INTRODUCCION

introduccion al networking

REDES DE DATOS

Las redes de datos nacen de la necesidad empresarial de transmitir
información, modificarla y actualizarla de una manera económica y eficiente. Anterior a las redes de datos los usuarios utilizaban medios rígidos para almacenar la información y compartirla de acuerdo a sus necesidades, pero era preciso el desplazamiento físico del medio de almacenamiento de la información hasta donde ser requería y nuevamente se transportaba dicha información al lugar de origen o aun siguiente punto requerido para ser actualizada o procesada, volviendo engorrosa e insegura esta operación Esta gran necesidad llevó al desarrollo de soluciones estandarizadas para las
tecnologías Networking, con lo cual se facilitó la interconectividad de diversos sistemas. Las redes dan solución de tres formas principales:

• Compartiendo información (o datos).
• Compartiendo hardware y software.
• Centralizando la administración y el soporte.

En la imagen se puede observa claramente un representación de lo que es una red de datos con conexión a Internet. La imagen representa 4 PC’S convencionales que hacen parte de una red LAN y que se conecta a Internet utilizando un servidor local.

VLAN (virtual lan)

vlans

Una VLAN (Virtual LAN, ‘red de área local virtual’) es un método de crear redes lógicamente independientes dentro de una misma red física. Varias VLANs pueden coexistir en un único conmutador físico o en una única red físicaes un agrupamiento lógico de usuarios o dispositivos independiente de su ubicación física en un segmento. La configuración de las VLAN se hace en los switches mediante software.

Son útiles para reducir el dominio de colisión y ayudan en la administración de la red separando segmentos lógicos de una red de área local  que no deberían intercambiar datos usando la red local .

segmentacion

GENERACIONES DE VLAN

1. Basadas en puertos y direcciones MAC
2. Internet Working; se apoya en protocolo y dirección capa tres.
3. De aplicación y servicios: aquí se encuentran los grupos multicast y las VLAN definidas por el
usuario.
4. Servicios avanzados: ya se cumple con los tres criterios antes de realizar alguna asignación a la
VLAN; se puede efectuar por medio de DHCP (Dynamic Host Configuration Protocol ; Protocolo de
configuración dinámica) o por AVLAN ( Authenticate Virtual Local Area Networks; Redes virtuales
autenticadas de área local).

VLAN por Puerto

Este tipo es el más sencillo ya que un grupo de puertos forma una VLAN -un puerto solo puede pertenecer a una VLAN - , el problema se presenta cuando se quieren hacer VLAN por MAC ya
que la tarea es compleja. Aquí el puerto del switch pertenece a una VLAN , por tanto, si alguien posee un servidor conectado a un puerto y este pertenece a la VLAN amarilla , el servidor estará
en la VLAN amarilla.

VLAN por MAC

Se basa en MAC Address, por lo que se realiza un mapeo para que el usuario pertenezca a una determinada VLAN. Obviamente dependerá de la política de creación. Este tipo de VLAN ofrece mayores ventajas, pero es complejo porque hay que meterse con las
direcciones MAC y si no se cuenta con un software que las administre, será muy laborioso configurar cada una de ellas.

VLAN por Protocolo

Lo que pertenezca a IP sé enrutara a la VLAN de IP e IPX se dirigirá a la VLAN de IPX , es decir, se tendrá una VLAN por protocolo. Las ventajas que se obtienen con este tipo de VLAN radican en que dependiendo del protocolo que use cada usuario, este se conectara automáticamente a la VLAN correspondiente.
VLAN por subredes de IP o IPX Aparte de la división que ejecuta la VLAN por protocolo, existe otra subdivisión dentro de este para que el usuario aunque este conectado a la VLAN del protocolo IP sea asignado en otra VLAN subred que pertenecerá al grupo 10 o 20 dentro del protocolo.

VLAN definidas por el usuario

En esta política de VLAN se puede generar un patrón de bits, para cuando llegue el frame. Si los primeros cuatro bits son 1010 se irán a la VLAN de ingeniería, sin importar las características del usuario protocolo, dirección MAC y puerto. Si el usuario manifiesta otro patrón de bits, entonces se trasladara a la VLAN que le corresponda; aquí el usuario define las VLAN.

VLAN Binding

Se conjugan tres parámetros o criterios para la asignación de VLAN: si el usuario es del puerto x, entonces se le asignara una VLAN correspondiente. También puede ser puerto, protocolo y dirección MAC, pero lo importante es cubrir los tres requisitos previamente establecidos, ya que cuando se cumplen estas tres condiciones se coloca al usuario en la VLAN asignada, pero si alguno de ellos no coincide, entonces se rechaza la entrada o se manda a otra VLAN.

