Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Redes de Computadoras
(Versin Borrador)
I
Intercambio de tres vas (3-Way handshake) .................................................................23
Nmeros de secuencia y acuses de recibo ...................................................................23
Tamao de ventana y ventana deslizante ......................................................................24
Nmeros de puerto..............................................................................................................25
5. Ethernet ................................................................................................................................27
Numeracin de interfaces en equipo Cisco.......................................................................27
Colisiones ............................................................................................................................28
Carrier Sense Multiple Access Collision Detection (CSMA/CD) .......................................29
Cables utilizados en Ethernet .............................................................................................29
UTP vs. Fibra ptica ............................................................................................................30
Inspeccin y limpieza de conectores de fibra ptica ........................................................31
Consideraciones de seguridad al trabajar con fibra ptica .............................................31
Estndares para cable de par trenzado .............................................................................32
Switch...................................................................................................................................33
Modos de transmisin ........................................................................................................34
6. Introduccin al Cisco IOS ......................................................................................................35
Conexin a un dispositivo a travs de una lnea de comandos (CLI) ..............................35
Conexin local .....................................................................................................................36
Conexin remota .................................................................................................................38
Modos del Cisco IOS ...........................................................................................................40
Modo Usuario (User Mode) ..............................................................................................40
Modo Privilegiado (Privileged Mode) ...............................................................................40
Modo de Configuracin Global (Global Configuration Mode) ..........................................40
Ayuda y edicin en el Cisco IOS ........................................................................................42
Guardar la Configuracin ...................................................................................................48
Deshacer cambios ...............................................................................................................49
7. Subredes y superredes .........................................................................................................50
Mscara de subred ..............................................................................................................50
VLSM y CIDR........................................................................................................................51
Notaciones de la mscara de subred .................................................................................52
Conversin decimal a binario .............................................................................................52
Subnetting ...........................................................................................................................56
Subnetting tradicional .....................................................................................................56
II
Diferencia entre publicar y direccionar ..........................................................................60
Subnetting VLSM .............................................................................................................62
8. Dynamic Host Configuration Protocol (DHCP) ......................................................................67
El servidor DHCP se encuentra dentro del mismo dominio de broadcast ......................68
El servidor DHCP se encuentra en otro dominio de broadcast .......................................70
9. Enrutamiento.........................................................................................................................71
Enrutamiento esttico .........................................................................................................73
Ruta por defecto ..................................................................................................................77
10. Enrutamiento dinmico .......................................................................................................80
Clasificacin de los protocolos de enrutamiento .............................................................80
Protocolos vector distancia (RIP, IGRP) ........................................................................80
Protocolos de estado de enlace (OSPF, IS-IS) ...............................................................80
Protocolo vector distancia avanzado o mejorado (EIGRP) ..........................................81
Bucles de enrutamiento (Routing loops) ...........................................................................81
Comportamiento Classful y Classless ...............................................................................82
Auto sumarizacin en la frontera discontinua ..................................................................82
Routing Information Protocol (RIP) ....................................................................................84
Funcionamiento de la tabla de enrutamiento ....................................................................89
Balanceo de Cargas ............................................................................................................92
11. Open Shortest Path First (OSPF) ........................................................................................94
Tablas Mantenidas por OSPF .............................................................................................95
Funcionamiento basado en reas ......................................................................................95
Tipos de Paquetes ...............................................................................................................98
Requerimientos ...................................................................................................................98
Vecindades y adyacencias ...............................................................................................102
Wildcard Mask ...................................................................................................................103
Configuracin ....................................................................................................................105
Tipos de red .......................................................................................................................109
Red punto a punto .........................................................................................................109
Red Multiple Acceso Broadcast ....................................................................................111
Sumarizacin de rutas ......................................................................................................115
Consideraciones finales ...................................................................................................122
Reconfiguracin del ancho de banda de referencia ....................................................122
III
Publicacin de una ruta por defecto ............................................................................122
12. Enhanced Interior Gateway Routing Protocol (EIGRP)......................................................123
Tablas mantenidas por EIGRP..........................................................................................124
Rutas de respaldo .............................................................................................................124
Condicin de factibilidad ..................................................................................................125
Tipos de paquetes .............................................................................................................126
Sistemas autnomos ........................................................................................................126
Requerimientos y Vecindades ..........................................................................................127
Configuracin ....................................................................................................................127
13. Virtual LANs (VLANs), enlaces troncales y dynamic trunking protocol (DTP) ....................131
VLANs ................................................................................................................................131
Modos de un puerto ..........................................................................................................133
Enlaces troncales ..............................................................................................................135
Dynamic Trunking Protocol (DTP) ...................................................................................136
VLAN nativa .......................................................................................................................138
14. VLAN Trunking Protocol (VTP) e Inter VLAN Routing .......................................................142
VLAN Trunking Protocol ...................................................................................................142
Inter VLAN Routing ...........................................................................................................147
Un router con una interfaz para cada VLAN ................................................................148
Router en un palo (Router on a stick)...........................................................................148
Switch multicapa (Multilayer switch) ............................................................................152
15. Spanning Tree Protocol (STP) ..........................................................................................155
Operacin ..........................................................................................................................158
Bridge protocol data units (BPDUs) .................................................................................158
Estados de Spanning Tree................................................................................................159
Roles en Spanning Tree ....................................................................................................160
Eleccin del switch raz y el rol de cada puerto ..............................................................161
PortFast..............................................................................................................................167
Rapid Spanning Tree (RSTP) ............................................................................................169
Bridge protocol data units (BPDUs) .............................................................................169
Estados y roles de los puertos en Rapid Spanning Tree ............................................169
Tipos de Enlace..............................................................................................................170
Eleccin del switch raz y el rol de cada puerto en Rapid Spanning Tree .................171
IV
Edge ................................................................................................................................171
Relacin entre VLANs y Spanning Tree ...........................................................................172
Ajustes ............................................................................................................................172
Mono Spanning Tree (MST) ...........................................................................................174
Per VLAN Spanning Tree Plus (PVST+) ........................................................................174
Rapid Per VLAN Spanning Tree Plus (RPVST+) ..........................................................177
Multiple Spanning Tree Protocol (MSTP) .....................................................................178
Modelo jerrquico de tres capas de Cisco ......................................................................179
Recomendaciones al incluir Spanning Tree dentro del diseo de una red ...................179
Macroinstrucciones...........................................................................................................180
Alternativas a Spanning Tree ...........................................................................................181
16. Access Control Lists (ACLs) ..............................................................................................182
Listas de control de acceso estndares ..........................................................................183
Listas de control de acceso extendidas ..........................................................................184
Listas de control de acceso aplicadas para regular trfico en una interfaz ..................185
Otras herramientas............................................................................................................190
Nmeros de secuencia ..................................................................................................190
Reinicio programado .....................................................................................................191
Configuration Rollback..................................................................................................193
17. Network Address Translation (NAT) ..................................................................................195
Tipos de NAT .....................................................................................................................196
NAT Esttico ..................................................................................................................196
NAT Dinmico ................................................................................................................197
NAT Sobrecargado ........................................................................................................197
Configuracin tradicional .................................................................................................198
Una ltima conversacin con el lector .....................................................................................204
V
Me gustara agradecer
Primeramente a Dios quien me hizo con el doble de la necedad recomendada para cada persona,
a mis padres que me criaron, en especialmente a mi mam (Ingrid) quien siempre me ha apoyado
a pesar de que muchos de mis proyectos siempre parecieran van a terminar en fracaso y que al
mantenerme y tenerme paciencia durante el ao que tarde en escribir este libro se volvi la mayor
colaboradora del mismo.
A todos mis amigos, en especial a Carolina Villatoro sin cuya creatividad, pasin, insight y
paciencia de escuchar todos mis caprichos (y hacerla dibujar como un milln de gatos) este
trabajo no sera lo que es (para mi eres la mejor diseadora del mundo Carol) y Gabriel Cabrera
que se dedic a revisar este documento para asegurarse que tuviera la menor cantidad de errores
posibles.
A todos mis alumnos por haberme permitido colaborar con su educacin, haber tenido la
oportunidad de estar al frente de un pizarrn fue de verdad un gran honor, espero poder repetirlo
algn da.
A todas las personas que asistieron a mi curso a beneficio de la instalacin del laboratorio de
redes de computadora de la universidad de San Carlos de Guatemala y a aquellas personas que
donaron su dinero y/o tiempo (Francisco Gutirrez, Estuardo Toledo, Jos Prez, Haroldo Lpez,
Kenny Chuy, Kenny Contreras y Mayrn Rodrguez) les agradezco de corazn.
Y finalmente a todos los peluditos que nos (Jessica y yo) han alegrado a lo largo de nuestras
vidas (Milagro, Naranja, Casco, etc.,)
VI
Que es este libro ?
Este libro es parte de mi trabajo de graduacin en la universidad de San Carlos de Guatemala y
consiste en una gua que cubre los temas fundamentales relativos al funcionamiento de las redes
de computadora.
Todos los temas estn relacionados directamente con aquellos presentados en la certificacin
CCNA de Cisco Systems y todos los ejemplos son presentados utilizando equipo de esta marca,
decisin que fue tomada en base a mi propia formacin y al hecho de que muchos otros textos
acadmicos han utilizado la misma aproximacin, por lo que considero que esta resolucin
favorecer al estudiante cuando ste contine su formacin utilizando otros recursos.
Audiencia
Estudiantes de ingeniera buscando de hacerse de una idea bsica antes de tomar un curso
formal en la materia, aspirantes a la certificacin CCNA, estudiantes de bachillerato y en especial
a todos aquellos que nunca han entrado en contacto con este mundo pero que desean
aprender, al autodidacta, a aquellas personas que desean cambiar de carrera, aquellas que usan
el conocimiento para ayudar a otros y sus familias, este libro es para ustedes.
VII
Cmo debe leerse este libro ?
Este libro est especficamente diseado para principiantes, lo que significa que los temas son
presentados en orden secuencial, por lo que mi recomendacin para los debutantes es que lean
todos los temas en el orden en que se presentan.
Adems este texto ha sido liberado bajo una licencia Creative Commons (BY-NC-SA) lo que
significa que su distribucin es completamente gratuita y que puede extenderse o usarse como
base para otros trabajos siempre y cuando se cite al autor original, se use para fines no
comerciales y que el resultado sea distribuido usando la misma licencia.
Descargo de Responsabilidad
El autor y los colaboradores de este trabajo han hecho su mejor esfuerzo en la preparacin del
mismo para asegurar que su contenido sea lo ms exacto posible, sin embargo, no se hacen
responsables por el uso de la informacin en este documento as como de errores u omisiones que
pudieran resultar en prdida de cualquier tipo. La informacin est proporcionada como est para
ser utilizada bajo su propia cuenta y riesgo.
VIII
Una primera conversacin con el lector
Antes que nada gracias! gracias! gracias! por tomarte el tiempo de ojear este libro, no creo que
haya nada peor para un autor que no ser ledo, as que considerar como un pequeo triunfo el
hecho de que he logrado hacerte pasar al menos por estas primeras pginas y me tomar una
pequea licencia para salir del tono formal en el que est escrito este texto, al menos por un
momento.
Conocer acerca de cmo los dispositivos se conectan a una red e intercambian informacin es
determinante para el xito de cualquier profesional IT en un mundo conectado, as que puedes
considerar el tiempo empleado en aprender acerca de esta disciplina como una inversin para tu
futuro.
Antes de comenzar nuestro estudio, pienso que es importante realizar algunas observaciones
respecto a la manera en cmo adquirimos conocimiento y donde encontrar tiles tcnicas de
estudio.
Cuando una persona aborda un tema por primera vez lo normal es que esta no lo entienda, es
decir, que el proceso de aprendizaje no es instantneo y requiere de cierta cantidad de tiempo,
descanso y repaso antes de empezar a contribuir a nuestro entendimiento. Esta verdad es clave
y me sorprende lo poco que es mencionada dentro de mbitos acadmicos a todo nivel, ya que
podra evitar a muchos estudiantes la frustracin que se siente al leer por vez primera un texto y
no entenderlo.
Habiendo dicho esto, a la hora de estudiar este material no te desesperes si todos los conceptos,
configuraciones y acrnimos no quedan del todo claros en tu primer intento. Recuerda que lo que
necesitas para aprender cualquier cosa son paciencia, perseverancia y esfuerzo.
Para conocer un poco ms acerca del proceso de aprendizaje as como otras tcnicas de estudio
te recomiendo el libro de Barbara Oakley A Mind For Numbers: How to Excel at Math and
Science y su curso Aprendiendo a Aprender disponible de manera gratuita en Coursera
(https://es.coursera.org/learn/learning-how-to-learn).
No me queda ms que desearte lo mejor y espero verte del otro lado donde me gustara tener
una ltima conversacin contigo.
Danilo.
IX
Otros Recursos
Lminas Educativas
Incluyen el contenido resumido de este texto en una serie de lminas ilustradas y son distribuidas
utilizando la misma licencia que este documento (CC-BY-NC-SA).
https://mega.nz/#!r9NVHJJC!qp2sxz9hQl5qCkCjQdLmi7NlFcYsWD4O2GB40ycuCHg
X
1. Introduccin al estudio de las redes
Qu es la red?
Explicando el concepto de una manera asequible, puede decirse que la red es simplemente un
camino (o carretera) destinado a interconectar usuarios, mquinas y aplicaciones.
Por lo tanto el estudio de las redes o del Networking trata acerca del diseo y construccin de
estos caminos, como lograr que los mismos sean ms amplios para facilitar el trfico dentro de
ellos y en qu puntos deben colocarse bloqueos, puestos de registro o garitas de peaje.
Antes de continuar el estudio es importante introducir, por razones que se aclaran ms adelante,
a la empresa Cisco Systems.
Fundada en 1984, en San Francisco, Estados Unidos; ciudad de donde toma su nombre y
logotipo (el puente Golden Gate); empresa que de ahora en adelante ser referida solamente
como Cisco, fue la creadora del primer router comercial exitoso y desde entonces se ha
convertido en un referente en la industria, creando protocolos propietarios1 que a menudo sirven
1
Un protocolo consiste en una serie de reglas a seguir para conseguir un objetivo, mientras que
propietario significa que solo puede ser utilizado por la persona o entidad que lo creo.
1
de inspiracin o fundamento de estndares abiertos que regularmente aparecen unos aos
despus.
Lo equipos de esta marca se caracterizan por presentar una experiencia final consistente e
intuitiva y son utilizados para mostrar ejemplos prcticos en muchos textos acadmicos
incluyendo este trabajo.
Otra caracterstica distintiva de dicha empresa es una iniciativa educacional a nivel global
conocida como la academia de networking de Cisco, la cual desglosa mucho del conocimiento
existente en este campo dividindolo en varias especialidades, cada una de ellas estructurada
en varios niveles (certificables por esta empresa) con el objetivo de presentar al educando una
ruta de estudios a seguir, siendo los estratos inferiores aquellos donde se encuentran los temas
ms bsicos.
Como nota final se recomienda seguir los ejemplos presentados en este trabajo a travs de un
emulador de redes gratuito llamado GNS3 (Graphical Network Simulator 3), mismo que puede
descargarse desde la siguiente direccin www.gns3.com (Las imgenes de los sistemas
operativos de los distintos dispositivos no estn incluidas y deben ser provistas por el usuario).
2
2. Partes de una red y modelo OSI
En un principio, una red local de comunicaciones estaba compuesta por un grupo de ordenadores
dispersos y aislados entre s donde el intercambio de informacin deba ser llevado a cabo de
forma manual, utilizando dispositivos de almacenamiento porttiles conocidos como diskettes,
mismos que eran llevados de computadora a computadora por cada usuario, por lo que esta
primera disposicin recibi el nombre de red a pie o red del tenis (Sneakernet).
La falta de comunicacin directa entre cada dispositivo empez a provocar fuertes prdidas
econmicas dentro de las organizaciones al impactar el desarrollo de sus actividades debido a la
falta de control sobre los cambios realizados, duplicacin de funciones, etc., haciendo evidente
los beneficios de un sistema capaz de proveer una conexin entre ellos y que result en el
desarrollo de las primeras propuestas para modelar el intercambio de informacin entre varios
nodos siendo estas OSI y TCP/IP.
3
Clasificacin de las redes segn su extensin geogrfica
Acorde al rea geogrfica que abarcan las redes pueden ser clasificadas en una de las siguientes
categoras:
Personal Area Network (PAN): compuesta por aquellos dispositivos de uso personal y
rea de cobertura limitada proporcionada por computadoras porttiles, telfonos
celulares, entre otros.
Local Area Network (LAN): formada por aquellos dispositivos que se encuentran dentro
de una misma organizacin o bajo el mismo dominio administrativo.
Es importante mencionar que en los ltimos aos, a causa del desarrollo de nuevas tecnologas,
se ha producido un ofuscamiento de los antiguos lmites geogrficos impuestos sobre las redes
de comunicaciones, por lo que las categoras mencionadas son utilizadas actualmente como una
aproximacin.
La red est compuesta por una serie de dispositivos especializados y distintos medios de
transmisin.
Para comenzar, todos los dispositivos finales deben conectarse a la red utilizando una
tarjeta de interfaz de red (Network Interface Card (NIC)), desde donde se transmite la
informacin a travs de un cable de cobre o fibra ptica, usando electricidad o luz
respectivamente, o de manera inalmbrica, conectando a los dispositivos a un
concentrador de rea local.
