DR 02

Caractersticas del Trfico De la Red
2000, Cisco Systems, Inc.
www.cisco.com
DCN3-1
Caractersticas del Trfico De la Red

Carga del trfico. Comportamiento del trfico:
Comportamiento de Broadcast/multicast
Tamao(s) de trama soportado. Control del windowing y de flujo Mecanismos de recuperacin de errores Utilizar las herramientas (Netsys, CiscoWorks2000 y analizadores de protocolo)
www.cisco.com
DCN v2.13-2
Comportamiento del Broadcast y del Multicast

Utilizado por protocolos para: Localizar servicios Localizar dispositivos de red. Chequear que no haya direcciones y nombres repetidos. Usado por los protocolos de routing (encaminamiento) y bridging (conmutacin) para: Compartir informacin sobre la topologa de la red. Creacin de redes (switcheadas) escalables de grandes dimensiones.
www.cisco.com
DCN v2.13-3
Comportamiento del Broadcast y del Multicast (cont.)

La tarjeta de interfaz de red pasa broadcast y multicasts a la CPU.
La CPU es afectada entre un 2 por ciento y un 25 por ciento.
Recomendaciones para las redes planas:

Nmero mximo
Protocolo
IP IPX AppleTalk
de estaciones
500 300 200 200 200

www.cisco.com
DCN v2.13-4
NetBIOS
Mixed
Tamaos de Trama
Usar el tamao mximo de MTU soportado. Evitar el aumento de MTU por encima del mximo soportado por los medios que atraviesa la trama: Evitar la fragmentacin y reensamblado. Funcionamientos que causen degradacin. Utilizar el descubrimiento de la MTU.
www.cisco.com
DCN v2.13-5
Tamaos de Trama (cont.)

Esta tabla presenta la importancia de usar el tamao mximo de trama.
Data Size 1492 974 474 38 (sin relleno) 1 (+ 37 de relleno) Frame Size (bytes) Cabecera (%) 2.5 3.8 7.4 50.0 98.7 1518 (max) 1000 500 64 (min) 64 (min) Mxima eficacia (%)
(Tamao de Paquete) (tamao de Trama)
97.5
96.2 92.6 50.0 1.3
www.cisco.com
DCN v2.13-6
Windowing y Control de Flujo

El reloj externo hace un uso ineficaz del ancho de banda: Cada peticin genera una contestacin Metodo ping-pong NCPs Windowing es para un mejor uso del ancho de banda. Una estacin puede enviar tantos datos como sitio tenga en la ventana del recepcin. El control de flujo controla la velocidad del transmisor.
www.cisco.com
DCN v2.13-7
Windowing y Control de Flujo (cont.)

TCP se apoya en UDP no ofrece ningn windowing y control control de flujo ni de del flujo: windowing:
FTP: puertos 20, 21 Telnet: puerto 23 SMTP: puerto 25 HTTP: puerto 80 SNMP: puerto 161 DNS: puerto 53 TFTP: puerto 69 RPC: puerto 111
Servidor DHCP: puerto 67

Cliente DHCP: puerto 68
www.cisco.com
DCN v2.13-8
Recuperacin de Errores
Un mal diseo en la utilizacin de recuperacin de errores puede utilizar mucho ancho de banda. Los protocolos no orientados a la conexin no utilizan generalmente la recuperacin de errores. Los mecanismos de los protocolos orientados a la conexin varan; por ejemplo, el TCP puede utilizar: Algoritmos adaptados a la retransmisin. Confirmacin de retransmisin y temporizadores.
www.cisco.com
DCN v2.13-9
Tamao Aproximado de los Objetos que Transitan la Red

Los datos vienen en todo tipo de formatos y tamaos.
Realizar un anlisis cuidadoso de los objetos actuales que transitan a travs de la red del cliente.
www.cisco.com
DCN v2.13-10
Cabeceras de Trfico para Varios Protocolos

Cada protocolo de red y tipo de medio agrega unas cabeceras a los datos que transitan a travs de la red. Estimar el impacto de los gastos indirectos del protocolo en trfico de la red.
www.cisco.com
DCN v2.13-11
Caractersticas de la Inicializacin de los puestos de trabajo