VLAN por DHCP

Aquí ya no es necesario proporcionar una dirección IP, sino que cuando el usuario enciende la computadora automáticamente el DHCP pregunta al servidor para que tome la dirección IP y con
base en esta acción asignar al usuario a la VLAN correspondiente. Esta política de VLAN es de las últimas generaciones.

Pertenencia a una VLAN

• Es la definición de si un dispositivo pertenece
o no a una VLAN
• Estática o Dinámica
– Estática: Se basa en el puerto del conmutador al
que está conectado el dispositivo
– Dinámica: Se basa en las direcciones MAC del
dispositivo 

VTP (vlan trunking protocol)

VTP (vlan trunking protocol)

vtp es un protocolo que  se usa para gestionar VLAN y quepermite asignar definiciones VLAN a múltiplesconmutadores de una red.

como funciona el vtp:

• Para que las VLANs funcionen en enlaces con compartición, es necesario que el número de VLAN sea idéntico en todos los conmutadores que participen en la red y tener en cuenta que cada VLAN tenga diferente uso.
• VTP ayuda con las definiciones de las VLAN  permitiendo utilizar números y nombres en las VLAN, para configurar un conmutador independiente y propagarlo por toda la red.
• VTP no propaga los miembros de la VLAN a todos los conmutadores, sólo la definición
• VTP anuncia la información de configuraciónde la VLAN a todos los puertos compartidos que se encuentren activados, los conmutadores vecinos aprenden cuáles son las VLAN presentes en la red y su configuración; Entonces, estos conmutadores propagan la información de VLAN a otros conmutadores yasí sucesivamente.

• Este proceso tiene varias Facetas:– Modos VTP– Dominios VTP– Versiones VTP– Recorte VTP

Modos VTP

VTP puede ejecutarse en un conmutador en tres modos:
• cliente
• servidor
• transparente

-Cliente

En este modo el conmutador escucha y propaga los mensajes de VTP sobre su dominio de gestión. Efectúa cambios a su configuración VLAN basado es estos mensajes. Cuando está en el modo cliente, no se pueden efectuar directamente cambios de VLAN sobre el conmutador, ya que sólo pueden efectuarse utilizando VTP mientras el conmutador se encuentre en el modo cliente.

-Servidor

En este modo, el conmutador también escucha y propaga los
mensajes VTP sobre su dominio de gestión, pero además
genera nuevos mensajes. ademas permite modificar directamente la información VLAN en el conmutador, incluyendo añadir y eliminar datos de las VLAN; desde el dominio de gestión.
Modificar la configuración VTP del dominio de gestión produce la
actualización de la configuración del número de revisión (como el
número de versión de la base de datos de VTP).
Esta actualización hace que todos los conmutadores del dominio
de gestión actualicen su configuración VTP con la nueva
información. sólo deben existir uno o dos servidores VTP en cada dominio de gestión, y los derechos de configuración de estos
conmutadores deben guardarse celosamente.

-Transparente

En el modo transparente se envía la información pero se ignoran las
configuraciones VLAN contenidas en estos mensajes.
La configuración VLAN puede modificarse  directamente en un conmutador que se encuentre en el modo transparente, pero esas
configuraciones sólo se aplicarán al conmutador local.

Dominios de gestión VTP

Un dominio de gestión es un nombre específico al que deben pertenecer todos los conmutadores que participen en un dominio VTP. Si un conmutador no es miembro de un dominio VTP,
no obtendrá la información de la VLAN enviada a ese dominio.
Los conmutadores deben pertenecer a un único dominio VTP. 
La información VTP solo se propaga con enlaces de trunking. Por ello, si la compartición no se configura correctamente o falla su enlace, la información VTP deja de fluir.

Lo más sencillo es configurar todos los conmutadores como parte del mismo dominio de gestión VTP.

Versiones VTP

Existen dos versiones v1 y v2, la segunda complementa la primera, pero no se pueden mezclar en una misma VLAN, o se usa una o la
otra.

-Versión 1

En un conmutador de la versión 1, los conmutadores en modo transparente propagan la información VTP sólo si el dominio de gestión de los mensajes VTP se adapta por sí mismo.

 Si el conmutador en modo transparente pertenece a un dominio VTP, y recibe un mensaje de otro dominio, no pasará el mensaje a ningún otro conmutador.

-Versión 2

En la versión 2 se propagan todos los mensajes, sin tener en cuenta el dominio. Es más sencillo configurar todos los conmutadores para que utilicen la versión 2, ya que la versión está admitida por todos los conmutadores.

Recorte VTP

 permite que VTP determine automáticamente qué redes VLAN tienen miembros en un conmutador determinado, y elimina (o recorta) el tráfico de difusión innecesario desde esos conmutadores.

STP (spanning tree protocol)

STP (spanning tree protocol)

el protocolo de arbol de distribucion Proporcionar a las redes una mayor resistencia frente a las caídas de los enlaces y ademas  Protege a la red de la aparición de bucles.

