Documente Academic
Documente Profesional
Documente Cultură
Dispositivos de Capa 2 Y 3
Objetivos
• Explicar los componentes de seguridad de una red se
definen según el tamaño de la red.
• Explicar las ventajas de la utilización de un modelo
en capas para describir la funcionalidad de red.
• Explicar la función de los protocolos en las
comunicaciones de red.
• Describir las subcapas de la capa de enlace de datos
y como Ethernet las usa para su operación
• Describir la importancia de los esquemas de
direccionamiento y denominación en las
comunicaciones de red.
• Explicar como TCP / UDP permite la multiplexacion de
las comunicaciones
• Explicar como TCP mantiene una comunicación
orientada a la conexión, confiable y con control de
flujo
• Definir como y las Vlan interactúan en una red
Las redes de hoy
Las redes corporativas, empresariales,
gubernamentales y del hogar se crean con los
mismos componentes, hardware y Software, la
diferencia entre estas redes se da por el costo
de los dispositivos y las capacidades, no es
igual crear un servidor para ver películas en
la casa a crear un servidor para manejar la
contabilidad de IBM.
“Lunita consentida colgada del cielo, como un farolito que puso mi Dios,
para que alumbraras las noches calladas de este pueblo viejo de mi corazón.”
¿De que me
protejo?
• Malware
• Virus
• Worms
• Trojan
• Backdoor
• Logic Bomb
• Spyware
• Keylogger
• Password cracking
• Guessing
• Brute Forcing
• Dictionary Attack
• Shoulder Surfing
• Unauthorized access
Bloquea el sistema cuando
no estés frente a el
Una práctica de seguridad muy importante es
bloquear el equipo cundo nos levantamos al baño o a
tomar un café. Por breve que sea la pausa, dejar
nuestro computador desbloqueado es como dejar a un
bebe de 1 año solo al borde de una piscina, puede
pasar lo peor o puede no pasar nada.
≈
Para bloquear nuestra máquina, primero debemos
haber configurado una contraseña para el inicio de
sesión. La forma fácil de hacerlo es presionando la
tecla de Windows + L (se usa la L por la palabra Lock /
bloqueo en inglés) y listo, para iniciar sesión
debemos introducir nuevamente la contraseña.
En muchas empresas, los equipos de trabajo usan métodos
no muy ortodoxos para enseñar u obligar a sus compañeros
a adoptar esta buena práctica y convertirla en un hábito.
Para ello hacen un pacto que consiste en: “si alguien
deja el computador sin bloquear, cualquiera que se
percate de esto, debe escribir un correo desde la cuenta
de e-mail activa en el computador donde invite a
desayunar a todos los miembros del equipo”
Normalmente luego de 3 o 4 desayunos
no lo vuelve a hacer.
Ellos ya aprendieron
Recomendaciones
• Cambia el nombre a la cuenta de administrador por un nombre
que te sea fácil recordar. También cambia la contraseña.
Esta cuenta se debe deshabilitar, así a un cracker con un
rootkit no le será tan fácil apoderarse de nuestro
computador.
• Deshabilita la cuenta de invitado.
• Crea las cuentas que necesites con contraseñas seguras y
los privilegios (permisos) que creas pertinentes.
Antivirus
Conciencia de la existencia
de Keylogger
Contraseñas seguras
Bloqueo del sistema
• Seguridad
• Reducción de costos
• Mejor rendimiento
• Reducción de dominios de difusión
• Mejora de la eficiencia del personal de TI
• Administración más simple de aplicaciones y proyectos
Enlaces Troncales
Redundancia
¿De que me protejo?
• Accesos no autorizados a la red • Conexiones
• Falla de dispositivos • Dispositivos
Redundancia
¿De que me protejo?
• Accesos no autorizados a la red • Conexiones
• Falla de dispositivos – EtherChannel – Link Aggregation
• Dispositivos
– Spanning Tree Protocol (STP)
Redundancia
¿De que me protejo?
