Resumen de Tecnologias de Acceso a Red

Tema 1
1 Diseño de una LAN

1.1 Redes convergentes:

Deben permitir acceder a la información desde cualquier lugar del mundo, estas redes deben
de ser seguras, confiables y de alta disponibilidad.

Ventajas de las redes convergentes:

Varios tipos de trafico y una sola red para administrar, ahorros en instalación y la
administración de redes independientes, integración de la administración de TI con una
interfaz de administración intuitiva, diseño estructurado.

Redes conmutadas sin fronteras:

Producto de las crecientes demandas de las redes convergentes.

Cisco Borderless Network es una arquitectura de red que permite que las organizaciones se
conecten con cualquier persona, en cualquier lugar, momento y dispositivo de forma segura y
confiable. Está diseñada para enfrentar desafíos comerciales y de TI.

Jerarquía en las redes conmutadas sin fronteras:

Jerárquico: Facilita la comprensión de la función de cada dispositivo en cada nivel, se

simplifica el trabajo y reducen los dominios de error en cada nivel.

Modularidad: Permite la expansión de la red y la habilitación de servicios integrados sin

inconvenientes y a petición.

Resistencia: Mantiene la red siempre activa.

Flexibilidad: Permite compartir la carga de tráfico.

Núcleo, distribución y acceso:

El diseño jerárquico de una red conmutada sin fronteras sienta una base que permite que los
diseñadores de red superpongan las características de seguridad, movilidad y comunicación
unificada.

Las tres capas fundamentales son la capa de acceso, de distribución y de núcleo. Cada capa se
considera como un núcleo estructurado y bien definido.

Capa de acceso:

 Representa el perímetro de la red, por donde entra o sale el tráfico de la red de

campus.
 La función principal es proporcionar acceso de red al usuario.

1
  Los switches de capa de acceso se conectan a los switches de capa de distribución, que
implementan tecnologías de base de red como el routing.

Capa de distribución:

 La capa de distribución interactua entre la capa de acceso y de núcleo, para

proporcionar funciones importantes, entre las que destacamos:
 Agregar redes de armario de cableado a gran escala.
 Agregar dominios de difusión de capa 2 y límites de routing de capa 3.
 Proporcionar funciones inteligentes de routing, switching y de política de acceso a la
red.
 Proporciona alta disponibilidad mediante switches de capa de distribución
redundantes.
 Proporcionar servicios diferenciados a distintos tipos de aplicaciones.

Capa de núcleo:

Es el backbone de una red, conecta varias capas de red al campus, funciona como agregador
para el resto de los bloques de campus y lo une con el resto de la red, su propósito principal es
el aislamiento de fallos y conectividad de backbone de alta velocidad.

No es necesario mantener separadas la capa de distribución y de núcleo, cuando esto ocurre

se denomina que tienen un diseño de red de núcleo contraído o colapsado.

1.2 Redes conmutadas

Funciones de las redes conmutadas:

Introducen switches en lugar de hubs, briandan mas flexibilidad y administración de tráfico,

admiten características como calidad de servicio, seguridad adicional, compatibilidad con la
tecnología inalámbrica, compatibilidad con la telefonía IP y servicios de movilidad.

Consideraciones al comprar un switch:

 Costo: Depende de la cantidad y la velocidad de las interfaces, de las funciones

admitidas y de la capacidad de expansión.
 Densidad de puertos: Número de puertos para conectar.
 Alimentación: Es común alimentar puntos de acceso.
 Confiabilidad: Debe proporcionar acceso continuo a la red.
 Velocidad del puerto.
 Capacidad para almacenar tramas.
 Escalabilidad: Debe proporcionar la posibilidad de crecimiento.

Fator de forma:

Switches de configuración fija: Las características y las opciones se limitan a aquellas que
originalmente vienen con el switch.

2
Switches de configuración modular: Estos vienen con bastidores de distinto tamaño, permite
instalación de diferentes números de tarjetas de líneas modulares, y las tarjetas de línea son
las que contienen los puertos.

Switches de configuración apilables: Se pueden interconectar mediante un cable especial,

operan como un único switch grande, son convenientes cuando la tolerancia a fallos y la
disponibilidad son críticas y resultan costosos, muchos admiten tecnologías StackPower.

