Ing. José Dennis Estela Zumaeta NUEVOS TEMAS AGREGADOS PARA EL EAMEN EAMEN DE !ERTI"I!A!ION !!NA #$$%'
INTRODU!!ION A LA REDES ( !!NA & Des)*i+)i,n gene*al -e +uente ITN Al finalizar este este módulo, módulo, estará en condiciones condiciones de: de: • • • •
Utilizar el resultado del comando t*a)e*t para establecer el rendimiento relativo de la red. Utilizar los comandos -eug y te*minal monito* para para recopilar información sobre los dispositivos en una red. Describir las metodologías de solución de problemas de la red comn. !olucionar problemas con el cable y los problemas de interfaz. !olucionar problemas de los dispositivos de la red.
!oman-o t*a)e*oute e/ten-i-o Dise"ado como variante del coma Dise"ado comando ndo t*a)e*oute, el comand comando o t*a)e*oute e#tendido permite $ue el administrador a%uste los parámetros relacionados con el funcionamiento del comando. &sto es til para solucionar problemas de bucles de routing, determinando el router de siguiente salto, o ayudar a determinar dónde los pa$uetes son descartados por un router o denegados por un fire'all. !i bien el comando +ing e#tendido se puede utilizar para determinar el tipo de problema de conectividad, el comando t*a)e*oute e#tendido es til para localizar el problema. &l mensa%e de error de tiempo superado de ()*+ indica $ue un router en la ruta a visto y a descartado el pa$uete. &l mensa%e de error de destino inalcanzable de ()*+ indica $ue un router rou ter recibió el pa$ pa$uete uete,, per pero o lo desc descartó artó por$ue por$ue no podía env enviars iarse. e. Al igu igual al $ue ping, traceroute utiliza solicitudes de eco ()*+ y respuestas de eco. !i e#pira el temporizador ()*+ antes ante s de $ue se reci reciba ba una respuesta respuesta de eco ()*+, ()*+, el resu resultad ltado o del com comando ando t*a)e*oute muestra un asterisco -/. &n (0!, (0!, el co coma mand ndo o t*a)e*oute e#te e#tendid ndido o fina finaliza liza cuando se pro produce ducen n cual cual$uie $uiera ra de los siguientes:
Ing. José Dennis Estela Zumaeta •
&l desti destino no resp respon onde de con con una una resp respues uesta ta de de eco eco ()*+ ()*+.
•
&l usuar usuario io inter interrump rumpe e el el segui seguimien miento to con con la la secuen secuencia cia de esca escape. pe.
Nota0 &n (0!, puede invocar esta secu secuenci encia a de escape escape presionand presionando o !t*l1Ma23s14. &n 1indo's, la secuencia de escape se invoca presionando !t*l1!. +ara utiliz utilizar ar t*a)e*oute e#tendido, simplemente simplemente escriba escriba t*a)e*oute, sin proporcionar ningn parámetro, parámetr o, y presione ENTER. (0! lo guiará en las opciones de comando presentando varios indicadores relacionados con la configuración de todos los parámetros diferentes. &n la 2abla 3 se muestran las opciones de t*a)e*oute e#tendido de (0! y sus respectivas descripciones.
Tala &: O+)iones -e t*a)e*oute e/ten-i-o -e IOS
Aun$ue el comando comando t*a)e*t de 1indo's permite la entrada de varios parámetros, no es guiado y se debe e%ecutar a trav4s de opciones en la línea de comandos. &l e%emplo 3 muestra las opciones disponibles para t*a)e*t de 1indo's.
Ing. José Dennis Estela Zumaeta •
&l desti destino no resp respon onde de con con una una resp respues uesta ta de de eco eco ()*+ ()*+.
•
&l usuar usuario io inter interrump rumpe e el el segui seguimien miento to con con la la secuen secuencia cia de esca escape. pe.
Nota0 &n (0!, puede invocar esta secu secuenci encia a de escape escape presionand presionando o !t*l1Ma23s14. &n 1indo's, la secuencia de escape se invoca presionando !t*l1!. +ara utiliz utilizar ar t*a)e*oute e#tendido, simplemente simplemente escriba escriba t*a)e*oute, sin proporcionar ningn parámetro, parámetr o, y presione ENTER. (0! lo guiará en las opciones de comando presentando varios indicadores relacionados con la configuración de todos los parámetros diferentes. &n la 2abla 3 se muestran las opciones de t*a)e*oute e#tendido de (0! y sus respectivas descripciones.
Tala &: O+)iones -e t*a)e*oute e/ten-i-o -e IOS
Aun$ue el comando comando t*a)e*t de 1indo's permite la entrada de varios parámetros, no es guiado y se debe e%ecutar a trav4s de opciones en la línea de comandos. &l e%emplo 3 muestra las opciones disponibles para t*a)e*t de 1indo's.
Ing. José Dennis Estela Zumaeta E5em+lo &0 O+)iones -is+oniles +a*a t*a)e*t -e 6in-o7s.
EL !OMANDO DE8UG 5os procesos, protocolos, mecanismos y eventos de (0! generan mensa%es para comunicar su estado. &stos mensa%es pueden proporcionar información valiosa cuando ay $ue solucionar problemas o verificar las operaciones del sistema. &l comando -eug de (0! permite $ue el administrador muestre estos mensa%es en tiempo real para su análisis. &s una erramienta muy importante para supervisar eventos en un dispositivo )isco (0!. 2odos los coma comandos ndos -eug se introducen en el modo &6&) privilegiado. &l (0! de )isco permite limitar el resultado de -eug para incluir solo la función o la subfunción relevante. &sto es importante por$ue se le asigna alta prioridad al resultado de depuración en el proceso de )+U y puede acer $ue el sistema no se pueda utilizar. +or este motivo, use los comandos -eug solo para solucionar problemas específicos. +ara supervisar el estado de mensa%es de ()*+ en un router )isco, utilice -eug i+ i)m+. &l &%emplo 3 muestra el resultado de -eug i+
i)m+. E5em+lo &0 Resulta-o -el )oman-o -eug i+ i)m+0
Ing. José Dennis Estela Zumaeta +ara ver una lista con una breve descripción de todas las opciones del comando de depuración, utilice el comando -eug9 en modo &6&) privilegiado en la línea de comando. +ara desactivar una característica de depuración específica, agregue la palabra no delante del comando -eug0 7outer8 no -eug i+ i)m+ Alternativamente, puede ingresar la forma un-eug del comando en modo &6&) privilegiado: 7outer8 un-eug i+ i)m+ +ara desactivar todos los comandos -eug activos de inmediato, utilice el comando un-eug
all0 7outer8 un-eug all Algunos comandos de depuración como -eug all y -eug i+ +a):et generan una importante cantidad de resultados y usan una gran porción de recursos del sistema. &l router estaría tan ocupado mostrando mensa%es de depuración $ue no tendría suficiente potencia de procesamiento para realizar las funciones de red, o incluso escucar los comandos para desactivar la depuración. +or este motivo, no se recomienda y se debe evitar utilizar estas opciones de comando.
EL !OMANDO TERMINAL MONITOR 5as cone#iones para otorgar acceso a la interfaz de línea de comandos de (0! se pueden establecer de forma local o remota. 5as cone#iones locales re$uieren acceso físico al router o s'itc, por lo tanto, se re$uiere una cone#ión de cable. &sta cone#ión se establece generalmente mediante la cone#ión de una +) al puerto de consola del router o del s'itc mediante un cable de sustitución. &n este curso, nos referimos a una cone#ión local como cone#ión de consola. 5as cone#iones remotas se establecen en la red, y por lo tanto, re$uieren un protocolo de red como (+. 9o se re$uiere acceso físico directo para las sesiones remotas. !! y 2elnet son dos protocolos de cone#ión comunes utilizados para las sesiones remotas. &n este curso, usamos el protocolo cuando ablamos de una cone#ión remota específica, como una cone#ión 2elnet o una cone#ión !!. Aun$ue los mensa%es de registro de (0! se envían a la consola de manera predeterminada, estos mismos mensa%es de registro no se envían a las líneas virtuales de manera predeterminada. Debido a $ue los mensa%es de depuración son mensa%es de registro, este comportamiento evita $ue los mensa%es se muestren en las líneas ;2<. +ara mostrar los mensa%es de registro en una terminal -consola virtual/, utilice el comando modo &6&) privilegiado te*minal monito*. +ara detener los mensa%es de registro en una terminal, utilice el comando modo &6&) privilegiado te*minal no monito*.
Ing. José Dennis Estela Zumaeta
EN"O;UES PARA LA SOLU!I. Una metodología de solución de problemas comn y eficaz se basa en el m4todo científico y se puede dividir en los seis pasos importantes de la 2abla 3.
Tala &0 Seis +asos -e la meto-olog>a -e solu)i,n -e +*olemas
Ing. José Dennis Estela Zumaeta +ara evaluar el problema, determine cuántos dispositivos de la red lo tienen. !i e#iste un problema con un dispositivo de la red, inicie el proceso de solución de problemas en ese dispositivo. !i e#iste un problema con todos los dispositivos de la red, inicie el proceso de solución de problemas en el dispositivo donde se conectan todos los otros dispositivos. Debe desarrollar un m4todo lógico y coerente para diagnosticar problemas de red mediante la eliminación de un problema por vez. ?!05U)(09A7 0 &!)A5A7@ &n algunas situaciones, $uizás no sea posible solucionar el problema de inmediato. Un problema debería escalarse cuando re$uiere la decisión del gerente, cierta e#periencia específica, o el nivel de acceso a la red no está disponible para el t4cnico $ue debe solucionar el problema. +or e%emplo, despu4s de solucionar problemas, el t4cnico decide $ue un módulo de router debe reemplazarse. &ste problema se debe escalar para obtener la aprobación del gerente. &s probable $ue el gerente tenga $ue escalar el problema nuevamente ya $ue podría necesitar la aprobación del departamento de finanzas antes de comprar un nuevo módulo. 5a política de la empresa debe indicar claramente cuándo y cómo un t4cnico debe escalar un problema.
VERI"I!A!ION ? SUPERVISION DE LA SOLU!I
Nota0 Un ping fallido no suele proporcionar suficiente información para llegar a una conclusión. +uede ser el resultado de una A)5 o un fire'all $ue blo$ueaba los pa$uetes ()*+, o el dispositivo de destino puede estar configurado para no responder a los pings . Un ping fallido generalmente indica $ue se re$uiere investigación adicional. &l comando t*a)e*oute, como se muestra en el &%emplo B, es til para mostrar la ruta $ue los pa$uetes utilizan para llegar a un destino. Aun$ue el resultado del comando +ing muestra si un pa$uete llegó al destino, el resultado del comando t*a)e*oute muestra $u4 ruta tomó para llegar allí, o dónde el pa$uete fue interrumpido a lo largo de la ruta.
Ing. José Dennis Estela Zumaeta
5os comandos s@o7 de )isco (0! son algunas de las erramientas más tiles para resolver problemas. Al aprovecar una gran variedad de opciones y de subopciones, el comando s@o7 puede utilizarse para reducir y mostrar información sobre prácticamente cual$uier aspecto específico del (0!. &l &%emplo C muestra el resultado del comando s@o7 i+ inte*a)e *ie . 0bserve $ue las dos interfaces configuradas con las direcciones (+v están en =up> y =up>. &stas interfaces pueden enviar y recibir tráfico. 5as otras tres interfaces no tienen ningn direccionamiento (+v y están desactivadas.
PRO!ESOS DE SOLU!I
Ing. José Dennis Estela Zumaeta OPERA!I
!urge una discordancia si uno de los dos dispositivos conectados funciona en modo dple# completo y el otro funciona en modo semidple#. !i bien la comunicación de datos se realizará a trav4s de un enlace con una discordancia de dple#, el rendimiento del enlace será muy deficiente. 5a discordancia de dple# puede deberse a la configuración manual incorrecta, $ue configura manualmente los dos dispositivos conectados a diferentes modos dple#. 5a discordancia de dple# tambi4n puede producirse cuando se conecta un dispositivo $ue realiza la negociación automática con otro $ue está configurado manualmente en dple# completo. !i bien no es comn, la discordancia de dple# tambi4n puede ocurrir debido a la falla de la negociación automática.
DIS!ORDAN!IA DE DUPLE 5as discordancias de dple# pueden ser difíciles de resolver mientras se produce la comunicación entre dispositivos. &s posible $ue no sean evidentes, incluso si se usan erramientas como +ing . 5os pe$ue"os pa$uetes individuales no puedan revelar un problema de discordancia de dple#. Una sesión de terminal $ue envía los datos lentamente -en ráfagas muy cortas/ tambi4n podría comunicar con 4#ito a trav4s de una discordancia de dple#. Aun cuando cual$uier e#tremo de la cone#ión intente enviar una cantidad significativa de datos y el rendimiento del enlace caiga considerablemente, la causa puede no ser fácilmente evidente debido a $ue la red está operativa de otra manera. &l )D+, el protocolo de propiedad de )isco, puede detectar fácilmente una discordancia de dple# entre dos dispositivos )isco. ;ea la topología en la igura 3 donde la interfaz EFGF del 73 se a configurado en forma errónea para funcionar en modo semidple#.
Ing. José Dennis Estela Zumaeta
&l )D+ muestra los mensa%es de registro del enlace con la discordancia de dple#. 5os mensa%es tambi4n contienen los nombres de los dispositivos y los puertos involucrados en la discordancia de dple#, lo cual facilita muco identificar y solucionar el problema. &l e%emplo 3 muestra mensa%es de registro de la discordancia de dple# de )D+.
Nota0 Debido a $ue estos son mensa%es de registro, se muestran nicamente en una sesión de consola de manera predeterminada. Usted vería solamente estos mensa%es en una cone#ión remota si se abilita el comando te*minal monito* . &l e%emplo B muestra la configuración dple# $ue causó el problema.
Ing. José Dennis Estela Zumaeta PRO8LEMAS DE ASIGNA!I
&l &%emplo 3 muestra el resultado de s@o7 i+ inte*a)e e%ecutado en un 73.
0bserve $ue el comando s@o7 i+ inte*a)e muestra la información de (+v -capa C del 0!(/, mientras $ue el comando anteriormente mencionado s@o7 inte*a)es muestra los detalles físicos y del enlace de datos de una interfaz.
PRO8LEMAS DE ASIGNA!I. A menudo, una computadora con rango 3HI.BJ.F.FG3H no podrá comunicarse con otros dispositivos en la red por$ue es probable $ue dicos dispositivos no pertenezcan a la red 3HI.BJ.F.FG3H. &sta situación indica un problema de asignación automática de direcciones (+v $ue debe solucionarse.
Ing. José Dennis Estela Zumaeta Nota: 0tros sistemas operativos, como 5inu# y 0! 6, no asignarán una dirección (+v a la interfaz de red si falla la comunicación con un servidor D)+. 5a mayoría de los terminales se configuran para confiar en un servidor D)+ para la asignación automática de direcciones (+v. !i el dispositivo no puede comunicarse con el servidor D)+, el servidor no puede asignar una dirección (+v para la red específica y el dispositivo no podrá comunicarse. +ara verificar las direcciones (+ asignadas a una computadora con 1indo's, utilice el comando i+)onig como se muestra en el &%emplo 3.
