Seg Redes 5 Switch y VPN

Curso de
S
Seguridad
id d de
d la
l Información
I f ió en
Redes EmpresarialesTCP
EmpresarialesTCP/IP
/IP
ADACSI
1
Redes Conmutadas
y
VPN
Módulo 5
ADACSI
2
Docentes: Seguridad de la Información en

Módulo 5
Lic. Jorge Coca Redes empresariales TCP/IP Clase 5
Ing. Enrique Larrieu-Let Curso 2012
Redes Conmutadas
ADACSI
3
REPETIDOR
• La desventaja del uso de repetidores es que no pueden

filtrar el tráfico de red. Extiende el Dominio de Colisión
• Los datos (bits) que llegan a uno de los puertos del
repetidor se envían a todos los puertos del mismo,
excepto al que recibió la señal de origen.
ADACSI
4

Módulo 5
Hub vs. Switch
Retransmisión vs. Selección
HUB: Retransmite todas las tramas en todos los puertos.
SWITCH: Recibe una trama, la analiza y luego la retransmite
sólo por los puertos necesarios.
necesarios
A A
La máquina A se
desea comunicar
sólo con la B
B B
ADACSI
5
Segmentar redes
• Redes con mucho tráfico y muy lentas
Mejorar la Disponibilidad
• Separar áreas por funciones

Mejorar el Desempeño
• Separar áreas por seguridad

Mejorar
j Confidencialidad e Integridad
g
ADACSI
6

Módulo 5
Dividir Dominios de Colisión
Dominios de colisión
PUENTE
ANs
Switching y VLA
SWITCH
ROUTER
Los puentes, switches y routers pueden ser utilizados para dividir
dominios de colisión. Este proceso se denomina segmentación.
ADACSI
7
Segmentación con Puente

Si A y B se comunican, Puerta 1 Puerta 2 Aprende las direcciones
D, E, F y G no se MACA MACD MAC para cada puerta
enteran MACB MACE
MACC MACF
Hub 1 MACG G
Hub 2
1 2
192.60.1.27
255.255.255.0
A Puente
D
192.60.1.21 C F
255.255.255.0 B E
192.60.1.24
255.255.255.0
192.60.1.23
9 60 3 192 60 1 26
192.60.1.26
192.60.1.22 255.255.255.0 192.60.1.25 255.255.255.0
255.255.255.0 255.255.255.0
A, B y C forman un dominio de COLISIÓN D, E, F y G forman un dominio de COLISIÓN
 Una dirección de red  Dos dominios de colisión  Un dominio de broadcast
ADACSI
8

Módulo 5
Switching
• La conmutación es una tecnología que alivia la congestión, en
las LAN Ethernet, reduciendo el tráfico y aumentando el
ancho de banda.
• Los switches, también denominados switches de LAN,
ANs
reemplazan
p a los hubs y en ggeneral funcionan con la misma
Switching y VLA
infraestructura de cableado, de manera que su instalación

puede realizarse con mínima complejidad en las redes
existentes.
• Los equipos de conmutación ejecutan 2 operaciones básicas:

1.Conmutación de tramas de datos: Esta es una operación de
"guardar y enviar" en la que una trama llega a un medio de entrada
y se transmite a un medio de salida.
2.Mantenimiento de operaciones de conmutación: Los switches
crean y mantienen tablas de conmutación y buscan loops.
ADACSI
9
Microsegmentación
Puertas del switch
ANs
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Switching y VLA
Rutas de tráfico múltiple

p simultáneo
Backplane
• Habilita el acceso dedicado entre origen y destino.
• Elimina las colisiones y aumenta la capacidad.
• Soporta múltiples comunicaciones simultáneas.
ADACSI
10

Módulo 5
Switch – Aprendizaje de Direcciones
• El switch aprende las direcciones MAC en forma dinámica
generando una MAC Address Table.
• La tabla se genera a medida que el switch recibe tramas
ANs
por los distintos p

p puertos.
Switching y VLA
• Cuando recibe una trama con MAC de origen desconocida

genera una nueva entrada en la tabla.
• El switch sólo retransmite en todos sus puertos (excepto
por el que recibió la trama) aquellas tramas con MAC de
destino desconocidas (unicast) y las tramas Broadcast.
•Al cabo de un rato las tablas incluyen
y a la mayoría
y de las
estaciones activas de todas las LANs conectadas directa o
indirectamente.
Las entradas de las tabla MAC tienen un tiempo de
expiración (típico 5 min.) para permitir la movilidad.
ADACSI
11
Segmentación con Switch

Si A y B se comunican, Puerta 1 Puerta 2 Aprende las direcciones
D, E, F y G no se MACA MACD MAC para cada puerta
enteran MACB MACE
MACC MACF
Hub 1 MACG G
Hub 2
1 2
192.60.1.27
SWITCH 255.255.255.0
A
D
192.60.1.21 C F
255.255.255.0 B E
192.60.1.24
255.255.255.0
192.60.1.23
9 60 3 192 60 1 26
192.60.1.26
192.60.1.22 255.255.255.0 192.60.1.25 255.255.255.0
255.255.255.0 255.255.255.0
A, B y C forman un dominio de COLISIÓN D, E, F y G forman un dominio de COLISIÓN
 Una dirección de red  Dos dominios de colisión  Un dominio de broadcast
ADACSI
12

Módulo 5
Segmentación con Switch
Puerta 1 MACA Puerta 6 MACF
Se generan tantos
dominios de colisión como Puerta 2 MACB Puerta 7 MACG
puertas tenga el switch. Puerta 3 MACC Puerta 8
ANs
Puerta 4 MACD Puerta 9

pero …
Switching y VLA
P
Puerta 5 Puerta 10
MACE G
Petición ARP 1 7
2 6 192.60.1.27
5
A 3 4 255.255.255.0
D
192.60.1.21 C F
255.255.255.0 B E
192.60.1.24
255.255.255.0
9 60 3
192.60.1.23 192 60 1 26
192.60.1.26
192.60.1.22 255.255.255.0 192.60.1.25 255.255.255.0
255.255.255.0 255.255.255.0
forman un dominio de BROADCAST
ADACSI
13
Red de switch y hub

En contraste, en el hub:
Tráfico de datos desde: 192.60.1.21 a 192.60.1.22
y desde 192.60.1.23 a 192.60.1.24 …==> colisión
¡Colisión!
Hub
192.60.1.21
Switch
255.255.255.0
192.60.1.27
192.60.1.23
255.255.255.0 255.255.255.0
192.60.1.22
255.255.255.0
Red de switch y hub

