Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
El diseo de red top-down es una metodologa para disear redes que comienza
en las capas superiores del modelo de referencia de OSI antes de mover a las
capas inferiores. Esto se concentra en aplicaciones, sesiones, y transporte de datos
antes de la seleccin de routers, switches, y medios que funcionan en las capas
inferiores.
Marcos Huerta S.
Marcos Huerta S.
requerimientos,
Reduzca gastos.
Los tpicos
objetivos
tcnicos
son
adaptabilidad,
disponibilidad,
funcionalidad,
Uno de los principales objetivos de este capitulo es poder conversar con sus clientes en
trminos que ambos puedan entender.
Escalabilidad
La escalabilidad se refiere de cuanto es capaz de dar soporte al crecimiento del diseo
de la red. Uno de los principales objetivos para muchas empresas es que su red sea
altamente escalable, especialmente las empresas grandes que normalmente tienen un
crecimiento rpido tanto en usuarios, aplicaciones y conexiones de red. El diseo de red
que usted propone a un cliente debera ser capaz de adaptarse a aumentos del uso de
red y el alcance.
Disponibilidad
La disponibilidad se refiere a todo el tiempo que una red est disponible a usuarios y es
a menudo una meta difcil de alcanzar para los que disean la red, sta puede ser
expresada en porcentajes por ao, mes, semana, da u hora comparado con tiempo
total del periodo.
La palabra disponibilidad puede ser mal entendida por los usuarios para lo que se debe
ser muy cuidadoso en explicar en que consiste la disponibilidad de la red para ello se
puede usar la palabra fiabilidad que se refiere a varios factores, como la exactitud,
Disponibilidad esta asociada tambin con la resistencia que significa cuanto estrs
puede manejar la red con rapidez, que la red pueda manejar los problemas incluyendo
los de seguridad, brechas, desastres naturales y no naturales, errores humanos, fallas
del hardware o software.
Performance
Cuando se analiza los requerimientos tcnicos para el diseo de la red, se puede
convencer a los clientes para aceptar la performance de la red, incluyendo rendimiento,
exactitud, eficacia, tardanza, y tiempo de respuesta.
Analizar el estado actual de la red puede ayudar a ver que cambios se podran realizar
para que mejore la performance de la red. Las metas de la performance de la red estn
bastante ligada con las metas de la escalabilidad.
Seguridad
El diseo de la seguridad es uno de los aspectos ms importantes en el diseo de red
empresarial. Al incrementar las amenazas tanto dentro como fuera de la red de la
empresa se debe tener reglas y tecnologas de seguridad actualizadas e incorruptibles.
Las metas ms deseadas de muchas empresas es que los problemas de seguridad no
afecten a la habilidad de conducir los negocios de la empresa, osea que si se
presentara algn tipo de problema la empresa debe ser capaz de seguir con sus
actividades normales.
Manejabilidad (Administracin)
Cada cliente tiene objetivos y una forma de administrar la red diferente. Algunos clientes
tienen metas claras de cmo administrar la red y otras metas menos especficas. Si su
cliente tiene proyectos definidos, debe asegurarse que se documenten, porque usted
tendr que referirse a los proyectos seleccionando el equipo. En algunos casos, el
equipo tiene que ser excluido porque esto no soporta la administracin de funciones
que el cliente requiere.
Visio Corporations.
Visio Profesional.
NetSuite Development.
Usted tiene que investigar el direccionamiento de la capa de red que usa, el esquema de
direccionamiento que usa su cliente puede influenciar en la habilidad de adaptar su
nuevo diseo de red a los objetivos, aqu definir el mejor mtodo de direccionamiento
que se pueda usar para su diseo de red. Entre los cuales tenemos:
Subnetting.
Supernetting o Aggregations.
Summarization.
Cuando el diseo del cableado esta en exploracin, determine cuales son los equipos y
los cables que estn etiquetado en la red existente.
UTP categora 5
Cable coaxial
Microondas
Radiofrecuencia.
Lser
Infrarrojo
Este seguro que no tenga ningn problema legal a la hora de tender un cableado, por
ejemplo al cruzar un cableado por una calle donde tenga que romper pistas.
Aire acondicionado.
Calefaccin.
Ventilacin.
Si la red es muy grande para estudiar todos sus segmentos, preste mayor atencin en
la red de backbone antigua y las nuevas reas que se conectan as como redes que se
integran al backbone.
Por ejemplo capturar la circulacin la red con un analizador de protocolo como parte de
tu anlisis de la lnea bsica, podra identificar cuales de los protocolos estn realmente
trabajando en la red y no contar con la creencia de los clientes (ethereal).
Los problemas de la red no son usualmente causados por los envos de malas
estructuras de tramas. En el caso token ring (La red Token-Ring es una implementacin
del standard IEEE 802.5, en el cual se distingue ms por su mtodo de transmitir la
Algunos clientes no reconocen el valor de estudiar las redes existentes antes del diseo
y la implementacin. Los clientes generalmente se avocan por un diseo rpido por lo
cual puede hacer difcil poder dar marcha atrs y insistir en tiempo para desarrollar la
performance precisa de la red existente. Un buen entendimiento de los objetivos
tcnicos y de negocio del cliente pueden ayudar a decidir que cantidad de trfico deber
analizar en la red.
Dirjase a los ingenieros de red y tcnicos sobre las causas de los perodos ms
recientes y ms perjudiciales del tiempo de indisponibilidad.
Para medir la utilizacin del ancho de banda por protocolo, coloque un analizador de
protocolo en cada segmento de la red principal y llena una tabla como la mostrada en la
figura. Si el analizador soporta porcentajes relativos y absolutos, especifique el ancho
de banda usada por protocolos en comparacin al total de ancho de banda en uso. Uso
relativo especifica cuanto ancho de banda es usada por protocolo en comparacin con
el ancho de banda total actualmente en uso en el segmento. Uso absoluto especifica
cuanta ancho de banda es usada por protocolo en comparacin con la capacidad total
del segmento (por ejemplo, en comparacin con 100 Mbps en Fast Ethernet).
Con redes por paquete switchados, hace ms sentido de medir el paquete (packer) de
errores porque un paquete entero es considerado malo si un solo bit es cambiado o
descartado. En redes por paquete switchados, una estacin de envo calcula un ciclo de
redundancia CRC basado en los bits del paquete. La estacin de envo reemplaza el
valor del CRC en el paquete. Una estacin de recepcin determina si el bit ha sido
cambiado entonces descarta el paquete y vuelve a calcular el CRC otra vez y
comparando el resultado con el CRC del paquete. Un paquete con CRC malo es
descartado y debe ser transmitido de nuevo por el remitente. Por lo general un
protocolo de capa superior tiene el trabajo de transmitir de nuevo los paquetes que no
se ha reconocidos.
Adems del rastreo de errores de capa de enlace de datos, como errores CRC, un
anlisis del performance preciso debera incluir la informacin en problemas de capa
superior. Un analizador de protocolo que incluye un sistema experto, como WildPackets
EtherPeek NX analizador de red, se apresura la identificacin de problemas de capa
La exactitud tambin debera incluir una medida de paquetes perdidos. Usted puede
medir paquetes perdidos midiendo el tiempo de respuesta.
Enviando paquetes para medir cuanto tiempo este toma para recibir una respuesta,
documente cualquier paquete que no recibe una respuesta, probablemente porque la
peticin o la respuesta fue perdido. Correlacione la informacin sobre paquetes
perdidos con otras medidas de interpretacin para determinar si los paquetes perdidos
indican una necesidad de aumentar el ancho de banda, para disminuir errores CRC, o
mejorar dispositivos de funcionamiento entre redes. Usted tambin puede medir
paquetes perdidos mirando la estadstica guardada por gestores de trfico en el nmero
de paquetes descartados de colas de salida o entrada.
Por otra parte, el aumento del MTU es a veces necesario en interfaces del router de
aquellos que usan tneles. Los problemas pueden ocurrir cuando una cabecera
suplementario es aadido por el tnel hace que el paquete sean ms grandes que falta
MTU. Un sntoma tpico de este problema es que los usuarios pueden ping y Telnet,
pero no usar el Protocolo de Transferencia de Hipertexto (HTTP), FTP, y otros
protocolos que usan los paquetes grandes. Una solucin es aumentar el MTU en el
interfaz del router.
Para determinar si los objetivos de su cliente para la eficacia de red son realistas, usted
debera usar un analizador de protocolo para examinar los tamaos de los paquetes
que se usa en la red. Muchos analizadores de protocolo le dejan tabla de salida como el
que se especifica en la figura 3.7
La caracterizacin del flujo de trfico implica identificar fuentes y destinos del trfico de
red y analizar la direccin y la simetra de datos que viajan entre fuentes y destinos. En
algunas aplicaciones, el flujo es bidireccional y simtrico. (Ambos finales del flujo envan
el trfico en aproximadamente el mismo precio.) En otras aplicaciones, el flujo es
bidireccional y asimtrico. Las estaciones de cliente envan pequeas preguntas y los
servidores envan grandes corrientes de datos. Los broadcast de una aplicacin, el flujo
es unidireccional y asimtrico. Esta seccin habla de la caracterizacin de la direccin y
la simetra del flujo de trfico en una red existente y anlisis del flujo para nuevas
aplicaciones de red.
Para entender mejor el comportamiento de flujo de trfico, usted puede leer la Peticin
de Comentarios (RFC) 2722, "Medida de Flujo de Trfico: Arquitectura." El RFC 2722
describe una arquitectura para la medida y reportaje de flujos de trfico de red, y habla
como la arquitectura est relacionada con una arquitectura de flujo de trfico total para
el intranet y el Internet.
Un flujo individual de trfico de red puede ser definido como protocolo e informacin de
aplicacin transmitida entre entidades que se comunican durante una sesin sola. Un
flujo tiene atributos como direccin, simetra, caminos de enrutamiento, opciones de
enrutamiento, nmero de paquetes, nmero de bytes, y se dirige el flujo hacia una
direccin final. Una entidad que se comunica puede ser un sistema de final (host), una
red, o un sistema autnomo.
Usted puede usar el formulario siguiente descirto para documentar informacin sobre la
direccin y volumen de flujos de trfico. El objetivo es documentar los Kilobytes o
Mbytes por segundo entre pares de sistemas autnomos, redes, hosts, y aplicaciones.
Para conseguir la informacin para llenar los formularios, coloque un dispositivo que
monitoree el core de la red y djele coleccionar datos por uno o dos das. Para
conseguir la informacin para llenar la columna de Path, usted puede encender la
opcin de grabar-ruta de registro en una red de IP. La opcin de ruta de registro tiene
algunas desventajas, sin embargo. Esto no apoya redes muy grandes y es a menudo
minusvlido para razones de seguridad. Usted tambin puede estimar el path mirando
la tabla de encaminamiento y anlizando el trfico de red en multiples segmentos.
Una tcnica buena para caracterizar flujo de trfico de red debe clasificar aplicaciones
que soportan una de los tipos de flujo conocidos:
Los clientes envan preguntas y peticiones a un servidor. El servidor responde con datos
o el permiso para el cliente para enviar datos. El flujo es por lo general bidireccional y
asimtrico. Las peticiones del cliente son tpicamente pequeos paquetes, excepto
cuando escribe datos al servidor, en cuyo caso ellos son ms grandes. Las respuestas
del servidor son de un rango de 64 bytes a 1500 bytes o ms, dependiendo del tamao
maximo del paquete.
una
aplicacin de navegador de web, como Netscape, para poder conectarse con el servidor
web. El flujo es bidireccional y asimtrico. Cada sesin a menudo dura slo unos
segundos porque los usuarios tienden a saltar de un sitio Web al otro.
Cada dispositivo es considerado tan importante el uno como el otro, y ningn dispositivo
tiene considerablemente ms datos que el otro dispositivo. En pequeos ambientes de
LAN, loa administradores de red a menudo establecen las configuraciones con los
ordenadores personales en un punto a punto de modo que cada uno pueda tener
acceso a datos de cada uno e impresoras. No hay ningn servidor de archivo central o
servidor de impresora. Otro ejemplo de punto a punto el ambiente es preparado para
multiusuarios UNIX o host donde los usuarios establecen FTP, Telnet, HTTP, y sesiones
de Sistema de Archivos de Red entre host.
Cada host acta tanto como cliente y como servidor. Hay muchos flujos en ambas
direcciones.
Un otro ejemplo de aplicacin punto a punto es una reunin de negocios entre la gente
de una empresa en sitios remotos usando equipos de videoconferencia. En una
reunin, cada asistente puede comunicar tantos datos como son necesarios en
cualquier momento. Todos los sitios tienen las mismas exigencias QoS. Una reunin es
diferente para cada situacin donde la videoconferencia es usada para diseminar la
informacin. Con la diseminacin de informacin, como una clase de formacin o un
discurso por un presidente corporativo a empleados, la mayor parte de los datos fluyen
del sitio central. Unas preguntas son permitidas de los sitios remotos. La diseminacin
de informacin es por lo general puesta en prctica usando un modelo de
cliente/servidor.
Los servidores manejan las aplicaciones por algunos mismos motivos, sino tambin
hacer cumplir polticas de seguridad y actualizar datos de direccin de red.
Con el trfico de red de servidor/servidor, el flujo es generalmente bidireccional. La
simetra del flujo depende de la aplicacin. Con la mayor parte de aplicaciones de
servidor/servidor, el flujo es simtrico, pero en algunos casos esto es heredado de
servidores, con algunos servidores que envan y y almacenan ms datos que otros.
El nmero de estaciones.
Si usted investiga tipos de flujo de trfico, como hablado antes en este captulo, usted
puede desarrollar estimaciones ms precisas de la carga.
En vez de asumir que todas las estaciones tienen calidades similares que generan
carga, usted puede asumir que las estaciones usando una aplicacin particular tienen
calidades similares que generan carga. Las asunciones pueden ser hechas sobre
tamao de paquete y tiempo ocioso para una aplicacin despus de que usted ha
clasificado el tipo de flujo y ha identificado los protocolos usado por la aplicacin.
Para una aplicacin de cliente/servidor, el tiempo ocioso para el servidor depende del
nmero de clientes que usan al servidor, y la arquitectura y las caractersticas de
interpretacin del servidor (velocidad de acceso de disco, velocidad de acceso de RAM,
caching mecanismos, etctera).
Adems de la identificacin del nmero total de usuarios para cada aplicacin, usted
tambin debera documentar la informacin siguiente:
banda agregada para todos los usuarios de una aplicacin. Si no es prctico investigar
estos detalles, usted puede hacer algunas conclusiones:
Usted puede asumir que todas las aplicaciones son usadas todo el tiempo de modo
que su clculo de ancho de banda sea un caso pico de estimacin (mxima).
Usted puede asumir que cada usuario abre slo una sesin y que una sesin dura
todo el da hasta que el usuario cierre la aplicacin al final de da.
Los nuevos protocolos de encaminamiento, como OSPF y EIGRP, usan ancho de banda
muy pequea. En caso de OSPF, su preocupacin principal debera ser la cantidad de
ancho de banda consumida por los paquetes de sincronizacin de base de datos que
los routers de trfico envan cada 30 minutos. Subdividiendo una red de OSPF en reas
y usando la ruta sumarizada, este trfico puede ser minimizado. Otro trfico de
sincronizacin de base de datos, es el nico trfico que OSPF enva despus de la
inicializacin es pequeo paquete Hello cada 10 segundos.
El EIGRP tambin enva paquetes Hello, pero con ms frecuencia que OSPF (cada 5
segundos). Por otra parte, EIGRP no enva ninguna actualizacin de ruta peridica o
paquetes de sincronizacin de base de datos. Esto slo enva actualizaciones de ruta
cuando hay cambios en la topologa.
Comportamiento de Broadcast/Multicast
Un paquete de broadcast que va a todas las estaciones de red en un LAN. En la capa
de enlace de datos, la direccin de destino de un paquete de broadcast es
FF:FF:FF:FF:FF:FF (todos 1s en el binario). A paquete de multicast es un paquete que
va a un subconjunto de estaciones. Por ejemplo, un paquete destinado a
01:00:0C:CC:CC:CC va a routers de trfico Cisco e switches que dirigen el Protocolo de
Descubrimiento Cisco (CDP) en un LAN.
Los dispositivos de capa 2 , como switches y bridge, envian los paquetes de broadcast
y multicast a todos los puertos. El envi de paquetes de broadcast y multicast puede ser
un problema de escalabilidad para grandes edificaciones de (switches o bridge) redes.
Un router no envia trfico de broadcast o multicast. Todos los dispositivos en un lado de
un router son considerados la parte de un solo dominio de bradcast.
La tarjeta de interfaz de red (NIC) con una estacin de red pasa broadcast y multicast
relevantes a la CPU de la estacin. Algunos NICs pasan todas las multicast a la CPU,
aun cuando las multicast no son relevantes, porque las NICs no tienen el software de
conductor que es ms selectivo. El software de conductor inteligente puede decir una
NIC que multicast pasa a la CPU. Lamentablemente, no todos los conductores tienen
esta inteligencia. Las CPUs en las estaciones de red se hacen abrumadas tratando de
procesar niveles altos de broadcast y multicast. Si ms del 20 por ciento del trfico de
red es broadcast o multicast, la red tiene que ser segmentada usando routers o VLANs.
subred de mal asignada puede hacer que una estacin enve paquetes de ARP
innecesariamente porque la estacin no se distingue correctamente entre estacin y
direcciones de broadcast, hacindolo enviar ARPs para direcciones de broadcast.
Cuando diseamos una topologa de red, se cubrir en secciones mas adelante mas
detalladamente, mostramos una tabla de recomendaciones para limitar el nmero de
estaciones en un dominio de broadcast solo basada en el protocolo (s) de escritorio en
uso.
Eficacia de Red
La caracterizacin del comportamiento de trfico de red requiere la ganancia de un
entendimiento de la eficacia de las nuevas aplicaciones de red. Eficacia se refiere a si
las aplicaciones y los protocolos usan el ancho de banda con eficacia. La eficacia es
afectada por el tamao del paquete, la interaccin de protocolos usados por una
aplicacin, windowing y control de flujo, y mecanismos de recuperacin de error.
usar en el nuevo diseo de red, el MTU puede ser configurado para algunas
aplicaciones.
Interaccin de Protocolo
La ineficiencia en redes no es causada slo por pequeos tamaos de paquetes. La
ineficiencia tambin es causada por la interaccin de protocolos y la no correcta
configuracin de temporizadores de reconocimiento y otros parmetros.
Las nuevos implementaciones TCP tambin ponen en prctica ACK selectivo (SACK),
esta descrito en el RFC 2018. Sin el SACK, esta predispuesto al error, los altos caminos
de tardanza pueden experimentar que el rendimiento baje debido al camino que TCP
reconoce datos. Los reconocimientos de TCP (ACKs) son acumulativos hasta el punto
donde un problema ocurre. Si los segmentos pierden el nmero de ACK es uno ms
que el nmero del ltimo byte que fue recibido antes de la prdida, aun si ms
segmentos llegaran despus de la prdida. No hay ningn camino para el receptor para
recibir algn reporte de un agujero en los datos recibidos. Este hace que el remitente
espere un tiempo de ida y vuelta para averiguar sobre cada segmento perdido, o
retransmita de nuevo innecesariamente segmentos que el recipiente puede haber
recibido correctamente.
secuencia recibida para bloques y otra opcin TCP para informar al recipiente durante
el apretn de manos de tres caminos que el host soporta SACK.
Slo conociendo los requerimientos de carga (ancho de banda) para una aplicacin no
es suficiente. Usted tambin tiene que conocer si los requerimientos son flexibles o
inflexibles. Algunas aplicaciones siguen trabajando (aunque despacio) cuando el ancho
de banda no es suficiente. Otras aplicaciones, como voz y aplicaciones de vdeo, son
dadas intiles si un cierto nivel del ancho de banda no est disponible. Adems, si usted
tiene una mezcla de aplicaciones flexibles e inflexibles en una red, usted tiene que
determinar si es prctico tomar prestada el ancho de banda de la aplicacin flexible
para guardar el funcionamiento de aplicacin inflexible.
Siguiendo esta seccin siguiente que analiza los requerimientos de QoS usando ATM e
Internet la tcnica Engineering Task Force (IETF). El objetivo de estas secciones es
introducirle en la terminologa del ATM y IETF que los ingenieros usan para clasificar el
trfico y especificar los requerimientos de QoS por clases de trfico. Aunque el material
sea muy altamente tcnico y detallado, esto debera darle alguna idea fundamental
sobre la clasificacin de los tipos de aplicaciones que jugarn una parte en su diseo de
red y estar preparado para futuros captulos que cubren estrategias de diseo y
optimizacin de redes que pueden encontrar las necesidades de varias aplicaciones.
cierto tipo del servicio de red. Estos parmetros incluyen tardanza y variacin del
tamao de tardanza, prdida de datos, y picos de trfico mximo, sostenible, y mnimos.
Aunque usted debiera sustituir la palabra celda con paquete en algunos casos, las
definiciones de Foro de ATM pueden ayudarle a clasificar aplicaciones en cualquier red,
hasta redes que no son ATM.
El Foro de ATM define seis categoras de servicio, cada uno de las cuales es descrito
ms detalladamente en esta seccin:
Las categoras de servicio son distinguidas al comienzo siendo tiempo real o tiempo no
real. El CBR y rt-VBR son categoras de servicio de tiempo real. Las aplicaciones de
tiempo real, como voz y aplicaciones de vdeo, requieren la variacin de tardanza y
tardanza
fuertemente
obligada.
Las
aplicaciones
en
tiempo
no
real,
como
de
parmetros
de
celdas
mxima
(maxCTD)
son
del
valor
Un nodo de red que acepta una peticin del servicio de control-carga debe usar
funciones de control de admisin para asegurar que los recursos adecuados estn
disponibles para manejar el nivel solicitado del trfico, como definido por las solicitudes
TSpec . Los recursos incluyen el ancho de banda del, router o el espacio del buferpuerto del switch, y la capacidad computacional del motor que avanza el paquete.
Servicio Garantizado
El RFC 2212 describe el comportamiento requerido del nodo de red llamado a entregar
un servicio garantizado esta caractersticas garantiza tanto la tardanza como ancho de
banda. El servicio garantizado proporciona la firma (matemticamente probable) en la
tardanzas de punta a punta que hacen cola paquete. Esto no intenta minimizar la
inquietud y no est preocupado por reparar la tardanza, como la tardanza de
transmisin. (Reparar la tardanza es una propiedad del camino elegido, que es
determinado por el mecanismo de sistema, como RSVP.)
El servicio garantizado garantiza que los paquetes llegarn dentro del plazo de entrega
garantizado y no sern descartado debidos a desbordamientos, condicin de que el
trfico del flujo es conformado por TSpec. Una serie de nodos de red que ponen en
prctica la implementacin del RFC 2212 esta asegura un nivel de ancho de banda,
cuando es usado por un flujo regulado, produce un servicio salto-tardanza sin la prdida
de cola (asumiendo que no falla ningn componentes de red o cambios de la
encaminamiento durante la vida del flujo).
El servicio garantizado es requerido para aplicaciones que necesitan una garanta que
un paquete no llegar ms tarde que un cierto tiempo despus de que fue transmitido
por su fuente. Por ejemplo, algunas aplicaciones de repeticin de audio y de vdeo son
intolerantes de un paquete que llega despus de su tiempo de repeticin esperado. Las
aplicaciones que tienen exigencias de tiempo real tambin pueden usar el servicio
garantizado.
anchos de banda. El rango no intenta implicar tanto a un nodo de red tiene que soportar
el rango de la red entera.
Para aplicaciones de voz, usted debera hacer ms de una entrada en Tabla Nro. 07
debido a los requerimientos diferentes de flujo de control de llamada y la corriente de
audio. El flujo de control de llamada, se usa para establecer llamadas perdidas, no tiene
coacciones de tardanza estrictas, pero esto requiere una alta disponibilidad de red y
puede haber un requerimiento GoS que debera ser especificada. Para la corriente de
voz, la clasificacin QoS debera ser puesta en una lista usando el trmino de ATM o el
trmino de IETF servicio garantizado.
Resumen de Identificando objetivos y necesidades del cliente
En este punto en el proceso de diseo de red, usted ha identificado las aplicaciones de
red de un cliente y los requerimientos tcnicas para un diseo de red que puede apoyar
las aplicaciones.
Usted debera ser capaz ahora de analizar los objetivos comerciales y tcnicos de un
cliente y estar listo a comenzar a desarrollar un diseo de red lgico y fsico. "Diseo de
Red
Lgico,"
que
disean
una
topologa
de
red
lgica,
desarrollando
el
Este captulo proporciona tips tanto para diseo de redes WAN de campus como
empresariales, y se concentra en el diseo de red jerrquico, que es una tcnica para
disear campus escalable y redes WAN usando un modelo modular por capas. Adems
del diseo de red jerrquico, en esta seccin tambin cubre topologas de diseo de red
redundantes y topologas con objetivos de seguridad. (La seguridad es cubierta ms
detalladamente en la Parte 8, "Desarrollo de la Seguridad de Red.") Este captulo
tambin cubre el Modelo de Red Empresarial Compuesta, que es la parte de la
Arquitectura Segura Empresarial de Cisco (SAFE).
Cada capa puede ser enfocada en funciones especficas, permitindole elegir los
correctos sistemas y caracteristicas para la capa. Por ejemplo, en La figura 11, routers
WAN de alto velocidad puede llevar el trfico a travs del backbone WAN de la
empresa, los routers de velocidad media pueden unir edificios en cada campus, y los
switches pueden conectar dispositivos de usuario y servidores dentro de edificios.
Una Capa Core de routers y switches de alta velocidad que son optimizados para
disponibilidad e performance.
Una Capa de Acceso que une en la parte inferior a usuarios va switches y puntos
de acceso inalmbricos.
El diseo jerrquico facilita cambios. Cuando los elementos en una red requieren el
cambio, el coste de hacer una mejora est contenido a un pequeo subconjunto de la
red total. En cambio las grandes arquitecturas de red, los cambios tienden a afectar un
nmero grande de sistemas. La sustitucin de un dispositivo puede afectar numerosas
redes debido a las interconexiones complejas.
Cuando usted ya sabe aadir un nuevo edificio, piso, enlaces WAN, sitio remoto,
servicio de e-comercio, etctera.
Cuando las nuevas adiciones causan el cambio local solo a los dispositivos
directamente relacionados.
Figura Nro. 12
Una topologa de loop plana no es generalmente recomendada para redes con muchos
sitios, sin embargo. Una topologa de loop plana puede significar que hay muchos saltos
entre routers en lados opuestos del loop, causando la tardanza significativa y una alta
probabilidad de fracaso. Si su anlisis del flujo de trfico indica que los routers en los
lados opuestos de una topologa de loop cambian mucho el trfico, usted debera
recomendar una topologa jerrquica en vez de una de loop. Para evitar cualquier punto
falle, los routers redundantes o los switches pueden ser colocados en capas superiores
de la jerarqua, como mostrado en la figura 12.
Con un diseo jerrquico, los dispositivos de redes pueden ser desplegados para hacer
el trabajo que ellos hacen mejor. Los routers pueden ser aadidos a un diseo de red de
campus para aislar el trfico de broadcast. Los switches de alta capacidad se pueden
desplegar para maximizar el ancho de banda para aplicaciones de trfico alto, y los
switches finales de baja capacidad se pueden usar cuando, el acceso barato es
requerido. Maximizar la performance total por modularizacin las tareas requeridas de
los dispositivos de red es una de las muchas ventajas de usar un modelo de diseo
jerrquico.
tiene menos conexiones. Alcanzar otro router o switch en una red de malla parcial
podra requerir enlaces intermedios que cruzar, como mostrado en la figura 14
Figura Nro. 14
En una topologa de malla completa, cada router o switch est conectado otro routers o
switch. El nmero de enlaces en una topologa de malla completa es como sigue:
(N * (N 1)) / 2
El N es el nmero de routers o switches.
Aunque las redes de malla presenten una buena fiabilidad, ellos tienen muchas
desventajas si ellos no son diseados con cuidado. Las redes de malla pueden ser
caras de desplegar y mantener. (Una red de malla completa es sobre todo cara.) las
redes de Malla tambin pueden ser difciles de optimizar, resolver fallas, y actualizar, a
menos que ellos sean diseados usando un modelo simple, jerrquico. En una
topologa de malla no jerrquica, los dispositivos de redes no son optimizados para
funciones especficas. Contener problemas de red es difcil debido a la carencia de
modularidad. Las mejoras de red son problemticas porque es difcil mejorar slo una
parte de una red.
Las redes de malla tienen lmites de escalabilidad para grupos de routers que
transmiten encaminamiento de broadcast o publicacin de servicio. Como el nmero de
CPU de routers aumenta las adyacencias, la cantidad de ancho de banda y recursos de
CPU dedicados a procesamiento de actualizaciones tambin aumenta.
Una buena regla bsica es que usted debera aplicar es el trfico de broadcast este en
menos del 20 % en cada enlace. Esta regla limita el nmero de routers adyacentes que
pueden cambiar las tablas de encaminamiento y publicacin de servicio. Esta limitacin
no es un problema, sin embargo, si usted sigue las pautas para el diseo jerrquico. Un
diseo jerrquico, en su misma naturaleza, limita el nmero de adyacencias de routers.
Aunque el modelo fuera desarrollado a la vez cuando los routers delinearon capas, el
modelo puede ser usado para redes conmutadas as como redes ruteadas. Las
topologas jerrquicas de tres capas son mostradas en la figura 12 y La figura 15.
Cada capa del modelo jerrquico tiene un papel especfico. La capa core proporciona el
transporte ptimo entre sitios. La capa de distribucin conecta servicios de red a la capa
de acceso, y implementa polticas de seguridad, carga de trfico, y encaminamiento. En
un diseo WAN, la capa de acceso consiste en routers de borde de las redes de
campus. En una red de campus, la capa de acceso proporciona switches o hubs para el
acceso de usuario final
La Capa Core
El capa core de una topologa jerrquica de tres capas es la columna vertebral rpida
de las redes. Como la capa core es crtica para la interconectividad, usted debera
disear la capa core con componentes redundantes. La capa core debera ser muy
confiable y debera adaptarse a cambios rpidamente.
El core debera tener un dimetro limitado y consistente. Los routers de trfico de capa
de distribucin (o switches) y clientes LANs pueden ser aadidos al modelo sin
aumentar el dimetro del core. La limitacin del dimetro del core proporciona un
previsible performance y la facilidad de la solucin de problemas.
