Planificacin y Administracin de Redes

Conmutacin

Dominios de colisiones Segn el CSMA/CD, un nodo no debera enviar un paquete a menos que la red est libre de trfico. Si dos nodos envan paquetes al mismo tiempo, se produce una colisin y los paquetes se pierden. Entonces, ambos nodos envan una seal de congestin, esperan una cantidad de tiempo aleatoria y retransmiten sus paquetes. Cualquier parte de la red en donde los paquetes de dos o ms nodos puedan interferir entre ellos se considera como un dominio de colisiones. Una red con una gran cantidad de nodos en el mismo segmento tiene un dominio de colisiones mayor y, generalmente, ms trfico. A medida que aumenta la cantidad de trfico en la red, aumentan las posibilidades de colisin. En los ltimos aos, los switches se convirtieron rpidamente en una parte fundamental de la mayora de las redes. Los switches permiten la segmentacin de la LAN en distintos dominios de colisiones. Cada puerto de un switch representa un dominio de colisiones distinto y brinda un ancho de banda completo al nodo o a los nodos conectados a dicho puerto. Con una menor cantidad de nodos en cada dominio de colisiones, se produce un aumento en el ancho de banda promedio disponible para cada nodo y se reducen las colisiones. Una LAN puede tener un switch centralizado que conecta a hubs que todava brindan conectividad a los nodos. O bien, una LAN puede tener todos los nodos conectados directamente a un switch. Estas topologas se ilustran en la figura. En una LAN en la que se conecta un hub a un puerto de un switch, todava existe un ancho de banda compartido, lo que puede producir colisiones dentro del entorno compartido del hub. Sin embargo, el switch aislar el segmento y limitar las colisiones para el trfico entre los puertos del hub.

Dominios de broadcast Si bien los switches filtran la mayora de las tramas segn las direcciones MAC, no hacen lo mismo con las tramas de broadcast. Para que otros switches de la LAN obtengan tramas de broadcast, stas deben ser reenviadas por switches. Una serie de switches interconectados forma un dominio de broadcast simple. Slo una entidad de Capa 3, como un router o una LAN virtual (VLAN), puede detener un dominio de broadcast de Capa 3. Los routers y las VLAN se utilizan para segmentar los dominios de colisin y de broadcast. El uso de las VLAN para segmentar los dominios de broadcast se analiza en el prximo captulo. Cuando un dispositivo desea enviar un broadcast de Capa 2, la direccin MAC destino en la trama se establece en slo unos. Al configurar el destino en este valor, todos los dispositivos aceptarn y procesarn la trama de broadcast. El dominio de broadcast de la Capa 2 se conoce como dominio de broadcast MAC. El dominio de broadcast MAC incluye todos los dispositivos de la LAN que reciben broadcasts de tramas a travs de un host a todas las dems mquinas en la LAN. Esto se muestra en la primera mitad de la animacin.