 Una red 192.60.1.24
255.255.255.0
 Varios dominios de colisión 192.60.1.26
192.60.1.25 255.255.255.0
 Uno por puerto de switch 255.255.255.0
 Uno para todo el hub
 Un dominio de broadcast
ADACSI
14

Módulo 5
Colisiones y switches
¿Que ocurre cuando dos host conectados en un switch envían
datos simltáneamente a otro dispositivo en el mismo switch?
192.60.1.24 a 192.60.1.25 y 192.60.1.26 a 192.60.1.25
ANs
Switching y VLA
Hub
Switch
192.60.1.21
255.255.255.0
192.60.1.27
192.60.1.23 255.255.255.0
192.60.1.22 255.255.255.0
255.255.255.0
Red de switch y hub

 Una red 192.60.1.24
255.255.255.0
192.60.1.25 255.255.255.0
ADACSI
15
Colisiones y switches
El switch mantiene las tramas en la memoria del búffer
y coloca en cola el tráfico para el host 192.60.1.25.
Esto significa que los hosts emisores no tienen
conocimiento sobre las colisiones y no necesitan volver
ANs
a enviar las tramas.

Switching y VLA
Hub
Tramas
en búfer
192.60.1.21
255.255.255.0
Switch
192.60.1.27
192.60.1.23
255.255.255.0 255.255.255.0
192.60.1.22
255.255.255.0
Red de switch y hub

 Una red 192.60.1.24
255.255.255.0
192.60.1.25 255.255.255.0
ADACSI
16

Módulo 5
Red enrutada
Dos dominios de broadcast separados, porque el router no
envía broadcasts de la capa 2, como las peticiones ARP.
Switch 1
197.60.1.1
255.255.255.0
197 60 1 21
197.60.1.21 197 60 2 1
197.60.2.1
255.255.255.0 255.255.255.0
Router
Switch 2
197.60.2.16
197.60.1.23 197.60.1.25 197.60.1.26 255.255.255.0
255.255.255.0 255.255.255.0 255.255.255.0
Redes enrutadas
 Dos redes
197.60.2.10
197.60.2.14
255.255.255.0
 Comunicación entre redes 255.255.255.0
ADACSI
17
Segmentación con Routers

• Cada interfaz en el router se conecta a una red
separada, de manera que la inserción de un router en
una LAN separa dominios de colisión y de broadcast,
porque los routers no envían broadcasts.
• El router puede ejecutar la selección de mejor ruta. El
router se puede usar para conectar distintos medios de
networking y distintas tecnologías de LAN
simultáneamente.
• Los routers pueden conectar las LAN que ejecutan
distintos protocolos (IP ; IPX ; AppleTalk) y pueden
tener conexiones seriales con las WAN.
ADACSI
18

Módulo 5
Características de los
Switches
ADACSI
19
Formas de conmutación de tramas

1.Almacenamiento y reenvío: El conmutador recibe
la trama en su totalidad, comprueba el CRC y la
ANs
retransmite si es correcta (si no la descarta).

Switching y VLA
2.Cut-through: El conmutador empieza retransmitir la

trama tan pronto ha leído la dirección de destino (6
primeros bytes). Aunque el CRC sea erróneo la
trama se retransmite. Menor latencia que
almac./reenvío.
ADACSI
20

Módulo 5
Transmisión Full Dúplex
• Para transmitir full dúplex hay que suprimir el protocolo MAC
(CSMA/CD en el caso de Ethernet)
ANs
• Esto solo es posible cuando:

Switching y VLA
– Solo hay dos estaciones en la red (p. ej. host-host, host-

conmutador, conmutador-conmutador)
– El medio es Full Dúplex
– Los controladores/transceivers de ambos equipos son
capaces de funcionar Full Dúplex
Mejora la DISPONIBILIDAD
ADACSI
21
El problema de la conexión Half-Full

A B
(Half) 1 2 (Full)
Tx Tx
ANs
Rx Rx
Switching y VLA
1. A empieza a enviar una trama

2. Al mismo tiempo B empieza a enviar otra
3. A detecta una colisión, por lo que abandona la transmisión para
reintentar más tarde (retroceso exponencial binario)
4. Al detectar la colisión A deja también de recibir la trama que le
envía B, pues se supone que es errónea
5. B no detecta la colisión (está en modo full). Sigue enviando su
trama hasta el final; esa trama no es recibida por A pero B no
lo sabe, supone que ha llegado bien. Por otro lado B ha
recibido de A una trama incompleta, y por tanto incorrecta.
Se produce una DENEGACIÓN de SERVICIO

ADACSI
22

Módulo 5
Autonegociación
• Permite que los dispositivos de red intercambien información
sobre la forma en que pueden usar el medio, es decir que
permite que los dispositivos se autoconfiguren.
ANs
j
• Permite ajustar el funcionamiento de forma automática ppara
Switching y VLA
utilizar la mejor opción posible. Similar a la negociación de

velocidad en módems.
• Como mínimo, la autonegociacón debe permitir a los
dispositivos con múltiples velocidades (tarjetas 10/100 ó
tarjetas 10/100/1000) negociar la velocidad y buscar la
mejor.
j
• Sólo se utiliza en interfaces en cobre (10/100 BASE-T y
10/100/1000 BASE-T).
• También permite negociar el tipo de operación: Full-duplex
o Half-duplex.
ADACSI
23
Autonegociación
• La autonegociación, que apareció en el suplemento
802.3u de fast ethernet en 1995, es opcional:
ANs
incluso se puede deshabilitar en concentradores e

Switching y VLA
interfaces de red si se desea (no existe norma, así

que la implementación de full duplex depende del
vendedor).
• La autonegociación es opcional, puede estar o no
(o estar y no funcionar bien). Si no se necesita a
veces es más á seguro configurar
fi a mano la l
velocidad de transmisión.
Se pueden producir problemas de DISPONIBILIDAD
ADACSI
24

Módulo 5
MDI / MDIX
• MDI (Media Dependent Interface)
• MDIX (Media Dependent Interface Crossover)
ANs
• Son modalidades de conexión cuando se utilizan

Switching y VLA
cables UTP ó STP.