La inicializacin de los puestos de trabajo puede causar una carga en la red debido al nmero de paquetes de broadcast generados. Calcular el impacto en el funcionamiento de la red de varios tipos de registro utilizando tablas de los diferentes tipos:
Paquetes enviados por el cliente NetWare en la inicializacin. Paquetes enviados por el cliente AppleTalk en la inicializacin. Paquetes enviados por el cliente NetBIOS en la inicializacin. Paquetes enviados por el cliente Tradicional TCP/IP en la inicializacin. Paquetes enviados por el cliente DHCP en la inicializacin.
www.cisco.com
DCN v2.13-12
Resumen
Para caracterizar las cargas y el comportamiento del trfico para las nuevas aplicaciones, determinar el tamao de los objetos del trfico de la red, estimar las cabeceras de protocolo y calcular el funcionamiento de la red cuando las estaciones de trabajo se registran en la red.
Realmente no hay respuesta exacta al trfico y al pronstico de funcionamiento de la red. En la mayora de los casos, depende. De que tan organizada sea la administracin
www.cisco.com
DCN v2.13-13
Identificar Los Requisitos necesarios para implementar seguridad

Valorar la seguridad que es necesaria, y de qu tipo. Determinar los requisitos necesarios para que los intrusos no tengan acceso a los datos. Determinar los requisitos de autorizacin y autentificacin para los accesos externos.
Identificar los requisitos para autenticar rutas.

Identificar los requisitos de seguridad para el host.
www.cisco.com
DCN v2.13-14
Seguridad
Diseo del Modelo Seguro
2000, Cisco Systems, Inc. www.cisco.com
DCN3-15 4-15
Objetivos
Describir las tres partes de un sistema firewall.
Recomendar las mquinas necesarias para la provisin de servicios seguros. Disear las tres partes de un sistema firewall mediante Secure PIX Firewall.
www.cisco.com
DCN v2.13-16
Las Tres Partes de un Sistema Firewall

Sistemas Corporativos Ocultos
Bastion Hosts Anunciar la ruta de la LAN DMZ solamente Internet Filtro de Entrada LAN DMZ Filtro de Salida
www.cisco.com
DCN v2.13-17
Bastion Hosts
Proporciona los servicios siguientes:
Servidor FTP Anonimo. Servidor Web
Domain Name System (DNS)

Telnet Software especializado de seguridad como por ejemplo Terminal Access Control Access Control System + (TACACS+)
www.cisco.com
DCN v2.13-18
Reglas De Las Tres Partes de un Sistema Firewall

El filtro de entrada del router debe permitir la entrada de paquetes TCP de sesiones establecidas. El filtro de salida del router debe permitir la entrada de paquetes TCP de sesiones establecidas. El filtro de salida del router debe permitir tambin los paquetes a los puertos especficos de TCP o de UDP que van a los bastion hosts especficos.
www.cisco.com
DCN v2.13-19
Reglas De Las Tres Partes de un Sistema Firewall (cont.)

Estoy haciendo un telnet al firewall . Es eso aceptable? He crackeado el firewall! Qu puedo conseguir de aqu?
Telnet
Joe Hacker
Trfico hacia el firewall routers y hosts
www.cisco.com
DCN v2.13-20
Reglas De Las Tres Partes de un Sistema Firewall (cont.)

No permitir ningn servicios innecesario en el filtro de salida del router:
No permitir el acceso Telnet (no terminales virtuales).
Usar solo routing esttico.

No crear servidores de TFTP. Usar password encriptados.
No permitir proxy ARP ni el servicio finger.

No permitir las redirecciones IP y el route caching. No crear servidores MacIP.
www.cisco.com
DCN v2.13-21
Seguridad Cisco Serie Firewall PIX

El ms robusto y menos complejo de los filtros de paquetes. Instalacin sin corte de servicio. No se requiere ningn aumento de hosts o routers No es necesario el mantenimiento diario. Implementa encriptacin DES si se utiliza lnea privada. Proporciona kernel seguro en tiempo real, no UNIX Soporta Network Address Translation (NAT)
www.cisco.com
DCN v2.13-22
Seguridad Cisco Serie Firewall PIX (cont.)