4
El aparato que regularmente cumple la funcin de puerta de enlace hacia otras redes es
conocido como router, el cual se vale de las direcciones proporcionadas por el protocolo
de internet o direcciones IP (internet protocol), para encontrar la mejor ruta hacia un
destino en particular.
Topologas de red
Topologa de bus
Topologa de anillo
Esta disposicin es mejor conocida por ser el arreglo utilizado por Token Ring, una
arquitectura de red creada por IBM en los aos 70 y en donde el intercambio de
informacin era posible a travs de la transmisin de un testigo o token entre cada
una de las computadoras siendo la poseedora del mismo la nica capaz de
comunicarse en un momento dado.
6
Topologa en estrella o estrella extendida
El modelo OSI
Creado por la ISO (International Organization for Standardization), el modelo OSI (Open
Systems Interconnection) fue originalmente una suite (o conjunto) de protocolos
destinados a estandarizar la comunicacin entre dispositivos de diferentes tipos, ya que
no era posible en ese momento, y que se encontraba en competencia con el modelo
TCP/IP creado por el departamento de la defensa de los (Department of Defense (DoD))
Estados Unidos.
Con muchos pases y empresas como respaldo, el modelo OSI, se enfoc en la seguridad
y en la escalabilidad de las redes de comunicaciones siendo llamado en su momento
como el modelo del futuro. Sin embargo, debido a la lentitud de su desarrollo, lo complejo
de su implementacin, el excesivo nmero de direcciones propuestas (para los
requerimientos de esa poca) y a su costo, OSI finalmente perdi la batalla contra
TCP/IP, siendo los protocolos propuestos por este ltimo modelo los utilizados hoy en
dia.
7
No obstante, la iniciativa que dio origen al modelo OSI trajo consigo muchos beneficios
al separar lgicamente las operaciones necesarias para el funcionamiento de una red,
facilitando su entendimiento y permitiendo la especializacin en ciertas reas por parte
de los fabricantes.
Por dichas razones, el modelo OSI sigue utilizndose tanto de una manera acadmica,
para introducir nuevos educandos al campo, as como un marco de referencia para
clasificar dispositivos o buscar problemas dentro de una red, siendo referido,
irnicamente, de manera ms usual que TCP/IP.
El modelo OSI consta de siete capas, cada una con una funcin definida y cada una
aportando su propia informacin a la transmisin (Encapsulamiento), siendo las mismas
presentadas a continuacin.
8
El Modelo OSI.
9
3. Introduccin al modelo TCP/IP
El modelo TCP/IP fue desarrollado en los aos setenta por Vinton Cerf y Robert Kahn
bajo el auspicio del departamento de defensa de los Estados Unidos para poder
establecer comunicacin entre varios sistemas, cuya interconexin evolucionaria ms
tarde a lo que hoy es conocido como internet.
A pesar de que su nombre hace referencia a sus dos protocolos ms importantes, TCP/IP
es referido usualmente como una familia o una suite de protocolos, lo que indica que es
un conjunto de los mismos clasificados acorde a su funcionalidad en alguna de las capas
de este modelo.
Para finalizar este apartado, es necesario mencionar que pese a que TCP/IP es el motor
de la comunicacin de las redes modernas, tanto profesionales como estudiantes utilizan
el modelo OSI como referencia habitual en sus respectivos mbitos, por lo que a
continuacin se presenta la relacin entre ambos modelos.
10
Relacin entre los modelos OSI y TCP/IP.
Unicast
11
Unicast es una transmisin de uno a uno.
Broadcast
Es una transmisin que se realiza desde un nico emisor hacia todos los dems
dispositivos existentes dentro de la misma red, siendo limitado por defecto por
dispositivos de capa 3, lo que significa que los routers no transmiten este tipo de
trfico de una red hacia otra.
12
Multicast
13
Direccin de multicast: Es la direccin utilizada para enviar informacin a un grupo
especfico de dispositivos.
Una direccin IPv4 est compuesta por cuatro octetos de dgitos binarios, separados por
puntos y escritos en formato decimal por conveniencia.
14
Captura de pantalla del comando ipconfig en Windows XP
Empleando dicha mscara junto con una operacin matemtica un host puede conocer
la red a la que este pertenece, la direccin de broadcast utilizada y reconocer cuando
una transmisin est dirigida a una red externa.
La mscara de subred se divide en dos partes a travs de las cuales puede determinar,
dada una direccin IP, tanto la direccin de red como el identificador individual de cada
dispositivo, siendo los bits con un valor de uno utilizados para reconocer la red y aquellos
con un valor de cero empleados para revelar el identificador de cada host (Ntese que el
nmero decimal 255 est compuesto por 8 bits con un valor de uno).
Para que un ordenador pueda alcanzar a otro host por si solo, ambos dispositivos deben
encontrarse dentro de la misma red, condicin que debe cumplirse tambin entre
cualquier dispositivo final y su puerta de enlace predeterminada.
15
Transmisin exitosa entre dos computadoras que se encuentran en la misma red.
Transmisin fallida entre dos computadoras que se encuentran configuradas en una red
distinta.
Como nota final de este apartado, obsrvese que para poder comunicarse de una red a
otra, un host debe tener configurado por los menos una direccin IP, una mscara de
subred y la direccin de su puerta de enlace predeterminada.
16
Direccin fsica, direccin lgica y necesidad de las mismas en una transmisin.
Partiendo de este ltimo concepto es posible apreciar que la topologa anterior est
compuesta por 4 redes (2 de ellas proveyendo conexion directa entre routers por lo que
son consideradas de punto a punto) hecho que puede apreciarse al hacer el anlisis de
las direcciones asignadas a cada interfaz y su respectiva mscara de subred
(255.255.255.0 para toda la topologia).
Una vez establecidos los lmites de cada red en el ejemplo anterior, se procede a
examinar los mecanismos necesarios para poder realizar una transmisin de extremo a
extremo entre varias redes, en donde es necesario no solo encontrar la mejor ruta entre
ellas sino tambin hallar una manera de llevar la informacin de un dispositivo hacia otro
de manera sucesiva en orden de llevar la informacin a su destino final, propsitos para
los cuales se utilizan esquemas de direccionamiento tanto fsicos como lgicos siendo
estos explicados en breve.
17
Tomando en consideracin los modelos organizados en capas presentados
anteriormente y la naturaleza modular de los mismos, no es sorpresa encontrar que
dentro de cada capa pueden utilizarse distintos protocolos y esquemas de
direccionamiento dependiendo de la tecnologa que se est utilizando, siendo aquella
conocida como Ethernet la que se utilizar durante la mayor parte de este estudio.
Por otro lado el direccionamiento fsico (Capa 2 del modelo OSI) es el encargado de de
llevar la informacin de un dispositivo hacia otro de manera sucesiva siguiendo la lnea
establecida por la mejor ruta, utilizndose en el caso de Ethernet las direcciones de
control de acceso al medio, mejor conocidas como direcciones MAC, las cuales son
identificadores de 48 bits embebidos en las tarjetas de red.
Si la transmisin est dirigida hacia otro dispositivo perteneciente a la misma LAN, ARP
resolver la direccin fsica del host en cuestin, mientras que si la transmisin est
dirigida hacia una red externa ARP retornar la direccin fsica de la puerta de enlace
predeterminada quien luego determinar el siguiente dispositivo a donde debe ser
enviada la transmisin para que arribe correctamente a su destino.
Retomando por ltima vez el ejemplo presentado al inicio de este tema, se considera una
transmisin desde PC-A hacia el Servidor-D.
18
No obstante las direcciones presentes en los extremos de la comunicacin ya han sido
definidas, todava es necesario determinar aquellas direcciones necesarias para llevar la
informacin desde PC-A hacia el primer nodo presente en la topologa (llamado primer
salto) siendo este la interfaz de R1 que le sirve como puerta de enlace predeterminada.
Para cumplir con este objetivo PC-A realiza una peticin ARP a travs de la cual puede
descubrir la direccin fsica de la interfaz del router requerida determinando la
combinacin de direcciones fsicas de origen/destino necesaria (MAC PC-A/MAC R1).
Una vez el paquete de informacin arribe a R1, este utilizar las direccione IP para
encontrar la mejor ruta y sobreescribir las direcciones fsicas para poder llevar la
informacin al siguiente dispositivo (MAC R1/MAC R2) proceso que se repetir hasta
poder alcanzar el destino de la comunicacin.
Clase A
1er Octeto (1 - 126)
Mscara de subred: 255.0.0.0
Nmero de direcciones de host: Ms de 16 millones por cada red.
Ejemplo : 10.0.0.1
Clase B
1er Octeto (128 -191)
Mscara de subred: 255.255.0.0
Nmero de direcciones de host: Ms de 65 mil por cada red.
Ejemplo : 172.16.0.1
Clase C
1er Octeto (192-223)
Mscara de subred: 255.255.255.0
Nmero de direcciones de host: 254 por cada red.
Ejemplo : 192.168.0.1
Clase D
1er Octeto (224-239)
Multicast
19
Clase E
1er Octeto (240-255)
Investigacin
Una de las primeras medidas que se tomaron para ralentizar el agotamiento de dichas
direcciones fue reservar un grupo de las mismas para su uso exclusivo en redes internas
dando lugar a la divisin de las direcciones IP como pblicas y privadas comparadas a
continuacin.
Para su uso privado se reservaron ciertas direcciones dentro de cada una de las primeras
tres clases presentadas anteriormente, como se muestra en la siguiente tabla.
20
Clase A : 10.x.x.x
Clase C : 192.168.x.x
x = 0 a 255
Direcciones privadas.
Otras direcciones reservadas para un propsito especial y que tampoco son enrutables
en internet son las direcciones de loopback destinadas para realizar ciertas pruebas y las
direcciones de auto configuracin que son asignadas cuando el dispositivo no puede
obtener una direccin IP vlida.
x = 0 a 255
Otras direcciones reservadas no enrutables en internet.
21
4. TCP y UDP
TCP (Transmission Control Protocol) y UDP (User Datagram Protocol) son los dos
protocolos principales de la capa de transporte del modelo OSI.
22
Funcionamiento de TCP
TCP utiliza nmeros de secuencia para poner los paquetes en orden y acuses de
recibo o acknowledgements (ACKs) para asegurar una transmisin confiable.
23
Nmeros de secuencia y acuses de recibo.
24
Tamao de ventana y ventana deslizante.
Nmeros de puerto
Un puerto es una conexin lgica que puede ser usada entre programas para
intercambiar informacin directamente.
25
Algunos de los puertos ms comunes.
Socket.
26
5. Ethernet
27
Numeracin de interfaces en equipo Cisco.
Colisiones
Al ser una tecnologa de mltiple acceso Ethernet es susceptible al problema de las
colisiones.
Una colisin se produce cuando dos paquetes se encuentran al mismo tiempo en un
medio compartido causando que estos choquen y se destruyan.
Una colisin.
Aquellos sectores de una red en donde una colisin puede ocurrir en cualquier punto
reciben el nombre de dominios de colisin. Por ejemplo, muchos equipos conectados a
un hub (un simple repetidor) constituyen un solo dominio de colisin, mientras que cada
puerto de un switch es su propio dominio.
28
Carrier Sense Multiple Access Collision Detection (CSMA/CD)
Es el conjunto de reglas que regulan la transmisin en una red Ethernet, en donde:
Carrier = Seal en una red.
Los cables que se emplean usualmente junto a Ethernet son el cable de par trenzado no
blindado (Unshielded Twisted Pair (UTP)), hecho de cobre y la fibra ptica, compuesta
por uno o varios hilos de fibra de vidrio.
29
LC SC ST MTRJ
Conectores para fibra ptica. (Fuente: Adamantios (s.f.) [Fotografias] CC-BY-SA 3.0
recuperado de: https://commons.wikimedia.org/wiki/User:Adamantios/Objects)
Small form-factor pluggable transceiver (Mdulo para conectar fibra ptica a los
dispositivos) (Fuente: Adamantios (s.f.) [Fotografias] CC-BY-SA 3.0 recuperado de:
https://commons.wikimedia.org/wiki/User:Adamantios/Objects)
Ms caro.
30
Inspeccin y limpieza de conectores de fibra ptica
Las conexiones pticas son extremadamente sensibles a la contaminacin.
Incluso las partculas de polvo microscpicas pueden ocasionar una gran variedad de
problemas, desde provocar una mala alineacin entre el cable y el mdulo receptor hasta
ocasionar daos en los mismos.
Por esta razn se recomienda el uso de cubiertas anti polvo as como la inspeccin y
limpieza de los conectores antes de cada acople.
Para examinar el estado de las terminaciones puede emplearse un microscopio para
inspeccin de fibra ptica, mientras que para la limpieza existen varias herramientas tales
como hisopos y paos especiales.
31
Al finalizar su tarea, el operador debe limpiar el rea de trabajo para luego lavar
cuidadosamente sus manos y asegurar que ningn residuo haya quedado en sus
ropas.
Utilizando dichas disposiciones es posible crear dos tipos de cables, el cable directo con
dos terminaciones idnticas en sus extremos (utilizando solamente una de las normas,
ya sea T-568A o T568B) y el cable cruzado con terminaciones desiguales (Cada
extremo utilizando una norma diferente).
32
En la mayora de casos se utiliza un En la mayora de casos se utiliza un
cable directo para conectar cable cruzado para conectar
dispositivos desiguales. dispositivos similares.
Utilizacin usual de los cables directos y cruzados.
El cdigo de colores indicado por las normas mencionadas siempre debe ser respetado
para que el cable cumpla con las caractersticas de funcionamiento definidas por el
estndar (especialmente la distancia).
Switch
Este dispositivo aprende las direcciones MAC de los dems equipos conectados, lo que
le posibilita crear "circuitos" nicos entre 2 dispositivos, evitando l envi de trfico
innecesario (Como pasaba con los hub) y mejorando el uso del ancho de banda.
33
Funcionamiento de un switch.
Modos de transmisin
1. Half - Duplex
Comunicacin en un solo sentido.
Un dispositivo solo puede recibir/enviar en un tiempo dado.
Tpico en una red que usa hubs.
2. Full - Duplex
Comunicacin en dos sentidos.
Un dispositivo puede enviar y recibir datos al mismo tiempo.
Tpico en una red que usa switches.
34
6. Introduccin al Cisco IOS
El Cisco IOS (Internetwork Operating System) es el sistema operativo utilizado por la
mayora de routers y switches de este fabricante, presenta una experiencia simple e
intuitiva que se mantiene consistente incluso en dispositivos de la marca que utilizan otros
sistemas operativos.
Para interactuar con dicho sistema puede utilizarse la interfaz grfica conocida como
Cisco Configuration Professional o la interfaz de lnea de comandos (CLI).
Mquina de teletipo.
35
Los teletipos (TTY) fueron reemplazados eventualmente por otros dispositivos, siendo
utilizados hoy en da solamente para facilitar la comunicacin entre personas con dficit
auditivo sobre lneas telefnicas tradicionales cuando no hay otro medio disponible. No
obstante, mucha de la terminologa utilizada en ese entonces fue heredada y sigue
siendo utilizada en mbitos modernos.
De esta manera, los emuladores de terminal son programas diseados para imitar el
comportamiento de dichos dispositivos, proveyendo al usuario de un medio de enviar
instrucciones y recibir respuestas, las cuales son impresas ahora en una pantalla.
Los emuladores deben conectarse al dispositivo deseado a travs de una interfaz (lgica
o fsica) provista por el mismo y que es referida como Lnea o Line. Si dicha conexin
es exitosa, el emulador mostrar el prompt, el cual consiste en una cadena de caracteres
(o mensaje) indicando que se est a la espera de una orden.
Captura de pantalla del programa Putty mostrando el prompt del Cisco IOS.
Conexin local
Se realiza mediante una conexin directa con los dispositivos a travs del puerto
especial de consola (Console Teletype - CTY).
36
Conexin consola con cable especial y conversor USB a Serial.
Captura de pantalla del programa Putty mostrando los parmetros necesarios para una
conexin a travs del puerto de consola.
37
La conexin realizada mediante el cable de consola siempre ocupa la primera lnea del
dispositivo (siendo esta identificada con un nmero relativo de cero) y puede realizarse,
por defecto, sin ingresar ninguna contrasea.
Conexin remota
Se realiza utilizando protocolos como Teletype Network (Telnet) o Secure Shell (SSH).
La conexin remota es realizada a travs de las lneas VTY (Virtual Teletype), llamadas
tambin lneas virtuales.
Dependiendo del dispositivo el nmero de lneas VTY disponible por defecto puede
variar, aunque es posible crear nuevas con un nmero relativo elegido por el usuario.
38
O como un grupo,
Captura de la pantalla inicial del programa Putty desde donde puede iniciarse una
sesin de telnet o SSH.
39
Modos del Cisco IOS
El Cisco IOS divide su funcionalidad dentro de varios modos, cada uno de los cuales con
su propio subconjunto de comandos, siendo algunos de los ms usuales presentados a
continuacin:
R1>
Modo usuario.
R1> enable
R1#
Modo privilegiado.
Para salir del modo de configuracin global es posible usar el comando exit y para
regresar al modo de usuario desde el modo privilegiado se utiliza el comando
disable.