Planificacin y Administracin de Redes

Conmutacin

Cuando un switch recibe una trama de broadcast la reenva a cada uno de sus puertos excepto al puerto entrante en el que el switch recibi esa trama. Cada dispositivo conectado reconoce la trama de broadcast y la procesa. Esto provoca una disminucin en la eficacia de la red dado que el ancho de banda se utiliza para propagar el trfico de broadcast. Cuando se conectan dos switches, el dominio de broadcast aumenta. En este ejemplo, se reenva una trama de broadcast a todos los puertos conectados en el switch S1. El switch S1 est conectado al switch S2. La trama se propaga a todos los dispositivos conectados al switch S2. Esto se muestra en la segunda mitad de la animacin. Latencia de red La latencia es el tiempo que una trama o paquete tarda en hacer el recorrido desde la estacin origen hasta su destino final. Los usuarios de las aplicaciones basadas en redes experimentan la latencia cuando tienen que esperar varios minutos para obtener acceso a la informacin almacenada en un centro de datos o cuando un sitio Web tarda varios minutos en cargar el explorador. La latencia consiste en por lo menos tres componentes. En primer lugar, el tiempo que toma la NIC origen en colocar pulsos de voltaje en el cable y el tiempo que tarda la NIC destino en interpretar estos pulsos. Esto se denomina a veces retraso de la NIC (por lo general, es de 1 microsegundo para una NIC 10BASE-T). En segundo lugar, el retardo de propagacin real, ya que la seal tarda un tiempo en recorrer el cable. Normalmente, ste es de unos 0,556 microsegundos por 100 m para Cat 5 UTP. Si la longitud del cable es mayor y la velocidad nominal de propagacin (NVP, Nominal Velocity of Propagation) es menor, el retraso de propagacin ser mayor. En tercer lugar, la latencia aumenta segn los dispositivos de red que se encuentren en la ruta entre dos dispositivos. Estos pueden ser dispositivos de Capa 1, Capa 2 o Capa 3. Estos tres factores que contribuyen a la latencia pueden distinguirse en la animacin a medida que la trama atraviesa la red. La latencia no depende nicamente de la distancia y de la cantidad de dispositivos. Por ejemplo: si dos computadoras estn separadas por tres switches correctamente configurados, es probable que stas experimenten una latencia menor que la que se producira si estuvieran separadas por dos routers correctamente configurados. Esto se debe a que los routers ejecutan funciones ms complejas y que llevan ms tiempo. Por ejemplo: un router debe analizar datos de Capa 3 mientras que los switches slo analizan los datos de Capa 2. Dado que los datos de la Capa 2 se presentan antes que los de la Capa 3 en la estructura de la trama, los switches pueden procesarla con mayor velocidad. Los switches tambin admiten alta velocidad de transmisin de voz, video y redes de datos mediante circuitos integrados de aplicaciones especficas (ASIC, Application Specific Integrated Circuits) que proporcionan soporte de hardware para muchas tareas de networking. Otras caractersticas de los switches, como por ejemplo bfer de memoria basado en puerto, calidad de servicio (QoS) de nivel de puertos y administracin de congestin, tambin ayudan a reducir la latencia en la red. La latencia basada en switches puede tambin deberse a un exceso de demanda en la estructura de ste. Muchos switches de nivel de entrada no cuentan con el rendimiento interno suficiente como para administrar las capacidades del ancho de banda completo en todos los puertos de manera simultnea. El switch debe tener la capacidad de administrar la cantidad mxima de datos que se espera en la red. Dado que la tecnologa de los switches es cada vez mejor, la latencia a travs de ellos ya no es un problema. La causa predominante de latencia de red en una LAN conmutada est ms relacionada con los medios que se transmiten, los protocolos de enrutamiento utilizados y los tipos de aplicaciones que se ejecutan en la red. Congestin de red El primer motivo por el cual segmentar una LAN en partes ms pequeas es el de aislar el trfico y lograr una mejor utilizacin del ancho de banda por usuario. Al no segmentarla, la LAN se obstruye rpidamente debido al trfico y a las colisiones. A continuacin se mencionan las causas ms comunes de congestin de red: Tecnologa de redes y computadoras cada vez ms potentes. Hoy en da, las CPU, los buses y los dispositivos perifricos son mucho ms rpidos y potentes que aquellos utilizados en las LAN anteriores. Por lo tanto, stos pueden enviar una mayor cantidad de datos a travs de la red y tambin procesarlos a una mayor velocidad.

Planificacin y Administracin de Redes

Conmutacin

Volumen de trfico de la red cada vez mayor. En la actualidad el trfico de la red es ms habitual, ya que se necesitan recursos remotos para llevar a cabo tareas bsicas. Adems, los mensajes de broadcast, como las consultas de resolucin de direcciones que enva el ARP, pueden afectar de manera negativa el rendimiento de la red y de las estaciones de trabajo. Aplicaciones con alta demanda de ancho de banda. Las aplicaciones de software son cada vez ms ricas en cuanto a funcionalidad y requieren un ancho de banda superior. Por ejemplo: las aplicaciones de edicin, diseo de ingeniera, video a pedido (VoD), aprendizaje electrnico (e-learning) y streaming video requieren una considerable capacidad y velocidad de procesamiento.