PRO8LEMAS !ON EL GATE6A? PREDETERMINADO &l gate'ay predeterminado para un terminal es el dispositivo de red más cercano $ue puede reenviar tráfico a otras redes. !i un dispositivo tiene una dirección de gate'ay predeterminado incorrecta o ine#istente, no podrá comunicarse con los dispositivos de las redes remotas. Dado $ue el gate'ay predeterminado es la ruta a las redes remotas, su dirección debe pertenecer a la misma red $ue el terminal. 5a dirección del gate'ay predeterminado se puede configurar u obtener manualmente de un servidor D)+. )omo sucede con los problemas de asignación de direcciones (+v, los problemas del gate'ay predeterminado pueden estar relacionados con la configuración incorrecta -en el caso de la asignación manual/ o problemas de D)+ -si está en uso la asignación automática/. +ara resolver los problemas de un gate'ay predeterminado mal configurado, asegrese de $ue el dispositivo tenga configurado el gate'ay predeterminado correcto. !i la dirección predeterminada fue configurada manualmente pero es incorrecta, simplemente reemplácela por la dirección apropiada. !i la dirección de gate'ay predeterminado fue configurada automáticamente, asegrese de $ue el dispositivo pueda comunicarse correctamente con el servidor D)+. 2ambi4n es importante verificar $ue se configuraron la dirección (+v y la máscara de subred correspondientes en la interfaz del router y $ue la interfaz est4 activa. +ara verificar el gate'ay predeterminado en las computadoras con 1indo's, utilice el comando i+)onig, como se muestra en el &%emplo 3.
Ing. José Dennis Estela Zumaeta
&n un router, utilice el comando s@o7 i+ *oute para mostrar la tabla de routing y verificar $ue se a establecido el gate'ay predeterminado, conocido como ruta predeterminada. !e usa esta ruta cuando la dirección de destino del pa$uete no coincide con ninguna otra ruta en la tabla de routing. &n la figura 3 se muestra $ue 7B es la ruta predeterminada para 73.
&l &%emplo B muestra $ue el gate'ay predeterminado se configuró con una ruta predeterminada de 3F.3.F.B.
SOLU!I
Ing. José Dennis Estela Zumaeta inactiva> o =(nternet está inactiva> se deben a menudo a un servidor D9! al $ue no se puede acceder. Aun$ue los servicios de routing de pa$uetes y cual$uier otro tipo de servicios de red est4n todavía operativos, los errores de D9! generalmente llevan al usuario a la conclusión incorrecta. !i un usuario escribe un nombre de dominio como '''.cisco.com en un navegador 'eb y no se puede acceder al servidor D9!, el nombre no será traducido a una dirección (+ y la página 'eb no se mostrará. 5as direcciones del servidor D9! pueden asignarse de manera manual o automática. 5os administradores de redes a menudo son responsables de asignar manualmente las direcciones del servidor D9! en servidores y otros dispositivos, mientras $ue el D)+ se usa para asignar automáticamente las direcciones del servidor D9! a los clientes. !i bien es comn $ue las empresas y las organizaciones administren sus propios servidores D9!, cual$uier servidor D9! accesible puede utilizarse para solucionar nombres. 5os usuarios de oficinas pe$ue"as y oficinas en el ogar con frecuencia dependen del servidor D9! $ue mantiene su (!+ para la resolución de nombres. 5os servidores D9! mantenidos por un (!+ son asignados a los clientes de !00 mediante D)+. +or e%emplo, Eoogle mantiene un servidor D9! pblico $ue puede ser utilizado por cual$uier persona y es muy til para realizar pruebas. 5a dirección (+v del servidor D9! pblico de Eoogle es K.K.K.K y BFF3:KHF:KHF::KKKK para su dirección (+vH D9!. Utilice el comando i+)onig Ball, como se muestra en el &%emplo 3, para verificar $u4 servidor D9! es el $ue utiliza la computadora con 1indo's.
&l comando nsloo:u+ es otra erramienta til para la solución de problemas de D9! para +). )on nsloo:u+ un usuario puede configurar manualmente las consultas de D9! y analizar la respuesta de D9!. &l &%emplo B muestra el resultado de nsloo:u+ al realizar una consulta para '''.cisco.com.
Ing. José Dennis Estela Zumaeta
PRIN!IPIOS 8ASI!OS DE ROUTING AND S6IT!CING % !!NA # PUENTE RSE0 Des)*i+)i,n gene*al Al finalizar este módulo, estará en condiciones de: • • • •
)onfigurar rutas estáticas (+v especificando una dirección del siguiente salto. Utilizar los protocolos de detección para asignar una topología de red. )onfigurar el servidor 92+ entre un cliente 92+ y un servidor 92+. *antener la configuración del router y del s'itc y los arcivos (0!.
&. RUTAS DE COST LO!ALES INSTALADAS AUTOMATI!AMENTE Una ruta de ost es una ruta donde la dirección (+ de destino es un dispositivo específico con una máscara de subred de GCB para (+v o G3BK para (+vH. isten tres maneras de agregar una ruta de ost a una tabla de routing • •
(nstalarla automáticamente cuando se configura una dirección (+ en el 7outer. )onfigurarla como una ruta de ost estático.
Ing. José Dennis Estela Zumaeta •
0btener la ruta de ost automáticamente a trav4s de otros m4todos -se analiza en cursos posteriores.
&l (0! de )isco instala automáticamente una ruta de ost, tambi4n conocida como ruta de ost local, cuando se configura una dirección de interfaz en el router. Una ruta ost permite un proceso más eficiente para los pa$uetes $ue se dirigen al router mismo, en lugar del envío de pa$uetes. &sto se suma a la ruta conectada, designada con una ) en la tabla de routing para la dirección de red de la interfaz. &l análisis de las rutas de ost utiliza la topología $ue se muestra en la igura. 3.
)uando una interfaz activa en un router se configura con una dirección (+, se agrega automáticamente una ruta de ost local a la tabla de routing. 5as rutas locales se marcan con =5> en el resultado de la tabla de routing. 5as direcciones (+ asignadas a la interfaz Lranc !erialFGFGF son 3IK.J3.3FF.3GCF para (+v y BFF3:DLK:A)AD:3::3GH para (+vH. 5as rutas locales para la interfaz son instaladas por el (0! en la tabla de routing como se muestra en el resultado del &%emplo 3 para (+v y el &%emplo B para (+vH.
Nota: +ara (+v, las rutas locales marcadas con una =5> se introdu%eron con la versión 3J de (0!.
Ing. José Dennis Estela Zumaeta
#. RUTAS DE COST !ON"IGURADAS MANUALMENTE Una ruta de ost puede ser una ruta estática configurada manualmente para dirigir el tráfico a un dispositivo de destino específico, como un servidor de autenticación. 5a ruta estática utiliza una dirección (+ de destino y una máscara BJJ.BJJ.BJJ.BJJ -GCB/ para las rutas de ost (+v y una longitud de prefi%o G3BK para las rutas de ost (+vH. 5as rutas estáticas se marcan con una =!> en el resultado de la tabla de routing. &n la topología de la igura 3, se configuran un (+v y una ruta de ost (+vH en el router L7A9) para acceder al servidor.
Ing. José Dennis Estela Zumaeta
Desde el router L7A9), se configuran las rutas de ost (+v e (+vH d para enrutar pa$uetes asta servidor, como se muestra en el &%emplo. 3.
Ing. José Dennis Estela Zumaeta
+ara rutas estáticas (+vH, la dirección del siguiente salto puede ser la dirección linMNlocal del router adyacente. !in embargo, debe especificar un tipo de interfaz y un nmero de interfaz cuando usa una dirección linMNlocal como siguiente salto, como se muestra en el &%emplo B.
. DES!RIP!ION GENERAL DEL !DP )isco Discovery +rotocol -)D+/ es un protocolo de )apa B patentado de )isco $ue se utiliza para recopilar información sobre los dispositivos )isco $ue comparten el mismo enlace de datos. &l )D+ es independiente de los medios y del protocolo y se e%ecuta en todos los dispositivos )isco, como routers, s'itces y servidores de acceso. &l dispositivo envía mensa%es periódicos del )D+ a los dispositivos conectados. &stos mensa%es comparten información sobre el tipo de dispositivo $ue se descubre, el nombre de los dispositivos, y la cantidad y el tipo de interfaces. Debido a $ue la mayoría de los dispositivos de red se conectan a otros dispositivos, el )D+ puede ayudar a tomar decisiones de dise"o, solucionar problemas, y realizar cambios en el e$uipo. &l )D+ se puede utilizar como erramienta de análisis de redes para conocer información sobre los dispositivos vecinos. &sta información recopilada del )D+ puede ayudar a crear una topología lógica de una red cuando falta documentación o detalles.
Ing. José Dennis Estela Zumaeta .&. !ON"IGURA!I
+ara abilitar el )D+ globalmente para todas las interfaces admitidas en el dispositivo, ingrese )-+ *un en el modo de configuración global. &l )D+ se puede desabilitar en todas las interfaces del dispositivo con el comando no )-+ *un en el modo de configuración global. +ara desabilitar el )D+ en una interfaz específica, como la interfaz orientada a un (!+, ingrese no )-+ enale en el modo de configuración de interfaz. &l )D+ an se encuentra abilitado en el dispositivoO sin embargo, no se enviarán más mensa%es a la interfaz. +ara abilitar el )D+ en una interfaz específica nuevamente, ingrese )-+ enale, como se muestra en el &%emplo B.
&l e%emplo C muestra el )D+ inabilitado globalmente mediante el comando no )-+ *un y abilitado nuevamente mediante el comando )-+ *un.
+ara verificar el estado del )D+ y mostrar una lista de vecinos, utilice el comando s@o7 )-+ neig@o*s en modo &6&) privilegiado. &l comando s@o7 )-+ neig@o*s muestra información importante acerca de los vecinos del )D+. Actualmente, este dispositivo no tiene vecinos por$ue no está físicamente conectado a ningn dispositivo, como lo indican los resultados del comando s@o7 )-+ neig@o*s $ue se muestran en el &%emplo .
Ing. José Dennis Estela Zumaeta
Utilice el comando s@o7 )-+ inte*a)e para mostrar las interfaces $ue están abilitadas en )D+ en el dispositivo. 2ambi4n se muestra el estado de cada interfaz. &l &%emplo J muestra $ue cinco interfaces están abilitadas en el )D+ en el router solamente con una cone#ión activa a otro dispositivo.
Ing. José Dennis Estela Zumaeta .#. DETE!!I
&l comando s@o7 )-+ neig@o*s brinda información sobre cada dispositivo vecino en el )D+: • • •
•
I-entii)a-o*es -e -is+ositios N &l nombre de ost del dispositivo vecino -S&F I-entii)a-o* -e +ue*to N &l nombre del puerto local y remoto - Gig $B& y "as $B', respectivamente/. Lista -e un)ionali-a-es N !i el dispositivo es un router o un s'itc - S para el s'itcO I para (E*+ está más allá del ámbito de este curso/. Platao*ma N 5a plataforma de ard'are del dispositivo - 6S%!#4$ para el s'itc )isco BIHF/
!i se necesita más información, el comando s@o7 )-+ neig@o*s tambi4n puede ofrecer información, como la versión y la dirección (+ del (0! de los vecinos, como se muestra en el &%emplo B.
Ing. José Dennis Estela Zumaeta
Al tener acceso al !3 de manera remota a trav4s de !! o físicamente a trav4s del puerto de consola, un administrador de redes puede determinar los otros dispositivos conectados a !3, como se muestra en el resultado de s@o7 )-+ neig@o*s en el &%emplo C.
0tro s'itc, !B, se revela en el resultado. &l administrador de redes despu4s tiene acceso al !B y muestra los vecinos del )D+, como se muestra en el &%emplo .
Ing. José Dennis Estela Zumaeta
&l nico dispositivo conectado al !B es el !3. +or lo tanto, no ay más dispositivos a descubrir en la topología. &l administrador de redes aora puede actualizar la documentación para refle%ar los dispositivos detectados, como se muestra en la igura B.
Ing. José Dennis Estela Zumaeta !ON"IGURAR ? VERI"I!AR !DP
Ing. José Dennis Estela Zumaeta .. H. DES!RIP!ION GENERAL DE LLDP 5os dispositivos )isco tambi4n admiten protocolo de detección de capa de enlace -55D+/, $ue es un protocolo neutro de detección de vecinos de un proveedor similar al )D+. &l 55D+ funciona con los dispositivos de red, como routers, s'itces, y puntos de acceso inalámbrico 5A9. &ste protocolo informa su identidad y capacidades a otros dispositivos y recibe información de un dispositivo físicamente conectado de capa B.
H.&. !ON"IGURA!ION ? VERI"I!A!ION DE LLDP &n algunos dispositivos, el 55D+ podría estar activado de manera predeterminada. +ara abilitar el 55D+ de manera global en un dispositivo de red )isco, introduzca el comando ll-+ *un en el modo de configuración global, como se muestra en el &%emplo 3. +ara desabilitar el 55D+, ingrese el comando no ll-+ *un en el modo de configuración global.
Al igual $ue el )D+, el 55D+ se puede configurar en interfaces específicas. !in embargo, el 55D+ se debe configurar de manera independiente para transmitir y recibir pa$uetes 55D+, como se muestra en el &%emplo B.
+ara verificar $ue el 55D+ est4 activado en el dispositivo, ingrese el comando s@o7 ll-+ en modo &6&) privilegiado, como se muestra en el &%emplo C.
Ing. José Dennis Estela Zumaeta H.#. DETE!!ION DE DISPOSITIVOS !ON LLDP )uando 55D+ está activado, se pueden detectar los vecinos del dispositivo mediante el comando s@o7 LLDP neig@o*s . +or e%emplo, considere la falta de documentación en la topología de la igura 3. &l administrador de redes solo sabe $ue el !3 está conectado a dos dispositivos.
*ediante el comando s@o7 ll-+ neig@o*s , como se muestra en el &%emplo 3, el administrador de redes detecta $ue el !3 tiene un router y un s'itc como vecinos.
5a letra L en capacidad de !B representa un puente -Lridge/. +ara este resultado, la palabra puente tambi4n puede significar el s'itc. A partir de los resultados de s@o7 ll-+ neig@o*s , se puede construir una topología del s'itc !3 como se ilustra en la igura B.
Ing. José Dennis Estela Zumaeta )uando se necesitan más detalles acerca de los vecinos, el comando s@o7 lll-+ neig@o*s puede proporcionar información, como versión de (0!, dirección (+, y capacidad del dispositivo (0! de los vecinos, como se muestra en el &%emplo B.
!ON"IGURAR ? !OMPRO8AR LLDP
Ing. José Dennis Estela Zumaeta
Ing. José Dennis Estela Zumaeta
'. !ON"IGURA!ION DEL RELOJ DEL SISTEMA ( NTP &l relo% de soft'are de un router o un s'itc se inicia cuando arranca el sistema y es de donde el sistema e#trae la ora. &s importante sincronizar la ora en todos los dispositivos de la red por$ue todos los aspectos de administración, seguridad, solución de problemas, y planificación de redes re$uieren una marca de ora precisa. )uando no se sincroniza la ora entre los dispositivos, será imposible determinar el orden de los eventos y la causa de un evento. Eeneralmente, las configuraciones de feca y ora en un router o un s'itc se pueden configurar de una de las siguientes maneras: )onfigurar el día y la ora de manera manual. )onfigurar protocolo de tiempo de red -92+/.
&l &%emplo 3 muestra cómo configurar manualmente el relo% en un dispositivo )isco.
A medida $ue una red crece, se ace difícil garantizar $ue todos los dispositivos de infraestructura operen con una ora sincronizada. (ncluso en un entorno de red más pe$ue"o, el m4todo manual no es lo ideal. ?)ómo obtener una feca y una marca de ora precisas si se reinicia un router@ Una me%or solución consiste en configurar el 92+ en la red. &ste protocolo permite $ue los 7outers de la red sincronicen la configuración de la ora con un servidor 92+. !i un grupo de clientes de 92+ obtiene información de feca y ora de un nico origen, tiene una configuración de tiempo más coerente. )uando el 92+ se implementa en la red, se puede configurar para sincronizarse con un relo% maestro privado o se puede sincronizar con un servidor 92+ disponible al pblico en (nternet. &l 92+ utiliza el puerto UD+ 3BC y se registra en 7) 3CFJ.