• Accesos no autorizados a la red • Conexiones
• Falla de dispositivos – EtherChannel – Link Aggregation
• Dispositivos
– Spanning Tree Protocol (STP)
– Hot Standby Router Protocol (HSRP)
– Virtual Router Redundancy Protocol (VRRP)
– Gateway Load Balancing Protocol (GLBP)
– High Availability (HA)
EtherChannel – Link Aggregation
Spanning Tree Protocol (STP)
Hot Standby Router Protocol (HSRP)
Virtual Router Redundancy Protocol (VRRP)
Gateway Load Balancing Protocol (GLBP)
High Availability (HA)
• Servidores
• Almacenamiento
• Firewalls
• Redes inalámbricas
• Proveedores de servicio
Redundancia
¿De que me protejo?
• Accesos no autorizados a la red • Conexiones
• Falla de dispositivos – EtherChannel – Link Aggregation
• Dispositivos
– Spanning Tree Protocol (STP)
– Hot Standby Router Protocol (HSRP)
– Virtual Router Redundancy Protocol (VRRP)
– Gateway Load Balancing Protocol (GLBP)
– High Availability (HA)
– Storage area network (SAN)
Redundancia
• Conexiones
– EtherChannel – Link Aggregation
• Dispositivos
– Spanning Tree Protocol (STP)
¿De que me protejo? – Hot Standby Router Protocol (HSRP)
• Accesos no autorizados a la red – Virtual Router Redundancy Protocol (VRRP)
– Gateway Load Balancing Protocol (GLBP)
• Falla de dispositivos – High Availability (HA)
– Storage area network (SAN)
• Servicios
– Network Load Balancing
– Fail Over
Redundancia
• Conexiones
– EtherChannel – Link Aggregation
• Dispositivos
– Spanning Tree Protocol (STP)
– Hot Standby Router Protocol (HSRP)
– Virtual Router Redundancy Protocol (VRRP)
– Gateway Load Balancing Protocol (GLBP)
– High Availability (HA)
– Storage area network (SAN)
• Servicios
– Network Load Balancing
– Fail Over
UTM - Firewall
Un modelo de protocolo
Un modelo de referencia
PDU = Datos
Modelo OSI
Su principal función es definir formatos de
datos
Provee encriptación y compresión (Code
formatting)
Garantiza que los datos que llegan desde
la red puedan ser utilizados por la
aplicación y que la información enviada
por la aplicación sea entendida por el
destino
Incluye: JPEG, ASCII, GIF, TIFF, MPEG, etc.
PDU = Datos
Modelo OSI
PDU = Datos
Modelo OSI
PDU = Segmento
Modelo OSI
PDU = Paquetes.
Modelo OSI
PDU = Tramas
Modelo OSI
PDU = Bits
Comparación modelos TCP/IP y OSI
https://www.youtube.com/watch?v=4GEHbsBF0Yw
Verifica como vas hasta el momento
Crucigrama
1. Protocol Data Units
2. PDU Capa de Aplicación
3. Define las identificaciones
de los hosts, como
determinar las rutas y como
aprender las rutas
4. PDU de la capa de Transporte
5. PDU Capa de Red
6. Conectores, pines, uso de
los pines, corrientes
eléctricas, etc.
7. PDU Capa Física
8. PDU Capa de Enlace
9. Provee acceso al medio
10.Provee confiabilidad,
control de flujo y
corrección de errores
Envío y recepción de mensajes
https://www.youtube.com/watch?v=J2V1p_U5lQI
https://www.youtube.com/watch?v=pLuN3qSXR7c
Como ver las capas
Para ver los mensajes enviados y recibidos
por nuestro computador necesitamos un
programa que haga la función de sniffer
https://www.wireshark.org/download.html
https://www.youtube.com/watch?v=vh6q7K_2FHw
Capa 2
Capa 3
Capa 4
Capa de enlace de datos y
Ethernet
Funcionamiento de Ethernet
Subcapas LLC y MAC
Subcapas LLC y MAC
LLC
• Maneja la comunicación entre las capas superiores e
inferiores.