• MDI es el componente de la placa de red que provee
la conexión física y eléctrica al medio de
transmisión.
• MDIX está diseñado para admitir conexiones con
dispositivos MDI.
MDI
Una mala implementación puede afectar la

DISPONIBILIDAD
ADACSI
25
Esquemas de conexión UTP

EIA/TIA 568A EIA/TIA 568B
Par 3: naranja Par 2 Par 2: naranjaPar 3 Par 3: verde

Par 3 Par 1 Par 4 Par 2 Par 1 Par 4
Par 2: verde Par 4: marrón Par 4: marrón
azul
Par 1: azul 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
Par 1: azul
Jack RJ-45
Conector RJ-45
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
T568-A T568-B
ADACSI
26

Módulo 5
Esquemas de conexión UTP
EIA/TIA 568B EIA/TIA 568B EIA/TIA 568A EIA/TIA 568B
Par 3 Par 3 Par 2 Par 3
Par 2 Par 1 Par 4 Par 2 Par 1 Par 4 Par 3 Par 1 Par 4 Par 2 Par 1 Par 4
Conector RJ-45
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
Jack RJ-45
Conector RJ-45
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
Cruzado ((crossover))
Directo (straight-through)
ADACSI
27
Agregación de enlaces (802.3ad)

• Consiste en agrupar varios enlaces para conseguir
mayor capacidad. Ej.: 4 x GE = 4 Gb/s.
ANs
Switching y VLA
• Permite
P it un crecimiento
i i t escalable
l bl
• Se suele usar entre conmutadores o en la conexión de
un servidor a un conmutador
• Los enlaces forman un grupo que se ve como un
único enlace a efectos de spanning tree
• Normalmente no resulta interesante por encima de 4
enlaces.
Mejora la DISPONIBILIDAD
ADACSI
28

Módulo 5
Ejemplo de agregación de enlaces
10+10 = 20 Mbps
3 x (10+10) = 60 Mbps
ANs
Switching y VLA
Interfaces
10BASE-T
10 Mbps
Full dúplex
Half dúplex
ADACSI
29

192.168.1.253/24 100 Mbps
400 192.168.1.254/24
RS-232 Full Duplex RS-232

ANs
3 5
Switching y VLA
N1 S1
1
1 4 6
2 2
192.168.1.11/24 192.168.1.21/24
N2 S2
Suponemos todos los
enlaces a 100 mbps
192.168.1.12/24 FULL DUPLEX
192.168.1.22/24
Consigna: Aumentar el ancho de banda de transmisión entre dos switches
Solución: Agregar un segundo enlace y establecer un LAG
ADACSI
30

Módulo 5
Un beneficio adicional al aumento del ancho de banda es tener un enlace
redundante.
192.168.1.253/24 400 Mbps
200 192.168.1.254/24
ANs
RS-232 RS-232
Switching y VLA
3 5
N1 S1
1
1 4 6
2 2
192.168.1.11/24 192.168.1.21/24
N2 S2
Suponemos ambos
enlaces a 100 mbps
192.168.1.12/24 FULL DUPLEX
192.168.1.22/24
1) Cuando el LAG está completo la velocidad de transferencia es de 400 mbps

2) Cuando se corta un enlace la velocidad de transferencia es de 200 mbps
ADACSI
31
Lazos redundantes aumentan la Disponibilidad

A B C
ANs
1 2 3
Switching y VLA
D E F
G
5 6 7
H I J
¡¡¡pero …
ADACSI
32

Módulo 5
Problema: Bucle entre dos LANs
LAN X t4 t4 LAN Y
t1
t1
ANs
A B
Switching y VLA
S1 S2
t0 t2
t2
t3 t3 1. A envía trama t0 a B (LAN Y)

2. S1 retransmite t0 en LAN Y como t1
3. S1 retransmite t0 en LAN Y como t2
4. S2 retransmite t1 en LAN X como t3
5. S2 retransmite t2 en LAN X como t4
6. ... y así sucesivamente.
Con la primera trama transmitida la red
se satura eternamente
ADACSI
33
Problema: Bucle entre dos LANs

• Cuando hay lazos en la topología de red, los
dispositivos de interconexión de nivel de enlace
ANs
Switching y VLA
reenvían indefinidamente las tramas Broadcast,

Broadcast al
no existir ningún campo TTL (Time To Live,
Tiempo de Vida) en la Capa 2, se consume entonces
una gran cantidad de ancho de banda, y en muchos
casos la red queda inutilizada.
ADACSI
34

Módulo 5
Spanning Tree (STP) IEEE 802.1D
• Es un protocolo cuya función es la de evitar la presencia de
lazos en topologías de red debido a la existencia de enlaces
redundantes.
ANs
• El protocolo permite a los dispositivos de interconexión activar

o desactivar automáticamente los enlaces de conexión, de forma
Switching y VLA
de garantizar que la topología esté libre de lazos.

• Los lazos infinitos ocurren cuando hay rutas alternativas hacia
una misma máquina o segmento de red de destino. Estas rutas
alternativas son necesarias para proporcionar redundancia,
ofreciendo una mayor confiabilidad.
• Si existen varios enlaces, en el caso que uno falle, otro enlace
puede seguir soportando el tráfico de la red. Los problemas
aparecen cuando utilizamos dispositivos de interconexión de
nivel de enlace, como un puente de red o un conmutador de
paquetes.
• Un router podría evitar este tipo de reenvíos indefinidos.
• La solución consiste en permitir la existencia de enlaces físicos
redundantes, pero creando una topología lógica libre de lazos.
ADACSI
35
VLANs
Redes Locales Virtuales
• Una VLAN es una agrupación lógica de
estaciones y dispositivos
p de red q
que no se limita
a un segmento de LAN físico
ADACSI
36

Módulo 5
Topología de las VLAN
• La comunicación entre los diferentes equipos en
una red de área local está regida por la
arquitectura física.
• Con las redes virtuales (VLAN),(VLAN) es posible
liberarse de las limitaciones de la arquitectura
física (limitaciones geográficas, limitaciones de
dirección, etc.)
• Se puede realizar una segmentación lógica
basada en el agrupamiento de equipos según
determinados criterios (direcciones MAC,
núme os IP,
números IP números
núme os de puertos,
p e tos protocolo).
p otocolo)
ADACSI
37
Tipos de VLAN
VLAN de nivel 1 (VLAN basada en puerto) define una red
virtual según los puertos de conexión del switch.
VLAN de nivel 2 (VLAN basada en la dirección MAC) define

una red virtual según las direcciones MAC de las estaciones.
p de VLAN es más flexible q
Este tipo que la VLAN basada en
puerto, ya que la red es independiente de la ubicación de la
estación.
VLAN de nivel 3: existen diversos tipos de VLAN de nivel 3:

VLAN basada en la dirección de red conecta subredes según la
dirección IP de origen de los datagramas. Este tipo de solución
brinda gran flexibilidad, ya que la configuración de los switches
cambia automáticamente cuando se mueve una estación. En
p
contrapartida,, puede
p haber una ligera
g disminución del
rendimiento, ya que la información contenida en los paquetes
debe analizarse detenidamente.
VLAN basada en protocolo permite crear una red virtual por
tipo de protocolo (por ejemplo, TCP/IP, IPX, AppleTalk, etc.). Por
lo tanto, se pueden agrupar todos los equipos que utilizan el
mismo protocolo en la misma red.
ADACSI
38

Módulo 5
Switches de VLAN
La tarea de un Administrador de Red es asignar puertos del
switch a la VLAN correspondiente.
Esta tarea sólo se ejecuta en el switch y no en el host.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
4 2 3 4 2 4 2 3 4 1 1 1 1 4 1 1
VLAN
En el siguiente diagrama se muestra un ejemplo donde se indica
debajo de cada port del switch la VLAN a la cual pertenece.
ADACSI
39
Control de broadcast de la capa 2

Sin las VLAN:
La petición ARP sería detectada por todos los hosts.
Nuevamente, se consume ancho de banda de red
innecesario y ciclos de procesamiento de host.
host
Switch 1
ARP
197.60.1.21
197.60.2.12
255.255.255.0
255.255.255.0
Sin VLAN
197.60.2.10 197.60.1.23
 Dos redes 255.255.255.0 255.255.255.0
 Lo mismo que una sola VLAN
ADACSI
40

Módulo 5
Una petición ARP desde 197.60.1.21 para 197.60.1.23 será
detectada sólo por hosts en esa VLAN. El switch inunda con
tráfico de broadcast pero sólo a los puertos que pertenencen a
esa VLAN, en particular, en este caso VLAN 1.
ARP Switch 1
197.60.1.21
197.60.2.12
255.255.255.0
255.255.255.0
VLAN 1 VLAN 2
Dos VLAN
 Dos subredes IP 197.60.2.10
255.255.255.0
197.60.1.23
255.255.255.0
 Dos VLANs VLAN 2 VLAN 1
ADACSI
41

Una petición ARP desde 197.60.1.21 para 197.60.1.23 será
detectada sólo por hosts en esa VLAN. El switch inunda con
tráfico de broadcast pero sólo a los puertos que pertenencen a
esa VLAN, en particular, en este caso VLAN 1.
ARP Switch 1
197.60.1.21
197.60.1.12
255.255.255.0
255.255.255.0
VLAN 1
VLAN 2
Dos VLAN
 Una sola red IP 197.60.1.10
255.255.255.0
197.60.1.23
255.255.255.0
 Dos VLANs VLAN 2 VLAN 1
ADACSI
42

Módulo 5
Particularidades de las VLAN
• Las VLAN dividen dominios de broadcast de capa 2
• El enrutamiento es necesario para transmitir la
información entre diferentes VLAN
• Las VLAN no son necesarias para que haya
distintas subredes separadas en una red conmutada
pero, ofrecen como ventaja dividir dominios de
broadcast de la capa de enlace (Capa 2)
ADACSI
43
Ventajas de las VLAN

• Las VLAN facilitan la administración de grupos lógicos de
estaciones y servidores que se pueden comunicar como si
estuviesen en el mismo segmento físico de LAN.
• También facilitan la administración de mudanzas, adiciones
y cambios en los miembros de esos grupos.
• Las VLAN pueden segmentar de manera lógica las redes
conmutadas según las funciones laborales, departamentos o
equipos de proyectos, sin importar la ubicación física de los
usuarios o las conexiones físicas a la red.
• Todas las estaciones de trabajo y servidores utilizados por un
grupo de trabajo en particular comparten la misma VLAN,
sin
i importar
i t lal conexión
ió física
fí i o la
l ubicación.
bi ió
•La configuración o reconfiguración de las VLAN se logra
mediante el software. Por lo tanto, la configuración de las
VLAN no requiere que los equipos de red se trasladen o
conecten físicamente.
ADACSI

Módulo 5
El enrutamiento y las VLAN
Los datos entre las VLAN se encaminan a través del router.
Los datos desde 197.60.1.21 a 197.60.2.12
197.60.1.1 197.60.2.1
255.255.255.0 255.255.255.0
VLAN 1
Router VLAN 2
Switch
197.60.2.12
255.255.255.0 255.255.255.0
197.60.1.21 VLAN 2
VLAN 1
VLAN 197.60.2.10 197.60.1.23

 Dos subredes 255.255.255.0 255.255.255.0
VLAN 1
VLAN 2
 Comunicación entre las VLAN
 NOTA: VLAN asignadas sólo en los puertos del switch
ADACSI
45
Comunicación entre Switches

Cada VLAN debe contar con un enlace entre los dos switches.
Se debe asegurar que los puertos de los switches estén
configurados para la VLAN correspondiente.
Puerto 1 = VLAN 1 y Puerto 2 = VLAN 2 Puertos 100BaseT
Switch 1
1 2
VLAN 1: El puerto 1 en el switch 1 se conecta al
puerto 1 en el switch 2.
VLAN 2: El puerto 2 en el switch 1 se conecta al
puerto 2 en el switch 2.
1 2
Switch 2
Puerto 1 = VLAN 1 & Puerto 2 = VLAN 2
ADACSI
46

Módulo 5
Switches sin etiquetado
Ventajas
• Cada VLAN tiene su propio enlace dedicado
con su propio ancho de banda.
Desventajas
• Esto requiere un enlace separado para cada VLAN.
• Es posible que no haya puertos suficientes en el switch
para utilizar muchas VLAN diferentes.
• Se
S pueden
d producir
d i llazos por error
ADACSI
47
802.1Q - Tagging
• Es una modificación al estándar de Ethernet.
• El protocolo IEEE 802.1Q es un proyecto del grupo de trabajo
802 de IEEE para desarrollar un mecanismo que permita a
múltiples redes con switches compartir transparentemente el
mismo medio físico sin problemas de interferencia entre las
redes que comparten el medio (Trunking).
• Permite identificar a una trama como proveniente de un equipo
conectado a una red determinada.
• Una trama perteneciente a una VLAN sólo se va a distribuir a
los equipos que pertenezcan a esa misma VLAN, por lo que:
- Se dividen dominios de Broadcast
- Se separan usuarios
ADACSI
48