Ing. José Dennis Estela Zumaeta '.&. "UN!IONAMIENTO DEL NTP 5as redes 92+ utilizan un sistema %erár$uico de fuentes orarias. )ada nivel en este sistema %erár$uico se denomina estrato. &l nivel de estrato se define como la cantidad de saltos desde fuente autorizada. 5a ora sincronización se distribuye en la red mediante el protocolo 92+. 5a igura 3 muestra una red 92+.
Est*ato $ Una red 92+ obtiene la ora de fuentes orarias autorizadas. &stas fuentes autorizadas, conocidas como dispositivos de estrato F, son dispositivos de cronometra%e de alta precisión $ue son presuntamente precisos y con poco o ningn retraso asociado con los mismos. 5os dispositivos del estrato F están representados por el relo% en la igura 3.
Est*ato & 5os dispositivos del estrato 3 están conectados directamente a las fuentes orarias válidas. Actan como el estándar orario de la red principal.
Est*ato # 2 ms a5os 5os servidores del estrato B están conectados a dispositivos del estrato 3 a trav4s de cone#iones de red. 5os dispositivos del estrato B, como clientes de 92+, sincronizan su orario con los pa$uetes 92+ desde servidores del estrato 3. +odrían tambi4n actuar como servidores para dispositivos del estrato C. 5os nmeros más ba%os de estratos indican $ue el servidor está más cerca de la fuente oraria autorizada $ue los nmeros de estrato más altos. )uanto mayor sea el nmero de estrato, menor es el nivel del estrato. &l recuento de saltos má#imo es 3J. &l estrato 3H, el nivel de estrato inferior, indica $ue un dispositivo no está sincronizado. 5os servidores orarios en el mismo nivel de estrato pueden configurarse para actuar como un par con otros servidores orarios en el mismo nivel de estratos para la verificación o la copia de respaldo del orario.
Ing. José Dennis Estela Zumaeta '.#. !ON"IGURA!ION ? VERI"I!A!ION DEL NTP !e utiliza un servidor 92+ e#terno como fuente oraria autorizada para la red $ue se describe en la igura 3. &l 73 está configurado para sincronizar su relo% con el servidor 92+ e#terno, y el relo% en el !3 está configurado para sincronizarse con el 73 mediante 92+. 5os otros dispositivos en la red están configurados para sincronizar sus relo%es con el 73 o el !3 como fuente oraria.
Antes de $ue se configure el 92+ en la red, el comando s@o7 )lo): muestra la ora actual en el relo% del soft'are. )on la opción -etail, tambi4n se muestra la fuente oraria. )omo se muestra en el &%emplo 3, el relo% del soft'are se configuró manualmente.
)omo se muestra en el &%emplo B, utilice el comando nt+ se*e* ip-address en el modo de configuración global para configurar en BFI.3HJ.BFF.BBJ como el servidor 92+ para el 73.
+ara verificar $ue la fuente oraria está configurada con el 92+, utilice el comando s@o7 )lo): -etail, como en el &%emplo C.
Ing. José Dennis Estela Zumaeta Utilice los comandos s@o7 i+ nt+ asso)iations y s@o7 nt+ status para verificar $ue 73 est4 sincronizado con el servidor 92+ en BFI.3HJ.BFF.BBJ, como se muestra en el &%emplo . 0bserve $ue el 73 está sincronizado con un servidor 92+ de estrato 3 en BFI.3HJ.BFF.BBJ, $ue se sincroniza con un relo% E+!. &l comando s@o7 nt+ statusmuestra $ue el 73 aora es un dispositivo de estrato B sincronizado con el servidor 92+ en BFI.3HJ.BBF.BBJ.
&l relo% en el !3 está configurado para sincronizarse con el 73. &l relo% en el !3 está configurado en la misma zona oraria y con las configuraciones orarias de verano $ue el router 73, como se muestra en el &%emplo J.
&l e%emplo H muestra $ue el relo% en el !3 aora está sincronizado con el 73 en 3IB.3HK.3.3 mediante 92+. &l 73 es un dispositivo de estrato B y un servidor 92+ para el !3. Aora el !3 es un dispositivo de estrato C $ue puede proporcionar el servicio 92+ a otros dispositivos en la red, por e%emplo terminales.
Ing. José Dennis Estela Zumaeta
'.. !ON"IGURAR ? !OMPRO8AR NTP
Ing. José Dennis Estela Zumaeta
4. RE!UPRA!ION DE !ONTRASEKAS 5as contrase"as de los dispositivos se utilizan para evitar el acceso no autorizado. 5as contrase"as encriptadas, como las contrase"as Penable secretP, se deben reemplazar despu4s de su recuperación. De acuerdo con el dispositivo, el procedimiento detallado para la recuperación de contrase"as varíaO sin embargo, todos los procedimientos de recuperación de contrase"as siguen el mismo principio:
Paso &. (ngresar en el modo 70**09. Paso #. )ambiar el registro de configuración a F#B3B para ignorar el arcivo de configuración de inicio. Paso . 7ealizar los cambios necesarios en el arcivo original de configuración de inicio. Paso H. Euardar la configuración nueva. +ara la recuperación de contrase"as, se re$uiere el acceso a la consola del dispositivo a trav4s de un terminal o el soft'are emulador de terminal en una +). 5as configuraciones de terminal para acceder al dispositivo son: • • • • •
IHFF velocidades en baudios. !in paridad. K bits de datos. 3 bit de parada. !in control de flu%o.
)on el acceso a la consola, el usuario puede acceder al modo 70**09 mediante una secuencia de interrupción durante el proceso de arran$ue o eliminando la memoria flas e#terna cuando el dispositivo está apagado.
Nota0 5a secuencia de interrupción para +u22< es )trlQLreaM. +uede encontrar una lista de secuencias estándar de la tecla de pausa interna -LreaM/ para otros emuladores de terminal y sistemas operativos en ttp:GG'''.cisco.comGcGenGusGsupportGdocsGroutersG3FFFF Nseries NroutersG3BK3K N H3.tml -&nlaces a un sitio e#terno./ &l soft'are 70**09 admite algunos comandos básicos, como )on*eg. &l comando )on*eg $/#&H# permite $ue el usuario configure el registro de configuración a F#B3B. )on el registro de configuración en F#B3B, el dispositivo ignorará el arcivo de
Ing. José Dennis Estela Zumaeta configuración de inicio durante el arran$ue. &l arcivo de configuración de inicio es donde se almacenan las contrase"as olvidadas. Despu4s de configurar el registro de configuración en F#B3B, escriba *eset en la petición de entrada para reiniciar el dispositivo. (ntroduzca la secuencia de interrupción mientras el dispositivo está reiniciando y descomprimiendo el (0!. &l &%emplo 3 muestra el resultado para el terminal de un router 3I3 en modo 70**09 despu4s de usar una secuencia de interrupción durante el proceso de arran$ue.
Despu4s de $ue el dispositivo aya finalizado la recarga, copie la configuración de inicio -startupNconfig/ a la configuración en e%ecución -runningNconfig/, como se muestra en el &%emplo B.
PRE!AU!I
Ing. José Dennis Estela Zumaeta
Nota: 5a contrase"a )is)o no es una contrase"a segura y se utiliza a$uí solo como e%emplo. &l dispositivo aora utiliza las contrase"as para autenticación reci4n configuradas. Asegrese de utilizar los comandos s@o7 para verificar $ue todas las configuraciones están en su lugar. +or e%emplo, verifi$ue $ue las interfaces adecuadas no est4n apagadas despu4s de recuperar la contrase"a. &l siguiente enlace proporciona instrucciones detalladas para el procedimiento de recuperación de contrase"as para un dispositivo específico: ttp:GG'''.cisco.comGcGenGusGsupportGdocsGios Nn# Nos Nsoft'areGios Nsoft'are Nreleases N 3B3 mainlineGH3CF Ninde#.tml -&nlaces a un sitio e#terno./
4.&. RE!UPERA!I
Ing. José Dennis Estela Zumaeta
ES!ALAMIENTO DE REDES ( !!NA PUENTE S!AN0 DES!RIP!ION GENERAL Al finalizar este módulo, estará en condiciones de: • • • • • • • • •
)omparar las versiones de ;2+ 3 y B. )onfigurar las versiones de ;2+ 3 y B. )onfigurar las ;5A9 e#tendidas. )onfigurar el protocolo de enlace troncal dinámico -D2+/. !olucionar problemas comunes de configuración entre ;5A9. !olucionar problemas de ;2+ y D2+ comunes en una red de router interN;5A9. plicar el valor de apilamiento de s'itc y de agregación del casis en una 5A9 pe$ue"a conmutada. (mplementar !7+. 7esolver problemas de entradas de rutas faltantes en las tablas de routing 0!+vB y 0!+vC multiárea.
&. DES!RIP!ION GENERAL DE VTP A medida $ue aumenta el nmero de !'itces en una red de empresas pe$ue"as o medianas, la administración general re$uerida para administrar las ;5A9 y los enlaces troncales en una red se convierte en un desafío. )onsidere la red de la igura 3.
Ing. José Dennis Estela Zumaeta
!uponga $ue las ;5A9 3F, BF, y II ya se implementaron y debe agregar aora ;5A9 CF a todos los s'itces. Agregar la ;5A9 manualmente en esta red incluiría la configuración de s'itces 3B. &n redes más grandes, la administración de ;5A9 puede volverse desalentadora. &l protocolo de troncal ;5A9 -;2+/ permite $ue un administrador de redes mane%e las ;5A9 en un s'itc configurado como servidor ;2+. &l servidor ;2+ distribuye y sincroniza la información de la ;5A9 en los enlaces troncales a los s'itces abilitados por el ;2+ en toda la red conmutada. &sto minimiza los problemas causados por las configuraciones incorrectas y las inconsistencias de configuración.
Nota: &l ;2+ solo aprende sobre las ;5A9 de rango normal -(D de ;5A9 3 a 3FFJ/. 5as ;5A9 de rango e#tendido -(D mayor a 3FFJ/ no son admitidas por la versión 3 o versión B de ;2+. 5a versión C del ;2+ admite ;5A9 e#tendidas, pero no entra dentro del ámbito de este curso. Nota: &l ;2+ guarda configuraciones ;5A9 en una base de datos llamada lan.-at. 5a 2abla 3 ofrece una breve descripción de los componentes principales del ;2+.
Nota0 5as publicaciones del ;2+ no se intercambiarán si el enlace troncal entre los !'itces está inactivo.
&.&. VTP MODOS
Ing. José Dennis Estela Zumaeta Un s'itc se puede configurar en uno de los tres modos ;2+, como se describe en la 2abla 3.
5a 2abla B resume los tres modos de ;2+.
Nota: Un s'itc $ue está en modo servidor o modo cliente con un nmero de revisión de configuración más alto $ue el servidor ;2+ e#istente actualiza toda la información de la ;5A9 en el dominio ;2+. 5os nmeros de revisión de configuración se analizan más adelante en este capítulo.
Ing. José Dennis Estela Zumaeta &.#. PU8LI!A!IONES DE VTP &l ;2+ emite tres tipos de publicaciones: • •
•
Puli)a)iones -e *esumen: informan a los s'itces adyacentes el nombre de dominio del ;2+ y el nmero de revisión de configuración. Soli)itu- -e +uli)a)i,n: responde a un mensa%e de publicación de resumen cuando la publicación de resumen contiene un nmero de revisión de configuración más alto $ue el valor actual. Puli)a)iones -e sug*u+os : contienen información de ;5A9 incluido cual$uier cambio.
De forma predeterminada, los s'itces )isco e%ecutan publicaciones de resumen cada cinco minutos. 5as publicaciones de resumen informan a los s'itces del ;2+ adyacentes el nombre de dominio de ;2+ actual y el nmero de revisión de la configuración. &l nmero de revisión de la configuración es un nmero de CB bits $ue indica el nivel de revisión para un pa$uete ;2+. )ada dispositivo de ;2+ rastrea el nmero de revisión de configuración del ;2+ $ue se le asigna. &sta información se utiliza para determinar si la información recibida es más reciente $ue la versión actual. )ada vez $ue modifica una ;5A9 en un dispositivo ;2+, la revisión de la configuración se incrementa en uno. Nota: +ara reiniciar una revisión de configuración en un s'itc, cambie el nombre de dominio ;2+, y luego vuelva a cambiarlo al nombre original. )uando un s'itc recibe un pa$uete de publicación de resumen, compara el nombre de dominio de ;2+ con su propio nombre de dominio de ;2+. !i el nombre es diferente, el s'itc simplemente ignora el pa$uete. !i el nombre es el mismo, el s'itc compara la revisión de configuración con su propia revisión. !i el nmero de revisión de la configuración es mayor o igual al nmero de revisión de configuración del pa$uete, se ignora el pa$uete. !i el nmero de revisión de la configuración es más ba%o, se envía una solicitud de publicación $ue solicita para el mensa%e de publicación del subgrupo. &l mensa%e de publicación de subgrupo contiene información de la ;5A9 con cual$uier cambio. Al agregar, eliminar o cambiar una ;5A9 en el servidor ;2+, el servidor del ;2+ aumenta la revisión de configuración y emite una publicación de resumen. Una o varias publicaciones de subgrupos siguen la publicación de resumen $ue incluye la información de ;5A9 $ue incluye cual$uier cambio. &l proceso se muestra en la igura 3.
Ing. José Dennis Estela Zumaeta &.. VERSIONES DE VTP 5a versión 3 y la versión B de ;2+ se describen en la 2abla 3. 5os s'itces en el mismo dominio ;2+ deben utilizar la misma versión de ;2+.
Nota: &l ;2+vB no es muy diferente del ;2+v3 y generalmente solo se configura si se re$uiere soporte para 2oMen 7ing antiguo. 5a ltima versión de ;2+ es la versión C. !in embargo, la versión C de ;2+ no entra dentro del ámbito de este curso.
&.H. !ON"IGURA!ION PREDETERMINADA DEL VTP &l comando &6&) privilegiado s@o7 t+ status muestra el estado del ;2+. 5a e%ecución del comando en un s'itc )isco BIHF +lus genera el resultado $ue se muestra en el &%emplo 3.
5a 2abla 3 describe brevemente los parámetros s@o7 VTP status.
Ing. José Dennis Estela Zumaeta
&.'. ADVERTEN!IAS SO8RE VTP Algunos administradores de redes evitan el ;2+ por$ue podría presentar información errónea de la ;5A9 en el dominio ;2+ e#istente. !e utiliza el nmero de revisión de configuración para determinar si un s'itc debe mantener su base de datos de ;5A9 e#istente, o sobrescribirla con la actualización del ;2+ enviada por otro s'itc en el mismo dominio con la misma contrase"a. Agregar un s'itc con ;2+ abilitado a un dominio de ;2+ e#istente borrará las configuraciones de la ;5A9 e#istente en el dominio si el nuevo s'itc se configura con distintas ;5A9 y tiene un nmero de revisión de configuración más alto $ue el servidor ;2+ e#istente. &l nuevo s'itc puede ser servidor ;2+ o s'itc de cliente.
