EtherChannel

Hernán Darío Perez, Julian Andres Afanador

Ingeniería de Telecomunicaciones, Universidad Cooperativa de Colombia
Bogotá, Colombia
Hernan.perezb@campusucc.edu.co
Julian.afanadorg@campusucc.edu.co

Resumen- Etherchannel es una tecnologia la cual nos permite
agrupar de forma logica, varios enlaces fisicos ya que permite sumar
la velocidd nominal de cada puerto, esta tecnolgia exige algunos
potocoles imporatnetes como lo son PagP, LACP, usar esta
tecnologia nos da la vetaja de permitir cualquier uso de red donde
puedan occurrir cualquier cuello de botella ademas de que nos
permite un crecimiento de la capacidad la cual no requiere una
actualizacion de hardware, pero esta tecnologia tambien contempla
algunas limitaciones tales como lo es los puertos fisicos ya que en el
mismo grupo de agregacion deben residir en el mismo conmutador.
II. DESARROLLO DE CONTENIDOS
ETHERCHANNEL
configuración se aconseja realizar cualquier cambio sobre
la interfaz EtherChannel, de esta manera el cambio
afectará a todos los miembros.
A continuación detallamos los distintos modos de
funcionamiento:
 On: fuerza a los puertos a establecer el EtherChannel
(Deshabilita PAgP).
 Off: evita que los puertos establezcan un EtherChannel.
 Auto: espera a recibir paquetes para negociar el
EtherChannel.
 Desirable: establece que el puerto negocie el
establecimiento del EtherChannel mediante PAgP.

EtherChannel es una tecnología de Cisco construida de acuerdo Para establecer un enlace PAgP entre dos dispositivos Cisco
con los estándares 802.3 full-duplex Fast Ethernet. Permite la las combinaciones posibles son:
agrupación lógica de varios enlaces físicos Ethernet, esta
agrupación es tratada como un único enlace y permite sumar la
Switch A Switch B Description
velocidad nominal de cada puerto físico Ethernet usado y así
obtener un enlace troncal de alta velocidad. Desirable Desirable Recommended
La tecnología EtherChannel es una extensión de una tecnología Link aggregation occurs if
Auto Desirable
ofrecida por Kalpana en sus switch en los 90. negotiation is successful.

Un máximo de 8 puertos Fast Ethernet u 8 puertos 10Gigabit Link aggregation occurs if

Ethernet pueden ser agrupados juntos para formar
un EtherChannel. Con esta última agrupación podemos
conseguir un máximo de 80 Gbps de ancho de banda. Las
conexiones EtherChannel pueden interconectar switches,
routers, servidores y clientes.
Los puertos usados deben tener las mismas características y
configuración.
Desirable Auto
negotiation is successful.
2. LACP (Link Aggregation Control Protocolo) es la opción
“open” del protocolo. El funcionamiento, muy similar al
de PAgP con la diferencia de que en este caso se asignan
los roles a cada uno de los extremos basándose en la
prioridad del sistema, que se conforma con 2 bytes de
prioridad más 6 de MAC.

Los puertos son seleccionados y activados acorde el valor port

priority, el valor más bajo indica mayor prioridad. En este caso
se pueden definir hasta 16 enlaces por cada EtherChannel.

A continuación detallamos los distintos modos de

Los protocolos que existentes sobre esta tecnologia: funcionamiento:

1. PAgP (Port Aggregation Protocol) es un  On: fuerza los puertos a establecer el EtherChannel
protocolo propietario de Cisco. Los paquetes son (Deshabilita LACP).
intercambiados entre switch a través de los enlaces  Off: evita que se establezca el EtherChannel.
configurados para ello. Para que se forme  Passive: pone el puerto en espera de recibir paquetes
el EtherChannel los dos puertos han de estar configurados LACP para negociar el EtherChannel.
de manera idéntica. Por ello para evitar conflictos de
 Active: establece que el puerto envíe paquetes para iniciar
la negociación del EtherChannel. Switch(config)#port-channel load-balance dst-mac