Como en cualquier red conmutada, mientras existan enlaces redundantes es necesario activar STP.

Terminología básica

Para comprender el funcionamiento del STP es necesario conocer alguna terminología indispensable
asociada al mismo.

Bridge ID: es el identificador de cada bridge. Es el resultado de combinar la prioridad del bridge con su dirección MAC base.

Root bridge (puente raíz): es el punto focal de la red y el que se toma como referencia para las decisiones del STP. El RB será aquel switch que tenga el menor bridge ID.

BPDU (Bridge Protocol Data Unit): son pequeñas unidades de datos que transportan información de control del STP. Se las utiliza en primera instancia para escoger el RB y luego para detectar posibles fallos en la red.

Bridges no raíz: son todos los demás bridges de la topología. Participan en el intercambio de BPDUs y actualizan a su vez su base de datos del STP. Costo de un puerto: se determina en base al ancho de banda del enlace y será el valor que se utilice para decidir el camino más corto al RB.

Costo del camino al RB: el costo de un camino al RB es la suma de los costos de cada enlace por el que pasa. El camino elegido por el STP al RB será aquel cuyo costo sea más bajo.

Puerto raíz (designado): es el puerto de cada bridge que se encuentra en el camino mínimo al
RB. Sólo hay uno por bridge que siempre estará en estado de forwarding.

Puerto no designado: todo puerto en un bridge con mayor costo que el puerto designado. Será
puesto en estado de bloqueo.

Estado de los puertos

Cada puerto que participa del STP puede estar en uno de cinco estados. Estos son:

Bloqueado (BLK): no reenvía tramas de datos, aunque sí recibe y envía BPDUs. Es el estado por defecto de los puertos cuando un switch se enciende y su función es la de prevenir ciclos.

Escuchando (LST): recibe, analiza y envía BPDUs para asegurarse que no existen bucles.

Aprendiendo (LRN): al igual que el estado LST, recibe, analiza y envía BPDUs, aunque aquí  también comienza a armar la tabla CAM. En este estado aún no se reenvían tramas de datos.

Reenviando (FWD): envía y recibe todas las tramas de datos. Los puertos designados al final del estado de LRN serán marcados como FWD.

Deshabilitado: es un puerto deshabilitado administrativamente y que no participará en el STP.
Para el STP un puerto en este estado es como si no existiera.

Rapid Spanning Tree

El protocolo RSTP es un estándar que incorpora muchas características que aceleran el proceso de convergencia inicial y ante un fallo, valiéndose de varias de las ideas anteriores de Cisco. Es totalmente compatible con STP y de hecho un bridge ejecutando STP y otro RSTP pueden convivir perfectamente en la misma red, aunque utilizando el protocolo STP. Por ello, para que RSTP funcione, todos los switches deben soportarlo.

Árbol de expansión por VLAN
(PVST. Per VLAN Spanning Tree)

PVST se emplea con el protocolo ISL de Cisco y utiliza una topología independiente para cada VLAN.

• Ventajas
– Selección óptima de las rutas
– Tiempo de convergencia mínimo.

• Inconvenientes
– deben utilizarse múltiples raíces STP,
– hay que calcular múltiples topologías STP y
– es preciso enviar mensajes BPDU para cada
topología, todo lo cual aumenta el consumo de
ancho de banda y de recursos de conmutación

PVST+, Per VLAN Spanning Tree Plus

PVST+ es una mejora de PVST que permite la interoperatividad entre una red CST y una red PVST. tambien traza los mapas de los árboles de expansión de PVST hacia el árbol de expansión
de CST. ordenándolos como una «pasarela de trunking».

PORT SECURITY

switches Cisco

Port Security es un rasgo de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a través de ese puerto del switch. Si un dispositivo con otra dirección MAC intenta comunicarse a través de este puerto, port-security deshabilitará el puerto. Incluso se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificación correspondiente al bloqueo del puerto. en este caso es necesario que el Administrador de la red desbloquee el puerto. Esto puede ser un inconveniente en algunos casos. Pero quizás un inconveniente menor si lo comparamos con los riesgos potenciales.