• Toma los datos del protocolo de red y agrega información
de control para ayudar a entregar el paquete al destino.
MAC
• Constituye la subcapa inferior de la capa de enlace de
datos.
• Se implementa mediante hardware, por lo general en la NIC
de la PC.
• Tiene dos responsabilidades principales:
• Encapsulación de datos
• Control de acceso al medio
Encapsulación de datos
• Armado de la trama antes de la transmisión y desarmado de
la trama en el momento en que se la recibe.
• La capa MAC agrega un encabezado y un tráiler a la PDU de
la capa de red.
Ethernet II es el
formato de trama de
Ethernet utilizado en
las redes TCP/IP.
Tamaño de la trama de Ethernet
• Los estándares Ethernet II e IEEE 802.3
definen la trama mínima en 64 bytes y la
trama máxima en 1518 bytes.
• Una longitud menor que 64 bytes se
considera un “fragmento de colisión” o
“runt frame”.
• Si el tamaño de una trama transmitida es
menor que el mínimo o mayor que el máximo,
el dispositivo receptor descarta la trama.
• En la capa física, las diferentes versiones
de Ethernet varían en cuanto al método para
detectar y colocar datos en los medios.
Vlan https://www.youtube.com/watch?v=jjz5chf3plM
https://www.youtube.com/watch?v=ghRtPxQTTG8
Dirección MAC unicast
Dirección MAC de broadcast
Dirección MAC multicast
Dirección IP
• Es similar a la dirección de una persona.
• Se basa en la ubicación real del host.
• Se conoce como “dirección lógica” porque se asigna
lógicamente.
• Un administrador de red la asigna a cada host.
https://www.youtube.com/watch?v=hemYU-boZHY
La capa de red
Procesos de transporte de extremo a extremo
• Direccionamiento de dispositivos finales
• Encapsulación
• Enrutamiento
• Desencapsulación
Protocolos de la capa de red
Protocolos de capa de red comunes
• Protocolo de Internet versión 4 (IPv4)
• Protocolo de Internet versión 6 (IPv6)
Longitud del
Servicios diferenciados
Versión encabezado IP
Longitud total
DSCP ECN
Dirección IP de origen
Dirección IP de destino
https://www.youtube.com/watch?v=KOIXTt9layw
Limitaciones de IPv4
• Agotamiento de
direcciones IP
• Expansión de la tabla
de enrutamiento de
Internet
• Falta de conectividad
de extremo a extremo
IPv6
Es una versión del
protocolo de internet
(IP), definida en el
RFC 1883, diseñada
para remplazar a IPv4
https://www.rfc-es.org/rfc/rfc2460-es.txt
Byte 1 Byte 2 Byte 3 Byte 4
Siguiente
Longitud de contenido Límite de salto
encabezado
Dirección IP de origen
Dirección IP de destino
Encapsulación de IPv4 vs IPv6
IPv4
Las direcciones IPv4 están compuestas por
32bits
𝟑𝟐
𝟐 = 4.249’967.296
𝟐𝟏𝟐𝟖 =
340.282.366.920.938.463.463.374.607.431.768.211.456
Hay aproximadamente
665,570,793,348,866,943,898,599
direcciones por metro cuadrado de la superficie de la Tierra
Conversión de una dirección binaria en decimal
2^0 = 1
Se suma
verticalmente las
potencias activas,
2^0 = 1
0 = 0
----------------
Así obtenemos la
hora en formato
militar: 10
Se suma
verticalmente las
potencias activas,
2^0 = 1
0 = 0
----------------
2^1 = 2
2^2 = 4
Se suma verticalmente
las potencias
activas,
2^0 = 1
0 = 0
----------------
2^1 = 2
2^2 = 4
----------------
2^0 = 1 + 2^1 = 2 = 3
2^0 = 1
10 : 24 : 31
¿Que hora es?
¿Que hora es?
¿Que hora es?
¿Que hora es?
¿Que hora es?