Para establecer un enlace LACP las combinaciones validas Al configurar el balanceo de carga y generar tráfico entre hosts
son: el gráfico de los puertos que forman parte del EtherChannel, se
puede ver que el tráfico va variando según el par de hosts que
Switch A Switch B Description transmiten, cada gráfico es una transferencia entre distintos
pares de hosts y el trazo azul hace referencia al par de puertos
Active Active Recommended conectados entre si en cada dispositivo, mientras que el área
verde hace referencia al otro par:
Link aggregation occurs if
Active Passive
negotiation is successful.
FastEthernet 0/1 FastEthernet 0/9
Link aggregation occurs AZUL
without LACP. Although
On On
this Works, it is not
recommended FastEthernet 0/2 FastEthernet 0/10 VERDE

Balance de Cargas en el Etherchannel: Configuración de router a switch

Al agrupar varias interfaces, puede que no todas estén
transmitiendo desaprovechando ese ancho de banda, existe la
posibilidad de que el conmutador haga balance de carga, esto es
aparentemente similar a lo que hace el conmutador
normalmente con la operación lógica XOR, solamente que en
este caso el conmutador genera un hash que determina la
interfaz por la que se transmitirán los datos.
El hash puede calcularse a partir de la dirección MAC de origen
o de destino del paquete.
En caso de que haya varios EtherChannels configurados, el
balanceo de carga se aplica a todos.
Sintaxis para balancear la carga basándose en la MAC de origen
Sintaxis para balancear la carga basándose en la MAC de
origen:
Switch(config)#port-channel load-balance src-mac
Sintaxis para balancear la carga basándose en la MAC de
destino:
El EtherChannel no solo puede configurarse entre
conmutadores, también puede configurarse entre un enrutador
y un conmutador, o incluso entre dos enrutadores.
En este caso, no es necesario seguir una secuencia exacta en la
numeración de los puertos agrupados, sino que puede hacerse
entre dos interfaces configuradas con los mismos parámetros,
pero en diferentes módulos del enrutador.
El EtherChannel en los enrutadores Cisco, puede configurarse
en las series 7000, 7200 y superiores, en las series 2600, 3600
y 3700 pueden crearse EtherChannels si el enrutador tiene
instalado alguno de los módulos NM-16ESW o NM-32ESW, y
la IOS soporte esta característica.
También hay que recordar que en el caso de los routers, la
decisión de por qué puerto se envían los datos se hace con la
operación XOR pero en lugar de tomar la MAC de origen y
destino para hacer el cálculo, se hace con los últimos n bits de
la dirección IP, donde n es la cantidad de bits necesarios para
elegir un puerto u otro (n=1 -> 2^1=2 puertos; n=2 -> 2^2=4
puertos; ...). En este caso, la dirección IP del EtherChannel se
configurará directamente en la interfaz virtual, las interfaces
agrupadas no tienen que configurarse con ninguna IP.

