierentes proeedores pueden
causar problemas de interoperabilidad entre sus dispositios.

La \i-li Alliance es una asociacin de proeedores cuyo objetio es mejorar la interoperabilidad de productos que estan
basados en el estandar 802.11, y certiica proeedores en conormidad con las normas de la industria y adhesin a los
estandares. La certiicacin incluye las tres tecnologas Rl ILLL 802.11, as como la adopcin temprana de los borradores
pendientes de la ILLL, como el estandar 802.11n, y los estandares de seguridad \PA y \PA2 basados en ILLL 802.11i.

Los roles de estas tres organizaciones pueden resumirse de la siguiente manera:

Ll I1U-R regula la asignacin de las bandas Rl.
ILLL especiica cmo se modula Rl para transportar inormacin.
\i-li asegura que los proeedores abriquen dispositios que sean interoperables.

7.1.3 COMPONENTES DE INFRAESTRUCTURA INALMBRICA?
NIC inalmbricos

Puede que ya est utilizando una red inalambrica en su hogar, en un cyber ca local o en la escuela a la que concurre.
,Alguna ez se pregunt qu componentes de hardware estan inolucrados en su acceso inalambrico a l a red local o a
Internet Ln este tema, aprendera qu componentes estan disponibles para implementar las \LAN y cmo se utiliza cada
uno de ellos en la inraestructura inalambrica.

Para reisar, los componentes constitutios de una \LAN son estaciones cliente que conectan a los puntos de acceso, que
se conectan, a su ez, a la inraestructura de la red. Ll dispositio que hace que una estacin cliente pueda eniar y recibir
senales Rl es el NIC inalambrico.

Como un NIC Lthernet, el NIC inalambrico, utiliza la tcnica de modulacin para la que esta conigurado y codiica un
stream de datos dentro de la senal Rl. Los NIC inalambricos se asocian mas recuentemente a dispositios miles, como
computadoras portatiles. Ln la dcada de los noenta, los NIC inalambricos para computadoras portatiles eran tarjetas que
se deslizaban dentro de la ranura PCMCIA. Los NIC inalambricos PCMCIA son todaa comunes, pero muchos abricantes
comenzaron a incorporar el NIC inalambrico dentro de la computadora portatil. A dierencia de las interaces Lthernet
802.3 incorporadas en las PC, el NIC inalambrico no es isible, ya que no es necesario conectar un cable a ste.

1ambin surgieron otras opciones a tras de los anos. Las computadoras personales ubicadas en una instalacinexistente
no conectada por cable pueden tener instalado un NIC PCI inalambrico. Lxisten, ademas, muchas opciones USB
disponibles para conigurar rapidamente una computadora, ya sea portatil o de escritorio, con o sin NIC inalambrico.

Puntos de acceso inalmbricos

Un punto de acceso conecta a los clientes ,o estaciones, inalambricas a la LAN cableada. Los dispositios de los clientes,
por lo general, no se comunican directamente entre ellos, se comunican con el AP. Ln esencia, un punto de acceso conierte
los paquetes de datos 1CP,IP desde su ormato de encapsulacin en el aire 802.11 al ormato de trama de Lthernet 802.3
en la red Lthernet conectada por cable.

Ln una inraestructura de red, los clientes deben asociarse con un punto de acceso para obtener sericios de red. La
asociacin es el proceso por el cual un cliente se une a una red 802.11. Ls similar a conectarse a una red LAN conectada por
cable. La asociacin se discute en temas posteriores.

Un punto de acceso es un dispositio de Capa 2 que unciona como un hub Lthernet 802.3. La Rl es un medio compartido
y los puntos de acceso escuchan todo el traico de radio ,recuencia,. Al igual que con el Lthernet 802.3, los dispositios que
intentan utilizar el medio compiten por l. A dierencia de los NIC Lthernet, sin embargo, es costoso realizar NIC
inalambricos que puedan transmitir y recibir inormacin al mismo tiempo, de modo que los dispositios de radio no
detectan colisiones. Ln cambio, los dispositios \LAN estan disenados para eitarlos.

CSMA/CA

Los puntos de acceso superisan una uncin de coordinacin distribuida ,DCl, llamada Acceso mltiple por deteccin de
portadora con preencin de colisiones ,CSMA,CA,. Lsto simplemente signiica que los dispositios en una \LAN deben
detectar la energa del medio ,estimulacin de la Rl sobre cierto umbral, y esperar hasta que ste se libere antes de eniar.
Dado que se requiere que todos los dispositios lo realicen, se distribuye la uncin de coordinar el acceso al medio. Si un
punto de acceso recibe inormacin desde la estacin de un cliente, le ena un acuse de recibo para conirmar que se recibi
la inormacin. Lste acuse de recibo eita que el cliente suponga que se produjo una colisin e impide la retransmisin de
inormacin por parte del cliente.

laga clic en el botn de Nodos ocultos en la igura.
Atenuacin de las senales Rl. Lso signiica que pueden perder energa a medida que se alejan de su punto de origen. Piense
en alejarse del alcance de una estacin de radio. Lsta atenuacin de la senal puede ser un problema en una \LAN donde las
estaciones se disputan el medio.

Imagine dos estaciones cliente que conectan al punto de acceso, pero estan en lugares opuestos de su alcance. Si estan del
alcance maximo del punto de acceso, no podran conectarse entre s. De esta manera, ninguna de esas estaciones detecta a la
otra en el medio, y pueden terminar por transmitir en simultaneo. A esto se lo llama problema de nodo ,o estacin,
escondido.

Una manera de resoler este problema de nodo escondido es una caracterstica de CSMA,CA llamada peticin para
eniar,listo para eniar ,R1S,C1S,. Ll R1S,C1S se desarroll para permitir una negociacin entre un cliente y un punto de
acceso. Cuando esta actiado el R1S,C1S en una red, los puntos de acceso asignan un medio para la estacin que lo solicite
por el tiempo que sea necesario para completar la transmisin. Cuando se completa la transmisin, otras estaciones pueden
solicitar el canal de modo similar. De otra orma, se retoma la uncin de preencin de colisiones normal.

Routers inalmbricos

Los routers inalambricos cumplen el rol de punto de acceso, switch Lthernet y router. Por ejemplo: los Linksys \R1300N
utilizados son en realidad tres dispositios en una caja. Primero esta el punto de accesoinalambrico, que cumple las
unciones tpicas de un punto de acceso. Un switch integrado de cuatro puertos ull-duplex, 10,100 proporciona la
conectiidad a los dispositios conectados por cable. linalmente, la uncin de router proee un gateway para conectar a
otras inraestructuras de red.

Ll \R1300N se utiliza mas recuentemente como dispositio de acceso inalambrico en residencias o negocios pequenos. La
carga esperada en el dispositio es lo suicientemente pequena como para administrar la proisin de \LAN, 802.3
Lthernet, y conectar a un ISP.

7.1.4 OPERACIN INALMBRICA.-
Parmetros configurables para los puntos finales inalmbricos

La igura muestra la pantalla inicial para la coniguracin inalambrica en un router Linksys inalambrico. Varios procesos
deben tener lugar para crear una conexin entre cliente y punto de acceso. Debe conigurar los parametros en el punto de
acceso y, posteriormente, en el dispositio de su cliente, para permitir la negociacin de estos procesos.

laga clic en el botn Modos en la igura para er el parametro de Modo de red inalambrica.

Ll modo de red inalambrica se remite a los protocolos \LAN: 802.11a, b, g, o n. Dado que 802.11g es compatible con
ersiones anteriores de 802.11b, los puntos de acceso admiten ambos estandares. Recuerde que si todos los clientes se
conectan a un punto de acceso con 802.11g, se beneiciaran con las mejores elocidades de transmisin de datos. Cuando
los clientes 802.11b se asocian con el punto de acceso, todos los clientes mas eloces que se disputan el canal deben esperar
que los clientes en 802.11b lo despejen antes de poder transmitir. Cuando un punto de acceso Linksys se conigura para
permitir clientes de 802.11b y 802.11g, opera en modo mixto.

Para que un punto de acceso admita tanto el 802.11a como los 802.11b y g, debera tener una segunda radio para operar en la
banda Rl dierente.

laga clic en el botn SSID en la igura para er una lista de SSID para un cliente de \indows.