Configuración de port-security

El proceso de configuración requiere ingresar a la configuración de la interfaz en cuestión e ingresar el comando port-security. Un ejemplo:


Switch)#config t
Switch(config)#int fa0/1
Switch(config-if)#switchport port-security ?
..aging.........Port-security aging commands
..mac-address...Secure mac address
..maximum.......Max secure addresses
..violation.....Security violation mode
Switch(config-if)# switchport port-security


Si se ingresa solamente el comando básico, se asumen los valores por defecto: solo permite una dirección MAC en el puerto, que será la primera que se conecte al mismo, en caso de que otra dirección MAC intente conectarse utilizando ese mismo puerto, será desabilitado. Por supuesto que todos estos parámetros son modificables:

switchport port-security maximum  [cantidad de MAC permitidas]

Esta opción permite definir el número de direcciones MAC que está permitido que se conecten a través de la interfaz del swtich. El número máximo de direcciones permitidas por puerto es 132.
Es importante tener presente que este feature también limita la posibilidad de ataque de seguridad por inundación de la tabla CAM del switch.

switchport port-security violation[shutdown restrict protect]

Este comando establece la acción que tomará el switch en caso de que se supere el número de direcciones MAC que se establece con el comando anterior. Las opciones son deshabilitar el puerto, alertar al Adminsitrador o permitir exclusivamente el tráfico de la MAC que se registró inicialmente.

switchport port-security mac-addres [MAC address]

Esta opción permite definir manualmente la dirección MAC que se permite conectar a través de ese puerto, o dejar que la aprenda dinámicamente.

estado de port security

Hay comandos específicos que permiten manitorear el estado de los puertos que tienen implementado port-security:


Switch# show port-security address
          Secure Mac Address Table
---------------------------------------------------------------
Vlan    Mac Address         Type                    Ports       Remaining Age
                                                                                      (mins)
-----   ------------------   ----------------     --------     -----------
1         0004.00d5.285d    SecureDynamic      Fa0/18           -
---------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)        :0
Max Addresses limit in System (excluding one mac per port) : 1024


Switch# show port-security interface fa0/18
Port Security.....................                  : Enabled
Port Status.......................                   : Secure-up
Violation Mode....................               : Shutdown
Aging Time........................                 : 0 mins
Aging Type........................                 : Absolute
SecureStatic Address Aging........        : Disabled
Maximum MAC Addresses.............   : 1
Total MAC Addresses...............         : 1
Configured MAC Addresses..........     : 0
Sticky MAC Addresses..............         : 0
Last Source Address...............            : 0004.00d5.285d
Security Violation Count..........            : 0


Switch#

ETHERCHANNEL

ETHERCHANNEL

Etherchannel es un puerto trunking (agregación en la tecnología del término de Cisco). Un Etherchannel se puede crear con dos y hasta ocho puertos rápidos de Ethernet, de Ethernet del gigabit o de Ethernet de 10 gigabits. Etherchannel se utiliza sobre todo para uso del backbone, pero puede también ser utilizado para conectar los servidores de UNIX y PC. Una limitación de Etherchannel es que todos los puertos de comprobación de grupo deben residir en el mismo interruptor.Existen varias formas de configurar un Etherchannel, el objetivo de este trabajo no es explicar en profundidad como funciona cada uno de los protocolos. Podemos  configurar un Etherchannel de tres formas diferentes, Port Aggregation Protocol  (PAgP), Link Aggregation Control Protocol (LACP) o en modo ON, que es donde nos  centraremos en este trabajo; además ambos extremos se han de configurar en el  mismo modo.

Protocolo de agregación de puertos (PAGP)

Cuando se configura PAgP el switch negocia con el otro extremo que puertos deben ponerse activos, aquellos puertos que no sean compatibles se dejan desactivados en versiones anteriores a la 12.2(35) SE, a partir de esta versión el puerto queda activo 
pero no se agrega al Etherchannel, este puerto seguirá trabajando de forma independiente.PAgP es un protocolo propietario de Cisco, PAgP se encarga de agrupar puertos de características similares de forma automática. PAgP es capaz de agrupar puertos de la 
misma velocidad, modo dúplex, troncales o de asignación a una misma VLAN.  PAgP se puede configurar de dos modos: 

• Auto: establece el puerto en una negociación pasiva, el puerto solo responderá a paquetes PAgP cuando los reciba, pero nunca iniciará la negociación. 

• Desirable: establece el puerto en modo de negociación activa, este puerto negociará el estado cuando reciba paquetes PAgP y también podrá iniciar una negociación contra otros puertos. 

 Protocolo de agregación de enlaces de control (LACP)

LACP es un protocolo definido en el estándar 802.1ad y que puede ser implementado en switches cisco. LACP y PAgP funcionan de forma muy similar ya que LACP también puede agrupar puertos por su velocidad, modo dúplex, trocales, VLAN. LACP también tiene dos modos de configuración: 
• Activo: un puerto en este estado es capaz de iniciar negociaciones con otros puertos para establecer el grupo. 
• Pasivo: un puerto en este estado es un puerto que no iniciará ningún tipo de negociación pero si responderá a las negociaciones generadas por otros puertos. Al igual que LAgP, dos puertos pasivos nunca podrán formar un grupo.

Configuración Modo ON 

El modo ON es un modo de configuración en el cual se establece toda la configuración del puerto de forma manual, no existe ningún tipo de negociación entre los puertos para establecer un grupo. En este tipo de configuración es totalmente necesario que 
ambos lados estén en modo ON.