Para clientes que tienen que conectarse a otras empresas va un extranet o el Internet,
la topologa core debera incluir uno o varios enlacess a las redes externas. Los
administradores
de
red
corporativos
deberan
desplegarse
regionalmente
Del mismo modo, algunas oficinas remotas con IPSec conectividad de VPN cambian
lejos del acceso en los sitios remotos donde los usuarios tienen el acceso local a
Internet adems del acceso de IPSec remoto a la oficina central corporativa. A pesar del
gasto de ancho de banda, obligando todo el acceso externo a pasar por el core de los
medios de red que tienen slo una seguridad estructurada para administrar, que es un
modo bueno de evitar problemas de seguridad.
La Capa de Distribucin
La capa de distribucin de la red es el punto de demarcacin entre el acceso y las
capas core de la red. La capa de distribucin tiene muchos roles, incluso el control del
acceso a recursos por razones de seguridad, y control del trfico de red que cruza el
core por motivos de performance. La capa de distribucin es a menudo la capa que
delinea el dominio de broadcast, (aunque este pueda ser hecho en la capa de acceso
tambin). En
diseos de red que incluyen LANs virtuales (VLANs), la capa de distribucin puede ser
configurada para rutear entre VLANs.
La capa de distribucin permite que la capa core conecte los sites que corren en
diferentes protocolos manteniendo un alto performance. Para mantener un buen
performance en el core, la capa de distribucin puede redistribuir entre la capa de
acceso el intenso ancho de banda de protocolo de encaminamiento y optimizar los
protocolos de encaminamiento del core. Por ejemplo, quizs un site en la capa de
acceso todava dirige un protocolo ms viejo, como IGRP. La capa de distribucin puede
redistribuir entre IGRP en la capa de acceso e EIGRP realzado en la capa core.
La Capa de Acceso
La capa de acceso proporciona a usuarios locales de segmento el acceso a las redes.
La capa de acceso puede incluir routers, switches, puentes, hubs para compartirmedios, y puntos de acceso inalmbricos. Como mencionado, los switches a
frecuentemente son implementado en la capa de acceso en redes de campus para
dividir los dominios de ancho de banda para encontrar las demandas de aplicaciones
que necesitan mucho ancho de banda o no pueden resistir la tardanza variable
caracterizada por el ancho de banda compartida.
remotos. (DDR guarda un enlace inactivo menos cuando el trfico especificado tiene
que ser enviado.)
Pautas para el Diseo de Red Jerrquico
Esta seccin brevemente describe algunas pautas para el diseo de red jerrquico.
Despus de estas pautas simples le ayudar a disear redes que aprovechan las
ventajas del diseo jerrquico.
La primera pauta es que usted debera controlar el dimetro de una topologa de red de
empresa jerrquica. En la mayor parte de casos, tres capas principales son suficientes
(como se mostrado en La figura 15):
La capa core
La capa de distribucin
La capa de acceso
El control del dimetro de red proporciona la latencia baja y previsible. Esto tambin le
ayuda a predecir caminos de enrutamiento, flujos de trfico, y requerimientos de
capacidad. Un dimetro de red controlado tambin hace la solucin y la documentacin
de red ms fcil.
Adems de la evitacin de cadenas, usted debera evitar puertas traseras. Las puertas
traseras es una unin entre dispositivos en la misma capa, que mostrado en La figura
17. Una puerta trasera puede ser un router suplementario, puente, o switch aadido
para unir dos redes. Las puertas traseras deberan ser evitadas porque ellos causan la
enrutamiento inesperado y problemas de conmutacin y hacen la documentacin de red
y la solucin ms difcil.
Finalmente, otra pauta para el diseo de red jerrquico es que usted debera disear la
capa de acceso primero, seguido de la capa de distribucin, y luego finalmente la capa
core. Comenzando con la capa de acceso, usted puede realizar ms exactamente la
planificacin de performance para la capa de distribucin y core. Usted tambin puede
reconocer las tcnicas de optimizacin que usted necesitar para la capa de
distribucin y core.
Usted debera disear cada capa usando tcnicas modulares y jerrquicas y luego
planear las interconexiones entre capas basadas en su anlisis de carga de trfico,
flujo, y comportamiento. Para entender mejor caractersticas de trfico de red usted
puede examinar los conceptos cubiertos en la Fase II. Cuando usted selecciona
tecnologas para cada capa, descrito en La Fase III de, "Diseo de Red Fsico," usted
podra tener que volver y recordar el diseo para otras capas. Recuerde que el diseo
de red es un proceso iterativo.
redundantes.
Otras
organizaciones
tratan
de
realizar
gastos
Caminos de Reserva
Para mantener la interconectividad aun cuando uno o varios enlacess estn cados,
diseamos la red redundante que incluye un camino de reserva para paquetes para
viajar cuando hay problemas en el camino primario. A camino de reserva consiste en
individuales routers e switches y enlacess de reserva entre routers e switches, que
duplican dispositivos y enlacess en el camino primario.
Usted puede usar un instrumento que modela red para predecir la performance de la
red cuando el camino de reserva est en el uso. A veces la performance es peor que el
camino primario, pero todava aceptable.
Otra consideracin importante con los caminos de reserva consiste en que ellos deben
ser probados. A veces los diseadores de red desarrollan soluciones de reserva que
nunca son probadas hasta que una catstrofe pase. Cuando la catstrofe ocurre, los
enlacess de reserva no trabajan. En algunos diseos de red, los enlacess de reserva
son usados para compartir carga que redundancia. Este tiene la ventaja que el camino
de reserva es una solucin probada que es con regularidad usada y supervisada como
una parte de operaciones cotidianas. Hablan de la carga que comparte ms
detalladamente en la siguiente seccin.
Carga Compartida
El objetivo primario de la redundancia es encontrar los requerimientos de disponibilidad.
Un segundo objetivo es mejorar la performance soportando la carga compartida a
travs de enlacess paralelos. La carga compartida, algunas veces llamado el equilibrio
de carga, permite que dos o ms interfaces o caminos compartan la carga de trfico.
Borde abastecedor de servicio. Los mdulos en esta rea funcional no son puestos
en prctica por la empresa. Los mdulos de borde abastecedor de servicio son
incluidos para habilitar la comunicacin con otras redes usando tecnologas WAN
diferentes y Proveedores de Internet (ISPs).
IP
switches con
la capacidad de enrutamiento)
y proporciona
El spanning tree que atraviesa tiene un puente de raz y un juego de puertos en otros
switches que envan el trfico hacia el puente de raz. El protocolo dinmicamente
selecciona puertos del switch para incluir en la topologa de spanning tree para
determinar los caminos de costo ms bajo al puente de raz. Los puertos del switch que
no son la parte del rbol son deshabilitados de modo que haya un y slo un camino
activo entre cualquier dos estacin. El camino de costo ms bajo es por lo general el
camino de ancho de banda ms alta, aunque el costo sea configurable.
Los switches envan la Unidad de Datos de Protocolo de Puente (BPDU) de paquetes
de uno al otro para construir y mantener el spanning tree. Los switches envan
mensajes de
cambio de topologa BPDUs cuando los puertos de switch cambian el estado. Los
switch envan mensajes de BPDUs con direcciones multicast cada dos segundos para
mantener el spanning tree. La cantidad de trfico causado por los paquetes de BPDU
puede parecer excesiva cuando usted primero usa un analizador de protocolo en una
red conmutada, pero BPDUs realmente no usa mucho ancho de banda en la mayor
parte de redes, y el temporizador corto para enviar BPDUs es importante para el
proceso de convergencia.
Convergencia de STP
Los switches siguen cuatro pasos para convergir la topologa en spanning tree:
1.
2.
3.
4.
Finalmente, los switches determinan cual puertos del switch deben ser incluido en la
topologa de spanning tree. Los puertos seleccionados son los puertos de raz y
puertos designados. Estos puertos envan el trfico. Los otros puertos bloquean el
trfico.
Cuando primero inicializa, los switches asumen que ellos son la raz y transmiten los
mensajes de BPDUs en cada puerto con su puente ID en el campo de Puente de Raz.
Los switches ponen el costo de cero a la raz. Adems del envo de BPDUs, cada switch
recibe BPDUs en cada uno de sus puertos. El switch determina qu mensaje es el
mejor evaluando BPDUs recibido en el puerto as como el BPDU que esto enviara por el
puerto. Si un nuevo BPDU (o BPDU en la localidad generado) es mejor, entonces el
viejo mensaje es sustituido.
Para determinar mejor BPDU, el switch comprueba cuatro criterios,. Los cuatro criterios
son como sigue:
1.
2.
3.
4.
Despus de que la raz ha sido determinada, cada switch de no raz determina cual de
sus puertos es el ms cercano al puente de raz. Aquel puerto se hace el puerto de raz.
Los switches usan el concepto de costo para juzgar la proximidad a la raz. Los
switches rastrean un costo acumulativo de todos los enlacess al puente de raz. Cada
segmento de LAN tiene un costo. Tabla 12 muestra el valor por defecto de costo para
enlacess de velocidades diferentes.
El puente de raz es el switch con el ID del puente ms bajo. El ID del puente tiene dos
partes, un campo de prioridad y la direccin de MAC del switch. Si todas las prioridades
son dejadas en su valor por defecto, el switch o el puente con la direccin de MAC ms
baja se hacen la raz. Este podra ser fcilmente uno de los productos ms tempranos
de Cisco, porque Cisco tena a un vendedor ID tan bajo. (El vendedor ID arregla los
primeros 3 bytes de una direccin de MAC, y el vendedor original de Cisco ID era
00:00:0C.)
Cisco de Alta cualidad cambia tambin el soporte de seteo spantree raz macro. Este
macro hace que el switch mire la prioridad actuando del puente de raz. Si la prioridad
en el puente de raz existente es ms alta que 8,192, el macro automticamente pone la
prioridad local con 8,192. Si el puente de raz existente tiene una prioridad menos de
8,192, el macro pone la prioridad local con uno menos. Para configurar una raz de
reserva, use el juego spantree raz secundaria macro.
Guardia de Raz
Cisco tambin soporta las caracteristicas llamado la Guardia de Raz que protege su red
de un switch de velocidad baja secuestrando el trabajo del puente de raz. Un puerto de
switch configurado para la Guardia de Raz no puede hacerse un puerto de raz. En
cambio el puerto se hace un puerto designado para su segmento de LAN. Si hay mejor
BPDU recibido en el puerto, la Guardia de Raz incapacita el puerto, ms bien que toma
las BPDU en cuenta y reanudar la eleccin del puente de raz. Tienen que habilitar la
Guardia de raz en todos los puertos en todos los switches que no deberan hacerse el
puente de raz.
Si el puente de raz falla, otro switch espera hasta que su temporizador de Edad
Mximo expire y luego comience el proceso de asumir como el puente de raz. Si el
puente de raz no falla, pero un camino al puente de raz falla, el proceso es ligeramente
diferente. Si un camino alterno existe, un puerto bloqueado de switch entra en
transiciones, escucha, aprende, y transporta despus de que su temporizador de Edad
Mximo expira. Si un puerto de raz falla, otro puerto en el switch donde el falla ocurri
la transicin se pone directamente escucha y aprende sin esperar que el temporizador
de Edad Mximo a expirar.
Aunque haya situaciones donde las ramas enteras del spanning tree no son afectadas,
hay tambin muchas situaciones ms donde muchas ramas son afectadas y la
reconvergencia toma entre 30 y 50 segundos. Esta cantidad del tiempo puede ser ms
larga que los valores de intervalo de espera de sesin de capa superior. Las estaciones
de final pueden tener que reconectarse de nuevo a sus servidores o los host de
aplicaciones.
LANs virtuales
Una red de campus debera ser diseada usando pequeo ancho de banda y pequeas
dominios de broadcast. Un dominio de ancho de banda es un juego de dispositivos que
comparten el ancho de banda y compiten por el acceso al ancho de banda. Una
tradicional topologa bus o Ethernet a base de hub, por ejemplo, es un simple dominio
de ancho de banda. Un switch divide en domino de ancho de banda y a menudo es
usado para conectar cada dispositivo de modo que la red consista en muchos, muy
pequeas dominios de ancho de banda. Con switches, a diferencia de hubs,
los
Una LAN Virtual (VLAN) es una emulacin de un LAN estndar que permite que la
transferencia de datos ocurra sin las restricciones fsicas tradicionales colocadas en una
red. Un VLAN es un juego de dispositivos de LAN que pertenecen a un grupo
administrativo. El grupo administrativo est basado en parmetros de configuracin y
polticas administrativas ms bien que posicin fsica. Los miembros de un VLAN
comunican el uno con el otro como si ellos estuvieran en el mismo linea o hub, cuando
de hecho ellos pueden ser localizados en segmentos de LAN fsicos diferentes. Los
miembros de un VLAN se comunican con miembros de dierentes VLAN como si ellos
estuvieran en segmentos diferentes de LAN, aun cuando ellos son localizados en el
mismo switch. Como VLANs estn basados en conexiones lgico en vez de fsicas,
ellos son muy flexibles.
En los primeros das de VLANs a mediados de los aos 1990, haba mucha
conversacin sobre la utilizacin de VLANs a grupos de usuarios que trabajan en un
proyecto juntos, aunque ellos no fueran fsicamente localizados juntos. Con VLANs, la
posicin fsica de un usuario no importa. Un administrador de red puede asignar a un
usuario a una VLAN sin tener en cuenta la posicin del usuario. En la teora, la
asignacin de VLAN puede estar basada en aplicaciones, protocolos, requerimientos de
performance, requerimientos de seguridad, caractersticas de carga- trfico, u otros
factores.
Cuando los primeros switches se hicieron populares a mediados de los aos 1990,
muchas compaas implementaron redes de campus conmutadas grandes con pocos
routers. Los objetivos eran contener gastos usando switches en vez de routers, y
proporcionar una buena performance porque probablemente los switches eran ms
rpidos que routers. Sin la capacidad del router de contener trfico de broadcast, sin
embargo, las compaas necesitaron VLANs. Los VLANs permiten que la red plana
grande sea dividida en dominos de broadcast. Un router (o un enrutamiento dentro de
un mdulo de switch) todava es necesario para la comunicacin inter-VLAN.
Por la configuracin del switch hay ahora dos LANs virtuales implementadas en un solo
switch, en vez de dos LANs fsicos separados. Este es la belleza de VLANs. Los
broadcast, multicast, y el trfico de destino-desconocido que origina con cualquier
miembro de VLAN A son enviados a todos otros miembros de VLAN A, y no a un
miembro de VLAN B. El VLAN A tiene las mismas propiedades que un LAN fsica
separada por un routers. El comportamiento del protocolo en La figura 18 es
exactamente el mismo como el comportamiento del protocolo en La figura 19.
Las VLANs pueden atravesar mltiples switches. En La figura nro. 20, ambos switches
contienen estaciones que son miembros de VLAN A y VLAN B. Este diseo introduce un
nuevo problema, la solucin a la cual es especificado en el estandar IEEE 802.1Q y el
protocolo de enlace Inter-Switch patentado por Cisco (ISL). El problema tiene que ver
con el envio de broadcast, multicast, o paquetes de destino desconocido de un miembro
de una VLAN en un switch a los miembros de la misma VLAN en el otro switch.
En la Figura Nro 20, todos los paquetes que van del switch A para el switch B toman el
mismo camino de interconexin. El 802.1Q el estndar y el Cisco ISL protocolo definen
un mtodo para el switch B para reconocer si un paquete entrante pertenece a VLAN A
o a VLAN B. Cuando un paquete deja el switch A, una especial cabecera es aadido al
paquete, llamado etiqueta de VLAN. La etiqueta de VLAN contiene un identificador
VLAN (ID) que especifica a cual VLAN el paquete pertenece.
Como ambos switches han sido configurados para reconocer VLAN A y VLAN B, ellos
pueden intercambiar paquetes a travs del enlace de interconexin, y el switch de
recipiente puede determinar de cual VLAN aquellos paquetes deben ser enviados
examinando la etiqueta de la VLAN. El enlace entre los dos switches es a veces
llamado enlace-troncal o simplemente un troncal.
Los enlaces troncales permiten que el diseador de red junte cosas de las VLANs que
atraviesan multiples switches. Una consideracin de diseo principal determina el
alcance de cada VLAN y cuantos switches esto debera atravesar. Como mencionado
antes, la mayor parte de diseadores tratan de mantener pequeo el alcance. Cada
VLAN es un dominio de broadcast, y por recomendaciones especificadas en el captulo
anterior (ver Tabla 11), un domino de broadcast debera ser limitado con unos cientos
de estaciones de trabajo (u otros dispositivos, como telfonos de IP).
Gigabit ser requeridos para los enlaces troncales. Aunque Cisco soporta troncales de
Ethernet 10-Mbps en algn equipo, 10 Mbps es por lo general suficiente slo para
troncales que apoyan muy pequeas redes o para redes de laboratorio usadas para
aprender y probar objetivos.
LANs inalmbricos
Como hemos hablado en Fase I de esta tesis, la movilidad de usuario se ha hecho un
objetivo importante para muchas empresas. En un diseo de red de campus, una o
varios LANs inalmbricas (WLANs) pueden encontrar con este objetivo para ofrecer
intranet y acceso de Internet en reas abiertas en el campus y en reas de alta
densidad como auditorios, salas de conferencias, y cafeteras. La tecnologa de WLAN
tambin permite el despliegue de LANs en oficinas u otras partes de edificios donde
puede no ser rentable o prctico para instalar el tendido de cables.
a colocar sus antenas para la cobertura mxima (y aydarle a decidirse si usted puede
necesitar una antena direccional en vez de una antena omnidireccional).
Los puntos de acceso pueden ser montados en una posicin horizontal o vertical. Es
importante asegurarse que una antena omnidireccional seala directamente. Adems
de la antena de punto de acceso, tambin considere la antena en la recepcin de
estaciones, por lo general notebook. Cada NIC inalmbrica y computadora son
diferentes. Algunos ordenadores porttiles tienen antenas largas que se extienden de la
tarjeta por la espalda del ordenador porttil, detrs de la pantalla. Otras computadoras
pueden no tener una antena incorporada y deben confiar en una antena ms pequea
en el NIC. Usted debera probar su diseo de WLAN con una variedad de
computadoras y otros dispositivos que los usuarios actuales usarn.
Para una velocidad de transferencia de datos dada, usted puede cambiar el nivel de
poder o elegir una antena diferente para cambiar el rea de cobertura y la forma de
cobertura. Un tamao de celda grande puede causar a demasiados clientes que
comparten la amplitud de banda disponible. (IEEE 802.11 WLANs son redes
compartidas, con todos los dispositivos en el mismo dominio de ancho de banda.)
Reduciendo el punto de acceso seala el poder o la ganancia de antena, usted puede
reducir el tamao de celda y compartir el ancho de banda con menos clientes. Este
causar ms puntos de acceso para un rea de cobertura dada, pero proporcionar la
mejor performance para clientes
WLANs y VLANs
Usted puede colocar multiples puntos de acceso en todas partes de una instalacin
para dar a usuarios la capacidad de navegar libremente en todas partes de un rea
ampliada manteniendo el acceso ininterrumpido para conectar a los recursos de la red.
El mtodo ms fcil para usuarios que se aseguran puede navegar debe poner a todos
los usuarios en la misma subred de IP y mismo VLAN. Por otra parte, los dispositivos
que se mueven de la subred para subred deben adquirir una nueva direccin de IP y
pueden perder paquetes que podran haber sido transmitidos mientras ellos adquiran
una direccin.
Siempre que posible, un WLAN debera ser una subred separada para simplificar la
direccin de conexion y tambin mejorar el manejo de la seguridad. El cuidado de todos
los clientes inalmbricos en su propia subred hace ms fcil para establecer filtros de
trfico para proteger a los clientes de un ataque lanzado a la WLAN.
Usted debera colocar el punto de acceso de reserva cerca del punto de acceso esto
supervisar y le dar la misma configuracin (excepto una direccin de IP diferente). El
punto acceso de reserva asociados con el punto de acceso monitoreado de un cliente el
punto de acceso supervisado con regularidad es tanto por el interfaz de Ethernet como
por el interfaz de RF. Si el punto de acceso monitoreado deja de responder, el punto de
acceso de reserva se hace activo, y toma el lugar del punto de acceso supervisado en
la red.
Tan pronto como el primer punto de acceso que fallo es detectado nuevamente, la
intervencin del usuario es requerida. El usuario debera retornar el punto de acceso de
reserva al modo de reserva. La falla de reinicializar el punto de acceso de reserva
causa que tanto el punto de acceso primario como el de reserva funcionen
simultneamente en el mismo canal cuando el primer punto de acceso vuelve en lnea.
Cisco Por VLAN Spanning tree + (PVST +) construye por separado una topologa de
rbol lgico para cada VLAN. El PVST + permite la carga compartida teniendo
diferentes caminos por VLAN. El PVST + es menos escalable que el mtodo clsico
802.1, donde hay slo una raz y rbol, porque se requiere que el tiempo de CPU es
requeridoen las BPDUs para cada VLAN. Cisco venci esta limitacin con el Protocolo
de Multi-Instance
Sapnning Tree (MISTP), que permite que un grupo de VLANs sea agrupado en un
simple spanning tree.
Si usted usa VLANs en un diseo de red de campus con switches que apoyan 802.1s,
PVST + o MISTP, los enlaces redundantes pueden ofrecer la carga compartida como
adicin para la tolerancia critica. La figura nro. 21 muestra un diseo redundante de
LAN de campus que usa el algoritmo de spanning-tree y VLANs.
El diseo en La figura nro. 21 puede escalar a una red de campus muy grande. El
diseo ha sido probado en una red que tiene a 8000 usuarios, y 80 switches de capa de
acceso, 14 switches de capa de distribucin, y 4 routers core de campus (no contando
los routers que van a la WAN).
Servidor Redundante
Esta seccin cubre pautas para servidor redundante en un diseo de red de campus. El
archivo, la web, Protocolo de Configuracin de Host Dinmico (DHCP), nombre, y
servidores de base de datos es todos los candidatos para un diseo redundante de
campus, segn los reuqerimientos de un cliente. En una red que soporta la Voz sobre IP
(VoIP), los servidores que proporcionan el mapeo entre un nmero de telfono y una
direccin de IP y el procesamiento de llamada de debera ser aprovisionado en una
manera redundante. El software de CallManager de Cisco, por ejemplo, soporta un
grupo de redundancia donde los servidores estan asignados a roles del servidor
primario, secundario, o terciario.
Una vez que un LAN ha sido emigrado a la utilizacin de servidores de DHCP para la
direccin de IP de sistemas final, los servidores DHCP se hacen crticos. A causa de
esto, usted debera recomendar servidores DHCP redundantes. Los servidores
deberan sostener copias (mirrored) redundantes de la base de datos DHCP de la
informacin de configuracin IP.
Los servidores de nombre son menos crticos que servidores DHCP porque los usuarios
pueden alcanzar servicios por la direccin en vez del nombre si el servidor de nombre
falla; porque muchos usuarios no realizan esto, sin embargo, esto es una idea buena de
planear para servidores de nombre redundantes. Implemente servidores de nombre el
Sistema de Dominio de Nombre de Internet (DNS), el Servicio de Nombramiento de
Internet de Windows (WINS), y el Servicio de Nombre de NetBIOS (NBNS). Los
servidores de nombre pueden ser colocados en la capa de distribucin o el acceso.
La redundancia y el equilibrio de carga con DNS tambin pueden trabajar con multiples
servidores DNS. Asumiendo que los clientes tienen acceso a diferentes servidores DNS,
un servidor puede responder con una direccin, mientras otros servidores responden
con direcciones diferentes. Otra vez, DNS el caching puede limitar la eficacia de este
mtodo.
Estaciones-para-Router Redundantes
Las estaciones de trabajo en una red de campus deben tener el acceso a un router para
alcanzar servicios remotos. Como la comunicacin de estacin de trabajo a router es
crtica en la mayor parte de diseos, usted debera pensar en implementar redundancia
para esta funcin.
Una estacin de trabajo tiene muchos modos posibles de descubrir un router en su red,
dependiendo del protocolo que esta corriendo y tambin la implementacin del
protocolo. En las siguientes secciones describen mtodos para estaciones de trabajo
para aprender sobre routero, y caracteristicas de redundancia que garantizan que una
estacin de trabajo puede alcanzar un router.
Aunque AppleTalk y Novell NetWare estn siendo divididas en fases fuera de muchas
redes, esto todava es usado para aprender como los desarrolladores de aquellos
protocolos solucionaron el problema de la comunicacin de estacin de trabajo a router.
Esta seccin comienza con una discusin de aquellos protocolos y luego se mueve a la
comunicacin IP de estacin de trabajo para router.
estaciones remotas cuando un router falla, porque los router AppleTalk envan a
paquetes RTMP cada 10 segundos.
simple.
Como era el caso con AppleTalk, a veces usando el default gateway no es el camino
ms oportuno al destino. (Ver La figura nor. 22.) Para ponerse alrededor del problema
de extra-salto y agregar la redundancia, alguna estacin de trabajo IP implementan y
permiten que un administrador de red aada rutas estticas en un archivo de
configuracin o configura la estacin de trabajo para correr un protocolo de
enrutamiento.
El HSRP trabaja creando un router virtual, tambin llamado a router fantasma, como es
mostrado en La figura nro. 23. El router virtual tiene su propio IP y direcciones de MAC.
Cada estacin de trabajo es configurada para usar el router virtual como default
gateway. Cuando una estacin de trabajo transmite un paquete de broadcast ARP para
encontrar el default gateway, el router HSRP activo responde con la direccin de MAC
del router virtual. Si el router activo se desactiva, un router de reserva asume como el
router activo, sigue entregando los paquetes de la estacin de trabajo. Este cambio es
transparente a la estacin de trabajo.
Los miembros de un grupo GLBP eligen un router para ser gateway virtual activa (AVG)
para aquel grupo. Otros miembros de grupo proporcionan la reserva para el AVG en
caso de que el AVG no este disponible. El AVG asigna una direccin de MAC virtual a
cada miembro del grupo GLBP. Cada entrada asume la responsabilidad de mandar
paquetes enviados a la direccin de MAC virtual asignada a ello por el AVG. Estas
entradas son conocidas como promotores virtuales activos (AVFs) para su direccin de
MAC virtual. El AVG es responsable de contestar peticiones de ARP de la direccin de
IP virtual. La carga compartida es conseguida por el AVG que contesta a las peticiones
de ARP con direcciones de MAC virtuales diferentes.
tambin puede ser usado para conectarse a sitios privados empresariales va proveedor
de servicio pblico WAN o el Internet. Esta seccin cubre topologas de borde
empresarial que incluyen segmentos WAN redundantes, conexiones mltiples al
Internet, y VPNs. La seccin tambin incluye algunos comentarios sobre proveedor de
servicio de borde.
Diversidad de Recorrido
Aprovisionando enlaces WAN de reserva, usted debera aprender tanto como sea
posible sobre el enrutamiento de recorrido fsica actual. Los diferentes portadores a
veces usan las mismas instalaciones, queriendo decir que su camino de reserva es
susceptible a los mismos fracasos que su camino primario. Usted debera hacer un
poco de trabajo investigador para asegurar que su reserva realmente es una reserva.
Los ingenieros de red usan la diversidad de recorrido de trmino para referirse a la
situacin ptima del recorrido usando caminos diferentes.
Como los portadores arriendan la capacidad el uno al otro y usan compaas de tercero
que proporcionan la capacidad a multiples portadores, se hace ms difcil para
garantizar la diversidad de recorrido. Tambin, los portadores a menudo combinan el
uno con el otro y mezclan su recorrido despus de la fusin. Cuando los portadores
cada vez ms usan tcnicas automatizadas para el reencaminamiento de recorrido
fsico, se hace an ms difcil planear la diversidad porque el reencaminamiento es
dinmico.
Sin embargo, usted debera trabajar con los proveedores de sus enlaces WAN para
ganar un entendimiento del nivel de la diversidad de recorrido en su diseo de red. Los
portadores por lo general quieren trabajar con clientes para proporcionar la informacin
sobre el enrutamiento de recorrido fsica. (Est consciente, sin embargo, que portadores
a veces proporcionan la informacin inexacta, basada en bases de datos que no son
Un objetivo relacionado es usar "la mejor ruta" a travs del Internet a los sitios en los
cuales los usuarios de empresa ms confan. A menos que una empresa se contraiga (y
pagas) para manejar la calidad de punta a punta del servicio (QoS), este objetivo no
puede ser encontrado. El protocolo de enrutamiento usado en el Internet, BGP, no
ofrece la ruta optima. Su nico objetivo es proporcionar la accesibilidad y la estabilidad
en el sistema de enrutamiento global. Proveedores intermedios con quien una empresa
tiene relacin comercial no se preocupe si el trfico de la empresa sigue rutas ptimas,
tampoco ellos tienen algun incentivo para hacerlo asi.
Otro objetivo ms complejo es garantizar que el trfico entrante del Internet destinado a
sitios de empresa europeas usen el router de Paris y el trfico entrante para sitios de
empresa Norteamericanos usa el router de Nueva York. Este objetivo requiere que los
routers de empresa hagan publicidad a las rutas de Internet a sitios de empresa. Las
rutas deben incluir la mtrica de modo que los routers en el Internet sepan el camino
preferido a sitios en el intranet de empresa.
Una otra advertencia cuando una red de empresa es multihomed es el potencial para
hacerse una red de trnsito que proporciona interconexiones para otras redes. Mirar la
La figura 5-14, considera que el router empresarial aprende rutas del ISP. Si el router
empresarial aprende estas rutas cultas, entonces este arriesgo de permitir que la red de
empresarial se hiciera una red de trnsito y fuera cargado por el trfico externo
involuntario. Cuando una red empresarial se hace una red de trnsito, los routers en el
Internet aprenden que ellos pueden alcanzar otros routers en el Internet va la red
empresarial. Para evitar esta situacin, los routers empresarial deberan anunciar slo
sus propias rutas. (Alternativamente ellos no pueden corre un protocolo de enrutamiento
y dependeran de un enrutamiento esttica por defecto.)
Los tneles proporcionan una unin lgico, de punto a punto a travs de una red IP
connectionless, permitiendo la aplicacin de caracteristicas de seguridad avanzados. La
encriptacin es aplicada a la conexin del tunel para revolver datos, as haciendo legible
los datos slo a sistemas autorizados. En aplicaciones donde la seguridad y la
privacidad son menos de una preocupacin, los tneles pueden ser usados sin la
encriptacin para proporcionar el soporte de multiprotocolo.
La capa 3 tnel encapsula en la capa de red. Dos ejemplos son IPSec y el generico
enrutamiento de Cisco (GRE). Si slo los paquetes de IP-unicast estn siendo
tunelados, IPSec es la mejor opcin. El GRE es usado cuando multicast, broadcast, y
los paquetes Non-IP tienen que ser tunelados.
