Documente Academic
Documente Profesional
Documente Cultură
Tema 1
1 Diseño de una LAN
Deben permitir acceder a la información desde cualquier lugar del mundo, estas redes deben
de ser seguras, confiables y de alta disponibilidad.
Varios tipos de trafico y una sola red para administrar, ahorros en instalación y la
administración de redes independientes, integración de la administración de TI con una
interfaz de administración intuitiva, diseño estructurado.
Cisco Borderless Network es una arquitectura de red que permite que las organizaciones se
conecten con cualquier persona, en cualquier lugar, momento y dispositivo de forma segura y
confiable. Está diseñada para enfrentar desafíos comerciales y de TI.
El diseño jerárquico de una red conmutada sin fronteras sienta una base que permite que los
diseñadores de red superpongan las características de seguridad, movilidad y comunicación
unificada.
Las tres capas fundamentales son la capa de acceso, de distribución y de núcleo. Cada capa se
considera como un núcleo estructurado y bien definido.
Capa de acceso:
1
Los switches de capa de acceso se conectan a los switches de capa de distribución, que
implementan tecnologías de base de red como el routing.
Capa de distribución:
Capa de núcleo:
Es el backbone de una red, conecta varias capas de red al campus, funciona como agregador
para el resto de los bloques de campus y lo une con el resto de la red, su propósito principal es
el aislamiento de fallos y conectividad de backbone de alta velocidad.
Fator de forma:
Switches de configuración fija: Las características y las opciones se limitan a aquellas que
originalmente vienen con el switch.
2
Switches de configuración modular: Estos vienen con bastidores de distinto tamaño, permite
instalación de diferentes números de tarjetas de líneas modulares, y las tarjetas de línea son
las que contienen los puertos.
2 Entorno conmutado
Para transmitir una trama el switch primero debe descubrir que dispositivos están conectados,
luego crea una tabla de direcciones MAC o tabla de memoria de contenido direccionables
“CAM”. Cuando un dispositivo que envía por un puerto, dicho puerto de asignación se
almacena en la tabla CAM o se restablece el temporizador de vencimiento del puerto, cuando
el switch recibe una trama de una CAM que no está en la tabla CAM, satura todos los puertos
excepto el puerto por el que la recibió.
3
2.2 Dominios de switching
Recuperación tras un bloqueo del sistema: Administrar el switch si el IOS no se puede cargar
mediante una conexión de consola:
4
Preparación para la administración básica de un switch:
Comunicación dúplex:
5
Configuración de puertos de switch en la capa física:
Antes se requerían determinados tipos de cable (cruzado o directo) para conectar dispositivos
y gracias a auto-MDIX se elimina este problema, la interfaz detecta y configura
automáticamente las conexiones.
Verificación de auto-MDIX:
6
Verificación de la configuración de puertos de un switch:
Up Up Operativo
Up Down incopatibilidad por tipo de encapsulación o interfaz del otro extremo inhabilitada.
7
4. Seguridad de switches: administración e implementación
Configuración de SSH:
Los dos tipos de ataques de DHCP que existen son los siguientes:
Suplantación de identidad de DHCP, se coloca un servidor de DHCP falso en la red para emitir
direcciones de DHCP falsas para los clientes. Así hacen que los clientes usen al atacante como
gateway predeterminado.
Fuerza bruta: Usan un “diccionario” para buscar contraseñas comunes: intenta iniciar una
seseión de Telnet con lo que el “diccionario” sugiere una contraseña.
8
Seguridad de puertos de switch:
La acción de deshabilitar puertos sin utilizar es una pauta de seguridad simple pero eficaz.
S1(config)# interface F0/1 S1(config)# interface range F0/1-0/5
S1(config-inf)# shutdown ““
S1(config-inf)# exit ““
Detección DHCP: Permite determinar cuáles son los puertos de switch que pueden responder
a solicitudes de DHCP.
IOS considera que se produce una violación de seguridad cuando se da cualquiera de estas
situaciones:
Se agregó la cantidad máxima de direcciones MAC seguras a la tabla CAM para esa
interfaz, y una estación cuya dirección MAC no figura en la tabla de direcciones intenta
acceder a la interfaz.
Una dirección aprendida o configurada en una interfaz segura puede verse en otra
interfaz segura de la misma VLAN.
Cuando se detecta una violación, hay tres acciones posibles que se pueden realizar: Protect ,
Restrict, Shutdown.
9
Protocolo de tiempo de red (NTP)
NTP es un protocolo que se utiliza para sincronizar los relojes de las redes de datos de los
sistemas de computación, NTP puede obtener la hora correcta de un origen de hora interno o
externo, los dispositivos de red se pueden configurar como servidor NTP o cliente NTP.
Tema 2
1. Segmentación de VLAN.
• Las VLAN (Virtual Local Area Network): son redes de área local (virtuales) a nivel de capa 2.