R1(config)# exit
R1# disable
R1>
De regreso al modo de usuario.
41
Ayuda y edicin en el Cisco IOS
Para indicar los comandos disponibles as como una descripcin de los mismos
basta con presionar ? en el modo deseado.
Switch(config)# ?
Configure commands:
access-list Add an access list entry
banner Define a login banner
--More--
Para Indicar la siguiente palabra para completar una instruccin puede utilizarse
? precedido por el fragmento a completar y un espacio
Switch(config)# hostname ?
Para indicar que comandos empiezan por ciertas letras se emplea ? despus
de las mismas sin espacio alguno.
Switch# con?
configure connect
Uso de la ayuda para mostrar los comandos que empiezan con ciertas letras.
42
Completar instrucciones automticamente utilizando la tecla TAB.
Switch# con
% Ambiguous command: "con"
Switch# con?
configure connect
43
Comandos show
Dentro del Cisco IOS toda informacin (sistema, configuracin, estado de las interfaces,
estadsticas, etc.,) es desplegada utilizando los comandos show, siendo algunos de los
ms bsicos los que se muestran acto seguido.
Show running-config
Muestra la configuracin que est siendo ejecutada por el dispositivo y que reside
en la memoria voltil del mismo (RAM, por lo que se perdera la configuracin en
caso el dispositivo se quedar sin poder o fuera reiniciado). Este comando
presenta usualmente una salida extensa y representa una carga para el CPU por
lo que debe utilizarse con precaucin en redes en produccin.
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
--More-- !!!!! La palabra More significa que hay ms informacin, la cual puede
!!!!! mostrarse lnea por lnea con la tecla ENTER o pantalla por pantalla
!!!!! usando la barra espaciadora.
44
Show startup-config
Con una salida similar al comando anterior, este nos presenta con la configuracin
con la que el dispositivo inicia, misma que es almacenada en la memoria no voltil
(NVRAM) del equipo.
45
R1# show interface fastEthernet 0/0
Filtros
Debido a la longitud que pueden alcanzar las salidas de ciertos comandos dentro del
Cisco IOS, existen filtros capaces de recortar o aislar la informacin provista para ayudar
al usuario a encontrar lo que busca.
Estos filtros son accesibles a travs de la tecla barra vertical |, siendo algunas de las
opciones:
Include/Exclude: Incluyen o excluyen las lneas que coincidan con los caracteres
dados.
46
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 192.168.1.1 YES manual up up
Serial0/0 unassigned YES unset down down
FastEthernet0/1 192.168.2.1 YES manual up up
Serial0/1 unassigned YES unset down down
Begin: Muestra la salida a partir de la lnea que coincida con los caracteres
dados.
Section: Muestra solamente las secciones de la salida que coinciden con los
caracteres dados. (Una seccin comienza con una lnea que no es precedida por
un espacio e incluye toda la informacin hasta el principio de la siguiente).
47
Atajos del teclado
Guardar la Configuracin
48
Deshacer cambios
Para deshacer todos los cambios realizados sin reiniciar, se puede importar la
configuracin guardada en la memoria no voltil (NVRAM) de la siguiente manera:
49
7. Subredes y superredes
Mscara de subred
Uno de los ajustes realizados fue la introduccin de las subredes, las cuales permitan a
las organizaciones conectadas a internet tomar una red asignada y dividirla en redes ms
pequeas para acomodar mejor las direcciones adquiridas.
Para poder identificar estas nuevas subredes fue necesario introducir un nuevo trozo de
informacin, en la forma de una mscara de bits llamada la mscara de subred, momento
en el cual las mscaras por defecto fueron asignadas a las clases de direcciones ya
existentes.
La mscara de subred es una combinacin de 32 bits (en IPv4) formada por una serie de
unos y ceros continuos (en toda implementacin moderna) y que indican,
respectivamente, que parte de una direccin IP ser utilizada para identificar la
red/subred y cul ser la empleada para identificar de manera individual a un dispositivo.
50
Operacin AND entre una direccin IP y una mscara de subred.
VLSM y CIDR
Para proporcionar la flexibilidad deseada, se decidi que las mscaras de subred podran
establecerse de una manera arbitraria acuando el trmino mscara de subred de
longitud variable (Variable Length Subnet Mask (VLSM)).
192.168.1.1
255.255.255.0
192.168.1.1 /24
Notaciones de la mscara de subred.
52
El sistema binario, por otra parte, es tambin un sistema numrico posicional solo que en
vez de contar con diez smbolos, cuenta solamente con dos: 0 y 1. Siendo las posiciones
donde se coloquen los mismos, representaciones de las potencias del nmero 2.
En el caso de las direcciones IPv4 en donde cada segmento est compuesto por 8 bits,
se encuentran los siguientes valores:
Nmero de posicin 7 6 5 4 3 2 1 0
De esta manera se hace ms fcil visualizar que empleando 8 bits, podemos representar
256 cantidades (0-255) en el sistema decimal.
Para convertir un nmero del sistema decimal al binario basta con tomar el valor a
convertir y sustraer sucesivamente el valor ms alto permitido por alguna potencia del
nmero 2, colocando el valor de 1 en la posicin correspondiente hasta que el resultado
sea cero.
Por ejemplo, para convertir el nmero decimal 210 a binario se comenzar por sustraer
el valor ms alto capaz de ser representado por una potencia del nmero 2, la que en
este caso sera 128 (27). Ntese la imposibilidad de utilizar el valor 256 (28) debido a que
este es superior a la cantidad que queremos convertir.
Al realizar la resta llegamos al siguiente resultado: 210 - 128 = 82. Y marcamos con un 1
la posicin respectiva.
53
Potencia del nmero 2 acorde a
27 26 25 24 23 22 21 20
su posicin
54
Potencia del nmero 2 acorde a
27 26 25 24 23 22 21 20
su posicin
Conversin (Completa) 1 1 0 1 0 0 1 0
Conversin (Completa) 1 1 0 1 0 0 1 0
De esta manera 128 + 64 + 16 + 2 = 210, el valor original, por lo que 21010 es equivalente
a 110100102.
Por ejemplo, es posible ver en la conversin anterior que para representar el valor 210
son necesarios 8 bits, hecho que es evidente al encontrar la posicin que ocupa la
potencia del nmero 2 ms alta que dicho valor es capaz de contener y que no cambiar
independientemente de si se completa o no la conversin.
Conversin (Completa) 1 1 0 1 0 0 1 0
8 BITS
55
Siguiendo esa lnea de razonamiento, si un problema solicitara averiguar la cantidad de
bits necesarios para albergar el valor decimal del nmero 5 (Equivalente a 101 2), se
tendra que son necesarios tres bits.
Conversin (Completa) 0 0 0 0 0 1 0 1
3 BITS
Subnetting
Es el nombre que recibe la tcnica empleada para dividir una sola red en varias subredes
ms pequeas.
Subnetting tradicional
Para llevar a cabo la divisin de una red en subredes ms pequeas (de un mismo
tamao) es necesario seguir los siguientes pasos:
56
A manera de ejemplo se introduce la siguiente topologa donde una organizacin ha
comprado un bloque de direcciones pertenecientes a la antigua clase C: 215.10.5.0 /24.
Con el objetivo de direccionar las redes que se muestran.
Paso 1: Para direccionar esta topologa se requiere crear 5 subredes. Al convertir dicho
requerimiento se encuentra que este necesita 3 bits para poder ser expresado en binario.
Al ser utilizados para identificar la totalidad de direcciones que pueden utilizarse en una
red, los bits con un valor de 1 en la mscara original son inamovibles, por lo que para la
creacin de las subredes necesarias se modificar aquella parte originalmente destinada
a los hosts dando lugar a una nueva mscara de subred
57
En este caso, al ser el requerimiento presentado en un nmero de subredes, se procede
a agregar 3 bits con un valor de 1 a la mscara original de la manera que se muestra a
continuacin.
Al agregar dichos bits se encuentra una nueva mscara de subred la que ser /27 o
255.255.255.224.
Advirtase que al aumentar la longitud de la mscara, tomando bits del ltimo octeto, se
ha introducido un corrimiento u offset (indicado por la banderilla en la figura anterior
localizada en la quinta posicin) por lo que el incremento entre subredes ser de 32 (2 5)
en vez de ser de 1 (20).
Paso 3: Al haber encontrado el incremento (32) puede encontrarse los rangos de las
subredes necesarias al sumar el mismo a la direccin original en el octeto apropiado.
Ntese que estos rangos solo son vlidos si las direcciones incluidas son utilizadas junto
con la mscara de subred determinada en el paso anterior (/27).
Para corroborar que se han cumplido con todos los requerimientos es posible utilizar las
frmulas mostradas a continuacin, mismas que toman en cuenta la cantidad de bits con
valor de 1 agregados y la cantidad de bits con un valor de 0 restantes en la nueva
mscara de subred.
58
Frmulas para averiguar la cantidad de subredes y las direcciones de host disponibles
dentro de cada una de ellas dada una mscara de subred.
As pues, para corroborar el ejemplo anterior, dada la mscara /27, ser posible tener 2 3
= 8 subredes, con 25-2 = 30 hosts dentro de cada una de ellas.
Paso 1: En este ejemplo se requiere que cada subred est compuesta por 50 hosts. Al
convertir dicho requerimiento a binario se obtiene que son necesarios 6 bits.
En esta oportunidad, debe asegurarse que las subredes resultantes tengan al menos 50
hosts, razn por la cual se proceder a reservar la cantidad necesaria de bits con un valor
de 0 en la mscara de subred y luego se utilizaran los bits restantes para crear las nuevas
subredes asignndoles un valor de 1 tal y como se hizo en el ejemplo anterior.
Al agregar dichos bits se encuentra una nueva mscara de subred la que ser /26 o
255.255.255.192.
59
Esta vez el corrimiento u offset (indicado por la banderilla en la figura anterior) nos indica
que el lmite entre la parte de red/subred y aquella correspondiente a los dispositivos
finales se encuentra en la sexta posicin del cuarto octeto por lo que el incremento entre
subredes ser de 64 (26).
Paso 3: Al haber encontrado el incremento (64) puede encontrarse los rangos de las
subredes necesarias al sumar el mismo a la direccin original en el octeto apropiado, en
este caso el cuarto.
Otra cuestin que es necesario destacar es que dada la mscara original y los bits
agregados a la misma (2) solo es posible obtener 4 subredes (2 2 = 4) antes de pasar a
utilizar un bloque diferente de direcciones fuera de aquellas adquiridas por la empresa
del ejercicio, hecho que tambin puede apreciarse al sumar el incremento en el octeto
respectivo en donde al llegar al valor mximo permitido de 255 se acarrea una unidad al
tercer octeto mismo que estaba delimitado por la mscara original.
Considerese por ejemplo el bloque de direcciones dado por la red 192.168.1.0 /24 como
se muestra en la siguiente figura.
60
En la imagen presentada es posible apreciar que existe cierta cantidad finita de
direcciones en el bloque 192.168.1.0 /24 antes de alcanzar el siguiente bloque que en
este caso sera 192.168.2.0 /24.
Por otro lado publicar o anunciar un bloque de direcciones es un proceso que es llevado
de manera independiente pero que guarda cierta similitud con aquel que es utilizado para
direccionar una red.
61
Subnetting VLSM
Si bien la introduccin del subnetting tradicional signific un gran avance, todava no era
lo suficientemente flexible ni eficiente para satisfacer las necesidades de todas las
organizaciones.
El subnetting VLSM puede realizarse siguiendo los mismos pasos que los vistos durante
el subnetting tradicional, con la salvedad, que este mtodo exige que los requerimientos
individuales de cada subred sean ordenados y resueltos de mayor a menor en orden de
evitar el desperdicio de direcciones. En caso esta indicacin fuera ignorada y se asignara
primero espacio a una subred pequea seguido de una ms grande muchas direcciones
nunca podran ser utilizadas, como se muestra en la siguiente figura:
62
Con el objetivo de presentar un ejemplo de este tipo de subnetting se recurre a la
topologa presentada en el primer ejemplo, con el bloque de direcciones 192.168.1.0 /24
y con los requerimientos de direcciones utiles presentados acto seguido.
63
Para este ejemplo:
64
Reserva de los bits necesarios en la mscara original.
De esta nueva cuenta se utilizar una mscara /27 y un incremento de 32, mismo que
se adicionar a la direccin de subred con la que se finaliz el paso anterior (64 + 32 =
96) y se aprovecha para llenar los datos pertenecientes a la tercera subred (96 + 32 =
128) debido a que ambas presentan el mismo requerimiento.
65
Para finalizar esta seccin se presentan las siguientes consideraciones importantes:
66
8. Dynamic Host Configuration Protocol
(DHCP)
Es un protocolo que nos permite automatizar la asignacin de direcciones IP en
dispositivos finales, no est orientado a conexin por lo que utiliza UDP en el puerto 67
en el caso del servidor y el 68 en el caso del cliente.
2. El servidor DHCP responde con un DHCP OFFER, el cual ofrece una direccin IP
al solicitante.
4. El servidor responde con un DHCP ACK indicando al cliente que puede empezar
a utilizar dicha direccin.
67
Al configurar DHCP en una red podemos encontrarnos con uno de los siguientes dos
escenarios.
Muchos de los dispositivos Cisco incluyen un servidor DHCP habilitado por defecto. Para
mostrar un ejemplo de su implementacin se presenta la siguiente topologa donde la
interfaz del router ha sido configurada como se muestra a continuacin.
Router> enable
Router# configure terminal
Router(config)# interface FastEthernet 0/0
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)# no shutdown !!! Este comando enciende la interface
En esta oportunidad se pretende configurar el router mostrado a manera que asigne una
direccin automticamente a las computadoras pertenecientes a la red Secretarias.
68
Para indicar que direcciones sern excluidas del proceso DHCP (Direcciones que no
sern asignadas dinmicamente y que se usan como direcciones estticas para puertas
de enlace predeterminadas (default gateways), servidores, impresoras, etc.,), es posible
utilizar el siguiente comando, a travs del cual se reservarn, para este ejercicio, las
primeras diez direcciones disponibles para su uso esttico.
Para establecer la red y la mscara de subred que sern utilizadas por esta piscina se
utiliza el comando network.
En este ejemplo la interfaz elegida para escuchar y responder las peticiones de los
clientes ser FastEthernet 0/0, ya que posee una direccin IP que pertenece a la red
configurada en el paso anterior.
Acto seguido, es necesario indicar a los clientes cul ser la direccin de su puerta de
enlace predeterminada.
Finalmente, es posible enviar otro tipo de informacin a los clientes, por ejemplo la
direccin del servidor DNS.
69
El servidor DHCP se encuentra en otro dominio de broadcast
En este tipo de implementacin hay que considerar que cualquier mensaje enviado como
un broadcast no ser retransmitido hacia otras redes ya que estos son limitados por los
dispositivos de capa 3 (Ej.: Routers) lo que constituye un problema para la operacin de
DHCP.
Para este tipo de casos es posible configurar el router como un DHCP Relay, un
dispositivo intermediario entre el servidor DHCP y los clientes, el cual encapsular las
peticiones de estos ltimos y las reenviar como un unicast al destino deseado.
Para que el router funcione como un DHCP Relay para la red de Contadores, Cisco
proporciona el comando ip helper-address, el cual debe ser configurado en la interface
que se encuentre dentro del mismo dominio de broadcast que los clientes, para que este
puede encapsular las peticiones de los mismos y retransmitirlas como un unicast al
servidor DHCP en la red Servidores.
70
9. Enrutamiento
El enrutamiento es la capacidad de un dispositivo de encontrar la mejor ruta (o camino)
entre todas las posibles, incluso dentro de una disposicin con un muy alto grado de
interconectividad o redundancia.
El dispositivo encargado de encontrar todas las posibles rutas y elegir las mejores para
que sean utilizadas en la transmisin de datos es conocido como enrutador o, ms
comnmente, como router, el cual almacenar las mismas en un espacio de memoria
referido como la tabla de enrutamiento.
71
Topologa base para los ejemplos de las secciones de enrutamiento.
72
encuentra conectada directamente al dispositivo lo que es indicado con el cdigo C
(Connected).
De este ltimo ejemplo se desprende un importante concepto: Por defecto, un router solo
conoce aquellas redes a las que est conectado directamente.
Enrutamiento esttico
En este tipo de enrutamiento las rutas deben ser ingresadas manualmente dentro de los
dispositivos. Son ideales para redes pequeas no propensas al cambio, no consume
ancho de banda y es en cierta manera ms seguro que el enrutamiento dinmico ya que
todas las rutas son definidas directamente por el administrador.
73
Topologa base. Prueba de conectividad usando ping.
Revisando paso a paso la prueba de conectividad llevada a cabo entre los dos
ordenadores, tenemos en primera instancia a PC-1 tratando de alcanzar a PC-2, la cual
posee una direccin IP 192.168.3.2 y se encuentra dentro de la red #3, utilizando ping.
74
A continuacin Se puede apreciar todo el proceso, siendo posible hacer un anlisis
similar para la comunicacin entre PC-2 y R2.
75
En esta oportunidad, se emplear la direccin 192.168.2.2 (Fa 0/1 - R2) como direccin
del siguiente salto en el camino hacia la red #3 (192.168.3.0/24) al utilizar la siguiente
instruccin para crear una ruta esttica.