Las aplicaciones de VPN para redes empresariales pueden ser divididas en dos
categoras principales: sites to sites y acceso remoto. Sites to sites VPNs se concentran
en la conexin de oficinas geogrficamente dispersadas y son una extensin de la
empresa clsica WAN. VPN de sites to sites tambin puede agregar interconexiones
entre multiples organizaciones, en cuyo caso es llamado algn da un extranet VPN.
VPNs de acceso remoto se concentran en usuarios remotos y socios de negocio que
tienen acceso a la red en un comun- base necesaria.
Site-to-Site VPNs
El Sites to sites VPNs ha surgido como un camino relativamente barato para una
compaa para conectar sucursales geogrficamente dispersadas y oficinas principales
va un proveedor de servicio o el Internet, a diferencia del mantenimiento caro de una
WAN privada. Los datos privados de la compaa pueden ser encriptados para
enrutarlos por la red del proveedor de servicio o el Internet. Tradicionalmente, los
negocios confiaron en las lneas arrendadas de T1 1.544-Mbps privadas para conectar
oficinas remotas juntas. Las lneas arrendadas son caras de instalar y mantener. Para
muchas compaas, una lnea arrendada provee ms ancho de banda que es necesaria
en un precio demasiado alto. Un sites a sites VPN es una solucin ms rentable y
manejable.
Diseando la topologa de una red de sites to sites, usted debera considerar las
mismas necesidades para una WAN privada, incluso la necesidad de la alta
disponibilidad con failover automtico, performance, seguridad, y escalabilidad. Las
topologas ms comunes para un sites to sites VPN son como sigue:
Topologa de malla
La topologa "hub and spoke" es usado cuando hay un a simple oficina central o
regional con muchas oficinas remotas, y la mayor parte de trfico est entre los sitios
remotos y la posicin regional o oficina central. Este diseo minimiza la complejidad de
configuracin teniendo una simple conexin IPSec o un simple tnel GRE de cada
posicin remota detrs de la posicin regional o posicin de oficina central. Este diseo
no es apropiado cuando hay un nivel alto del trfico entre sitios remotos o cuando hay
una necesidad de redundancia y failover automtico. Un realce al diseo debe incluir
multiples routers VPN en la oficina central para proporcionar la mejor redundancia.
Una topologa VPN jerrquica es una topologa hbrida para una compaa grande que
tiene muchas oficinas centrales y oficinas regionales con mucho trfico que fluye entre
ellos, y muchas oficinas remotas, con un poco de interaccin entre ellos. La topologa
consiste en un lleno - o malla parcial core, con sitios perifricos que se conectan en el
core usando un diseo "hub and spoke". Un diseo jerrquico es el ms complejo de los
diseos en trminos de configuracin, y puede tener una combinacin de IPSec y
tneles GRE.
Figura Nro.23
aunque no se espere que usted disee este mdulo como un diseador de red de
empresa, usted necesita que tener algn entendimiento de ello y ser capaz de
seleccionar al proveedor apropiado (o proveedores) para sus clientes en el diseo. La
seleccin de un proveedor de servicio es algo que usted debera considerar durante la
fase de diseo lgica, que es el foco de esta parte (Fase II) de la metodologia. La Fase
III se dirige al tema otra vez porque durante aquella fase usted debera hacer algunas
selecciones definidas de tecnologas WAN, dispositivos, y proveedores.
El ISPs y NSPs son a veces clasificados como la Capa 1 hasta Capa 5. Aunque estas
categoras no tengan el significado universal, si un proveedor llama a esto proveedor
Capa 1 y usted busca a un proveedor barato para conectar una pequea oficina o a
casa, entonces usted sabe mirar en otra parte. La Capa 1 ISPs son grandes e
internacionales proveedores, mientras que la Capa 5 ISPs es pequea, proveedores
especializados, a veces localizados en una ciudad o rea rural. Un proveedor de Capa
5 podra ser tan pequeo como una cafetera de Internet.
Una diferencia importante entre las capas tiene que ver con la relacin que un
proveedor tiene con otro ISPs. Usando una definicin econmica del punto (ms bien
que la definicin BGP), una relacin de punto significa que dos ISPs no cobran el uno al
otro para llevar el trfico de cada uno. Ellos son tanto del mismo tamao como es su
mutua ventaja para dejar a sus clientes tener el acceso el uno al otro, sin preocuparse
de la facturacin. Este se diferencia de la otra relacin ISP comn, que es un
proveedor-
cliente, donde ISP ms pequeo paga al ISP ms grande por el privilegio de enviar el
trfico por la red del ISP ms grande. Este a menudo es llamado comprando el trnsito.
En este punto del proceso de diseo, usted debera haber analizado requerimientos y
topologas al grado que usted tiene una idea buena de la capa que usted necesitar.
Durante la fase de diseo lgico, usted debera comenzar a hacer una lista de criterios
para seleccionar a los proveedores y desarrollar un plan y poner el estndar para
evaluar a candidatos. Investigue la disponibilidad de proveedores de servicio en las
regiones relevantes y comience a pedir informes. Est especfico en sus peticiones de
la informacin de candidatos. Priorice que la informacin solicitada y indique que tan
rpidamente usted necesita una respuesta. Usted tambin puede querer pedir
referencias y comenzar a hacer preguntas sobre el proveedor de otros usuarios en la
regin. Ver el "La seleccin de un Proveedor de Servicio WAN" seccin de la
metodologia la parte 11, "Seleccionando Tecnologas y Dispositivos para Redes de
Empresa," para ms informacin en este tema.
Los firewall son sobre todo importantes en el lmite entre la red de empresa y el Internet.
Una topologa de firewall bsica es simplemente un router de trfico con una conexin
WAN al Internet, una conexin LAN a la red de empresa, y software que tiene rasgos de
seguridad. Esta topologa elemental es apropiada si su cliente tiene una poltica de
seguridad simple. Las polticas de seguridad simples pueden ser puestas en prctica en
el router de trfico con ACLs. El router de trfico tambin puede usar a NAT para
esconder direcciones internas de hackeres de Internet.
Para clientes que necesitan publicar datos pblicos y proteger datos privados, la
topologa de firewall puede incluir una LAN pblica que recibe web, FTP, DNS, y
servidores SMTP. La literatura de seguridad ms vieja a menudo se refera a la LAN
pblico como la zona de comercio libre, que es un nombre bueno para ello.
Lamentablemente, mas apropiado el trmino la zona desmilitarizada (DMZ) se ha hecho
ms popular. La literatura de seguridad se refiere a un host en el DMZ como un host de
Marcos Huerta S.
100
bastion, un sistema seguro que soporta un nmero limitado de aplicaciones para uso de
afuera. El host de bastion sostiene datos que los de afuera pueden tener acceso, como
pginas Web, pero son fuertemente protegidos de los usuarios de afuera usndolo para
algo adems de sus objetivos limitados.
Una topologa alternativa debe usar dos routers como los firewalls y ubicarlo entre el
DMZ, como mostrado en La figura nro 25. Esta topologa es llamada una topologa de
firewall de tres partes. Una desventaja con este acercamiento es que la configuracin
en los routers podra ser compleja, consistiendo en muchos ACLs para controlar el flujo
de trfico de la red privada y el DMZ. Otra desventaja es que el flujo de trfico de la
empresa se conecta a la red por el DMZ. El DMZ conecta a los servidores pblicos que
pueden estar comprometidos y acto que lanzan ataques en la red de empresa. Usted
puede reforzar esta topologa usando routers con ACLs simple al uno o el otro al final
del DMZ y tambin incluso firewall al uno o el otro al final que son configurados con
ACLs ms complejas. Tambin, los host de bastiones dentro del DMZ deberan dirigir el
software del firewall y ser configurados para un determinado limite de servicios.
Marcos Huerta S.
101
Resumen
Este captulo se concentr en tcnicas para desarrollar una topologa para un diseo de
red. El diseo de una topologa de red es el primer paso en la fase de diseo lgico de
la metodologa de diseo de red top down. Diseando una topologa lgica antes de
una realizacin fsica, usted puede aumentar la probabilidad de encontrar los objetivos
de un cliente para escalabilidad, adaptabilidad, e interpretacin.
ser
Despus de completar una topologa lgica para un cliente, usted debera seguir en la
fase de diseo lgico diseando el direccionamiento y nombramiento del modelo de
red, seleccin de conmutacin y protocolos de enrutamiento, y desarrollo de seguridad
de red y estrategias de manejo. Estos temas son cubiertos en los siguientes fases.
Haciendo un trabajo cuidadoso en la fase de diseo lgico puede aliviar su transicin en
el diseo de la realizacin fsica de la red. Esto tambin puede prepararle para el
trabajo de seleccionar los correctos productos y tecnologas para su cliente.
Este
captulo
tambin
demuestra
la
importancia
de
desarrollar
polticas
Sistemas
de
Informacin
Corporativos
(SON)
redes
empresariales
Cuntos sistemas finales tienen que ser visibles a la red pblica tambin?
Si usted necesita un nmero grande de direcciones pblicas, usted trabajar con uno
de tres registros regionales que asignan bloques grandes del espacio de direccin de IP
para el Internet:
Asia Pacific Network Information Center (APNIC) sirve para Asia regin de Ocano
Pacfico. Refirase a www.apnic.net para ms informacin.
Si los administradores de red de regional y las sucursales son inexpertos, usted podra
pensar no delegar autoridades para el direccionamiento y nonbramiento. Muchos de las
pequeas y medianas compaas mantiene el control estricto de direccionamiento y
nombramiento en un nivel (centralizado) corporativo. El control de mantenimiento
estricto evita errores que pueden ser causados por los usuarios frustrados y conectarse
fallas a la red. El control de mantenimiento estricto puede ser desafiante, especialmente
como los administradores de red regionales y los usuarios se hacen ms expertos con
las redes y empiezan a instalar dispositivos que pueden asignar direcciones.
Con
el
direccionamiento
dinmico,
una
estacin
puede
aprender
Segn Cisco, las direcciones estticas son usadas en manejo de redes y los mdulos
de campus rea funcional en el Modelo de Red Compuesto Empresarial Cisco. Las
direcciones Estticas tambin son usadas en todos los mdulos del borde de empresa
rea funcional (el e-comercio, conectividad de Internet, VPN/remote-access, y mdulos
WAN).
Despus de que una estacin de AppleTalk ha elegido una direccin de capa de red,
esto salva esta informacin en la RAM "batera backed-up", que tambin es llamado la
RAM de parmetro, o el PRAM. Cuando una estacin de AppleTalk inicializa, esto
chequea para ver si esto tiene una direccin en el PRAM. Si esto hace, este usa aquella
direccin (despus de confirmarque que la direccin es todava nica). Usando la
misma direccin despus de que reanudar facilita la direccin de red. Sin esta
caracteristica, sera ms difcil manejar estaciones de AppleTalk, porque una estacin
recibira una nueva direccin cada vez que esto inicializ.
Los routers pueden ser por lo general configurados para retrasar sus respuestas para
evitar adelantarse el derecho de un servidor ocupado de responder primero.)
Direccionamieno Dinmica IP
Cuando los protocolos IP fueron desarrollados primero, se requiri que un administrador
de red configurara a cada host con su direccin de IP nica. A mediados de los aos
1980,
los
protocolos
fueron
desarrollados
para
soportar
estaciones
diskless
dinmicamente aprendiendo una direccin, que era necesaria porque una estacin
diskless no tiene ningn almacenaje para salvar una configuracin. Estos protocolos
incluyeron el Protocolo de Resolucin de Direccin Inverso (RARP) y BOOTP. El
BOOTP ha evolucionado en DHCP, que ha ganado la popularidad considerable desde
finales de los aos 1990.
la
Con routers Cisco, usted puede usar el comando de helper-ip address en cada interfaz
del router donde los clientes residen para hacer que el router se hiciera un relay agent
de DHCP. Un comando de parmetro de direccin debera sealar la direccin de IP del
servidor DHCP. Alternativamente, la direccin puede ser una direccin de broadcast de
modo que los broadcast de router de DHCP descubran el mensaje en la red
especificada. (Una direccin de broadcast debera ser usada slo si el servidor est en
una red directamente conectada porque los routers modernos no envian broadcast
dirigidos a otras redes.)
Cuando un router transmite un mensaje descubrir otra red o subred, el router coloca la
direccin de IP para el interfaz en el cual el mensaje lleg a la direccin de gateway
(giaddr) el campo de cabecera DHCP. El servidor DHCP puede usar la informacin
giaddr para determinar de cual direccin asignada debera venir.
Con un mtodo de autoconfiguracin stateful, los hosts obtienen las direcciones y otros
parmetros de un servidor. El servidor almacena una base de datos que contiene la
informacin necesaria y mantiene el control de asignaciones de direccin. Esto debera
parecer familiar. El modelo de autoconfiguracin stateful es definido en DHCPv6.
Hasta ahora, el trabajo de Zeroconf ha sido limitado con pequeas redes. El Zeroconf
es una tecnologa de enlace-local. Las direcciones locales del enlace y los nombres son
significativos slo en una red particular. Ellos no son globalmente nicos. El Zeroconf es
apropiado para casa y pequeas redes de oficina, ad hoc redes en reuniones y
conferencias (redes sobre todo inalmbricas), sistemas empotrados como en un coche,
y siempre que dos dispositivos tengan que compartir espontneamente o intercambiar
la informacin.
Aunque el objetivo principal de Zeroconf sea hacer el ordenador personal corriente que
conecta a la red ms fcil para usar, segn el Zeroconf la pgina de inicio del grupo
trabajador (www.zeroconf.org), un objetivo a largo plazo es "permitir la creacin de
completamente nuevas clases de productos conectados a una red, productos que hoy
no seran simplemente comercialemente viables debido a la molestia y gastos de apoyo
implicados en fundacin, configuracin, y mantenimiento de una red."
El Zeroconf tiene muchas ventajas, pero un riesgo potencial consiste en que esto
interferir con sistemas ms estructurados para la direccin y llamar asignaciones,
aunque el grupo de funcionamiento diga realmente que Zeroconf "debe coexistir
elegantemente con redes configuradas ms grandes" y que los protocolos Zeroconf "no
deben causar el dao a la red cuando una mquina Zeroconf es conectada en una red
grande." El Zeroconf tiene algunos rasgos intrigantes y, como el diseador de red, usted
debera tener un poco de familiaridad con ello. El Zeroconf puede solucionar varios
problemas para pequeo, ad hoc conecta a la red, y es incorporado a algunos sistemas
operativos, incluso Mac OS X.
La Utilizacin de Direcciones Privadas en un Ambiente IP
Las direcciones de IP privadas son direcciones que un administrador de red de empresa
asigna a redes internas y hosts sin cualquier coordinacin de un ISP o uno de los
registros regionales. Un ISP o el registro proporcionan direcciones pblicas para
servidores de web u otros servidores que el acceso de usuarios externo, pero las
direcciones pblicas no son necesarias para hosts internos y redes. La direccin para
hosts internos que tienen que tener acceso a servicios exteriores, como
correo
electrnico, FTP, o servidores de web, puede ser manejada por una Traduccin de
Direccin de Red (NAT). NAT es cubierto ms tarde en esta seccin.
En 1918 RFC, el IETF reserva los nmeros siguientes para dirigirse a nodos en redes
privadas internas:
Clase A 10.0.0.010.255.255.255
Clase B 172.16.0.0172.31.255.255
Clase C 192.168.0.0192.168.255.255
Una ventaja de las direcciones de red privadas es la seguridad. Las direcciones de red
privadas no acceden al Internet. De hecho, las direcciones de red privadas no debe ser
anunciado al Internet porque ellos no son globalmente nicos. Por ser direcciones de
red internas privadas, un poco de seguridad es conseguido. (La seguridad adicional,
incluso firewall y sistemas de descubrimiento de intrusin, tambin debera ser
desplegada.
Otra ventaja de direcciones de red privadas consiste en que una red de empresa puede
anunciar slo un nmero de red, o un pequeo bloque de nmeros de red, al Internet.
Esto es la prctica buena para evitar anunciar muchos nmeros de red al Internet. Uno
de los objetivos de prcticas de Internet modernas es que los routers de Internet no
deberan tener que manejar tablas de encaminamiento enormes. Cuando una red de
empresa crece, el administrador de la red puede asignar direcciones privadas a nuevas
redes, ms bien que solicitar nmeros de red pblicos adicionales de un ISP o registro.
Este evita aumentar el tamao de la tabla de enrutamiento deInternet.
Una otra advertencia tener presente usando direcciones privadas es que es fcil olvidar
de usar un modelo estructurado con las direcciones privadas. Los administradores de la
red de empresa, que fueron restringidos una vez de direcciones que fueron con cuidado
repartidas por ISPs y los registros, estn excitados cuando ellos se mueven a la
direccin privada y tienen toda red 10.0.0.0 a su disposicin.
Cuando use NAT, todo el trfico entre una red de empresa y el Internet debe pasar por
la entrada de NAT. Por esta razn, usted debera asegurarse que la entrada de NAT
tiene el rendimiento superior y bajo retardo, en particular si los usuarios de empresa
dependen de vdeo de Internet o aplicaciones de voz. La entrada de NAT debera tener
un procesador rpido que puede examinar y cambiar paquetes muy rpidamente. Tenga
presente que, adems de la modificacin de direcciones de IP, una entrada de NAT
debe modificar el IP, TCP, y sumas de control UDP. (Las sumas de control para TCP y
UDP cubren una cabecera pseudo que contiene el origen y el destino de direcciones
IP.)
En muchos casos, NAT tambin debe modificar direcciones de IP que ocurren dentro de
la parte de datos de un paquete. Las direcciones de IP pueden aparecer en ICMP, FTP,
DNS, SNMP, y otros tipos de paquetes. Como NAT tiene el trabajo de traduccin de
algo tan bsico como direcciones de capa de red, puede ser complicado garantizar el
comportamiento correcto con todas las aplicaciones. Una entrada de NAT debera ser a
fondo probada en un ambiente piloto antes de que sea generalmente desplegado.
Interpretacin optimizada.
Escalabilidad.
Estabilidad.
Enrutamiento Jerrquica
Enrutamiento jerrquica significa que el conocimiento de la topologa de red y
configuracin es localizado. Ningn router solo tiene que entender como conseguir el
uno al otro en el segmento de red. El enrutamiento jerrquica requiere que un
administrador de red asigne direcciones en una manera jerrquica. Las direccines IP y
el enrutamiento han sido algo jerrquicas durante mucho tiempo, pero en aos
recientes, como el Internet e intranet de empresa han crecido, se ha hecho necesario
aadir ms jerarqua.
Con los datos de la redes, es similar las decisiones son tomadas cuando un paquete
viaja a travs de una ruta de red. Sin embargo, en redes de IP tradicionales, las
decisiones no podan ser completamente tan locales como las decisiones en el ejemplo
telefnico. Hasta hace poco, las direcciones de IP para el Internet fueron adjudicadas
en una manera no jerrquica. Por ejemplo, dos compaas en Oregon podran tener la
Clase C extensamente diferente los nmeros de red, a pesar de que ellos ambos usan
el mismo proveedor para alcanzar el Internet. Este signific que el proveedor tuvo que
decir a todos los otros sitios de Internet sobre ambas compaas de Oregon. De este
modo, a diferencia del ejemplo de sistema telefnico, un router en Michigan sabra
alcanzar redes especficas en Oregon.
primeros bits de una direccin para determinar su clase. Los primeros bits para la Clase
A por hasta las direcciones de la clase C son mostradas en la tabla siguiente.
Cla
ss
A
Prim
er
bit =
0
Pref
ix
is 8
Prim
er
octet
bits
is 1
126
Cla
ss
B
Prim
er
2
bits
= 10
Pref
ix
is
16
bits
Prim
er
octet
is
128
191
Cla
ss
C
Prim
er
3
bits
=
110
Pref
ix
is
24
bits
Prim
er
octet
is
192
223
En implemetaciones tempranas de IP, los hosts de IP y los routers entendieron slo tres
longitudes de prefijo: 8, 16, y 24. Este se hizo una limitacin cuando las redes crecieron,
as subnetting fue introducido. Con subnet, un host (o router) puede ser configurado
para entender que la longitud de prefijo local es extendida. Esta configuracin es llevada
a cabo con una mscara de subnet. Por ejemplo, los routers y los hosts pueden ser
configurados para comprender que la red 10.0.0.0 es subneteada en 254 subredes
usando una mscara desubnet de 255.255.0.0.
Los tradicionales hosts de IP y los routers tenan una capacidad limitada de entender
longitudes de prefijo y subnet. Ellos entendieron la longitud para configuraciones
locales, pero no para configuraciones remotas. El enrutamiento de Classful no
transmiti ninguna informacin sobre la longitud de prefijo. La longitud de prefijo fue
calculada de la informacin sobre la clase de direccin proporcionada en los primeros
bits de una direccin, como mencionado antes.
Los protocolos de enrutamiento sin clases, por otra parte, transmiten una longitud de
prefijo con una direccin de IP. Este permite protocolos de enrutamiento sin clases a
redes de grupo en una entrada y usa la longitud de prefijo que especifique qu redes
son agrupadas. Los protocolos de enrutamiento sin clases tambin aceptan cualquier
longitud de prefijo arbitraria, que slo acepte longitudes de 8, 16, o 24, que el sistema
classful dict.
Los protocolos de enrutamiento sin clases publican una ruta y una longitud de prefijo. Si
las direcciones son asignadas en una manera jerrquica, un protocolo de enrutamiento
sin clases puede ser configurado para agregar subredes en una ruta, esto reduce la
sobrecarga en el enrutamiento. La importancia de sumarizar ruta en el Internet ya fue
discutido anteriormente. Es tambin importante resumir (agregar) rutas en una red
empresarial. La ruta sumarizadas reduce el tamao de las tablas de enrutamiento, que
minimiza el consumo de ancho de banda y procesamiento en routers. La ruta
sumarizada tambin significa que los problemas dentro de una rea de la red no tienden
a extenderse a otras reas.
Para entender la sumarizacin en este ejemplo, usted debera convertir el nmero 172
al binario, que causa el binario el nmero 10101100. Usted tambin debera convertir el
nmero 16 a 19 al binario, como mostrado en la tabla siguiente.
Segundo Octeto
en Decimal
Segundo Octeto
en Binario
16
000100
00
000100
01
000100
10
000100
11
17
18
19
Note que 6 bits extremos izquierdos para el nmero 16 a 19 son idnticos. Este es lo
que hace la ruta sumarizada con una longitud de prefijo de 14 posible en este ejemplo.
Primeros 8 bits para las redes son idnticos (todas las redes tienen 172 para el primer
octeto), y siguientes 6 bits son tambin idnticos
Subredes de Discontiguas
Como mencionado antes, protocolo de enrutamiento classful automticamente resumen
las subredes. Un efecto secundario de este es que las subredes de discontiguas no son
apoyadas. Las subredes deben estar al lado de cada uno otro es decir contiguo. La
figura nro.27 muestra una red de empresa con subredes de discontiguas.
Para solucionar este problema, un protocolo de enrutamiento sin clases puede ser
usado. Con un protocolo de enrutamiento sin clases, el router A publica que puede
ponerse a redes 10.108.16.0/20. El router B anuncia esto puede ponerse a redes
10.108.32.0/20. (Para entender por qu la longitud de prefijo es 20, convierta los
nmeros de red al binario.) como los protocolos de enrutamiento sin clases entienden
prefijos de cualquier longitud (no slo 8, 16, o 24), los routers en La figura nro.27 puede
la ruta a subredes de discontiguas, asumiendo que ellos dirigen un protocolo de
encaminamiento sin clases, como OSPF o EIGRP.
Host Mviles
El enrutamiento sin clases y las subredes de discontiguas soportan a host mviles. Un
host mvil, en este contexto, es un host que se mueve de una red al otro y tiene una
direccin de IP estticamente definida. Un administrador de red puede mover a un host
mvil y configurar un router con una ruta especfica de host para especificar que el
trfico para el host debera ser ruteado por aquel router.
En La figura nro 28, por ejemplo, reciba 10.108.16.1 se ha movido a una red diferente.
Incluso aunque el router haga publicar aquella red el 10.108.16.0/20 esta detrs de ello,
el router B puede publicar esto 10.108.16.1/32 esta detrs de ello.
En La figura nro.28, un mejor diseo debera usar DHCP de modo que los host puedan
ser movidos sin requerir cualquier reconfiguracin en los host o routers. El ejemplo
simplemente es usado para explicar el concepto de partido de prefijo ms largo. No se
destina para ser una recomendacin de diseo.
Un uso para pequeas subredes es el enlace punto a punto WAN que slo tienen dos
dispositivos (un router durante cada final del enlace). Tal enlace puede usar una
mscara de subnet de 255.255.255.252, porque slo dos dispositivos necesitan
direcciones. Los dos dispositivos pueden ser numerados 01 y 10.
Los nombres son asignados a muchos tipos de recursos en tipicas redes: routers,
servidores, hosts, impresoras, y otros recursos. Esta seccin cubre el nombramiento de
dispositivos y redes. Proporcionando nombres para usuarios, grupos, las cuentas, y las
contraseas no son cubiertas, aunque algunas pautas para llamar dispositivos se
apliquen a esta seccin tambin.
Necesitan los sistemas finales nombres? Ofrecern los sistemas finales algn
servicio, como una porcin de web personal?
Sern permitidos a los usuarios poner sus propios nombres de sistemas, o son
todos los nombres asignados por administradores de red?
Los nombres tambin pueden incluir un cdigo de posicin. Algunos diseadores de red
usan cdigos de aeropuerto en sus modelos de nombramiento. Por ejemplo, todos los
nombres en el principio de San Francisco con SFO, todos los nombres en Oakland
comienzan con el OAK, etctera. El cdigo de posicin podra ser un nmero en
cambio, pero la mayor parte de personas recuerdan cartas mejor que nmeros.
El intento de evitar nombres que tienen carcteres extraos, como guiones, subraya,
asteriscos, etctera, aun si el protocolo de nombramiento permite estos carcteres (que
muchos hacen). Estos carcteres son difciles de escribir a mquina y pueden hacer
que aplicaciones y protocolos se comporten de modos inesperados. Los carcteres
extraos podran significar algo especial a un protocolo. Por ejemplo, el signo de dlar
cuando es usado como el ltimo carcter de un nombre de NetBIOS significa que el
nombre no
revisin de red NetBIOS. Los nombres de NetBIOS con un signo de dlar al final son
para el uso administrativo slo.
Es tambin lo mejor si los nombres no son letras mayusculas porque la gente por lo
general no puede recordar que tecla usar. Los nombres que requieren que un usuario
recuerde teclas mezcladas (por ejemplo, DBServer) no son una idea buena.
Usted tambin debera evitar espacios de nombres. Los espacios aturden a usuarios y
no podran trabajar correctamente con algunas aplicaciones o protocolos. Los nombres
deberan ser generalmente ocho carcteres o menos, de ser posible. Este es sobre todo
Un archivo de hosts dice a una estacin de trabajo UNIX como convertir un nombre de
host en una direccin de IP. Un administrador de red mantiene un archivo de hosts en
cada estacin de trabajo en las redes. Tanto el DNS como NIS fueron desarrollados
para permitir que un administrador de la red centralizara el nombramiento de
dispositivos, usando un acercamiento de base de datos distribuido, en vez de un
archivo plano que reside en cada sistema.
Sun Microsystems desarroll NIS para permitir que un UNIX conecte a la red al
administrador para centralizar la direccin de nombres y otros parmetros de
configuracin. Un administrador puede usar NIS para mantener nombres, usuario e
informacin de contrasea, direcciones de Ethernet, alias de correo, definiciones de
grupo, y nombres de protocolo y nmeros. El NIS era una vez completamente comn,
pero se ha hecho menos comn como el estndar de Internet para llamar (DNS) gan el
mpetu.
Descripcin
.gov
Instituciones
educativas
Agencias del gobierno
.net
Proveedores de red
.
com
.org
Compaas
comerciales
Empresas no
lucrativas
Los dominios de alto nivel, como .biz, .info, .museum, y .name pueden ayudar a
prevenir muchas disputas que ocurren sobre el derecho de usar nombres populares y
comerciables. Hay tambin muchos dominios de alto nivel geogrficos (por ejemplo .uk
para el Reino Unido y .de para Alemania).
como
autoridades
al
development.engineering.cisco.com
testing.engineering.cisco.com.
La
delegacin permite que el DNS sea manejado autnomamente en cada capa, que
aumenta la escalabilidad y las ayudas guardan nombres significativos.
Para estos tipos de aplicaciones, es importante tener una realizacin DNS que puede
asociar un nombre esttico con una direccin dinmica. Este puede ser llevado a cabo
en una variedad de caminos. Muchos vendedores han desarrollado soluciones creativas
con los problemas asociados con nombres en un ambiente DHCP. Las Extensiones
DNS IETF grupo trabajador tambin desarrollan estndares para DNS dinmico.
Resumen
Este captulo proporcion pautas para asignar direcciones y nombres en un ambiente de
redes de multiprotocolo. Esta seccin ilustr la importancia de usar un modelo
estructurado para direccionamiento y nombramiento para hacer ms fcil para entender
los mapas de red, hacer funcionar el software de direccin de red, reconocer
dispositivos con un analizador de protocolo, y encontrar los objetivos de un cliente para
la usabilidad.
Las direcciones estructuradas y los nombres facilitan la optimizacin de red porque ellos
hacen ms fcil para cifrar filtros de red en firewall, routers, e switches. Las direcciones
estructuradas tambin le ayudan a implementar la ruta sumarizada, que disminuye la
utilizacin de ancho de banda, que procesa en el routers, e inestabilidad de red.
En este punto en el proceso de diseo de red, usted ha creado una topologa de diseo
de red y ha desarrollado alguna idea de donde los switches y los routers residirn, pero
usted no ha seleccionado ningn switch actual o productos de router. Un entendimiento
de la conmutacin y enrutamiento de protocolos que un switch o el router
deben
Esta seccin comienza con una discusin genrica sobre la fabricacin de decisin a
ayudarle a desarrollar un proceso sistemtico para seleccionar soluciones tanto para los
componentes lgicos como para fsicos de un diseo de red. La fabricacin de
decisiones sanas en cuanto a protocolos y tecnologas es una habilidad de diseo de
red crucial que esta parte puede ayudarle a desarrollar.
Los investigadores que estudian modelos de decisin dicen que uno de los aspectos
ms importantes de tomar una decisin sana es tener una lista de los buenos objetivos.