Ing. José Dennis Estela Zumaeta &sta propagación puede ser difícil de corregir. +or lo tanto, cuando un s'itc se agrega a una red, asegrese de $ue tenga la configuración predeterminada del ;2+ Un e%emplo es la red $ue e%ecuta el ;2+ en la igura 3
&l s'itc !3 es el servidor ;2+ mientras $ue los s'itces !B y !C son clientes ;2+. 2odos los s'itces están en el dominio cisco3 y la versión actual del ;2+ es 3R. Además de la ;5A9 3 predeterminada, el servidor ;2+ -!3/ tiene las ;5A9 3F y BF configuradas. &stas ;5A9 fueron propagadas por el ;2+ a los otros dos s'itces. Un t4cnico de redes agrega el ! a la red debido a la necesidad de contar con capacidad adicional. !in embargo, el t4cnico no borró la configuración de inicio o eliminó el arcivo ;5A9.DA2 en el !. &l ! tiene el mismo nombre de dominio ;2+ configurado $ue los otros dos s'itces pero su nmero de revisión es CJ, $ue es un nmero más alto $ue el nmero de revisión en los otros dos s'itces. &l ! tiene ;5A9 3 y se configura con la ;5A9 CF y F. +ero no tiene las ;5A9 3F y BF en la base de datos. Desafortunadamente, debido a $ue el ! tiene un nmero de revisión más alto, el resto de los s'itces en el dominio se sincronizarán con la revisión del !. )omo consecuencia las ;5A9 3F y BF no e#istirán más en los s'itces, lo $ue de%a sin conectividad a los clientes $ue están conectados a los puertos $ue pertenecen a ;5A9 no e#istentes. &l nmero de revisión de configuración del ;2+ se almacena en la 9;7A* -o las en algunas plataformas/ y no se restablece si borra la configuración del s'itc y lo vuelve a cargar. +ara restablecer el nmero de revisión de configuración del ;2+ en cero tiene dos opciones: • •
)ambie el dominio ;2+ del s'itc a un dominio ;2+ ine#istente y luego vuelva a cambiar el dominio al nombre original. )ambie al modo ;2+ del s'itc al modo transparente y luego vuelva al modo anterior del ;2+.
Nota: 5os comandos para restablecer el nmero de revisión de configuración del ;2+ se analizan en el pró#imo tema.
Ing. José Dennis Estela Zumaeta &.4. !ON!EPTOPS ? OPERA!IONES DE VTP
&.. DES!RIP!ION GENERAL DE LA !ON"IGURA!ION DEL VTP )omplete los siguientes pasos para configurar el ;2+:
Paso &: )onfigure el servidor ;2+ &n la igura 3, se muestra la topología de referencia para configurar y verificar una implementación de ;2+. &l s'itc !3 será el servidor ;2+ mientras $ue el !B y el !C serán los clientes.
)onfirme $ue todos los s'itces están configurados con las configuraciones predeterminadas para evitar cual$uier problema con los nmeros de revisión de
Ing. José Dennis Estela Zumaeta configuración. )onfigure el !3 como servidor ;2+ con comandos de configuración global t+ mo-e se*e* , como se muestra en el &%emplo 3.
&scriba el comando s@o7 t+ status para confirmar $ue el !3 es el servidor ;2+, como se muestra en el &%emplo B.
0bserve $ue el nmero de revisión de configuración todavía está configurado en F y la cantidad de ;5A9 e#istentes es J. &sto sucede por$ue no se configuró ninguna ;5A9 todavía y el s'itc no pertenece a un dominio ;2+. 5as J ;5A9 son la ;5A9 3 predeterminada y las ;5A9 3FFBN3FFJ
Ing. José Dennis Estela Zumaeta Paso #: )onfigure el nombre de dominio y la contrase"a del ;2+. &n la igura 3, se muestra la topología de referencia para configurar y verificar una implementación de ;2+. &l s'itc !3 será el servidor ;2+ mientras $ue el !B y el !C serán los clientes.
&l nombre de dominio está configurado con el comando de configuración global t+ -omain domain-name. &n el e%emplo 3, el nombre de dominio se configura como !!NAen el !3. &l s'itc !3 luego envía una publicación del ;2+ al !B y el !C. !i el !B y el !C tienen la configuración predeterminada con el nombre de dominio 9U55, entonces ambos s'itces aceptarán !!NA como el nuevo nombre de dominio del ;2+. &l cliente ;2+ debe tener el mismo nombre de dominio $ue el servidor del ;2+ antes de $ue acepte las publicaciones del ;2+.
+or razones de seguridad, se debe configurar una contrase"a usando el comando t+ +ass7o*-. &n el &%emplo B, la contrase"a de dominio del ;2+ se configura en )is)oH'. 2odos los s'itces en el dominio del ;2+ deben utilizar la misma contrase"a de dominio del ;2+.
Ing. José Dennis Estela Zumaeta
Paso : )onfigure los clientes ;2+ &n la igura 3, se muestra la topología de referencia para configurar y verificar una implementación de ;2+. &l s'itc !3 será el servidor ;2+ mientras $ue el !B y el !C serán los clientes.
)onfigure !B y !C como clientes ;2+ en el dominio !!NA utilizando la contrase"a de ;2+ )is)oH'. 5a configuración para el !B se muestra en el &%emplo 3. &l !C tiene una configuración id4ntica.
Ing. José Dennis Estela Zumaeta Paso H: )onfigure la ;5A9 en el servidor ;2+. &n la igura 3, se muestra la topología de referencia para configurar y verificar una implementación de ;2+. &l s'itc !3 será el servidor ;2+ mientras $ue el !B y el !C serán los clientes.
Actualmente no ay ninguna ;5A9 configurada en el !3 con e#cepción de las ;5A9 predeterminadas. )onfigure C ;5A9, como se muestra en el &%emplo 3.
Ing. José Dennis Estela Zumaeta
0bserve $ue las C ;5A9 aora están en la base de datos de ;5A9. ;erifi$ue el estado del ;2+, como se muestra en el &%emplo C.
Ing. José Dennis Estela Zumaeta 0bserve $ue el nmero de revisión de configuración se incrementó seis veces a partir del valor predeterminado de F a H. &sto es por$ue se agregaron tres nuevas ;5A9 con nombre. )ada vez $ue el administrador realiza un cambio en la base de datos de ;5A9 del servidor ;2+, este nmero se incrementará en uno. 5a cantidad aumentó en uno cuando se agregó la ;5A9 y en uno cuando se configuró el nombre para la ;5A9.
Paso ': ;erifi$ue $ue los clientes ;2+ ayan recibido la nueva información de la ;5A9 &n la igura 3, se muestra la topología de referencia para configurar y verificar una implementación de ;2+. &l s'itc !3 será el servidor ;2+ mientras $ue el !B y el !C serán los clientes.
&n el !B, verifi$ue $ue las ;5A9 configuradas en el !3 se ayan recibido y se ayan ingresado en la base de datos de ;5A9 en el !B, como se muestra en el &%emplo 3.
Ing. José Dennis Estela Zumaeta
2al como se previó, las ;5A9 configuradas en el servidor ;2+ se an propagado al !B. ;erifi$ue el estado del ;2+ en el !B, como se muestra en el &%emplo B.
0bserve $ue el nmero de revisión de configuración en el !B es el mismo $ue el nmero del servidor ;2+. Debido a $ue el !B opera en modo cliente ;2+, no se permiten los intentos para configurar las ;5A9, como se muestra en el &%emplo C.
&.. !ON"IGURAR ? !OMPRO8AR VTP
Ing. José Dennis Estela Zumaeta
Ing. José Dennis Estela Zumaeta #. VLAN NORMALES ? ETENDIDAS 5as ;5A9 se dividen en ;5A9 de rango normal o de rango e#tendido como se describe en la 2abla 3.
Nota: Un s'itc )isco )atalyst BIHF puede admitir asta BJJ ;5A9 de rango normal y rango e#tendido. !in embargo, la cantidad de ;5A9 configurada afectará el rendimiento del ard'are del s'itc. &l &%emplo 3 muestra $ue, de manera predeterminada, un s'itc )atalyst BIHF +lus no admite ;5A9 e#tendidas.
!i se re$uiere una ;5A9 e#tendida, el s'itc debe configurarse como un dispositivo con ;2+ transparente. &l &%emplo B muestra cómo crear una ;5A9 de rango e#tendido.
Ing. José Dennis Estela Zumaeta Utilice el comando s@o7 lan *ie para verificar $ue se creó la ;5A9, como se muestra en el &%emplo C
&l resultado confirma $ue se configuró la ;5A9 e#tendida BFFF y está activa.
#.&. !ON"IGURAR ? !OMPRO8AR UNA VLAN ETENDIDA
Ing. José Dennis Estela Zumaeta
. MODOS DE ENLA!E TRON!AL DEL DTP &l protocolo de enlace troncal dinámico -D2+/ ayuda a los s'itces a negociar y establecer los enlaces troncales KFB.3S. &l D2+ es un protocolo patentado por )isco. Un puerto de s'itc en un s'itc de )isco admite varios modos de enlaces troncales. &l modo de enlace troncal define la manera en la $ue el puerto negocia mediante la utilización del D2+ para configurar un enlace troncal con su puerto par. &l D2+ se configura mediante el comando de configuración de interfaz s7it)@+o*t mo-ea))ess -2nami) auto -esi*ale t*un:. 5as opciones del comando se describen en la 2abla 3.
Ing. José Dennis Estela Zumaeta
&l &%emplo 3 muestra varios comandos de puerto del D2+.
5a 2abla B muestra las combinaciones resultantes del modo troncal del D2+.
Nota: &l D2+ tambi4n puede desabilitarse en una interfaz con el comando de configuración de interfaz s7it)@+o*t nonnegotiate.
Ing. José Dennis Estela Zumaeta .&. ELIMINA!ION DE LA VLAN A veces, es necesario eliminar una ;5A9 de la base de datos de ;5A9. Al eliminar una ;5A9 de un s'itc $ue está en el modo servidor ;2+, la ;5A9 se elimina de la base de datos de ;5A9 para todos los s'itces del dominio ;2+. )uando elimina una ;5A9 de un s'itc $ue está en modo ;2+ transparente, la ;5A9 se elimina solo en ese s'itc o pila de s'itc específica.
Nota: 9o puede eliminar ;5A9 predeterminadas -es decir, ;5A9 3, 3FFB a 3FFJ/. 5a siguiente situación ilustra cómo eliminar una ;5A9. !uponga $ue el !3 tiene configuradas las ;5A9 3F, BF, y II, como se muestra en el &%emplo 3.
0bserve $ue la ;5A9 II está asignada a los puertos aFG3K a aFGB +ara eliminar una ;5A9, utilice el comando de modo de configuración global no lanvlan-id . &l &%emplo B muestra cómo eliminar la ;5A9 II en el !3 y verificar $ue se aya eliminado la ;5A9 II.
Ing. José Dennis Estela Zumaeta
)uando elimina una ;5A9, cual$uier puerto asignado a esa ;5A9 $ueda inactivo. &ste sigue asociado con la ;5A9 -y por eso está inactivo/ asta $ue lo asigna a una nueva ;5A9. 0bserve $ue las interfaces aFG3K a FGB ya no se enumeran en las asignaciones de ;5A9. 2odo puerto $ue no se a movido a una ;5A9 activa no puede comunicarse con otras estaciones luego de eliminar la ;5A9. +or lo tanto, antes de borrar una ;5A9, reasigne todos los puertos de miembros a una ;5A9 distinta
.#. SOLU!ION DE PRO8LEMAS DEL DTP 5os problemas de los enlaces troncales están relacionados con las configuraciones incorrectas. !egn la 2abla 3, ay tres problemas comunes asociados con los enlaces troncales.
Ing. José Dennis Estela Zumaeta
.. SOLU!ION DE PRO8LEMAS DEL VTP 5os problemas comunes con el ;2+ se enumeran en la 2abla 3:
Ing. José Dennis Estela Zumaeta
H. !ON!EPTOS PARA EL APILAMIENTO DE S6IT!CES Una pila de s'itc puede contener asta nueve s'itces )atalyst CRJF conectados a trav4s de sus puertos !tacM1ise. Uno de los s'itces controla la operación de la pila y se denomina s'itc maestro de la pila. &l s'itc maestro de la pila y otros s'itces de la pila son miembros de la pila. 5os protocolos de capa B y capa C presentan la pila de s'itc completa como una sola entidad para la red. 5a igura 3 muestra la placa de circuito de cuatro s'itces )atalyst CRJF y cómo están conectados en una pila.
)ada miembro se identifica mediante su propio nmero de miembro de la pila. 2odos los miembros se pueden elegir como maestros. !i el maestro de%a de estar disponible, e#iste un proceso automático para escoger un nuevo s'itc maestro entre los miembros de la pila restantes. Uno de los factores es el valor de prioridad de miembro de la pila. &l s'itc con el valor de prioridad más alto de miembro de la pila se convierte en maestro.
Ing. José Dennis Estela Zumaeta Uno de los beneficios principales de una pila de s'itc es $ue usted administra la pila mediante una nica dirección (+. 5a dirección (+ es una configuración a nivel del sistema y no es específica para el maestro u otro miembro. +uede administrar la pila a trav4s de la misma dirección (+ incluso si se $uita el maestro o cual$uier otro miembro de la pila. &l maestro contiene arcivos guardados y de configuración de e%ecución para la pila. +or lo tanto, ay solo un arcivo de configuración a administrar y mantener. 5os arcivos de configuración incluyen las configuraciones del nivel de sistema para la pila y las configuraciones de nivel de interfaz para cada miembro. )ada miembro tiene una copia actual de estos arcivos como respaldo. &l s'itc se administra como s'itc nico incluidas las contrase"as, ;5A9 e interfaces. &l &%emplo 3 muestra las interfaces en una pila de s'itces con cuatro s'itces de JB puertos. 0bserve $ue el primer nmero luego del tipo de interfaz es el nmero de miembro de la pila.
Ing. José Dennis Estela Zumaeta
H.&. AR8OL DE EPANSI
Ing. José Dennis Estela Zumaeta
&l diámetro recomendado se basa en los valores de los temporizadores de !2+ predeterminados, $ue son los siguientes:
2emporizador de saludo -B segundos/: el intervalo entre las actualizaciones de L+DU. 2emporizador de edad má#ima -BF segundos/: la cantidad má#ima de tiempo $ue un s'itc guarda información de L+DU. 2emporizador de retraso en el envío -3J segundos/: el tiempo $ue transcurre en los estados de escucar y aprender.
Nota: 5as fórmulas usadas para calcular el diámetro e#ceden el ámbito de este curso. )onsulte el siguiente documento de )isco para obtener más información: ttp:GG'''.cisco.comGcGenGusGsupportGdocsGlan Ns'itcingGspanning N tree protocolG3I3BF N3BB.tml 5as pilas de s'itc ayudan a mantener o reducir el impacto del diámetro en la reconvergencia del !2+. &n una pila de s'itc, todos los s'itces utilizan el mismo (D de puente para una instancia de árbol de e#pansión determinada. &sto significa $ue, si los s'itces de la igura 3 están apilados, como se muestra en la igura B, el diámetro má#imo es de C en lugar de I.