Segmentacin de la LAN Las LAN se segmentan en varios dominios de broadcast y de colisin ms pequeos mediante el uso de routers y switches. Anteriormente se utilizaban los puentes pero no suele verse este tipo de equipos de red en una moderna LAN conmutad Aunque el switch LAN reduce el tamao de los dominios de colisin, todos los hosts conectados al switch pertenecen al mismo dominio de broadcast. Los routers pueden utilizarse para crear dominios de broadcast, ya que no reenvan trfico de broadcast predeterminado. Si se crean pequeos dominios de broadcast adicionales con un router, se reducir el trfico de broadcast y se proporcionar mayor disponibilidad de ancho de banda para las comunicaciones unicast. Cada interfaz del router se conecta a una red individual que contiene trfico de broadcast dentro del segmento de la LAN en el que se origin. Mtodos de reenvio del switch Los switches pueden funcionar de distintos modos y stos pueden tener tanto efectos positivos como negativos: Conmutacin de almacenamiento y envo: En este tipo de conmutacin, cuando el switch recibe la trama, la almacena en los buffers de datos hasta recibir la trama en su totalidad. Durante el proceso de almacenamiento, el switch analiza la trama para buscar informacin acerca de su destino. En este proceso, el switch tambin lleva a cabo una verificacin de errores utilizando la porcin del triler de comprobacin de redundancia cclica (CRC, Cyclic Redundancy Check) de la trama de Ethernet. La CRC utiliza una frmula matemtica, basada en la cantidad de bits (1) de la trama, para determinar si sta tiene algn error. Despus de confirmar la integridad de la trama, sta se enva desde el puerto correspondiente hasta su destino. Cuando se detecta un error en la trama, el switch la descarta. El proceso de descarte de las tramas con errores reduce la cantidad de ancho de banda consumido por datos daados. La conmutacin por almacenamiento y envo se requiere para el anlisis de calidad de servicio (QoS) en las redes convergentes, en donde se necesita una clasificacin de la trama para decidir el orden de prioridad del trfico. Conmutacin por mtodo de corte: En este tipo de conmutacin, el switch acta sobre los datos apenas los recibe, incluso si la transmisin an no se ha completado. El switch recopila en el bfer slo la informacin suficiente de la trama como para leer la direccin MAC de destino y as determinar a qu puerto debe reenviar los datos. La direccin MAC de destino se encuentra en los primeros 6 bytes de la trama despus del prembulo. El switch busca la direccin MAC de destino en su tabla de conmutacin, determina el puerto de la interfaz de salida y reenva la trama a su destino mediante el puerto de switch designado. El switch no lleva a cabo ninguna verificacin de errores en la trama. Funcionamiento del switch Para lograr su fin, los switches LAN Ethernet realizan cinco operaciones bsicas: Aprendizaje: La tabla MAC debe llenarse con las direcciones MAC y sus puertos correspondientes. El proceso de aprendizaje permite que estos mapeos se adquieran dinmicamente durante el funcionamiento normal. A medida que cada trama ingresa al switch, el switch analiza la direccin MAC de origen. Mediante un proceso de bsqueda, el switch determina si la tabla ya contiene una entrada para esa direccin MAC. Si no existe ninguna entrada, el switch crea una nueva entrada en la tabla MAC utilizando la direccin MAC de origen y asocia la direccin con el puerto en el que lleg