En su libro The Can-Do Manager, publicado por la Asociacin de Direccin americana,
Tess Kirby dice que hay cuatro factores implicados en tomar decisiones sanas:
Para emparejar opciones con objetivos, usted puede hacer una tabla de decisin, como
la Tabla Nro. 14 que muestra una tabla de decisin que empareja protocolos de
enrutamiento a los objetivos comerciales y tcnicos de un cliente ficticio. Usted puede
desarrollar una tabla similar para cambiar protocolos, tecnologas de diseo de campus,
tecnologas de diseo de empresa, protocolos WAN, etctera. Para desarrollar la tabla,
coloque opciones en la columna extrema izquierda y los objetivos principales de su
cliente encima. Coloque los objetivos en el orden de prioridad, que comienza con
objetivos crticos.
adaptabilidad
Debe
No
Debera
debe adaptarse
escalar a
industria
debera
correr
una
estndar
crear
cambios
unas
de
Debera
ser
fcil
para
mucho
en routers
configurar
talla grande
compatible
trfico
baratos
y manejar
(cientos
con el
redes
grandes dentro de
BGP
Otros Objetivos
unos segundos
X[*]
OSPF
ES ES
IGRP
EIGRP
RASG
N
Despus de que una decisin ha sido tomada, usted debera fallar la decisin.
Pregntese lo siguiente:
Ha sido intentada esta opcin antes (posiblemente con otros clientes)? De ser
as, qu problemas ocurrieron?
Este proceso de toma de decisiones puede ser usado tanto durante las fases de diseo
de red lgicas como durante fsicas. Usted puede usar este proceso para ayudarle a
seleccionar protocolos, tecnologas, y dispositivos que encontrarn los requerimientos
de un cliente.
Con las redes de Token Ring, sus opciones incluyen ruta-fuente de puente (SRB), rutafuente transparente (SRT) un puente, y fuente-ruta switcheada (SRS). Para conectar
LANs de Ethernet y Token Ring (y otras redes distintas), usted puede usar un puente de
translacin o de encapsulamiento de puente.
La IBM desarroll SRB para redes de Token Ring en los aos 1980. A principios de los
aos 1990, la IBM present los protocolos SRB al IEEE. Los protocolos se hicieron el
estndar SRT, que es documentado en el Anexo C del 802.1 documento IEEE. Un
puente de SRT puede actuar como un puente transparente o un puente fuenteenrutado, segn si la informacin del fuente-enrutado es incluida en un paquete. El SRS
mejora la eficacia de un SRT puente y permite caminos paralelos fuente-enrutado, que
SRT no soporta.
Aunque un puente y switches de redes de Token Ring todava existen, la mayor parte
de ellos estn siendo emigrados a redes Ethernet conmutadas y ruteadas. El resto de
esta seccin se concentra en los protocolos de conmutacin usados en redes de
Ethernet tpicas.
Puente Transparente
Los switches de Ethernet y los puentes usan una tecnologa clsica llamada puente
transparente. Un puente transparente conecta uno o varios segmentos de LAN de modo
que los sistemas finales en segmentos diferentes puedan comunicarse el uno con el
otro claramente. Un sistema final enva un paquete a un destino sin saber si el destino
es local o al otro lado de un puente transparente. Los puentes transparentes son tan
llamados porque su presencia es transparente para terminar sistemas.
Para aprender a enviar paquetes, un puente transparente escucha a todos los paquetes
y determina qu estaciones residen en cual segmentos. El puente aprende la posicin
de dispositivos mirando la direccin de la fuente en cada paquete. El puente desarrolla
una tabla de conmutacin como es mostrado en la tabla nro. 15 La tabla de
conmutacin tambin a veces va por los nombres que tienden un puente sobre tabla,
tabla de direccin de MAC, o Contenido de Memoria Direccionable (CAM).
Puerto
08-00-07-06-41-B9
00-00-0C-60-7C-01
00-80-24-07-8C-02
Conmutacin Transparente
Los switches se hicieron populares a mediados de los aos 1990 como un modo barato
de dividir LANs sin incurrir en latencia asociada con puentes. Los switches aprovechan
circuitos integrados rpidos para ofrecer latencia muy baja. Un switch se comporta
esencialmente justo como un puente salvo que es ms rpido. Los switches por lo
general tienen una densidad de puerto ms alta que puentes y un coste inferior por
puerto. A causa de estos rasgos, y la latencia baja de switches, los switches son ms
comunes que puentes estos das.
un
switch rpidamente mira la direccin de destino (el primer campo en un paquete LAN),
determina el puerto saliente, e inmediatamente comienza a enviar bits al puerto saliente.
Una desventaja con el procesamiento de conexin directa es que esto envia paquetes
ilegales (por ejemplo, runts de Ethernet) y paquetes con errores CRC. En una red que
es propensa a runts y errores, el procesamiento de conexin directa no debera ser
usado. Algunos switches tienen la capacidad de moverse automticamente del modo de
conexin directa al modo almacenar-y-enviar cuando un umbral de error es alcanzado.
Este rasgo es llamado la conmutacin de conexin directa adaptable por algunos
vendedores.
Hay slo un camino de transporte de mercancas. Un switch, por otra parte, permite
caminos de transporte de mercancas mltiples, paralelos, el que significa que un switch
puede manejar un volumen alto del trfico ms rpidamente que un puente. Los
switches de alta calidad pueden soportar numerosos caminos de transporte de
mercancas simultneos, segn la estructura del fabricante de conmutacin. (Los
fabricantes usan el trmino de fabricante de conmutacin para describir la arquitectura
de sus switches.)
de
funcionamiento entre redes mueve datos que vienen de una interfaz a otra interfaz
diferente.
Un hub Ethernet o repetidor cambian bits que vienen a una interfaz a todas las otras
interfaces. Un hub trabaja en la Capa que 1 del modelo OSI y no entiende nada ms
all de bits. Un switch Ethernet es rpido, puente multipuerto que cambia paquetes
basados en la Capa 2 del destino de direccin. Despus de que un switch ha aprendido
una interfaz correcta para usar un destino unicast particular, este paquetes del switch va
aquel destino exclusivo para esa interfaz, a diferencia de un hub que cambia bits a
todas las interfaces. Un router cambia paquetes basados en la Capa 3 direccin de
destino. Por paquetes unicast, el router conmuta exclusivamente a una interfaz.
El sustantivo switch es un buen trmino de ingeniera que no debera ser nublado por
exageraciones de mercadotecnia. En la electrnica, un switch es un dispositivo que
permite o interrumpe el flujo de corriente por un recorrido elctrico. En la industria de
transporte, un switch es un dispositivo hecho de dos carriles movibles diseados para
girar una locomotora de una pista al otro. En el campo conectado a una red, un switch
permite o interrumpe el flujo de datos y, aunque esto no gire una locomotora, esto gira
realmente bits, y paquetes.
Un motor de conmutacin.
El motor de conmutacin rastrea paquetes que fluyen al procesador de ruta y atrs otra
vez, y aprende como el procesador de ruta maneja los paquetes. Despus del primer
paquete en un flujo, el motor de conmutacin envia los paquetes para aquel flujo sin
enviarles al procesador de ruta.
PortFast
Cuando un switch arranca, cada puerto del switch pasa por los estados de bloqueo, la
escucha, el aprendizaje, y el transporte. La transicin al estado de transporte de la
inicial que bloquea el estado puede tomar 30 segundos o ms. Esta cantidad de tiempo
beneficia el desarrollo de un loop-free spanning tree que atraviesa cuando los puertos
se conectan a otros switches, pero esto puede ser un problema serio para un puerto
que
conecta una estacin de trabajo o el servidor. Usted podra encontrar uno o varios
mensajes de error siguientes en una estacin de trabajo o servidor:
Novell cliente de NetWare no tiene " Novell Login Screen" sobre bootup.
En AppleTalk, la tardanza de arranque puede causar a un cliente que usa una direccin
de capa de red dinmica que es un duplicado de la direccin de otra estacin. Este
puede causar problemas serios tanto para el cliente recin booteado como para el
cliente que usaba ya la direccin. Adems, un cliente puede no tener noticias de un
router y decidir que esto est en una LAN solo sin un router. Este lo har imposible para
el cliente de comunicarse con cualquier dispositivo no en su segmento de LAN. La
aplicacin de escoger del cliente puede mostrar una lista de zona vaca o incompleta.
Con redes de IP, el problema ms serio con la tardanza de arranque de puerto de switch
es que un cliente puede en el intervalo de espera estar esperando a recibir una
direccin de IP de un servidor DHCP. Con algunas realizaciones, si esto pasa, el cliente
usa una direccin de la variedad de Direcciones de IP privada automtica. Esta
direccin no permite la comunicacin a travs de un router, el que significa que los
usuarios no pueden alcanzar el Internet y servidores posiblemente corporativos
tambin.
Si usted conecta un puerto de switch a una estacin de trabajo o servidor que tiene una
tarjeta de interfaz de red sola (NIC), el riesgo que la unin crear un loop es mnimo.
Por lo tanto, no hay ninguna necesidad del puerto para esperar 30 segundos antes de
entrar en el estado de transporte. Cisco soporta una caracteristica llamado PortFast
que mueve un puerto inmediatamente al estado de transporte, sin requerir que ello
pasara por el bloqueo, la escucha, y el aprendizaje de estados. La caracteristica no
incapacita STP. Esto simplemente hace que STP salte unos pasos innecesarios cuando
un puerto de switch conecta una estacin de trabajo o el servidor.
El PortFast se supone para ser usado slo en puertos que no conectan otro switch. Sin
embargo, a veces este es imprevisible, especialmente como los usuarios y el subalterno
conectan a la red a administradores se hacen el sentido comn ms conectado a una
red y deciden instalar su propio equipo. Para proteger una red que usa PortFast, Cisco
tambin apoya una caracteristica llamado la Guardia de BPDU que cierra un puerto
PortFast-permitido si un BPDU de otro interruptor es recibido. Usted tambin puede
permitir la Filtracin de BPDU, que asegura que PortFast-permitido puertos no envan
BPDUs.
UplinkFast y BackboneFast
El UplinkFast es una caracteristica de Cisco que puede ser configurado en switches de
capa de acceso. El UplinkFast mejora el tiempo de convergencia de STP en caso de un
fracaso de uplink redundante de un switch de capa de acceso. Un uplink es una
conexin de un switch de capa de acceso a un switch final ms alto en la capa de
distribucin de un diseo de red jerrquico. La figura nro.29 ilustra un diseo de red
redundante, jerrquico tpico. Los usuarios estn relacionados para cambiar en la capa
de acceso. El switch de capa de acceso es atado a dos interruptores de capa de
distribucin. Uno de los uplinks es bloqueado por STP. (STP tambin ha bloqueado uno
de los enlaces entre la distribucin y capas principales.)
Si el puerto raz falla o la primaria el uplink falla, un puerto del grupo uplink es
seleccionado para sustituir inmediatamente el puerto raz. El UplinkFast debera ser
configurado slo en switches de capa de acceso en el borde de su red y no en
distribucin o switches de capa core.
Cisco tambin soporta una caracteristica llamado BackboneFast, que puede salvar un
switch hasta 20 segundos (Edad Mxima) reponindose de un fallo de enlace indirecto
que ocurre en un puerto no local. Cuando permitido en todos los switches en una red
cambiada, las velocidades de BackboneFast convergen despus de un fallo
aprovechando el hecho que un switch implicado en un fallo no local puede ser capaz de
moverse en el estado que escucha inmediatamente. En algunas topologas, no es
necesario para un switch para esperar el temporizador de Edad Mximo a transcurrir. El
switch primero comprueba con otros switches para determinar si su estado es vlido. La
comprobacin es llevada a cabo con dos unidades de datos de protocolo Ciscopatentadas (PDUs) llamado la Pregunta de enlace Raz (RLQ) y la Respuesta RLQ.
El UDLD permite que dispositivos conectados por cables pticos de fibra o de cobre
Ethernet supervisen la configuracin fsica de los cables y descubran cuando existe un
enlace unidireccional. Cuando un enlace unidireccional es descubierto, UDLD cierra el
puerto afectado y alerta al usuario. Un puerto del switch que es configurado para usar
UDLD transmite mensajes UDLD peridicamente a los dispositivos vecinos. Los
dispositivos durante ambos finales de un enlace deben apoyar UDLD para el protocolo
para identificar con xito e deshabilitar enlaces unidireccionales.
Loop Guard
Cisco tambin soporta una caracteristica llamado la loop guard que esto es intentado
para proporcionar la proteccin adicional contra loop causados por un puerto de
bloqueo que errneamente mueve al estado de transporte. Este por lo general pasa
porque uno de los puertos de una topologa fsicamente redundante (no necesariamente
el puerto de bloqueo) deja de recibir BPDUs, quizs debido a un problema de enlace
unidireccional.
Si esta habilitado loop guard y BPDUs no son recibidas en un puerto no designado, los
movimientos de puerto en el estado inconsistente de loop en vez de moverse al estado
escucha, aprendizaje, y transporte. Sin la loop guard STP, el puerto asumira el papel de
puerto designado y el movimiento al estado de transporte , y as creara un loop.
Cuando un BPDU es recibido en un puerto en un estado inconsistente de loop, las
transiciones de puerto en otro estado STP. Este significa que la recuperacin es
automtica, y ninguna intervencin es necesaria.
Usted puede elegir UDLD o la Loop Guard STP, o ambos, que es recomendado. El
UDLD trabaja mejor que la Loop Guard en EtherChannel (que es una agrupacin de
interfaces de Ethernet en un canal lgico). El UDLD desabilita slo el interfaz fallado. El
canal permanece funcional con las interfaces restantes. La Loop Guard STP bloquea el
canal entero en tal falla (ponindolo en el estado de loop-inconsistente).
El Loop Guard no trabaja donde el enlace ha sido unidireccional ya que fue primero
probado. El puerto nunca puede recibir BPDUs, pero no reconocer que hay un problema
y hacerse un puerto designado. El UDLD proporciona la proteccin contra tal problema.
Por otra parte, UDLD no protege contra fallas STP causados por problemas de software
que causan un puerto designado que no enva a BPDUs. Los problemas de software
son menos probables que problemas de hardware, pero ellos podran pasar. El permiso
tanto UDLD como Loop Guard proporciona el nivel ms alto de proteccin.
Cuando VLANs son puestos en prctica en una red cambiada, los switches necesitan
un mtodo de asegurarse que el trfico intra-VLAN va a los interfaces correctos. Para
beneficiarse de las ventajas de VLANs, los switches tienen que asegurar que el trfico
destinado a VLAN particular va a esta VLAN y no a cualquier otro VLAN. Este puede ser
llevado a cabo etiquetando paquetes con la informacin VLAN. Los Sistemas de Cisco
soportan el protocolo enlace de Inter-switch (ISL) e IEEE 802.1Q para la marcacin.
Estos protocolos fueron mencionados en El captulo 5, pero las secciones siguientes
proporcionan unos detalles ms y tambin cubren el Cisco VLAN protocolo de direccin,
VLAN Protocolo trunk (VTP).
Un enlace que lleva el trfico para multiples VLANs es llamado trunk. Antes de colocar
un paquete en un trunk, ISL encapsula el paquete en la cabecera ISL y envia. La
cabecera incluye un VLAN ID. El paquete mantiene la encapsulacin ISL cuando esto
viaja a travs de la red cambiada, hasta que sea enviado a un puerto de enlace de
acceso a un sistema final. Antes de salir al puerto de enlace de acceso, el switch quita
la informacin ISL. Como el paquete lleg con un VLAN ID, el switch sabe qu
interfaces deberan recibir el paquete si esto es un multicast o un broadcast.
En redes cambiadas grandes, usted debera dividir la red en multiples dominios VTP. La
divisin de la red en mltiples dominos reduce la cantidad de informacin VLAN que
cada switch debe mantener. Un switch acepta la informacin VLAN slo de switches en
su dominio. Los dominios VTP son sueltamente anlogas a sistemas autnomos en una
red ruteada donde un grupo de routers comparte polticas administrativas comunes.
Multiples Dominios VTP son recomendadas en redes grandes. En tamao medio y
pequeas redes, un dominio VLAN sola es suficiente y minimiza problemas potenciales.
Los switches Cisco pueden ser configurados en servidor VTP, cliente, o modo
transparente. En el modo de servidor VTP, usted puede crear, modificar, y suprimir
VLANs. Los servidores de VTP salvan sus configuraciones VLAN cuando ellos son
impulsados abajo. Los clientes de VTP intercambian la informacin con otros clientes
VTP y servidores, pero usted no puede crear, cambiar, o suprimir VLANs en un cliente
VTP. Usted debe hacer esto en un servidor VTP. Los clientes de VTP no salvan sus
configuraciones VLAN cuando impulsado abajo. Sin embargo, la mayor parte de
switches deberan ser clientes para evitar la informacin VLAN que se desincronice si
las actualizaciones son hechas en muchos switches.
RIP
version
1
Vector
Distanci
ao
estado
de
Dista
nce
vecto
r
Interio
ro
Exteri
Interio
r
Classf
ul or
Classl
ess
Classf
ul
Metrica
soport
ada
Hop count
Escalabilida
d
15 hops
Tiempo de
Convergen
cia
Can be long (if
no load
balancing)
RIP
version
2
Dista
nce
vecto
r
Interio
r
Classle
ss
Hop count
15 hops
IGRP
Dista
nce
vecto
r
Interio
r
Classf
ul
Bandwidth,
delay,
reliability,
load
255
hops
(defau
lt
is
100)
Quick (uses
triggered
updates and
poison
reverse)
EIGRP
Advan
ced
Distan
ce
vector
Interio
r
Classle
ss
Bandwidth,
delay,
reliability,
load
1000
s of
router
s
Very quick
(uses DUAL
algorithm)
OSPF
Link
state
Interio
r
Classle
ss
Cost (100
million
divided by
bandwidth
on Cisco
routers)
Quick (uses
link- state
advertisements
and hello
packets)
BGP
Pat
h
ve
cto
r
Exteri
or
Classle
ss
IS-IS
Link
state
Interio
r
Classle
ss
RTMP
Dista
nce
vecto
r
Interio
r
N/A
Value of
path
attributes
and other
configurab
le factors
Configure
d path
value, plus
delay,
expense,
and errors
Hop count
A few
hundred
routers
per
area, a
few
hundred
1000
s of
router
s
AURP
Dista
nce
vecto
r
Inter
ior
or
exte
rior
N/A
Hop count
Hundred
s of
routers
per area,
a few
hundred
15 hops
15 hops
on each
side
Quick (uses
update and
keepalive
packets, and
withdraws
routes)
Quick (uses
link- state
advertisemen
ts)
Can be
long
Pretty quick
(supports
summarizati
on)
Consu
mo de
recurso
Mem
ory:
low
CPU:
low
Bandwi
Mem
ory:
low
CPU:
low
Bandwi
Mem
ory:
low
CPU:
low
Bandwi
Memory
:
moderat
e CPU:
low
Bandwi
Mem
ory:
high
CPU:
high
Bandwi
dth: low
Mem
ory:
high
CPU:
high
Bandwi
Mem
ory:
high
CPU:
high
Bandwi
Memor
y:
moder
ate
CPU:
moderat
e
Mem
ory:
low
CPU:
modera
Soporta
Securidad
?
Autenticac
in
No
Facil
diseo
de
maten
er y
Easy
Yes
Easy
No
Easy
Yes
Easy
Yes
Moder
ate
Yes
Moder
ate
Yes
Moder
ate
No
Easy
Yes
Moder
ate
Classf
ul or
Classl
ess
Interio
ro
Exteri
Metrica
soport
ada
Escalabilida
d
Tiempo de
Convergen
cia
Consu
mo de
recurso
Bandwi
dth: low
Memo
ry:
moder
ate
CPU:
moderat
e
Mem
ory:
high
CPU:
high
Bandwi
IPX RIP
Dista
nce
vecto
r
Interio
r
N/A
Ticks and
hop count
15 hops
Pretty quick
(uses
immediate
updates)
NLSP
Link
state
Interio
r
N/A
Cost
(an
integer
betwee
n1
and 63)
127 hops
Quick (uses
link- state
packets and
hierarchical
routing)
Soporta
Securidad
?
Autenticac
in
Facil
diseo
de
maten
er y
No
Easy
Yes
Moder
ate
10.0.0.0
172.16.0.
0
172.17.0.
0
172.18.0.
0
192.168.1
.0
192.168.2
.0
Distancia (en
Saltos)
Enve (a Despus
Puerto 1
(directamente
0
Puerto 2
(directamente
1
172.16.0.2
172.16.0.2
10.0.0.2
10.0.0.2
Salto)
Un protocolo vector distancia enva su tabla de enrutamiento a todos los vecinos. Esto
enva un paquete de broadcast que alcanza todos otros routers en el segmento local (y
cualquier host que usa la informacin de enrutamiento). Los protocolos de vector
distancia pueden enviar la tabla entera cada vez, o ellos pueden enviar simplemente
actualizaciones despus de la primera transmisin y slo de vez en cuando enviar la
tabla de enrutamiento completa.
Cuando los routers transmiten sus broadcast a las tablas de enrutamiento, ellos
simplemente envan la de Red y Distancia que se pone dentro la tabla. Ellos no envan
en la(Salto Despus) columna Send To, que es una de las causas del problema de loop.
La secuencia de acontecimientos que pueden conducir a un loop de enrutamiento es
como sigue:
1.
2.
3.
4.
5.
6.
7.
Los loop de paquetes de ac para all del Router A al Router B se envian hasta que el
valor de tiempo IP expiran. (El tiempo a vivo es un campo en la cabecera IP de un
paquete IP que es decrementedo cada vez que un router procesa el paquete.)
Para hacer asuntos peores, sin el horizonte dividido, en algn punto del Router A enva
una actualizacin de ruta que lo dice puede conseguir Conectarse a la red 172.16.0.0,
causando que el Router B actualize la ruta en su tabla con una distancia de 3. Tanto el
Router A como Router B sigue enviando actualizaciones de ruta hasta llegar a infinito de
los alcances de campo de distancia. (El protocolo de enrutamiento arbitrariamente
define una distancia que significa infinito. Por ejemplo, 16 infinito de medios para RIP.)
Cuando se pone el infinito de distancia, los router quitan la ruta.
Con el enrutamiento estado de enlace, los routers usan un protocolo hello para
establecer una relacin (llamada una adyacencia) con routers vecinos. Cada router
enva la publicacin estado de enlace (LSAs) a cada vecino adyacente. La publicacin
identifica enlaces y mtrica. Cada vecino que recibe una publicacin propaga el anuncio
en sus vecinos. El resultado es que cada router termina con una base de datos estado
de enlace idntica que describe los nodos y enlaces en el grfico de redes. Usando el
algoritmo Dijkstra, cada router independientemente calcula su camino ms corto a cada
red y entra en esta informacin en su tabla de enrutamiento.
El diseo de red es jerrquica, que es por lo general el caso para redes grandes.
de
Los protocolos sin clases, por otra parte, transmiten la longitud del prefijo o la
informacin de la mascar de subnet con la direcciones IP de la red. Con protocolos de
enrutamiento sin clases, el espacio de direccin IP pueden trazar un mapa de modo que
las subredes de discontiguas y VLSM sean soportadas. Los espacios de las direcciones
IP pueden trazar un mapa con cuidado de modo que las subredes sean arregladas en
bloques contiguos, permitiendo las actualizaciones de ruta a ser resumidas en lmites
de rea.
La Mayor parte el ISPs tienen muchas rutas estticas en sus tablas de enrutamiento
para alcanzar las redes de sus clientes. En un ISP, cuando el trfico llega de otros sitios
del Internet con una direccin de destino que empareja la direccin de red asignada a
un cliente, la decisin de encaminamiento es simple. El trfico entra slo en una
direccin, al router del cliente. No hay ninguna necesidad de un protocolo de
encaminamiento.
En routers Cisco, las rutas estticas tienen prioridad sobre rutas al mismo destino que
son aprendidas va un protocolo de enrutamiento. El Cisco IOS Software tambin
soporta una ruta esttica flotante, que es una ruta esttica que tiene una distancia
administrativa ms alta que rutas dinmicamente aprendidas y puede ser as anulada
por rutas dinmicamente aprendidas. Una aplicacin importante de poner a flote rutas
estticas debe proporcionar rutas de backup cuando ninguna informacin dinmica est
disponible.
Una ruta por defecto es un tipo especial de la ruta esttica que es usada cuando no hay
ninguna entrada en la tabla de enrutamiento para una red destino. Tambin se llama a
la ruta por defecto "la ruta de ltimo recurso." En algunos casos, una ruta por defecto es
todo que es necesario. Tome el ejemplo de la red de cliente relacionada con un ISP otra
vez. En el lado de cliente, puede no ser necesario o prctico para aprender rutas a
todas las redes en el Internet. Si hay slo una conexin al Internet (del enlace al ISP),
todo el trfico de Internet tiene que entrar en aquella direccin de todos modos. De este
modo, el diseador de red de empresa puede definir simplemente una ruta por defecto
que seala al router del ISP.
Aunque esttica y rutas por defecto reduzcan el uso de recurso, incluso ancho de banda
y CPU del router y recursos de memoria, la compensacin es una prdida de la
informacin detallada sobre el enrutamiento. Los routers con una ruta por defecto
siempre envan el trfico que no es local a un router de trfico de punto. Ellos no tienen
ningn modo de saber que el otro router puede haber perdido algunas de sus rutas.
Ellos tambin no tienen ningn modo de saber si un destino es siempre inalcanzable
(por ejemplo, cuando alguien hace un ping y enva mltiples ping a numerosas
direcciones de destino IP, algunos de las cuales no son accesibles). Un router con una
ruta por defecto envia estos paquetes. Esto no tiene ningn modo de distinguir los
destinos que esto no puede alcanzar los destinos que ningun router alcanzara. El
enrutamiento por defecto tambin puede hacer que un router use caminos subptimos.
Para evitar estos tipos de problemas, use el enrutamiento dinmica.
Enrutamiento a Peticin
El enrutamiento a peticin (ODR) es una caracteristica patentado por Cisco que
proporciona enrutamiento IP para redes de bloques. El ODR usa el Protocolo de
Descubrimiento Cisco (CDP) para llevar la informacin de enrutamiento mnima entre
un sitio
principal
enrutamiento
bloques
de
routers.
El
ODR
evita
la
sobrecarga
del
Con ODR, el router de bloque proporciona la informacin de ruta por defecto a los
routers de bloques, as eliminando la necesidad de configurar una ruta por defectoen
cada router de bloques. Los routers de bloques usan CDP para enviar la informacin de
prefijo IP para las interfaces directamente conectados al hub. El router de hub instala
rutas de red de bloques en su tabla de enrutamiento. El router de hub tambin puede
ser configurado para redistribuir estas rutas en cualquier IP dinmico configurado el
protocolos de enrutamiento. En el router de bloques, ningna IP del protocolo de
enrutamiento es configurada. Este simplifica la configuracin y es a menudo una
solucin buena para la capa de acceso de una red jerrquicamente diseada.
Como los paquetes no pueden ser de fuentes fidedignas enrutados a todos los destinos
mientras la convergencia ocurre, el tiempo de convergencia es una coaccin de diseo
crtica. El proceso de convergencia debera completar dentro de unos segundos para
aplicaciones sensibles a tiempo, como aplicaciones de voz y aplicaciones SNAbasadas. Cuando SNA es transportado a travs de unas redes IP, un protocolo rpido
que converge como OSPF es recomendado. Los protocolos estados de enlace fueron
diseados para convergir rpidamente. Algunos protocolos de vector de distancia, como
EIGRP, tambin fueron diseados para la convergencia rpida.
Enrutamiento de IP
Los Protocolos de Enrutamientos IP ms comn es el RIP, IGRP, EIGRP, OSPF, IS - IS,
y BGP. Las secciones siguientes describen un poco de la performance y las
caractersticas de escalabilidad de los estos protocolos para ayudarle a seleccionar los
protocolos correctos para su cliente de diseo de red.
RIP permite 25 rutas por paquete, entonces en redes grandes, se requiere que
paquetes mltiples enven la tabla de enrutamiento entera. La utilizacin de ancho de
banda es una cuestin en redes de RIP grandes que incluyen enlaces de ancho de
banda baja.
RIPv2: Soporta subredes, CIDR y VLSM. Soporta autenticacin utilizando uno de los
siguientes mecanismos: no autentificacin, autentificacin mediante contrasea,
autentificacin mediante contrasea codificada mediante MD5. Su especificacin est
recogida en el RFC 1723-2453.
Funcionamiento RIP
RIP utiliza UDP para enviar sus mensajes y el puerto bien conocido 520.
RIP calcula el camino ms corto hacia la red de destino usando el algoritmo del vector
de distancias. Esta distancia se denomina mtrica. En RIPv1 la mtrica es esttica y
vale 1, en cambio se puede modificar su valor en RIPv2.
RIP no es capaz de detectar rutas circulares, por lo que necesita limitar el tamao de la
red a 15 saltos. Cuando la mtrica de un destino alcanza el valor de 16, se considera
como infinito y el destino es eliminado de la tabla (inalcanzable).
Las rutas tienen un tiempo de vida de 180 segundos. Si pasado este tiempo, no se han
recibido mensajes que confirmen que esa ruta est activa, se borra. Estos 180
segundos, corresponden a 6 intercambios de informacin.
Ventajas y desventajas
En comparacin con otros protocolos de enrutamiento, RIP es ms fcil de configurar.
Adems, es un protocolo abierto, soportado por muchos fabricantes.
Por otra parte, tiene la desventaja que, para determinar la mejor mtrica, nicamente
toma en cuenta el nmero de saltos (por cuntos routers o equipos similares pasa la
informacin); no toma en cuenta otros criterios importantes, especialmente el nmero de
saltos. Esto puede causar ineficiencias, ya que puede preferir una ruta de bajo ancho de
banda, simplemente porque ocupa menos saltos.
Mensajes RIP
Tipos de mensajes RIP
Los mensajes RIP pueden ser de dos tipos.
Peticin: Enviados por algn enrutador recientemente iniciado que solicita informacin
de los enrutadores vecinos.
de
ruta era
tambin ms atractivo
que
el temporizador
de
Tardanza. Una suma de todas las tardanzas para interfaces salientes en el camino.
Cada tardanza est inversamente proporcional al ancho de banda de cada interfaz
saliente. La tardanza no es calculada dinmicamente.
El IGRP permite el equilibrio de carga sobre caminos-iguales-mtricas y no-caminosmtricas-iguales. En IGRP la caracteristica variance significa que si un camino es tres
veces mejor que el otro, el mejor camino puede ser usado tres veces ms que el otro
camino. (Slo las rutas con la mtrica que son dentro de una cierta variedad de la mejor
ruta pueden ser usadas como caminos mltiples. Refirase a la documentacin de
configuracin Cisco para ms informacin.)
El IGRP tiene un mejor algoritmo para publicar y seleccionar una ruta por defecto tanto
como la hace RIP. RIP permite que un administrador de red configure una ruta por
defecto, que es identificada como la red 0.0.0.0. El IGRP, por otra parte, permite que
verdaderas redes sean sealadas como candidatos por ser una falta. Peridicamente,
IGRP explora todas las rutas candidatas a rutas por defecto y elige el que tiene la
mtrica ms baja para ser la ruta por defecto actual. Este caracteristica permite ms
flexibilidad y la mejor performance que la ruta por defecto esttica de RIP.