¿Que hora es?
¿Que hora es?
Motivos para la división en subredes
Es necesario segmentar las redes grandes en subredes más pequeñas,
con lo que se crean grupos más pequeños de dispositivos y servicios
con los siguientes fines:
• Controlar el tráfico mediante la contención del tráfico de
broadcast dentro de la subred.
• Reducir el tráfico general de la red y mejorar el rendimiento de
esta.
• División en subredes: proceso de segmentación de una red en
varios espacios de red más pequeños o subredes.
https://www.youtube.com/watch?v=rpMhuzwaVAw
Con la IP 172.16.0.0
1. Listar de mayor a menor la cantidad de
host que tiene cada red
Host
1. Listar de mayor a menor la cantidad de
host que tiene cada red
Host
439
1. Listar de mayor a menor la cantidad de
host que tiene cada red
Host
439
300
1. Listar de mayor a menor la cantidad de
host que tiene cada red
Host
439
300
200
80
30
2
Con la IP 172.16.0.0
Host n
439 9
300 9
200 8
80 7
30 5
2 2
3. Iniciar con la red por
defecto escrita en decimal y
binario, tomar los n bits de
la porción de hots y
modificar la máscara
ajustarla a la cantidad de
bits (32 – n) Con la IP 172.16.0.0
Con la IP 172.16.0.0
Con la IP 172.16.0.0
Con la IP 172.16.0.0
2031:0000:130F:0000:0000:09C0:876A:130B
2031:0:130F:0:0:9C0:876A:130B
2031:0:130F::9C0:876A:130B
Ejemplo de abreviatura de una IPv6
• 2031:0000:130F:0000:0000:09C0:876A:130B
• Unicast
• Multicast
• Anycast
Unicast
“Uno a uno”
•Dirección destinada a un interfaz único.
•Un paquete destinado a una dirección unicast se
entrega al interfaz identificado por dicha
dirección.
Multicast
“Uno a varios”
•Dirección para un conjunto de interfaces
(típicamente pertenecientes a nodos diferentes)
•Un paquete destinado a una dirección multicast se
entrega a todos los interfaces identificados por
dicha dirección
Anycast
•No especificado
0000 to 00FF •Loopback
Nota: IPv6 para Internet usa 2001::/3 que es < 2% del espacio de direcciones IPv6
Direcciones IPv6 Global Unicast
• Las direcciones globales unicast constan de:
• Un prefijo global de enrutamiento de 48-bits
• Un identificador ID de subred de 16-bit
• Un identificador ID de interface de 64-bit
Registrador
Prefijo de ISP
Prefijo de Sitio
Prefijo de Subred
Asignación
• El 3 de febrero del 2011 la IANA
(Internet Assigned Numbers Authority)
asigno cinco bloques /8 para cada Regional
Internet Registries (ARIN, RIPE, APNIC,
LACNIC y AfriNIC).
Direcciones IPv6 especiales
Dirección IPv6 Descripción
• Todas-las-redes. Usado al especificar rutas estáticas por defecto.
::/0
• Equivalente a la IPv4 quad-cero (0.0.0.0)
• Dirección no especificada. Se asigna inicialmente a un host cuando
::/128
resuelve su dirección de Link-Local (de Enlace–Local)
• Dirección de Loopback del host local
::1/128
• Equivalente a la dirección 127.0.0.1 en IPv4
Resto de
• Direcciones Globales Unicast
direcciones
Direcciones Link-Local (Enlace Local)
• Las direcciones Link-Local tienen un ámbito limitado al
segmento local de la red.
• Usualmente son asignadas dinámicamente usando el prefijo
FF80::/10
• Usada para direccionamiento automático, descubrimiento de
vecinos y actualizaciones de enrutamiento.
• Es posible usarlas para comunicar varios dispositivos que
no necesiten una dirección global. P. ej.en telemetría
• Las direcciones Linl-Local no son enrutables.