Gracias a la ruta recin creada R1 ser capaz de hacer llegar los paquetes destinados a
la red #3 al dispositivo adecuado, no obstante, la comunicacin entre ambas
computadoras no ser posible todava debido a que R2 no posee una ruta hacia la red
#1, por lo que los paquetes sern descartados cuando PC-2 intente responder a la
comunicacin a travs de este dispositivo.
Para crear una ruta esttica en R2, se utilizar la misma instruccin empleada
anteriormente con la diferencia de que en esta ocasin se configurar una interfaz del
dispositivo como salida de la transmisin.
76
Al inspeccionar la tabla de enrutamiento de R2 puede notarse que la red #1
(192.168.1/24) es alcanzable a travs de la interfaz referida en la instruccin anterior.
Finalmente es necesario agregar que las rutas estticas con una direccin IP como
siguiente salto son preferibles a aquellas donde se especifica una interfaz de salida,
especialmente en topologas de mltiple acceso.
Es una ruta de ltimo recurso para tratar de evitar la prdida de paquetes en el caso de
que el router no encuentre una entrada ms especfica en su tabla de enrutamiento.
Son creadas utilizando la misma instruccin empleada para con las rutas estticas, con
la salvedad de que estas utilizan una direccin especial que cumple la funcin de
comodn y que est compuesta por cuatro ceros por lo que recibe el nombre de quad
zero.
77
Una ruta por defecto enva el trfico al ISP
Para crear dicha ruta se utiliza la siguiente instruccin donde la direccin quad zero es
utilizada dos veces para indicar que los paquetes destinados a cualquier red usando
cualquier mscara, que no encuentren una ruta ms especfica en la tabla de
enrutamiento, sern enviados a la direccin establecida.
Debido a este comportamiento este tipo de rutas tambin son llamadas de ltimo
recurso (last resort).
Al examinar la tabla de enrutamiento del router en cuestin, la ruta por defecto aparece
como una ruta esttica seguida de un asterisco.
78
Ntese que tambin se indica que la direccin del ISP ser utilizada como ltimo recurso
(Gateway of last resort) para no descartar la informacin.
79
10. Enrutamiento dinmico
El enrutamiento esttico es sencillo pero no muy escalable ni resiliente, razn por la cual
en redes ms grandes es obligatorio el uso del enrutamiento dinmico a travs de algn
protocolo de enrutamiento.
Los protocolos de enrutamiento son capaces de descubrir y monitorear todas las rutas
existentes en la topologa, eligiendo de entre ellas la mejor para luego incluirla en la tabla
de enrutamiento automticamente.
Para poder elegir la mejor ruta dentro de varias posibles se les es asignado, a cada una
de ellas, un valor que indica la conveniencia/inconveniencia de ser utilizada, siendo este
calculado a partir de criterios especficos a cada protocolo de enrutamiento y recibiendo
el nombre de mtrica.
80
Protocolo vector distancia avanzado o mejorado (EIGRP)
Para paliar este problema los protocolos implementan ciertos mecanismos, siendo
algunos de los mismos especficos a una categora y de los cuales se presentan los
siguientes ejemplos:
Hold Down Timers: Tiempo de espera que los routers utilizan antes de actualizar
sus rutas.
Horizonte dividido (Split Horizon): Para protocolos vector distancia, es una regla
que establece que una ruta no puede ser publicada por la misma interfaz por la
que fue aprendida.
81
Envenenamiento en reversa (Poison Reverse): Para protocolos vector distancia,
es una excepcin a la regla del horizonte dividido, en donde se marcar (o
envenenar) una ruta con una mtrica inalcanzable.
Se presenta en topologas que utilizan redes discontinuas, lo que significa que dos o ms
redes adyacentes se encuentran utilizando una clase de direccionamiento distinta acorde
a los lmites que originalmente fueron establecidos para las clases A, B, C, D y E, como
se ilustra a continuacin:
82
Topologa con subredes discontinuas
83
Routing Information Protocol (RIP)
Emplea y es restringido por una mtrica sencilla basada en el nmero de saltos entre
nodos, siendo una ruta con diecisis saltos considerada inalcanzable o con una mtrica
infinita (otro mecanismo para prevenir bucles de enrutamiento), por lo que no puede ser
utilizado en redes demasiado grandes.
Versin 1 (V1)
No soporta autenticacin.
Comportamiento Classful.
Transmite sus actualizaciones como un broadcast.
Versin 2 (V2)
Soporta autenticacin.
Comportamiento Classless, por lo que puede utilizar VLSM.
Transmite sus actualizaciones utilizando la direccin de multicast 224.0.0.9.
84
Topologa base para los ejemplos de las secciones de enrutamiento.
R1(config)# router ?
85
Para cumplir con este propsito se utilizar nuevamente el comando network, mismo que
fue presentado en una de las secciones anteriores (junto con el tema de DHCP para ser
exactos) y que como se recordar cumple dos funciones, la primera de ellas es indicar
al router la red que formar parte de un proceso (En este caso RIP) y la segunda es
seleccionar aquella interfaz del dispositivo con una direccin IP que pertenezca a dicha
red, para hacer la conexin del proceso en cuestin con el mundo fsico.
86
Es evidente, que a pesar de estar anunciando la red deseada, las publicaciones no se
envan (ni tampoco reciben) entre los dos routers.
Para lograr que R1 envi sus publicaciones a R2 ser necesario incluir dentro del proceso
RIP (utilizando el comando network) la interfaz conectada entre ambos dispositivos, en
este caso Fastethernet 0/1, como se muestra.
Ntese que en esta situacin no se pretende utilizar RIP para anunciar la red
192.168.2.0/24 a R2, ya que ambos routers conocen esta red al estar directamente
conectados, sino habilitar la interfaz que pertenece a esa red (ya que es la que
interconecta ambos dispositivos) para que reciba y publique las actualizaciones de RIP.
Para lograr conectividad entre ambos ordenadores es necesario configurar R2 para que
este pueda intercambiar informacin (o rutas) con R1, como se exhibe a continuacin.
87
R1(config)# router rip
R1(config-router)# passive-interface fastethernet 0/0
Es importante mencionar que en el caso especfico de RIP las interfaces pasivas dejan
de enviar pero todava son capaces de aceptar nuevas publicaciones.
Para visualizar los protocolos de enrutamiento activos dentro de un dispositivo, junto con
las redes publicadas, interfaces pasivas y otros parmetros especficos a cada protocolo,
podemos ejecutar el comando show ip protocols como se muestra a continuacin.
Redistributing: rip
Default version control: send version 2, receive 2
Interface Send Recv Triggered RIP Key-chain
FastEthernet0/1 2 2
Passive Interface(s):
FastEthernet0/0
88
Funcionamiento de la tabla de enrutamiento
Para iniciar la discusin se presenta la siguiente topologa donde todos los dispositivos
son capaces de ejecutar uno o ms protocolos de enrutamiento de manera simultnea y
donde existen dos camino o rutas para la comunicacin entre los dispositivos A y B.
89
RIP prefiere la ruta con menor nmero de saltos.
Distancia Administrativa
RIP 120
OSPF 110
EIGRP 90
Esttica 1
Directamente 0
Conectada
Tabla con algunas de las distancias administrativas ms comunes (Cisco).
90
Si en el mismo caso se incluyera una ruta esttica, sera esta ltima la que se instalese
en la tabla de enrutamiento al poseer una menor distancia administrativa que OSPF.
Tanto la distancia administrativa como la mtrica son visibles en las rutas que se
encuentran en la tabla de enrutamiento, como se muestra en la siguiente imagen.
Si una ruta se presenta varias veces acompaada por distintas mscaras de subred, se
considerar a cada una de sus versiones como un destino diferente y todas podrn
coexistir al mismo tiempo en la tabla de enrutamiento.
Por ejemplo, es posible que se presente la situacin donde se encuentren las siguientes
rutas instaladas.
91
192.168.10.0/29 (a travs de Fastethernet 0/0)
192.168.10.0/26 (a travs de Fastethernet 0/1)
192.168.10.0/24 (a travs de Fastethernet 0/2)
Tres rutas presentes en una tabla de enrutamiento.
Si bien las tres rutas se encuentran presentes, la tabla de enrutamiento siempre elegir
aquella de entre ellas que sea ms especfica. Entre ms largo el prefijo (O entre ms
bits con un valor de uno se encuentren presentes en la mscara de subred) ms
especfica la ruta. Por lo que los paquetes destinados a la direccion 192.168.10.1 seran
enviados a traves de la interfaz Fastethernet 0/0.
Finalmente, debe mencionarse que otra funcin del router es verificar para cada ruta que
la direccin IP del siguiente salto (la que se utilizar para llegar a ese destino en
particular) sea vlida y pueda ser alcanzada, condicin que debe cumplirse en cualquier
momento dado para que una ruta pueda ser instalada y mantenida dentro de la tabla de
enrutamiento.
Balanceo de Cargas
Otra situacin que puede presentarse es que el router encuentre dos o ms rutas
idnticas acorde a los criterios presentados en la seccin anterior, como se muestra a
continuacin.
92
En ese caso, en lugar de escoger entre rutas idnticas, el router las instalar todas dentro
de su tabla de enrutamiento provocando un fenmeno conocido como balanceo de
cargas, en donde el trfico ser distribuido de manera equivalente entre todas las rutas,
lo que recibe el nombre de balanceo simtrico.
93
11. Open Shortest Path First (OSPF)
Creado a principios de los aos noventa, es el protocolo de enrutamiento ms popular
del mundo, de la categora estado de enlace, utiliza el algoritmo Shortest Path First (SPF)
creado por Edsger Dijkstra en 1956.
Se identifica con el nmero de protocolo 89 y trabaja en la capa de red del modelo OSI
(por lo que no utiliza TCP/UDP ni un nmero de puerto) por lo que recurre a otros medios
para lograr transmisiones confiables. Presenta un comportamiento classless, soporta
autenticacin y enva sus actualizaciones a la direccin de multicast 224.0.0.5.
A diferencia de RIP que enva su tabla de enrutamiento completa a los routers vecinos y
que tiene una visin limitada de la red, OSPF enva la informacin de sus vecinos a todos
los dems routers presentes en la topologa, por lo que cada uno de los dispositivos
ejecutando OSPF conoce la disposicin de todos los dems dentro de la red, lo que le
permite a cada router calcular la ruta ms corta y libre de bucles hacia un destino en
particular con la nica desventaja que el proceso (la ejecucin del algoritmo SPF)
representa una carga ms pesada para el procesador.
Posee una mtrica basada en el ancho de banda llamada costo, calculada de la siguiente
manera.
El ancho de banda de referencia utilizado por Cisco es de 100 Mbps, por lo que el costo
para una interfaz FastEthernet (100 Mbps) ser de 1, mientras que para una interfaz
Ethernet (10 Mbps) ser de 10. La mtrica se incrementa conforme las actualizaciones
atraviesan diferentes segmentos de la red siendo la mejor ruta aquella que tenga menor
costo.
94
Tablas Mantenidas por OSPF
95
dentro de distintos tipos de reas cuya funcin consistira en acotar la red para reducir el
tamao de las tablas de enrutamiento y topologa y servir como contencin para diversos
tipos de actualizaciones.
Hoy en da existen varios tipos de reas, algunas de ellas son definidas en el estndar
mientras que otras existen gracias a extensiones propietarias. Los dos tipos esenciales
se definen a continuacin.
rea Estndar: Cualquier otra rea, identificada con cualquier otro nmero, dentro
de la cual las tablas de topologa (LSDB) de los dispositivos contengan la
informacin de todas las rutas que componen la red. Este es el comportamiento
por defecto.
96
En el ejemplo, tanto R1 como R2 pertenecen y se encuentran entre dos reas diferentes
sirviendo como frontera entre las mismas, por lo que son considerados area border
routers (ABR).
Si una nueva ruta aparece o desaparece, una actualizacin ser enviada a todos los
dispositivos forzandolos a tomar la informacin contenida en su tabla de topologa y
ejecutar el algoritmo SPF para ajustarse dinmicamente al cambio.
97
otra parte de la misma infraestructura ejecutando un protocolo de enrutamiento diferente,
por lo que recibe el nombre de Autonomous System Boundary Router (ASBR).
Tipos de Paquetes
3. Link State Request (LSR): Solicita informacin especfica de la LSDB del vecino.
4. Link State Update (LSU): Enva la informacin solicitada por el LSR. Sirve como
contenedor a los diferentes tipos de actualizaciones o Link State Advertisements
(LSA).
5. Link State Acknowledgement (LSAck): Un paquete especial que sirve como acuse
de recibo para comprobar que un paquete ha sido recibido con xito para lograr
una transmisin confiable.
Requerimientos
98
existir dos Router ID idnticos dentro de una misma red y sin el mismo el proceso
OSPF no puede iniciar.
Toma el formato de una direccin IPv4 lo cual puede ser confuso para los
principiantes ya que un dispositivo no es necesariamente alcanzable si se toma el
identificador que aparece en la tabla de topologa y se utiliza como una direccin
IP. Por ejemplo el hecho de que un router aparezca identificado como 10.10.10.10
en la tabla de topologa no implica necesariamente de que el dispositivo posea
una ruta capaz de alcanzar la direccin IP equivalente.
99
Para utilizar una interfaz virtual en su lugar, es posible agregar una interfaz
de loopback de la siguiente manera.
100
Finalmente es posible configurar manualmente el identificador usando el
comando router-id.
101
De esta manera se asegura que todos los dispositivos utilicen siempre el
mismo Router ID (Ya que en un futuro podran agregarse ms interfaces
virtuales), y que se pueda usar la direccin IP equivalente para alcanzar a
los mismos desde cualquier punto de la topologa.
Vecindades y adyacencias
Las vecindades son establecidas a travs de los paquetes hello, los cuales se envan a
travs de todas las interfaces configuradas para formar parte del proceso OSPF en un
intervalo regular de tiempo. Dichos paquetes incluyen una gran variedad de informacin,
una lista parcial se muestra a continuacin en donde todos los campos resaltados deben
de coincidir en ambos dispositivos para que se pueda establecer una relacin de
vecindad.
Mscara de Subred
Router ID
Temporizadores o Timers
rea
Vecinos
Lista parcial del contenido del paquete hello. Los campos resaltados deben ser
idnticos entre dos dispositivos para que estos puedan iniciar una relacin de vecindad.
Despus de establecer una vecindad y dependiendo del tipo de red donde se encuentren
(mltiple acceso o punto a punto), los dispositivos tratarn de establecer una adyacencia,
la cual es una relacin que se lleva a cabo con ciertos vecinos para intercambiar la
informacin contenida en la tabla de topologa.
El proceso para formar vecindades y adyacencias atraviesa las siguientes etapas (se
recomienda consultar la seccin Tipos de paquetes presentada anteriormente):
102
1. Down No se han detectado vecinos.
Wildcard Mask
Es una mscara cuya funcin consiste en marcar bits de una direccin IP para indicar
cules de ellos sern sujetos a comparacin.
Ms antiguas que las mscaras de subred, fueron creadas antes de la adopcin de CIDR
y desarrolladas a manera que pudieran ser implementadas fcilmente utilizando lenguaje
ensamblador. Los valores de la misma funcionan de la siguiente manera.
Por ejemplo, para seleccionar la red 192.168.1.0/24 es posible utilizar la wildcard mask
0.0.0.255 como se muestra a continuacin.
103
Wildcard Mask para seleccionar la red 192.168.1.0/24.
104
Frmula para calcular la Wildcard Mask.
Por ejemplo, para calcular la wildcard necesaria para marcar las direcciones contenidas
dentro de la subred 172.18.10.0 255.255.255.240 (/28)
Configuracin
105
Topologa base para los ejemplos de las secciones de enrutamiento con interfaces de
loopback.
Para indicar las interfaces que sern parte del proceso OSPF se utiliza nuevamente el
comando network, con las adiciones de la wildcard mask que introduce flexibilidad en la
seleccin de direcciones y el nmero de rea a las que las mismas sern asignadas.
En este router se utilizar una wildcard mask compuesta enteramente por unos
(255.255.255.255) por lo que todas las redes existentes dentro del dispositivo y por ende
todas sus interfaces sern incluidas dentro del proceso. Esta prctica es vlida
solamente dentro de un laboratorio de pruebas, ya que en implementaciones reales
podra resultar en la publicacin no deseada de ciertas redes dentro de la topologa.
106
Para complementar la configuracin tambin se configura la interfaz Fastethernet 0/0
para evitar que se enven o reciban publicaciones a travs de la interface a donde estn
conectadas los ordenadores de los usuarios. En el caso de OSPF ya no se enviarn o
recibirn paquetes hello lo que impide efectivamente la formacin de vecinos sobre
enlaces no deseados.
Una vez finalizada la configuracin de R2, es posible establecer comunicacin entre los
ordenadores.
Al ver la tabla de enrutamiento de R1 se puede apreciar que este posee las rutas
necesarias.
107
R1# show ip route
Para ver los protocolos que estn siendo ejecutados por el dispositivo as como otros
detalles importantes puede emplearse la siguiente instruccin.