10
BENEFICIOS:
Cada VLAN en una red conmutada corresponde a una red IP; por lo tanto, al diseñarla,
se debe tener en cuenta la implementación de un esquema de direccionamiento de
red jerárquico.
Esto significa que los números de red IP se aplican a los segmentos de red o a las VLAN
de manera ordenada, lo que permite que la red se toma como conjunto.
Tipos de VLAN
A) VLAN de datos:
Configurada para transportar tráfico generado por usuarios. Las VLAN de datos se usan
para dividir la red en grupos de usuarios o dispositivos.
B) VLAN predeterminada:
C) VLAN nativa:
Los puertos de enlace troncal son los enlaces entre switches que admiten la
transmisión de tráfico asociado a más de una VLAN.
Es común utilizar una VLAN fija para que funcione como nativa para todos los puertos
de enlace troncal de todos los switches de una misma red local.
D) VLAN de administración:
11
Así se permite que el switch se administre mediante HTTP, Telnet, SSH o SNMP.
E) VLAN de voz
Se necesita una VLAN separada para admitir la tecnología de voz sobre IP (VoIP).
La característica de la VLAN de voz permite que los puertos de acceso envíen el tráfico
de voz IP desde un teléfono IP.
Dado que la calidad de sonido de una llamada desde un teléfono IP puede disminuir si
la información no se envía de manera uniforme, el switch admite la calidad de servicio
(QoS).
12
Un enlace troncal de VLAN transporta más de una.
Generalmente, se establece entre los switches para que los dispositivos de una misma
VLAN se puedan comunicar incluso si están conectados físicamente a switches
diferentes.
Un enlace troncal de VLAN no está relacionado con ninguna VLAN. Así como los
puertos de enlace troncal que se utilizan para establecer ese enlace.
Las VLAN se pueden utilizar para limitar el alcance de las tramas de difusión.
Una trama de difusión que envía un dispositivo en una VLAN específica se reenvía
solamente dentro de esa misma.
Etiquetado de tramas de
Ethernet para la identificación de VLAN
El etiquetado de tramas se utiliza para transmitir correctamente las de varias VLAN a través
de un enlace troncal.
Los switches etiquetan las tramas para identificar la VLAN a la que pertenecen. Existen
diferentes protocolos de etiquetado. (Ej.: IEEE 802.1q muy popular).
Los switches agregan etiquetas VLAN a las tramas antes de colocarlas en los enlaces
troncales y quitan las etiquetas antes de reenviar las tramas a través de los puertos
de enlace no troncal.
Una vez que el switch introduce los campos de etiqueta, vuelve a calcular los valores de la
FCS e inserta la nueva FCS en la trama.
13
1.2 Redes VLAN en un entorno conmutado múltiple.
CFI: es un identificador de 1 bit que habilita las tramas Token Ring que se van a
transportar a través de los enlaces Ethernet.
VID: ID de VLAN.
2. Implementaciones de VLAN.
Los switches de las series Catalyst 2960 y 3560 admiten más de 4000 VLAN.
División en categorías:
• Números de 1 a 1005.
14
Creación de una VLAN
Eliminación de VLAN
15
2.1 Asignación de VLAN
También pueden configurarse para negociar y para establecer un enlace troncal con un
peer conectado.
16
El protocolo de enlace troncal dinámico (DTP) administra la negociación de enlaces
troncales si el puerto en el switch vecino se configura en un modo de enlace troncal
que lo admita.
Los switches Cisco Catalyst 2960 y 3560: compatibles con los siguientes modos de enlace
troncal con la ayuda de DTP:
Se debe inhabilitar DTP en los enlaces cuando no se deben usar enlaces troncales.
Dado que las diferentes redes IP solo se comunican mediante un router, todos los
dispositivos dentro de una VLAN deben formar parte de la misma red IP para poder
comunicarse.
17
2.4 Resolución de problemas de VLAN y enlaces troncales VLAN faltantes
18
Incompatibilidades del modo de enlace troncal
Verifique el estado de los puertos enlace troncal de los switches con el comando show
interfaces trunk.
Para resolver el problema, configure las interfaces en los modos de enlace troncal
apropiados.
19
3. Seguridad y diseño de redes VLAN.
Al configurar un host para que funcione como switch y formar un enlace troncal, un
atacante podría acceder a cualquier VLAN en la red.
Debido a que el atacante ahora puede acceder a otras VLAN, esto se denomina
“ataque con salto de VLAN”.
20
Muchos switches realizan solamente un nivel de desencapsulación 802.1Q, lo que
permite que un atacante incorpore un segundo encabezado de ataque no autorizado
en la trama.
Perímetro de PVLAN
Para inhabilitar los puertos protegidos, utilice el comando no switchport protected del modo
de configuración de interfaz
21