Módulo 5
Etiquetado de tramas según 802.1Q
Trama Dir. Dest. Dir. Origen Tipo Datos Relleno FCS
802.3 6 6 2 Hasta 1500 variable 4 Bytes
Trama Dir. Dest. Dir. Origen Tag Tipo Datos Relleno FCS
802.1Q
Q 6 6 4 2 Hasta 1500 variable 4 Bytes
TPID Priority CFI VID
16 3 1 12 bits
TCI – Tag Control Information
TPID: Tag Protocol Identifier

(típicamente 0x8100 (default), 0x9100 o 0x9200)
P i it 802.1p
Priority: 802 1 8 niveles
i l posibles
ibl de
d prioridad
i id d (0 a 7)
CFI: Canonical Format Indicator (indica el formato de direciones MAC)
0 – canonical MAC
1 – non canonical MAC
VID: Unique VLAN Identifier (0 a 4095)
ADACSI
49
2 switches, 2 VLANs y un enlace trunk
A
1 7 8 9 10 16
Las tramas Ethernet de ambas VLANs (roja y azul)

pasan mezcladas por el cable. Se han de etiquetar
Enlace ‘trunk’ de alguna forma para que se puedan separar al
recibirlas. La forma estándar es 802.1Q
1 7 8 9 10 16
Conexión roja-azul
B
ADACSI
50

Módulo 5
Red sin VLANs
LAN LAN LAN Router con tres interfaces Etherent
gestión docencia investigación para interconectar las tres LANs
Servicio de
Informática
ADACSI
51
Red con VLANs

Router con interfaz trunk
para la conexión inter-VLANs
Enlaces trunk
VLAN VLAN VLAN (1000BASE-LX)
gestión docencia investigación
Enlaces de usuario
(10/100BASE-T)
Servicio de
Informática
ADACSI
52

Módulo 5
Seguridad
de la transmisión
ADACSI
Protocolos seguros y capas

Layer 2
-Tunneling Protocol (L2TP, RFC 2661))
L2TP es combinacion de Cisco L2F y Microsoft PPTP. L2TP no soporta
cifrado
- Cisco Generic Routing Encapsulation (GRE, RFC 1701 and 2784)
Es multiprotocolo y al igual que L2TP no soporta cifrado
cifrado. Soporta tráfico
mulitcast.
Layer 3
- IP Security Protocol (IPSec, RFC 2401)
Es un estándar abierto que consta de varios protocolos, que admite integridad
y autenticación para tráfico unicast.
Layer 4
- Transport Layer Security / Secure Socket Layer (TSL/SSL, RFC 2246)
El contenido de la comunicación es protegido pero los paquetes no.
L
Layer 7
- Pretty Good Privacy / Secure Shell (PGP/SSH)
Varios programas trabajan de host a host.
sólo protegen el payload y no el paquete.
ADACSI
54

Módulo 5
Seguridad en la transmisión
Se debe garantizar:
confidencialidad, integridad y autenticidad
• Confidencialidad:
– Mediante cifrado.
• Integridad
– Mediante funciones hash.
• Autenticidad:
– Mediante firma digital.
ADACSI
55
Elementos clave de los sistemas de cifrado

• Algoritmo de cifrado
– Función o cálculo matemático que cifra realizando
transformaciones y sustituciones en el texto claro.
g
• Algoritmo de descifrado
– Función o cálculo matemático que descifra realizando
transformaciones y sustituciones en el texto claro. Es,
básicamente el algoritmo de cifrado ejecutado a la inversa.
• Claves de cifrado (Clave secreta)
– Dato que se emplea dentro del algoritmo de cálculo de
cifrado para que el cifrado o descifrado sea un proceso
único.
• Longitud de la clave
– Cuanto mayor sea más segura es la clave pues dificulta la
tarea de descubrirla por fuerza bruta.
ADACSI
56

Módulo 5
Tipos de cifrado
• Cifrado simétrico y confidencialidad de los mensajes.
• Cifrado de clave pública y autenticación de mensajes.
ADACSI
57
Requisitos para el uso del cifrado simétrico

• Algoritmo de cifrado robusto
– Es deseable que un atacante que conozca el algoritmo y
tenga acceso a uno o más textos cifrados no pueda descifrar
el texto o averiguar la clave, aún teniendo también los textos
originales.
• Intercambio de claves seguro
– El emisor y receptor deben haber obtenido la clave secreta
de forma segura y deben conservarla de la misma manera.
La seguridad del Cifrado Simétrico depende de la

privacidad de la clave, no de la privacidad del algoritmo.
ADACSI
58

Módulo 5
Esquema de un criptosistema
con clave simétrica
Texto
T t T
Transmisor
i R
Receptor
t Texto
T t
claro Texto cifrado claro
Cifrador Descifrador
Canal inseguro
Clave
ADACSI
59
Ejemplo de cifra con cifrador del César

Mi A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z
Ci D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z A B C
M = EL PATIO DE MI CASA ES PARTICULAR
C = HÑ SDWLR GH OL FDVD HV SDUWLFXÑDU
Debilidad:
Cada letra se cifrará siempre igual. Hace que este sistema
sea muy vulnerable y fácil de atacar simplemente usando
las estadísticas del lenguaje.
ADACSI
60

Módulo 5
Debilidades de la cifra con clave secreta
a) Mala gestión de claves. Crece el número de claves

secretas en un orden igual a n2 para un valor n
grande de usuarios.
b) Mala distribución de claves. No existe posibilidad
de enviar, de forma segura, una clave a través de un
medio inseguro.
c) No tiene firma digital. Aunque sí será posible
autenticar
i ell mensaje
j mediante
di una marca, no es
posible firmar digitalmente el mensaje.
ADACSI
61
Sistema de cifrado asimétrico