2 Entorno conmutado

Completado dinámico de la tabla de direcciones MAC de un switch:

Para transmitir una trama el switch primero debe descubrir que dispositivos están conectados,
luego crea una tabla de direcciones MAC o tabla de memoria de contenido direccionables
“CAM”. Cuando un dispositivo que envía por un puerto, dicho puerto de asignación se
almacena en la tabla CAM o se restablece el temporizador de vencimiento del puerto, cuando
el switch recibe una trama de una CAM que no está en la tabla CAM, satura todos los puertos
excepto el puerto por el que la recibió.

CAM es un tipo de memoria especial usada en aplicaciones de búsqueda de alta velocidad.

La información en la tabla de direcciones MAC es empleada para enviar tramas.

2.1 Reenvio de tramas

Métodos de reenvío de un switch:

 Conmutación por almacenamiento y envío:

El switching por almacenamiento y envío permite que el switch haga lo siguiente:

 Verificar si hay errores (mediante la verificación de FCS)

 Realizar el almacenamiento en búfer automático § Proporciona la flexibilidad
para admitir cualquier combinación de velocidades de Ethernet.
Un switch de almacenamiento y envio recibe la trama completa y calcula la
CRC. Si la CRC es válida, el swicht busca la dirección de destino, la cual
determina la interfaz de salida. Entonces, se envía la trama por el puerto
correcto.
 Metodos de reenvio de un switch:
 El método de corte permite que el switch comience a reenviar en 10
microsegundos aproximadamente.
 No es necesaria la verificación de FCS.
 No se produce el almacenamiento en búfer automático.
 Libre de fragmentos
 Es un switching por método de corte en el switch espera a que pase la ventana de
colisión (64 bytes) antes de reenviar la trama.
 Útil en las aplicaciones muy exigentes de tecnología informática de alto
rendimiento (HPC)

3
2.2 Dominios de switching

Dominios de colisiones: es el segmento donde los dispositivos deben competir para

comunicarse, todos los puertos de una hub pertenecen al mismo dominio de colisiones, cada
puerto de un switch es un dominio de colisiones, el switch divide el segmento en dominios de
colisiones más pequeños.

Dominios de difusión : es la distancia de la red a la que se puede escuchar una trama de

difusión, las switches reenvían tramas de difusión a todos los puertos, por lo cual, los switches
no dividen los dominios de difusión, si hay dos o más switches conectados, las difusiones se
reenvían a todos los puertos de todos los switches (excepto al puerto que recibió
originalmente la difusión).

3 Configuración básica de switch

3.1 Configuración básica de switch

Secuencia de arranque de un switch:

POST: programa de autodiagnóstico al encender.

 El switch carga el POST almacenado en la memoria ROM. El POST verifica el subsistema

de la CPU. Este comprueba la CPU, la memoria DRAM y la parte del dispositivo flash
que integra el sistema de archivos flash.
 Se ejecuta el software del cargador de arranque que está almacenado en la memoria
ROM.
 El cargador de arranque lleva a cabo la inicialización de la CPU de bajo nivel.
 El cargador de arranque inicia el sistema de archivos flash en la placa del sistema.
 El cargador de arranque ubica y carga en la memoria una imagen del software del
sistema operativo IOS predeterminado y le cede el control del switch al IOS.

Para encontrar una imagen del IOS adecuada, el switch realiza:

 Intenta arrancar automáticamente con la información de la variable de entorno BOOT.

 Si esta variable no está establecida, el switch realiza una búsqueda integral en todo el
sistema de archivos flash. Si puede, el switch carga y ejecuta el primer archivo
ejecutable.
 El sistema operativo IOS inicia las interfaces mediante los comandos de IOS de Cisco
que se encuentran en el archivo de configuración, almacenado en la memoria NVRAM.

Preparación para la administración básica de un switch: Para conectar una computadora al

puerto de consola de un switch para su configuración, se utiliza un cable de consola, para
administrar el switch de forma remota se debe configurar desde el puerto de consola.