EIGRP usa la mismo metrica compuesta que IGRP usa y permanece un protocolo de
vector de distancia. EIGRP tiene muchos caracteristicas avanzadas y comportamientos
no encontrados en IGRP u otros protocolos de vector de distancia, sin embargo Aunque
EIGRP todava enve vectores con la informacin de distancia, las actualizaciones son
no peridicas, parciales, y saltaron. No peridico significa que las actualizaciones son
enviadas slo cuando hay cambios en la mtrica ms bien que con regularidad. Parcial
significa que las actualizaciones incluyen slo rutas que se han cambiado, no cada
entrada en la tabla de enrutamiento. Saltado significa que las actualizaciones son
enviadas slo a roters afectados. Estos comportamientos significan que EIGRP usa
ancho de banda muy pequea.
A Diferencia de IGRP, las publicaciones de EIGRP llevan una longitud de prefijo con
cada nmero de red, que hace EIGRP un protocolo sin clases.
En ausencia, EIGRP resume rutas en los lmites de red de classful, sin embargo.
Sumarizacin automtica puede ser apagada y manual sumarizacin usada a cambio,
que puede ser provechoso cuando una red incluye subredes de discontiguas.
DUAL es una razn que EIGRP usa considerablemente menos ancho de banda que
IGRP u otros protocolos de vector de distancia. Un router que usa DUAL desarrolla su
tabla de enrutamiento usando el concepto de un sucesor factible. Un sucesor factible es
un router vecino que tiene el camino de lo-menos-costo a un destino. Cuando un router
descubre que un enlace ha fallado, si un sucesor factible tiene una ruta alterna, cambia
al router a la ruta alterna inmediatamente, sin causar algn trfico de red. Si no hay
ningn sucesor, el router enva una pregunta a vecinos. La pregunta se propaga a
travs de la red hasta que una nueva ruta sea encontrada.
Un router EIGRP desarrolla una tabla de topologa que contiene todos los destinos
anunciados por routers que colindan. Cada entrada en la tabla contiene un destino y
una lista de vecinos que han publicado el destino. Para cada vecino, la entrada incluye
la mtrica que el vecino publico para aquel destino. Un router calcula su propio mtrica
para el destino usando la metrica de cada vecino en la combinacin con loa metrica del
vecino los usa el router para alcanzar al vecino. El router compara la mtrica y
determina el camino de costo ms bajo a un destino y un sucesor factible para usar por
si el camino de costo ms bajo falle.
EIGRP puede escalar a miles de nodos. Para asegurar la buena performance en redes
grandes, EIGRP debera ser usado en redes con topologas jerrquicas simples.
Las redes de OSPF pueden ser diseadas en reas jerrquicas, que reduce
memoria y requerimientos de CPU en routers.
Para minimizar la utilizacin de ancho de banda, OSPF propaga slo cambios. Otro
trfico de red es limitado con paquetes de sincronizacin de base de datos que ocurren
con poca frecuencia (cada 30 minutos) y paquetes hello que establecen y mantienen
adyacencias vecinas y son usados para decidir un router designado en LANs. Los
Hellos son enviados cada 10 segundos. En dialup y enlaces de RDSI configurados
como el
circuito de demanda, OSPF nunca puede estar quieto. En este caso, los
Todos los routers dirigen el mismo algoritmo, en paralelo. De la base de datos de estado
de enlace, cada router construye un rbol de los caminos ms cortos, asi como la raz
del rbol. El rbol de camino ms corto proporciona la ruta a cada destino. La
informacin de enrutamiento por fuera sacada aparece en el rbol como hojas. Cuando
varias rutas de costo igual a un destino existen, el trfico es distribuido igualmente entre
ellos.
Segn RFC 2328, el costo de una ruta es descrito por "una sola mtrica sin
dimensiones " que es "configurable por un administrador de sistema."
Un costo tiene que ver con el lado de salida de cada interfaz del router. El costo mas
bajo, es ms probablemente el interfaz debe ser usado para enviar el trfico de datos.
Un costo tambin tiene que ver con rutas por fuera sacadas (por ejemplo, rutas
aprendidas de un protocolo de enrutamiento diferente).
En un router Cisco, el costo de una interfaz por defecto a 100,000,000 dividido con el
ancho de banda para el interfaz. Por ejemplo, tanto FDDI como Ethernet 100-Mbps
tienen un costo de 1. El costo puede ser a mano configurado. Por lo general es lo mejor
si ambos finales de un enlace usan el mismo costo. Si un router Cisco es un final de un
enlace y un router non-Cisco es al otro final, usted podra tener que configurar a mano
el costo. Como OSPF define el costo mtrica tan ampliamente, no se requiere que
vendedores convengan como el costo es definido.
Arquitecturas de OSPF
El OSPF permite que conjuntos de redes sean agrupados en reas. La topologa de un
rea es escondida del resto del sistema autnomo. Escondiendo la topologa de un
rea, el trfico enrutado es reducido. Tambin, el enrutamiento dentro del rea es
determinada slo por la propia topologa del rea, proporcionando la proteccin de rea
de datos de enrutamientos malos. Dividiendo routers en reas, la memoria y los
requerimientos de CPU para cada router son limitadas.
Un backbone contiguo de rea, es llamada el rea 0, cuando una red de OSPF es
dividida en reas. Cada otra rea se conecta al rea 0 va un router de frontera de rea
(ABR), como mostrado en la figura nro.31. Todo el trfico entre reas debe viajar por el
Adems de ABRs, una red de OSPF puede incluir uno o varios routers de lmite de
sistema autnomos (ASBRs). Un ASBR conecta una red de OSPF a un sistema
autnomo diferente o a una red que usa un protocolo de enrutamiento adems de
OSPF. Por ejemplo, un ASBR podra conectar una red de campus OSPF interna al
Internet.
Cuando disee una red de OSPF, asegrese para asignar nmeros de red en bloques
que pueden ser sumarizados. Un ABR debera sumarizar rutas detrs de ello para evitar
routers en el backbone y otras reas que tiene que saber detalles sobre un rea
particular. La sumarizacin debe ser configurada en routers Cisco con el comando de
area-range
Un ABR que conecta una red de bloques puede ser configurado para inyectar una ruta
por defecto en el rea de bloque para todas las redes externas que son fuera del
sistema autnomo o son aprendidas de otros protocolos de enrutamiento. El router
tambin puede ser configurado para inyectar una ruta por defecto para rutas internas
sumarizadas o no sumarizadas a otras reas. Si un router inyecta una ruta por defecto
para todas las rutas, Cisco llama el rea un rea totalmente stubby. Las reas
totalmente stubby son una tcnica Cisco que trabaja a lo largo de todas las areas
stubby ABRs son router Cisco.
sistema autnomo que es diferente del enlace usado por el resto de las redes para
alcanzar el mundo exterior.)
Como con OSPF, IS - IS puede ser puesto en prctica en una manera jerrquica. Un
router puede desempear papeles diferentes:
En IS - IS, el lmite entre reas est en un enlace entre routers. Un router pertenece
slo una rea. En la comparacin, en OSPF, los lmites de rea residen dentro de un
ABR. Algunos interfaces de router en el ABR pertenecen a una rea y otros interfaces
pertenecen a otra rea. Con IS - IS, todas las interfaces de router estn en la misma
rea. Este hace IS - IS algo ms modular y significa que en algunos casos, un rea
puede ser mejorada sin afectar tan muchos routers.
Nivele 1 router dentro de un rea (incluso el Nivel 1-2 routers) mantienen una base de
datos estado de enlace idntica que define la topologa de su rea. Nivele 2 (incluso el
Nivel 1-2 routers) tambin mantienen una base de datos estado de enlace separada
para la topologia del Nivel 2.
A Diferencia de OSPF ABRs, Nivele 1-2 routers no publican el Nivel 2 rutas para Nivelar
1 router. Un Nivel 1 router no tiene ningn conocimiento de destinos fuera de su propia
rea. Este hace IS - IS ms eficiente que OSPF, en cuanto al uso de CPU y el
procesamiento
de
publicaciones,
aunque
la
funcionalidad
similar
pueda
ser
BGP interno (iBGP) puede ser usado en compaa grande a la ruta entre dominios.
BGP externo (eBGP) est usado en ruta entre compaas y participar en el
enrutamiento de Internet global. El eBGP a frecuentemente usado en multihome
empresarial conexin al Internet. Esto es una idea falsa comn que el multihoming
requiere BGP, pero este no es verdad. Segn los objetivos de un cliente y la flexibilidad
de las polticas de su ISP, usted puede multihome con rutas por defecto, como fue
hablado en El captulo 5. El correr eBGP puede ser desafiante, requiriendo un
entendimiento de las complejidades del enrutamiento de Internet. El eBGP debera ser
recomendado slo a compaas que tienen a ingenieros de red mayores, y una relacin
buena con su ISPs. Un ingeniero de red inexperto puede configurar eBGP de tal modo
que causa problemas para el Internet entero. Tambin, el eBGP debera ser usado slo
en routers con mucha memoria, una CPU rpida, y una conexin de ancho de banda
alta al Internet. Una tabla de enrutamiento de Internet contiene ms de 100,000 rutas y
crece continuamente cuando el Internet se ampla y ms compaas usan BGP a la
multihome.
El OSPF impone un diseo jerrquico estricto. Las reas de OSPF deben trazar un plan
al mapa al direccionamiento IP, que puede ser difcil de conseguir. EIGRP y IS - IS son
ms flexibles en cuanto a la estructura jerrquica e al diseo de direccionamiento IP.
EIGRP es un protocolo patentado Cisco, sin embargo Aunque Cisco lo haya licenciado
a unos vendedores, si los productos de otros vendedores deben ser usados en la
realizacin del diseo de red, entonces EIGRP no podra ser una solucin buena. O
bien, EIGRP puede ser usado en el core con la redistribucin a otro protocolo de
enrutamiento en la capa de distribucin.
Resumen
Este captulo proporcion la informacin para ayudarle a seleccionar los correctos
protocolos de enrutamiento para el diseo de su red al cliente. El captulo cubri
escalabilidad y caractersticas de performance de los protocolos y habl de como
rpidamente los protocolos pueden adaptarse a cambios.
Este captulo comenz con una discusin genrica sobre la fabricacin de decisin a
ayudarle a desarrollar un proceso sistemtico para seleccionar soluciones de diseo de
red. Una discusin de tender un puente y cambiar protocolos sigui, que cubri la
conmutacin que tiende un puente, de mltiples capas transparente, realces para STP,
y protocolos VLAN. Una seccin en el protocolos de enrutamiento sigui la seccin de
conmutacin.
El objetivo de este captulo es ayudarle a trabajar con sus clientes el diseo de red en el
desarrollo de estrategias de seguridad eficaces, y ayudarle a seleccionar las tcnicas
correctas para poner en prctica las estrategias. El captulo describe los pasos para
desarrollar una estrategia de seguridad y cubre algunos principios de seguridad
bsicos. El captulo presenta un acercamiento modular al diseo de seguridad que le
dejar aplicar soluciones acodadas que protegen una red desde muchos puntos de
vista. Las secciones finales describen mtodos para asegurar los componentes de una
red de empresa tpica que son la ms que estan en peligro, incluso coinexiones de
Internet, redes de acceso remoto, y red de servicios de usuario, y redes inalmbricas.
La seguridad debera ser considerada durante muchos pasos del proceso de diseo de
red top down. Este no es el nico captulo que cubre la seguridad. El captulo 2,
"Analizando Objetivos Tcnicos y Restricciones," activos de red hablados que se
identifican, analizando riesgos a la seguridad, y desarrollando requerimientos de
seguridad. El captulo 5, "Diseando una Topologa de Red," topologas de red seguras
cubiertas. Este captulo se concentra en estrategias de seguridad y mecanismos.
2.
3.
4.
5.
6.
7.
8.
9.
La seguridad de red debera ser un proceso perpetuo. Los riesgos se cambian con el
tiempo y la seguridad tambin . Los expertos de seguridad de Cisco usan la rueda de
seguridad de trmino para ilustrar aquella realizacin, escucha, pruebas, y el
mejoramiento de la seguridad es un proceso interminable. Muchos ingenieros de
seguridad agotados por tanto trabajo podran estar relacionados con el concepto de
rueda. Continuamente la actualizacin de mecanismos de seguridad para mantenerse
al corriente de los ltimos ataques puede hacer a veces una sensacin de administrador
un poco como un hmster en una rueda de formacin.
Los activos de red pueden incluir a hosts de red (incluso sistemas operativos de los
hosts, aplicaciones, y datos), dispositivos de funcionamiento entre redes (como routers
e switches), y conectar a la red datos que cruzan la red. Menos obvio, pero todava muy
importante, los activos incluyen propiedad intelectual, secretos de fabricacin, y
reputacin de una compaa.
aos pasados.) Ver La parte 2 para ms detalles contra anlisis de riesgo y reunin de
requerimientos.
Como diseador de red, usted puede ayudar al cliente a evaluar qu servicios son
definitivamente necesarios, basados en los objetivos comerciales y tcnicos del cliente.
A veces los nuevos servicios son aadidos innecesariamente, simplemente porque ellos
son la ltima tendencia. La adicin de servicios podra requerir que nuevos filtros de
paquete en routers y firewall protegieran los servicios, o procesos de autenticacin de
usuario adicionales para limitar el acceso con los servicios, aadiendo la complejidad a
la estrategia de seguridad. Las estrategias de seguridad demasiado complejas deberan
ser evitadas porque ellos pueden ser contraproducentes. Las estrategias de seguridad
complicadas son difciles de poner en prctica correctamente sin introducir agujeros de
seguridad inesperados.
Cmo van los usuarios finales, gerentes, y personal tcnico ser entrenados en
polticas de seguridad y procedimientos?
Ya que una seguridad planean ser tiles, esto tiene que tener el apoyo de todos los
niveles de empleados dentro de la organizacin. Es sobre todo importante que la
direccin corporativa totalmente apoye el plan de seguridad. El personal tcnico en
oficina central y sitios remotos debera compactarse en el plan, como deben los
usuarios finales.
Mecanismos de Seguridad
Esta seccin describe algunos ingredientes tpicos de diseos de red seguros. Usted
puede seleccionar de estos ingredientes diseando soluciones para desafos de
seguridad
comunes,
que
son
descritos
en
el
"Diseo
de
Seguridad
de
Seguridad Fsica
La seguridad fsica se refiere a la limitacin del acceso a recursos de red claves
guardando los recursos detrs de una puerta cerrada con llave. La seguridad fsica
puede proteger una red de mal usos involuntarios del equipo de red por empleados
inexpertos y contratistas. Esto tambin puede proteger la red de hackeres,
competidores, y terroristas que andan en de la calle y cambian configuraciones de
equipo.
Segn el nivel de proteccin, la seguridad fsica puede proteger una red de terrorista y
acontecimientos biohazard, incluso bombas, cadas radiactivas, etctera. La seguridad
fsica tambin puede proteger recursos de catstrofes como inundaciones, fuegos,
tormentas, y terremotos.
Segn su cliente el diseo de una red particular, la seguridad fsica debera ser
instalada para proteger routers core, puntos de demarcacin, tendido de cables,
mdems,
servidores, hosts, almacenaje de backup, etctera. Trabajo con su cliente durante las
etapas tempranas del proyecto de diseo de red de asegurarse el equipo ser colocado
en cuartos de computadora que tienen acceso de llave de tarjeta y/o guardias de
seguridad. Los cuartos de computadora tambin deberan ser equipados
con
Como la seguridad fsica es un requerimiento tan obvio, es fcil olvidar de planear para
ello, pero nunca debera ser pasado por alto o considerado menos importante que otros
mecanismos de seguridad. Como mencionado en el "Topologas de Diseo de Red
Seguras"seccin de La parte 5, usted debera comenzar a trabajar con su cliente el
diseo a principios del proyecto del diseo de asegurarse que el equipo crtico ser
protegido. La planificacin para la seguridad fsica debera comenzar durante las fases
tempranas del proceso de diseo top down por si haya tiempos de criticos para
construir o instalar mecanismos de seguridad.
Autenticacin
La autenticacin se identifica quin solicita servicios de red. El termino autenticacin por
lo general se refiere a la autenticacin de usuarios, pero esto puede referirse a la
autenticacin de dispositivos o procesos de software tambin. Por ejemplo, algunos
protocolos de enrutamiento soportan la autenticacin de ruta, por lo cual un router debe
pasar algunos criterios antes de que otro router acepte sus actualizaciones de
enrutamiento.
La mayor parte de polticas de seguridad declaran que para tener acceso a una red y
sus servicios, un usuario debe entrar un login ID y password que estos seran
autenticados por un servidor de seguridad. Para maximizar la seguridad, las
contraseas (dinmicas) one-time pueden ser usadas. Con sistemas de contrasea
one- time, la contrasea de un usuario siempre se cambia. Este a menudo es llevado a
cabo por una tarjeta de seguridad, tambin llamada un Smartcard. Una tarjeta de
seguridad es un dispositivo fsico de tamao de una tarjeta de crdito. El usuario escribe
a mquina un nmero de identificacin personal (PIN) en la tarjeta. (El PIN es un nivel
inicial de la seguridad que simplemente da el permiso al usuario de usar la tarjeta.) la
tarjeta proporciona una contrasea one-time que es usada para tener acceso a la red
corporativa durante un tiempo limitado. La contrasea es sincronizada con un servidor
central de tarjeta de seguridad que reside en la red. Las tarjetas de seguridad son
comnmente usados por teleoperadores y usuarios mviles. Ellos no son por lo general
usados para el acceso de LAN.
aparece
como
una
contrasea
clsica,
un
nmero
personal
de
Algo el usuario tiene. Este por lo general implica la posesin fsica de un artculo
que es nico al usuario. Los ejemplos incluyen tarjetas de token de contrasea,
tarjetas de seguridad, y llaves de hardware.
Algo el usuario es. Este implica la verificacin de una caracterstica fsica nica del
usuario, como una huella digital, modelo de retina, voz, o cara.
Muchos sistemas usan dos factores de autenticacin, que requiere que un usuario
tenga dos pruebas de la identidad. Un ejemplo es un sistema de control de acceso que
requiere una tarjeta de seguridad y una contrasea. Con la autenticacin de dos
factores, un compromiso de un factor no conduce a un compromiso del sistema. Un
atacante podra aprender una contrasea, pero la contrasea es intil sin la tarjeta de
seguridad. A la inversa, si la tarjeta de seguridad es robada, no puede ser usado sin la
contrasea.
Autorizacin
Mientras que la autenticacin controla quin puede tener acceso a recursos de red, la
autorizacin dice lo que ellos pueden hacer despus de que ellos han tenido acceso a
los recursos. La autorizacin concede privilegios a procesos y usuarios. La autorizacin
deja una partes de control de administrador de seguridad de una red (por ejemplo,
directorios y archivos en servidores).
Los expertos de seguridad recomiendan el uso del principio de menor parte de privilegio
en la realizacin de la autorizacin. Este principio est basado en la idea que deberan
dar a cada usuario slo los derechos minimos necesarios de realizar una cierta tarea.
Por lo tanto, un mecanismo de autorizacin debera dar a un usuario slo los permisos
de acceso mnimos que son necesarios. Explcitamente el listado de las actividades
autorizadas de cada usuario con respecto a cada recurso es difcil, entonces las
tcnicas son usadas para simplificar el proceso. Por ejemplo, un administrador de la red
puede crear grupos de usuario para usuarios con los mismos privilegios.
Para redes con polticas de seguridad estrictas, los datos de auditora deberan incluir
todas las tentativas de conseguir la autenticacin y la autorizacin por cualquier
persona. Es sobre todo importante registrar "annimo" o acceso "de invitado" a
servidores pblicos. Los datos tambin deberan registrar todas las tentativas por
usuarios para cambiar sus derechos de acceso.
Los datos collectados deberan incluir nombres de host y usuario para entrada
al
Encriptacin de Datos
La encriptacin es un proceso que rmueve datos para protegerlo de ser ledo por
alguien. Un dispositivo de encriptacin encripta datos antes de colocarlo en una red. Un
dispositivo de desencriptacin descifra los datos antes de pasarlo a una aplicacin. Un
router, el servidor, el sistema final, o el dispositivo dedicado pueden actuar como el
dispositivo de desciframiento o una encriptacin. Los datos que son encriptados son
llamados datos cifrados (o datos simplemente criptografiados). Los datos que no son
encriptados son llamados el texto sin formato o el texto claro.
Los nios a veces juegan con la encriptacin usando un algoritmo simple como "el
hallazgo la letra en la fila superior y usan la letra en la fila de fondo en cambio," y una
llave que podra parecer algo como la tabla nro. 17 siguiente:
Tabla Nro.17
En este ejemplo, LISA es encriptada como WTFI. La llave muestra slo maysculas,
pero hay muchas otras posibilidades tambin, incluso minsculas, dgitos, etctera. La
mayor parte de algoritmos son ms complejos que el que en el ejemplo de nios para
evitar necesidad mantener una llave que incluye un valor para cada carcter posible.
Aunque las llaves secretas sean razonablemente simples de poner en prctica entre
dos dispositivos, como el nmero de dispositivos aumentan, el nmero de llaves
secretas aumentan, que pueden ser difciles de poder manejra. Por ejemplo, una sesin
entre Estacin A y Estacin B usa una llave diferente que una sesin entre Estacin A y
Estacin C, o una sesin entre Estacin B y Estacin C, etctera. Las llaves asimtricas
pueden solucionar este problema.
La estacin de recepcin descifra los datos usando su propia llave privada. Como
ningn otro dispositivo tiene la llave privada de la estacin, ningn otro dispositivo
puede descifrar los datos, entonces la confidencialidad de datos es mantenida. (Los
matemticos y los informticos han escrito programas de computadora que identifican
nmeros especiales para usar para las llaves de modo que el mismo algoritmo pueda
ser usado tanto por el remitente como por receptor, aunque las llaves diferentes sean
usadas.) la Figura Nro. 32 muestra un sistema clave pblico/privado para la
confidencialidad de datos.
Los
sistemas
claves
pblicos/privados
proporcionan
tanto
caracteristicas
de
(IRS). El IRS tiene que saber que las vueltas vinieron de usted y no de un tercero hostil
que quiere hacerlo parecer a usted deben ms que usted.
Usted puede codificar su documento o una parte de su documento con su llave privada,
que resulta en lo que es conocido como una firma digital. El IRS puede descifrar el
documento, usando su llave pblica, como mostrado en la Figura Nro.33. Si el
desciframiento es acertado, entonces el documento vino de usted porque nadie ms
debera tener su llave privada.
La caracteristica de firma digital de llaves asimtricas puede ser usado junto con la
caracteristica para la confidencialidad de datos. Despus de codificar su documento con
su llave privada, usted tambin puede codificar el documento con la llave pblica del
IRS. El IRS descifra el documento dos veces. Si el resultado es datos de texto sin
formato, el IRS sabe que el documento vino de usted y que usted pens para el
documento ir al IRS y no alguien ms.
Filtros de Paquete
Los filtros de paquete pueden ser establecidos en routers, firewall, y servidores para
aceptar o negar paquetes de direcciones particulares o servicios. El paquete filtra
autenticacin de aumento y mecanismos de autorizacin. Ellos ayudan a proteger
recursos de red de uso no autorizado, robo, destruccin, y desmentido de servicio (DoS)
ataques.
Una poltica de seguridad debera declarar si los filtros de paquete ponen en prctica un
o las otras de las polticas siguientes:
Cisco pone en prctica la segunda poltica en sus filtros de paquete, que Cisco llama
listas de control de acceso (ACLs). Un ACL en un router o switch que dirige el Sistema
Operativo de redes Cisco (IOS) que el Software siempre hace que un implcito niegue toda la declaracin al final. Especfico aceptan declaraciones son tratados antes de que
los implcitos nieguen - toda la declaracin. (La declaracin es implcita porque el
administrador realmente no tiene que entrar en ello, aunque esto sea una idea buena de
entrar en ello para hacer el comportamiento de la lista ms obvio.)
Los ACLs le dejan controlar si el trfico de red es enviado o bloqueado en las interfaces
en un router o switch. Las definiciones de ACL proporcionan criterios que son aplicados
a paquetes que entran o salen de una interfaz. Los criterios tpicos son la direccin de
fuente de paquete, la direccin de destino de paquete, o el protocolo de capa superior
en el paquete.
Como Cisco IOS Software prueba un paquete contra cada declaracin de criterios en la
lista hasta que uno sea encontrado, ACLs debera ser diseado con cuidado para
proporcionar una buena interpretacin.
Estudiando el flujo de trfico, usted puede disear la lista de modo que la mayor parte
de paquetes emparejen las condiciones ms tempranas. Menos condiciones de
comprobar por paquete significan el mejor rendimiento. El consejo bueno para ACLs
debe pedir la lista con la mayor parte de declaraciones generales encima y las
declaraciones ms especficas en el fondo, con la ltima declaracin que es general,
implcito niegan - toda la declaracin.
Firewalls
Como dr ha hablado en la Parte 5, un firewall es un dispositivo que hace cumplir
polticas de seguridad en el lmite entre dos o ms redes. Un firewall puede ser un
router con ACLs, una caja de hardware dedicada, o software que corre en un ordenador
personal o sistema UNIX. Los firewall son sobre todo importantes en el lmite entre la
red de empresa y el Internet.
Un firewall tiene un conjunto de reglas que especifican qu trfico debera ser permitido
o negado. Un firewall con filtro de paquete esttico mira paquetes individuales y es
optimizado para simplicidad de configuracin y velocidad. Un firewall stateful puede
rastrear sesiones de comunicacin y ms con inteligencia permitir o negar el trfico. Por
ejemplo, un firewall stateful puede recordar que un cliente protegido inici una peticin
para descargar datos de un servidor de Internet y permitir datos de regreso para aquella
conexin. Un firewall stateful tambin puede trabajar con protocolos, como activo (modo
de puerto) FTP, que requieren que el servidor abra tambin una conexin al cliente.
Otro tipo de firewall es un firewall por poderes. Los firewall por poderes son el tipo ms
avanzado del firewall sino tambin el menos comn. Un firewall por poderes acta como
un intermediario entre hosts, interceptando unos o todo el trfico de aplicacin entre
clientes locales y servidores exteriores. Los firewall por poderes examinan paquetes y
soportan el rastreo de stateful de sesiones. Estos tipos de firewall pueden bloquear el
trfico malvolo as como el contenido que es juzgado inaceptable.
Hay dos tipos de IDSs: reciba IDSs y conecte a la red IDSs. Un host IDS reside en un
host individual y monitorea aquel host. IDS de red supervisa todo el trfico de red que
esto puede ver, mirando para firmas predefinidas de acontecimientos malvolos. IDS de
red a menudo es colocado en una subred que est directamente
relacionada con un
firewall de modo que esto pueda supervisar el trfico que ha sido permitido y busca la
actividad sospechosa.
Conexiones de Internet.
Redes inalmbricas.
El desarrollo de estrategias de seguridad que pueden proteger todas las partes de una
red complicada teniendo un efecto limitado en la facilidad de uso e performance es una
de las tareas ms importantes y difciles relacionadas para conectar al diseo de red. El
diseo de seguridad es desafiado por la complejidad y la naturaleza porosa de redes
modernas que incluyen a servidores pblicos para el comercio electrnico, extranet
conexiones para socios de negocio, y servicios de acceso remoto para usuarios que
alcanzan la red de casa, sitios de cliente, cuartos del hotel, cafeteras de Internet,
etctera. Para ayudarle a manejar las dificultades inherentes en el diseo de la
seguridad de red para redes complejas, esta seccin ensea un acercamiento
sistemtico, top down que se concentra en planificacin y desarrollo de poltica antes de
la seleccin de productos de seguridad.
El objetivo de esta seccin es ayudarle a trabajar con sus clientes de diseo de red en
el desarrollo de estrategias de seguridad eficaces, y ayudarle a seleccionar las tcnicas
correctas para poner en prctica las estrategias. Esta seccin describe los pasos para
desarrollar una estrategia de seguridad y cubre algunos principios de seguridad
bsicos.
La seguridad debera ser considerada durante muchos pasos del proceso de diseo de
red top dwon. Este no es la unica seccin que cubre la seguridad. La parte 2,
"Analizando Objetivos Tcnicos y Restricciones," activos de red hablados que se
identifican, analizando riesgos a la seguridad, y desarrollando requerimientos de
seguridad. La seccin 5, "Diseando una Topologa de Red," topologas de red seguras.
Una regla buena para redes de empresa consiste en que la red debera tener salida
bien definida y puntos de entrada. Una organizacin que tiene slo una conexin de
tipos de scripts para servidores debera ser hecha con gran cuidado. Los scripts
deberan ser a fondo probadas para evitar una baja seguridad.
Los servidores pblicos deberan correr el software de firewall y ser configurados para la
proteccin de DoS. Por ejemplo, el servidor debera ser configurado para limitar el
nmero de conexiones que pueden ocurrir en un margen de tiempo particular. Los
servidores tambin deberan dirigir el software que puede examinar el contenido llevado
por protocolos de aplicacin de modo que el software pueda explorar, y posiblemente
eliminar, contenido peligroso como virus o cdigo mvil. (El cdigo mvil es el software
que puede ser transmitido a travs de una red y ejecutado en otro dispositivo.)
Los servidores de correo electrnico han sido mucho tiempo una fuente para robos de
intruso,
probablemente
porque
los
protocolos
de
correo
electrnico
las
En topologas VPN, viajan los datos privados a travs de una red pblica, entonces la
encriptacin es obligatoria. La solucin ms comn para la encriptacin es usar el
Protocolo de Seguridad IP (IPSec), que es un Internet Engineering Task Force (IETF)
estndar que proporciona la confidencialidad de datos, la integridad de datos, y la
autenticacin entre puntos participantes en la capa IP. El IPSec proporciona un camino
seguro entre usuarios remotos y un VPN concentrador, y entre sitios remotos y un
gateway de sitio a sitio VPN.
Numerosos RFCs tratan con IPSec, as como muchos esbozos de Internet. Para
aprender IPSec mejor, las principales RFCs que usted debera leer son las que sigue:
Los login IDs al sistema y las contraseas deberan ser requeridos para tener acceso a
routers e switches, si el usuario tiene acceso al dispositivo va un puerto de consola o
va la red. Una contrasea de primer nivel puede ser usada para administradores que
simplemente tienen que comprobar el estado de los dispositivos. Una contrasea del
segundo nivel debera ser usada para administradores que tienen el permiso de ver o
cambiar configuraciones. Evite usar un protocolo no seguro como Telnet para tener
acceso a routers e switches sobre una red. Una mejor opcin es la Shell Segura (SSH).