IPv6 Unicast
Creada Autoconfiguración
Dirección IPv6 automáticamente Dirección IPv6
(Formato EUI-64) si Sin Estado
se configura una
dirección IPv6
Goblal Unicast
DHCPv6
Formato EUI-64 para la porción de host de la dirección.
Dirección MAC 48-bit
Utilizado por:
• Sistema de nombres de dominio (DNS)
• Protocolo simple de administración de red (SNMP,
Simple Network Management Protocol)
• Protocolo de configuración dinámica de host (DHCP)
• Protocolo de transferencia de archivos trivial (TFTP)
• Telefonía IP o voz sobre IP (VoIP)
• Juegos en línea
Rearmado de datagramas
Servicios de Capa 2
La VLAN
Vlan
https://www.youtube.com/watch?v=jjz5chf3plM
Beneficios de las redes VLAN
Seguridad
Reducción de costos
Mejor rendimiento
Reducción de dominios de difusión
Mejora de la eficiencia del personal de TI
Administración más simple de aplicaciones y proyectos
Control de dominios de difusión con VLAN
Las VLAN se pueden utilizar para limitar el alcance de
las tramas de difusión.
Una VLAN es un dominio de difusión propio.
Por lo tanto, una trama de difusión que envía un
dispositivo en una VLAN específica se reenvía
solamente dentro de esa VLAN.
Esto ayuda a controlar el alcance de las tramas de
difusión y su impacto en la red.
Las tramas de unidifusión y multidifusión también se
reenvían dentro de la VLAN de origen.
Tipos de VLAN
VLAN de datos
VLAN predeterminada
VLAN nativa
VLAN de administración
Tipos de VLAN
VLAN de voz
El tráfico VoIP depende del factor tiempo y requiere lo
siguiente:
• Ancho de banda garantizado para asegurar la calidad de la voz
• Prioridad de la transmisión sobre los tipos de tráfico de la red
• Capacidad para ser enrutado en áreas congestionadas de la red
• Demora inferior a 150 ms a través de la red
El VTP permite a un
administrador de red configurar
un switch de modo que propagará
las configuraciones de la VLAN
hacia los otros switches en la
red.
• IEEE 802.1q
• Vlan ID = Número 1 - 4096
Redundancia
•BID de la Raíz
•Costo hacia la Raíz
•BID propio
•Port ID por el cual me comunico
BID
Se modifica en
fracciones de
4096
Camino hacia la Raíz
Root port
2950#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32768
Address 0003.e334.6640
Cost 19
Port 23 (FastEthernet0/23)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
ALSwitch#
Pasos para la convergencia de STP
• Elegir el Puente Raíz (Root Bridge)
• Puertos Raíz
• Puertos designados
• Los otros puertos los bloqueamos
0005.5E9A.A08A
00D0.FF54.BC67
0090.0C77.8C96
000A.41C0.CDE3
0001.C954.E512
0002.17E9.B920
Ejemplo STP
Priority = 32768 0001.6427.AD64
0005.5E9A.A08A
00D0.FF54.BC67
0090.0C77.8C96
000A.41C0.CDE3
0001.C954.E512
0002.17E9.B920
Elegir el Puente Raíz
(Root Bridge)
• Paquetes de saludo
– Se usan para detectar vecinos y
formar adyacencias con ellos
EIGRP
• Paquetes de actualización
– Se usan para difundir
la información de enrutamiento
• Paquetes de reconocimiento
– Se usan para reconocer la
recepción de los paquetes
de actualización, consulta
y respuesta
EIGRP
• Paquetes de consulta
y respuesta
DUAL los usa para
la búsqueda de redes.
Paquetes de consulta
• - Pueden usar:
Unicast
Multicast
• Paquetes de respuesta
– - Usan solamente:
Unicast
• Función del protocolo de saludo:
– Detectar routers vecinos y establecer
adyacencias con ellos
• Características del protocolo de
saludo:
– Intervalo de tiempo para el envío de
paquetes de saludo:
En la mayoría de las redes, es de 5
segundos
Redes de accesos múltiples sin broadcast
multipunto:
– Unicast cada 60 segundos
Actualizaciones limitadas de EIGRP
• EIGRP sólo envía actualizaciones cuando hay un
cambio en el estado de la ruta
• Actualizaciones parciales
– Una actualización parcial incluye sólo la
información de la ruta que se ha modificado.