Planificacin y Administracin de Redes

Conmutacin

la entrada. Ahora, el switch puede utilizar este mapeo para reenviar tramas a este nodo. Actualizacin: Las entradas de la tabla MAC que se adquirieron mediante el proceso de Aprendizaje reciben una marca horaria. La marca horaria se utiliza como instrumento para eliminar las entradas antiguas de la tabla MAC. Despus de que se crea una entrada en la tabla MAC, un proceso comienza una cuenta regresiva utilizando la marca horaria como el valor inicial. Una vez que el valor alcanza 0, la entrada de la tabla se actualizar la prxima vez que el switch reciba una trama de ese nodo en el mismo puerto. Flooding: Si el switch no sabe a qu puerto enviar una trama porque la direccin MAC de destino no se encuentra en la tabla MAC, el switch enva la trama a todos los puertos, excepto al puerto en el que lleg la trama. El proceso que consiste en enviar una trama a todos los segmentos se denomina inundacin. El switch no reenva la trama al puerto en el que lleg la trama porque cualquier destino de ese segmento ya habr recibido la trama. La inundacin tambin se utiliza para tramas que se envan a la direccin MAC de broadcast. Reenvo selectivo: El reenvo selectivo es el proceso por el cual se analiza la direccin MAC de destino de una trama y se la reenva al puerto correspondiente. sta es la funcin principal del switch. Cuando una trama de un nodo llega al switch y el switch ya aprendi su direccin MAC, dicha direccin se hace coincidir con una entrada de la tabla MAC y la trama se reenva al puerto correspondiente. En lugar de saturar la trama hacia todos los puertos, el switch enva la trama al nodo de destino a travs del puerto indicado. Esta accin se denomina reenvo.. Filtrado: En algunos casos, la trama no se reenva. Este proceso se denomina filtrado de la trama. Uno de los usos del filtrado ya se describi: un switch no reenva una trama al mismo puerto en el que llega. El switch tambin descartar una trama corrupta. Si una trama no aprueba la verificacin CRC, dicha trama se descarta. Otra razn por la que una trama se filtra es por motivos de seguridad. Un switch tiene configuraciones de seguridad para bloquear tramas hacia o desde direcciones MAC selectivas o puertos especficos.

Tipos de switch Switches de configuracin fija.- no se pueden agregar caractersticas u opciones al switch ms all de las que originalmente vienen con el switch. Por ejemplo, si se adquiere un switch fijo gigabit de 24 puertos, no se pueden agregar puertos cuando se les necesite. Habitualmente, existen diferentes opciones de configuracin que varan en cuanto al nmero y al tipo de puertos incluidos. Switches modulares.- ofrecen ms flexibilidad en su configuracin. Habitualmente, los switches modulares vienen con chasis de diferentes tamaos que permiten la instalacin de diferentes nmeros de tarjetas de lnea modulares. Switches apilables.- Los switches apilables pueden interconectarse con el uso de un cable especial que otorga rendimiento de ancho de banda entre los switches. Caractersticas de los switchs Densidad de puerto La densidad de puerto es el nmero de puertos disponibles en un switch nico. Los switches de configuracin fija habitualmente admiten hasta 48 puertos en un nico dispositivo, con opciones de cuatro puertos adicionales para dispositivos de factor de forma pequeos enchufables (SFP small form-factor pluggable, es un puerto donde colocas una interfaz, a la que llamas mdulo, para conectar dos equipos de telecomunicaciones, normalmente switches o routers). Las altas densidades de puerto permiten un mejor uso del espacio y de la energa cuando la fuente de ambos es limitada. Si tiene dos switches y cada uno contiene 24 puertos, se podran admitir hasta 46 dispositivos porque se pierde al menos un puerto por switch para conectar cada switch al resto de la red. Adems, se requieren dos tomas de alimentacin elctrica. Por otro lado, si tiene un nico switch con 48 puertos, se pueden admitir 47 dispositivos con un slo puerto utilizado para conectar el switch con el resto de la red y slo una toma de alimentacin elctrica es necesaria para incluir el nico switch. Power over Ethernet Power over Ethernet (PoE) permite que el switch suministre energa a un dispositivo por el cableado de Ethernet existente. Esta caracterstica puede utilizarse por medio de los telfonos