Ing. José Dennis Estela Zumaeta
Re)u*sos0 Administración de pilas de s'itc. ttp:GG'''.cisco.comGcGenGusGtdGdocsGs'itcesGlanGcatalystCRJFGsoft'areGreleas eG3JN FTBTseGconfigurationGguideGscgCRJFGs'stacM.tml -&nlaces a un sitio e#terno./ )onfiguración del !2+. ttp:GG'''.cisco.comGcGenGusGtdGdocsGs'itcesGlanGcatalystCRJFGsoft'areGreleaseG FTBTseGconfigurationGguideGscgCRJFGs'stp.tml -&nlaces a un sitio e#terno./ (nstalación del s'itc. ttp:GG'''.cisco.comGcGenGusGtdGdocsGs'itcesGlanGcatalystCKJFGard'areGinstal lationGguideGbTcCKJFTigGbTcCKJFTigTcapterTF3F.tml -&nlaces a un sitio e#terno./
H.#. IDENTI"I!AR LOS !ON!EPTOS DE APILAMIENTO DEL S6IT!C
3JN
Ing. José Dennis Estela Zumaeta '. DES!RIP!ION GENERAL DE CSRP &l +rotocolo de router de reserva activa -!7+/ fue dise"ado por )isco para permitir la redundancia de gate'ay sin una configuración adicional de los terminales. 5os routers configurados con !7+ funcionan en con%unto para funcionar como un nico gate'ay predeterminado virtual -router/ para los terminales, como se muestra en la igura 3. &l !7+ selecciona uno de los routers para $ue sea el router activo. &l router activo actuará como gate'ay predeterminado para los terminales. &l otro router será el router de reserva. !i falla el router activo, el router de reserva asumirá automáticamente el rol de router activo. Asumirá la función del gate'ay predeterminado para los terminales. 9o se re$uieren cambios de configuración en los terminales.
&l router activo del !7+ y el router de reserva presentan a una nica dirección de gate'ay predeterminado a los terminales. 5a dirección de gate'ay predeterminado es una dirección (+ virtual %unto con una dirección *A) virtual compartida entre ambos routers !7+. 5os terminales utilizan esta dirección (+ virtual como su dirección de gate'ay predeterminado. &l administrador de redes configura la dirección (+ virtual del !7+. 5a dirección *A) virtual se crea automáticamente. !in importar $ue router físico se utilice, la (+ virtual y las direcciones *A) proporcionan la asignación de direcciones al gate'ay predeterminado para los terminales. !olo el router activo recibirá y reenviará el tráfico enviado al gate'ay predeterminado. !i falla el router activo, o falla la comunicación al router activo, el router de reserva asume el rol de router activo.
Ing. José Dennis Estela Zumaeta '.&. VERSIONES DEL CSRP 5a versión predeterminada para )isco (0! 3J es la 3. 5a versión B del !7+ proporciona las siguientes me%oras:
!7+vB aumenta la cantidad de grupos admitidos. 5a versión 3 de !7+ admite los nmeros de grupo de F a BJJ. 5a versión B de !7+ admite los nmeros de grupo de F a FIJ. !7+v3 usa la dirección de multidifusión BB.F.F.B. &l !7+ versión B utiliza la dirección de multidifusión (+v BB.F.F.3FB o a la dirección (+vH de multidifusión FB:: HH para enviar pa$uetes de saludo. !7+v3 usa el rango de direcciones *A) virtual FFFF.F)FR.A)FF a FFFF.F)FR.A), donde los ltimos dos dígitos e#adecimales indican el nmero de grupo del !7+. !7+ vB usa el rango de direcciones *A) de FFFF.F)I.FFF a FFFF.F)I. para (+v y de FFFJ.RCAF.FFFF a FFFJ.RCAF.F para direcciones (+vH. +ara (+v e (+vH, los ltimos tres dígitos e#adecimales de la dirección *A) indican el nmero de grupo del !7+. !7+vB incorpora la compatibilidad para autenticación *DJ, tema $ue no se encuentra dentro del ámbito de este curso.
Nota: 5os nmeros de grupo se utilizan para configuraciones !7+ más avanzadas $ue están fuera del ámbito de este curso. +ara nuestros fines, utilizaremos el nmero de grupo 3
'.#. PRIORIDAD E INTENTO DE PRIORIDAD DEL CSRP &l rol de los routers activos y de reserva se determina durante el proceso de elección del !7+. De manera predeterminada, el router con la dirección (+ num4ricamente más alta se elige como router activo. !in embargo, siempre es me%or conocer cómo funcionará su red en condiciones normales en lugar de de%arlo librado al azar.
PRIORIDAD DE CSRP 5a prioridad !7+ se puede utilizar para determinar el router activo. &l router con la prioridad !7+ más alta será el router activo. De manera predeterminada, la prioridad !7+ es 3FF. !i las prioridades son iguales, el router con la dirección (+ num4ricamente más alta es elegido como router activo. +ara configurar un router para $ue sea el router activo, utilice el comando de interfaz stan-2 +*io*it2. &l rango de prioridad !7+ es de F a BJJ.
INTENTO DE PRIORIDAD DE CSRP De forma predeterminada, despu4s de $ue un router se convierte en el router activo, seguirá siendo el router activo incluso si otro router está disponible en línea con una prioridad !7+ más alta. +ara forzar un nuevo proceso de elección del !7+, el intento de prioridad se debe activar mediante el comando de interfaz stan-2 +*eem+t. &l intento de prioridad es la capacidad de un router !7+ de activar el proceso de la nueva elección. )on este intento de prioridad activado, un router disponible en línea con una prioridad !7+ más alta asume el rol de router activo.
Ing. José Dennis Estela Zumaeta &l intento de prioridad solo permite $ue un router se convierta en router activo si tiene una prioridad más alta. Un router abilitado para intento de propiedad, con una prioridad e$uivalente pero una dirección (+ más alta no realizará desplazará la prioridad de un router activo. )onsulte la topología en la igura 3.
&l 73 se configuró con la prioridad de !7+ de 3JF mientras $ue el 7B tiene la prioridad de !7+ predeterminada de 3FF. &l intento de prioridad está abilitado en el 73. )on una prioridad más alta, el 73 es el router activo y el 7B es el router de reserva. Debido a un corte de energía $ue solo afecta al 73, el router activo ya no está disponible y el router de reserva 7B asume el rol de router activo. Despu4s de $ue se restaura la energía, el 73 vuelve a estar en línea. Dado $ue 73 tiene una prioridad más alta y el intento de prioridad se encuentra abilitado, forzará un nuevo proceso de elección. 73 reanudará su rol de router activo y el 7B volverá al rol de router de reserva. Nota: !i el intento de prioridad está desactivado, el router $ue arran$ue primero será el router activo si no ay otros routers en línea durante el proceso de elección.
'.. ESTADOS DE CSRP Un router puede ser el router !7+ activo responsable del reenvío del tráfico para el segmento, o puede ser un router !7+ pasivo de reserva, listo para asumir un rol activo si falla el router activo. )uando se configura una interfaz con !7+ o se abilita primero con una configuración !7+ e#istente, el router envía y recibe pa$uetes de saludo del !7+ para comenzar el proceso de determinar $u4 estado asumirá en el grupo !7+. 5a 2abla 3 resume los estados de !7+:
Ing. José Dennis Estela Zumaeta
'.H. TEMPORIZADORES DE CSRP De manera predeterminada, los routers activos y de reserva de !7+ envían pa$uetes de saludo a la dirección de multidifusión del grupo !7+ cada C segundos. &l router de reserva se convertirá en activo si no recibe un mensa%e de saludo del router activo despu4s de 3F segundos. +uede ba%ar estas configuraciones del temporizador para agilizar las fallas o el intento de prioridad. !in embargo, para evitar el aumento del uso de la )+U y cambios de estado de reserva innecesarios, no configure el temporizador de saludo a menos de 3 segundo o el temporizador de espera a menos de segundos.
'.'. IDENTI"I!A!ION LA TERMINOLOGIA ? EL ESTADO DEL CSRP
Ing. José Dennis Estela Zumaeta
'.4. !OMANDOS DE !ON"IGURA!ION DE CSRP !iga estos pasos para configurar el !7+:
Paso &. )onfigure la versión B del !7+. Paso #. )onfigure la dirección (+ virtual para el grupo. Paso . )onfigure la prioridad para el router activo deseado de modo $ue sea superior a 3FF.
Paso H. )onfigure el router activo para sustituir al router de reserva en caso de $ue el router activo vuelva a estar en línea despu4s del router de reserva. 5a 2abla 3 muestra la sinta#is de comandos utilizada para completar los pasos de configuración.
Ing. José Dennis Estela Zumaeta '.. EJEMPLO DE !ON"IGURA!ION DE CSRP &l &%emplo 3 muestra las configuraciones del 73 y el 7B en la igura 3.
'.. VERI"I!A!I
Ing. José Dennis Estela Zumaeta
+ara verificar $ue el !7+ est4 configurado correctamente, utilice el comando s@o7 stan-2 como se muestra en el &%emplo 3 para el 73 y el 7B.
E5em+lo &0 Ve*ii)a)i,n -e CSRP en el R& 2 el R#
Ing. José Dennis Estela Zumaeta
Nota: +uede cambiar el nombre de grupo predeterminado con el comando de configuración de interfaz stan-2 group-number V name group-name. 2ambi4n puede utilizar el comando s@o7 stan-2 *ie , como se muestra en el &%emplo B para 73 y 7B.
Ing. José Dennis Estela Zumaeta '.. "ALLA DE CSRP +ara solucionar problemas de !7+, debe comprender el funcionamiento básico. 5a mayoría de los problemas se presentará durante una de las siguientes funciones de !7+:
9o poder elegir correctamente el router activo $ue controla la (+ virtual para el grupo. &l router de reserva no puede realizar el correctamente el seguimiento del router activo. 9o poder determinar cuándo el control de (+ virtual para el grupo se debe brindar a otro router. 5as terminales no pueden configurar correctamente la dirección (+ virtual como gate'ay predeterminado.
'.&$. !OMANDOS DE DEPURA!ION DE CSRP 5os comandos de depuración del !7+ le permiten ver el funcionamiento del !7+ cuando un router falla o está administrativamente apagado. 5os comandos de depuración de !7+ disponibles pueden verse ingresando el comando -eug stan-29, como se muestra en el &%emplo 3.
Use -eug stan-2 +a):ets para ver la recepción y el envío de pa$uetes de saludo cada C segundos, como se muestra en el &%emplo B para el 7B en la igura 3. 5os routers !7+ supervisan estos pa$uetes de saludo e iniciarán un cambio de estado despu4s de 3F segundos si no reciben saludos de un vecino de !7+.
Ing. José Dennis Estela Zumaeta
&l !7+ se comporta de manera diferente, dependiendo de si el router activo falla o si es apagado manualmente por el administrador. Utilice -eug stan-2 te*se, como se muestra en el &%emplo C, para ver los eventos del !7+ mientras el 73 se apaga y el 7B asume la función del router !7+ activo para la red 3RB.3H.3F.FGB
&l e%emplo muestra $u4 sucede en el 7B cuando el 73 se vuelve a encender. Debido a $ue el 73 se configura con el comando stan-2 & +*eem+t , inicia un pulso y asume el rol de router activo, como se destaca a continuación. &l resto del resultado muestra $ue el 7B escuca activamente los mensa%es de saludo durante el estado !peaM asta $ue confirma $ue el 73 es el nuevo router activo y el 7B es el nuevo router de reserva
Ing. José Dennis Estela Zumaeta
!i la interfaz EFG3 del 73 está administrativamente apagada, el 73 envía un mensa%e (nit $ue indica a todos los routers !7+ en el enlace $ue está renunciando a su rol de router activo. )omo se muestra en el e%emplo J, 3F segundos despu4s el 7B asume el rol de router activo de !7+.
Ing. José Dennis Estela Zumaeta
0bserve $ue el 7B inicia un temporizador de espera pasivo para el 73. Despu4s de C minutos, este temporizador de espera pasivo e#pira y el 73 -3RB.3H.3F.B/ se destruye, lo $ue significa $ue se elimina de la base de datos del !7+.
'.&&. PRO8LEMAS !OMUNES DE !ON"IGURA!ION CSRP 5os comandos -eug en la página anterior ilustran el funcionamiento esperado del !7+. 2ambi4n puede utilizar los comandos -eug para detectar problemas comunes de configuración:
Ing. José Dennis Estela Zumaeta
5os routers en !7+ no están conectados al mismo segmento de red. !i bien esto podría ser un problema de la capa física, tambi4n podría ser un problema de configuración de la subinterfaz de ;5A9. 5os routers en !7+ no están configurados con las direcciones (+ de la misma subred. 5os pa$uetes de saludo del !7+ son locales. 9o se enrutan más allá del segmento de red. +or lo tanto, un router de reserva no sabría cuándo falla el router activo. 5os routers en !7+ no están configurados con la misma dirección (+ virtual. 5a dirección (+ virtual es el gate'ay predeterminado para terminales. 5os routers en !7+ no están configurados con el mismo nmero de grupo !7+. &sto ará $ue cada router asuma un rol activo. 5os terminales no se configuran con la dirección de gate'ay predeterminada correcta. Aun$ue no está relacionado directamente con el !7+, configurar el servidor D)+ con una de las direcciones (+ reales del router en !7+ significaría $ue los terminales tendrían solo conectividad a redes remotas cuando dico router !7+ est4 activo.
'.. SOLU!I
Ing. José Dennis Estela Zumaeta 4. CA8ILIDADES PARA LA SOLU!I
)omprender los procesos $ue 0!+ utiliza para distribuir, guardar y seleccionar la información de routing. )omprender cómo fluye la información de 0!+ dentro de las áreas y entre las mismas. Utilizar los comandos de )isco (0! para recopilar e interpretar la información necesaria para solucionar problemas de funcionamiento de 0!+.
4.&. ESTRU!TURA DE DATOS OSP" MULTIAREA 0!+ almacena la información de routing en cuatro estructuras de datos principales:
Tala -e la inte*aQ0 esta tabla incluye una lista de todas las interfaces activas $ue se ayan abilitado para 0!+. 5os 5!A de tipo 3 incluyen las subredes asociadas a cada interfaz activa. Tala -e e)inos0 esta tabla se utiliza para administrar las adyacencias de vecinos a trav4s de los temporizadores de saludo y de los temporizadores muertos. !e agregan y se actualizan las entradas vecinas cuando se recibe un saludo. 5os vecinos se eliminan cuando e#pira el temporizador muerto. 8ase -e -atos -e esta-o -e enla)e0 &s la estructura de datos principales $ue utiliza 0!+ para almacenar información de la topología de la red. (ncluye información topológica completa sobre cada área a la $ue el router 0!+ está conectado, así como cual$uier ruta $ue est4 disponible alcanzar otras redes o sistemas autónomos. Tala -e *outing0 despu4s de $ue se calcula el algoritmo !+, se ofrecen a la tabla de enrutamiento las me%ores rutas para cada red.
4.#. SITUA!I
Ing. José Dennis Estela Zumaeta
Usted utilizaría este conocimiento acerca de $u4 información debe estar visible en estructuras de datos 0!+ para comparar con lo $ue se ve realmente al utilizar los comandos so' de )isco (0!.
Ing. José Dennis Estela Zumaeta
!ONEION A LAS REDES ( !!NA H PUENTE !N0 DES!RIP!ION GENERAL • • • • • • • • • • • • •
plicar el propósito de una 1A9. Describir las ;+9 de sitio a sitio y de acceso remoto. (mplementar un router )isco con +++o&. )onfigurar el protocolo &LE+ en una red de acceso remoto nico dirigida. 7esolver problemas comunes de A)5 con los comandos de )5(. plicar cómo mitigar los ata$ues comunes de seguridad 5A9. )onfigurar !9*+ para supervisar las operaciones en una red de una empresa pe$ue"a a mediana. 7esolver un problema de red utilizando !+A9. plicar el propósito y las características de So!. plicar la forma en la $ue los dispositivos de red implementan So!. plicar por $u4 la computación en la nube y la virtualización son necesarias para redes en evolución. plicar por $u4 la programabilidad de la red es necesaria para las redes en evolución. Utilizar un (+ !5A basado en eco ()*+ para resolver problemas de conectividad de red.