108
Para ver la tabla de vecinos podemos emplear el comando show ip ospf neighbor
Y para ver la tabla de topologa (LSDB) se utiliza el comando show ip ospf database
Tipos de red
Como su nombre lo indica esta es una conexin que se realiza exactamente entre
dos dispositivos. Es el tipo de red por defecto en las interfaces seriales, mismas
que se introducen en este momento y cuya notacin se muestra en la siguiente
figura.
109
Implementacin tpica de un enlace serial con referencia a los comandos clock
rate y bandwidth.
Finalmente, es posible ver el tipo de red que OSPF utiliza con el comando show
ip ospf interface.
En una red de mltiple acceso en donde muchos dispositivos comparten una red
en comn, el nmero de vecindades entre los mismos viene dada por la siguiente
frmula donde n representa el nmero de routers ejecutando OSPF,
111
Frmula para determinar el nmero de vecindades en una red de mltiple
acceso.
112
Red de mltiple acceso broadcast donde R1 ha tomado el rol de DR y R2 el de
BDR.
En el caso de que se quiera elegir los dispositivos que pasarn a tomar los roles
anteriormente mencionados, deber de modificarse manualmente el valor de la
prioridad en cada una de las interfaces conectadas al medio compartido.
La prioridad puede tomar valores entre 0 y 255, donde 1 es el valor utilizado por
defecto por Cisco y 0 es un valor especial que indica al router que este nunca
podr convertirse en el DR o BDR. Se prefieren siempre los valores ms altos
siendo el mayor de todos el DR y el segundo mayor el BDR, en caso de empate
113
se utilizar aquel dispositivo que posea el Router-ID ms alto como se ha
explicado anteriormente.
Para visualizar la prioridad, el rol, el tipo de red as como otros datos importantes
puede emplearse nuevamente el comando show ip ospf interface,
114
R5# show ip ospf interface
FastEthernet0/0 is up, line protocol is up
Internet Address 192.168.1.5/24, Area 0
Process ID 1, Router ID 5.5.5.5, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State DROTHER, Priority 1
Designated Router (ID) 1.1.1.1, Interface address 192.168.1.1
Backup Designated router (ID) 2.2.2.2, Interface address 192.168.1.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 00:00:03
Supports Link-local Signaling (LLS)
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 4 msec
Neighbor Count is 4, Adjacent neighbor count is 2
Adjacent with neighbor 1.1.1.1 (Designated Router)
Adjacent with neighbor 2.2.2.2 (Backup Designated Router)
Suppress hello for 0 neighbor(s)
Cabe mencionar que la eleccin del DR y BDR en una red Ethernet es regularmente
dejada al azar mientras que en otros tipos de redes (Ej.: Frame-Relay) es de crucial
importancia por lo que la misma debe realizarse manualmente.
Sumarizacin de rutas
Es una tcnica que nos permite publicar varias subredes como parte de una subred ms
grande para ahorrar ancho de banda, reducir actualizaciones y acortar la tabla de
enrutamiento de otros dispositivos.
En el caso de RIP y EIGRP puede realizarse en cualquier punto de la red mientras que
en OSPF su uso est reservado a los ABR y ASBR.
La sumarizacin sigue los siguientes lineamientos generales cuando se utiliza con los
protocolos anteriormente mencionados.
Una ruta sumarizada ser publicada mientras exista al menos una subred dentro
de su rango de direcciones.
115
Una ruta sumarizada utilizar como mtrica alguna de las encontradas en las
subredes contenidas dentro de su rango de direcciones. EIGRP utilizar la mtrica
ms pequea encontrada mientras que en el caso de OSPF su eleccin
depender de la revisin del estndar donde est definido. Las implementaciones
compatibles con el rfc1583 usan la mtrica ms pequea mientras que las
compatibles con el rfc2328 (ms moderno) usarn la mtrica ms grande, dentro
del Cisco IOS existe un comando que permite elegir entre las mismas (compatible
rfc1583). RIP es una excepcin.
A manera de ejemplo se presentan las siguientes ocho subredes para realizar una
sumarizacin, con lo que se pretende anunciar las mismas como parte de una subred
ms grande y reducir el tamao de la tabla de enrutamiento de los dems dispositivos al
reducir ocho posibles rutas a solo una,
Para apreciar de una mejor manera el rango de direcciones puede utilizarse nuevamente
la siguiente disposicin.
116
Detalle de las redes a sumarizar.
Es ahora evidente que la subred que se pretende crear debe abarcar desde la direccin
10.0.0.0 hasta la 10.0.7.255 y que la direccin de red de la siguiente subred ser 10.0.8.0.
Al hacer un anlisis es posible notar que el incremento entre las mismas es de 8 y que
tiene lugar en el tercer octeto.
Lo nico que resta es encontrar el valor que provocar dicho incremento e incluirlo en la
mscara de subred en el octeto necesario, en este caso el tercero.
Asignacin de bits en la parte de red (Se agregan bits con un valor de uno) de la
mscara de subred hasta lograr el incremento necesario en el octeto adecuado.
De esta manera se obtiene una nueva mscara que define o que cubre el rango de
direcciones necesarias para cumplir con el propsito original siendo esta 255.255.248.0
o /21.
Ntese que para los valores correspondientes de la mscara de subred de los dos
primeros octetos en donde no hay cambio (10.0.x.x) se han colocado los valores de 255
y que en el tercer octeto en donde se aprecia el incremento entre ambas subredes se
han agregado bits a la parte de red de la mscara hasta lograr el incremento deseado
dejando los dems bits a cero.
117
As que es posible anunciar las ocho subredes deseadas como una sola ruta:
10.0.0.0/21 o 10.0.0.0 255.255.248.0
Por otro lado, la sumarizacin en OSPF est limitada a aquellos routers que delimitan o
que sirven de frontera entre otras partes de la red, los ABR y los ASBR.
118
El ejercicio puede reproducirse fcilmente en el laboratorio creando interfaces de
loopback dentro de un dispositivo y cambiando manualmente el tipo de red utilizada por
OSPF a punto a punto, lo que se hace con el propsito de emular un escenario real ya
que de otra manera dichas interfaces se anunciaran con una mscara /32.
119
Para sumarizar las redes indicadas es necesario realizarlo en R2 (ABR) utilizando el
comando area [nmero de rea] range [direccin] [mscara] de la siguiente manera.
Puede apreciarse tambin la creacin de una nueva ruta dirigida a null0 en R2 para evitar
posibles bucles de enrutamiento al ser nicamente utilizada cuando no se encuentra una
entrada ms especfica en la tabla de enrutamiento.
120
R2# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Como se puede apreciar en el ejemplo anterior, en orden de poder aplicar esta tcnica
sobre varias subredes es necesario que exista cierto grado de continuidad entre ellas
(Ej.: No se puede anunciar las redes 192.168.1.0 y 10.1.1.0 como una sola ruta) por lo
que se dice que debe seguirse un diseo jerrquico lo que hace referencia a la
uniformidad en la asignacin de direcciones.
121
Consideraciones finales
122
12. Enhanced Interior Gateway Routing
Protocol (EIGRP)
Es un protocolo de enrutamiento creado por Cisco en 1993, ao en que fue introducido
como reemplazo de su predecesor IGRP el cual posea un comportamiento classful.
Conocido durante muchos aos por ser un protocolo propietario se convierte en un
estndar abierto en el ao 2013, aunque hasta la fecha en que se presenta este escrito
todava no ha sido implementado por ningn otro fabricante.
A diferencia de OSPF, no cuenta con una visin completa de toda la topologa lo que
implica una menor utilizacin de los recursos de los dispositivos a costa de lidiar
nuevamente con el problema de los bucles de enrutamiento por lo que est sujeto a la
regla del horizonte dividido (Split Horizon) e implementa nuevos mecanismos de
prevencin por lo que EIGRP no garantiza la utilizacin de la mejor ruta en el 100% de
los casos. Adems, al igual que RIP, presenta el problema de la auto sumarizacin en la
frontera discontinua aunque en versiones modernas del Cisco IOS se presenta
desactivada por defecto.
Utiliza un algoritmo conocido como DUAL (Diffusing Update Algorithm) gracias al cual
EIGRP es el protocolo de enrutamiento de ms rpida convergencia, descubriendo
automticamente dispositivos vecinos con los cuales intercambia actualizaciones
parciales que se envan solamente cuando se presenta un cambio en la topologa.
Rutas de respaldo
La tabla de topologa distingue entre dos tipos de rutas, las mejores de entre ellas son
llamadas Sucesores (Succesors) mientras que las rutas de respaldo son llamadas
Sucesores Factibles (Feasible Succesors).
124
Los sucesores son enviados a la tabla de enrutamiento mientras que los sucesores
factibles se mantienen en la tabla de topologa para ser empleados inmediatamente en
caso los primeros dejen de ser utilizables. En otras palabras, de estar disponible una ruta
de respaldo, esta se instalar inmediatamente en la tabla de enrutamiento en caso la ruta
principal ya no pueda ser empleada.
Para realizar la clasificacin de las rutas EIGRP utiliza la misma mtrica desde dos
puntos de vista diferentes.
La distancia publicada (AD) se transmite a los vecinos para que estos puedan calcular
la distancia factible (FD) hacia un destino.
Condicin de factibilidad
Para que una ruta pueda convertirse en un sucesor factible debe cumplir con la condicin
de factibilidad expresada a continuacin:
125
Condicin de factibilidad.
En otras palabras, para que un dispositivo vecino pueda ser utilizado como ruta de
respaldo este debe encontrarse necesariamente ms cerca del destino, mtodo que no
garantiza siempre la eleccin de la mejor ruta pero que asegura que no se produzcan
bucles de enrutamiento.
Tipos de paquetes
5. ACK: Un acuse de recibo para los paquetes Update, Query y Reply. Los paquetes
Hello no requieren un acuse de recibo.
Sistemas autnomos
126
lucro. Los ASN eran hasta el ao 2007 valores de 16 bits, siendo el da de hoy valores
de 32 bits, expansin que tuvo que hacerse debido a la demanda de los mismos.
Requerimientos y Vecindades
Las vecindades son establecidas a travs de los paquetes hello, los cuales se envan a
travs de todas las interfaces configuradas para formar parte del proceso EIGRP en un
intervalo regular de tiempo. Al contrario de OSPF, EIGRP no exige muchos requisitos
para que dos routers puedan intercambiar rutas siendo necesario solamente que se
encuentren dentro del mismo sistema autnomo (Que posean el mismo ASN) y que
utilicen los mismos valores K.
Configuracin
127
Topologa base para los ejemplos de las secciones de enrutamiento
Para este ejemplo se utilizar el nmero de sistema autnomo 1, los conceptos de auto
sumarizacin e interfaces pasivas han sido explicados en secciones anteriores.
Una particularidad de EIGRP es que puede ser configurado de varias maneras, ya sea
con lo sencillez de RIP como en el caso anterior o con la flexibilidad de las Wildcard
Masks, como se muestra acto seguido.
128
Advirtase que no debe confundirse el nmero de sistema autnomo utilizado en EIGRP,
con el identificador de proceso usado por OSPF.
Una vez terminada la configuracin de R2, es posible establecer comunicacin entre los
ordenadores.
129
R2# show ip eigrp neighbors
Finalmente para ver la tabla de topologa, se emplea la instruccin show ip eigrp topology.
130
13. Virtual LANs (VLANs), enlaces
troncales y dynamic trunking protocol (DTP)
VLANs
Al crecer el nmero de dispositivos dentro de las primeras redes los siguientes problemas
se volvieron evidentes.
Para solucionar o paliar estos problemas se introduce el concepto de las redes locales
virtuales mejor conocidas como Virtual LANs (VLANs).
Las VLANs fueron creadas en los aos 80 por Walter David "Dave" Sincoskie y permiten
separar los puertos de cada switch y asignarlos a grupos lgicos distintos donde cada
uno de ellos constituye su propio dominio de broadcast lo que posibilita la utilizacin de
varias redes independientes dentro del mismo concentrador.
Dicha tecnologa permite agregar usuarios a una agrupacin lgica accesible desde
cualquier switch de acceso en la infraestructura, lo que elimina las limitaciones fsicas,
reduce el broadcast, y mejora el control de acceso.
131
La asignacin a estos grupos se realiza de manera individual dentro de la configuracin
de cada puerto, siendo imposible que dispositivos finales conozcan la VLAN a la que
estn conectados, estando todos asignados a la VLAN 1 por defecto.
Implementacin de VLANs.
Para crear una VLAN y asignarle un nombre es posible utilizar la siguiente secuencia de
instrucciones desde el modo de configuracin global.
Switch(config)# vlan 10
Switch(config-vlan)# name TECNICOS
132
Para visualizar las VLANs existentes as como los puertos asignados a ellas se utiliza el
comando show vlan brief.
10 TECNICOS active
La VLAN 1 es la VLAN por Defecto a donde estn asignados todos los puertos mientras
que las VLANs 1002-1005 son mantenidas por cuestiones de compatibilidad, por lo que
ninguna de ellas puede ser removida.
Modos de un puerto
Modo troncal (mode trunk): Configura el puerto para que etiquete, envi y posibilite
la comunicacin entre VLANs en switches diferentes.
133
Switch(config)# interface fastEthernet 0/2
Switch(config-if)# switchport mode access
Una vez en el modo de acceso es posible asignar dicho puerto a una VLAN especfica,
de la manera que se muestra a continuacin.
1005 trnet-default
134
Switch# show vlan name TECNICOS
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1
Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
10 enet 100010 1500 - - - - - 0 0
Ntese que los puertos en modo troncal no son mostrados en la salida de ninguno
de estos comandos (El puerto Fa 0/1 no se encuentra en la lista de puertos).
Enlaces troncales
135
Switch(config-if)# switchport trunk allowed vlan ?
WORD VLAN IDs of the allowed VLANs when this port is in trunking mode
add add VLANs to the current list
all all VLANs
except all VLANs except the following
none no VLANs
remove remove VLANs from the current list
Para mostrar una lista de las interfaces troncales, las VLANs que pueden ser
transmitidas a travs de los mismos, as como otros detalles importantes se utiliza la
instruccin show interfaces trunk.
Es un protocolo propietario de Cisco que busca simplificar el uso del switch al usuario
final al negociar automticamente el modo de un puerto para que este funcione como un
puerto de acceso o uno troncal.
136
Para tratar de establecer un enlace troncal automticamente con otro dispositivo, es
posible configurar el puerto de un switch como Dynamic Desirable, Dynamic Auto o
directamente en modo trunk (Cuya configuracin vuelve a mostrarse para completar el
ejemplo).
Los modos Dynamic Desirable y Trunk tratarn activamente de formar un enlace troncal,
mientras que en el modo Dynamic Auto el puerto ser un troncal solamente cuando el
otro lado lo solicita. De esta manera si en los dos extremos de un enlace se tienen los
modos Dynamic Auto y Dynamic Desirable respectivamente, se volver un enlace
troncal, mientras que si los dos extremos estn configurados como Dynamic Auto el
enlace troncal no se formar quedando los puertos en el modo de acceso.
La ejecucin de DTP constituye un gran riesgo de seguridad dentro de una red, ya que
un atacante podra negociar, a travs de un dispositivo real o software especial, un enlace
troncal con el switch donde est conectado y tener acceso a todas las VLANs existentes,
ataque conocido como switch spoofing.
Por esta razn, es una mejor prctica configurar manualmente tanto los puertos troncales
como los de acceso para luego deshabilitar DTP en todas las interfaces con el siguiente
comando.
137
VLAN nativa
Cualquier VLAN, existente o no dentro del switch, puede tomar el rol de la VLAN nativa
en un troncal, responsabilidad que recae por defecto sobre la VLAN 1 misma donde la
cual estn asignados todos los puertos de manera predeterminada lo que a menudo es
fuente de confusin.
La VLAN 1 tiene una importancia especial, al ser utilizada como VLAN predeterminada
por todos los fabricantes, siendo en el caso de Cisco empleada tambin para la
transmisin de ciertos protocolos de control tales como el Cisco Discovery Protocol
(CDP), Port Aggregation Protocol (PAgP) y Vlan Trunking Protocol (VTP)
independientemente de si la VLAN 1 es la VLAN nativa o no.
Por esta razn la VLAN 1 no puede ser eliminada de un switch ni completamente filtrada
de un enlace troncal.
138
Tomando en cuenta que en un puerto troncal de los dispositivos Cisco todas las VLAN
son permitidas por defecto es posible utilizar el siguiente comando para intentar remover
la VLAN 1 de dicho enlace.
Al ejecutar el comando anterior se consigue filtrar todo el trfico enviado por los usuarios
asignados a esa VLAN en particular, ms no el trfico de los protocolos de control
mencionados anteriormente que continuarn funcionando con normalidad.
Ntese que ahora la VLAN que enviar sus paquetes sin ningn tipo de marcacin ser
la VLAN 100, mientras que la funcionalidad de la VLAN 1 permanecer inalterada, con
la nica diferencia de que el trfico generado por los protocolos que hacen uso de la
misma sern etiquetados lo que tampoco impedir su correcto funcionamiento.
Una consideracin importante es que al ser configurada sobre cada puerto de manera
individual existe la posibilidad de configurar un enlace cuyos dos extremos utilicen una
VLAN Nativa diferente, condicin que se conoce como discrepancia de VLANs Nativas
(Native VLAN Mismatch) y que en el caso de Cisco puede ser detectada gracias al Cisco
Discovery Protocol (CDP) el cual bloquear las VLANs en conflicto para evitar problemas
ms serios dentro de la red.