Ciscos PIX seguridad con capacidad de adaptacin.
Todo el trfico de entrada se verifica contra la siguiente informacin del estado de conexin: Direcciones del IP de origen y destino. Nmeros de puerto origen y destino. Protocolos Nmeros de secuencia TCP (se seleccionan al azar para evitar que los hackers conozcan nmeros)
www.cisco.com
DCN v2.13-23
Resumen
Las topologas seguras a menudo se disean usando un firewall. Un firewall protege la red contra intrusos. Las tres partes de un sistema firewall son tres capas especializadas: una LAN DMZ (isolation LAN), el filtro de paquetes de entrada y el filtro de paquetes de salida. Los servicios que estn disponibles para el mundo exterior estn situados en el bastion hosts de la DMZ. Las reglas del sistema del firewall definen qu tipo de paquetes se permite dentro y fuera de la red corporativa. La serie de seguridad PIX Firewall de Cisco es un dispositivo hardware que proporciona proteccin completa que encubre totalmente la arquitectura de una red interna del mundo exterior.
www.cisco.com
DCN v2.13-24
Identificar los Requerimientos de Funcionamiento para la Calidad de Servicio

Tiempo de respuesta Precisin. Disponibilidad Utilizacin mxima de la red Ancho de Banda Eficacia Latencia (o Retardo)
www.cisco.com
DCN v2.13-25
Escalamiento de la Red
Divisin en Segmentos Usando Switches
Comprobacin de si los dominios de broadcast necesitan ser divididos en segmentos usando switches. Redes Ethernet:
Utilizacin de la red por encima del 40 por ciento durante largos perodos de tiempo. Token FDDI Ring Redes Token Ring y FDDI: Utilizacin de la red por encima del 70 por ciento durante largos perodos de tiempo.
www.cisco.com
DCN v2.13-26
Divisin de la Red en Segmentos Usando Switches(cont.)

Efecto de la radiacin de la Broadcast:
Radiacin de la fuente a todas las LANs conectadas a una red plana. Hace que todos los hosts de la LAN realicen un procesamiento extra. Si la radiacin de broadcast excede del 20 por ciento, el funcionamiento se degrada.
www.cisco.com
DCN v2.13-27
Necesidades de Escalabilidad en Redes Planas

Lmite superior de red switcheada/bridgeada.
Protocolo IP IPX AppleTalk NetBIOS Mixed
Nmero mximo de Workstations 500 300 200
200
200
www.cisco.com
DCN v2.13-28
Necesidades de Escalabilidad en Redes Planas (cont.)

Diseo de Campus LAN:
Entender las caractersticas del trfico de la red.
El trfico obedece la regla de 80/20?
Provisin cuidadosa de ancho de banda y routers para evitar la congestin y degradacin de las prestaciones.
www.cisco.com
DCN v2.13-29
Seleccin de Switches Cisco

Desktop de pequea o mediana empresa Rama privada de la oficina Backbone de pequea o mediana empresa Rama privada de la oficina
Catalyst 3500 Series XL Catalyst 2900 Series XL FastHub 400 Series
Armario de Cableado
Precio/Rendimiento
Catalyst 1900 and 2820

Micro Switch 10/100 Series
Micro Hub 10/100 Series
Funcin/Flexibilidad
www.cisco.com
DCN v2.13-30
Servicios Switcheados
Edificio 1
Edificio 3
Catalyst 3500 Catalyst 3500
Edificio 2
Catalyst 3500
www.cisco.com
DCN v2.13-31
Sumario
Los dominios colisin y de broadcast/difusin ayudan a limitar y a contener el trfico de la red. Un dominio de broadcast/difusin incluye todo el trfico asociado a un puerto de un router. Se deben dividir las redes Ethernet en segmentos si su utilizacin est por encima del 40 por ciento, durante largos perodos de tiempo. Se deben dividir las redes Token Ring y FDDI en segmentos si su utilizacin est por encima del 70 por ciento, durante largos perodos de tiempo. Hay un tamao lmite superior hasta el que las redes planas de switching/bridging pueden llegar antes de que la radiacin de los broadcast degraden a los hosts.
www.cisco.com
DCN v2.13-32
Sumario (cont.)
La regla del 80/20 indica que el 80 por ciento del trfico es local a una LAN o a una VLAN y solamente el 20 por ciento del trfico va a un diferente LAN o VLAN.
La familia Catalyst de Cisco es una lnea de switches de alto rendimiento diseados para que los usuarios puedan migrar fcilmente de las tradicionales LANs compartidas a redes completamente switcheadas.
Cisco soporta routing mejorado y redundante en entornos switcheados permitiendo spanning tree por VLAN.
www.cisco.com
DCN v2.13-33
LANs Escalables
2000, Cisco Systems, Inc. www.cisco.com
DCN3-34 5-34
Reglas de Diseo Ethernet
www.cisco.com
DCN v2.13-35
Reglas de Diseo Ethernet