&. TOPOLOGIAS DE 6AN 5a intercone#ión de varios sitios a trav4s de 1A9 puede incluir una variedad de tecnologías del proveedor de servicios y de topologías de 1A9. 5as topologías de 1A9 más comunes son:
PUNTO A PUNTO Una topología punto a punto, como se muestra en la igura 3, utiliza un circuito punto a punto entre dos terminales. Eeneralmente se trata de cone#iones de líneas al$uiladas dedicadas como las líneas 23G&3. Una cone#ión punto a punto implica un servicio de transporte de capa B a trav4s de la red del proveedor de servicios. 5os pa$uetes enviados desde un sitio se entregan a otro sitio y viceversa. Una cone#ión punto a punto es
Ing. José Dennis Estela Zumaeta transparente para la red del cliente, como si ubiera un enlace físico directo entre dos terminales.
DE ESTRELLA !i se re$uiere una cone#ión de red privada entre varios sitios, entonces una topología punto a punto con mltiples circuitos punto a punto es una opción. )ada circuito punto a punto re$uiere su propia interfaz de ard'are dedicada $ue re$uiere mltiples routers con tar%etas de interfaz 1A9. !uele ser una opción costosa. Una opción menos costosa es una topología de punto a multipunto -igura B/, tambi4n conocida como topología de estrella -ub and spoMe/. )on una topología de estrella -ubNandNspoMe/ una sola interfaz a ub puede ser compartida por todos los circuitos de radio. +or e%emplo, los sitios radiales se pueden interconectar a trav4s del sitio de ubs mediante circuitos virtuales y subinterfaces enrutadas del ub. Una topología de estrella -ub and spoMe/ tambi4n es un e%emplo de una topología de cone#ión nica.
Ing. José Dennis Estela Zumaeta MALLA !OMPLETA Una de las desventa%as de las topologías de estrella es $ue la comunicación debe pasar a trav4s del ub. )on una topología de malla completa -igura C/ mediante circuitos virtuales, cual$uier sitio puede comunicarse directamente con cual$uier otro sitio. 5a desventa%a a$uí es la gran cantidad de circuitos virtuales $ue se deben configurar y mantener.
TOPOLOGIA DE DO8LE !ONEI
#. DMVPN
Ing. José Dennis Estela Zumaeta 5a ;+9 dinámica multipunto -D*;+9/ es una solución de )isco para crear ;+9 mltiples de forma fácil, dinámica y escalable. &l ob%etivo es simplificar la configuración y conectar los sitios de la oficina central con facilidad y fle#ibilidad con las sucursales. &sto se denomina Pconcentrador a radioP, como se muestra en la igura 3
)on los D*;+9, las sucursales tambi4n pueden comunicarse directamente con otras sucursales, como se muestra en la igura B.
&l D*;+9 se crea utilizando las siguientes tecnologías: • • •
9e#t op 7esolution +rotocol -97+/. 2neles de encapsulación de routing gen4rico multipunto -mE7&/. )ifrado de protocolo de seguridad (+ -(+sec/.
Ing. José Dennis Estela Zumaeta 97+ es un protocolo de resolución y de almacenamiento en cac4 de capa B similar al protocolo de resolución de direcciones -A7+/. 97+ crea una base de datos de asignación distribuida de direcciones (+ pblicas para todos los radios del tnel. 97+ es un protocolo clienteNservidor $ue consta del ub de 97+ conocido como el servidor del siguiente salto -9!/ y los radios de 97+ conocidos como los clientes del siguientes salto -9)/. &ncapsulación de routing gen4rico -E7&/ es un protocolo de tnel desarrollado por )isco $ue puede encapsular una amplia variedad de tipos de pa$uetes de protocolo dentro de tneles (+. Una interfaz de tnel mE7& permite $ue una nica interfaz de E7& admita tneles (+!ec mltiples. )on la interfaz mE7&, se crean tneles asignados de manera dinámica a trav4s de un origen de tnel permanente en el ub y de los destinos de tnel asignados de manera dinámica $ue se crean en los radios segn sea necesario. &sto reduce el tama"o y simplifica la comple%idad de la configuración. Al igual $ue otros tipos de ;+9, la D*;+9 depende de (+sec para proporcionar el transporte seguro de información privada en redes pblicas, como (nternet.
. !OMANDOS DE VERI"I!A!ION DE PPPoE )omo se muestra en la igura 3, el router del cliente se conecta al router (!+ utilizando D!5. Ambos routers fueron configurados para +++o&.
)omo se muestra en el &%emplo 3, el comando s@o7 i+ inte*a)e *ie se e%ecuta en 73 para verificar la dirección (+v asignada automáticamente a la interfaz del marcador por el router (!+.
)omo se muestra en el &%emplo B, el comando s@o7 inte*a)e -iale* en 73 verifica el encapsulamiento de *2U y +++ configurado en la interfaz del marcador.
Ing. José Dennis Estela Zumaeta
&n &%emplo C muestra la tabla de routing en 73.
2enga en cuenta $ue se instalaron dos rutas de ost GCB para 3F.F.F.F en la tabla de routing 73. 5a primera ruta de ost para la dirección asignada a la interfaz del marcador. 5a segunda ruta de ost es la dirección (+v del (!+. 5a instalación de esas dos rutas de ost es el comportamiento predeterminado para +++o&. )omo se muestra en el &%emplo , el comando s@o7 +++oe session se utiliza para mostrar información acerca de las sesiones +++o& actualmente activas. &l resultado muestra las direcciones de &ternet *A) locales y remotas de ambos routers. 5as direcciones &ternet *A) se pueden verificar utilizando el comando s@o7 inte*a)es en cada router.
Ing. José Dennis Estela Zumaeta
.&. DES!RIP!ION GENERAL DE LA SOLU!I
alla en el proceso de negociación de +++. alla en el proceso de autenticación de +++. alla en el a%uste del tama"o má#imo del segmento de 2)+.
.#. NEGO!IA!I
ay cuatro puntos principales de fallas en una negociación +++: •
9o ay respuesta del dispositivo remoto -el (!+/.
Ing. José Dennis Estela Zumaeta • • •
+rotocolo de control de enlaces -5)+/ no abierto. alla de autenticación. alla del protocolo de control de (+ -(+)+/.
.. AUTENTI!A!ION PPPoE Despu4s de confirmar con el proveedor de servicios de (nternet -(!+/ $ue utiliza )A+, verifi$ue $ue el nombre de usuario y la contrase"a de )A+ sean correctos. &l e%emplo 3 muestra la configuración de )A+ en la interfaz dialerB.
&l ree#amen del resultado del comando debug ppp negotiation, en el e%emplo B, verifica $ue el nombre de usuario de )A+ es correcto.
!i el nombre de usuario y la contrase"a de )A+ fueran incorrectos, el resultado del comando debug ppp negotiation mostrará un mensa%e de error de autenticación, como se muestra en el &%emplo C.
Ing. José Dennis Estela Zumaeta
.H. TAMAKO DE PPPoE MTU &l acceso a algunas páginas 'eb puede ser un problema con +++o&. )uando un cliente solicita una página 'eb, se produce un protocolo 2)+ de enlace de tres vías entre el cliente y el servidor 'eb. Durante la negociación, el cliente especifica el valor del tama"o má#imo del segmento -*!!/ de 2)+. &l *!! del 2)+ es el tama"o má#imo de la porción de datos del segmento 2)+. Un ost determina el valor de su campo de *!! restando los encabezados (+ y 2)+ de unidad má#ima de transmisión -*2U/ de &ternet. &n una interfaz de &ternet, el *2U predeterminado es de 3JFF bytes. !i se sustrae el encabezado de (+v de BF bytes y el encabezado 2)+ de BF bytes, el tama"o del valor predeterminado *!! será de 3HF bytes, como se muestra en la igura 3
&l tama"o predeterminado de *!! es de 3HF bytes, cuando el *2U predeterminado es de 3JFF bytes. !in embargo, +++o& admite un *2U de sólo 3IB bytes $ue para adaptarse al encabezado +++o& adicional de K bytes $ue se muestra en la igura B.
Ing. José Dennis Estela Zumaeta +uede verificar el tama"o de *2U de +++o& en la configuración en e%ecución, como se muestra en el &%emplo 3.
&sta disparidad entre el ost y el tama"o de *2U de +++o& puede acer $ue el router descarte pa$uetes de 3JFF bytes y termine las sesiones de 2)+ en la red de +++o&. &l comando i+ t)+ a-5ust%mss max-segment-size del comando ayuda a evitar $ue se descarte las sesiones de 2)+ a%ustando el valor de *!! durante el protocolo 2)+ de enlace de tres vías. &n la mayoría de los casos, el valor óptimo para el argumento maxsegment-size es de 3JB bytes. &n el &%emplo B, se muestra esta configuración en la interfaz 5A9 de 73.
&l valor de *!! del 2)+ de 3JB, más el encabezado de (+v de BF bytes, el encabezado de 2)+ de BF bytes y el encabezado de +++o& de K bytes da como resultado un *2U de 3JFF bytes, como se muestra en la igura B.
H. ROUTING PROTO!OLS IGP ? EGP (+, &(E7+ y 0!+ son protocolos de gate'ay interior -(E+/. 5os (!+ y sus clientes, como corporaciones y otras empresas, generalmente utilizan un (E+ para enrutar el tráfico dentro de sus redes. 5os (E+ se utilizan para intercambiar información de routing dentro de una red de una empresa o de un sistema autónomo -A!/. &l protocolo de puerta de enlace fronteriza -LE+/ es un protocolo de gate'ay e#terior -&E+/ utilizado para el intercambio de información de routing entre sistemas autónomos, como (!+, empresas, y proveedores de contenido -por e%emplo,
Nota0 2ambi4n ay nmeros A! privados. !in embargo, los nmeros A! privados están más allá del alcance de este curso.
Ing. José Dennis Estela Zumaeta
5os protocolos de routing internos utilizan una m4trica específica, como el costo de 0!+, para determinar las me%ores rutas acia las redes de destino. LE+ no utiliza una sola m4trica, a diferencia de los (E+. 5os routers LE+ intercambian varios atributos de ruta $ue incluyen una lista de nmeros de A! -salto por salto/ necesarios para lograr una red de destino. +or e%emplo, en la igura 3 A! HJFFB pueden utilizar la ruta A! de HJFFC y HJFFJ para llegar a una red dentro del proveedor de contenido A! HJFFJ. &l LE+ se conoce como un protocolo de routing de vector de ruta.
Nota0 la ruta A! es uno de varios atributos $ue pueden ser utilizados por el LE+ para determinar el me%or camino. !in embargo, los atributos de ruta y la determinación del me%or camino de LE+ e#ceden el alcance de este curso. 5as actualizaciones de LE+ se encapsulan sobre el 2)+ en el puerto 3RI. +or lo tanto, LE+ conserva las propiedades orientadas a la cone#ión 2)+, lo $ue asegura $ue las actualizaciones de LE+ se transmitan de manera confiable. 5os protocolos de routing de (E+ se utilizan para enrutar el tráfico dentro de la misma organización, y son administrados por una sola organización. &n cambio, el LE+ se utiliza para el enrutamiento entre redes administradas por dos organizaciones diferentes. &l LE+ es utilizado por un A! para publicar sus redes y, en algunos casos, las redes aprendidas de otros sistemas autónomos, en el resto de (nternet.
H.&. e8GP e i8GP !e denomina Ppares LE+P a dos routers $ue intercambian información de routing de LE+. )omo se muestra en la igura 3, e#isten dos tipos de LE+: •
8GP e/te*no e8GPF: &l LE+ e#terno es el protocolo de routing utilizado entre
•
los routers de sistemas autónomos diferentes. 8GP inte*no i8GPF: &l LE+ interno es el protocolo de routing utilizado entre los routers del mismo A!.
&ste curso se centra en el protocolo &LE+ nicamente.
Ing. José Dennis Estela Zumaeta Nota0 isten algunas diferencias en la manera en la $ue funciona el LE+O esto depende de si los dos routers son pares de eLE+ o pares iLE+. !in embargo, estas diferencias están más allá del alcance de este curso.
H.#. !UANDO UTILIZAE EL 8GP &l uso de LE+ resulta muy apropiado cuando un A! tiene cone#iones a sistemas autónomos mltiples. &sto se conoce como =alo%amiento mltiple>. )ada A! en la igura 3 es un entorno de ost mltiples por$ue cada A! tiene cone#iones con al menos otros dos sistemas autónomos o pares LE+. Antes de e%ecutar e%ecutar LE+, LE+, es importante importante $ue el administrado administradorr de red conozca y entienda entienda bien bi en el LE LE+ +. Un Una a co conf nfig igur urac ació ión n in inco corr rrec ecta ta de un ro rout uter er LE LE+ + pu pued ede e te tene ner r consecuencias negativas en toda la (nternet.
Ing. José Dennis Estela Zumaeta
H.. !UANDO NO SE DE8E UTILIZAR 8GP &l LE+ no debe utilizarse cuando e#iste al menos una de las siguientes condiciones: •
•
ay una una sola sola cone#i cone#ión ón a (nter (nternet net u otro otro A!. &sto &sto se cono conoce ce como como =alo%a =alo%amien miento to simple>. &n este caso, la empresa A puede e%ecutar un (E+ con el (!+ o tanto la empresa A y como el (!+ utilizarán rutas estáticas, como se muestra en la igura 3. Aun$ue esto se recomienda solo en situaciones inusuales, en este curso, configurará un LE+ de alo%amiento simple. )uando )uan do ay ay una una compr comprensi ensión ón limit limitada ada del LE+ LE+.. Una conf configur iguración ación inco incorre rrecta cta de un router LE+ puede producir errores de gran alcance más allá del A! local, y esto puede tener un impacto negativo en los routers en (nternet
Nota: isten algunas situaciones de alo%amiento simple donde el LE+ puede ser apropiado, como la necesidad de una política de routing específica. !in embargo, las políticas de routing están más allá del alcance de este curso.
H.H. OP!IONES DE 8GP &l LE+ es utilizado por los sistemas autónomos para publicar las redes $ue se originaron dentro del A! o, en el caso de los (!+, las redes $ue se originaron en otros sistemas autónomos. +or e%emplo, una empresa $ue se conecta al (!+ utilizando LE+ publicaría sus direcciones de red en su (!+. &l (!+ luego publicaría dicas redes en otros (!+ -pares
Ing. José Dennis Estela Zumaeta LE+/. inalmente, el resto de los sistemas autónomos en (nternet aprenden sobre las redes originadas inicialmente por la empresa. isten tres maneras comunes mediante las cuales una organización puede elegir implementar el LE+ en un entorno de alo%amientos mltiples:
RUTA PREDETERMINADA SOLAMENTE &l (!+ publica una ruta predeterminada en la empresa A, como se muestra en la igura 3. 5as flecas indican $ue el valor predeterminado está configurado en los (!+, no en la empresa A. &ste es el m4todo más simple para implementar el LE+. !in embargo, debido a $ue la empresa recibe una sola ruta predeterminada de ambos (!+, se puede producir el routing por deba%o del nivel óptimo. +or e%emplo, la empresa A puede elegir usar la ruta predeterminada desde (!+N3 cuando envía pa$uetes a una red de destino en los (!+NB A!.