Un identiicador de sericio compartido ,SSID, es un identiicador nico que utiliza los dispositios cliente para distinguir
entre mltiples redes inalambricas cercanas. Varios puntos de acceso en la red pueden compartir un SSID. La igura muestra
un ejemplo de los SSID que se distinguen entre las \LAN, cada uno de los cuales puede ser alanumrico, con entrada de 2
a 32 caracteres de longitud, con distincin entre maysculas y minsculas.

laga clic en el botn Canal en la igura para er una graica de canales no superpuestos.

Ll estandar ILLL 802.11 establece el esquema de canalizacin para el uso de las bandas ISM Rl no licenciadas en las
\LAN. La banda de 2,4 Glz se diide en 11 canales para Norteamrica y 13 canales para Luropa. Lstos canales tienen una
separacin de recuencia central de slo 5 Mlz y un ancho de banda total ,u ocupacin de recuencia, de 22 Mlz. Ll ancho
de banda del canal de 22 Mlz combinado con la separacin de 5 Mlz entre las recuencias centrales signiica que existe
una superposicin entre los canales sucesios. Las optimizaciones para las \LAN que requieren puntos de acceso mltiple
se coniguran para utilizar canales no superpuestos. Si existen tres puntos de acceso adyacentes, utilice los canales 1, 6 y 11.
Si slo hay dos, seleccione dos canales cualesquiera con al menos 5 canales de separacin entre ellos, como el canal 5 y el
canal 10. Muchos puntos de acceso pueden seleccionar automaticamente un canal basado en el uso de canales adyacentes.
Algunos productos monitorean continuamente el espacio de radio para ajustar la coniguracin de canal de modo dinamico
en respuesta a los cambios del ambiente.

Topologas 802.11

Las LAN inalambricas pueden utilizar dierentes topologas de red. Al describir estas topologas, la pieza undamental de la
arquitectura de la \LAN ILLL 802.11 es el conjunto de sericio basico ,BSS,. Ll estandar deine al BSS como un grupo de
estaciones que se comunican entre ellas.
laga clic en el botn Ad loc en la igura.
Redes Ad hoc

Las redes inalambricas pueden operar sin puntos de acceso, se llama topologa ad hoc. Las estaciones cliente que estan
coniguradas para operar en modo ad hoc coniguran los parametros inalambricos entre ellas. Ll estandar ILLL 802.11 se
reiere a una red ad hoc como un BSS ,IBSS, independiente.

laga clic en el botn de BSS en la igura.
Conjunto de sericios basicos

Los puntos de acceso proeen una inraestructura que agrega sericios y mejora el alcance para los clientes. Un punto de
acceso simple en modo inraestructura administra los parametros inalambricos y la topologa es simplemente un BSS. Ll
area de cobertura para un IBSS y un BSS es el area de sericio basica ,BSA,.

laga clic en el botn de LSS en la igura.
Conjuntos de sericios extendidos

Cuando un BSS simple no proee la suiciente cobertura Rl, uno o mas se pueden unir a tras de un sistema de
distribucin simple hacia un conjunto de sericios extendidos ,LSS,. Ln un LSS, un BSS se dierencia de otro mediante el
identiicador BSS ,BSSID,, que es la direccin MAC del punto de acceso que sire al BSS. Ll area de cobertura es el area de
sericio extendida ,LSA,.

Sistema de distribucin comn

Ll sistema de distribucin comn permite a los puntos de acceso mltiple en un LSS aparentar ser un BSS simple. Un LSS
incluye generalmente un SSID comn para permitir al usuario moerse de un punto de acceso a otro.

Las celdas representan el area de cobertura proporcionada por un nico canal. Un LSS debe tener de 10 a 15 por ciento de
superposicin entre celdas en un area de sericio extendida. Con un 15 por ciento de superposicin entre celdas, un SSID y
canales no superpuestos ,una celda en canal 1 y la otra en canal 6,, se puede crear la capacidad de roaming.

laga clic en el botn Resumen en la igura para er las comparaciones de las topologas \LAN.

Asociacin punto de acceso y cliente

Una parte clae del proceso de 802.11 es descubrir una \LAN y, luego, conectarse a ella. Los componentes principales de
este proceso son los siguientes:

Beacons - 1ramas que utiliza la red \LAN para comunicar su presencia.
Sondas - 1ramas que utilizan los clientes de la \LAN para encontrar sus redes.
Autenticacin - Proceso que unciona como instrumento del estandar original 802.11, que el estandar todaa exige.
Asociacin - Proceso para establecer la conexin de datos entre un punto de acceso y un cliente \LAN.

Ll propsito principal de la beacon es permitir a los clientes de la \LAN conocer qu redes y puntos de acceso estan
disponibles en un area dada, permitindoles, por lo tanto, elegir qu red y punto de acceso utilizar. Los puntos de acceso
pueden transmitir beacons peridicamente.

Aunque las beacons pueden transmitirse regularmente por un punto de acceso, las tramas para sondeo, autenticacin y
asociacin se utilizan slo durante el proceso de asociacin ,o reasociacin,.

Proceso conjunto 802.11 ,Asociacin,

Antes de que un cliente 802.11 pueda eniar inormacin a tras de una red \LAN, debe atraesar el siguiente proceso de
tres etapas:

laga clic en el botn Sondear en la igura.
Etapa 1 - Sondeo de 802.11

Los clientes buscan una red especica mediante un pedido de sondeo a mltiples canales. Ll pedido de sondeo especiica el
nombre de la red ,SSID, y las tasas de bit. Un cliente tpico de \LAN se conigura con el SSID deseado, de modo que los
pedidos de sondeo del cliente \LAN contienen el SSID de la red \LAN deseada.

Si el cliente \LAN slo quiere conocer las redes \LAN disponibles, puede eniar un pedido de sondeo sin SSID, y todos
los puntos de acceso que estn conigurados para responder este tipo de consulta, responderan. Las \LAN con la
caracterstica de broadcast SSID deshabilitada no responderan.

laga clic en el botn Autenticar en la igura.

Etapa 2 - Autenticacin 802.11

802.11 se desarroll originalmente con dos mecanismos de autenticacin. Ll primero, llamado autenticacin abierta, es
undamentalmente una autenticacin NULL donde el cliente dice "autentcame", y el punto de acceso responde con "s".
Lste es el mecanismo utilizado en casi todas las implementaciones de 802.11.

Un segundo mecanismo de autenticacin se basa en una clae que es compartida por la estacin del cliente y el punto de
acceso llamado Proteccin de equialencia por cable ,cable \LP,. La idea de la clae \LP compartida es que le permita a
una conexin inalambrica la priacidad equialente a una conexin por cable, pero cuando originalmente se implement este
mtodo de autenticacin result deiciente. A pesar de que la clae de autenticacin compartida necesita estar incluida en las
implementaciones de cliente y de punto de acceso para el cumplimiento general de los estandares, no se utiliza ni se
recomienda.

laga clic en el botn Asociar en la igura.

Etapa 3 - asociacin 802.11

Lsta etapa inaliza la seguridad y las opciones de tasa de bit, y establece el enlace de datos entre el cliente \LAN y el punto
de acceso. Como parte de esta etapa, el cliente aprende el BSSID, que es la direccin MAC del punto de acceso, y el punto
de acceso traza un camino a un puerto lgico conocido como el identiicador de asociacin ,AID, al cliente \LAN. Ll AID
es equialente a un puerto en un switch. Ll proceso de asociacin permite al switch de inraestructura seguir la pista de las
tramas destinadas para el cliente \LAN, de modo que puedan ser reeniadas.

Una ez que un cliente \LAN se asoci con un punto de acceso, el traico puede iajar de un dispositio a otro.

7.1.5 PLANIFICACIN DE LA LAN INALMBRICA.-
Planificacin de la LAN inalmbrica

Implementar una \LAN que saque el mejor proecho de los recursos y entregue el mejor sericio puede requerir de una
planiicacin cuidadosa. Las \LAN pueden abarcar desde instalaciones relatiamente simples a disenos intrincados y muy
complejos. Se necesita un plan bien disenado antes de poder implementar una red inalambrica. Ln este tema, presentamos
las consideraciones que deben tenerse en cuenta para el diseno y la planiicacin de una LAN inalambrica.