El retardo de propagacin ida-vuelta en un dominio de colisin no debe exceder de 512 tiempos de bit.
Las redes Ethernet a 100-Mbps tienen limitaciones de distancia (205 metros cuando se usa UTP contra 2500 metros para Ethernet a 10-Mbps).
Cobre DTE-DTE (or Switch-Switch) Un Repetidor De Clase I 100 metros
Mezcla Cobre/ Fibra Multimodo Fibra Multimodo

412 metros (2000 full duplex)
200 metros
200 metros
260 metros
308 metros 216 metros
272 metros
320 metros 228 metros
DCN v2.13-36
Un Repetidor De Clase II
Dos Repetidores De Clase II 205 metros

www.cisco.com
Repetidores Ethernet a 100-Mbps

Un repetidor UTP de una Clase I o II 200 metros mximo
100 m UTP 100 m UTP
Dos repetidores UTP de Clase II 200 metros mximo

100 m UTP 5m UTP 100 m UTP
Un repetidor UTP/Fibra de Clase II 308 metros mximo

100 m UTP 208 m Fibra
Un repetidor de Fibra de Clase II 320 metros mximo

160 m Fibra
160 m Fibra
www.cisco.com
DCN v2.13-37
Comprobacin del Retardo de Propagacin

Comprobar un path para cerciorarse que el valor del retardo no excede 512 tiempos de bit, sumando los siguientes retardos: Todos los retardo de las lneas de un segmento. Todos los retardo de los repetidores Retardo DTE Margen de seguridad (0 a 5 tiempos de bit)
www.cisco.com
DCN v2.13-38
Comprobacin del Retardo de Propagacin (cont.)

1. Determinar el valor del retardo de la lnea de un segmento (LSDV) 2. Aadir el LSDV de todos los segmentos del path. 3. Determinar el retardo para cada repetidor en el path. 4. Cerciorarse que los cables MII para 100BaseT no exceden de 0,5 metros de longitud cada uno. 5. Determinar el valor del retardo DTE mirando la tabla de retardos de componentes de red.
www.cisco.com
DCN v2.13-39
Comprobacin del Retardo de Propagacin (cont.)

1. 6. Decidir un margen de seguridad entre 0 y 5 tiempos de bit (5 es seguro).
2. 7. Insertar los valores en la siguiente formula:

PDV = retardos de lnea + repetidor + retardos DTE + margen de seguridad 3. 8. Si el PDV es menor de 512, el path es apto. Mirar la tabla de retardos de componentes de red.
www.cisco.com
DCN v2.13-40
Ejemplo de Implementacin de Cableado de Red

Trabajar esta red?
Clase II 100BaseTX Repetidor A
75 m UTP Cat 5 Lnea 1
20 m UTP Cat 5 Lnea Inter. Repetidores

Clase II 100BaseTX Repetidor B
75 m UTP Cat 5 Lnea 2
100BaseTX DTE1
100BaseTX DTE2
Red de la Compaa ABC (mostrando los dos DTEs ms distante)