Para
proteger
contra
el
misconfiguration
de
dispositivos
por
hackeres
(o
La limitacin del uso del Protocolo de Direccin de Red Simple (SNMP) debera ser
considerada en redes de empresa para las cuales los objetivos de seguridad pesan ms
que objetivos de manejabilidad. Una de las cuestiones principales con SNMP es el
conjunto de operacines , que permite que una estacin remota cambie datos de
configuracin y la direccin. Si SNMPv3 es usado, este no es como una preocupacin
grande, porque SNMPv3 soporta la autenticacin para el uso con el conjunto de
operacines y otras operaciones SNMP.
Los sistemas de direccin de red deberan ser sobre todo protegidos porque ellos
reciben sumamente datos confidenciales sobre red y configuracin de dispositivo de
seguridad. Adems, los sistemas de direccin de red estn a veces relacionados con
otros dispositivos sobre una red de direccin (de cinta) separada, que, sin el diseo
cuidadoso, podra proporcionar un camino alrededor de mecanismos de seguridad
como firewalls.
Para minimizar el riesgo, los sistemas de direccin de red deberan ser colocados en su
propio DMZ detrs de un firewall. Ellos deberan correr un sistema operativo endurecido
que ha sido parchado con la ltima seguridad fija. Todos los servicios innecesarios
deberan ser desabilitados.
Como es el caso con routers e switches, los sistemas de direccin de red deben ser
protegidos de la personificacin de administradores, donde un atacante roba las
credenciales (usernames o contraseas) de un administrador. Para manejar el riesgo de
la
personificacin
de
administrador, provea
al
administrador
mecanismos
de
Cuando los servidores de una granja de servidor estn comprometidos, los atacantes
pueden usar a aquellos servidores para atacar a otros servidores. Para manejar este
riesgo, configure filtros de red que limitan la conectividad del servidor. En muchos
casos,
un
servidor
no
tiene
ninguna
necesidad
de
iniciar
conexiones.
Los
Maximizar la seguridad, tanto servidor como software de usuario final debera ser con
cuidado seleccionado y mantenido. Debera requerirse que servidor y administradores
de escritorio se quede corriente en cuanto a las ltimas bromas de hacker y virus. Los
de
seguridad,
muchas
aplicaciones
estn
disponibles
que
son
Los usuarios deberan ser animados a salir de sus sesiones con los servidores cuando
se retiran de sus escritorios durante perodos largos del tiempo, y apagar sus mquinas
dejando el trabajo, proteger contra la gente no autorizada que se acerca a un sistema y
tiene acceso a servicios y aplicaciones. Los procedimientos de fin de registro
automticos tambin pueden ser desplegados automticamente el procedimiento de fin
de registro una sesin que no ha tenido ninguna actividad para el periodo del tiempo.
Un otro aspecto de asegurar la parte de usuario final de una red asegura que los
usuarios conecten computadoras slo permitidas u otros dispositivos a los interfaces de
LAN en sus oficinas. En particular, una rea que concierne al usuarios que conecta
puntos de acceso inalmbricos que no son correctamente asegurados. Estos puntos de
acceso no autorizados son a veces llamados puntos de acceso de pcaro.
La seguridad para redes inalmbricas, se hablan ms detalladamente en la siguiente
seccin, no debera ser dejada a usuarios finales. Debera ser con cuidado planeado y
puesto en prctica y no comprometido por usuarios que instalan sus propios puntos de
acceso inalmbricos.
Cisco y otros vendedores soportan un estndar IEEE llamado 802.1X, que proporciona
la seguridad a base de puerto en puertos de switches. Con 802.1X permite en un puerto
de switch, ningn dispositivo puede conectarse a la red sin la primera utilizacin 802.1X
para certificar. Este es un mtodo para asegurar que un usuario no instala un dispositivo
desconocido, como un punto de acceso inalmbrico. (Con este uso de 802.1X, esto es
el punto de acceso que es certificado. Otro uso de 802.1X debe certificar dispositivos de
cliente inalmbricos, como ordenadores porttiles. Cuando una infraestructura
inalmbrica legtima est en el lugar, 802.1X es ya no necesario en los puertos que
conectan puntos de acceso conocidos, pero esto puede ser usado para certificar a
usuarios inalmbricos, como fue hablado ms tarde en el "802.1X con la seccin" de
Protocolo de Autenticacin Extensible de este captulo.)
seguridad
Tenga en mente que los requerimientos de seguridad para usuarios inalmbricos varan
con el tipo de usuario. Los invitados que visitan una empresa pueden necesitar el
acceso fcil al Internet, pero deberan ser impedidos tener acceso a la red de empresa.
No puede esperarse que estos invitados sepan una llave de encriptacin o tengan el
software VPN instalado. Este es diferente de los empleados que quieren el acceso
inalmbrico almorzando en la cafetera o encontrando en salas de conferencias
privadas. Podra esperarse que aquellos usuarios supieran una llave o tuvieran el
software de VPN corporativo-aprobado instalado. El uso de VLANs comienza a ser
practico aqu. Cuando usted entiende los tipos de usuario diferentes y donde ellos
podran navegar, usted puede dividir el WLAN en VLANs mltiple y aplicar polticas de
seguridad por separado para cada VLAN.
Clientes Inalmbricos," habla la utilizacin IPSec VPN software como una opcin de
seguridad para redes inalmbricas
Resumen
Esta parte proporcion la informacin para ayudarle a seleccionar mtodos para
encontrar los objetivos de un cliente para la seguridad de red. La seguridad es una
preocupacin principal por la mayor parte de clientes debido al aumento de conectividad
de Internet y aplicaciones de Internet, y porque ms usuarios tienen acceso a redes de
empresa de sitios remotos y dispositivos inalmbricos. Tambin, al mismo tiempo
aquellas empresas se han hecho ms dependientes de sus redes, el nmero de
ataques contra redes ha aumentado.
Las tareas envuelta con la seguridad disear en paralelo las tareas implicadas con el
diseo de red total. Es importante analizar requerimientos, desarrollar polticas, y
pensar que restricciones antes de seleccionar tecnologas actuales y productos
encontraban las necesidades de seguridad de varios usuarios de una red de empresa.
La red debera ser considerada un sistema modular que requiere la seguridad para
muchos componentes, incluso conexiones de Internet, redes de acceso remoto,
servicios de red, servicios de usuario final, y redes inalmbricas. Para proteger la red,
usted debera desarrollar estrategias multicapas, procedimientos, y realizaciones que
proporcionan la defensa de seguridad en profundidad.
El trabajar con su cliente para entender que los recursos deberan ser monitoreados y la
mtrica para usar midiendo la performance de los dispositivos. Elija los datos para
reunirse con cuidado. El ahorro de demasiados datos puede causar un requerimiento
para una supercomputadora para tratar y almacenar los datos. Por otra parte, procure
no tirar tantos datos que usted es incapaz de usar los datos restantes para manejar la
red.
Planee el formato en el cual los datos deberan ser salvados con cuidado. Usted
debera tratar de usar formatos de datos de uso general. Asuma que los datos que
usted colecciona podran ser usados para aplicaciones diferentes que estos que usted
est pensando. Cuando Kathryn Cramer dice en sus Caminos de libro a Casa: Siete
Caminos a la Sabidura de la Mitad de la vida:
Manejo de performance.
Manejo de fallas.
Manejo de configuracin.
Majeno de seguridad.
Manejo de la contabilidad.
Manejando la Performance
Segn la ISO, el manejo de performance permite la medida del comportamiento de la
red y eficacia. El manejo de performance incluye examinar la aplicacin de red y el
comportamiento de protocolo, anlisis de la accesibilidad, medicin de tiempo de
respuesta, y grabacin de cambios de ruta de red. El manejo de performance facilita
optimizar una red, encontrando acuerdos de nivel de servicio, y planeando para la
expansin. Monitorear el performance implica coleccionar datos, procesando algunos o
todos los datos, mostrando los datos procesados, y archivando algunos o todos los
datos.
En redes muy grandes, la accesibilidad y los estudios de RTT pueden ser poco
prcticos. Por ejemplo, en una red con 10,000 dispositivos, algunos sistemas de manejo
de red comercialemente disponibles toman horas para colas de dispositivos, causa el
trfico de red significativamente, y salva ms datos que un humano puede tratar. El
trabajo con su cliente para reducir objetivos para hacer accesibilidad y RTT estudia si
los objetivos son poco realistas.
El manejo de performance puede incluir procesos para registrar cambios de rutas entre
estaciones. El rastreo de cambios de ruta puede ser til para solucin de accesibilidad y
problemas de performance. Un camino de documentar cambios de ruta es usar
paquetes de eco de ICMP con la opcin de ruta de registro IP encendida. Est
consciente que encendiendo la opcin de ruta de registro podra sesgar medidas RTT,
sin embargo. La opcin de ruta de registro hace que cada router ponga su direccin en
el campo de opciones de cabecera IP, que puede causar el tiempo extra de
procesamiento. (No olvide el principio de incertidumbre Heisenberg!) Planean hacer
estudios de cambio de ruta por separado de anlisis de RTT. Otro modo de estudiar
cambios de ruta es con el IP traceroute la orden. El Traceroute es algo no fiable, sin
embargo.
Manejo de Fallas
El manejo de fallas se refiere a descubrimiento, aislamiento, diagnosticar, y correccin
de problemas. Esto tambin incluye procesos para relatar problemas a usuarios finales
y gerentes, y rastrear tendencias relacionadas con problemas. En algunos casos,
medios de manejo de fallas que desarrollan workarounds hasta que un problema puede
ser resuelto.
Los usuarios de red esperan la rapida y confiable resolucin de fallas. Ellos tambin
esperan ser guardados en informes sobre problemas en curso y ser dado un margen de
tiempo para la resolucin. Despus de que un problema es resuelto, ellos esperan que
el problema sea probado y luego documentado en alguna clase de la base de datos que
rastrea problema. Una variedad de instrumentos existe para encontrar estos
requerimientos de manejo de fallas, incluso el monitoreo de instrumentos que alertan a
gerentes a problemas, analizadores de protocolo para resolucin de fallas, y software
de punto de ayuda para documentar problemas y alertar a usuarios de problemas. Los
instrumentos que supervisan estn a menudo basados en el SNMP y Monitoreo Remoto
(de RMON) estndares, que son cubiertos ms detalladamente ms tarde en esta
seccin.
La alarma (nivelan 1)
Crtico (nivelan 2)
El error (nivelan 3)
Advirtiendo (nivelan 4)
Notificando (nivele 5)
Informativo (nivelan 6)
Los mensajes de Syslog son enviados por defecto al router Cisco o switch de consola.
Los dispositivos de red pueden ser configurados para enviar mensajes syslog a una
estacin de manejo de red o un host de red remoto en el cual un analizador syslog es
instalado. Un analizador syslog aplica filtros y enva slo un subconjunto predefinido de
todos los mensajes syslog a una estacin de manejo de red. Este salva el ancho de
banda y tambin reduce la cantidad de informacin que un administrador de red debe
analizar.
Manejo de Configuracin
El manejo de configuracin ayuda a un administrador de la red a guardar la pista de
dispositivos de red y mantener la informacin en como los dispositivos son
configurados. Con el manejo de configuracin, un administrador de la red puede definir
y salvar una configuracin por defecto de dispositivos similares, modificar la
configuracin por defecto para dispositivos especficos, y cargar la configuracin en
dispositivos.
Manejo de Seguridad
El manejo de seguridad deja a un administrador de la red mantener y distribuir
contraseas y otra autenticacin e informacin de autorizacin. El manejo de seguridad
tambin incluye procesos para generacin, distribucin, y almacenaje de llaves de
encriptacin. Esto tambin puede incluir instrumentos e informes para analizar un grupo
de routers y configuraciones de switches para la conformidad con estndares de
seguridad de sitio.
Manejo de Contabilidad
El manejo de la contabilidad facilita la facturacin a base de uso, por lo cual los
departamentos individuales o los proyectos son cobrados para servicios de red. Incluso
en casos donde no hay ningn cambio de dinero, la contabilidad del uso de red puede
ser til para agarrar departamentos o individuos que "abusan" de la red. El abuso podra
ser intencional, por ejemplo, un empleado descontento o empleado antiguo que causa
problemas de red, o el abuso podra ser involuntario. (La gente que juega juegos de red
no tiene la intencin de daar la red, pero podra causar el trfico excesivo sin
embargo.) una razn prctica de rastrear crecimiento de trfico inesperado es de modo
que el trfico pueda ser considerado durante la siguiente fase que planea capacidad.
datos son afectados por problemas de la red, hacindolo ms difcil a para solucionar
los
problemas. Es beneficioso ser capaz de usar instrumentos de manejo aun cuando las
redes son congestionadas, defectosas, o esta bajo un ataque de seguridad.
Con la escucha de cinta, monitoree a la red de datos de caminos diferentes que datos
de usuario. El NMSs y los agentes son enlazados va los circuitos que son separados
de las redes. El circuito puede usar dialup, ISDN, el Frame Relay, u otras tecnologas. El
separar circuito puede ser usado todo el tiempo o ellos pueden usarlo como la backup
slo cuando el camino de redes primario est roto.
La escucha de cinta hace disear la red ms compleja y cara. Para contener el costo, el
anlogo dialup lneas a menudo es usado para la reserva, ms bien que ISDN o
circuitos de Frame Relay. Otra restriccin con la escucha de cinta es que hay riesgos a
la seguridad asociados con la adicin de enlaces suplementarios entre NMSs y agentes.
Para reducir los riesgos, los enlaces deberan ser con cuidado controlados y aadidos
slo de ser absolutamente necesario. Para enlaces de mdem anlogos, el agente
debera usar un mecanismo de rellamada despus de que el NMS llama el agente.
El monitoreo distribuido significa que NMSs y los agentes son extendidos a travs de
las redes. Un arreglo distribuido jerrquico puede ser usado por cual se distribuy
NMSs envan datos a sofisticado centralitas NMSs usando un gerente de gerentes
(MoM) arquitectura. Un sistema centralizado que maneja NMSs distribuido es llamado a
veces paraguas NMS.
En una arquitectura de MoM distribuida, NMSs puede filtrar datos antes de enviarlo a
las estaciones centralizadas, haciendo reducir la cantidad de datos de manejo de red
que fluyen en las redes. Otra ventaja con el manejo distribuido consiste en que los
sistemas distribuidos a menudo pueden juntar datos aun cuando las partes de las redes
fallan.
El RFC 2579 define mecanismos para describir y llamar parmetros que son
manejados con SNMP. Los mecanismos son llamados la estructura de la
informacin manejada o SMI.
Marcos Huerta S.
200
Informar. Enviado por un NMS para notificar otro NMS de la informacin en una
vista de MIB que es remota a la aplicacin de recepcin (no en SNMPv1,
arquitecturas de MoM de apoyos)
El MIB II define los grupos siguientes de objetos manejados para redes de TCP/IP:
The IP group
Marcos Huerta S.
201
Marcos Huerta S.
202
Adems de MIBs estndar, como MIB II para objetos de TCP/IP, hay definiciones MIB
especficas de vendedor. Los vendedores pueden obtener su propia rama para la
definicin privada de un subrbol MIB y crear los objetos manejados de costumbre bajo
aquella rama. Para usar definiciones privadas de objetos manejados, un administrador
de red debe importar las definiciones en un NMS. Un router Cisco apoya MIB estndar
II objetos y objetos manejados privados introducidos por Cisco en una seccin privada
del
rbol
MIB.
El
Cisco
MIB
definiciones
puede
ser
obtenido
en
http://www.cisco.com/public/mibs.
Description
Statistic
s
History
Alarms
Hosts
Proporciona una tabla para cada nodo activo que incluye una
variedad de la estadstica de nodo incluso paquetes y octetos
en y, multicast y paquetes de broadcast, y cuentas de error.
Host
Top N
Matrix
Filters
Packet
Capture
Events
paquetes.
Deja al usuario crear entradas en un backbone de monitor o
generar
trampas
de
SNMP del
agente
al
NMS.
Los
Para redes Token Ring hay nueve grupos que son realzados para incluir la capacidad
de rastrear, purgar, el error de software, y otro Control de Acceso de Medios (MAC) de
paquetes. Los grupos de Token Ring dejan a un manejador determinar el estado de
toque, qu estacin es el monitor activo, un dominio que falla, y una lista de estaciones
en la orden de toque. El grupo de Control de Configuracin de Estacin de Toque deja
al manejador quitar estaciones de un anillo usando la 802.5 quitar-estacin paquete de
MAC.
Description
Protocol
Directory
dispositivo
Protocol
Distribution
apoyado
Address
Mapping
capa MAC
Network
Layer Host
de cada host
Network
Layer Matrix
Application
Layer Host
Application
Layer Matrix
User
Description
Collection
usuario
Probe
Proporciona
Configuration
un
camino
estndar
de
configurar
Con el comando show cdp neighbors detail, usted puede mostrar la informacin
detallada sobre routers vecinos e switches, incluso cuales protocolos estan habilitados,
las direcciones de red para protocolos permitidos, el nmero y tipos de interfaces, el tipo
de plataforma y sus capacidades, y la versin del Sistema Operativo de redes Cisco
(IOS) Software que corre en el vecino.
Los marcos de CDP son enviados con un holdtime de 180 segundos en ausencia. El
Holdtime especfica la cantidad de tiempo que un dispositivo de recepcin debera
sostener la informacin antes de desecharlo. Cuando un interfaz es caida, CDP enva
un paquete con el juego de holdtime en cero. Usted puede configurar holdtime con el
comando cdp holdtime. El envo de un paquete CDP con un holdtime de cero permite
que un dispositivo de red descubra rpidamente a un vecino perdido.
El objetivo es determinar que datos NMS solicitar del dispositivos manejados. Estos
datos podran consistir en informacin de accesibilidad, medidas de tiempo de
respuesta, informacin de direccin de capa de red, y datos del RMON MIB u otro MIBs.
Despus de que usted ha determinado que caractersticas sern juntadas del
dispositivos manejados, usted debera determinar entonces con que frecuencia el NMS
solicita los datos. (Este es llamado el intervalo de cola.)
200 * 10 = 2000
El nmero que resulta de respuestas es tambin
200 * 10 = 2000
En este ejemplo, en Ethernet 10-Mbps compartida, los datos de direccin de red usaran
el 4 por ciento del ancho de banda de red disponible, que es significativa, pero
probablemente aceptable. Una regla bsica buena es que el trfico de manejo debera
usar menos del 5 por ciento de la capacidad de una red.
Lo minimo para, una solucin de manejo de red debera incluir instrumentos para
aislamiento, diagnosticar, y reportar problemas para facilitar la reparacin rpida y la
recuperacin. Idealmente, el sistema tambin debera incorporar la inteligencia para
identificar tendencias que pueden predecir un fallo potencial, de modo que un
administrador de red pueda tomar medidas antes de que una condicin de falla ocurra.
de
comprobar
la
validez
de
cualquier
cambio
de
configuracin,
Instrumentos de Cisco
Ya que su red esta diseada a clientes que tienen numerosos productos Cisco, Cisco
ofrece una amplia variedad de instrumentos de manejo. El CiscoWorks y Cisco la
familia de productos de Seguridad consolida y automatiza tareas de manejo comunes.
Estos productos soportan el dispositivo y el manejo de infraestructura, la seguridad y el
manejo de identidad, la direccin de telefona IP, y la direccin de trfico crtica. Los
instrumentos de CiscoWorks incluyen el CiscoWorks QoS Manejo de Poltica, Manejo
de Voz de CiscoWorks para Entradas de Voz, CiscoWorks Pequea Solucin de Manejo
de Red, CiscoWorks Motor de Solucin de LAN Inalmbrico, y CiscoWorks Azul.
Incluso para clientes de diseo de red que no usan exclusivamente productos Cisco, un
entendimiento de dos tecnologas de Cisco claves (NetFlow y Agente de Aseguramiento
de Servicio) puede ayudarle a reconocer los tipos de datos que se conectan a la red
sistemas de manejo debera juntar y analizar. Por esta razn, estos dos instrumentos
son cubiertos ms detalladamente en las secciones siguientes.
la
El SAA puede generar UDP, TCP, y paquetes de prueba de ICMP y medir la mtrica del
performance basada en respuestas a los paquetes. Una caracteristica clave de SAA es
la capacidad de marcar los paquetes de prueba con el valor de Compaas IP
apropiado. La marca de paquetes deja a una performance de prueba de administrador
de red cuando QoS est siendo puesto en prctica.
Resumen
Uno de sus objetivos como diseador de red debera ayudar a su cliente a desarrollar
algunas estrategias y procesos para poner en prctica la direccin de red. Usted
tambin debera ayudar a su cliente a escoger los instrumentos y productos a poner en
prctica las estrategias y procesos.
Un diseador de red tiene muchas opciones para LAN y WAN. Ninguna tecnologa sola
o dispositivo estan con capacidad de responder todas las circunstancias. El objetivo de
La parte III debe darle la informacin sobre la escalabilidad, performance, accesibilidad
financiera, y caractersticas de manejabilidad de opciones tpicas, ayudarle a hacer las
correctas selecciones para su cliente.
Este captulo cubre tecnologas para diseos de red de campus. Una red de campus es
un juego de segmentos de LAN y redes de construccin en un rea que tiene unas
millas de dimetro. El siguiente captulo cubre tecnologas para una red de empresa
que incluye WAN y servicios de acceso remoto.
Este captulo comienza con una discusin del diseo de tendido de planta de cables de
LAN, incluso el tendido de cables de opciones para redes de campus y edificio.
El
Mientras que otros componentes de un diseo de red generalmente tienen una vida de
unos aos antes de que los cambios de tecnologa, la infraestructura de tendido de
cables a menudo debiera durar durante muchos aos. Es importante disear y poner en
prctica la infraestructura de tendido de cables con cuidado, teniendo presente
disponibilidad y objetivos de escalabilidad, y la vida esperada del diseo.
Los tipos y longitudes de cables para tendido de cableado de rea de trabajo que
va de armarios de telecomunicaciones a estaciones de trabajo.
Topologia de Cableado
Las compaas como AT&T, la IBM, Digital Equipment (DEC), Hewlett-Packard, y
Telecomunicaciones del Norte han publicado todas especificaciones de tendido de
cables y pautas para desarrollar una topologa de tendido de cables. Adems, la
Asociacin
de
Industria
de
Electrnica
la
Asociacin
de
Industria
de
Telecomunicaciones publican las pautas EIA/TIA para el par trenzado no blindado (UTP)
de tendido de cables e instalacin.
Sin entrar en detalle contra la topologia de tendido de cables, una generalizacin puede
ser hecha de esto dos tipos de esquemas de cableado que son posibles:
Topologas de cableado-campus
El tendido de cableado que une edificios es expuesto a ms riesgos fsicos que el
tendido de cables dentro de edificios. Un obrero de la construccin podra cavar una
zanja entre edificios y por descuido cortar el cableado. La inundacin, las tormentas de
hielo, los terremotos y otros catstrofes tambin pueden causar problemas, como
pueden los desastres artificiales como ataques terroristas. Adems, los cables podran
cruzar propiedades fuera del control de la organizacin, hacindolo dificil de encontrar la
falla y reparar el problema. Por estos motivos, el cableado y las topologas de tendido
de cables deberan ser seleccionados con cuidado.
Una desventaja de un esquema distribuido es que el manejo puede ser ms difcil que
con un esquema centralizado. Los cambios en un sistema de tendido de cables
distribuido con mayor probabilidad requerirn que un tcnico camine de edificio a
edificio para implementar los cambios. La disponibilidad contra objetivos de
manejabilidad debe ser considerada.
Tipos de Cables
Tres tipos principales de cables son usados en la implementacin de red de campus:
El cable de cobre protegido, incluso el par trenzado protegido (STP), coaxial (coax),
y gemelo-axial (twinax) cables.
El tendido de cables de STP fue extensamente usado en redes de Token Ring en los
aos 1980 y aos 1990. La Mayor parte de redes de Token Ring han sido sustituidas
por redes de Ethernet estos das. Ethernet generalmente usa UTP y el tendido de
cables de fibra ptica, aunque sea posible hacer que trabaje Ethernet en el tendido de
cables de STP. (El hecho que Ethernet puede correr con el tendido de cables de STP
puede aliviar la migracin del Token Ring a Ethernet para cualquier instalacin que ha
estado poco dispuesta a emigrar debido a la necesidad percibida de recablear de nuevo
la red.)
El cable coax era popular en las primeras LANs. Ethernet gruesa (10BASE5) usa una
doble-proteccin, 50 ohmios el cable coax que era aproximadamente 0.4 pulgadas de
dimetro, y Ethernet delgada (10BASE2 o "Cheapernet") cable de RG-58 estndar
usado que era aproximadamente la mitad aquel tamao. 75 ohmios usados en
terminales de IBM el cable coax, o, en algunos casos, twinax cables. El tendido de
cables era por lo general instalado en una topologa de bus y era difcil de poder hacer
gramdes instalaciones sin repetidores de multipuerto. Con la introduccin de estndares
para dirigir protocolos de LAN en cables UTP (como Ethernet 10BASE-T), el cable coax
se hizo menos popular. Coax y otros tipos del tendido de cables de cobre protegido no
son generalmente recomendados para nuevas instalaciones, excepto quizs para cable
cortos entre dispositivos en un armario de telecomunicaciones o cuarto de
computadora, o en casos donde la seguridad especfica y las necesidades proteccin
existen.
Hay numerosas categoras del tendido de cables de UTP, incluyendo los siguientes:
Las nuevas instalaciones deberan correr como mnimo la Categora 5e. Aunque la
Categora 5e cueste un poco ms que la Categora 5, lo merece. Desde esta escritura,
El cableado de Categora 6 no es extensamente desplegado, pero puede ser pronto. La
Asociacin de Industria de Telecomunicaciones (TIA) recomienda que la Categora 6
debe ser instalado para apoyar futuras aplicaciones que exigirn la ancho de banda
alta. La categora 6 mejora caractersticas de performance como la prdida de
introduccin, diafona de extremo cercano (NEXT), prdida de retorno, y el nivel igual
lejos termina la diafona (ELFEXT). Estos realces proporcionan una relacin seal/ruido
ms alta.
Los cables de fibra ptica se hacen rpidamente un estndar para nuevas instalaciones.
Como los precios para cables y conexiones de dispositivos de unin, se hace prctico
instalar el tendido de cables de fibra ptica para el cableado vertical y horizontal entre
armarios de telecomunicaciones. Algunas compaas tambin usan el tendido de cables
de fibra ptica para el cableado de rea de trabajo, pero el coste de las trajetas de
interfaz de red (NICs) con el soporte de fibra ptica es todava alto, de modo que no es
comn an. El cableado de fibra ptica ha sido usado entre edificios durante muchos
aos.
Una desventaja con el cableado de fibra ptica es que puede ser difcil instalar, que
puede aadir un alto costo de despliegue. Cuando conecte una fuente optica de fibra o
cuando dos o mas fibras se juntan, hasta una pequea desviacin de la posicin ideal
del conector puede causar mala alineacin y la prdida de seal inaceptable. Algunos
conectores introducen ms prdida que otros. Seleccionando conectores, investigue su
facilidad del uso y el decibelio (dB) prdida asociada con los conectores.
Los conectores de fibra ptica tambin pueden introducir el ruido de reflexin reflejando
la luz atrs en la fuente ptica. El ruido de reflexin es reducido por el ndice que
empareja geles, el contacto fsico pule las capas de antireflexin. Cuando seleccione
conectores, el ruido de reflexin es de los parmetro que usted debera investigar.
Tecnologia LAN
Esta seccin cubre tecnologas de capa de enlace de datos que estn disponibles para
LANs. Recomiendan a Ethernet para la mayor parte de redes de campus porque esto
proporciona la escalabilidad superior, la manejabilidad, y la accesibilidad financiera.
ATM es tambin escalable, pero es ms complejo y caro que Ethernet y ms difcil de
configurar y manejar. Sin embargo, el ATM es apropiado para algunos diseos de red
de campus debido a sus mtodos deterministas para proporcionar la calidad del servicio
(QoS).
Aunque unos vendedores vendan productos de Token Ring 100-Mbps, hay muchas
opciones de producto para alta-velocidad Ethernet comparada con alta-velocidad Token
Ring. Haba tambin la conversacin hace unos aos sobre FDDI de la nueva
generacin que soportaria velocidades de gigabits por segundo (Gbps), pero la
conversacin nunca materializada en estndares o productos. Aunque Token Ring y las
10-Mbps Ethernet.
100-Mbps Ethernet.
10-Gbps Ethernet.
Metro Ethernet.
Cisco EtherChannel.
Cada una de estas tecnologas es una posibilidad para el acceso, distribucin, o capas
principales de una topologa de campus, aunque por lo general las velocidades ms
altas, como Gigabit Ethernet, sean reservadas para la capa core.
La opcin de una tecnologa de Ethernet para la capa de acceso depende de la posicin
y el tamao de comunidades de usuario, ancho de banda y requerimientos de QoS para
aplicaciones, broadcast y otro comportamiento de protocolo, y flujo de trfico, hablado
en El captulo 4, "Caracterizacin de Trfico de Red." La opcin de una tecnologa de
Ethernet para la capa de distribucin y capa core depende de la topologa de red, la
posicin de almacen de datos, y flujo de trfico.
Ethernet fue al principio definida para un medio compartido con estaciones usando el
sentido de portador de descubrimiento de acceso/colisin mltiple (CSMA/CD) algoritmo
para regular el envo de frames y el descubrimiento de colisiones cuando dos
estaciones envan al mismo tiempo.
Con Ethernet compartida, una estacin escucha antes de que esto enve datos. Si el
medio est ya en el uso, la estacin aplaza su transmisin hasta que el medio sea libre.
Ethernet compartida es half duplex, en el sentido que una estacin transmite u o recibe
el trfico, pero no ambos inmediatamente.
Un Ethernet de punto a punto soporta simultaneamente la transmisin y la recepcin, lo
cual es llamada full dplex Ethernet. En un enlace entre un puerto de switch y una
estacin sola, por ejemplo, tanto el switch como la estacin pueden transmitir al mismo
tiempo. Este es sobre todo beneficioso si la estacin es un servidor que trata peticiones
de muchos usuarios. El switch puede transmitir la siguiente peticin al mismo tiempo el
servidor enva una respuesta a una peticin anterior. La operacin de full dplex es
tambin comn en enlaces de switch a switch, permitiendo a ambos switches transmitir
el uno al otro al mismo tiempo. La ventaja de full dplex Ethernet es que el precio de
transmisin es tericamente doble lo que es en un enlace half duplex.
10-Mbps Ethernet
Ethernet 10-Mbps puede correr en lisonjean, UTP, o tendido de cables ptico de fibra.