139
Switch1(config)# interface fastethernet 0/1
Switch1(config-if)# switchport mode trunk
Los protocolos que hacen uso de la VLAN Nativa para intercambiar informacin son DTP
y Spanning-Tree Protocol (STP) el cual es un protocolo cuya funcin consiste en evitar
bucles de capa 2 y que se presenta ms adelante.
140
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport trunk native vlan tag
Esta opcin no est disponible en toda la gama de switches Cisco y podra no ser
interoperable con dispositivos de otros fabricantes.
141
14. VLAN Trunking Protocol (VTP) e Inter
VLAN Routing
Perteneciente a la capa 2 del modelo OSI, VTP previene inconsistencias al utilizar los
enlaces troncales (requisito indispensable) para sincronizar informacin entre varios
switches.
Actualmente existen tres versiones de este protocolo, las primeras dos presentan ligeras
diferencias en su funcionamiento, mientras que la versin 3 es una completa
reestructuracin del mismo.
Adems, VTP puede ser configurado para trabajar en una de las siguientes modalidades
142
sern utilizados en todos los switches dentro de un dominio, dentro del cual se
recomienda la existencia de un solo dispositivo que cumpla con esta funcin.
Apagado (Off): Deshabilita VTP, lo switches tendrn control sobre sus propias
VLANs y la informacin relacionada con VTP no ser reenviada. Esta modalidad
no est disponible en todas las plataformas.
Para superar este problema, se cre un archivo especial donde pudiera almacenarse
dicha informacin de manera dinmica y se le dio el nombre de vlan.dat, usualmente
referido como VLAN Database.
143
dicha base de datos y no ser mostrada en el archivo de configuracin siendo el caso
contrario en las otras modalidades.
Un dominio indeterminado (Domain Null) requiere especial atencin, ya que adems del
comportamiento descrito anteriormente ocasionar que el dispositivo, al recibir una
publicacin VTP en uno de sus enlaces troncales, pase a formar parte del dominio
incluido en la misma para luego heredar toda su informacin.
144
Al recibir una publicacin VTP un switch con un dominio indeterminado pasar a formar
parte del dominio indicado en la misma.
Para establecer un dominio, se utiliza el siguiente comando, ntese que un switch puede
pertenecer solamente a un dominio administrativo.
Otra medida que puede tomarse es la configuracin de una contrasea para su uso
dentro del dominio. Dicha contrasea no impedir que un switch pase a formar parte de
un dominio de manera automtica, pero s evitar la sincronizacin de la informacin
entre dispositivos.
DTP negociar un enlace troncal entre dos switches si ambos se encuentran en el mismo
dominio o en el caso de que uno o los dos dispositivos tengan un dominio indeterminado.
De otra forma, no se negociar dicho enlace debido a un error llamado domain mismatch.
145
Sw1(config)# vtp domain CAT
Changing VTP domain name from NULL to CAT
Switch#
%SYS-5-CONFIG_I: Configured from console by console
Estos dominios funcionan de manera independiente, sin comunicacin alguna entre ellos
a pesar de residir fsicamente en el mismo dispositivo, por lo que cada uno de los mismos
puede ser utilizado para albergar una red diferente.
147
Por esta razn, para volver a establecer comunicacin entre varias VLANs (Inter Vlan
Routing), se necesita de un dispositivo capaz de enrutar entre varias redes, pudiendo
elegirse entre las siguientes opciones.
En este caso la solucin es directa, por cada VLAN existe una interfaz separada
en el router quien luego se encarga de establecer comunicacin entre ellas. No
obstante, esta solucin no es econmica ni escalable ya que se tiene que
incorporar una nueva interfaz por cada nueva VLAN.
En esta solucin se utiliza un solo enlace troncal para llevar el trfico de todas las
VLANs a una interfaz fsica del router (de ah su nombre), en donde se crearn
varias subinterfaces virtuales, siendo cada una de ellas destinada a manejar los
datos y servir como puerta de enlace predeterminada de una VLAN especfica.
148
Para mostrar la implementacin de esta solucin se usar la siguiente topologa,
donde se ha configurado previamente el switch con las VLANs indicadas y se han
configurado los puertos en los modos necesarios.
149
Esta dualidad es un poco difcil de comprender en un inicio. Si bien es cierto que
el flujo de la informacin est determinado por la composicin lgica de la red no
puede olvidarse que esta depende del correcto funcionamiento de la parte fsica
en todo momento.
Sea cual sea el valor elegido para designar una subinterfaz este no tendr ninguna
injerencia sobre su funcionamiento. Sin embargo, se recomienda elegir un nombre
relacionado con el propsito de la misma, lo que ms adelante facilitar su manejo
y la resolucin de problemas dentro de la red.
En este caso, dicho protocolo ser el estndar abierto 802.1Q o punto 1Q (dot1q)
y el trfico que se quiere manejar es el de la VLAN 10.
Una vez configurada tanto la encapsulacin como la etiqueta del trfico a procesar
se vuelve posible especificar una direccin IP para la subinterfaz de la misma
manera como se hara con una interfaz real.
150
Router(config-subif)#ip address 192.168.10.1 255.255.255.0
Router(config-subif)# exit
Ahora est subinterfaz puede ser utilizada como puerta de enlace predeterminada
de todos los dispositivos dentro de la VLAN 10.
Todo trfico entre VLANs debe pasar necesariamente a travs del router, el cual
redirigir el trfico y modificar las etiquetas para establecer conectividad.
151
Router# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
MLSwitch(config)# ip routing
De esta manera los puertos de este dispositivo pueden funcionar tanto a nivel de
la capa 2, como los de un switch tradicional o a nivel de la capa 3, en cuyo caso
podr asignrsele una direccin IP y utilizarla junto con algn protocolo de
enrutamiento.
152
MLSwitch(config)# interface fastEthernet 0/1
MLSwitch(config-if)# switchport
MLSwitch(config-if)# switchport mode access
MLSwitch(config-if)# switchport access vlan 10
Para que una SVI sea operacional, la VLAN relacionada debe existir y estar activa
dentro del switch, es decir, que debe haber por lo menos un puerto activo
perteneciente a dicha VLAN y/o un enlace troncal en donde dicha VLAN sea
permitida y que no haya sido bloqueada ya sea manualmente o por algn
protocolo (VTP, Spanning Tree, etc.,).
153
MLSwitch(config)# ip routing
MLSwitch(config)# interface vlan 10
MLSwitch(config-if)# no shutdown
MLSwitch(config-if)# ip address 192.168.10.1 255.255.255.0
Ya sea de manera planeada o no, las redes de comunicaciones siempre tienden a crecer.
Muchas veces ante la urgente necesidad de satisfacer nuevos requerimientos dicho
crecimiento se realiza de manera desordenada, conectando los nuevos dispositivos a los
ya existentes en cascada conforme estos se hacen necesarios.
Este tipo de disposicin hace a la red ms propensa a fallar al hacerla menos resiliente
contra desperfectos mecnicos, elctricos y factores externos.
Una falla en una red pobremente diseada puede limitar o eliminar completamente la
conectividad.
Esta es la razn por la que dentro de un buen diseo de red siempre debe contemplarse
el crecimiento de la misma e incluir tambin cierto grado de redundancia, la cual permitir
reducir el tiempo inoperativo y mitigar las prdidas econmicas derivadas.
No obstante los evidentes beneficios, la implementacin de dicha redundancia tiene su
costo tanto econmica como operacionalmente, siendo un caso especialmente
problemtico cuando se utiliza con switches tradicionales capaces de funcionar
solamente a nivel de capa 2.
Considrese el siguiente escenario donde dos switches han sido conectados entre s
utilizando enlaces redundantes y la computadora A trata de enviar un mensaje a la
computadora B.
Para averiguar la direccin fsica de B, la computadora A enviar un ARP Request como
un broadcast hacia el resto de la red. La trama llegar al switch, quien examinar la
155
direccin MAC de origen de la misma para luego agregar una entrada en su memoria y
situar al dispositivo A en el puerto por donde est ingres, antes de reenviar dicha trama
por todas las dems interfaces.
156
La inestabilidad en la base de datos de direcciones MAC provocar cada vez ms
retransmisiones y generar ms broadcast, el cual al deber ser procesado en software
(Por lo que carga al CPU) y ser dirigido hacia todos los dispositivos llevar a la red a un
paro general una vez cierto lmite sea sobrepasado, condicin que se conoce como una
tormenta de broadcast.
Para mitigar dicho problema se utiliza un protocolo capaz de detectar y bloquear enlaces
redundantes, evitando la formacin de bucles a nivel lgico al mismo tiempo que se
mantiene la redundancia fsica en la red y que es conocido como Spanning Tree Protocol
(STP).
Spanning Tree desactiva a nivel lgico los enlaces redundantes para prevenir bucles.
STP fue creado en 1985 por Radia Perlman con el propsito de que los dispositivos de
capa 2 pudieran detectar y bloquear enlaces redundantes y luego reactivarlos en caso
de una falla. El estndar abierto fue publicado en 1990 con el nombre de 802.1D y
presentaba algunas diferencias con respecto al original.
Con el transcurrir de los aos se han hecho varias enmiendas y se han creado nuevas
implementaciones a partir de la primera versin (Ej.: 802.1s, 802.1w), todas las cuales
son contenidas hoy en da en el estndar 802.1Q.
Antes de proseguir es importante remarcar que STP es un protocolo antiguo que ha
mantenido mucho de su terminologa original, por esta razn muchas definiciones y
configuraciones hacen referencia al dispositivo antecesor al switch: El bridge. De esta
manera un bucle entre switches es referido como un bridging loop y no como un switching
loop (trmino ms intuitivo). No obstante, durante el resto de la discusin de este
protocolo se favorecer el trmino switch (cuando sea posible) por motivos pedaggicos.
157
Operacin
Antes de analizar la operacin de STP considrense las siguientes definiciones:
Un rbol (Tree) en teora de grafos (una rama de las matemticas discretas), es
una grfica sin ninguna orientacin en especial en donde dos vrtices estn
conectados exactamente por una sola ruta.
A B C
a) Un grafo con 6 vrtices o nodos; b) Un rbol; c) Un rbol enraizado.
De esta manera STP, incluye a todos los switches presentes en un mismo dominio de
broadcast, dentro de los cuales elegir a uno en especial para servir como punto de
referencia dentro de la topologa recibiendo este el nombre de switch raz (Root bridge),
dispositivo a partir del cual se elegir una y solamente una ruta (compuesta por los
mejores enlaces acorde a varios criterios) hacia los dems switches bloqueando todos
los dems enlaces al ser considerados redundantes.
Durante el resto de este trabajo se utilizarn los trminos Spanning Tree y STP de
manera intercambiable.
158
Spanning Tree trabajan de manera independiente, ajenos a los dems dispositivos y su
colocacin dentro de la red.
As pues, para realizar las elecciones necesarias y detectar cambios en la topologa, los
switches envan y reciben a travs de sus interfaces tramas especiales llamadas Bridge
protocol data units (BPDUs), las cuales son enviadas a un grupo de multicast al que solo
pertenecen los dispositivos ejecutando STP.
Las BPDUs incluyen mucha informacin y pueden ser clasificadas acorde a su propsito
como:
BPDU de configuracin (Configuration BPDU): Que incluyen toda la informacin
necesaria para realizar los clculos requeridos por Spanning Tree (Informacin
del switch, timers, etc.,), y que son generadas nicamente por el switch raz para
luego ser propagados al resto de dispositivos.
159
de recibir y procesar tambin puede enviar sus propias BPDUs, con lo que pasa
a participar activamente del proceso y decisiones tomadas por STP.
Es tambin en esta etapa donde se decide si un puerto regresar a estar
bloqueado o si ser utilizado para transmitir datos, pasando en este ltimo caso al
siguiente estado despus de 15 segundos.
Aprendiendo (Learning): Este es el ltimo estado antes de empezar a transmitir.
Se siguen recibiendo y enviando BPDUs, adems el puerto comienza a aprender
direcciones MAC, siendo 15 segundos el tiempo otorgado para este proceso.
Finalmente hay un ltimo estado que no forma parte directamente del proceso de
Spanning Tree pero que debe considerarse:
Deshabilitado (Disabled): Estado en el cual el puerto ha sido apagado por un
administrador o deshabilitado por algn protocolo.
Este rol no existe en el switch raz (Lo cual a menudo es fuente de confusin)
estando el mismo reservado a los dems dispositivos ejecutando STP, los cuales
pueden tener un solo puerto cumpliendo esta funcin.
Este es tambin el puerto utilizado para comunicarle al switch raz cuando ha
ocurrido un cambio en la topologa.
Puerto designado (designated port): Los puertos en este rol siempre se
encuentran transmitiendo (Forwarding) y son los nicos capaces de enviar BPDUs
de configuracin, motivo por el cual se encuentran presentes en todos los
segmentos de la topologa STP, dentro de cada uno los cuales debe existir
necesariamente un nico puerto que cumpla esta funcin. Este diseo permite
que Spanning Tree pueda detectar bucles inclusive en enlaces conectados a un
segmento compartido.
160
Todos los puertos del switch raz son puertos designados.
Puerto no Designado (Non-Designated Port): Este puerto forma parte de un enlace
redundante por lo que no transmite informacin y se limita a escuchar las BPDUs
provenientes de algn puerto designado (Blocking).
De esta manera, los enlaces activos estn compuestos por un puerto raz y uno
designado mientras que los enlaces inactivos estn formados por un puerto designado y
uno que no lo est a manera de romper el bucle.
Dentro de cada segmento siempre debe existir un nico puerto designado; este diseo
permite a Spanning Tree tratar con enlaces redundantes conectados al mismo segmento
(lo que no es comn en estos das).
Estos roles no son mostrados en las salidas del Cisco IOS.
A B
Un puerto puede tomar el rol de un puerto designado (D), un puerto raz (R) o el de un
puerto no designado (ND). a) Dos switches, dos segmentos de red. b) Tres switches,
un segmento compartido.
161
Para elegir el switch raz se utiliza como parmetro el identificador del switch (bridge ID),
un valor compuesto por la combinacin de un campo conocido como la prioridad (Un
valor numrico con un tamao original de 2 bytes) y la direccin MAC del dispositivo,
siendo electo como raz aquel con el bridge ID ms bajo.
Por recomendacin del estndar (802.1D) todo switch comienza con una prioridad por
defecto de 32768, aunque este valor puede ser modificado para influir en la eleccin.
Entre ms baja la prioridad, ms probabilidades tiene un dispositivo de ser elegido como
raz, utilizndose la direccin MAC solamente como medio de desempate (En caso todos
los switches tengan la misma prioridad).
Para ilustrar el proceso de eleccin se introduce la siguiente topologa donde todos los
dispositivos siguen configurados con la prioridad por defecto,
BPDU
Root Bridge ID 32768 / Identificador del switch raz.
0000.0000.000A
Sender Bridge 32768 / Identificador del switch que enva el
ID 0000.0000.000B
BPDU.
.
Incluidos dentro de los campos del BPDU se encuentra el bridge Id del dispositivo que
lo origin, as como la direccin que este reconoce como perteneciente al switch raz.
162
Cuando los switches se inicializan cada uno de ellos se considera a s mismo el switch
raz de la topologa y lo comienza a anunciar de esta manera a los dispositivos vecinos
al utilizar su propia direccin MAC tanto en el campo que indica la direccin de origen de
la comunicacin como para el campo reservado al raz.
Si durante el intercambio de informacin el switch recibe un BPDU de un dispositivo con
un bridge ID menor al suyo, este lo reconoce como el nuevo switch raz de la topologa
y actualiza la informacin enviada a los vecinos.
Este proceso se repite hasta que todos los participantes reconocen a un nico switch
raz.
En el caso presentado anteriormente, al tener la misma prioridad el bridge ID ms bajo
ser determinado por la direccin MAC ms baja, razn por la cual el switch A ser el
switch raz de la topologa.
Una vez finalizada la eleccin, cada dispositivo debe determinar el rol que ser asignado
a cada uno de sus puertos con excepcin del switch raz, ya que todos sus puertos sern
puertos designados.
Switch A es electo como switch raz y como resultado todos sus puertos son puertos
designados (D).
Para elegir los roles de los puertos se utilizan varios parmetros comparados en
secuencia, detenindose en el primero de ellos que no resulte en un empate y siendo
siempre preferidos los valores ms bajos.
163
El orden en que se comparan dichos parmetros se presenta a continuacin:
1. Costo de la ruta hacia el switch raz (Root Path Cost).Mismo que se explica en
breve.
2. Identificador del switch que enva el BPDU (Sender Bridge ID). Explicado
anteriormente.
3. Identificador del puerto que enva el BPDU (Sender Port ID). Compuesto por la
prioridad del puerto (Un valor numrico de 4 bits) y el nmero de la interface. Al
modificar la prioridad de un puerto podemos influir en la eleccin del puerto raz
una vez llegado el proceso a esta instancia. Este campo tambin est incluido en
el BPDU.
4. Identificador del puerto que recibe el BPDU (Receiver Port ID). Compuesto de
la misma forma que el campo anterior, con la excepcin de que este es local al
dispositivo por lo que no existe un campo correspondiente en las BPDU.