Planificacin y Administracin de Redes

Conmutacin

IP y algunos puntos de acceso inalmbricos. PoE permite mayor flexibilidad al instalar los puntos de acceso inalmbricos y los telfonos IP porque se los puede instalar en cualquier lugar donde se puede tender un cable de Ethernet. No es necesario considerar cmo suministrar energa elctrica normal al dispositivo. Slo se debe elegir un switch que admita PoE si realmente se va a aprovechar esa funcin, porque suma un costo considerable al switch. Velocidades de envo Las tasas de reenvo definen las capacidades de procesamiento de un switch mediante la estimacin de la cantidad de datos que puede procesar por segundo el switch. Las lneas de productos con switch se clasifican segn las tasas de reenvo Por ejemplo, un switch gigabit con 48 puertos que opera a una velocidad de cable completa genera 48 Gb/s de trfico. Si el switch slo admite una tasa de reenvo de 32 Gb/s, no puede ejecutar la velocidad de cable completa a travs de todos los puertos de forma simultnea Agregado de enlaces El agregado de enlace ayuda a reducir cuellos de botella del trfico al permitir la unin de hasta ocho puertos de switch para las comunicaciones de datos. Por ejemplo, considere un puerto Gigabit Ethernet, que transporta hasta 1 Gb/s de trfico. Si tiene un switch con 24 puertos, con todos los puertos capaces de ejecutar a velocidades de gigabit, podra generar hasta 24 Gb/s de trfico de red. Si el switch est conectado con el resto de la red a travs de un nico cable de red, puede slo enviar 1 Gb/s de datos al resto de la red. Debido a la contencin para el ancho de banda, los datos se enviaran con ms lentitud. El resultado es una velocidad de cable de 1/24 disponible para cada uno de los 24 dispositivos conectados al switch. Funciones de la Capa 3 Normalmente, los switches operan en la Capa 2 del modelo de referencia OSI, donde pueden ocuparse principalmente de las direcciones MAC de los dispositivos conectados con los puertos del switch. Los switches de la Capa 3 ofrecen una funcionalidad a nivel 3 del modelo OSI. Los switches de la Capa 3 tambin reciben el nombre de switches multicapas.

Seguridad de puerto La seguridad de puerto permite que el switch decida cuntos y qu dispositivos especficos se permiten conectar al switch VLAN Una VLAN (acrnimo de Virtual LAN, Red de rea Local Virtual) es un mtodo de crear redes lgicamente independientes dentro de una misma red fsica. Varias VLANs pueden coexistir en un nico conmutador fsico o en una nica red fsica. Son tiles para reducir el tamao del Dominio de difusin y ayudan en la administracin de la red separando segmentos lgicos de una red de rea local (como departamentos de una empresa) que no deberan intercambiar datos usando la red local (aunque podran hacerlo a travs de un enrutador o un switch capa 3 y 4). ACL Una Lista de control de acceso (ACL) permite que el switch impida ciertos tipos de trfico y autorice otros. Las ACL tambin permiten controlar qu dispositivos de red pueden