Recuperación tras un bloqueo del sistema: Administrar el switch si el IOS no se puede cargar
mediante una conexión de consola:

4
Preparación para la administración básica de un switch:

Paso 1. Configurar la interfaz de administración:

Paso 2. Configuración del Gateway predeterminado:

Paso 3. Verificar la configuración:

3.2 Configuración de puertos de un switch

Comunicación dúplex:

5
Configuración de puertos de switch en la capa física:

Característica automática de MDIX:

Antes se requerían determinados tipos de cable (cruzado o directo) para conectar dispositivos
y gracias a auto-MDIX se elimina este problema, la interfaz detecta y configura
automáticamente las conexiones.

Verificación de auto-MDIX:

6
Verificación de la configuración de puertos de un switch:

Show interfaces [id-interfaz]:

Up Up Operativo

Down Down Problema

Up Down incopatibilidad por tipo de encapsulación o interfaz del otro extremo inhabilitada.

Resolución de problemas de los medios del switch:

7
4. Seguridad de switches: administración e implementación

4.1 Acceso remoto seguro

Funcionamiento de SSH: Es un protocolo que proporciona una conexión segura a un

dispositivo remoto basada en la línea de comandos.

Configuración de SSH:

4.2 Cuestiones de seguridad en redes LAN

Saturación de direcciones MAC: Esta herramienta es un programa creado para generar y

enviar tramas con direcciones MAC de origen falsas al puerto del switch. § A medida que las
tramas llegan al switch, este agrega la dirección MAC falsa a la tabla CAM y registra el puerto
por el que llegan las tramas, por último, la tabla CAM se completa con direcciones MAC falsas.
La tabla CAM ya no tiene lugar para los dispositivos legítimos presentes en la red, y, por lo
tanto, estos nunca encontrarán sus direcciones MAC en dicha tabla, ahora todas las tramas se
reenvían a todos los puertos, lo que permite que el atacante tenga acceso al tráfico a otros
hosts.

Suplantación de identidad de DHCP:

Los dos tipos de ataques de DHCP que existen son los siguientes:

Agotamiento de direcciones DHCP se utiliza generalmente antes del ataque de suplantación

de identidad de DHCP para denegar el servicio (DoS) al servidor de DHCP legítimo.

Suplantación de identidad de DHCP, se coloca un servidor de DHCP falso en la red para emitir
direcciones de DHCP falsas para los clientes. Así hacen que los clientes usen al atacante como
gateway predeterminado.

Aprovechamiento de CDP: Si un atacante escuchara los mensajes CDP, podría obtener

información importante, como el modelo del dispositivo .En ese caso el atacante puede ver si
existen vulnerabilidades de seguridad específicas para esa versión de IOS, además, debido a
que CDP no se autentica, los atacantes pueden crear paquetes CDP falsos y enviarlos a un
dispositivo de Cisco conectado directamente.

(Cisco recomienda deshabilitar CDP cuando no se utiliza)

Fuerza bruta: Usan un “diccionario” para buscar contraseñas comunes: intenta iniciar una
seseión de Telnet con lo que el “diccionario” sugiere una contraseña.

8
Seguridad de puertos de switch:

La acción de deshabilitar puertos sin utilizar es una pauta de seguridad simple pero eficaz.
S1(config)# interface F0/1 S1(config)# interface range F0/1-0/5

S1(config-inf)# shutdown ““

S1(config-inf)# exit ““

Detección DHCP: Permite determinar cuáles son los puertos de switch que pueden responder
a solicitudes de DHCP.

Seguridad de puertos: funcionamiento

 La seguridad de puertos limita la cantidad de direcciones MAC válidas permitidas en un

puerto.
 Se permite el acceso a las direcciones MAC de los dispositivos legítimos, mientras que
otras direcciones MAC se rechazan.
 Cualquier intento adicional de conexión por parte de direcciones MAC desconocidas
generará una violación de seguridad.
 Las direcciones MAC seguras se pueden configurar de varias maneras:
1. Direcciones MAC seguras estáticas: son direcciones MAC que se
configuran manualmente en un puerto. Las direcciones MAC
configuradas de esta forma se almacenan en la tabla de direcciones y
se agregan al running-config.
2. Direcciones MAC seguras dinámicas: son direcciones MAC detectadas
dinámicamente y se almacenan solamente en la tabla de direcciones.
3. Direcciones MAC seguras persistentes: son direcciones MAC que
pueden detectarse de forma dinámica o configurarse de forma
manual, y que después se almacenan en la tabla de direcciones y se
agregan al running-config.