Configuración del router (7206):
7206#configure terminal
7206(config)#interface Port-channel1
7206(config-if)#ipaddress20.0.0.254 255.255.255.0
7206(config-if)#duplex full
7206(config-if)#exit
7206(config)#interface FastEthernet0/0
7206(config-if)#channel-group 1
7206(config-if)#speed 100
7206(config-if)#duplex full
7206(config-if)#exit
7206(config)#interface FastEthernet1/0
7206(config-if)#channel-group 1
7206(config-if)#speed 100
7206(config-if)#duplex full
Configuración del switch (2950T1):
950T1(config)#int port-channel 2
2950T1(config-if)#exit
2950T1(config)#int fa0/9
2950T1(config-if)#channel-group 2 mode desirable
2950T1(config-if)#speed 100
2950T1(config-if)#duplex full
2950T1(config-if)#int fa0/10
2950T1(config-if)#channel-group 2 mode desirable
2950T1(config-if)#speed 100
2950T1(config-if)#duplex full
Como los EtherChannels se basan en información de la capa 2
principalmente, los enrutadores apenas tienen comandos para
mostrar información de un EtherChannel, por lo que la única
información que se puede ver es la de la interfaz virtual:
7206#show interfaces port-channel 1
Port-channel1 is up, line protocol is up
Hardware is FEChannel, address is 0030.7141.d000 (bia
0030.7141.d000)
Internet address is 20.0.0.254/24
MTU 1500 bytes, BW 200000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
ARP type: ARPA, ARP Timeout 04:00:00
No. of active members in this channel: 2
Member 0 : FastEthernet0/0 , Full-duplex, 100Mb/s
Member 1 : FastEthernet1/0 , Full-duplex, 100Mb/s
No. of Non-active members in this channel: 0
Last input 00:00:00, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/150/0/0 (size/max/drops/flushes); Total output
drops: 0
Queueing strategy: fifo
Output queue: 0/80 (size/max)
5 minute input rate 129000 bits/sec, 15 packets/sec
5 minute output rate 130000 bits/sec, 14 packets/sec
112555 packets input, 50565081 bytes
Received 1194 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
111482 packets output, 85502439 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
Puerto de seguridad etherchanel:
Puede usar el puerto de seguridad con direcciones MAC
dinámicas aprendidas y estáticas para restringir el ingreso de un
puerto tráfico al limitar las direcciones MAC que están
autorizadas para enviar tráfico al puerto. Cuando asignes
Asegure las direcciones MAC a un puerto seguro, el puerto no
reenvía el tráfico de entrada que tiene direcciones de origen
fuera del grupo de direcciones definidas. Si limita la cantidad
de direcciones MAC seguras a una y asignar una sola dirección
MAC segura, el dispositivo conectado a ese puerto tiene el
ancho de banda completo del puerto. Se produce una violación
de seguridad en cualquiera de estas situaciones:
 Cuando se alcanza la cantidad máxima de direcciones MAC
seguras en un puerto seguro y la fuente La dirección MAC
del tráfico de entrada es diferente de cualquiera de las
direcciones MAC identificadas, el puerto seguridad aplica
el modo de violación configurado.
 Si el tráfico con una dirección MAC segura configurada o
aprendida en un puerto seguro intenta acceder a otro puerto
seguro en la misma VLAN, aplica el modo de violación
configurado.
 La seguridad del puerto admite puertos privados VLAN
(PVLAN).
 La seguridad del puerto admite puertos de túnel IEEE
802.1Q.

 La seguridad del puerto no es compatible con los puertos
de destino de Switch Port Analyzer (SPAN).
 La seguridad del puerto admite el acceso y la interconexión
de las interfaces de canal de puerto EtherChannel.
 Puede configurar la seguridad del puerto y la autenticación
basada en el puerto 802.1X en el mismo puerto.
 La seguridad del puerto admite troncales no negociables
Antes de configurar el puerto de seguridad tener en cuenta:
 La seguridad del puerto solo admite troncales configuradas
con estos comandos: switchport encapsulación de
switchport trunk switchport mode trunk switchport
nonegotiate
 Si reconfigura un puerto de acceso seguro como troncal, la
seguridad del puerto convierte todo lo seguro y estático
direcciones seguras en ese puerto que se aprendieron
dinámicamente en la VLAN de acceso a la memoria
adhesiva o direcciones seguras y estáticas en la VLAN
nativa del enlace. La seguridad del puerto elimina todos los
seguros direcciones en la VLAN de voz del puerto de
acceso.
 Si reconfigura una troncal segura como un puerto de
acceso, la seguridad del puerto convierte todo seguro y
estático direcciones aprendidas en la VLAN nativa a las
direcciones aprendidas en la VLAN de acceso del acceso
Puerto. La seguridad del puerto elimina todas las
direcciones aprendidas en las VLAN que no sean la VLAN
nativa.
Habilitar el puerto de seguridad en una troncal:
Para habilitar el puerto de seguridad en una troncal debemos
realizar la siguiente tarea:
Command/Comandos
Paso 1 Router(config)# interface
{type slot/port | port-channel channel_number}
Selecciona las interfaces que se van a configurar.
Paso 2 Router (config-if)# switchport
Configura el puerto como puerto capa 2.
Paso 3 Router (config-if)# switchport trunk encapsulation
(isl | dot1q)
Configurar la encapsulación como 802.1Q.
Paso 4 Router (config-if)# switchport mode trunk
Configurar el puerto troncal.
Paso 5 Router (config-if)# switchport nonegotiate
Configurar la tronca sin usar el DTP.
Paso 6 Router (config-if)# switchport port-security
Habilitar los puertos de la troncal.
Paso 7 Router (config-if)# do show port-security
interface type slot/port | include Port Security
Verificar la configuración
AUTO-NEGOCIACION
Es un parámetro extremadamente importante en las redes
tableadas Etherner de hoy en día. Para que un enlace funcione
correctamente, los dispositivos en ambos extremos del cable
deben estar configurados para hacer uso de la auto-negociación
o bien ambos deben tener definidos de forma fija los mismos
parámetros de velocidad y dúplex fijos, el algoritmo de auto-
negociación puede detectar la velocidad y fijarla correctamente,
pero la configuración del dúplex del dispositivo remoto no
puede ser determinado por el dispositivo realizando la auto-
negociación. Y siguiendo el IEEE el dispositivo configurado
para auto-negociar pasara a usar half-duplex. Esto presenta un
problema si el dispositivo remoto está configurado para half-
duplex. Habitualmente este escenario los usuarios se quejaran
de conectividad lenta en la red y de timeouts en las aplicaciones.
802.1X
El estándar 802.11X es una solución de seguridad ratificada por
el IEEE que puede autenticar (identificar) a un usuario que
quiere acceder a la red (ya sea por cable o inalámbrica). Esto se
hace a través del uso de un servidor de autenticación. El 802.1X
se basa en el protocolo EAP (Extensible authentication
protocol), definido por el IETF. Este protocolo se usa para
transportar la información de identificación del usuario.
EAP
La forma en que opera el protocolo EAP se basa en el uso de un
controlador de acceso llamado autenticador, que le otorga o
deniega a un usuario el acceso a la red. El usuario en este
sistema se llama solicitante. El controlador de acceso es un
firewall básico que actúa como intermediario entre el usuario y
el servidor de autenticación, y que necesita muy pocos recursos
para funcionar. Cuando se trata de una red inalámbrica, el punto
de acceso actúa como autenticador.
El servidor de autenticación (a veces es llamado NAS, que
significa Network Acces Server)puede aprobar la identidad del
usuario transmitida por el controlador de la red y otorgarle
acceso según sus credenciales. Además, ese tipo de servidor
puede almacenar y hacer un seguimiento de la información
relacionada con los usuarios. En el caso de un proveedor de
servicio, por ejemplo, estas características le permiten al
servidor facturarles en base a cuánto tiempo estuvieron
conectados o cuantos datos transfirieron.