Planificacin y Administracin de Redes

Conmutacin

comunicarse en la red. El uso de las ACL es un procesamiento intensivo porque el switch necesita inspeccionar cada paquete y observar si coincide con una de las reglas de la ACL definida en el switch Calidad de servicio Los switches de capa de distribucin tambin necesitan admitir QoS para mantener la prioridad del trfico que proviene de los switches de capa de acceso que implementaron QoS. Las polticas de prioridad aseguran que se garantice el ancho de banda adecuado para las comunicaciones de audio y video a fin de mantener una calidad aceptable del servicio. Para mantener la prioridad de los datos de voz a travs de la red, todos los switches que envan datos de voz deben admitir QoS; si la totalidad de los dispositivos de la red no admite QoS, sus beneficios se reducen. Esto produce rendimiento y calidad deficientes en las comunicaciones de video. Conmutacin asimtrica o simtrica En un switch simtrico, todos los puertos cuentan con el mismo ancho de banda. La conmutacin simtrica se ve optimizada por una carga de trfico distribuida de manera uniforme, como en un entorno de escritorio entre pares. El administrador de la red debe evaluar la cantidad de ancho de banda que se necesita para las conexiones entre dispositivos a fin de que pueda adaptarse al flujo de datos de las aplicaciones basadas en redes. La mayora de los switches actuales son asimtricos, ya que son los que ofrecen mayor flexibilidad, por ejemplo nos permite darle mayor ancho de banda al servidor y evitar cuellos de botella. Saturacin de la direccin MAC La flooding de direcciones MAC es un ataque comn. Recuerde que la tabla de direcciones MAC del switch contiene las direcciones MAC disponibles de un puerto fsico determinado de un switch y los parmetros asociados para cada uno. Cuando un switch de la Capa 2 recibe una trama, el switch busca en la tabla de direcciones MAC la direccin MAC de destino. Todos los modelos de switches Catalyst utilizan una tabla de direcciones MAC para la conmutacin en la Capa 2. A medida que las tramas llegan a los puertos del switch, las direcciones MAC de origen se aprenden y se registran en la tabla de direcciones MAC. Si existe una entrada para la direccin MAC, el switch enva la trama al puerto designado con esa direccin MAC en la tabla de direcciones MAC. Si la direccin MAC no existe, el switch acta como un hub y enva la trama a todos los puertos del switch. Los ataques de sobrecarga de la tabla de direcciones MAC son tambin conocidos como ataques de flooding de MAC. Para comprender el mecanismo de un ataque de sobrecarga de la tabla de direcciones MAC, recuerde el funcionamiento bsico del switch. La clave para entender cmo funcionan los ataques de sobrecarga de la tabla de direcciones MAC es saber que estas tablas poseen un lmite de tamao. Las flooding de MAC utilizan esta limitacin para bombardear al switch con direcciones MAC falsas hasta que la tabla de direcciones MAC del switch est llena. Luego el switch ingresa a lo que se conoce como modo de falla de apertura, comienza a actuar como un hub y enva paquetes de broadcast a todas las mquinas de la red. En consecuencia, el atacante puede ver todas las tramas enviadas por el host vctima a otro host que no posee una entrada en la tabla de direcciones MAC. Ataques de suplantacin de identidad Una de las formas en que un atacante puede acceder al trfico de la red es haciendo spoof sobre las respuestas enviadas por un servidor de DHCP vlido. El dispositivo DHCP vctima de suplantacin de identidad responde a las solicitudes de clientes de DHCP. El servidor legtimo tambin puede responder, pero si el dispositivo de suplantacin de identidad est en el mismo segmento que el cliente, la respuesta de este ltimo llegar primero. La respuesta del DHCP intruso ofrece una direccin IP e informacin de soporte que designa al intruso como la gateway predeterminada o como servidor de Sistema de nombres de dominios (DNS). En el caso de una gateway, los clientes envan paquetes al dispositivo atacante, el cual, en respuesta, los enva al destino deseado. Esto se conoce como ataque de intermediario y puede pasar totalmente desapercibido a medida que el intruso intercepta el flujo de datos de la red. Debe estar atento a otro tipo de ataque de DHCP denominado ataque de inanicin de DHCP. La PC atacante solicita direcciones IP de manera continua a un servidor de DHCP real cambiando sus direcciones MAC de origen. Si da resultado, este tipo de ataque de DHCP produce que todos los arrendamientos del servidor de DHCP real queden asignados, lo que provoca que los usuarios reales (clientes de DHCP) no puedan obtener una direccin IP.