El Root Path Cost es un campo incluido dentro de las BPDU cuyo valor (llamado costo)
se ve incrementado cada vez que entra por una interface y que tiene como objetivo
determinar las mejores rutas hacia el switch raz.
El costo relacionado con cada una de las interfaces es llamado costo de la ruta (Path
Cost) y es determinado por la velocidad de cada una de estas, aunque su valor puede
modificarse dentro de cada interfaz para influir en el rol que le ser dado.
Al no existir valores recomendados para los costos que deban asignarse a las interfaces,
Cisco utiliz la siguiente frmula en sus primeras implementaciones de STP.
Frmula original empleada por Cisco para determinar el costo de cada interfaz en base
a su velocidad.
Sin embargo, debido al gran aumento en la velocidad de las interfaces y al hecho en que
la frmula presentada no funcionaba adecuadamente para enlaces ms rpidos de 1
Gigabit/s, se hizo una revisin del estndar (802.1D-1998) utilizando un escala no lineal,
con otra frmula no especificada en el mismo y que recomienda la utilizacin de los
siguientes valores.
164
802.1D-1998
Velocidad del puerto Costo
Ethernet 10 Mbps 100
FastEthernet 100 Mbps 19
GigabitEthernet 1 Gbps 4
10-GigabitEthernet 10 Gbps 2
Costos recomendados por la revisin del estndar original (802.1D-1998).
Cuando un BPDU es generado por el switch raz este inicia con un Root Path Cost de
cero. Cuando dicho BPDU sea recibido por la interfaz de otro switch este incrementar
dicho campo utilizando el costo asociado a dicha interfaz (Path Cost), antes de reenviarlo
hacia otros dispositivos quienes luego utilizarn el valor total del mismo para determinar
las rutas con menor costo y as elegir sus respectivos puertos races.
A manera de ejemplo se vuelve a introducir la topologa presentada anteriormente, con
las velocidades asociadas a sus respectivos puertos.
165
Clculo del root path cost.
El switch B recibir dos BPDUs provenientes del switch raz, una a travs de su interfaz
directamente conectada con un costo de 19 y otra que viene desde el switch C con un
costo de 38 y seleccionar como puerto raz aquella interface por donde ingreso el BPDU
con la mejor ruta.
Ntese que el costo est asociado con la velocidad de cada interface y no con cualquier
velocidad negociada en el segmento.
Despus de hacer un anlisis similar con el switch C, se establecen los puertos races y
se determina que el enlace redundante es el que conecta dicha dispositivo con el switch
B.
Una vez seleccionados los puertos races, se procede a seleccionar los puertos
designados, uno por cada segmento.
En el caso del enlace redundante tanto switch B como switch C reciben BPDUs con el
mismo costo hacia el switch raz por lo que se utiliza el siguiente parmetro en la lista: el
identificador del switch que enva el BPDU (Sender Bridge ID).
Como B posee un bridge ID ms bajo que el switch C sus puertos sern preferidos sobre
los de este ltimo si se llega a esta instancia, por lo que el puerto asociado con el primero
ocupar la funcin de puerto designado, mientras que el extremo asociado con C ser
un puerto no designado.
166
Convergencia de Spanning Tree. Se muestran los puertos races (R), los puertos
designados (D) y el no designado (ND) para romper el bucle a nivel lgico.
Los dos ltimos parmetros de la lista (Sender/Receiver port ID) no son utilizados en el
ejemplo anterior, lo que no quiere decir que no existan situaciones en donde deban
utilizarse.
A manera de ejemplo, se presenta el siguiente caso (Donde deben utilizarse todos los
parmetros presentados) el cual evidencia la versatilidad de STP,
PortFast
Una de las debilidades de Spanning Tree consiste en que este protocolo no ofrece una
opcin a travs de la cual un puerto pueda hacer una distincin directa entre dispositivos,
167
en otras palabras, STP funcionar de la misma manera independientemente del
dispositivo que sea conectado.
Este comportamiento, inofensivo en un principio, empez a generar problemas una vez
las redes empezaron a hacerse ms grandes y los elementos que las componan ms
modernos, llegando a ser un caso especialmente difcil el de los dispositivos finales
conectados a la red a travs de puertos sujetos a STP.
Dichos dispositivos (computadoras, impresoras, etc.,) estn destinados a satisfacer las
necesidades de los usuarios por lo que entran y salen de la red a medida que son
necesarios. Si los puertos asociados a los mismos forman parte del proceso STP, cada
vez que un host cambie de estado (Ej.: Una computadora es apagada o encendida), se
generar una notificacin de cambio de topologa (TCN BPDU) lo que provocar que
todos los switches renueven su base de datos de direcciones MAC en un tiempo ms
corto de lo usual (A pesar de no existir un cambio significativo) provocando inestabilidad.
Adems, a pesar que la conexin con un solo host no puede introducir un bucle en la
topologa, este debe esperar de 30 a 50 segundos para incorporarse a la red, retraso
que no es aceptable hoy en da.
En vista de estos problemas, desactivar Spanning Tree en los puertos destinados para
estos dispositivos puede parecer tentador, sin embargo, debido a la gran probabilidad de
que los usuarios introduzcan bucles de manera accidental en la topologa STP jams
debe desactivarse.
Ante esta situacin, Cisco cre una mejora propietaria llamada Portfast para mitigar estos
problemas.
Un puerto configurado con Portfast, es un puerto que sigue ejecutando STP (sigue
enviando BPDUs) con la diferencia que un cambio en su estado no genera un TCN (Por
lo que es ms estable) y que su estado inicial es transmitiendo (Forwarding) en vez de
bloqueando (Blocking).
Esto permite una red ms estable y que los dispositivos finales se incorporen a la red
inmediatamente, con la desventaja de la introduccin de la posibilidad de la formacin
de bucles temporales en caso otro tipo de equipo como hubs, switches, Access points,
etc., sean conectados a puertos configurados con dicha caracterstica, debido a que
cuando estos se inicializan pasan a transmitir informacin inmediatamente.
Los bucles aludidos son de carcter temporal, debido a que al recibir un BPDU los
puertos configurados con Portfast deshabilitan esta caracterstica.
168
Rapid Spanning Tree (RSTP)
Seguido de una serie de mejoras propietarias al estndar original finalmente emergi, en
el ao 2001, un nuevo estndar abierto llamado 802.1W, una implementacin ms
moderna de STP con un tiempo de convergencia mucho menor al del original por lo que
recibi el nombre de Rapid Spanning Tree Protocol (RSTP).
Esta nueva implementacin es mucho ms proactiva que la tradicional, permitiendo a los
switches negociar activamente con sus vecinos en lugar de esperar pasivamente.
RSTP es retrocompatible con el protocolo original por lo que pueden trabajar juntos en
una red (Aunque se perderan las ventajas de RSTP) llegando en ciertos tipos de enlace
a comportarse de la misma manera.
169
Puerto Designado (Designated Port): Con un funcionamiento idntico al
estndar original.
Tipos de Enlace
RSTP introduce el concepto de los tipos de enlace, de los cuales depender su
operacin.
Enlace punto a punto (Point-to-point link): Un enlace que conecta
directamente a dos dispositivos ejecutando RSTP y que pueden
aprovechar todas sus mejoras.
170
Eleccin del switch raz y el rol de cada puerto en Rapid Spanning Tree
La eleccin del switch y el puerto raz siguen exactamente los mismos criterios y
son considerados en la misma secuencia que en el estndar original.
La nica diferencia radica en el costo de la ruta (Path Cost), costo asignado a
cada interfaz en base a su velocidad, ya que al ser un estndar ms moderno
presenta nuevas recomendaciones acerca del valor que debe drsele a los
mismos, utilizando la siguiente frmula.
802.1D-1998 802.1W
Velocidad del puerto Costo Costo
Ethernet 10 Mbps 100 2,000,000
FastEthernet 100 Mbps 19 200,000
GigabitEthernet 1 Gbps 4 20,000
10- 10 Gbps 2 2,000
GigabitEthernet
Comparacin de los costos utilizados por STP y RSTP.
Para determinar los roles de cada uno de los puertos se realiza una negociacin
entre dispositivos vecinos llevando la red a converger de una manera progresiva.
Una explicacin detallada de este proceso se encuentra fuera del alcance de este
trabajo.
Edge
Es la solucin estandarizada para el problema de los puertos que deben ser
conectados a dispositivos finales. Presenta la misma funcionalidad que Portfast.
171
Relacin entre VLANs y Spanning Tree
Existe una profunda relacin entre las VLANs existentes en una topologa y el
funcionamiento de Spanning Tree. Si bien este ltimo fue creado primero, con el posterior
advenimiento de las VLANs y su masiva adopcin estas dos tecnologas se volvieron
inseparables, al punto que hoy la funcionalidad de ambas est definida en solo estndar
(802.1Q).
De esta manera las implementaciones de Spanning Tree, tanto de STP tradicional como
de Rapid STP, son clasificadas en funcin de su interaccin con las VLANs, existiendo
estndares abiertos como Mono Spanning Tree (MST) y Multiple Spanning Tree Protocol
(MSTP) y soluciones propietarias como Per VLAN Spanning Tree Protocol Plus
(PVSTP+) y Rapid PVST+ (RPVST+) en el caso de Cisco, siendo estas examinadas ms
adelante.
Ajustes
Para acomodar el creciente nmero de puertos y VLANs disponibles dentro de
cada dispositivo hubo la necesidad de realizar ciertos ajustes en las disposiciones
originales, siendo uno de ellos llamado reduccin de direcciones MAC (MAC
address reduction).
Como se recordar cada switch posee un identificador nico dentro la topologa
llamado bridge ID, un campo de 64 bits que estaba compuesto por la prioridad
asignada al dispositivo (16 bits) y su direccin MAC (48 bits). Con la introduccin
de las VLANs se deba asignar un bridge ID nico a cada una de ellas, razn por
la cual los switches eran fabricados junto con un grupo de direcciones MAC nicas
a cada uno para poder disponer de una por cada VLAN que pudieran llegar a
configurarse. Al aumentar el nmero de VLANs potenciales se hizo evidente que
ese modelo no era sostenible ya que requera que cada dispositivo tuviera a su
disposicin miles de direcciones MAC irrepetibles.
Se hizo entonces necesario encontrar una manera que redujera la cantidad de
direcciones MAC necesarias (De ah el nombre), al mismo tiempo de ofrecer un
bridge ID nico a cada VLAN y mantener su tamao original.
La solucin fue utilizar la misma direccin MAC para todas las VLANs
introduciendo el identificador de cada VLAN a manera que el bridge ID sea nico
para cada una de estas.
A manera de agregar esta nueva informacin y mantener el tamao del campo
original dentro del BPDU, se tomaron 12 bits pertenecientes originalmente a la
prioridad, razn por la cual esta solo puede configurarse en incrementos de 4096
(Por el corrimiento de los 12 bits) en un rango de 0 a 61440.
172
Debido a esta modificacin la prioridad de un switch se presenta ante los dems
dispositivos como la sumatoria de la parte configurable de la misma y el
identificador de la VLAN. A manera de ejemplo, si se tiene el valor asignado por
defecto (32768) y la VLAN 10, la adicin de estos valores resultar en una
prioridad de 32778.
Un proceso similar fue llevado a cabo para aumentar el nmero disponible para
identificar interfaces al modificar el campo perteneciente al identificador del puerto
(Port ID) de donde se tomaron 4 bits (de los 8 bits originales) por lo que solo admite
incrementos de 16.
Otro ajuste del que hay que hablar est a discrecin del usuario y est relacionado
con el costo de la ruta (Path Cost) asignado a cada puerto. Como fue mencionado
previamente dicho costo es asignado en base a dos frmulas diferentes, la
primera de ellas con un tamao de 16 bits utilizada con el estndar 802.1D y
conocida como el modo corto (short mode) y la segunda con un tamao de 32 bits
definida en el estndar 802.1w conocida como el modo largo (long mode). Una
comparacin entre las dos escalas es reproducida nuevamente por conveniencia.
802.1D-1998 802.1W
Velocidad del puerto Costo Costo
FastEthernet 100 Mbps 19 200,000
10-GigabitEthernet 10 Gbps 2 2,000
Comparacin entre las escalas de 16 y 32 bits de largo.
173
long mode. Este comportamiento puede cambiarse, de ser necesario para PVST+
y RPVST+ con el siguiente comando
switch(config)# spanning-tree pathcost method long
Con MST todas las VLANs comparten una sola instancia de Spanning Tree.
174
PVST+ ejecuta una instancia de STP por cada VLAN.
175
Para habilitar Portfast puede hacerse de manera global en todos los puertos
configurados en modo de acceso, con la siguiente instruccin.
Switch(config)# spanning-tree portfast default
Para mostrar el identificador tanto del switch raz como del dispositivo, prioridades,
roles de los puertos estado de las interfaces y el modo que se est utilizando como
base (STP tradicional o RSTP).
176
Switch# show spanning-tree
VLAN0001 !! Instancia de STP para la VLAN 1
Spanning tree enabled protocol ieee !! Indica que se est ejecutando PVST+
Root ID Priority 32769
Address 000B.BEE3.1DE7
This bridge is the root !! Indica que este dispositivo es el switch raz para la VLAN 1
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
177
Switch(config)# spanning-tree mode rapid-pvst
VLAN0001
Spanning tree enabled protocol rstp
Root ID Priority 32769
Address 000B.BEE3.1DE7
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
178
Modelo jerrquico de tres capas de Cisco
El correcto diseo de la red es crtico para el correcto funcionamiento de la misma, siendo
un proceso complejo donde hay que tomar en cuenta y documentar requerimientos,
suposiciones, etc., y planear para el futuro crecimiento de la misma.
Para ayudar con esta tarea existen varios marcos de referencia, siendo uno de los ms
bsicos, el modelo jerrquico de tres capas de Cisco.
Como su nombre lo indica dicho modelo tiene 3 capas, cada una con las siguientes
caractersticas:
Capa de acceso (Access layer): La capa donde se conectan los dispositivos
finales a la red. Deben ser baratos y tener disponible una gran cantidad de puertos.
179
instancia de Spanning Tree, tratando inclusive de limitarlo a la capa de acceso del
diseo.
Spanning Tree nunca debe ser desactivado, para evitar la introduccin accidental
(o no) de bucles dentro de la red.
Macroinstrucciones
Las macroinstrucciones, mejor conocidas como macros, consisten en una serie de
instrucciones que son almacenadas para ser ejecutadas en una sola llamada.
Relativas a Spanning Tree y al Cisco IOS se pueden encontrar predefinidas las
siguientes.
Switchport Host: Configura el puerto en modo de acceso y habilita Portfast.
Spanning Tree VLAN [Rango de VLANs que sern afectadas] root [primary |
secondary]: Estn destinados para configurar automticamente el switch raz y el
switch raz de respaldo, aunque no hay garanta que el resultado de la operacin
sea exitoso. Este macro solo puede ejecutarse una vez por lo que no impide la
reeleccin del switch raz en caso se baje la prioridad de otro dispositivo.
180
Llegado el momento de elegir el switch raz y el de respaldo dentro de una
topologa se recomienda que se configura la prioridad manualmente en vez de
usar los macros disponibles.
Al momento de realizar este trabajo, dichos protocolos son todava de reciente creacin
y no son soportados por todos los fabricantes.
181
16. Access Control Lists (ACLs)
Las listas de control de acceso, mejor conocidas como access control lists (ACLs), son
una herramienta que permite identificar o marcar un flujo de datos acorde a ciertos
criterios a manera de realizar una operacin especial sobre l, siendo por esto utilizadas
para control de acceso, calidad de servicio, enrutamiento basado en polticas, traduccin
de direcciones, etc.,
Consisten en una lista de sentencias que pueden ser permitir (permit) o denegar (deny)
marcando o ignorando el trfico que se les indique, aunque su efecto siempre depender
de cmo y dnde estas sean aplicadas.
Las listas son examinadas sentencia por sentencia en orden secuencial detenindose la
operacin al hallar la primera coincidencia, razn por la cual las ACLs deben de disearse
con cuidado, colocando las sentencias ms especficas al principio para que estas
pueden llegar a ser evaluadas.
182
Existen varios tipos de listas de control de acceso:
Estndares.
Extendidas.
Reflexivas.
Basadas en el tiempo.
Etc.,
Cuando las ACLs hicieron su aparicin se clasificaron dentro de diferentes rangos acorde
a su propsito. Por ejemplo, las listas estndares utilizaban los intervalos <1-99> y
<1300-1999> y las extendidas <100-199> y <2000-2699> no siendo sino hasta ms
adelante cuando se hizo posible darles un nombre, lo que hizo su uso ms conveniente.
Al crear una lista de control se recomienda utilizar y apegarse a una convencin, agregar
las observaciones pertinentes y recordar al implementarlas que los nombres son
sensibles a minsculas y maysculas (Case sensitive).
En este trabajo slo se tratarn las listas estndares y extendidas y su aplicacin para
filtrar trfico en una interfaz, favoreciendo la manera ms moderna de crearlas.
Son las listas de control ms simples, utilizan como nico parmetro de comparacin el
origen del trfico empleando Wildcard Masks (Introducidas en la seccin de OSPF) para
seleccionar rangos especficos de direcciones e impactan muy poco al procesador.