Seguridad de puertos: modos de violación de seguridad

IOS considera que se produce una violación de seguridad cuando se da cualquiera de estas
situaciones:

 Se agregó la cantidad máxima de direcciones MAC seguras a la tabla CAM para esa
interfaz, y una estación cuya dirección MAC no figura en la tabla de direcciones intenta
acceder a la interfaz.
 Una dirección aprendida o configurada en una interfaz segura puede verse en otra
interfaz segura de la misma VLAN.

Cuando se detecta una violación, hay tres acciones posibles que se pueden realizar: Protect ,
Restrict, Shutdown.

9
Protocolo de tiempo de red (NTP)

NTP es un protocolo que se utiliza para sincronizar los relojes de las redes de datos de los
sistemas de computación, NTP puede obtener la hora correcta de un origen de hora interno o
externo, los dispositivos de red se pueden configurar como servidor NTP o cliente NTP.

Tema 2
1. Segmentación de VLAN.

1.1 Descripción general de las VLAN

Redes LAN – Dominios de broadcast

Cada puerto de un router es un dominio de difusión o broadcast.

• Cada switch es un dominio de broadcast.

• Cada puerto de un switch es un dominio de colisión.

• Se necesita un puerto del router por cada LAN.

• Los switches tienen más puertos que los routers.

• Es ventajoso que los switch puedan filtrar direcciones a nivel de capa 2.

• Las VLAN (Virtual Local Area Network): son redes de área local (virtuales) a nivel de capa 2.

Definición de VLAN: Se trata de un concepto que se emplea en el terreno de

la informática para nombrar al desarrollo de redes lógicas vinculadas a una única red de tipo
físico. Esto quiere decir que, en una misma red física, pueden establecerse diferentes VLAN.

1.1. DESCRIPCIÓN GENERAL

10
BENEFICIOS:

Seguridad, Reducción de costos, Reducción de dominios de difusión, Mejor

rendimiento, Mejora de la eficiencia del personal de TI, Administración más simple de
aplicaciones y proyectos.

Cada VLAN en una red conmutada corresponde a una red IP; por lo tanto, al diseñarla,
se debe tener en cuenta la implementación de un esquema de direccionamiento de
red jerárquico.

Esto significa que los números de red IP se aplican a los segmentos de red o a las VLAN
de manera ordenada, lo que permite que la red se toma como conjunto.

Los bloques de direcciones de red contiguas se reservan para los dispositivos en un

área específica de la red y se configuran en estos.

Tipos de VLAN

A) VLAN de datos:

Configurada para transportar tráfico generado por usuarios. Las VLAN de datos se usan
para dividir la red en grupos de usuarios o dispositivos.

B) VLAN predeterminada:

Es la VLAN a la que se asignan todos los puertos de switch después del

arranque inicial de un switch que carga la configuración predeterminada. Los puertos
de switch que participan en la VLAN predeterminada forman parte del mismo dominio
de difusión.

C) VLAN nativa:

 Asignada a un puerto troncal 802.1Q.

 Los puertos de enlace troncal son los enlaces entre switches que admiten la
transmisión de tráfico asociado a más de una VLAN.

 Admiten el tráfico con etiquetas y sin etiquetar o no identificado.

 El puerto de enlace troncal 802.1Q coloca el tráfico sin etiquetar en VLAN 1.

 Se definen para mantener la compatibilidad con el tráfico sin etiquetar de modelos

anteriores común a las situaciones de LAN antiguas.

 Es común utilizar una VLAN fija para que funcione como nativa para todos los puertos
de enlace troncal de todos los switches de una misma red local.

D) VLAN de administración:

 Es cualquier VLAN que se configura para acceder a las capacidades de administración

de un switch.

 VLAN 1 = VLAN de administración de manera predeterminada.

11
  Así se permite que el switch se administre mediante HTTP, Telnet, SSH o SNMP.

 Por seguridad, sólo se ha de mantener una VLAN de administración.