Planificacin y Administracin de Redes

Conmutacin

Solucin: El snooping DHCP es una funcin que determina cules son los puertos de switch que pueden responder a solicitudes de DHCP. Los puertos se identifican como confiables o no confiables. Los puertos confiables pueden recibir todos los mensajes de DHCP, los no confiables slo pueden recibir solicitudes. Los puertos confiables de los hosts se alojan en el servidor de DHCP o pueden ser un enlace hacia dicho servidor. Si un dispositivo malicioso de un puerto no confiable intenta enviar un paquete de respuesta de DHCP a la red, el puerto se desactiva. Esta funcin puede unirse con las opciones de DHCP donde la informacin del switch, como el ID de puerto o la solicitud de DHCP pueden insertarse en el paquete de solicitudes de DHCP. Ataques de Telnet Un atacante puede utilizar el protocolo de Telnet para acceder de manera remota a un switch de red. Se configur una contrasea de inicio de sesin, esto proporciona un nivel de seguridad esencial y bsico que ayuda a proteger el switch del acceso no autorizado. Sin embargo, no es un mtodo seguro para proteger el acceso a las lneas vty. Existen herramientas disponibles que permiten que un atacante inicie un ataque de decodificacin de contraseas de fuerza bruta contra las lneas vty del switch. Ataque de contrasea de fuerza bruta La primer fase de un ataque de contrasea de fuerza bruta comienza con el uso de contraseas comunes por parte del atacante y de un programa diseado para intentar establecer una sesin de Telnet mediante todas las palabras del diccionario. Por suerte, el usuario es lo suficientemente listo como para no utilizar una palabra del diccionario, de modo que, por el momento, se encuentra a salvo. En la segunda fase del ataque de fuerza bruta, el atacante utiliza un programa que genera combinaciones de caracteres secuenciales para poder "adivinar" la contrasea. Si dispone del tiempo suficiente, un ataque de contrasea de fuerza bruta puede decodificar casi todas las contraseas utilizadas. La accin ms simple que puede llevarse a cabo para limitar la vulnerabilidad a los ataques de contrasea de fuerza bruta es cambiar la contrasea con frecuencia y utilizar contraseas fuertes, que combinen letras en mayscula y minscula con nmeros. Configuraciones ms avanzadas permiten limitar las comunicaciones con las lneas vty mediante listas de acceso, pero eso excede el alcance de este curso. Ataque DoS Otro tipo de ataque de Telnet es el ataque de DoS. En un ataque de DoS, el atacante explota un desperfecto del software del servidor de Telnet que se ejecuta en el switch que torna al servicio de Telnet no disponible. Este tipo de ataque es en la mayora de los casos una molestia, ya que evita que el administrador lleve a cabo las funciones de administracin del switch. En general, las vulnerabilidades en el servicio de Telnet que permiten que ocurran los ataques de DoS se enfrentan mediante parches de seguridad Protocolo de Spanning Tree Cuando varios switch estn ubicados en un rbol jerrquico sencillo, es poco probable que ocurran bucles de conmutacin. Sin embargo, a menudo las redes conmutadas se disean con rutas redundantes para ofrecer ms confiabilidad y tolerancia a fallas. Si bien se recomienda el uso de rutas redundantes, ellas pueden tener efectos colaterales indeseables. Los bucles de conmutacin son uno de esos efectos. Los bucles de conmutacin pueden ocurrir ya sea por diseo o por accidente, y pueden llevar tormentas de broadcast que rpidamente abrumen la red. Para contrarrestar la posibilidad de bucles, se proporcionan switches con un protocolo basado en los estndares llamado protocolo de spanning tree (Spanning Tree Protocol, STP). Cada switch en una LAN que usa STP enva un mensaje especial llamado unidades de datos del protocolo puente (Bridge Protocol Data Unit, BPDU) desde todos sus puertos para que los otros switches sepan de su existencia y elijan un puente raz para la red. Los switches entonces usan un algoritmo spanning-tree (Spanning Tree Algorithm, STA) para resolver y desconectar las rutas redundantes. Cuando existen varias rutas entre dos dispositivos en la red y STP se ha deshabilitado en los switches, puede generarse un bucle de Capa 2. Si STP est habilitado en estos switches, que es lo que est predeterminado, el bucle de Capa 2 puede evitarse. Las tramas de Ethernet no poseen un tiempo de existencia (TTL, Time to Live) como los paquetes IP que viajan por los routers. En consecuencia, si no finalizan de manera adecuada