• Existen dos claves
– clave pública conocida por todos
– clave privada conocida sólo por el titular
• Se generan automática y simultáneamente mediante un
software y existe una relación matemática entre ellas.
• Lo que se cifra en emisión con una clave, se descifra en
recepción con la clave inversa.
• Son sistemas lentos por lo que suelen combinarse con
los simétricos.
• En la medida que la clave privada sea solo conocida por
su titular no son vulnerables.
• Tienen capacidad de firma.
ADACSI
62

Módulo 5
Claves del cifrado asimétrico
• Cada usuario debe poseer dos claves o llaves:
– Una clave pública conocida por todos
• sirve para cifrar
• sirve para constatar la firma
– Una clave privada conocida sólo por su titular
• sirve para descifrar
• sirve para firmar
– Longitud de la clave
• Una longitud de clave de 8 dígitos => 108 = 100.000.000 pruebas
• Una longitud de clave de 64 bits => 264 = 18.446.744.073.709.551.616
• Actualmente se están utilizando claves de 2048 bits
ADACSI
63
Cifrado con clave pública de destino

: A envía un mensaje [M] a B
Claves: PubB, PrivB

Claves: PubA, PrivA
Clave privada B
Clave pública B
[M] C = FPubB[M] [M] = FPrivB(FPubB[M])

Texto claro Texto claro
Cifrado Descifrado:
Sólo B puede recuperar el texto en claro: confidencialidad
ADACSI
64

Módulo 5
Cifrado con clave privada de origen
Claves: PubB, PrivB

Claves: PubA, PrivA
Clave Pública A
Clave Privada A
[M] C = FPrivA[M] [M] = FPubA(FPrivA[M])

Cifrado Descifrado:
Se comprueba la autenticidad del origen
pues sólo la clave pública de A vuelve el texto en claro
ADACSI
65
¿Si necesito autenticidad y confidencialidad?

Claves: PubB, PrivB

Claves: PubA, PrivA
PrivA PrivB
PubB PubA
[M] C = FPrivA[M] C’ = FPubB (FPrivA[M]) C = FPrivA[M]

Texto claro
Garantizamos: confidencialidad
[M] = FPubB(FPrivA[M])
Texto claro
Cifrado Descifrado:
Se comprueba la autenticidad del origen
ADACSI
66

Módulo 5
Función Hash
• Es un algoritmo que se aplica a un documento y se
obtiene un extracto de longitud fija y única (Digesto del
Mensajej o Huella Digital).
g ) Es una versión comprimida
p
del mensaje.
• Este algoritmo es unidireccional, es decir, al aplicarlo
sobre un documento cualquiera se obtiene siempre un
conjunto de caracteres de longitud fija. Pero no existe
ninguna función que aplicada a dicho conjunto de
caracteres de cómo resultado el documento original.
original
• Lo que los matemáticos afirman es que si dos hash son
iguales también lo son los documentos que los
originaron.
ADACSI
67
Integridad con funciones hash
• H(M) es el resultado de un algoritmo que con una entrada

M de cualquier tamaño, produce salida de tamaño fijo.
• El emisor A envía el mensaje M y la función hash H(M) a

B, quien aplica la misma función al mensaje M’ recibido.
Si los hash son iguales entonces se asegura que los
mensajes también lo son.
• Integridad: el receptor B puede confiar en que nadie ha

modificado el mensaje durante la transmisión pues el valor
H(M’) en destino coincide con el H(M) enviado por A.
ADACSI
68

Módulo 5
Firma Digital
: A desea enviar un mensaje [M] firmado a B
Claves: PubB, PrivB

Claves: PubA, PrivA
Hash PubA
PrivA Hash
[M] H[M] C = FPrivA (H[M]) H [M]

Texto claro
[M] [M’]
Se comprueba: autenticidad de origen H [M’]
Si H[M]=H[M’] Se comprueba la integridad de M
ADACSI
69
Firma Digital con Función Hash

• Se aplica al documento el algoritmo que lo transforma
en Hash.
• Ese Hash se cifra con la clave privada del emisor y se
agrega luego dicho digesto al mensaje completo.
• El receptor descifra el hash con clave pública del
emisor y luego verifica que coincida con el hash
calculado del mensaje recibido.
• Si ambos hash coinciden se verifica:
– autenticidad del remitente
– integridad del documento
ADACSI
70

Módulo 5
Características de una firma digital
Requisitos de la Firma Digital:

a) Debe ser fácil de generar.
generar
b) Será irrevocable, no rechazable por su propietario.
c) Será única, sólo posible de generar por su propietario.
d) Será fácil de autenticar o reconocer por su propietario
y los usuarios receptores.
e)) Debe depender
p del mensajej y del autor.
Son condiciones más exigentes

que para una firma manuscrita.
ADACSI
71
VALIDEZ DEL DOCUMENTO DIGITAL:

OBSTÁCULOS EN SU RECONOCIMIENTO
• Los documentos digitales no cumplían requisitos

esenciales para ser asimilados a los instrumentos del
Código Civil:
• Escritura: En los casos en que la expresión por escrito
fuere exclusivamente ordenada o convenida, no puede
ser suplida por ninguna otra prueba … el acto es de
ningún efecto (Art. 975 CC)
• Firma: Condición esencial para la validez del acto,
tanto en instrumentos públicos (Art. 988) como privados
(Art. 1012 CC)
• Original/Doble ejemplar: Los actos deben ser
redactados en tantos originales como partes haya con
un interés distinto (Art. 1021 CC)
ADACSI
72

Módulo 5
Ley 25506 - Firma Digital
• Con la sanción de la Ley 25506 de Firma Digital el
14/11/2001, se ha dado reconocimiento al Documento
Electrónico y al Documento Digital y se ha
incorporado a la legislación argentina el principio de
la equivalencia funcional.
ADACSI
73
Ley 25506 - Firma Digital

• Firma:
– Cuando la ley requiera una firma manuscrita, esa exigencia
queda satisfecha
q f por una ffirma digital
p g ((Art. 3°).
)
• Escritura: - Documento digital.
– Se entiende por documento digital a la representación digital de
actos o hechos, con independencia del soporte utilizado para su
fijación, almacenamiento o archivo. Un documento digital
también satisface el requerimiento de escritura (Art. 6°).
• Original/Doble ejemplar:
– Los documentos electrónicos y digitales firmados digitalmente a
partir de originales de primera generación, también serán
considerados originales y poseen como consecuencia de ello,
valor probatorio como tales (Art. 11°).
ADACSI
74