www.cisco.com
DCN v2.13-41
Resumen
Cisco proporciona documentacin extensa para el uso de aprovisionamiento de hardware Cisco.
La provisin de la descripcin de los bloques de interfaz est localizada en la memoria central donde se almacena la informacin sobre las tarjetas de interfaz de la red para el uso del cdigo de driver. Para evitar problemas en el uso de la memoria, el software Cisco IOS limita el nmero de IDBs. Process switching es un proceso de catalogacin que es realizado por el procesador del sistema.
www.cisco.com
DCN v2.13-42
Resumen (cont.)
Fast switching tiene un rendimiento de procesamiento ms alto ya que conmuta los paquetes usando la tabla cache creada por los paquetes anteriores. Hoy, se pone menos nfasis en los paquetes por segundo de una red porque los routers pueden procesar los paquetes muy rpidamente, especialmente con las ms nuevas tecnologas de conmutacin tales como la conmutacin ptima y distribuida.
www.cisco.com
DCN v2.13-43
Resumen
En FDDI no se especifica realmente la longitud mxima del segmento o el dimetro de la red. Antes de poder disear una red, se debe de familiarizar con las caractersticas pertenecientes al tipo de red. La regla ms significativa para el diseo de redes Ethernet es el retardo de ida-vuelta en un dominio de la colisin, el cual no debe exceder de 512 tiempos de bit, que es un requisito para que la deteccin de colisiones trabaje correctamente. El retardo mximo de ida-vuelta para una red Ethernet a 10-Mbps es 51,2 microsegundos. El retardo mximo de ida-vuelta para una red Ethernet a 100-Mbps es solamente 5,12 microsegundos porque el tiempo de bit en una red de Ethernet a 100-Mbps es 0,01 microsegundos en comparacin con 0,1 microsegundos en Ethernet a Ethernet 10-Mbps.
www.cisco.com
DCN v2.13-44

DR 02

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

DR 02

Caricato da

Copyright:

Formati disponibili

Caractersticas del Trfico De la Red

2000, Cisco Systems, Inc.

Caractersticas del Trfico De la Red

2000, Cisco Systems, Inc.

Comportamiento del Broadcast y del Multicast

Comportamiento del Broadcast y del Multicast (cont.)

Recomendaciones para las redes planas:

500 300 200 200 200

2000, Cisco Systems, Inc.

Tamaos de Trama (cont.)

(Tamao de Paquete) (tamao de Trama)

2000, Cisco Systems, Inc.

Windowing y Control de Flujo

Windowing y Control de Flujo (cont.)

Servidor DHCP: puerto 67

2000, Cisco Systems, Inc.

2000, Cisco Systems, Inc.

Tamao Aproximado de los Objetos que Transitan la Red

2000, Cisco Systems, Inc.

Cabeceras de Trfico para Varios Protocolos

2000, Cisco Systems, Inc.

Caractersticas de la Inicializacin de los puestos de trabajo

2000, Cisco Systems, Inc.

Identificar Los Requisitos necesarios para implementar seguridad

Identificar los requisitos para autenticar rutas.

2000, Cisco Systems, Inc.

2000, Cisco Systems, Inc.

2000, Cisco Systems, Inc. www.cisco.com

2000, Cisco Systems, Inc.

Las Tres Partes de un Sistema Firewall

2000, Cisco Systems, Inc.

Domain Name System (DNS)

2000, Cisco Systems, Inc.

Reglas De Las Tres Partes de un Sistema Firewall

2000, Cisco Systems, Inc.

Reglas De Las Tres Partes de un Sistema Firewall (cont.)

Trfico hacia el firewall routers y hosts

2000, Cisco Systems, Inc.

Reglas De Las Tres Partes de un Sistema Firewall (cont.)

Usar solo routing esttico.

No permitir proxy ARP ni el servicio finger.

Seguridad Cisco Serie Firewall PIX

Seguridad Cisco Serie Firewall PIX (cont.)

2000, Cisco Systems, Inc.

2000, Cisco Systems, Inc.

Identificar los Requerimientos de Funcionamiento para la Calidad de Servicio

2000, Cisco Systems, Inc.

Divisin de la Red en Segmentos Usando Switches(cont.)

2000, Cisco Systems, Inc.

Necesidades de Escalabilidad en Redes Planas

Protocolo IP IPX AppleTalk NetBIOS Mixed

Nmero mximo de Workstations 500 300 200

2000, Cisco Systems, Inc.

Necesidades de Escalabilidad en Redes Planas (cont.)

2000, Cisco Systems, Inc.

Seleccin de Switches Cisco

Catalyst 1900 and 2820

Micro Hub 10/100 Series

Catalyst 3500 Catalyst 3500

2000, Cisco Systems, Inc.

2000, Cisco Systems, Inc.

2000, Cisco Systems, Inc.

2000, Cisco Systems, Inc. www.cisco.com