Ll nmero de usuarios que una \LAN puede admitir no es un calculo simple. Ll nmero de usuarios depende de la
distribucin geograica de sus instalaciones ,cuantos cuerpos y dispositios entran en un espacio,, las elocidades de
transmisin de datos que los usuarios esperan ,porque la Rl es un medio compartido y, a mayor cantidad de usuarios, hay
una mayor cantidad de disputa por la Rl,, el uso de canales no superpuestos mediante puntos de acceso mltiples en un
LSS y la coniguracin de la energa de transmisin ,que estan limitadas por regulacin local,.1endra suiciente soporte
inalambrico para sus clientes si planiica su red para una cobertura Rl adecuada en un LSS. Las consideraciones detalladas
acerca de cmo planiicar nmeros especicos de usuarios estan mas alla del alcance de este curso.

laga clic en el botn Asignar en la igura.

Al planiicar la ubicacin de los puntos de acceso, puede que no sea capaz de simplemente dibujar los crculos del area de
cobertura y olcarlos en un plano. Ll area de cobertura circular aproximada es muy importante, pero existen algunas
recomendaciones adicionales.

Si los puntos de acceso utilizaran cableado existente o si existen ubicaciones donde los puntos de acceso no pueden
ubicarse, anote estas ubicaciones en el mapa.

Posicione los puntos de acceso sobre las obstrucciones.
Posicione los puntos de acceso en orma ertical, cerca del techo en el centro de cada area de cobertura, de ser posible.
Posicione los puntos de acceso en las ubicaciones donde se espera que estn los usuarios. Por ejemplo: las salas de
conerencia son una mejor ubicacin para los puntos de acceso que un estbulo.

Cuando estas indicaciones se hayan tenido en cuenta, estime el area de cobertura esperada de un punto de acceso. Lste alor
ara dependiendo del estandar \LAN o el conjunto de estandares que est distribuyendo, la naturaleza de las instalaciones,
la energa de transmisin para la cual el punto de acceso esta conigurado, etc. Siempre consulte las especiicaciones para el
punto de acceso cuando planiica las areas de cobertura.

Basandose en su plano, ubique los puntos de acceso en el plano del piso, de modo que los crculos de cobertura se
superpongan, como se ilustra en el siguiente ejemplo.

Calculo de ejemplo

Ll auditorio abierto ,un ediicio del tipo Depsito,labrica, que se muestra en la igura es de aproximadamente 20 000 pies
cuadrados.

Los requerimientos de la red especiican que debe haber un mnimo de 6 Mb,s 802.11b de rendimiento en cada BSA,
porque hay una oz inalambrica sobre la implementacin de la \LAN superpuesta en esta red. Con los puntos de acceso se
pueden lograr 6 Mbps en areas abiertas como las del mapa, con un area de cobertura de 5000 pies cuadrados en muchos
ambientes.

Nota: Ll area de cobertura de 5000 pies cuadrados es para un cuadrado. Ll BSA toma su radio diagonalmente desde el
centro de este cuadrado.

Determinemos dnde ubicar los puntos de acceso.

laga clic en el botn rea de cobertura en la igura.

Las instalaciones tienen 20 000 pies cuadrados, por lo tanto, diidir 20 000 pies cuadrados por un area de cobertura de 5000
pies cuadrados por punto de acceso resulta en, al menos, cuatro puntos de acceso requeridos para el auditorio. A
continuacin, determine la dimensin de las areas de cobertura y acomdelas en el plano de la planta.

Dado que el area de cobertura es un cuadrado con un lado "Z", el crculo tangente a sus cuatro esquinas tiene un radio de 50
pies, como se muestra en los calculos.
Cuando las dimensiones del area de cobertura se determinen, debe acomodarlas de manera similar a las que se muestran
para las reas de cobertura alineadas en la igura. laga clic en el botn Alineacin de areas de cobertura en la igura.
Ln su mapa de plano de planta, dibuje cuatro crculos de cobertura de 50 pies de radio de modo que se superpongan, como
se muestra en el Plano. laga clic en el botn Plano en la igura.

7.2 SEGURIDAD LAN INALMBRICA.-
7.2.1 AMENAZAS A LA SEGURIDAD INALMBRICA.-
Acceso no autorizado

La seguridad debe ser una prioridad para cualquiera que utilice o administre redes. Las diicultades para mantener segura una
red conectada por cable se multiplican con una red inalambrica. Una \LAN esta abierta a cualquiera dentro del alcance de
un punto de acceso y de las credenciales apropiadas para asociarse a l. Con un NIC inalambrico y conocimiento de tcnicas
de decodiicacin, un atacante no tendra que entrar sicamente al espacio de trabajo para obtener acceso a una \LAN.

Ln este primer tema de esta seccin, describimos cmo eolucionaron las amenazas de seguridad. Lstas preocupaciones de
seguridad son incluso mas signiicatias cuando se trata con redes de empresas, porque el sustento de ida de la empresa
depende de la proteccin de su inormacin. Ln estos casos, las iolaciones a la seguridad pueden tener graes
repercusiones, sobre todo si la empresa guarda inormacin inanciera relacionada con sus clientes.

lay tres categoras importantes de amenaza que llean a acceso no autorizado:

Buscadores de redes inalambricas abiertas
Piratas inormaticos ,Crackers,
Lmpleados

"Bsqueda de redes inalambricas abiertas" se reera originalmente a la utilizacin de un dispositio de rastreo para buscar
nmeros de telonos celulares para explotar. Bsqueda de redes inalambricas abiertas, ahora tambin signiica conducir
alrededor de un ecindario con una computadora portatil y una tarjeta de cliente 802.11b,g en bsqueda de un sistema
802.11b,g no seguro para explotar.

Ll trmino pirata inormatico originalmente signiicaba una persona que explora a ondo los sistemas de computacin para
entender y tal ez explotar por razones creatias, la estructura y complejidadde un sistema. loy en da, los trminos pirata
inormatico y cracker describen a intrusos maliciosos que ingresan en sistemas como delincuentes y roban inormacin o
danan los sistemas deliberadamente. Los piratas inormaticos con la intencin de danar son capaces de explotar las medidas
de seguridad dbiles.

La mayora de los dispositios endidos hoy en da estan preparados para uncionar en una \LAN. Ln otras palabras, los
dispositios tienen coniguraciones predeterminadas y pueden instalarse y utilizarse con poca o ninguna coniguracin por
parte de los usuarios. Generalmente, los usuarios inales no cambian la coniguracin predeterminada, y dejan la
autenticacin de cliente abierta, o pueden implementar solamente una seguridad \LP estandar. Desaortunadamente, como
mencionamos antes, las claes \LP compartidas son deectuosas y por consiguiente, aciles de atacar.

lerramientas con propsito legtimo, como los husmeadores inalambricos, permiten a los ingenieros de red capturar
paquetes de inormacin para depurar el sistema. Los intrusos pueden utilizar estas mismas herramientas para explotar las
debilidades de seguridad.

Puntos de acceso no autorizados

Un punto de acceso no autorizado es un punto de acceso ubicado en una \LAN que se utiliza para i ntererir con la
operacin normal de la red. Si un punto de acceso no autorizado se conigura correctamente, se puede capturar inormacin
del cliente. Un punto de acceso no autorizado tambin puede conigurarse para proeer acceso no autorizado a usuarioscon
inormacin como las direcciones MAC de los clientes ,tanto inalambricas como conectadas por cable,, o capturar y
camular paquetes de datos o, en el peor de lo casos, obtener acceso a seridores y archios.

Una ersin simple y comn de un punto de acceso no autorizado es uno instalado por empleados sin autorizacin. Los
empleados instalan puntos de acceso con la intencin de utilizar la red de la empresa en su hogar. Lstos puntos de acceso no
tienen la coniguracin de seguridad tpica necesaria, por lo tanto la red termina con una brecha en su seguridad.