(Lisonjee el cable es raramente usado ms). Ethernet 10-Mbps apoya tanto redes
cambiadas como compartidas. En una red compartida, todos los dispositivos compiten
por la misma amplitud de banda y estn en el mismo esfera de amplitud de banda
(tambin conocido como el Esfera de colisin de Ethernet). Los repetidores de capa
fsicos y los cubos unen cables y usuarios, pero no segmentan la esfera de colisin. Un
interruptor, por otra parte, segmenta una esfera de colisin en esferas mltiples. Cada
puerto en un interruptor define una esfera. La decisin si hay que usar arquitecturas
compartidas o cambiadas depende de amplitud de banda y exigencias de interpretacin
y limitaciones de distancia.
Una de las reglas de diseo ms significativas para Ethernet es que la tardanza de
propagacin de ida y vuelta de una esfera de colisin no debe exceder el tiempo esto
toma a un remitente para transmitir 512 trozos, que es 51.2 microsegundos para
Ethernet 10-Mbps. Una esfera de colisin sola debe ser limitada en el tamao para
asegurarse que una estacin que enva a un marco mnimo clasificado (64 bytes o 512
trozos) puede descubrir una colisin que refleja atrs del lado opuesto de la red
mientras la estacin todava enva el marco. Por otra parte, la estacin sera terminada
enviando y no escuchando para una colisin, as perdiendo la eficacia de Ethernet para
descubrir una colisin y rpidamente transmitir de nuevo el marco.
Para encontrar esta regla, la distancia ms apartada entre dos sistemas de
comunicacin debe ser limitada. El nmero de repetidores (cubos) entre los sistemas
tambin debe ser limitado, porque los repetidores aaden la tardanza. Las limitaciones
para Ethernet 10-Mbps en lisonjean y tendido de cables de UTP son mostrado en Mesa
10-1. Las limitaciones para Ethernet 10-Mbps en el multimodo tendido de cables ptico
de fibra son mostradas en Mesa 10-2.
10BASE2
10BASE-T
Topologia
Bus
Bus
Estrella
Tipo de cableado
Thick coax
Thin coax
UTP
Longitud de cable
500
185
100 de hub a
estacin
100
30
2 (hub y estacin o
mxima (en
metros)
Nmero mximo
de accesorios
hub y hub)
por cable
Dominio de
2500
2500
2500
(en
metros)
Topologa
5 segmentos, 4
5 segmentos, 4
5 segmentos, 4
mxima de un
repetidores, slo 3
repetidores, slo 3
repetidores, slo 3
dominio de
segmentos pueden
segmentos pueden
segmentos pueden
colisin
tener sistemas de
tener sistemas de
tener sistemas de
final
final
final
colisin mxima
10BASE-FB
10BASE-FL
Old
FOIRL
Backbone o
Enlace
Enlace
sistema de
de
de
repetidor
repetid
repetid
- FP
Topologa
Estre
lla
Longitud de cable
uniones
de sistema
de final?
Permite
repetidores
en cascada?
Dominio
de
mxima
colisin
(en
2000
or1000
20
00
No
No
N
o
N
o
No
N
o
2500
25
00
2500
or-
500
2500
La especificacin original para correr Ethernet en el multimodo cable de fibra ptica fue
llamada especificacin de Enlace de Inter-repetidor de fibra optica (FOIRL). El nuevo
10BASE-F especificacin est basado en la especificacin FOIRL. Esto incluye
10BASE-FP, 10BASE-FB, 10BASE-FL, y un estndar FOIRL revisado. Nuevo FOIRL se
diferencia del viejo en el cual esto permite uniones de sistema finales adems de
repetidores y hub. Tabla 10-2 restricciones de escalabilidad de espectculos para dirigir
10-Mbps en cableado multimodo de cables de fibra ptica.
100-Mbps Ethernet
Ethernet 100-Mbps, tambin conocida como Fast Ethernet y 100BASE-T Ethernet, fue
al principio estandarizada en el IEEE 802.3u especificacin y es combinada ahora en la
edicin 2002 de IEEE 802.3. Es muy similar a Ethernet 10-Mbps, que es uno de los
motivos de su popularidad. Ya que los ingenieros de red quines tienen la experiencia
con Ethernet 10-Mbps, Ethernet 100-Mbps es fcil para entender, instalar, configurar, y
reparar. Con algunas excepciones, Ethernet 100-Mbps es Ethernet estndar, slo 10
veces ms rpido. En la mayor parte de casos, los parmetros de diseo para Ethernet
100-Mbps son el mismo como Ethernet 10-Mbps, slo multiplicada o dividida en 10.
NOTA:
100BASE-T4 requiere que cuatro pares (ocho alambres) esten conectados entre un hub
y una estacin. En alguna instalaciones de Categora 3, slo dos pares (cuatro hilos)
unen hubs y estaciones, porque la infraestructura de tendido de cables fue diseada
para 10BASE-T, que slo usa dos pares. Este hace difcil de usar 100BASE-T4 con el
tendido de cables de existencia.
Las limitaciones de distancia para Ethernet 100-Mbps dependen del tipo de repetidores
(hubs) que son usados. En el IEEE 100BASE-T especificacin, dos tipos de repetidores
son definidos:
Tabla 10-3 muestra el tamao mximo de un dominio de colisin para Ethernet 100Mbps dependiendo del tipo de repetidor (es) en uso y el tipo de cableado. Aunque no
muestra en la tabla, la fibra de monomodo es tambin posible. Usted debera
comprobar con repetidor y fabricantes de cableado para limitaciones de distancia
exactas para la fibra de monomodo. La mayor parte de vendedores especifican que
cuando la fibra de monomodo es usada en una unin de full dplex de switch a switch,
la longitud de cable mximo es 10,000 metros o aproximadamente 6 millas. El hecho
que una distancia tan larga es permitida hace la fibra de monomodo atractiva (aunque
caro) para las redes de campus grandes.
Cobr
e
100
metro
s
de
Multimodo
NA
200
metro
s
200
metro
s
205
metro
s
260 metros
metros
(2000
272 metros
308 metros
320 metros
216 metros
228 metros
de
412
NOTA:
Las especificaciones IEEE acerca de Clase I y Clase II repetidores 100-Mbps no son
relevantes para muchos diseos de red. Un diseo tpico debe unir cada dispositivo a
un puerto de switch y no usar a repetidores (o hubs). Estos das, es difcil comprar a un
repetidor 100-Mbps o el hub, aun si usted quisiera hacerlo. La mayor parte de
vendedores venden switches que dividen dominio de colisin. Incluso cuando un hub o
el repetidor son usados, esto es por lo general el nico repetidor en el dominio de
colisin, entonces las preocupaciones por la reduccin al mnimo de saltos de repetidor
a fin de minimizar colisiones son irrelevantes.
Gigabit Ethernet
para
Los frame que son ms cortos que 4096 bits son artificialmente ampliados aadiendo
un campo de extensin de portador de modo que los frame sean exactamente 4096 bits
en la longitud. Los contenido del campo de extensin de portador son smbolos de no
datos. Aumentando el tiempo mnimo una estacin enva, los estndares pueden apoyar
una topologa de red mxima ms grande.
Una estacin de Ethernet Gigabit puede decidir reventar frames si hay un frame en su
transmisin de cola cuando esto ha terminado de enviar su primer frame (ms la
extensin, si uno fuera necesario). La estacin puede enviar otra vez sin competir por el
uso del canal. Durante el hueco de interframe, la estacin enva smbolos de no datos.
Slo el primer frame requiere una extensin de portador. La estacin puede comenzar
la transmisin de frame para hasta un burstLength. El IEEE define el parmetro
burstLength como 8192 bytes.
1000BASE-LX
Tipo de
cableado
Fibra de
de longitud de
onda de 850
nanmetros
1300 multimodo de
longitud de onda de
nanmetro y fibra
de
monomodo
Limitaciones
distancia
(en
de
metros)
220-550, segn el
cable
1000BASECX
Twinax
25
1000BASE-T
UTP
100 entre un
y estacin; un
hub
dimetro de red
total de 200
metros
2002, el IEEE estandariz Ethernet 10-Gbps en la especificacin 802.3ae. Ethernet 10Gbps se diferencia de algunos modos importantes de las otras realizaciones de
Ethernet, pero es tambin notable que similar a las otras realizaciones. El formato de
frame y otra especificaciones de Capa 2 permanecen el mismo lo que significa que las
aplicaciones que usan Ethernet no tienen que cambiarse.
En el futuro prximo, Ethernet cumplir con su nombre. (El nombre Ethernet viene del
ther de trmino, el elemento enrarecido que los cientficos antes creyeron llen todo el
espacio.) Ethernet estar en todas partes. Una transaccin de Internet, por ejemplo,
podra comenzar en un 100BASE-T a casa o red comercial, acercamiento a travs de
Ethernet metropolitana de fibra ptica hacia el ISP local, viaja Ethernet 10-Gbps WDM a
un abastecedor ms grande, y viaja a travs de varios enlaces de Ethernet
para
alcanzar a un servidor de e-comercio que es amueblado por un Gigabit o Ethernet 10Gbps NIC. La transaccin ser encapsulada en un frame de Ethernet todo el tiempo
entero.
Amplitud
de
banda
Modal Mnima
500 MHz/kilmetros
de Distancia
2 ms a 300 ms
50
m MMF
400 MHz/kilmetros
2 ms a 240 ms
1310 nm
50
m MMF
500 MHz/kilmetros
2 ms a 300 ms
10GBASE-LX4
1310 nm
10
m SMF
2 kilmetros a 10
kilmetros
10GBASE-S
850 nm
62.5
m MMF
160 MHz/kilmetros
2 ms a 26 ms
10GBASE-S
850 nm
62.5
m MMF
200 MHz/kilmetros
2 ms a 33 ms
10GBASE-S
850 nm
50
m MMF
400 MHz/kilmetros
2 ms a 66 ms
10GBASE-S
850 nm
50
m MMF
500 MHz/kilmetros
2 ms a 82 ms
10GBASE-S
850 nm
50
m MMF
2000 MHz/kilmetros
2 ms a 300 ms
10GBASE-L
1310 nm
10
m SMF
2 kilmetros a 10
kilmetros
10GBASE-E
1550 nm
10
m SMF
2 kilmetros a 30
kilmetros[*]
Implementaci
n
10GBASE-LX4
Medio
1310 nm
62.5
m MMF
10GBASE-LX4
1310 nm
10GBASE-LX4
Funcionamiento
Una de muchas ventajas del Metro que Ethernet es que el cliente puede usar un
estndar 10/100-Mbps interfaz de Ethernet, o un Gigabit o interfaz 10-Gbps, tener
El metro Ethernet es una mezcla de WAN y tecnologas de LAN. Esto apoya el recorrido
virtual como un WAN y tambin proporciona el apoyo a un rate de informacin
comprometido (CIR), tamao de estallido cometido, rate de informacin mximo (PIR), y
el tamao de estallido mximo, como un WAN a menudo hace. En una manera similar a
un LAN, Metro Ethernet tambin apoya VLANs, 802.1X autenticacin de puerto, y el
Protocolo de Spanning Tree.
Metro Ethernet es usado para unir sitios de extranet e intranet. Los ISPs tambin
comienzan a usar el Metro Ethernet. El ISP tpicamente multiplexores suscriptores
mltiples sobre Ethernet rpida UNI. El cliente de un ISP usa un EVC para unirse al
punto local del ISP de la presencia (POP).
El mtodo ms comn para usar Metro Ethernet para el acceso de Internet dedicado es
usar el servicio de E-lnea. Si el cliente quiere usar mismo UNI para soporta tanto
acceso de Internet como un intranet o unin extranet, este es tambin posible con el
uso de EVCs separado. Un cliente tambin puede usar EVCs mltiple para tener acceso
a ISPs mltiple por dedundancia, as la unin de Internet multihoming.
Metro Ethernet no se ha dado cuenta de un modo grande desde esta escritura, pero
esto sostiene muchas promesas y probablemente se dar cuenta en una forma o el
otro. Aunque pueda ser llamado algo ms en el futuro por algunos abastecedores, est
claro que el MAN de Ethernet y las tecnologas WAN proporcionan muchas ventajas,
incluso interoperabilidad, amplitud de banda alta, y bajo costo. Para ms informacin
sobre el Metro Ethernet, ver el Metro el sitio Web del Foro de Ethernet en
www.metroethernetforum.org.
Ethernet de alcance largo
Metro Ethernet no debera ser aturdida con otro LAN y tecnologa de MAN, llamada
Ethernet del Alcance largo (LRE), que puede ser usado para unir edificios y cuartos
dentro de edificios en redes de campus. El LRE proporciona un enlace de punto a punto
que puede entregar un simtrico, de full-dplex, la velocidad de transferencia de datos
cruda de 11.25 Mbps sobre distancias de hasta 1 milla (1.6 kilmetros).
El LRE permite que transmisiones de LAN de Ethernet coexistan con telfono, ISDN, o
Cambio de Rama Privado (PBX) servicios sealados sobre un par de hilos de cobre
ordinarios. Codificacin de usos de tecnologa de LRE y tcnicas de modulacin
digitales de la Lnea de Suscriptor Digital (DSL) mundo junto con Ethernet, el protocolo
de LAN ms popular. El captulo 11 cubre DSL ms detalladamente.
Cisco EtherChannel
de grupos que 802.3 Ethernet une juntos de modo que los enlaces puedan proporcionar
muy altas velocidades, soporta carga compartida, y sostienen el uno al otro si un enlace
falla. El EtherChannel fue primero introducido por Kalpana en sus switches a principios
de los aos 1990. Cisco ha ampliado la tecnologa, permaneciendo compatible con el
estandar IEEE 802.3.
Con EtherChannel rpido, hasta cuatro enlaces de Ethernet Rpidos pueden ser
agrupados para proporcionar un ancho de banda agregada mxima de 800 Mbps (fulldplex). Con Gigabit EtherChannel, hasta cuatro enlaces de Ethernet Gigabit pueden
ser agrupados para proporcionar un ancho de banda agregada mxima de 8 Gbps. Con
Ethernet 10-Gbps, hasta cuatro enlaces de Ethernet 10-Gbps pueden ser agrupados
para proporcionar un ancho de banda agregada mxima de 80 Gbps.
NOTA
El EtherChannel selecciona un enlace dentro de un canal realizando una operacin
XOR en ltimos dos bits de las direcciones de destino y fuente en un frame. La
operacin XOR puede causar uno de cuatro valores de que trazan un mapa a los cuatro
enlaces posibles. (Si slo dos enlaces son usados, entonces la operacin XOR es
hecha usando slo el ltimo bits de cada direccin.) Este mtodo puede no equilibrar
regularmente el trfico si una mayora de trfico est entre dos anfitriones, como dos
routers de trfico o dos servidores. Sin embargo, para el trfico de red tpico con una
mezcla de remitentes y receptores, EtherChannel proporciona el equilibrio de carga de
alto rendimiento.
Diseando
troncos
de
EtherChannel,
usted
puede
aumentar
su
eficacia
de
El ATM puede ser usado en WAN y redes de campus. Este captulo habla de redes de
campus de ATM; El captulo 11 habla del ATM redes WAN. En una red de campus, un
diseador puede seleccionar el ATM como una tecnologa de backbone para unir LANs.
El diseador tambin tiene la opcin de recomendacin que las estaciones de trabajo
ser equipado con el ATM NICs y protocolo apilen.
A mediados de los aos 1990 algunos expertos conectados a una red pensaron que el
ATM sustituira muchas instalaciones de LAN debido a su escalabilidad y apoyo a
requerimientos de QoS. Cuando han mostrado a Ethernet para ser escalables tambin,
y el trabajo ha sido hecho para soportar QoS en redes de LAN IP / redes WAN, el ATM
en redes de campus ha perdido el favor con algunos expertos. No hay ninguna
respuesta "correcta", sin embargo. El ATM es la opcin correcta para algunos clientes y
no para otros. Muchas organizaciones han puesto en prctica redes de ATM de campus
y sido satisfechas por los resultados. Otras organizaciones han conducido lejos del ATM
debido a su complejidad y el costo relativamente alto de componentes de ATM.
El ATM soporta de punta a punta garantas de QoS (mientras la red entera est basada
en ATM y las estaciones de trabajo usan una pila de protocolo de ATM, ms bien que
un IP u otra pila de protocolo). Con ATM, un sistema de final puede establecerse un
recorrido virtual con otro dispositivo de ATM al otro lado del ATM conectan a la red y
especifican parmetros QoS como lo siguiente:
Las redes de LAN / las redes WAN generalmente no pueden soportar de punta a punta
la funcionalidad de QoS, aunque el progreso est siendo hecho en este para redes de
IP. Los protocolos como el Protocolo de Reservacin de Recurso (RSVP) y otro trabajo
que el IETF grupo de funcionamiento de Servicios Integrado hace causarn redes de IP
que ofrecen de punta a punta la funcionalidad de QoS. El captulo 4, "Caracterizando el
Trfico de Red," se habl la funcionalidad QoS desarrollada por el grupo de
funcionamiento de Servicios Integrado.
El ATM a veces ofrecido como superior a Ethernet porque esto soporta ms ancho de
banda. El ATM soporta OC-192 (10 Gbps) y puede escalar hasta ms all de aquella
velocidad cuando las nuevas tecnologas como WDM se hacen comunes. En el
ambiente de Ethernet, Gigabit Ethernet es comn para redes de backbone, pero 10Gbps Ethernet comienza ahora mismo a ser usada. Las versiones de Nuevos Ethernet
sern probablemente desarrolladas aquel que soporte velocidades an ms altas.
Un otro factor para considerar antes de seleccionar el ATM es que la seguridad puede
ser difcil de poner en prctica. Un switch de ATM que slo entiende clulas, y no
Hub
OSI
Capas
Puesta
s en
prctic
a
1
Como
Domino de
ancho de
banda Son
Segmentada
Todos los
puertos estn
en la misma
dominio de
ancho de
banda.
Cada puerto
delinea un
dominio de
ancho de
banda.
Como
dominio de
Emisin Son
Segmentadas
Todos los
puertos estn
en la misma
dominio de
emisin.
Todos los
puertos estn
en la misma
dominio de
emisin.
Despliegue
Tpico
Caracteristicas
Adicionales Tpicos
Une
dispositivo
s
individuale
s en
pequeos
Une redes
La autodivisin para
aislar nodos
descarriados
Puen
te
12
Swit
ch
12
Cada puerto
delinea una
dominio de
ancho de
banda.
Todos los
puertos estn
en la misma
dominio de
emisin.
Une
dispositivos
individuales
o redes
Rout
er
13
Cada puerto
delinea un
dominio de
ancho de
banda.
Cada puerto
delinea un
dominio de
emisin.
Une redes
Filtracin de paquete
configurada por
usuario
Filtracin,
capacidades de ATM,
procesamiento de
conexin directa,
multimedia
(multimolde)
Filtracin, firewalling,
enlaces WAN
rpidos, compresin,
formacin de una
cola de espera
avanzada y
transporte de
mercancas de
procesos, multimedia
(multimolde)
de red, usted debera recomendar entonces hubs actuales, switches, puentes, y routers
de varios vendedores. Esta seccin cubre criterios de seleccin que usted puede usar
tomando decisiones.
Los criterios para seleccionar dispositivos de funcionamiento entre redes en general
incluyen lo siguiente:
El nmero de puertos.
Procesamiento de velocidad.
La cantidad de memoria.
Facilidad de configuracin.
Costo.
Para switches y puentes (incluso puentes inalmbricos), los criterios siguientes pueden
ser aadidos a la primera lista de bulleted en esta seccin:
Para puntos de acceso inalmbricos y puentes, los criterios siguientes pueden ser
aadidos a la primera lista de bulleted en esta seccin:
Soporta a VLANs.
Soporta poder inline sobre Ethernet si el punto de acceso con poca probabilidad
ser montado cerca de salidas de poder.
Soporta a la autenticacin mutua, que permite que un cliente est seguro que esto
comunica con el servidor de autenticacin intencionado.
Soporta llaves dinmicas, llaves nicas para cada usuario, keying por paquete, y un
control de integridad de mensaje (MIC).
Soporta realces de seguridad especificados por Wi-Fi Acceso Protegido (WPA), Red
de Seguridad Robusta (RSN), o 802.11i.
Los switches de capa de acceso por lo general proveen QoS basado slo en la Capa 2
informacin, si en absoluto. Por ejemplo, los switches de capa de acceso pueden basar
decisiones QoS en el puerto de entrada para el trfico. El trfico de un puerto particular
puede ser definido como el trfico prioritario en un puerto uplink. El mecanismo de
programacin en el puerto de salida de un switch de capa de acceso asegura que el
trfico de tales puertos es servido primero. El trfico de entrada puede ser marcado
para asegurar el servicio requerido cuando el trfico pasa por distribucin e switches de
capa principales.
La distribucin y los switches de capa core pueden proveer QoS basado en la Capa 3
informacin, incluso fuente y destino direcciones de IP, nmeros de puerto, y bits
QoS
Este captulo present un acercamiento de anlisis de sistemas de pruebas que incluyen objetivos
de prueba de concretas, criterios de aceptacin verificables, escrituras de prueba, y pruebas de
logs. El captulo tambin proporcion la informacin en diseo e instrumentos de pruebas, incluso
instrumentos de Sistemas Cisco, WANDL, OPNET, Agilent, NetIQ, y NetPredict.
Las pruebas de un diseo de red son un amplio sujeto. Este libro cubre el tema en un
nivel alto. Los libros completos podran ser escritos en pruebas de diseo de red. De
hecho, dos libros recomendados que son relevantes para conectar a la red pruebas de
diseo incluyen a Raj Jain el Arte del Anlisis de Performance de Sistemas de
Computadora y Robert Buchanan el Arte de Probar Sistemas de Red (ambos
publicados por el John Wiley and Sons, Inc).
Note que tanto Jain como Buchanan usan el arte de palabra en los ttulos de sus libros.
Las pruebas de un sistema de red, y prediciendo y midiendo su performance, son desde
muchos puntos de vista un arte ms bien que una ciencia. En primer lugar, cada
sistema
Demostrando que su diseo es mejor que un diseo del competidor (en casos
donde un cliente planea seleccionar un diseo de ofertas proporcionadas por
vendedores mltiples o asesores).
A veces, para diseos de red simples, usted puede confiar en resultados de prueba de
vendedores, laboratorios independientes, o boletines comerciales para demostrar a su
cliente que su diseo funcionar como ha querido. Por ejemplo, si usted ha propuesto
un diseo de red de campus basado nicamente en la tecnologa de conmutacin de un
vendedor
particular,
un
boletn
comercial
independiente
ha
verificado
las
Adems,
la
mayor
parte
de
pruebas
dirigidas
por
vendedores,
laboratorios
funciones
arriesgadas
pueden
incluir
funciones
complejas,
intrincadas
Unas pautas claves para tener presente planeando una prueba "viva" son como sigue:
De ser posible, mltiplo dirigido, corto (menos que el 2 minuto) las pruebas para
minimizar a usuario afectan y disminuyen los efectos en medidas de lnea de fondo.
Escrituras de prueba.
Mida el tiempo de respuesta para la aplicacin XYZ durante horas de uso mximas
(entre 10 y a las 11h00). El criterio de aceptacin, por oferta de diseo de red, es
que el tiempo de respuesta debe ser medio segundo o menos.
Mida la cantidad de tiempo que esto toma para un usuario de la nueva voz sobre IP
(VoIP) el sistema para or un tono de marcacin despus de recoger un
microtelfono telefnico. El criterio de aceptacin es que la cantidad (media) media
del tiempo debe ser menos que o igual a la cantidad media del tiempo para un
usuario del Cambio de Rama Privado (PBX) sistema telefnico corporativo. El
desacuerdo del promedio tambin debe ser igual o ms pequeo.
Los objetivos y los criterios de aceptacin deberan estar basados en los objetivos
comerciales y tcnicos de un cliente para el diseo de red, pero pueden ser ms
formalmente o expresamente definidos. Los criterios para declarar que una prueba pas
o fall deben estar claros y convenidos por el probador y el cliente. Usted debera evitar
un problema comn, en el cual la prueba es completada, los probadores y los clientes
convienen en resultados, pero discrepan en el resultado de la performance.
Los objetivos y los criterios de aceptacin pueden referirse a una medida de lnea de
fondo para la red corriente. Por ejemplo, un objetivo podra ser medir la comprobacin
por redundancia cclica (CRC) ndice de errores en un segmento WAN y comparar los
resultados a una medida de lnea de fondo. El criterio de aceptacin podra ser que
deben haber el 20 por ciento menos errores que hay hoy. Para ser capaz de determinar
si el criterio haya sido encontrado, una medida de lnea de fondo debe existir, como fue
hablado en El captulo 3, "Caracterizando las Interredes Existentes." El captulo 3
tambin incluye una Lista de comprobacin de Salud de Red que puede ayudarle a
escribir criterios de aceptacin y objetivos.
Segn los objetivos comerciales y tcnicos de un cliente, otras pruebas que podran ser
necesarias son manejabilidad, utilidad, adaptabilidad, y pruebas de seguridad.
Los tipos especficos de pruebas para correr contra su prototipo particular dependen de
objetivos de prueba. Las pruebas tpicas incluyen lo siguiente:
servidores, simuladores
de
En la adicin para conectar a la red equipos, un plan de prueba debera incluir una lista
de instrumentos de pruebas requeridos. El "Instrumentos para Probar un Diseo de
Red" en la seccin ms adelante en este captulo describiremos los instrumentos tiles
para probar un diseo de red. Los instrumentos tpicos incluyen la direccin de red y la
El plan de prueba tambin debera poner cualquier aplicacin en una lista que
aumentar la eficacia de pruebas, por ejemplo aplicaciones de distribucin de software
o programas de mando a distancia que facilitan la configuracin y la nueva
configuracin de nodos durante una prueba.
NOTA
En Microsoft el ambiente de Windows, si sus pruebas requieren nuevas aplicaciones de
software que cargan o versiones en sistemas mltiples, Servidor de Direccin de
Sistemas de Microsoft (SMS) software puede ser una adicin til al ambiente de
pruebas.
El plan de prueba debera documentar cualquier otro recurso que usted necesitar,
incluso lo siguiente:
Escrituras de Prueba
Para cada prueba, escriba una escritura de prueba que pone los pasos en una lista para
ser tomados para realizar el objetivo de prueba. La escritura debera identificarse qu
instrumento es usado para cada paso, como el instrumento es usado para hacer
medidas relevantes, y que informacin debera ser registrada durante pruebas. La
escritura debera definir valores iniciales para parmetros y como variar aquellos
parmetros durante pruebas. Por ejemplo, la escritura de prueba podra incluir un valor
de carga de trfico inicial y aumentos incrementales para la carga.
2.
3.
4.
5.
6.
7.
8.
9.
ha sido adjudicada a cada tarea. La lista siguiente muestra tareas tpicas, incluso
algunas tareas que deberan haber sido completadas ya cuando el plan de prueba es
escrito:
Tipos de Instrumentos
En general, los tipos de instrumentos que usted puede usar para probar su diseo de
red incluyen lo siguiente:
Dependiendo del paquete de prueba para la red del proyecto, en vez de usar un
analizador de protocolo para generar trfico, usted puede usar generadores de trfico de
multipuerto poderosos. Estos instrumentos pueden enviar corrientes mltiples del trfico
de red, emular protocolos, y analizar la performance y la conformidad a especificaciones
de estndares.
Modeling and simulation tools para un modelo sofisticado del nuevo sistema de red,
usted puede usar instrumentos de simulacin y modelado. La simulacin es el proceso de
usar software y modelos matemticos para analizar el comportamiento de una red sin
requerir una red actual. Un instrumento de simulacin le deja desarrollar un modelo de
una red, estimar la performance de la red, y comparar alternativas para poner en prctica
la red. Un instrumento de simulacin, de ser exacto, es a menudo preferible a realizacin
y medicin de un sistema de prototipo extenso porque esto permite que alternativas sean
ms fcilmente comparadas.
El modelado de switche y router puede ser desafiante, sin embargo, porque cada
vendedor tiene numerosas tcnicas de optimizacin y opciones de configuracin. Una
solucin con este problema consiste en que un instrumento de simulacin puede
incorporar medidas del trfico de red actual, ms bien que confiar nicamente en
bibliotecas de dispositivo que modelan el comportamiento de dispositivo terico. Este
acercamiento no slo soluciona el problema de modelar dispositivos complejos, sino
tambin permite que el instrumento calibre asunciones hechas sobre carga de trfico y
caractersticas. Hay menos confianza en el diseador de red para predecir exactamente la
carga de trfico, y ms confianza en verdaderas medidas.
OPNET Technologies
El software de Tecnologas de OPNET empotra el conocimiento experto sobre como
los dispositivos de red, los protocolos, las aplicaciones, y los servidores funcionan.
Esta inteligencia permite a usuarios optimizar la performance y la disponibilidad de
sus redes y aplicaciones. El Modelador de OPNET es un ambiente de desarrollo de
tecnologa de red que permite que usuarios diseen y estudien sistemas de red. El
modelador orientado por objeto modelando acercamiento y editores grficos refleja la
estructura de redes actuales y componentes de red.
El OPNET IT el Gur es otro producto de OPNET que modela Cisco y las
configuraciones de dispositivo de otros vendedores e incluye instrumentos para tomar
datos capturados y analizar qu componentes son los cuellos de botella.
Agilent's RouterTester
Agilents RouterTester es un sistema de prueba poderoso y flexible para generar
corrientes de trfico y probar el diseo de red y enrutar la escalabilidad. El sistema
RouterTester puede generar IPv4 y IPv6, la sealizacin, el multicast, y la
construccin de un tnel del trfico de protocolo sobre una amplia variedad del
Paquete sobre SONET (POS), ATM, e interfaces de Ethernet. Esto tiene la capacidad
de manejar hasta 2000 corrientes individuales por puerto. Esto tambin incluye
instrumentos para enviar corrientes de trfico realistas, construyendo configuraciones
de prueba grandes, realizando QoS y medidas de performance, y verificando la
realizacin de protocolo correcta.
NetPredict's NetPredictor
NetPredictor es para performance y el instrumento de manejo de nivel de servicio que
predice y supervisa el QoS proporcionado por una red, cuando sera percibido por un
usuario. El NetPredictor analiza los efectos interrelacionados en aplicaciones de red
de latencia de punta a punta, carga, y prdida de paquete. Esto basa su anlisis en
modelos
tanto
de
red
como
de
comportamiento
de
protocolo
que
son
La determinacin que red y los recursos de servidor son necesarios para entregar
un nivel de QoS requerido.
La prediccin de performance de punta a punta antes de despliegue de nuevas
aplicaciones o tecnologas.
El desarrollo de acuerdos de nivel de servicio (SLAs) basado en predicciones de
performance verificables.