RUTA PREDETERMINADA ? RUTAS DE ISP 5os (!+ publican su ruta predeterminada y su red en la empresa A, como se muestra en la igura B. &sta opción permite $ue la empresa A reenvíe el tráfico al (!+ correspondiente para las redes anunciadas por ese (!+. +or e%emplo, la empresa A elegiría el (!+N3 para redes publicadas por el (!+N3. +ara todas las demás redes, se puede usar una de las dos rutas predeterminadas, lo $ue significa $ue el routing por deba%o del nivel óptimo an puede tener lugar para el resto de las rutas de (nternet.
Ing. José Dennis Estela Zumaeta
TODAS LAS RUTAS DE INTERNET 5os (!+ publican todas las rutas de (nternet a la empresa A, como se muestra en la igura C. Debido a $ue la empresa A recibe todas las rutas de (nternet de ambos (!+, la empresa A puede determinar $u4 (!+ utilizará como la me%or ruta para reenviar tráfico acia cual$uier red. !i bien esto resuelve el problema del routing por deba%o del nivel óptimo, el router LE+ de la empresa A debe contener todas las rutas de (nternet, $ue son actualmente las rutas a más de JJF FFF redes.
Ing. José Dennis Estela Zumaeta
H.'. IDENTI"I!AR LA TERMINOLOGIA DE 8GP
H.4. IDENTI"I!AR EL DISEKO DE 8GP
Ing. José Dennis Estela Zumaeta
H.. PASOS PARA !ON"IGURAR e8GP +ara implementar eLE+ para este curso, deberá completar las siguientes tareas:
Paso &: abilitar el routing LE+. Paso #: )onfigurar el vecino LE+ -peering/. Paso : +ublicar las redes $ue se originan de este A!. 5a 2abla 3 muestra la sinta#is de comandos y una descripción para la configuración básica del protocolo eLE+.
H.. EJEMPLO DE !ON"IGURA!ION DE 8GP 5a igura 3 muestra una topología de LE+ de alo%amiento simple. Utilizando el protocolo eLE+, la empresa A en A! HJFFF publicará su red 3IK.3CC.B3I.FGB en (!+3 a A! HJFF3. &l (!+N3 anunciará una ruta predeterminada en las actualizaciones de eLE+ a la empresa A.
Nota0 &l protocolo LE+ normalmente no es necesario en A! de alo%amiento simple. !e utiliza a$uí para proporcionar un e%emplo de configuración sencilla.
&l e%emplo 3 muestra la configuración de LE+ para la empresa A. 5os clientes utilizarán generalmente el espacio privado para la dirección postal (+v para los dispositivos internos dentro de su propia red. 5uego, el router de la empresa A utiliza 9A2 para traducir estas direcciones privadas (+v privadas a una de sus direcciones (+v pblicas, publicadas por el protocolo LE+ en el (!+.
Ing. José Dennis Estela Zumaeta
&l comando *oute* g+ abilita el LE+ e identifica el nmero de A! para la empresa A. Un router sólo puede pertenecer a una sola A!, de modo $ue solo puede e%ecutase un nico proceso de LE+ en un router. &l comando neig@o* identifica el par de LE+ y su nmero de A!. 0bserve $ue el A! del (!+ es diferente $ue el nmero de A! de la empresa A. &sto le informa al proceso de LE+ $ue el vecino está en un A! diferente y $ue, por lo tanto, se trata de un vecino de LE+ e#terno. 5a opción mas: debe utilizarse cuando la red $ue se publica es diferente a su e$uivalente con clase. &n este e%emplo, 3IK.3CC.B3I.FGB es e$uivalente a una red )lase ). 5as redes )lase ) tienen una máscara de subred GB, así $ue, en este caso, la opción mas: no se re$uiere. !i el cliente A estuviera anunciando la red 3IK.3CC.F.FG3H, sería necesaria la opción mas:. De lo contrario, el protocolo LE+ publicaría de red con una máscara GB con clase. &l comando net7o*: introduce la dirección-red en la tabla local de LE+. 5a tabla de LE+ contiene todas las rutas aprendidas a trav4s del LE+ o publicadas mediante el LE+. &l eLE+ luego publicará la dirección-red a sus vecinos de eLE+. Nota: A diferencia de un protocolo (E+, la dirección-red utilizada en el comando net7o*: no tiene $ue ser una red conectada directamente. &l router sólo necesita tener una ruta acia esta red en su tabla de routing. &l e%emplo B muestra la configuración de LE+ para el (!+N3.
5os comandos de eLE+ en el router (!+N3 son similares a la configuración en la empresa A. 0bserve cómo el comando net7o*: $.$.$.$ de la red para anunciar una red predeterminada a la empresa A.
Nota: !i bien el comando net7o*: $.$.$.$ es una opción de configuración válida de LE+, ay me%ores maneras para anunciar una ruta predeterminada en el &LE+. !in embargo, estos m4todos están más allá del alcance de este curso.
H.. VERI"I!A!ION DEL PROTO!OLO e8GP !e pueden usar tres comandos pueden usarse para verificar el protocolo eLE+, como se muestra en la 2abla 3.
Ing. José Dennis Estela Zumaeta
&n la figura 3, se muestra la topología de configuración de eLE+.
0bserve cómo el código de origen 8 identifica $ue la ruta fue aprendida mediante el LE+. &specíficamente, en este e%emplo, la &mpresa A recibió una ruta predeterminada publicada por LE+ desde (!+N3. &l &%emplo B muestra el resultado de la tabla de LE+ de la &mpresa A.
Ing. José Dennis Estela Zumaeta
5a primera entrada F.F.F.F con un salto siguiente BFI.3HJ.BF3.3 es la ruta predeterminada publicada por (!+N3. 5a ruta del A! muestra el A! simple de HJFF3 por$ue la red F.F.F.FGF publicada por el (!+N3, surgió del mismo A!. 5a mayoría de las entradas de la tabla de LE+ muestran los nmeros del sistema autónomo mltiple en la ruta y detallan la secuencia de nmeros de A! necesarios para llegar a la red de destino. 5a segunda entrada 3IK.3CC.B3I.FGB es la red publicada por el router de la empresa A al (!+N3. 5a dirección del siguiente salto de F.F.F.F indica $ue la red 3IK.3CC.B3I.FGB se originó en este router. &l e%emplo C muestra el estado de cone#ión de LE+ en la &mpresa A.
5a primera línea muestra la dirección (+v local utilizada para establecer una intercone#ión con otro vecino de LE+ y el nmero local de A! de este router. Aparecerá la dirección y el nmero de A! del vecino LE+ remoto en la parte inferior del resultado.
Ing. José Dennis Estela Zumaeta H.&$.
!ON"IGURAR ? !OMPRO8AR 8GP
Ing. José Dennis Estela Zumaeta
'. DES!RIP!ION GENERAL DE LA SOLU!I
'.&. SOLU!I
73 está configurada con una A)5 de (+vH para denegar el acceso 2+ desde la red :3F a la red :33. !in embargo, despu4s de configurar la A)5, la +)3 todavía puede conectarse al servidor 2+ $ue se e%ecuta en la +)B. Al consultar el resultado del comando a))ess%list s@o7 i+4 en el &%emplo 3, se muestran las coincidencias para la declaración de permiso, pero no se muestran las declaraciones de negación
Solu)i,n: 5os A)& en las A)5 no muestran ningn problema en el orden o en los criterios de las reglas. &l siguiente paso es ver cómo se aplica la A)5 en la interfaz utilizando i+4 t*ai)%ilte* . ?5a A)5 se aplicó utilizando el nombre correcto, la interfaz correcta y la dirección correcta@ +ara revisar errores de configuración de interfaz, visualice la configuración en e%ecución, como se muestra en el &%emplo. B.
Ing. José Dennis Estela Zumaeta
5a A)5 se aplicó con el nombre correcto, pero con una dirección incorrecta. 5a dirección in o out se toma desde la perspectiva del router, lo cual significa $ue la A)5 actualmente se aplica al tráfico antes de $ue se reenvíe desde la interfaz EFGF e ingrese en la red :3F. +ara corregir el problema, elimine i+4 t*ai)%ilte* NO%"TP% TO&& outy reemplácelo con i+4 t*ai)%ilte* NO%"TP%TO%&& in, como se muestra en el &%emplo C.
Aora los intentos de +)3 para acceder al servidor 2+ se recazan, como se muestra en el &%emplo .
'.#. SOLU!I
Ing. José Dennis Estela Zumaeta
7C está configurada con una A)5 de (+vH llamada RESTRI!TED%A!!ESS $ue debe aplicar la siguiente política para la 5A9 del 7C: • • •
+ermitir acceso a la red :3F. Denegar acceso a la red :33. +ermitir acceso de !! a la +) en BFF3:DLK:)A&:33::33.
!in embargo, despu4s de configurar la A)5, la +)C no puede llegar a la red 3F o la red 33, y no puede utilizar !! en el ost en BFF3:DLK:)A&:33::33
Solu)i,n: &n esta situación, el problema no se debe a cómo se aplicó la A)5. &n la interfaz, la A)5 no se escribe mal y la dirección y la ubicación son correctas, como se muestra en el &%emplo 3.
Una mirada más detallada a la A)5 de (+vH $ue se muestra en el e%emplo B revela $ue el problema está en el pedido y los criterios de las reglas de A)&.
Ing. José Dennis Estela Zumaeta
5a primera declaración de permiso debería permitir el acceso a la red :3F. !in embargo, el administrador configuró una instrucción de ost y no especificó un prefi%o. &n este caso, se otorga acceso nicamente a BFF3:DLK:)A&:3F:: se permite el ost. +ara corregir este problema, elimine el argumento de ost y cambie el prefi%o GH a. +uede acer esto sin eliminar la A)5 reemplazando el A)& mediante el nmero de secuencia 3F, como se muestra en el &%emplo. C.
&l segundo error en la A)5 es el orden de las dos siguientes afirmaciones. 5a política especifica $ue los osts en la 5A9 del 7C deben poder utilizar !! en el ost BFF3:DLK:)A&:33::33. !in embargo, la declaración deny para la red :33 se encuentra antes de la declaración permit. +or lo tanto, todos los intentos para acceder al: se deniega la red 33 antes de $ue la instrucción $ue permite el acceso de !! puede evaluarse. Una vez $ue se establece una coincidencia, no se analizan otras sentencias. +ara corregir este problema, necesitará eliminar las sentencias primero y, luego, ingresarlas en el orden correcto, como se muestra en el &%emplo. .
Ing. José Dennis Estela Zumaeta '.. SOLU!I
73 está configurada con una A)5 de (+vH llamada DEN?%A!!ESS $ue debe aplicar la siguiente política para la 5A9 del 7C: • •
+ermitir acceso a la red :33 desde la red :CF Denegar acceso a la red :3F
&l &%emplo 3 muestra la configuración y la aplicación de A)5 de (+vH.
Ing. José Dennis Estela Zumaeta 5a A)5 DEN?%A!!ESS debe permitir el acceso a la red:33 desde la red :CF y denegar el acceso a la red :3F. !in embargo, despu4s de aplicar la A)5 a la interfaz: la red 3F an es accesible desde la red :CF.
Solu)i,n: &n esta situación, el problema no tiene $ue ver con la manera en la $ue se escribieron las declaraciones de las A)5, sino con la ubicación de la A)5. Dado $ue las A)5 de (+vH deben configurarse con un origen y un destino, debe aplicarse lo más cerca posible del origen del tráfico. 5a A)5 DEN?%A!!ESS se aplicó en la dirección saliente en la interfaz 73 EFG3 $ue está más cerca del destino. )omo resultado, el tráfico a la red: 3F no se ve no se ve afectado por$ue alcanza la red: 3F a trav4s de la otra interfaz de la red 5A9, EFGF. +uede aplicar la A)5 entrante en la interfaz !FGFGF del 73. !in embargo, por$ue tenemos control sobre el 7C, la me%or ubicación sería configurar y aplicar la A)5 lo más cerca posible del origen del tráfico. &l e%emplo B muestra la eliminación de la A)5 en el 73 y la configuración y la aplicación correctas de la A)5 en el 7C.
4. DETE!!ION DC!P Un ata$ue de suplantación de D)+ se produce cuando un servidor D)+ dudoso se conecta a la red y brinda parámetros de configuración (+ falsos a los clientes legítimos. 5a suplantación de D)+ es peligrosa por$ue los clientes pueden recibir información de concesión de (+, como servidores D9! maliciosos, puertas de enlace predeterminadas maliciosas y asignaciones (+ maliciosas. 5as me%ores prácticas de seguridad recomiendan el uso de la detección D)+ para mitigar los ata$ues de suplantación de D)+. 5a detección D)+ crea y mantiene una base de datos denominada base de datos de enlaces de detección D)+ -tambi4n conocida como tabla de enlaces de detección D)+/. &sta base de datos incluye la dirección *A) del cliente, la dirección (+, el tiempo de la concesión de D)+, el tipo de enlace, el nmero de ;5A9, y la información de interfaz en cada puerto de s'itc o interfaz no confiables. &l administrador de redes debe definir $u4 puertos son confiables. Al combinar la información en la base de datos de enlace de detección D)+ con los puertos confiables, el s'itc puede filtrar los mensa%es D)+ de fuentes no confiables.
Ing. José Dennis Estela Zumaeta )uando la detección D)+ se abilita en una interfaz o una ;5A9, y un s'itc recibe un pa$uete D)+ en un puerto no confiable, el s'itc compara la información del pa$uete de origen con la información $ue se mantiene en la base de datos de enlaces de detección D)+. &l s'itc negará los pa$uetes $ue contengan la siguiente información: • • •
*ensa%es no autorizados del servidor D)+ $ue provengan de un puerto no confiable. *ensa%es del cliente D)+ $ue no cumplan con la base de datos de enlaces de detección D)+ o con los límites de velocidad. +a$uetes de agente de retransmisión D)+ $ue incluyan información de la opción KB proveniente de un puerto no confiable.
Nota0 5a opción KB proporciona seguridad y se utiliza para enviar información sobre los clientes D)+ a servidor D)+. !in embargo, un puerto no confiable no debe recibir pa$uetes de opción KB. &n una red grande, la creación de la base de datos de enlaces de detección D)+ puede llevar tiempo una vez $ue se abilita. +or e%emplo, la detección D)+ puede tardar B días para completar la base de datos, si el tiempo de la concesión de D)+ es de días. 5a detección D)+ reconoce dos tipos de puertos: •
•
Pue*tos -e )onianQa -e DC!P: !olo se puede confiar en los puertos conectados a servidores D)+ corriente arriba. &stos puertos deben generar tráfico a los servidores D)+ $ue respondan con mensa%es de D)+ 0ffer y D)+ AcM. 5os puertos confiables se deben identificar e#plícitamente en la configuración. Pue*tos no )oniales: estos puertos se conectan a los osts $ue no deben proporcionar mensa%es de servidor D)+. De manera predeterminada, todos los puertos de s'itc no son confiables.
&n la igura 3, se presenta un e%emplo visual $ue muestra cómo los puertos de detección D)+ se deben asignar en una red.
Ing. José Dennis Estela Zumaeta 0bserve cómo los puertos confiables siempre conducen al servidor de D)+ legítimo, mientras $ue el resto de los puertos -es decir, los puertos de acceso $ue se conectan a los terminales/ no son confiables de manera predeterminada.