Ataques de Hombre-en-el-medio

Uno de los ataques mas soisticados que un usuario no autorizado puede realizar se llama ataque de hombre-en-el-medio
,MI1M,. Ll atacante selecciona un host como objetio y se posiciona logsticamente entre el objetio y el router o gateway
del objetio. Ln un ambiente de LAN conectada por cable, el atacante necesita poder acceder sicamente a la LAN para
insertar un dispositio lgico dentro de la topologa. Con una \LAN, las ondas de radio emitidas por los puntos de acceso
pueden proeer la conexin.

Las senales de radio desde las estaciones y puntos de acceso son "audibles" para cualquiera en un BSS con el equipo
apropiado, como una computadora portatil y un NIC. Dado que los puntos de acceso actan como hubs Lthernet, cada
NIC en el BSS escucha todo el traico. Ll dispositio descarta cualquier traico no dirigido al mismo. Los atacantes pueden
modiicar el NIC de su computadora portatil con un sotware especial para que acepte todo el traico. Con esta
modiicacin, el atacante puede llear a cabo ataques MI1M inalambricos, usando el NIC de la computadora portatil como
punto de acceso.

Para llear a cabo este ataque, un pirata inormatico selecciona una estacincomo objetio y utiliza sotware husmeador de
paquetes, como \ireshark, para obserar la estacin cliente que se conecta al punto de acceso. Ll pirata inormatico puede
ser capaz de leer y copiar el nombre de usuario objetio, nombre del seridor y direccin IP del seridor y cliente, el ID

utilizado para computar la respuesta y el desao y su respuesta asociada, que se pasa no cirada entre la estacin y el punto
de acceso.

Si un atacante puede comprometer un punto de acceso, puede comprometer potencial mente a todos los usuarios en el BSS.
Ll atacante puede monitorear un segmento de red inalambrica completo y causar estragos en cualquier usuario conectado al
mismo.

Preenir un ataque MI1M depende de la soisticacin de la inraestructura de su \LAN y su actiidad de monitoreo y
igilancia en la red. Ll proceso comienza identiicando los dispositios legtimos en su \LAN. Para hacer esto, debe
autenticar a los usuarios de su \LAN.

Cuando se conocen todos los usuarios legtimos, debe monitorear la red enbusca de dispositios y traico que no deberan
estar all. Las \LAN de empresas que utilizan dispositios \LAN de tecnologa aanzada proeen herramientas a los
administradores que trabajan juntas como un sistema de preencin de intrusin inalambrica ,IPS,. Lstas herramientas
incluyen escaners que identiican puntos de acceso no autorizados y redes ad hoc y tambin administracin de recursos de
radio ,RRM, que monitorean la banda Rl en busca de actiidad y carga de puntos de acceso. Un punto de acceso que esta
mas ocupado que de costumbre alerta al administrador sobre un posible traico no autorizado.

La explicacin detallada de estas tcnicas de mitigacin escapa del alcance de este curso. Para mayor inormacin, consulte al
documento de CISCO "Addressing \ireless 1hreats with Integrated \ireless IDS and IPS" disponible en
http:,,www.cisco.com,en,US,products,ps6521,products_white_paper0900aecd804155b.shtml.

Denegacin de servicio

Las \LAN 802.11b y g utilizan la banda 2,4 Glz ISM sin licencia. Lsta es la misma banda utilizada por la mayora de los
productos de consumo, incluyendo monitores de beb, telonos inalambricos y hornos de microondas. Con estos
dispositios que congestionan la banda Rl, los atacantes pueden crear ruido en todos los canalesde la banda con
dispositios comnmente disponibles.

laga clic en el botn DoS 2 en la igura.

Anteriormente discutimos sobre cmo un atacante puede conertir un NIC en un punto de acceso. Lse truco tambin se
puede utilizar para crear un ataque DoS. Ll atacante, mediante una PC como punto de acceso, puede inundar el BSS con
mensajes listos para eniar ,C1S,, que inhabilitan la uncin de CSMA,CA utilizada por las estaciones. Los puntos de
acceso, a su ez, inundan la BSS con traico simultaneo y causan un stream constante de colisiones.

Otro ataque DoS que puede lanzarse en un BSS es cuando un atacante ena una serie de comandos desinculados que
causa que todas las estaciones en el BSS se desconecten. Cuando las estaciones estan desconectadas, tratan de reasociarse
inmediatamente, lo que crea una explosin de traico. Ll atacante ena otro comando desinculado y el ciclo se repite.

7.2.2 PROTOCOLOS DE SEGURIDAD INALMBRICOS.-
Descripcin general del protocolo inalmbrico

Ln este tema, aprendera acerca de las caractersticas de los protocolos inalambricos comunes y del niel de seguridad que
cada uno proee.

Se introdujeron dos tipos de autenticacin con el estandar 802.11 original: clae de autenticacin \LP abierta y compartida.
Mientras la autenticacin abierta en realidad es "no autenticacin", ,un cliente requiere autenticacin y el punto de acceso la
permite,, la autenticacin \LP deba proeer priacidad a un enlace, como si uera un cable conectado de una PC a una
conexin de pared Lthernet. Como se mencion anteriormente, las claes \LP compartidas demostraron ser deectuosas y
se requera algo mejor. Para contrarrestar las debilidades de la clae \LP compartida, el primer enoque de las companas
ue tratar tcnicas como SSID camulados y iltrado de direcciones MAC. Lstas tcnicas tambin son muy dbiles.
Aprendera mas acerca de las debilidades de estas tcnicas mas adelante.

Las allas con la encriptacin de la clae \LP compartida estan desdobladas. Primero, el algoritmo utilizado para encriptar
la inormacin poda ser descirado por crackers. Segundo, la escalabilidad era un problema. Las claes \LP de 32 bit se

administraban manualmente, de modo que los usuarios ingresaban manualmente, por lo general, de manera incorrecta, lo
que creaba llamadas a las mesas de ayuda de soporte tcnico.

Luego de las debilidades de una seguridad basada en \LP, hubo un perodo de medidas de seguridad interinas. Los
proeedores como Cisco, al querer cumplir con la demanda de mejor seguridad, desarrollaron suspropios sistemas mientras
ayudaban simultaneamente a desarrollar el estandar 802.11i. Ln el camino hacia el 802.11i, se cre el algoritmo de
encriptacin 1KIP, que estaba enlazado con el mtodo de seguridad de Acceso protegido \ili ,\PA, de la \i-li Alliance.

loy, el estandar que se debe seguir en la mayora de las redes de empresas es el estandar 802.11i. Ls similar al estandar
\PA2 de la \i-li Alliance. Para empresas, el \PA2 incluye una conexin a una base de datos del Sericio de autenticacin
remota de usuario de acceso telenico ,RADIUS,. Ll RADIUS se describira mas adelante en el captulo.

Para mas inormacin acerca de las debilidades de la seguridad \LP, ea el inorme "Security o the \LP algorithm"
disponible en http:,,www.isaac.cs.berkeley.edu,isaac,wep-aq.html.

Autenticacin de una LAN inalmbrica

Ln una red abierta, como una red de hogar, la asociacin puede ser todo lo que se requiera para garantizar el acceso del
cliente a sericios y dispositios en la \LAN. Ln redes que tengan requerimientos de seguridad mas estrictos, se requiere
una autenticacin o conexin para garantizar dicho acceso a los clientes. Lste proceso de conexin lo administra el
Protocolo de autenticacin extensible ,LAP,. Ll LAP es una estructura para autenticar el acceso a la red. Ll ILLL desarroll
el estandar 802.11i \LAN para autenticacin y autorizacin, para utilizar ILLL 802.1x.

laga clic en el botn LAP en la igura para er el proceso de autenticacin.
Ll proceso de autenticacin \LAN de la empresa se resume de la siguiente manera:

Ll proceso de asociacin 802.11 crea un puerto irtual para cada cliente \LAN en el punto de acceso.
Ll punto de acceso bloquea todas las tramas de datos, con excepcin del traico basado en 802.1x.
Las tramas 802.1x llean los paquetes de autenticacin LAP a tras del punto de acceso al seridor que mantiene las
credenciales de autenticacin. Lste seridor tiene en ejecucin un protocolo RADIUS y es un seridor de Autenticacin,
autorizacin y auditoria ,AAA,.
Si la autenticacin LAP es exitosa, el seridor AAA ena un mensaje LAP de xito al punto de acceso, que permite
entonces que el traico de datos atraiese el puerto irtual desde el cliente de la \LAN.
Antes de abrir un puerto irtual se establece un enlace de datos encriptados entre el cliente de la \LAN y el punto de
acceso establecido para asegurar que ningn otro cliente de la \LAN pueda acceder al puerto que se haya establecido para
un cliente autenticado especico.