La escucha de performance actual y comparndolo con expectativas o SLAs.
En este punto del proceso de diseo de red top down, usted debera tener un
entendimiento slido de la topologa lgica y fsica de su red. Usted debera saber sobre
cualquier enlace que ser compartido por aplicaciones con exigencias diferentes, y usted
debera haber testeo una implementacin piloto del diseo de red para determinar qu
enlaces estn en la mayor parte de necesidad de tcnicas de optimizacin.
Este captulo cubre soluciones de optimizacin. Esto asume que usted ha analizado ya
requerimientos, sobre todo de requerimientos de aplicacin para tardanza baja o
rendimiento alto. Como mencionado en el Captulo 4, "Caracterizando el Trfico de Red,"
durante las fases tempranas de un proyecto de diseo, usted debera trabajar con su
cliente para clasificar aplicaciones de red en categoras de servicio de modo que usted
pueda determinar qu optimizacin y las opciones de calidad del servicio (QoS) que las
aplicaciones requerirn. Despus de que usted ha clasificado una aplicacin, usted
debera rellenar "la columna" de Exigencias de QoS en la Tabla 4-4, "Caractersticas de
Trfico de Aplicaciones de Red." Como mencionado en el Captulo 2, "Analizando
Objetivos Tcnicos y Compensaciones," usted tambin debera rellenar rendimiento de
aplicacin y objetivos de tardanza en la Tabla 2-3, "Aplicaciones de Red Exigencias
Tcnicas."
El captulo sigue con una discusin de mtodos para optimizar la performance de red para
encontrar requerimientos de QoS. Estos mtodos permiten que aplicaciones informen al
router de su carga y requerimientos de latencia, y dejen al router compartir la informacin
de QoS entre s y con servidores de poltica. Ms tarde en este captulo, una seccin
llamada "Caracteristicas de Sistema Operativo de redes de Cisco para Optimizar
Performance de Red" describe una surtida tcnicas de optimizacin ofrecidas por Cisco,
incluso conmutacin avanzada, formacin de cola de espera, y tcnicas que forman
trfico.
Una alternativa a corrientes de punto a punto mltiples debe enviar una corriente sola
y el uso una direccin de destino de broadcast. La desventaja obvia con esta tcnica
es que la corriente de datos va a todos los dispositivos, hasta dispositivos para los
cuales ninguna aplicacin es instalada para manejar la corriente. Este acercamiento
tiene un efecto negativo en la performance para cada dispositivo que recibe la
corriente, incluso estaciones de trabajo, switches, y routers.
Con tecnologas de IP multicast, por otra parte, una corriente de datos sola es
enviada a slo aquellas estaciones que solicitan la corriente, as optimizando el uso
de ancho de banda y reduciendo problemas de performance en estaciones finales y
dispositivos de funcionamiento entre redes.
IP Multicast Addressing
El direccionamiento IP Multicast transmite datos IP a un grupo de host que son
identificados por una Clase D de direccin IP. En la nota punteada decimal, reciba la
variedad de direcciones de grupo de 224.0.0.0 a 239.255.255.255. Las estaciones de
red reconocen una direccin como es una Clase D direccin porque primeros cuatro
trozos deben ser 1110 en el binario.
Cuando un usuario (o proceso de sistema) comienza una aplicacin que requiere que
un host se afilie a un grupo de multicast, el host transmite un mensaje de informe de
ingreso para informar al router en el segmento que el trfico para el grupo debera ser
multiechado al segmento del host. Aunque sea posible que el router enve ya datos
para el grupo al segmento del host, la especificacin declara que un host debera
enviar un mensaje de informe de ingreso por si sea el primer miembro del grupo en el
segmento de red.
Adems del permiso de hosts de afiliarse a grupos, IGMP especifica que un router de
multicast enva una pregunta de IGMP a cada interfaz con regularidad para ver si
algn host pertenece al grupo. Un host responde enviando a un mensaje de informe
de ingreso IGMP para cada grupo en el cual esto es todava un miembro (basado en
las aplicaciones que corren en el anfitrin).
El RFC 2236 define una nueva versin de IGMP: IGMPv2. La caracteristica general
de IGMPv2 es la capacidad para un router de aprender ms rpidamente el ltimo
host ha abandonado un grupo, que es importante para grupos de multicast de alto
ancho de banda y subredes con el ingreso de grupo muy voltil. El IGMPv2 soporta
un nuevo mensaje, el mensaje de grupo de permiso, que un host puede usar para
abandonar explcitamente un grupo. El router puede enviar entonces una pregunta de
ingreso para determinar si hay algn host restante en el segmento que es miembros
de grupo para el grupo de multicast en particular.
Un router que corre MOSPF calcula un rbol de camino ms corto a todos los
destinos dentro de su rea, y luego usa la informacin de ingreso de grupo anunciada
para "prune" las ramas del rbol que no conducen a ningn miembro de grupo. Este
proceso permite que el router envie paquetes de multicast slo a aquellos interfaces
que pertenecen al rbol de multicast pruned. El resultado final es la cantidad de trfico
que cruza unas interredes tambin es "pruned".
Una otra advertencia con MOSPF tiene que ver con el soporte del OSPF a dividir un
sistema autnomo en reas. La ventaja de reas, como se hablo en El captulo 7, "La
seleccin de Conmutacin y Encaminamiento de Protocolos," es que ningn router
tiene que entender la topologa completa de un sistema autnomo. Una
compensacin es que la encaminamiento multicast es ineficaz en algunos casos.
Si una fuente del trfico de multicast no est en el rea de un router, el router puede
construir rboles de camino ms corto slo incompletos entre destinos de grupo y la
fuente. La informacin en cuanto al camino exacto entre el router y la fuente est
aproximada, basada en datos de publicacin del enlace sumario OSPF (o publicacin
del enlace externo si la fuente est en un sistema autnomo diferente).
de
El PIM tiene dos modos: modo denso y modo escaso. Los adjetivos densos y
escasos se refieren a la densidad de miembros de grupo. Los grupos densos tienen
a muchos miembros. Un ejemplo de un grupo denso es empleados en una
corporacin que escuchan a la compaa el informe trimestral presidencial cuando
es multicast en el intranet corporativo. Un grupo escaso podra ser un grupo mucho
ms pequeo de empleados que se han contratado para un curso particular que
aprende distancia.
Si un router que dirige el modo denso PIM recibe paquetes multicast de una
fuente
un
grupo,
ello primero
verifica
en
el
estndar
unicast la
encaminamiento de la tabla que el interfaz entrante es el que que este usa para
enviar paquetes unicast hacia la fuente. Si no es as, este desecha el paquete y
devuelve un mensaje nuevo. Si esto es el caso, el router expide una copia del
paquete en todos los interfaces para los cuales esto no ha recibido un mensaje
nuevo para el par de destino de fuente/grupo. Si no hay tales interfaces, este
devuelve un mensaje nuevo.
inundacin del primer paquete para un grupo, el modo denso no tiene sentido
en ambientes donde unos usuarios escasamente localizados quieren participar
en una aplicacin de multicast. En este caso, modo escaso multicast
independiente, que es descrito en la siguiente seccin, es la mejor solucin.
PIM de modo escaso confa en IGMP, que deja a un host afiliarse a un grupo
enviando un mensaje de informe de ingreso, y separar de un grupo enviando un
mensaje de permiso. Un router designado para un segmento de red revisa los
reportes y mensajes de permiso en su segmento, y peridicamente enva la
juntura y mensajes pruned PIM al punto de cita. La juntura y pruned mensajes
son tratados por todos los routers entre el router designado y el punto de cita. El
resultado es un rbol de distribucin que alcanza a todos los miembros de
grupo y es centrado en el punto de cita.
enlace WAN es usado por aplicaciones que envan paquetes grandes, como
transferencia de archivo, y aplicaciones que son la tardanza sensible, como voz,
vdeo, y aplicaciones interactivas como Telnet. Las soluciones con este problema
incluyen el uso de la fragmentacin de la capa de enlace e intercalando (LFI) y el
uso de compresin para la cabecera del paquete multimedia. Esta seccin cubre
estas soluciones.
El MPPP permite que los paquetes para ser enviados al mismo tiempo sobre
punto a punto mltiple unan para la misma direccin remota. Enlaces mltiples
subieron en respuesta a un umbral de carga que usted define. La carga puede
ser calculada en trfico entrante, trfico que va hacia fuera, o en tampocos,
como necesario para el trfico entre sitios especficos. El MPPP proporciona el
ancho de banda a peticin y reduce la tardanza en enlaces WAN.
Adems de soportar LFI para usos de MPPP clsicos, como canales de ISDN
agregados, Cisco tambin soporta LFI para Frame Relay y circuitos virtuales
ATM. Esta caracteristica pone en prctica LFI que usa MPPP sobre Frame
Relay y ATM. El LFI para Frame Relay y ATM soporta Frame Relay de
velocidad baja y circuito virtual ATM y Frame Relay/ATM de redes (FRF.8). El
LFI para Frame Relay y ATM trabaja simultneamente con y en el mismo
camino de conmutacin que otras caracteristicas de QoS, incluso el trfico de
Frame relay que forma (FRTS), latencia baja haciendo cola (LLQ), y ponderada
a base de clase que hace cola (CBWFQ).
la
carga
til
en
el
paquete.
Una
aplicacin
de
ejemplo
es
la
compresin
puede
reducir
la
tardanza
de
adaptacin
considerablemente.
NOTA
El foco de esta seccin encuentra los requerimientos de QoS en redes TCP/IP. Para
ms informacin en QoS en un ambiente de ATM, ver "la Calidad de ATM de la
seccin" de Especificaciones de Servicio en el Captulo 4.
El Campo de Precedencia IP
Una aplicacin puede usar el campo de precedencia para especificar la
importancia de un paquete. La importancia puede extenderse de la prioridad
rutinaria (los bits son puestos a 000) a la prioridad alta (los bits son puestos a
111).
Segn RFC 1349, que clarific el uso del byte de tipo de servicio (pero es
obsoleto ahora), una aplicacin puede poner un (y slo un) de los cuatro bits de
tipo de servicio decir al router el camino al destino como manejar el paquete. Un
host tambin puede usar los bits de tipo de servicio para decidirse que firman
con las iniciales el camino a un router local para seleccionar. Si todos cuatro bits
son cero, el servicio rutinario es implicado.
La Versin 6 de IP QoS
El IPv6 realza la capacidad de hosts y routers para poner en prctica niveles
variantes de QoS para flujos de trfico diferentes por la inclusin en la cabecera
IPv6 un campo de etiqueta de flujo que identifica flujos de paquete individuales.
Un host de la fuente adjudica una etiqueta de flujo a cada flujo de aplicacin. Un
router IPv6-compatible puede tratar tericamente la cabecera IPv6 de cada
paquete y mantener un escondite de la informacin de flujo, puesta ndice por la
direccin de la fuente y fluir la etiqueta. Este proceso facilita un router que pone
en prctica caracteristicas de QoS para flujos de trfico individuales.
unicast
multicast
protocolos.
Mientras
que
un
protocolo
de
Una aplicacin que reside en un host de receptor pasa una peticin de QoS al
proceso de RSVP local. El protocolo RSVP entonces lleva la peticin a todos
los nodos (routers y hosts) a lo largo del camino (s) de datos inverso a la fuente
(s) de datos (slo por lo que el router localiz donde el camino de datos del
receptor se afilia al rbol de distribucin de multicast). Las peticiones de RSVP
deberan causar recursos reservados en cada nodo a lo largo del camino.
NOTA
Recuerde, conecte a la red el diseo es un proceso iterativo que permite que
usted ajuste sus proyectos cuando usted considera los detalles y ramificaciones
de opciones hechos hasta ahora.
Adems, RSVP es mejor satisfecho para flujos largos, como aquellos presentan
en aplicaciones de vdeo. Aproximadamente el 60 por ciento del trfico de
Internet hoy consiste en flujos de duracin corta. Por estos motivos, RSVP es
ms apropiado para redes privadas que para el Internet (aunque este pueda
cambiarse del futuro como aplicaciones en el cambio de Internet y ms
progreso es hecho en mtodos para abastecedores para cooperar).
El IEEE 802.1p soporta ocho clases del servicio. Un valor de 0 servicio de rutina
de medios (en otras palabras, ninguna prioridad). Los switches diferentes dentro
de un LAN, y puertos hasta diferentes en switches, pueden ser configurados
para un nmero diferente de niveles de prioridad. Un switch debera tener una
cola separada para cada nivel de prioridad usado por un puerto.
NOTA
Podra ser argumentado que las LANs no necesitan caracteristicas de QoS. Las
LANs que han sido emigrados a tecnologas cambiadas y altas velocidades,
como Ethernet 100-Mbps y Gigabit, a menudo tienen la capacidad excedente.
Sin embargo, cuando las redes de backbone y los segmentos de uplink a capas
superiores de una topologa jerrquica son considerados, se hace claro que los
mtodos de QoS son necesarios en redes de empresa as como LANs. Cuando
las nuevas multimedia conectados a una red y las aplicaciones de voz se hacen
una parte central de prcticas comerciales normales, las LANs de campus
Tcnicas de Conmutacin
Adems del correr el protocolos de enrutamiento para desarrollar una topologa
de encaminamiento, el trabajo principal de un router debe cambiar paquetes de
interfaces entrantes a interfaces salientes. La conmutacin implica recibir un
paquete, determinando como enviar el paquete basado en la topologa de
enrutamiento y QoS y reuqerimiento de poltica, y conmutacin del paquete al
interfaz saliente o interfaces. La velocidad en la cual un router puede realizar
esta tarea es un factor principal en la determinacin de la performance de red
en una red ruteada. Cisco soporta muchos mtodos de conmutacin, con
velocidades variantes y comportamientos. Esta seccin describe algunos de
estos mtodos de conmutacin.
NOTA
Ver la documentacin Cisco para ms informacin sobre los mtodos apoyados
para varias plataformas de routers, protocolos, e interfaces. La documentacin
para productos Cisco est disponible en lnea en:
www.cisco.com/univercd/home/home.htm.
NOTA
Si usted usa la carga compartida a travs de interfaces mltiples con la
conmutacin rpida permitida, la carga no puede ser equilibrada igualmente si
una parte grande del trfico va a slo un destino. Los paquetes para un destino
dado siempre salen el mismo interfaz aun si soporta interfaces mltiples. En
otras palabras, rpidos cambios de usos de carga por destino que comparte. Si
este es un problema, usted debera usar CEF. El CEF soporta tanta carga por
destino como por paquete que comparte. Adems, con CEF, la carga por
destino que comparte est basada en pares de fuente/destino ms bien que
simplemente la direccin de destino, que puede proporcionar un mejor equilibrio
que la conmutacin rpida.
Conmutacin de NetFlow
La conmutacin de NetFlow es optimizada para ambientes donde los servicios
deben
ser
aplicados
paquetes
para
poner
en
prctica
seguridad,
Para maximizar la escalabilidad de red, una prctica de diseo buena debe usar
conmutacin NetFlow de periferia de una red para permitir caracteristicas como
contabilidad de trfico, funcionalidad de QoS, y seguridad, y usar un modo de
conmutacin an ms rpido en el core de la red. En el core de la red, el modo
de conmutacin debera enviar paquetes basados en la informacin fcilmente
accesible en paquete, y generalmente no debera pasar el tiempo aplicando
servicios. El siguiente modo de conmutacin cubierto en esta seccin, Expreso
de Cisco que Envia (a CEF), es optimizado para el core de una red para
proporcionar la alta performance, la previsibilidad, la escalabilidad, y la
resistencia.
Considere una aplicacin que hace navega por la web, por ejemplo. Cuando un
usuario pasa a un nuevo sitio Web, TCP abre una sesin con una nueva
direccin de destino. Es improbable que el nuevo destino est en el escondite
del router, a menos que resulte ser un destino el usuario, u otros usuarios,
visitados recientemente. Este significa que el primer paquete es el proceso
cambiado, que es lento. Tambin, la CPU del router es considerablemente
afectada si hay muchos paquetes a nuevos destinos. El CEF mejora la
velocidad de conmutacin, y evita ser elevado asociado con un escondite que
continuamente se cambia, por el uso del FIB, que refleja los contenido enteros
de la tabla de enrutamiento IP.
caminos
diferentes,
que
podran
hacer
que
paquetes
llegaran
Servicios de cola
Las tcnicas de conmutacin rpidas ya habladas en las secciones anteriores
slo van hasta ahora en la optimizacin de una red que experimenta la
congestin. Los mtodos inteligentes y rpidos que hacen cola son tambin
necesarios. La formacin de una cola de espera permite que un dispositivo de
red maneje un desbordamiento de trfico. El Cisco IOS software soporta los
mtodos siguientes que hacen cola:
Prioridad de Cola
La formacin de una cola de espera de prioridad asegura que el trfico
importante es tratado primero. Fue diseado para dar la prioridad estricta con
una aplicacin crtica, y es en particular til para protocolos sensibles a tiempo
como la Arquitectura de Red de Sistemas (SNA). Los paquetes pueden estar
priorizados basado en muchos factores, incluso protocolo, interfaz entrante,
tamao de paquete, y direccin de destino o fuente.
La formacin de una cola de espera de prioridad es sobre todo apropiada en
casos donde los enlaces WAN son congestionados de vez en cuando. Si los
enlaces WAN son constantemente congestionados, el cliente debera investigar
protocolo e ineficiencias de aplicacin, pensar en usar la compresin, o
posiblemente mejorar a ms el ancho de banda. Si los enlaces WAN nunca son
congestionados, la formacin de una cola de espera de prioridad es
innecesaria. Como la formacin de una cola de espera de prioridad requiere
procesamiento extra y puede causar problemas de performance para el trfico
de prioridad baja, no debera ser recomendado a menos que sea necesario.
La formacin de una cola de espera de prioridad tiene cuatro colas: alto, medio,
normal, y bajo. La cola prioritaria siempre es vaciada antes de que las colas de
prioridad inferior sean atendidas, como mostrado en la Figura 13-3.
La
Cola de Encargo
La formacin de una cola de espera de encargo fue diseada para permitir que
una red fuera compartida entre aplicaciones con ancho de banda mnima
diferente o requerimientos de latencia. La formacin de una cola de espera de
encargo adjudica cantidades diferentes del espacio de cola a protocolos
diferentes y maneja las colas en la manera de retorno al punto de origen. Un
protocolo particular puede ser priorizado adjudicndolo ms espacio de cola. La
formacin de una cola de espera de encargo es ms "feria" que la formacin de
una cola de espera de prioridad, aunque la formacin de una cola de espera de
prioridad sea ms poderosa para priorizar una aplicacin crtica sola.
Usted puede usar cola de costumbre para proveer garantizada ancho de banda
en un punto de congestin potencial. La formacin de una cola de espera de
encargo le deja asegurar que cada trfico especificado escribe a mquina una
parte fija del ancho de banda disponible, mientras al mismo tiempo evitan
cualquier aplicacin que consigue ms que una proporcin predeterminada de
la capacidad cuando el enlace est bajo la tensin. La formacin de una cola de
espera de encargo es anloga a una lnea de primera clase en un aeropuerto
donde los oficinistas sirven aquella lnea primero hasta un punto. Despus de
un nmero de juego de pasajeros de primera clase han sido servidos, el
movimiento de oficinistas a la otra gente.
Muchos negocios usan la costumbre que hace cola para el trfico SNA. Como
SNA es la tardanza sensible, uno puede poner alguna parte aparte del ancho de
banda, a menudo el 40 a 50 por ciento, para el trfico SNA para usar durante
tiempos de congestin.
El WFQ es un algoritmo a base de flujo que hace que la cola que reconoce un
flujo para una aplicacin interactiva y programa el trfico de aquella aplicacin
al frente de la cola para reducir el tiempo de respuesta. Se permite que
corrientes de trfico de volumen bajo para aplicaciones interactivas, que incluye
un porcentaje grande de las aplicaciones en la mayor parte de redes,
transmitan sus cargas ofrecidas enteras en una manera oportuna. Las
corrientes de trfico de volumen alto comparten la capacidad restante.
El WFQ tambin trabaja con RSVP. El RSVP usa WFQ para asignar espacio de
buffer, paquetes de lista, y ancho de banda garantzada basada en
reservaciones de recurso. Adems, WFQ entiende el bit de elegibilidad de
descarte (DE), y la notificacin de congestin explcita avanzada (FECN) y
notificacin de congestin hacia atrs explcita (BECN) mecanismos en una red
de Frame Relay. Despus de que la congestin ha sido identificada, los pesos
usados por WFQ son cambiados de modo que una conversacin que encuentra
la congestin transmita con menos frecuencia.
de
FIFO es reservada para cada clase, y el trfico que pertenece a una clase es
dirigido a la cola para aquella clase.
Sin LLQ, CBWFQ provee WFQ basado en clases definidas sin la cola de
prioridad estricta disponible para el trfico de tiempo real. Como mencionado en
la seccin precedente, CBWFQ permite que usted defina clases de trfico y
El LLQ permite el uso de una sola cola de prioridad estricta dentro de CBWFQ
en el nivel de clase, permitindole dirigir el trfico que pertenece a una clase la
cola de prioridad estricta CBWFQ. Aunque sea posible colocar varios tipos del
trfico de tiempo real en la cola de prioridad estricta, Cisco fuertemente
recomienda que usted dirija slo el trfico de voz a la cola. El trfico de voz
requiere aquella tardanza ser no variable. El trfico de tiempo real como el
vdeo podra introducir la variacin en la tardanza, as frustrando la firmeza de
tardanza requerida para la transmisin de voz acertada. El LLQ es un
instrumento esencial para diseadores de red que planean transmitir el trfico
de voz en enlaces de ancho de banda baja que tambin llevan otros tipos del
trfico.
ocurra otra vez. El trmino porpoising a veces es usado para referirse al cierre y
volver a abrir la ventanas.
de
Formacin de Trfico
Otro instrumento que est disponible a los diseadores para conectar a la red
que usan equipo de Cisco es la formacin de trfico. La formacin de trfico le
deja manejar y controlar el trfico de red para evitar cuellos de botella y
encontrar requerimientos de QoS. Esto evita la congestin reduciendo el trfico
que va hacia fuera para un flujo a una velocidad binaria configurada, haciendo
cola de trfico para aquel flujo. En topologas con routers y enlaces de
capacidades variantes, el trfico puede ser formado para evitar aplastar un
enlace del router downstream.
El
En este punto del proceso de diseo, usted debera tener un diseo completo que est
basado en un anlisis de los objetivos comerciales y tcnicos de su cliente, e incluye
tanto componentes lgicos como fsicos que han sido probados y optimizados. El
siguiente paso en el proceso debe escribir un documento de diseo.
Cada RFP es diferente, pero tpicamente un RFP incluye unos o todos los temas
siguientes:
Objetivos comerciales para el proyecto.
Alcance del Proyecto.
Informacin en la red existente y aplicaciones.
Informacin en nuevas aplicaciones.
Las exigencias tcnicas, incluso escalabilidad, disponibilidad, conectan a la red
la performance, la seguridad, la manejabilidad, la utilidad, la adaptabilidad, y la
accesibilidad financiera.
Requerimientos de garanta para productos.
Las restricciones ambientales o arquitectnicas que podran afectar la
realizacin.
La formacin y requerimientos de apoyo.
Lista preliminar con cambios y deliverables.
Trminos contractuales legales y condiciones.
A pesar de que una respuesta a un RFP debe quedarse dentro de las pautas
especificadas por el cliente, usted debera usar sin embargo el ingenio para
asegurar que su respuesta destaca las ventajas de su diseo. Basado en un
anlisis de objetivos comerciales y tcnicos de su cliente, y el flujo y caractersticas
del trfico de red.
Resumen Ejecutivo
Un documento de diseo completo puede ser muchas pginas de longitud. Por
esta razn, es esencial que usted incluya a principios del documento un
Resumen Ejecutivo que sucintamente declara los puntos principales del
documento. El Resumen Ejecutivo debera ser no ms que una pgina y
debera ser apuntado hacia los gerentes y participantes que decidirn si hay
que aceptar su diseo.
un
prrafo; a menudo puede ser escrito como una oracin sola. La escritura de ello
con cuidado le dar una posibilidad para hacerlo obvio hacia los funcionarios
con poder de decisin que leen el documento que usted entiende el objetivo
primario y la importancia del del diseo del proyecto de red.
Un ejemplo de un objetivo de proyecto que fue escrito para un cliente de diseo
actual sigue:
El objetivo de este proyecto es desarrollar una red de area amplia (WAN) que
soportara nuevo alto ancho de banda y aplicaciones de multimedia de tardanza
baja. Las nuevas aplicaciones son claves a la realizacin acertada de nuevos
programas de formacin para el personal de ventas. El nuevo WAN debera
facilitar el objetivo de aumentar ventas en los Estados Unidos en el 50 por
ciento en el prximo ao fiscal.
Objetivos Tcnicos
La seccin de Objetivos Tcnicos documenta los objetivos siguientes hablados
en el Fase II, "Analizando Objetivos Tcnicos y Compensaciones:"
Escalabilidad. Cuanto crecimiento un diseo de red debe soportar.
Disponibilidad. La cantidad de tiempo una red est disponible a usuarios, a
menudo expresados como un tiempo de operacin de por ciento, o como un
tiempo medio entre el fracaso (MTBF) y tiempo medio de reparacin
(MTTR). La documentacin de disponibilidad tambin puede incluir
cualquier informacin juntada en el coste monetario asociado con el tiempo
de indisponibilidad de red.
Interpretacin de red. Los criterios del cliente para aceptar el nivel de
servicio de una red, incluso su rendimiento, exactitud, eficacia, tardanza,
retrasan la variacin (inquietud), y tiempo de respuesta. Los requerimientos
de rendimiento especficas para dispositivos de funcionamiento entre redes,
en
paquetes
por
segundo,
tambin
pueden
ser
declaradas.
Los
Aplicaciones de Red
La seccin de Aplicaciones de Red pone en una lista y caracteriza las
aplicaciones de red nuevas y existentes. La informacin sobre aplicaciones
puede ser resumida en "Requerimientos Tecnicos de Aplicaciones de Red"
carta mostrada en la Mesa 2-3, y en "la carta" de Caractersticas de Trfico de
Aplicaciones de Red mostrada en la Tabla 4-4. Si usted quiere, usted puede
combinar estas dos tablas de modo que haya slo una fila para cada aplicacin.
Una parte principal del Estado Corriente de la seccin de Red del documento
de diseo de red debera ser dedicada a un anlisis de la salud y la
performance de la red presente. Ver la Fase III, "Caracterizando las redes
Existentes," para ms informacin en la documentacin usted debera juntarse
sobre la red existente.
Diseo Lgico
La seccin de Diseo Lgica documenta los aspectos siguientes de su diseo
de red:
La topologa de red, incluso uno o varios dibujos que ilustran la arquitectura
lgica de la nueva red.
Un modelo para dirigirse a red segmentada y dispositivos.
Un modelo para llamar dispositivos de red.
Una lista del enrutamiento, y conmutacin de protocolos que han sido
seleccionados para poner en prctica el diseo, y cualquier recomendacin
de realizacin especfica asociada con aquellos protocolos.
Mecanismos de seguridad recomendados y productos, incluso un resumen
de polticas de seguridad y procedimientos. (Si un plan de seguridad
detallado fuera desarrollado como la parte del diseo de red, puede ser
presentado como un apndice al documento de diseo.)
Arquitecturas de direccin de red recomendadas, procesos, y productos
La razn fundamental de diseo, perfilando por qu varias opciones fueron
hechas, en la luz de los objetivos del cliente y el estado corriente de la red.
NOTA
No todos los diseos incluyen todos estos componentes. Basado en los
requerimientos de su cliente, usted debera reconocer si es necesario dirigirse a
todas las cuestiones incluidas en la lista precedente en su documento de diseo
de red.
Diseo Fsico
La seccin de Diseo Fsico describe las caracteristicas y usos recomendados
para las tecnologas y dispositivos que usted seleccion para poner en prctica
el diseo. Esto puede incluir la informacin para redes de campus y acceso
remoto y redes de area amplia. Esta seccin tambin puede incluir la
informacin sobre cualquier abastecedor de servicio seleccionado.
que
su
diseo
encontrar
probablemente
requerimientos
para
Plan de Implementacin
El Plan de Implementacin incluye sus recomendaciones para desplegar el
diseo de red. El nivel de detalle en esta seccin vara del proyecto de
proyectar, y depende de su relacin con su cliente.
ventas para un vendedor de productos conectados a una red, por otra parte, su
papel debe recomendar probablemente soluciones, pero no ponerlos en
prctica, entonces esta seccin debera ser corta. (Usted debera evitar
aparecer como si usted dice a sus clientes como hacer sus empleos.)
Table 14-1. La lista de alto nivel desarrollada para una red disea al cliente.
Fecha de
Finalizacin
El 1 de junio
Activid
ad
El diseo completado y una versin de beta del documento de diseo
distribuido a ejecutivos claves, gerentes, conecta a la red a
administradores, y usuarios finales
El 15 de junio
El 22 de junio
El 25 de junio
El 28-29 de
junio
30 julio de
junio 1
El 6 de julio
El 20 de julio
El 27 de julio
El 10 de
agosto
El 17 de
agosto
En curso
Retorno de la Inversin
En muchos casos el mejor modo de vender a un cliente en un nuevo diseo de
red es convencer al cliente que el diseo pagar para s en un perodo de
tiempo razonable. El documento de diseo de red puede incluir un retorno de
inversin (ROI) anlisis que explica como rpidamente el diseo o el nuevo
equipo se pagara por si mismo.
Una asuncin fue hecha esto el equipo de conmutacin WAN tendr una vida
til de 5 aos antes de que sea obsoleto. De este modo, el coste por ao para
poseer el equipo fue calculado como 1.05 millones de dlares divididos en 5, o
210,000 dlares. El coste por mes para poseer el equipo es 210,000 dlares
divididos en 12, o 17,500 dlares.
Sin embargo, el costo de hacer funcionar la vieja red debe ser comparado al
costo de hacer funcionar la nueva red. El nuevo diseo lo har posible para el
ABC de Cliente de usar 8 lneas T1 en vez de las 20 lneas T1 requeridas en el
viejo diseo. Cada lnea cuesta a ABC de Cliente 1500 dlares por mes. Este
significa que 20 lneas cuestan 30,000 dlares por mes, y 8 lneas cuestan
12,000 dlares por mes.
Los ahorros al ABC de Cliente con el nuevo diseo de red son 30,000 dlares
12,000 dlares, o 18,000 dlares por mes. Considerando que el costo para el
nuevo equipo es aproximadamente 17,500 dlares por mes, una conclusin
puede ser sacada que el equipo pagar por si mismo.
o
suplemental puede
incluir
mapas de topologa
detallados,
300
Marcos Huerta S.
301