Módulo 5
Firma – Firma Electrónica - Firma Digital
• La firma es un conjunto de letras o signos que
identifican a la persona que la estampa. En el concepto
tradicional la firma de un documento, ya sea este
privado o público,
público debe efectuarse de manera manuscrita
u hológrafa.
• La firma electrónica es cualquier método o símbolo
basado en medios electrónicos, utilizado o adoptado por
una parte con la intención actual de vincularse o
autenticar un documento, cumpliendo todas o algunas de
las funciones características de una firma manuscrita.
• La
L firma
fi di it l es un forma
digital f específica
ífi d firma
de fi
electrónica en la cual interviene un proceso criptográfico
que cumple determinados requisitos, y que da seguridad
a quien extiende esta firma.
ADACSI
75
Efectos jurídicos de la Firma Digital

• Presunción de autoría: Se presume, salvo prueba en
contrario, que toda firma digital pertenece al titular del
certificado digital que permite la verificación de dicha
firma (art. 7)
• Presunción de integridad: Se presume, salvo prueba
en contrario, que este documento digital no ha sido
modificado desde el momento de su firma (art. 8)
ADACSI
76

Módulo 5
Esteganografía
Tres cebras y un árbol Tres cebras, un árbol, y el texto

completo de cinco obras de
William Shakespeare.
ADACSI
77
Esteganografía
• La imagen a color original es de 1024 x 768 píxeles.
• Cada píxel consiste en tres números de 8 bits cada uno para la
intensidad del rojo, verde y azul de ese píxel.
• El color del píxel se forma por la superposición lineal de los
tres colores.
• El método de codificaciónesteganográfica utilizacomo canal
secreto el bit de orden menor de cada valor de color RGB.
• Cada píxel puede transportar 3 bits de información secreta.
• En este ejemplo
j l :
1024 x 768 x 3 = 2.359.296 bits = 294.912 Bytes
ADACSI
78

Módulo 5
VPN
Con IPSec
ADACSI
Se necesita
• Una infraestrucutura alternativa de la WAN
– Incrementar las redes privadas existentes
– Disminuir costos
– Posibilitar la implementación de nuevas aplicaciones
• Una
U red
d extremo a extremo
– Escalable
– Con alta seguridad
– Multiprotocolo, multiservicio, administrable, QoS
SOLUCIÓN
Redes Privadas Virtuales
• Proceso de comunicación cifrado que transfiere datos
desde un punto hacia otro de manera segura a través
de una red compartida, ruteada e insegura.
ADACSI
80

Módulo 5
Ejemplo de túnel
Encapsulador
Encapsulador
Red TCP/IP
Red TCP/IP
Red TCP/IP
Paquete
IPSec Datagrama
g IP
Túnel IPSec transportando datagramas IP

Los datagramas IP viajan ‘encapsulados’ en paquetes IPSec
ADACSI
81
IPSec - Modos
• Transporte
– Autentificación y codificación del paquete IP
– No pprotege
g totalmente la cabecera IP.
– Sólo algunos campos son protegidos por autentificación o
codificación.
– Sólo aplicable a equipos entre extremos.
• Túnel
– Se crea un nuevo paquete IP. IP-in-IP.
– La seguridad cubre todo el paquete interno.
interno
– Mejor modo de crear VPN seguras.
ADACSI
82

Módulo 5
IPSec - AH y ESP
IPSec provee confidencialidad, integridad, autenticidad y

protección a repeticiones mediante dos protocolos, que son:
AH provee autenticación,
autenticación integridad y protección a repeticiones
pero no así confidencialidad.
ESP provee autenticación, integridad, protección a repeticiones y

confidencialidad de los datos, protegiendo el paquete entero
que sigue al encabezado.
AH y ESP son Estándares de Internet, publicados originalmente

en las RFC 2402 y 2406, reemplazadas por las RFC 4302 y
4303, 4305, 4835 respectivamente.
ADACSI
83
IPSec - Encabezado de Autenticación (AH)

Paquete IP/TCP original
IP Header IP Payload
TCP Header TCP Payload
Proto = TCP
C
Port origen Datos
IP origen
IP destino Port destino
Proto = AH Next = TCP Datos

IP origen Port origen
IP destino FIRMA Port destino

AH
Conformación de un paquete AH en modo transporte
ADACSI
84

Módulo 5
IPSec - Encabezado de Autenticación (AH)
Datos Autenticados, excepto los campos variables
AH en modo Cabecera
Transporte AH Datos de la capa superior
IP
Paquete Cabecera
Datos de la capa superior
original IP
AH en modo Cabecera Cabecera

AH D t d
Datos de lla capa superior
i
Túnel IP Nueva IP
Datos Autenticados, excepto los campos variables
ADACSI
85
IPSec - Carga de Seguridad Encapsulada (ESP)
• Nueva cabecera (IPv4)

• Puede suministrar:
– Confidencialidad,
fid i lid d autenticidad
i id d e integridad.
i id d
– Detección de repeticiones.
• Codificación
– Se aplica sobre todos los datos de aplicación (TCP, UDP..)
• Autentificación
– se aplica sobre el mismo ESP. No cubre los sub-campos de
cabecera IP no codificados (IP de la fuente).
ADACSI
86

Módulo 5
Encapsutaled Security Payload, sirve para cifrar todo
el contenido de los paquetes IP (salvo su IP origen y
destino), además de poder verificar su autenticidad.
Este protocolo, posee dos modos principales de
operación: El modo transporte, donde simplemente
es cifrado el contenido de los paquetes que
intercambian dos extremos, y el modo túnel, donde
un paquete IP es encapsulado dentro de otro,
creando lo que normalmente se conoce como un
túnel
túnel.
El protocolo ESP utiliza el número de protocolo IP 50.
ADACSI
87
IPSec - ESP
Carga asegurada por el Encapsulado
ESP en modo Cabecera

Transporte
p ESP Datos de la capa superior ESP
IP
Paquete Cabecera
Datos de la capa superior
original IP
ESP en modo Cabecera Cabecera

Túnel ESP Datos de la capa superior ESP
IP Nueva IP
ADACSI
88

Módulo 5
Proto = TCP
C
Port origen Datos
IP origen
IP destino Port destino
Proto = ESP Next =

ESP Port origen Datos TCP Auth
IP origen Header Port destino CIFRADO ESP Inform
IP destino Trailer