183
Ntese el uso del comando remark y la palabra clave any. Remark nos permite agregar
una observacin a la lista de control, mientras que any es un atajo para seleccionar todas
las direcciones posibles y es el equivalente de utilizar la instruccin deny 0.0.0.0
255.255.255.255.
Adems, se incluy la sentencia deny any aunque no era necesario, ya que est implcita
al final de toda lista, debido a que facilita la resolucin de problemas y permite ver la
cantidad de paquetes que han llegado a esta instancia al ser ahora visible, por lo que es
una buena prctica.
Son mucho ms granulares que las listas estndares, permiten seleccionar tanto el
origen como el destino del trfico, protocolos especficos y nmeros de puerto.
A continuacin se muestran los protocolos que pueden ser evaluados con una lista
extendida. Durante el resto de esta discusin se tratar exclusivamente con TCP, UDP
e IP. Donde la palabra clave IP abarca todos los protocolos disponibles en este tipo de
lista.
184
A manera de ejemplo supngase que se pretende identificar el trfico que se origina en
el host con la direccin IP 192.168.1.1/24 con destino al servidor web 192.168.2.1/24
(escuchando en el puerto 80) e ignorar el resto de la transmisin, podra utilizarse una
lista extendida de la siguiente manera.
En esta ocasin se ha utilizado la palabra clave host, que identifica una direccin
especfica y es el equivalente de utilizar una wildcard 0.0.0.0. La ltima parte de la
primera sentencia eq 80 significa que se seleccionar el trfico destinado al host
192.168.1.2 cuyo puerto de destino sea equivalente al puerto 80 y deny ip any any
ignorar cualquier otro protocolo dirigido desde cualquier origen hacia cualquier destino.
185
Router(config-if)# interface fastethernet 0/0
Router(config-if)# ip access-group ?
<1-199> IP access list (standard or extended)
<1300-2699> IP expanded access list (standard or extended)
WORD Access-list name
Mientras que para aplicar una lista sobre una lnea VTY se utiliza el comando access-
class, siendo recomendado que est siempre se evalu cuando los paquetes estn
entrando (in) para evitar comportamiento errtico. Las listas aplicadas sobre las lneas
mencionadas son muy tiles para limitar el acceso remoto a los dispositivos ya sea a
travs de telnet o SSH.
186
Topologa para mostrar la configuracin y aplicacin de ACLs.
Este ejercicio presenta tres redes: Tcnicos, secretarias y servidores. Y tiene los
objetivos que se enumeran a continuacin, ntese que los mismos han sido elegidos en
base a su valor pedaggico y no reflejan necesariamente escenarios reales.
1. Limitar el acceso a los routers (Telnet o SSH) exclusivamente a la red de tcnicos.
2. Impedir que la red perteneciente a las secretarias pueda comunicarse con la red
de servidores.
Para cumplir con el primer objetivo se pueden seguir dos aproximaciones diferentes. Es
posible denegar especficamente a la red de las Secretarias, sin embargo, es factible
que en un futuro aparezca otra red que tampoco deba tener acceso a la configuracin de
los dispositivos (Ej.: Ventas), por esta razn, una mejor solucin es permitir solamente a
la red de Tcnicos y denegar a todas las dems.
Para este propsito se crear una lista llamada PermitirTecnicos y ser aplicada en las
lneas VTY de ambos routers.
187
R1(config)# ip access-list standard PermitirTecnicos
R1(config-std-nacl)# remark [> Permite solo a los tecnicos a traves de SSH o telnet <]
R1(config-std-nacl)# permit 192.168.30.0 0.0.0.255
R1(config-std-nacl)# deny any
Para ver la composicin de las listas creadas as como para verificar su funcionamiento,
se puede emplear el comando show ip access-list, que se muestra a continuacin
despus de que usuarios pertenecientes a ambas VLANs han tratado de establecer una
conexin a travs de telnet.
R1# show ip access-lists
Standard IP access list PermitirTecnicos
10 permit 192.168.30.0 0.0.0.255 (2 match(es))
20 deny any (10 match(es))
Cada sentencia est numerada para indicar el orden en que estas se ejecutan utilizando
un incremento de diez para que nuevas sentencias puedan ser agregadas fcilmente,
ntese tambin que junto a cada una de ellas aparece el nmero de paquetes que han
encontrado en la misma una coincidencia.
Para limitar el acceso en R2, basta con crear la lista nuevamente en este dispositivo y
aplicarla a las lneas VTY de la misma manera. Las observaciones hechas a cada una
(Remark) aparecern al examinarse la configuracin del dispositivo.
En orden de cumplir el segundo objetivo de este ejercicio, puede utilizarse la siguiente
lista de control.
Router(config)# ip access-list standard DenegarSecretarias
Router(config-std-nacl)# remark [> Deniega a las secretarias <]
Router(config-std-nacl)# deny 192.168.20.0 0.0.0.255
Router(config-std-nacl)# permit any
188
Una posibilidad sera aplicar la lista en R2, en la interfaz FastEthernet 0/1 (Fa 0/1),
cuando los paquetes estn entrando (in), lo que ciertamente cumplira el propsito
original. No obstante, si se llegara a implementar una nueva red en la interfaz
FastEthernet 0/2, ahora sin utilizarse, esta tambin estara negada a las secretarias a
pesar de no estar incluida en el alcance original.
Lo explicado anteriormente constituye la principal desventaja de las listas estndares, ya
que al utilizar solamente la direccin de origen del trfico, se corre el riesgo de impedir
el acceso a partes de la red que no deban de ser restringidas si se aplican en la interfaz
incorrecta. Por dicho motivo es una buena prctica configurar las listas de este tipo lo
ms cerca posible a su destino (para no restringir de ms).
De manera que en este ejemplo se aplicara la lista recin creada en R2 en la interfaz
FastEthernet 0/0 cuando el trfico est saliendo de dicha interface.
R2(config)# ip access-list standard DenegarSecretarias
R2(config-std-nacl)# remark [> Deniega a las secretarias <]
R2(config-std-nacl)# deny 192.168.20.0 0.0.0.255
R2(config-std-nacl)# permit any
Para concluir este ejercicio hay que impedir que la computadora del tcnico 1
(192.168.30.2/24) tenga acceso al servidor web (192.168.3.2:80 (TCP)) y que la
computadora del tcnico 2 (192.168.30.3/24) tenga acceso al servidor TFTP
(192.168.3.3:69 (UDP)). Todos los otros servicios deben de ser permitidos.
Para cumplir dichos requerimientos puede elaborarse una lista de control de acceso
extendida, como se muestra a continuacin.
Router(config)# ip access-list extended servicios
Router(config-ext-nacl)# deny tcp host 192.168.30.2 host 192.168.3.2 eq 80
Router(config-ext-nacl)# deny udp host 192.168.30.3 host 192.168.3.3 eq 69
Router(config-ext-nacl)# permit ip any any
Las listas extendidas tienen la ventaja que al ser ms granulares pueden aplicarse en
muchos puntos de la topologa y aun as cumplir su propsito. Sin embargo, para evitar
trfico y procesamiento innecesario es una buena prctica colocarlas lo ms cerca
posible al origen de la transmisin.
La ltima consideracin antes de aplicar la lista extendida involucra nuevamente la
diferencia existente entre la topologa fsica y la lgica. La red asignada a los tcnicos
utiliza la VLAN 20 y como puerta de enlace predeterminada la subinterfaz virtual
189
FastEthernet 0/0.20, de aplicarse la lista en la interfaz FastEthernet 0/0 esta no tendr
ningn efecto, ya que a nivel lgico, esta interfaz no recibe trfico.
Otras herramientas
Uno de los riesgos de trabajar con listas de control de acceso consiste en que un mal
diseo o aplicacin de las mismas puede cortar la comunicacin en una red o terminar
una sesin remota de manera inesperada.
As mismo, es una tarea comn modificar las mismas ya sea para agregar o quitar
sentencias u optimizarlas en algn sentido, por lo que a continuacin se presentan
algunas herramientas para minimizar el riesgo y ayudar al mantenimiento de las ACLs.
Nmeros de secuencia
Como ya se haba mencionado las sentencias de una lista de control poseen un
nmero de secuencia que indica el orden en que estas sern evaluadas y que
facilitan la introduccin y remocin de las mismas.
Tomando la lista extendida del ltimo ejemplo, tenemos:
R1# show ip access-lists
190
R1(config)# ip access-list extended servicios
R1(config-ext-nacl)# no 20
R1(config-ext-nacl)# 15 deny tcp host 192.168.30.3 host 192.168.3.2 eq 80
R1(config-ext-nacl)# do show ip access-lists
Y en dado caso el incremento entre las sentencias no sea suficiente para incluir
nuevas de ellas, puede utilizarse el comando resequence, especificando el
nmero de secuencia inicial y el incremento a utilizarse.
Reinicio programado
Una manera burda de prevenir los problemas ocasionados por una lista de control
mal aplicada es el reinicio programado, existiendo dos maneras de programar el
mismo utilizando las siguientes palabras clave:
At: Reinicia el dispositivo en una fecha especfica.
In: Reinicia el dispositivo en una cantidad determinada de minutos.
191
Router# reload in 5
Reload scheduled in 5 minutes by console
Reload reason: Reload Command
Proceed with reload? [confirm]
Router#
***
*** --- SHUTDOWN in 0:05:00 ---
***
Router#
*Mar 1 00:01:02.571: %SYS-5-SCHEDULED_RELOAD: Reload requested
for 00:06:00 UTC Fri Mar 1 2002 at 00:01:00 UTC Fri Mar 1 2002 by console.
Reload Reason: Reload Command.
Advirtase el uso del comando show reload, para visualizar cundo ser el
siguiente reinicio programado.
Para cancelar el reinicio del dispositivo puede utilizarse la instruccin reload
cancel, como se muestra a continuacin.
***
*** --- SHUTDOWN ABORTED ---
***
Router#
*Mar 1 00:03:38.599: %SYS-5-SCHEDULED_RELOAD_CANCELLED:
Scheduled reload cancelled at 00:03:38 UTC Fri Mar 1 2002
192
Configuration Rollback
Una manera ms moderna de retornar a una configuracin funcional despus de
haber cometido un error es realizar un configuration rollback, donde la palabra
inglesa rollback hace referencia a desplegar o traer algo de regreso, en este caso
una configuracin anterior.
Esta instruccin en particular tiene ciertos requerimientos, entre ellos que la
memoria disponible del dispositivo sea ms grande que el tamao de los dos
archivos de configuracin (actual/anterior) combinados y que la capacidad de
archivar (archive) configuraciones se encuentre activa.
Utilizando este comando es posible revertir la configuracin automticamente a
un estado anterior si las instrucciones ingresadas no son confirmadas en cierto
lmite de tiempo.
Para activar la capacidad de archivar configuraciones, se utilizar la siguiente
secuencia de comandos, donde se indica la ruta donde ser almacenada la copia
de seguridad y la accin que desencadenar la creacin del mismo. En este caso
se crear un respaldo cada vez que se guarde una nueva configuracin.
Router(config)# archive
Router(config-archive)# path flash:/backup/backup.cfg
Router(config-archive)#write-memory
Router#dir flash:backup/
Directory of flash:/backup/
193
Router# configure replace flash:/backup/backup.cfg-1 time 10
Timed Rollback: Backing up to flash:/backup/backup.cfg-2
Para guardar los nuevos cambios puede utilizarse el comando configure confirm
antes de que se cumpla el tiempo asignado para ejecutar el rollback.
Router# configure confirm
194
17. Network Address Translation (NAT)
A principios de los aos 90 el crecimiento explosivo del internet empez a causar
preocupacin entre los expertos debido al rpido crecimiento de las tablas de
enrutamiento y el agotamiento de direcciones disponibles. A la espera de soluciones que
pudieran funcionar a largo plazo se crearon una serie de pequeos arreglos destinados
originalmente a ser soluciones temporales de estos problemas sin contar con su enorme
y rpida adopcin lo que ha ocasionado que estos sigan vigentes, por lo menos hasta el
momento en que se presenta este trabajo.
Uno de estos ajustes fue la reserva de ciertas direcciones para que pudieran ser
reutilizables dentro de cada organizacin, ralentizando de esta manera el agotamiento
de direcciones disponibles y que hoy en da reciben el nombre de direcciones privadas.
Al dejar de ser nicas, las direcciones reservadas para su uso privado dejaron de ser
enrutables a travs de internet por lo que se hizo necesario la creacin de un mecanismo
que permitiera cambiar o traducir estas direcciones a otras que pudieran comunicarse
utilizando la red pblica.
No obstante los inconvenientes, NAT presenta tambin grandes ventajas al permitir que
muchos dispositivos se conecten a la red utilizando unas pocas direcciones pblicas,
reduciendo costos y facilitando la migracin de un proveedor de servicios hacia otro.
195
Tipos de NAT
En dichas traducciones se distingue entre las direcciones locales y globales, siendo las
primeras aquellas utilizadas dentro de las organizaciones y las ltimas empleadas fuera
de las mismas.
NAT Esttico
Es una traduccin configurada manualmente y la nica que permite el inicio de
una conexin desde una red externa.
NAT esttico.
196
NAT Dinmico
Es una traduccin realizada de manera automtica. Con carcter temporal, esta
puede realizarse de una direccin a otra; perteneciente a una interfaz o a una
piscina de direcciones pblicas, siendo este tipo de traduccin el que ms
consume de estas ltimas ya que se necesita de una direccin enrutable en
internet por cada dispositivo que requiera comunicarse a travs de la misma.
NAT dinmico.
NAT Sobrecargado
Tambin conocido como port address translation (PAT), es una traduccin que se
realiza de manera automtica utilizando la direccin presente en una interfaz o en
una piscina de direcciones, pero que se distingue de NAT dinmico debido a que
es capaz de utilizar nmeros de puerto durante la traduccin por lo que varios
dispositivos privados pueden compartir una sola direccin pblica caracterstica
por la cual es el tipo de traduccin ms comn.
197
NAT sobrecargado o PAT.
Configuracin tradicional
198
Topologa para mostrar la implementacin de NAT.
Para cumplir el primer objetivo debe configurarse NAT sobrecargado dentro del router R,
para que los dispositivos de la red interna con direcciones privadas puedan compartir
una sola direccin pblica, siendo en este caso la direccin perteneciente a la interfaz
Serial 0/0 (201.1.1.1)
199
Para identificar el trfico de la red interna a ser traducido se crea la lista de control
estndar llamada traducir como se muestra a continuacin.
R(config)# ip nat inside source list traducir interface serial 0/0 overload
Una vez lograda la conectividad con el internet se procede a hacer los servidores internos
accesibles desde la red pblica, donde se parte del hecho que los roles (inside/outside)
necesarios en NAT han sido configurados en el paso anterior por lo que se procede a
realizar una traduccin esttica.
Para cumplir con el primer inciso del segundo objetivo, se emplea una direccin IP
pblica distinta para cada uno de ellos.
200
R(config)# ip nat inside source static ?
A.B.C.D Inside local IP address
esp IPSec-ESP (Tunnel mode) support
network Subnet translation
tcp Transmission Control Protocol
udp User Datagram Protocol
En esta ocasin se le indica a NAT que implemente una entrada esttica (la cual siempre
estar activa) para traducir entre una direccin local y una global, lo que significa que los
servidores con las direcciones privadas 192.168.1.3 y 192.168.1.4 sern accesibles
desde el mundo exterior a travs de las direcciones publicas 201.1.1.1 y 201.1.1.10
respectivamente.
En este caso se est realizando una traduccin de los sockets compuestos por las
direcciones privadas y el puerto 80 (Puerto por defecto de HTTP) y la direccin pblica.
Ntese que junto a esta ltima debe utilizarse dos nmeros de puerto diferentes (el 80 y
el 8080) para poder realizar las dos traducciones requeridas.
202
Servidores internos vistos desde la red pblica.
Para mostrar las traducciones (estticas y dinmicas) puede utilizarse la instruccin show
ip nat translations, como se muestra a continuacin.
203
Una ltima conversacin con el lector
De esta manera hemos llegado al final de este texto, asi que dejame ser el primero en felicitarte
por todo tu esfuerzo y todas esas horas invertidas. Claro que este no es el final del viaje sino
ms bien el principio del mismo, as que antes de que nuestros caminos se separen podrias
darme unos minutos ms de tu tiempo ?
Adems, me gustara dedicar unas lneas a la importancia del conocimiento libre. Haciendo un
lado todas las ideologas, yo siempre he visto al conocimiento como una herramienta a travs de
la cual podemos ganarnos la vida de una manera decente y siempre he pensado que es una
lstima que a veces dicho conocimiento no llegue a las personas que lo necesitan porque estas
no pueden costearlo. As que en la medida de lo posible (lamentablemente no se puede vivir sin
dinero) trata de colaborar con este tipo de iniciativas y por favor sintete libre de compartir este
libro con cualquiera que creas que lo necesita.
Si te gusto el libro y tienes el deseo y la posibilidad de retribuir de alguna manera, por favor
considera hacer una donacin a alguna organizacin de caridad como un asilo o una asociacin
que ayude a los animales (Por si no te has dado cuenta me fascinan los gatos).
Finalmente, espero que este conocimiento sea tan provechoso para ti como lo ha sido para mi,
cuidate mucho !
Danilo.
204