Antes de que se utilicen el 802.11i ,\PA2, o incluso el \PA, algunas companas intentaron asegurar sus \LAN al iltrar
sus direcciones MAC y eitar transmitir SSID. loy, es acil utilizar sotware para modiicar las direcciones MAC adjuntas a
los adaptadores, de esta manera, el iltrado de las direcciones MAC se eita acilmente. No signiica que no debe hacerlo,
sino que si utiliza este mtodo, debe respaldarlo con seguridad adicional, como \PA2.

Incluso si un SSID no se trasmite mediante un punto de acceso, el traico que iaja de un punto a otro entre el cliente y el
punto de acceso reela, eentualmente, el SSID. Si un atacante monitorea pasiamente la banda Rl, puede husmear el SSID
en una de estas transacciones, porque se ena no cirado. Lsta acilidad para descubrir los SSID lle a algunas personas a
dejar encendido el broadcast SSID. De hacerlo, debe probablemente ser una decisin organizacional registrada en la poltica
de seguridad.

La idea de que puede asegurar su \LAN con nada mas que el iltrado MAC y apagando los broadcasts SSID, puedellear a
tener una \LAN totalmente insegura. La mejor manera de asegurar cuales de los usuarios inales deben estar en la \LAN
es utilizar un mtodo de seguridad que incorpore un control de acceso a la red basado en puertos, como el \PA2.

Encriptacin

lay dos mecanismos de encriptacin a niel empresa especiicados por el 802.11i certiicados como \PA y \PA2 por la
\i-li Alliance: Protocolo de integridad de clae temporal ,1KIP, y Lstandar de encriptacin aanzada ,ALS,.

Ll 1KIP es el mtodo de encriptacin certiicado como \PA. Proee apoyo para el equipo \LAN heredado que atiende
las allas originales asociadas con el mtodo de encriptacin \LP 802.11. Utiliza el algoritmo de encriptacin original
utilizado por \LP.

Ll 1KIP tiene dos unciones primarias:

Lncripta el contenido de la Capa 2
Llea a cabo una comprobacin de la integridad del mensaje ,MIC, en el paquete encriptado. Lsto ayuda a asegurar que no
se altere un mensaje.

Aunque el 1KIP resuele todas las debilidades conocidas del \LP, la encriptacin ALS de \PA2 es el mtodo preerido,
porque alinea los estandares de encriptacin \LAN con los mas amplios estandares I1 y las optimizaciones de la industria,
mas notablemente el ILLL 802.11i.

Ll ALS tiene las mismas unciones que el 1KIP, pero utiliza inormacin adicional del encabezado de la MAC que les
permite a los hosts de destino reconocer si se alteraron los bits no encriptados. Ademas, agrega un nmero de secuencia al
encabezado de inormacin encriptada.

Cuando conigura los puntos de acceso Linksys o los routers inalambricos, como el \R1300N, puede que no ea el \PA o
el \PA2, en lugar de eso, podra er reerencias a algo llamado clae precompartida ,PSK,. A continuacin, los distintos
tipos de PSK:

PSK o PSK2 con 1KIP es el mismo que \PA
PSK o PSK2 con ALS es el mismo que \PA2
PSK2, sin un mtodo de encriptacin especiicado, es el mismo que \PA2.

7.2.3 PROTECCION DE UNA LAN INALMBRICA.-
Control del acceso a la LAN inalmbrica

Ll concepto de proundidad signiica que hay mltiples soluciones disponibles. Ls como tener un sistema de seguridad en su
casa pero, de todas maneras, cerrar las puertas y entanas y pedirle a los ecinos que la igilen por usted. Los mtodos de
seguridad que ha isto, especialmente el \PA2, son como tener un sistema de seguridad. Si quiere realizar algo extra para
proteger el acceso a su \LAN, puede agregar proundidad, como se muestra en la igura, y as implementar este enoque de
tres pasos:

Camulaje SSID - Deshabilite los broadcasts SSID de los puntos de acceso
liltrado de direcciones MAC - Las 1ablas se construyen a mano en el punto de acceso para permitir o impedir el acceso de
clientes basado en sus direccin de hardware
Implementacin de la seguridad \LAN - \PA o \PA2

Una consideracin adicional para un administrador de redes alerta es conigurar puntos de acceso cercanos a las paredes
exteriores de ediicios para transmitir en una coniguracin de energa menor que los otros puntos de acceso cercanos al
centro del ediicio. Lsto es simplemente para reducir la irma Rl en el exterior del ediicio donde cualquiera que ejecute una
aplicacin como Netstumbler ,http:,,www.netstumbler.com,, \ireshark, o incluso \indows XP, pueda asignar las \LAN.

Ni el SSID camulado ni el iltrado de direcciones MAC se consideran medios alidos para proteger a una \LAN, por los
siguientes motios:

Se puede suplantar la identidad de las direcciones MAC acilmente.
Los SSID se descubren con acilidad, incluso si los puntos de acceso no los transmiten.

7.3 CONFIGURACION DEL ACCESO A LA LAN INALMBRICA.-
7.3.1 CONFIGURACION DEL PUNTO DE ACCESO INALAMBRICO.-
Descripcin general del punto de acceso inalmbrico

Ln este tema, aprendera cmo conigurar un punto de acceso inalambrico. Aprendera cmo establecer el SSID, actiar la
seguridad, conigurar el canal y ajustar la coniguracin de energa de un punto de acceso inalambrico. 1ambin aprendera
cmo realizar un respaldo y restauracin de la coniguracin de un punto de acceso inalambrico tpico.

Un enoque basico a la implementacin inalambrica, como en cualquier trabajo de red basico, es conigurar y probar
progresiamente. Antes de implementar cualquier dispositio inalambrico, eriique la red existente y el acceso a Internet
para los hosts conectados por cable. Inicie el proceso de implementacin de la \LAN con un nico punto de acceso y un
nico cliente, sin habilitar la seguridad inalambrica. Veriique que el cliente inalambrico haya recibido una direccin IP
DlCP y pueda hacer ping al router predeterminado conectado por cable y luego explore hacia la Internet externa.
linalmente, conigure la seguridad inalambrica con \PA2. Utilice \LP slo si el hardware no admite \PA.

La mayora de los puntos de acceso estan disenados para que sean uncionales ni bien salen de su embalaje con la
coniguracin predeterminada. Ls una buena practica cambiar las coniguraciones predeterminadas iniciales. Muchos puntos
de acceso se pueden conigurar a tras de una interaz web GUI.

Con un plan para la implementacin en mente, la conectiidad de la red conectada por cable conirmada y el punto de
acceso instalado, conigurara la red. Ll siguiente ejemplo utiliza el dispositio multiuncin Linksys \R1300N. Lste
dispositio incluye un punto de acceso.

Los pasos para conigurar el Linksys \R1300N son los siguientes:

Asegrese de que su PC est conectada al punto de acceso mediante una conexin por cable y el acceso a la utilidad web con
un explorador \eb. Para acceder a la utilidad basada en la web del punto de acceso, inicie Internet Lxplorer o Netscape
Naigator e ingrese la direccin IP predeterminada del \R1300N, 192.168.1.1, en el campo direccin. Presione la tecla
Lnter.

Aparece una pantalla que le pide su nombre de usuario y contrasena. Deje el campo Nombre de usuario en blanco. Ingrese
admin en el campo Contrasena. Lsta es la coniguracin predeterminada para un Linksys \R1300N. Si ya se conigur el
dispositio, el nombre de usuario y la contrasena pueden haber cambiado. laga clic en Aceptar para continuar.

Para una coniguracin basica de red, utilice las siguientes pantallas, como se muestra cuando hace clic en los botones
Coniguracin, Administracin, e Inalambrico en la igura:

Coniguracin - Ingrese la coniguracin basica de red ,direccin IP,.
Administracin - laga clic en la etiqueta Administracin y luego seleccione la pantalla de Administracin La contrasena
predeterminada es admin. Para proteger el punto de acceso, cambie la contrasena predeterminada.
Inalambrico - Cambie el SSID predeterminado en la etiqueta de Coniguracin inalambrica basica . Seleccione el niel de
seguridad en la etiqueta de Seguridad inalambrica y complete las opciones para el modo de seguridad elegido.