NO se envía la tabla de enrutamiento completa
• Actualizaciones limitadas
– Cuando una ruta se modifica, sólo se
notifica la modificación a los dispositivos
afectados
• La utilización de las actualizaciones limitadas
parciales por parte de EIGRP minimiza el uso
del ancho de banda
EIGRP
Algoritmo de actualización difusa (DUAL)
– Objetivo
• Es el método principal de EIGRP para evitar los
bucles de enrutamiento
– Ventaja del uso de DUAL:
• Proporciona convergencia rápida
mediante el mantenimiento de una
lista de rutas de respaldo sin bucles
EIGRP
• Distancia administrativa (AD)
– Se define como la confiabilidad de
la ruta de origen
• Distancias administrativas por defecto
de EIGRP:
– Rutas sumarizadas = 5
– Rutas internas = 90
– Rutas importadas = 170
Comando router eigrp
• El comando global que habilita eigrp es
– router eigrp autonomous-system
– - Todos los routers en el dominio de
enrutamiento EIGRP deben usar el mismo
número de identificación de proceso
(número de sistema autónomo)
Configuración básica de EIGRP
El comando network
• Funciones del comando network:
– Habilita las interfaces para transmitir y
recibir
las actualizaciones EIGRP
– Incluye la red o subred en las
actualizaciones EIGRP
• Router(config-router)#network
network-address
Configuración básica de EIGRP
• Comando network con una máscara wildcard
– - Esta opción se usa cuando se quiere configurar
EIGRP
para publicar subredes específicas
– - Ejemplo
– Router(config-router)#network network-
address [wildcard-mask]
Configuración básica de EIGRP
Verificación de EIGRP
• Los routers EIGRP deben establecer
adyacencias con sus vecinos antes de
poder enviar o recibir actualizaciones
• El comando para ver la tabla vecina y
comprobar que EIGRP ha establecido
adyacencias con los vecinos es:
– show ip eigrp neighbors
EIGRP
• El comando show
ip protocols
también se usa
para verificar si
EIGRP está
habilitado
Configuración básica de EIGRP
Análisis de la tabla
de enrutamiento
• El comando show ip route
se utiliza también para
verificar EIGRP
• Las rutas EIGRP se
designan en una tabla de
enrutamiento con la letra
“D”
• Por defecto, EIGRP resume
automáticamente las rutas
en el límite de la red
principal
EIGRP
Autenticación
• EIGRP puede:
– Cifrar la información de enrutamiento
– Autenticar la información de
enrutamiento
R1>ena
R1#conf t
R1(config)#key chain llavero
R1(config-keychain-key)#key-string llave1 Configuración de la
R1(config-keychain-key)#key-string password1 Autenticación
R1(config-keychain-key)#exit
R1(config-keychain)#exit
R1(config)#int se0/0/0
R1(config-if)#ip authentication key-chain eigrp 1 llavero
R1(config-if)#shutdown
R1(config-if)#no shutdown
Se habilita el uso de autenticación, no se
pierde la adyacencia, pero si se dejan de
recibir los update de DUAL,
R1(config-if)#ip authentication mode eigrp 1 md5
R1(config-if)#
%DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.0.8.90
(Serial0/0/0) is down: authentication mode changed
ACL extendidas
Asignación de números y nombres a ACL
Introducción a las máscaras wildcard en ACL
Ejemplo de ACL
access-list 2 deny host 192.168.10.10
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.0.0 0.0.255.255
access-list 2 permit 192.0.0.0 0.255.255.255
La sintaxis completa del comando de ACL estándar es la
siguiente:
Router(config)# access-list número-lista-acceso deny permit remark
origen [ wildcard-origen ] [ log ]