E) VLAN de voz

 Se necesita una VLAN separada para admitir la tecnología de voz sobre IP (VoIP).

 El tráfico VoIP depende del factor tiempo y requiere lo siguiente:

 Ancho de banda garantizado para asegurar la calidad de la voz

 Prioridad de la transmisión sobre los tipos de tráfico de la red

 Capacidad para ser enrutado en áreas congestionadas de la red

 Demora inferior a 150 ms a través de la red

 La característica de la VLAN de voz permite que los puertos de acceso envíen el tráfico
de voz IP desde un teléfono IP.

 El switch puede conectarse a un teléfono IP 7960 de Cisco y transportar el tráfico de

voz IP.

 Dado que la calidad de sonido de una llamada desde un teléfono IP puede disminuir si
la información no se envía de manera uniforme, el switch admite la calidad de servicio
(QoS).

1.2 Redes VLAN en un entorno conmutado múltiple

Enlaces troncales de VLAN

12
 Un enlace troncal de VLAN transporta más de una.
Generalmente, se establece entre los switches para que los dispositivos de una misma
VLAN se puedan comunicar incluso si están conectados físicamente a switches
diferentes.
Un enlace troncal de VLAN no está relacionado con ninguna VLAN. Así como los
puertos de enlace troncal que se utilizan para establecer ese enlace.

Control de dominios de difusión sin VLAN

Las VLAN se pueden utilizar para limitar el alcance de las tramas de difusión.

 Una trama de difusión que envía un dispositivo en una VLAN específica se reenvía
solamente dentro de esa misma.

 Esto ayuda a controlar el alcance de las tramas de difusión y su impacto en la red.

 Las tramas de unidifusión y multidifusión también se reenvían dentro de la VLAN de

origen.

Etiquetado de tramas de
Ethernet para la identificación de VLAN

 El encabezado de las tramas de Ethernet estándar no contiene información sobre la VLAN a

la que pertenece la trama.

 El etiquetado de tramas se utiliza para transmitir correctamente las de varias VLAN a través
de un enlace troncal.

 Los switches etiquetan las tramas para identificar la VLAN a la que pertenecen. Existen
diferentes protocolos de etiquetado. (Ej.: IEEE 802.1q muy popular).

 El protocolo define la estructura del encabezado de etiquetado que se agrega a la trama.

 Los switches agregan etiquetas VLAN a las tramas antes de colocarlas en los enlaces
troncales y quitan las etiquetas antes de reenviar las tramas a través de los puertos
de enlace no troncal.

 Una vez que el switch introduce los campos de etiqueta, vuelve a calcular los valores de la
FCS e inserta la nueva FCS en la trama.

13
1.2 Redes VLAN en un entorno conmutado múltiple.

 Tipo: Valor fijo para Ethernet

 Pri: Prioridad de usuario

 CFI: es un identificador de 1 bit que habilita las tramas Token Ring que se van a
transportar a través de los enlaces Ethernet.

 VID: ID de VLAN.

2. Implementaciones de VLAN.

2.1 Asignación de VLAN

Rangos de VLAN en los switches Catalyst

Los switches de las series Catalyst 2960 y 3560 admiten más de 4000 VLAN.

División en categorías:

 VLAN de rango normal:

• Números de 1 a 1005.

• La configuración se almacena en el archivo vlan.dat (en la memoria flash).

• El protocolo de enlace troncal de VLAN (VTP) solo puede descubrir y

almacenar las VLAN de rango normal.

 VLAN de rango extendido:

• Números de 1006 a 4096.

• La configuración se almacena en la NVRAM.

• VTP no descubre las VLAN de rango extendido.

14
 Creación de una VLAN

Asignación de puertos a las redes VLAN

Cambio de pertenencia de puertos de una VLAN – Actividad 3.2.1.4

Eliminación de VLAN

15
2.1 Asignación de VLAN

Verificación de información de VLAN

Configuración de enlaces troncales IEEE 802.1Q

2.2 Enlaces troncales de la VLAN

2.3 Protocolo de enlace troncal dinámico Introducción al protocolo DTP

 Los puertos de switch se pueden configurar manualmente para formar enlaces

troncales.