Realice los cambios necesarios dentro de la utilidad. Cuando termine de realizar los cambios a la pantalla, haga clic en el
botn Guardar cambios , o haga clic en el botn Cancelar cambios para deshacer sus cambios. Para inormacin en una
etiqueta, haga clic en Ayuda.

La igura resume los pasos de implementacin para un punto de acceso.

Configuracin de la configuracin inalmbrica bsica

La pantalla de Coniguracin basica es la primera pantalla que e cuando accede a la utilidad basada en la web. laga clic en
la etiqueta Inalambrica y luego seleccione la etiqueta Coniguracin inalambrica basica.

Coniguraciones basicas inalambricas

laga clic en los botones a lo largo de la parte inerior de la igura para er el GUI para cada coniguracin.

Modo de red - Si tiene los dispositios \ireless-N, \ireless-G, y 802.11b en su red, mantenga Mixta, la coniguracin
predeterminada. Si tiene los dispositios \ireless-G y 802.11b, seleccione BG-Mixto. Si slo tiene dispositios \ireless-N,
seleccione \ireless-N solamente. Si slo tiene dispositios \ireless-G, seleccione \ireless-G solamente. Si slo tiene
dispositios \ireless-B, seleccione \ireless-B solamente. Si quiere desactiar el networking, seleccione Deshabilitar.
Nombre de la red ,SSID, - Ll SSID es el nombre de red compartido entre todos los puntos en la red inalambrica. Ll SSID
debe ser idntico para todos los dispositios en la red inalambrica. Distingue entre maysculas y minsculas, y no debe
exceder los 32 caracteres ,utilice cualquier caracter en el teclado,. Para mayor seguridad, debe cambiar el SSID
predeterminado ,linksys, a un nombre nico.

Broadcast SSID - Cuando los clientes inalambricos inspeccionan el area local para buscar redes inalambricas para asociarse,
detectan el broadcast del SSID mediante el punto de acceso. Para transmitir el SSID, mantenga labilitado, que es la
coniguracin predeterminada. Si no quiere transmitir el SSID, seleccione Deshabilitado. Cuando termine de realizar los
cambios a esta pantalla, haga clic en el botn Guardar cambios , o haga clic en el botn Cancelar cambios para deshacer sus
cambios. Para mayor inormacin, haga clic en Ayuda.

Banda de radio - Para un mejor rendimiento en una red que utiliza dispositios \ireless-N, \ireless-G, y \ireless-B,
mantenga el Auto predeterminado. Para dispositios \ireless-N, nicamente, seleccione Ancho - Canal 40Mlz. Para
networking, nicamente, \ireless-G y \ireless-B, seleccione Lstandar - Canal 20Mlz.
Canal ancho. Si seleccion Ancho - Canal 40Mlz para la coniguracin de la Banda de radio, esta coniguracin esta
disponible para su canal \ireless-N principal. Seleccione cualquier canal del men desplegable.
Canal estandar. Seleccione el canal para networking \ireless-N, \ireless-G y \ireless-B. Si seleccion Ancho - canal
40Mlz para la coniguracin de la Banda de radio, el canal estandar es un canal secundario para \ireless-N.

Configuracin de seguridad

laga clic en el botn Descripcin general en la igura.

Lsta opcin conigurara la seguridad de su red inalambrica. Lxisten siete modos de seguridad inalambrica que el \1R300N
admite. Se listan aqu en el orden en que los e en el GUI, desde el mas dbil al mas uerte, con excepcin de la ltima
opcin, que esta deshabilitada:

\LP
PSK-Personal, o \PA-Personal en 0.93.9 irmware o anterior
PSK2-Personal, o \PA2-Personal en 0.93.9 irmware o anterior
PSK-Lmpresa, o \PA-Lmpresa en 0.93.9 irmware o anterior
PSK2-Lmpresa, o \PA2-Lmpresa en 0.93.9 irmware o anterior
RADIUS
Deshabilitado

Cuando ea "Personal" en un modo de seguridad, no se esta utilizando un seridor AAA. "Lmpresa" en el modo seguridad
signiica un seridor AAA y la utilizacin de una autenticacin LAP.

Aprendi que el \LP es un modo de seguridad con allas. PSK2, que es lo mismo que \PA2 o ILLL 802.11i, es la opcin
preerida para una mejor seguridad. Si \PA2 es la mejor, se preguntara por qu hay tantas otras opciones. La respuesta es
que muchas LAN inalambricas admiten dispositios iejos. Dado que todos los dispositios de clientes que se asocian a un
punto de acceso deben ejecutar el mismo modo de seguridad que ejecuta el punto de acceso, ste debe estar conigurado
para admitir el dispositio que ejecuta el modo de seguridad mas dbil. 1odos los dispositios de LAN inalambricas
abricados luego de marzo de 2006 deben poder admitir \PA2 o, en el caso de los routers Linksys, PSK2, por lo que en el
tiempo, a medida que se mejoren los dispositios, sera capaz de conmutar el modo de seguridad de su red a PSK2.

La opcin RADIUS que esta disponible para un router Linksys inalambrico permite utilizar un seridor RADIUS en
combinacin con \LP.

laga clic en los botones a lo largo de la parte inerior de la igura para er el GUI para cada coniguracin.

Para conigurar la seguridad, realice lo siguiente:

Modo seguridad - Seleccione el modo que quiera utilizar: PSK-Personal, PSK2-Personal, PSK-Lmpresa, PSK2-Lmpresa,
RADIUS, o \LP.
Modo Parametros - Cada uno de los modos PSK y PSK2 tiene parametros que puede conigurar. Si selecciona la ersin de
seguridad PSK2-Lmpresa, debe tener un seridor RADIUS adjunto a su punto de acceso. Si tiene esta coniguracin,
necesita conigurar el punto de acceso para que apunte al seridor RADIUS. Direccin IP del seridor RADIUS - Ingrese la
direccin IP del seridor RADIUS. Puerto del seridor RADIUS - Ingrese el nmero de puerto utilizado por el seridor

RADIUS. De manera predeterminada, es 1812.

Lncriptacin - Seleccione el algoritmo que quiere utilizar, ALS o 1KIP. ,ALS es un mtodo de encriptacin mas slido que
1KIP.,
Clae precompartida - Ingrese la clae compartida por el router y sus otros dispositios de red. Debe tener entre 8 y 63
caracteres. Renoacin de la clae - Ingrese el perodo de renoacin de la clae, que le dira al router con qu recuencia
debe cambiar las claes de encriptacin.

Cuando termine de realizar los cambios a esta pantalla, haga clic en el botn Guardar cambios , o haga clic en el botn
Cancelar cambios para deshacer sus cambios.

7.3.2 CONFIGURACION DE UN NIC INALMBRICO.-
Busque los SSID

Cuando se haya conigurado un punto de acceso, necesitara conigurar el NIC inalambrico en un dispositio cliente para
permitirle conectase a la red inalambrica. Debera eriicar, ademas, que el cliente inalambrico se haya conectado
exitosamente a la red inalambrica correcta, especialmente porque pueden existir muchas \LAN disponibles a las cuales
conectarse. 1ambin introducimos algunos pasos basicos de resolucin de problemas e identiicacin de problemas
comunes asociados con la conectiidad \LAN.

Si su PC esta equipada con un NIC inalambrico, debe estar listo para buscar redes inalambricas. Las PC que ejecutan
\indows XP tienen monitor de redes inalambricas y utilidades de cliente incorporados. Puede tener instalada una utilidad
dierente en lugar de la ersin de Microsot \indows XP.

Los pasos que se mencionan a continuacin indican cmo utilizar el dispositio Ver redes inalambricas en Microsot
\indows XP.

laga clic en los pasos numerados en la igura para seguir el proceso.

Paso 1. Ln la barra de herramientas de la bandeja del sistema de Microsot \indows XP, ubique el cono de conexin en
red similar al que se muestra en la igura. laga doble clic en el cono para abrir el cuadro de dialogo de Conexiones de red.