Planificacin y Administracin de Redes

Conmutacin

en una red conmutada, las mismas siguen rebotando de switch en switch indefinidamente o hasta que se interrumpa un enlace y elimine el bucle. Las tramas de broadcast se envan a todos los puertos de switch, excepto el puerto de origen. Esto asegura que todos los dispositivos del dominio de broadcast puedan recibir la trama. Si existe ms de una ruta para enviar la trama, se puede generar un bucle sin fin. Los bucles producen una alta carga de CPU en todos los switches atrapados en el mismo. Ya que se envan las mismas tramas constantemente entre todos los switches del bucle, la CPU del switch debe procesar una gran cantidad de datos. Esto disminuye el rendimiento del switch cuando llega trfico legtimo. Una tormenta de broadcast se produce cuando existen tantas tramas de broadcast atrapadas en un bucle de Capa 2 que se consume todo el ancho de banda disponible. En consecuencia, no existe ancho de banda disponible para el trfico legtimo y la red queda no disponible para la comunicacin de datos. El protocolo spanning tree (STP) fue desarrollado para enfrentar estos inconvenientes. STP asegura que exista slo una ruta lgica entre todos los destinos de la red, al bloquear de forma intencional aquellas rutas redundantes que puedan ocasionar un bucle. Un puerto se considera bloqueado cuando el trfico de la red no puede ingresar ni salir del puerto. Esto no incluye las tramas de unidad de datos del protocolo de puentes (BPDU) utilizadas por STP para evitar bucles. Aprender ms acerca de las tramas de BPDU de STP ms adelante en este captulo. El bloqueo de las rutas redundantes es fundamental para evitar bucles en la red. Las rutas fsicas an existen para proporcionar la redundancia, pero las mismas se deshabilitan para evitar que se generen bucles. Si alguna vez la ruta es necesaria para compensar la falla de un cable de red o de un switch, STP vuelve a calcular las rutas y desbloquea los puertos necesarios para permitir que la ruta redundante se active. Algoritmo STP STP utiliza el algoritmo spanning tree (STA) para determinar los puertos de switch de la red que deben configurarse para el bloqueo, y as evitar que se generen bucles. El STA designa un nico switch como puente raz y lo utiliza como punto de referencia para todos los clculos de rutas. Despus de determinar el puente raz, el STA calcula la ruta ms corta hacia el mismo. Todos los switches utilizan el STA para determinar los puertos que deben bloquearse. El STA considera los costos tanto de la ruta como del puerto cuando determina la ruta que debe permanecer desbloqueada. Los costos de la ruta se calculan mediante los valores de costo de puerto asociados con las velocidades de los puertos para cada puerto de switch que atraviesa una ruta determinada. La suma de los valores de costo de puerto determina el costo de ruta total para el puente raz. Si existe ms de una ruta a escoger, el STA elige la de menor costo de ruta Cada puerto de un switch que usa protocolo de spanning- tree se encuentra en uno de los cinco estados siguientes: Bloquear Escuchar Aprender Enviar Desactivar Variantes de STP Al igual que con muchos estndares de redes, la evolucin de STP se ha enfocado en la necesidad de crear especificaciones para toda la industria cuando los protocolos de propiedad son estndares de hecho. Cuando un protocolo de propiedad es tan predominante que todos sus competidores del mercado deben contar con soporte para el mismo, las agencias como el IEEE intervienen y crean una especificacin pblica. Protocolo spanning tree por VLAN (PVST) : Mantiene una instancia de spanning-tree para cada VLAN configurada en la red. Utiliza el protocolo de enlace troncal ISL propiedad de Cisco que permite que un enlace troncal de la VLAN se encuentre en estado de enviar para algunas VLAN y en estado de bloqueo para otras. Hay dos versiones mejoradas: PVST+ y PVST+ rpido.

Planificacin y Administracin de Redes

Conmutacin

Protocolo Rapid spanning tree (RSTP): Se introdujo por primera vez en 1982 como evolucin de STP (estndar 802.1D). Proporciona una convergencia de spanning-tree ms veloz despus de un cambio de topologa. STP mltiple (MSTP): permite que se asignen VLAN mltiples a la misma instancia de spanning-tree, de modo tal que se reduce la cantidad de instancias necesarias para admitir una gran cantidad de VLAN. Protocolo CDP CDP (Cisco Discovery Protocol, protocolo de descubrimiento de Cisco, es un protocolo de red propietario de nivel 2, desarrollado por Cisco Systems y usado en la mayora de sus equipos. Es utilizado para compartir informacin sobre otros equipos Cisco directamente conectados, tal como la versin del sistema operativo y la direccin IP. CDP tambin puede ser usado para realizar encaminamiento bajo demanda (ODR, On-Demand Routing), que es un mtodo para incluir informacin de encaminamiento en anuncios CDP, de forma que los protocolos de encaminamiento dinmico no necesiten ser usados en redes simples.