 También pueden configurarse para negociar y para establecer un enlace troncal con un
peer conectado.

16
  El protocolo de enlace troncal dinámico (DTP) administra la negociación de enlaces
troncales si el puerto en el switch vecino se configura en un modo de enlace troncal
que lo admita.

 Un dispositivo que no admite DTP puede reenviar tramas DTP incorrectas.

Introducción al protocolo DTP

Modos de interfaz negociados

Los switches Cisco Catalyst 2960 y 3560: compatibles con los siguientes modos de enlace
troncal con la ayuda de DTP:

switchport mode access.

switchport mode dynamic auto: modo predeterminado en dichos switches. Negociación

troncal débil.
switchport mode dynamic desirable: negociación troncal fuerte

switchport mode trunk.

switchport nonegotiate: solo cuando el modo de switchport de la interfaz es access o trunk.

Por lo general, se recomienda que la interfaz se establezca en trunk y nonegotiate cuando se

requiere un enlace troncal.

Se debe inhabilitar DTP en los enlaces cuando no se deben usar enlaces troncales.

Problemas de direccionamiento de VLAN

Es una práctica común asociar una VLAN a una red IP.

 Dado que las diferentes redes IP solo se comunican mediante un router, todos los
dispositivos dentro de una VLAN deben formar parte de la misma red IP para poder
comunicarse.

 En el ejemplo anterior, se muestra que la PC1 no puede comunicarse con el servidor,

porque tiene configurada una dirección IP incorrecta.

17
 2.4 Resolución de problemas de VLAN y enlaces troncales VLAN faltantes

Si se resolvieron todas las incompatibilidades de las direcciones IP pero el dispositivo aún no

puede conectarse, revise si la VLAN existe en el switch.

Introducción a la resolución de problemas de enlaces troncales

Problemas comunes con enlaces troncales

18
Incompatibilidades del modo de enlace troncal

 Cuando un puerto en un enlace troncal se configura con un modo de enlace troncal

que no es compatible con el puerto de enlace troncal vecino, no se puede formar un
enlace troncal entre los dos switches.

 Verifique el estado de los puertos enlace troncal de los switches con el comando show
interfaces trunk.

 Para resolver el problema, configure las interfaces en los modos de enlace troncal
apropiados.

Lista de VLAN incorrectas

19
3. Seguridad y diseño de redes VLAN.

3.1 Ataques a redes VLAN

Ataque de suplantación de identidad de switch

 Al configurar un host para que funcione como switch y formar un enlace troncal, un
atacante podría acceder a cualquier VLAN en la red.

 Debido a que el atacante ahora puede acceder a otras VLAN, esto se denomina
“ataque con salto de VLAN”.

 Para evitar un ataque de suplantación de identidad de switch básico, desactive el

enlace troncal en todos los puertos, excepto en los que requieren el enlace troncal
específicamente.

Ataque de etiquetado doble

 El ataque de etiquetado doble aprovecha la forma en que el hardware desencapsula

las etiquetas 802.1Q en la mayoría de los switches.

20
  Muchos switches realizan solamente un nivel de desencapsulación 802.1Q, lo que
permite que un atacante incorpore un segundo encabezado de ataque no autorizado
en la trama.

 Después de quitar el primer encabezado 802.1Q legítimo, el switch reenvía la trama a

la VLAN especificada en el encabezado 802.1Q no autorizado. El mejor método para
mitigar los ataques de etiquetado doble es asegurar que la VLAN nativa de los puertos
de enlace troncal sea distinta de la VLAN de cualquier puerto de usuario.

Perímetro de PVLAN

 La característica de perímetro de VLAN privada (PVLAN), también conocida como

“puertos protegidos”, asegura que no se intercambie tráfico de unidifusión, difusión o
multidifusión entre los puertos protegidos del switch.

 Solo tiene importancia local.

 Un puerto protegido intercambia tráfico solamente con los puertos no protegidos.

 Un puerto protegido no intercambia tráfico con otro puerto protegido.

Para inhabilitar los puertos protegidos, utilice el comando no switchport protected del modo
de configuración de interfaz

21