Funcionamiento de una red segura usando el estándar 802.1X:

 El controlador de acceso, después de recibir la solicitud de

conexión del usuario, envía una solicitud de autenticación.
 El usuario envía una respuesta al controlador de acceso,
quien enruta la respuesta al servidor de autenticación.
 El servidor de autenticación envía un “challenge” al
controlador de acceso, quien lo transmite al usuario. El
challenge es un método para establecer la identificación. Si
el cliente no puede evaluar el challenge, el servidor prueba
con otro y así sucesivamente.
 El usuario responde el challenge. Si la identidad del usuario
es correcta, el servidor de autenticación envía la aprobación
al controlador de acceso, quien le permite al usuario ingresar
a la res o parte de ella, según los derechos otorgados. Si no
se pudo verificar la identidad del usuario, el servidor de
autenticación envía un mensaje de denegación y el
controlador de acceso le deniega al usuario el acceso a la
red.

PORT SECURITY EN CISCO SWITCH

Port Security es una función en los Cisco switch destinada a

limitar la cantidad de direcciones MAC que se pueden conectar
a través de un puerto. Como en toda regla hay sus excepciones,
lo normal es que existía un registro en el Content Addessable
Memory (CAM) de una única dirección MAC por cada puerto
del switch.

Una excepción a esta regla podría ser la instalación de un

teléfono IP en el puerto de switch junto a una PC. En este caso
tendrán que existir dos direcciones MAC asignadas a un puerto.
También la instalación de varios servidores virtuales
conectados a un único puerto.

Lo que se intenta prevenir con el Port Security es que un usuario

malicioso o algún empleado disgustado tenga la capacidad de
conectar un hub, switch o Access Point en nuestra red para
brindarle acceso a un tercero sin nuestro consentimiento.
También Port Security se utiliza para prevenir el agotamiento
de las direcciones IP en le DHCP Server de la red a través de
un ataque donde se emplean múltiples direcciones MAC falsas
con el objetivo de agotar las direcciones IP que puede asignar
el DHCP Server.