Paso 2. laga clic en el botn Ver redes inalambricas en el cuadro de dialogo.

Paso 3. Obsere las redes inalambricas que puede detectar su NIC inalambrico.

Si tiene una \LAN que no puede erse en la lista de redes, puede que tenga deshabilitada el broadcast SSID en el punto de
acceso. Si este el caso, debe ingresar manualmente el SSID.

Seleccione el protocolo de seguridad inalambrica

Luego de haber conigurado su punto de acceso para autenticar clientes con un tipo de seguridad slida, debe coincidir la
coniguracin del cliente con los parametros del punto de acceso. Los siguientes pasos describen cmo conigurar los
parametros de seguridad de su red inalambrica en el cliente:

Paso 1. laga doble clic en el cono de conexiones de red en la bandeja del sistema de Microsot \indows XP.

Paso 2. laga clic en el botn Propiedades en el cuadro de dialogo Lstado de conexiones de red inalambricas.

Paso 3. Ln el cuadro de dialogo Propiedades, haga clic en la etiqueta Redes inalambricas.

Paso 4. Ln la etiqueta Redes inalambricas, haga clic en el botn Agregar. Ademas, podra guardar periles inalambricos
mltiples con dierentes parametros de seguridad, lo que le permite conectarse rapidamente a las \LAN que pueda utilizar
regularmente.

Paso 5. Ln el cuadro de dialogo de Propiedades de red inalambrica, ingrese el SSID de la \LAN que quiere conigurar.

Paso 6. Ln el cuadro de clae de red inalambrica, seleccione su mtodo de autenticacin preerido del men desplegable
Autenticacin de red. Se preieren \PA2 y PSK2 por su solidez.

Paso . Seleccione el mtodo de Lncriptacin de datos del men desplegable. Recuerde que el ALS es un cdigo mas slido
que 1KIP, pero debe coincidir con la coniguracin de su punto de acceso aqu en su PC.

Luego de seleccionar el mtodo de encriptacin, ingrese y conirme la Clae de red. Nueamente, ste es un alor quedebe
ingresar en el punto de acceso.

Paso 8. laga clic en Aceptar.

Verifique la conectividad a la LAN inalmbrica

Con las coniguraciones establecidas para el punto de acceso y el cliente, el prximo paso es conirmar la conectiidad. Lsto
se realiza eniando un ping a los dispositios en la red.

Abra la entana peticin de entrada del comando DOS en la PC.

1rate de hacer ping a una direccin IP conocida para el dispositio en la red. Ln la igura, la direccin IP es 192.168.1.254.
Ll ping ue exitoso, lo que indica una conexin exitosa.

7.4 RESOLUCIN DE PROBLEMAS DE WLAN SIMPLES.-
7.4.1 RESOLVER EL RADIO DE PUNTO DE ACCESO Y TEMAS DE FIRMWARE.-
Un enfoque sistemtico a la resolucin de problemas de WLAN

La resolucin de problemas de cualquier tipo de problema de red debe seguir un enoque sistematico y trabajar la stack de
1CP,IP desde la capa lsica hasta la Capa de aplicacin. Lsto ayuda a eliminar cualquier inconeniente que pueda resoler
usted mismo.

laga clic en el botn Lnoque en la igura.

\a debe estar amiliarizado con los primeros tres pasos de un enoque sistematico de la resolucin de problemas, dado que
trabaj con las LAN 802.3 Lthernet. Se repiten aqu en el contexto de la \LAN:

Paso 1 - Eliminar la PC del usuario como origen del problema.

Intente determinar la seeridad del problema. Si no hay conectiidad, compruebe lo siguiente:

Conirme la coniguracin de la red en la PC mediante el comando ipconig. Veriique que la PC recibi una direccin IP a
tras de DlCP o esta conigurada con una direccin IP estatica.
Conirme que el dispositio puede conectarse a una red conectada por cable. Conecte el dispositio a la LAN conectada por
cable y ene un ping a una direccin IP conocida.
Puede ser necesario intentar un NIC inalambrico dierente. De ser necesario, recargue los controladores y irmware como
sea apropiado para el dispositio cliente.
Si el NIC inalambrico del cliente unciona, compruebe el modo seguridad y la coniguracin de encriptacin en el cliente. Si
las coniguraciones de seguridad no concuerdan, el cliente no podra acceder a la \LAN.

Si la PC del usuario unciona pero lo hace con poco rendimiento, compruebe lo siguiente:

,Cuan lejos esta la PC del punto de acceso ,La PC esta uera del area de cobertura ,BSA, planeada
Compruebe la coniguracin de canal en el cliente. Ll sotware cliente debe detectar el canal apropiado siempre y cuando el
SSID sea correcto.
Compruebe la presencia de otros dispositios en el area que operen en la banda de 2,4 Glz. Ljemplos de otros dispositios
son los telonos inalambricos, monitores de beb, hornos de microondas, sistemas de seguridad inalambricos y puntos de
acceso no autorizados potenciales. Los datos de estos dispositios pueden causar intererencia en la \LAN y problemas de
conexin intermitente entre un cliente y un punto de acceso.

Paso 2 - Confirme el estado fsico de los dispositivos.

,1odos los dispositios estan en su lugar Considere un tema de seguridad sica posible.
,lay energa en todos los dispositios y estan encendidos

Paso 3 - Inspeccione los enlaces.

Inspeccione los enlaces entre los dispositios conectados por cable buscando conectores danados o que no uncionen o
cables altantes.
Si la planta sica esta ubicada correctamente, utilice la LAN conectada por cables para er si puede hacer ping a los
dispositios, incluido el punto de acceso.

Si an alla la conectiidad en este punto, probablemente hay algo mal con el punto de acceso o su coniguracin.

Mientras soluciona problemas en una \LAN, se recomienda un proceso de eliminacin que trabaje desde posibilidades
sicas a las relacionadas con las aplicaciones. Cuando alcance el punto donde ya elimin la PC del usuario como problema y
tambin conirm el estado sico de los dispositios, comience a inestigar el rendimiento del punto de acceso. Compruebe
el estado de energa del punto de acceso.

Cuando se conirm la coniguracin del punto de acceso, si la radio contina allando, intente conectarse a otro punto de
acceso. Puede intentar instalar nueos controladores de radio y irmware, como se explica a continuacin.

7.4.2 CONFIGURACION DE CANAL INCORRECTA.-
Actualizar el Firmware del punto de acceso

Precaucin: No actualice el irmware a menos que experimente problemas con el punto de acceso o que el nueo irmware
tenga una caracterstica que quiera utilizar.

Ll irmware para un dispositio Linksys, como el utilizado en las practicas de laboratorio de este curso, se actualiza con una
utilidad basada en la web. Siga las siguientes instrucciones:

laga clic en el botn Descargar irmware en la igura.

Paso 1. Descargue el irmware desde la web. Para un Linksys \1R300N, dirjase a http:,,www.linksys.com.

laga clic en el botn Seleccionar irmware para instalar, en la igura.

Paso 2. Lxtraiga el archio del irmware en su computadora.

Paso 3. Abra la utilidad basada en la web y haga clic en la etiqueta Administracin.

Paso 4. Seleccione la etiqueta Actualizacin de irmware.

Paso 5. Ingrese la ubicacin del archio de irmware o haga clic en el botn Lxplorar para encontrar el archio.

laga clic en el botn Ljecutar actualizacin de irmware en la igura.

Paso 6. laga clic en el botn Iniciar actualizacin y siga las instrucciones.

Haga clic en el botn Problema en la figura.

Si los usuarios inorman que existen problemas de conectiidad en el area entre los puntos de acceso en un conjunto de
sericios extendidos \LAN, puede haber un problema de coniguracin de canal.

laga clic en el botn Razn en la igura.

La mayora de las \LAN operan en la banda de 2,4 Glz, que puede tener hasta 14 canales, cada uno ocupando un ancho
de banda de 22 Mlz. La energa no esta distribuida en orma pareja en los 22 Mlz, sino que el canal es mas uerte en su
recuencia central y la energa disminuye hacia los bordes del canal. Ll concepto de energa menguante en un canal se
muestra en la lnea cura utilizada para indicar cada canal. Ll punto alto en el medio de cada canal es el punto de mayor
energa. La igura proee una representacin graica de los canales en la banda de 2,4 Glz.