ESP
Paquete ESP en modo transporte

ADACSI
89

En el modo del túnel, ESP crea un nuevo encabezado de IP para
cada paquete. El nuevo encabezado de IP muestra a los
dispositivos extremos del túnel ESP (tales como dos
gateways IPsec) como origen y destino del paquete.
El modo del túnel puede cifrar y/o puede proteger la integridad
d los
de l datos
d y ell encabezado
b d de d IP original
i i l para cadad
paquete. El cifrado de los datos los protege de ser accedidos
o modificados por participantes no autorizados; cifrando el
encabezado de IP se oculta la naturaleza de las
comunicaciones, como la fuente o destino reales del paquete.
Si se usa autenticación para protección de integridad, cada
paquete tendrá una sección ESP de Autenticación después
del trailer de ESP.
El modo túnel ESP se usa mucho más frecuentemente que el
modo transporte ESP.
ADACSI
90

Módulo 5
Port origen
Proto = TCP
C
Port destino Datos
IP origen
IP destino
Next =
ESP Proto = TCP Port origen Datos IP Auth
Proto = ESP Header
Port destino Inform
Nuevo IP origen
IP origen
IP destino
CIFRADO ESP
Trailer
Nuevo IP destino
ESP
New IP Header IP Payload
Paquete ESP en modo túnel

ADACSI
91
Asociaciones de Seguridad
• Es una relación en un sólo sentido entre un emisor
y un receptor que proporciona servicios de
seguridad al tráfico que transporta.
• Si se necesita un intercambio seguro en ambos
sentidos, se requieren dos SA .
ADACSI
92

Módulo 5
VPN Tab – Tunnel Status
Gateway to Gateway
Comparación de Local y Remote Group Setup

RV042 RV082
ADACSI

Gateway to Gateway
Local Group Setup RV042 = Remote Group Setup RV082
RV042 RV082
ADACSI

Módulo 5
Gateway to Gateway
Remote Group Setup RV042 = Local Group Setup RV082
RV042 RV082
ADACSI

Gateway to Gateway
Comparación de IPSec Setup

RV042 RV082
¡¡¡ El IPSec Setup de ambos equipos debe coincidir !!!
ADACSI

Módulo 5
Diffie Hellman
: A desea enviar un mensaje [M] cifrado a B
pero no desean gastar muchos recursos de cómputo
: Desean usar cifrado simétrico

El problema es el intercambio de claves
Se elige un número primo P Se elige r < P ; r es raíz prima de P
Se elige una clave privada PrivA < P Se elige una clave privada PrivB < P
Se calcula una clave pública PubA Se calcula una clave pública PubB
PubA PubB
C = FPubB C = FPubA
[M] [M] [M] [M]

Texto claro Texto cifrado Texto cifrado Texto claro
ADACSI
97
DH (analogía numérica)
ADACSI

Módulo 5
Laboratorio
Oficina central 125.125.50.6 125.125.50.5
Oficina remota
200.200.10.21 200.200.10.22
192.168.1.1 192.168.2.1
Internet
ISP ISP
RV082 RV042
192.168.1.100 192.168.2.100
Red insegura
Red local segura Red local segura
192.168.1.0 192.168.2.0
Sin túnel VPN NO
Se establece comunicación ?
192.168.1.0 200.200.10.22
S establece
Se t bl comunicación
i ió ? NO
192.168.1.0 192.168.2.0
Con túnel VPN

Se establece comunicación ? SI
192.168.1.0 192.168.2.0
Se establece comunicación SEGURA
ADACSI 99

Módulo 5

Seg Redes 5 Switch y VPN

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Seg Redes 5 Switch y VPN

Загружено:

Авторское право:

Доступные форматы

Curso de

Docentes: Seguridad de la Información en

• La desventaja del uso de repetidores es que no pueden

Docentes: Seguridad de la Información en

• Separar áreas por funciones

• Separar áreas por seguridad

Docentes: Seguridad de la Información en

Segmentación con Puente

 Una dirección de red  Dos dominios de colisión  Un dominio de broadcast

Docentes: Seguridad de la Información en

infraestructura de cableado, de manera que su instalación

• Los equipos de conmutación ejecutan 2 operaciones básicas:

Rutas de tráfico múltiple

Docentes: Seguridad de la Información en

por los distintos p

• Cuando recibe una trama con MAC de origen desconocida

Segmentación con Switch

 Una dirección de red  Dos dominios de colisión  Un dominio de broadcast

Docentes: Seguridad de la Información en

Puerta 4 MACD Puerta 9

Red de switch y hub

Red de switch y hub

Docentes: Seguridad de la Información en

Red de switch y hub

a enviar las tramas.

Red de switch y hub

Docentes: Seguridad de la Información en

Segmentación con Routers

Docentes: Seguridad de la Información en

Formas de conmutación de tramas

retransmite si es correcta (si no la descarta).

2.Cut-through: El conmutador empieza retransmitir la

Docentes: Seguridad de la Información en

• Esto solo es posible cuando:

– Solo hay dos estaciones en la red (p. ej. host-host, host-

El problema de la conexión Half-Full

1. A empieza a enviar una trama

Se produce una DENEGACIÓN de SERVICIO

Docentes: Seguridad de la Información en

utilizar la mejor opción posible. Similar a la negociación de

incluso se puede deshabilitar en concentradores e

interfaces de red si se desea (no existe norma, así

Docentes: Seguridad de la Información en

• Son modalidades de conexión cuando se utilizan

cables UTP ó STP.

Una mala implementación puede afectar la

Esquemas de conexión UTP

Par 3: naranja Par 2 Par 2: naranjaPar 3 Par 3: verde

Par 2: verde Par 4: marrón Par 4: marrón

Docentes: Seguridad de la Información en

Par 3 Par 3 Par 2 Par 3

Agregación de enlaces (802.3ad)

Docentes: Seguridad de la Información en

Ejemplo de agregación de enlaces

RS-232 Full Duplex RS-232

Consigna: Aumentar el ancho de banda de transmisión entre dos switches

Solución: Agregar un segundo enlace y establecer un LAG

Docentes: Seguridad de la Información en

1) Cuando el LAG está completo la velocidad de transferencia es de 400 mbps

Lazos redundantes aumentan la Disponibilidad

Docentes: Seguridad de la Información en

t3 t3 1. A envía trama t0 a B (LAN Y)

Problema: Bucle entre dos LANs

reenvían indefinidamente las tramas Broadcast,