Una explicacin completa de la manera en que la energa se dispersa a tras de las recuencias en un canal excede el alcance
de este curso.


Puede producirse intererencia cuando hay una superposicin de canales. Ls peor si los canales se superponen cerca del
centro de las recuencias, pero, incluso si la superposicin es menor, las senales intereriran una con la otra. Lstablezca los
canales a interalos de cinco canales, como canal 1, canal 6 y canal 11.

Resolver la interferencia RF

La coniguracin incorrecta de canales es parte de un grupo de problemas mayores con la intererencia Rl. Los
administradores de \LAN pueden controlar la intererencia causada por la coniguracin de canal con buen planeamiento,
incluida la distancia apropiada entre canales.

laga clic en el botn Problema en la igura.

Se pueden hallar otros orgenes de intererencia Rl alrededor del espacio de trabajo o en el hogar. 1al ez haya
experimentado la interrupcin tipo lluia de una senal de teleisin cuando alguien cercano al teleisor utiliza una
aspiradora. Dicha intererencia puede ser moderada con un buen planeamiento. Por ejemplo: planee ubicar los hornos de
microondas lejos de los puntos de acceso y clientes potenciales. Desaortunadamente, el rango total de problemas de
intererencia Rl posible no puede planearse porque simplemente hay demasiadas posibilidades.


Ll problema con dispositios como los telonos inalambricos, monitores de beb y hornos de microondas, es que no son
parte de un BSS, por lo que no compiten por el canal, simplemente lo utilizan. ,Cmo puede descubrir qu canales en un
area son los mas congestionados

Ln un ambiente \LAN pequeno, intente conigurar su punto de acceso \LAN al canal 1 u 11. Muchos artculos, como los
telonos inalambricos, operan en el canal 6.

Releamientos del sitio

Ln ambientes mas congestionados, se puede necesitar un releamiento del sitio. A pesar de no conducir releamientos del
sitio como parte de este curso, debe saber que hay dos categoras de releamientos del sitio: manual y asistida por utilidades.

Los releamientos manuales del sitio pueden incluir ealuacin del sitio seguido por un releamiento del sitio mas proundo
asistido por utilidades. Una ealuacin de sitio inolucra la inspeccin del area con el objetio de identiicar temas
potenciales que pueden tener un impacto en la red. Lspecicamente, busque la presencia de \LAN mltiples, estructuras
de ediicio nicas, como pisos abiertos y atrios, y grandes ariaciones de utilizacin de cliente, como aquellas causadas por
las dierencias en nieles de turnos de personal de da y de noche.


lay muchos enoques para realizar los releamientos del sitio asistidos por utilidades. Si no tiene acceso a las herramientas
dedicadas al releamiento del sitio, como Airmagnet, puede montar puntos de acceso en trpodes y establecerlos en
ubicaciones que cree son apropiadas y de acuerdo con el plan proyectado del sitio. Con los puntos de acceso montados,
puede moerlos en las instalaciones mediante un medidor de releamientos del sitio en la utilidad \LAN de cliente de su
PC, como se muestra en la captura de pantalla 1 en la igura.

Alternatiamente, existen herramientas soisticadas que le permiten entrar a un plano de planta de las instalaciones. Puede
entonces iniciar un registro de las caractersticas Rl del sitio, que luego se muestran en el plano de planta, a medida que se
muee a tras de las instalaciones con su computadora portatil inalambrica. Un ejemplo del resultado de un releamiento
del sitio Airmagnet se muestra en la captura de pantalla 2 en la igura.

Parte de la entaja de realizar releamientos del sitio asistidos por utilidades es que la actiidad Rl en los dierentes canales
de las bandas sin licencia ,900 Mlz, 2,4 Glz, y 5 Glz, se documenta y luego el usuario puede elegir los canales para su
\LAN, o al menos identiicar las areas de actiidad Rl alta y tomar las precauciones necesarias.

Identificar problemas de mala ubicacin de puntos de acceso

Ln este tema, aprendera cmo identiicar cuando un punto de acceso esta mal ubicado y cmo ubicarlo correctamente en
una empresa pequena o mediana.

laga clic en el botn Problema en la igura.

Pudo haber experimentado una \LAN que simplemente no pareca uncionar como debera. 1al ez pierda constantemente
la asociacin con un punto de acceso, o su transerencia de datos es mucho menor a lo que debera ser. Incluso puede haber
realizado un paseo rapido por las instalaciones para conirmar que realmente puede er los puntos de acceso. Una ez
conirmado que estan all, se pregunta por qu el sericio sigue siendo pobre.


Lxisten dos problemas importantes de implementacin que pueden producirsecon la ubicacin de los puntos de acceso:

La distancia que separa los puntos de acceso es demasiada como para permitir la superposicin de cobertura.
La orientacin de la antena de los puntos de acceso en los estbulos y esquinas disminuye la cobertura.


Ubique el punto de acceso de la siguiente manera:

Conirme la coniguracin de energa y rangos operacionales de los puntos de acceso y ubquelos para un mnimo de 10 a
15 de superposicin de celdas, como aprendi anteriormente en este captulo.

Cambie la orientacin y posicin de los puntos de acceso:

Posicione los puntos de acceso sobre las obstrucciones.
Posicione los puntos de acceso en orma ertical, cerca del techo en el centro de cada area de cobertura, de ser posible.
Posicione los puntos de acceso en las ubicaciones donde se espera que estn los usuarios. Por ejemplo: las salas grandes son
una mejor ubicacin para los puntos de acceso que un estbulo.

La igura explora estos temas en la secuencia problema, motio y solucin.

laga clic en los botones para aanzar a tras de la graica.

Algunos detalles especicos adicionales concernientes a la ubicacin del punto de acceso y de la antena son los siguientes:

Asegrese de que los puntos de acceso no estn montados a menos de ,9 pulgadas ,20 cm, del cuerpo de cualquier
persona.
No monte el punto de acceso dentro de un radio de 3 pies ,91,4 cm, de obstrucciones metalicas.
Instale el punto de acceso lejos de hornos de microondas. Los hornos de microondas operan en la misma recuencia que los
puntos de acceso y pueden causar intererencia en la senal.
Siempre monte el punto de acceso de manera ertical ,parado o colgando,.
No monte el punto de acceso uera de los ediicios.
No monte el punto de acceso en las paredes perimetrales de ediicios, a menos que se desee cobertura uera de ste.
Cuando monte un punto de acceso en la esquina derecha de un estbulo con interseccin a la derecha, hagalo a un angulo
de 45 hacia ambos estbulos. Las antenas internas de los puntos de acceso no son omnidireccionales y cubren un area
mayor si se los monta de esa manera.

7.4.5 PROBLEMAS CON LA AUTENTIFICACION Y ENCRIPTACION.-
Los problemas de autenticacin y encriptacin de la \LAN que masprobablemente aya a enrentar y que podra resoler
son causados por coniguraciones de cliente incorrectas. Si un punto de acceso espera un tipo de encriptacin y el cliente
orece uno dierente, el proceso de autenticacin alla.

Los problemas de encriptacin que inolucran la creacin de claes dinamicas y las conersaciones entre un seridor de
autenticacin, como un seridor RADIUS y un cliente a tras de un punto de acceso, estan uera del alcance de este curso.

Recuerde que todos los dispositios que se conectan a un punto de acceso deben utilizar el mismo tipo de seguridad que el
conigurado en el punto de acceso. Por lo tanto, si un punto de acceso esta conigurado para \LP, tanto el tipo de
encriptacin ,\LP, como la clae compartida deben coincidir entre el cliente y el punto de acceso. Si se utiliza \PA, el
algoritmo de encriptacin es 1KIP. De manera similar, si se utiliza \PA2 u 802.11i, se requiere ALS como algoritmo de
encriptacin.

Cisco CCNA 3 Exploration

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Cisco CCNA 3 Exploration

Загружено:

Авторское право:

Доступные форматы

CAPITULO I DISEO DE LAN

1.0 INTRODUCCIN DEL CAPITULO.-

Вам также может понравиться