Nota: la configuración de detección D)+ va más allá del alcance de este curso. . AAA )on RADIUS 2 TA!A!S1 +ara evitar $ue usuarios malintencionados obtengan acceso a e$uipos de red y servicios sensibles, los administradores deben abilitar el control de acceso. &l control de acceso limita a las personas o los dispositivos $ue pueden utilizar recursos específicos. 2ambi4n limita los servicios o las opciones $ue están disponibles despu4s de $ue se concede el acceso. &l control de acceso básico en los dispositivos de red se activa mediante la autenticación. isten diferentes m4todos para implementar la autenticación en un dispositivo )isco, y cada m4todo ofrece varios niveles de seguridad. A continuación, se describen dos m4todos comunes: •
•
Autenti)a)i,n -e )ont*asea sim+le: &sto implica el uso de los comandos de configuración +ass7o*- y login para proteger la consola, las líneas vty, y los puertos au#iliares. 5amentablemente, este m4todo es tambi4n el m4todo más d4bil y menos seguro por$ue no proporciona ninguna responsabilidad. +or e%emplo, cual$uier persona $ue tenga la contrase"a puede obtener acceso al dispositivo y modificar la configuración. Autenti)a)i,n lo)al -e ases -e -atos : &sto implica la creación de las cuentas de usuario local con el comando de configuración global use*name name se)*et password y luego configurar el comando de configuración de línea login lo)al en la consola, el ;2< y los puertos au#iliares. &sto proporciona seguridad adicional, ya $ue un atacante necesita saber un nombre de usuario y una contrase"a. 2ambi4n proporciona más responsabilidad por$ue el nombre de usuario $ueda registrado cuando un usuario inicia sesión.
!in embargo, el m4todo de la base de datos local no escala muco más allá de algunos dispositivos de red por$ue las cuentas de usuario deben configurarse localmente en cada dispositivo. &sto no es adecuado en un entorno empresarial grande con varios routers y s'itces para administrar. Además, la configuración de la base de datos local no proporciona ningn m4todo de autenticación de reserva. +or e%emplo, ?$u4 sucede si el administrador olvida el nombre de usuario y la contrase"a para ese dispositivo@ !in el m4todo de respaldo disponible para la autenticación, la recuperación de la contrase"a se convierte en la nica opción. Una solución me%or y más escalable es lograr $ue todos los dispositivos remitan a una base de datos de nombres de usuario y contrase"as alo%ados en un servidor central. +ara admitir esto, los dispositivos )isco admiten el marco de traba%o de autenticación, autorización y auditoría -AAA/ $ue ayuda a asegurar el acceso de los dispositivos. &n los dispositivos )isco, se utilizan dos protocolos de autenticación AAA: •
•
2erminal Access )ontroller AccessN)ontrol !ystem +lus -2A)A)!Q, sistema de control de acceso mediante control del acceso desde terminales se pronuncia como =tacMNa#e plus>V/. 7emote Autentication DialN(n User !ervice -7AD(U!, servicio de usuario de acceso telefónico de autenticación remota/.
Ing. José Dennis Estela Zumaeta Un dispositivo compatible con AAA se puede configurar para remitir a una base de datos de usuarios e#terna para la autenticación de usuarios, licencias y contabilización. &l dispositivo se comunica con el servidor AAA mediante el protocolo 2A)A)!Q o 7AD(U!. )ada protocolo admite capacidades y funcionalidades diferentes. 5a selección de 2A)A)!Q o 7AD(U! depende de las necesidades de la organización. +or e%emplo, un (!+ grande puede seleccionar 7AD(U! por$ue admite la contabilización detallada necesaria para la facturación de los usuarios. Una organización con varios grupos de usuarios puede seleccionar 2A)A)!Q por$ue re$uiere políticas de autorización $ue se aplican por usuario o por grupo. &s importante comprender las diferencias entre los protocolos 2A)A)!Q y 7AD(U!. &stos son tres factores cruciales para 2A)A)!Q: • • •
!epara la autenticación y la autorización. )ifra todas las comunicaciones. Utiliza el puerto 2)+ I.
A continuación, se enumeran cuatro factores cruciales para 7AD(U!: • • • •
)ombina la autenticación de 7AD(U! y autorización como un solo proceso. )ifra solamente la contrase"a. Utiliza UD+. Admite tecnologías de acceso remoto, KFB.3# y el protocolo !(+ -!ession (nitiation +rotocol/.
*ientras ambos protocolos pueden usarse para la comunicación entre un router y los servidores AAA, 2A)A)!Q se considera el protocolo más seguro. &sto se debe a $ue se cifran todos los intercambios de protocolos 2A)A)!Q, mientras $ue 7AD(U! solo cifra la contrase"a del usuario. 7AD(U! no cifra nombres de usuario, información de la cuenta, o cual$uier otra información $ue contenga el mensa%e de 7AD(U!.
Nota: la configuración de AAA va más allá del alcance de este curso. . $#.& &l estándar (&&& KFB.36 define un control de acceso y un protocolo de autenticación basado en puertos $ue evita $ue las estaciones de traba%o no autorizadas se conecten a una 5A9 a trav4s de los puertos de s'itc acceso pblico. &l servidor de autenticación autentica cada estación de traba%o $ue está conectada a un puerto del s'itc antes abilitar cual$uier servicio ofrecido por el s'itc o la 5A9. )on la autenticación KFB.3# basada en puertos, los dispositivos de la red tienen funciones específicas, como se muestra en la igura 3.
Ing. José Dennis Estela Zumaeta
•
•
•
El )liente su+li)anteF: &s generalmente el puerto abilitado KFB.3# en el dispositivo $ue solicita el acceso a los servicios de la 5A9 y del s'itc y luego responde a las solicitudes desde el s'itc. &n la igura 3, el dispositivo es una +) $ue e%ecuta soft'are de cliente $ue cumple con el estándar KFB.36. S7it)@ autenti)a-o*F: )ontrola el acceso físico a la red segn el estado de autenticación del cliente. &l s'itc funciona como acta intermediario -pro#y/ entre el cliente y el servidor de autenticación. !olicita la identificación de la información del cliente, verifica dica información al servidor de autenticación y transmite una respuesta al cliente. &l s'itc utiliza un agente de soft'are de 7AD(U! $ue es responsable de encapsular y desencapsular las tramas del protocolo de autenticación e#tensible -&A+/ y de interactuar con el servidor de autenticación. Se*i-o* -e autenti)a)i,n: realiza la autenticación real del cliente. &l servidor de autenticación acepta la identidad del cliente y notifica al s'itc si el cliente está autorizado para acceder a los servicios de la 5A9 y del s'itc. Debido a $ue el s'itc acta como el pro#y, el servicio de autenticación es transparente para el cliente. &l sistema de seguridad 7AD(U! con e#tensiones de &A+ es el nico servidor de autenticación admitido.
. IDENTI"I!AR LA MEJOR PRA!TI!A DE SEGURIDAD
&$. DES!RIP!I
Ing. José Dennis Estela Zumaeta &l protocolo simple de administración de redes versión C -!9*+vC/ autentica y cifra los pa$uetes de toda la red para proporcionar un acceso seguro a los dispositivos. &l agregado de la autenticación y el cifrado a !9*+vC brinda una solución a las vulnerabilidades de las versiones anteriores de !9*+.
&$.&. PASOS DE !ON"IGURA!I
Paso &. )onfigurar una A)5 $ue permita el acceso a los administradores de !9*+ autorizados. Router(config)# ip access-list standard acl-name Router(config-std-nacl)# permit source_net
Paso #. )onfigurar una vista de !9*+ con el comando snm+%se*e* ie7 para identificar $u4 identificadores de ob%etos *(L -0(D/ podrá leer el administrador de !9*+. !e re$uiere la configuración de una visualización para limitar los mensa%es !9*+ a acceso de sólo lectura. Router(config)# snmp-server view view-name oidtree {included | excluded }
Paso . )onfigurar características de grupo !9*+ con el comando snm+%se*e* g*ou+: 3. B. C. . J.
)onfigure un nombre para el grupo. &stablezca la versión de !9*+ en C con la palabra clave . 7e$uerir autenticación y el cifrado con la palabra clave +*i. Asocie una visualización al grupo y otórguele acceso de solo lectura con el comando *ea-. &specifi$ue la A)5 configurada en el paso 3.
Router(config)# snmp-server group group-name v3 priv read viewname access [acl-number | acl-name]
Paso H. )onfigure las características de usuario del grupo !9*+ con el comando snm+%se*e* use*0 &. )onfigure un nombre de usuario y asigne el usuario al nombre del grupo $ue se #. . H.
configuró en el paso C. &stablezca la versión de !9*+ en C con la palabra clave . &stablezca el tipo de autenticación en m-' o s@a y configurar una contrase"a de autenticación. !e prefiere el !A y debe ser admitido por el soft'are de administración de !9*+. 7e$uiera cifrado con la palabra clave +*i y configure una contrase"a de cifrado.
Router(config)# snmp-server user username group-name v3 auth {md5 | sha} authpassword priv {des | 3des | aes {128 | 192 | 256}} privpassword
Ing. José Dennis Estela Zumaeta &n el &%emplo 3, una A)5 estándar con nombre +&7*(2NAD*(9 está configurada para admitir sólo la red 3IB.3HK.3.FGB. 2odos los osts conectados a esta red tendrán permiso para acceder al agente !9*+ $ue se e%ecuta en 73. Una vista de !9*+ se denomina !9*+N70 y está configurada para incluir el árbol completo de la iso de la *(L. &n una red de producción, el administrador de red probablemente configuraría esta vista para incluir sólo los 0(D de *(L $ue fueran necesarios para supervisar y administrar la red. !e configura un grupo !9*+ con el nombre AD*(9. &l !9*+ se establece en versión C con autenticación y cifrado re$ueridos. &l grupo tiene acceso de solo lectura a la vista -!9*+N70/. &l acceso para el grupo está limitado por +&7*(2NAD*(9 A)5. Un usuario !9*+, L0L, se configura como miembro del grupo AD*(9. &l !9*+ se establece en la versión C. 5a autenticación se establece para usar !A, y se configura una contrase"a de autenticación. Aun$ue el 73 admite asta el cifrado A&! BJH, soft'are de administración !9*+ solo admite A&! 3BK. +or lo tanto, el cifrado se establece en A&! 3BK y se configura una contrase"a de cifrado. Un análisis completo de las opciones de configuración para !9*+vC e#cede el alcance de este curso.
&$.#. VERI"I!A!I
Ing. José Dennis Estela Zumaeta
Utilice el comando s@o7 snm+ use* para mostrar información sobre las características configuradas de un usuario !9*+, como se muestra en el &%emplo. B.
&$.. !ON"IGURAR ? VERI"I!AR SNMP
Ing. José Dennis Estela Zumaeta
Ing. José Dennis Estela Zumaeta &&.PUERTOS RE"LEJADOS Un analizador de pa$uetes -tambi4n conocido como analizador de protocolos, detector de pa$uetes o analizador de tráfico/ es una erramienta valiosa para ayudar a supervisar y a resolver los problemas de una red. Un analizador de pa$uetes es el soft'are $ue captura los pa$uetes $ue ingresan y $ue salen de una tar%eta de interfaz de red -9()/. +or e%emplo, 1iresarM es un analizador de pa$uetes $ue se usa comnmente para capturar y analizar los pa$uetes en una computadora local. ?Su4 sucedería si un administrador de red deseara capturar los pa$uetes de mucos otros dispositivos fundamentales y no solos la 9() local@ Una solución consiste en configurar los dispositivos de red para copiar y enviar el tráfico $ue va a los puertos de inter4s a un puerto conectado a un analizador de pa$uetes. &l administrador luego podría analizar el tráfico de red de diversas fuentes en la red !in embargo, la operación básica de una red conmutada moderna inabilita la capacidad del analizador de pa$uetes para capturar el tráfico de otras fuentes. +or e%emplo, un usuario $ue e%ecuta 1iresarM puede capturar sólo el tráfico $ue entra a su 9(). 9o puede capturar el tráfico entre otro ost y un servidor. &l motivo es por$ue un s'itc de capa B completa la tabla de direcciones *A) en base a la dirección *A) de origen y el puerto de ingreso de la trama de &ternet. Una vez $ue se crea la tabla, el s'itc solamente reenvía el tráfico destinado a una dirección *A) directamente al puerto correspondiente. &sto evita $ue un analizador de pa$uetes conectado a otro puerto del s'itc PescuceP otro tráfico del s'itc. 5a solución a este dilema es abilitar los puertos refle%ados. 5a función de puertos refle%ados permite $ue un s'itc copie y envíe tramas de &ternet desde puertos específicos al puerto de destino conectado a un analizador de pa$uetes. 5a trama original an se reenvía de la manera abitual. &n la igura 3, se muestra un e%emplo de puertos refle%ados.
&n la figura, el tráfico entre la +)3 y la +)B tambi4n se envía a la computadora portátil $ue tiene un analizador de pa$uetes instalado.
.SPAN LO!AL 5a función Analizador de puertos con s'itces -!+A9/ de los s'itces )isco es un tipo de puertos refle%ados $ue envía copias de la trama $ue ingresa a un puerto, desde otro puerto del mismo s'itc. &s comn encontrar un dispositivo e%ecutando un analizador de pa$uetes,
Ing. José Dennis Estela Zumaeta un sistema de detección de intrusiones -(D!/, o un sistema de prevención de intrusiones -(+!/ conectado a ese puerto. &n la 2abla 3, se describen los t4rminos de uso general con el !+A9.
Una sesión !+A9 es la asociación entre los puertos de origen -o ;5A9/ y un puerto de destino. &l tráfico $ue entra o $ue sale del puerto de origen -o ;5A9/ es replicado por el s'itc en el puerto de destino. Aun$ue !+A9 puede admitir mltiples puertos de varias fuentes en una misma sesión o toda una ;5A9 como el origen del tráfico, una sesión !+A9 no admite a ambos. 5os puertos de capa B y de capa C se pueden configurar como puertos de origen. isten tres cosas más importantes para tener en cuenta cuando configuramos !+A9: •
&l puerto de destino no puede ser un puerto de origen, y el puerto de origen no puede ser un puerto de destino.
Ing. José Dennis Estela Zumaeta • •
&l nmero de puerto de destino depende de la plataforma. Algunas plataformas permiten más de un puerto de destino. &l puerto de destino ya no es un puerto de s'itc normal. A trav4s de ese puerto solo pasa tráfico supervisado.
!e dice $ue la función !+A9 es local cuando todos los puertos supervisados se encuentran en el mismo s'itc $ue el puerto de destino. &sta función contrasta con del !+A9 remoto -7!+A9/.
.&. SPAN REMOTO &l 7!+A9 permite $ue los puertos de origen y destino est4n en s'itces diferentes. &l 7!+A9 es til en redes de campus, donde es muy probable $ue no aya un analizador de pa$uetes conectado al mismo s'itc en el $ue necesita capturar el tráfico. &n la 2abla 3, se describen los t4rminos de uso general con el 7!+A9.
!+A9 remoto utiliza dos sesiones, una sesión como origen y una sesión para copiar o recibir el tráfico de una ;5A9. 5a igura 3 muestra un e%emplo de 7!+A9. 0bserve el enlace troncal utilizado para transportar la ;5A9 de !+A9 remoto a trav4s de la red.
Ing. José Dennis Estela Zumaeta
.#. IDENTI"I!AR LA TERMINOLOGIA SPAN
.. !ON"IGURA!ION DE SPAN LO!AL
Ing. José Dennis Estela Zumaeta Utilice los siguientes comandos para definir el puerto de origen y el puerto de destino para una sesión !+A9: source {interface | vlans } S1(config)# monitor session number destination {interface | S1(config)# monitor session number vlans}
Nota: &l (D de sesión utilizado para definir los puertos de origen y destino debe ser igual para asignar los puertos a la misma sesión !+A9. &n la igura 3, el administrador debe captar todo el tráfico $ue se envía a la +)3 o $ue es recibido por esta. Un analizador de pa$uetes está conectado a EFGB. )omo +)3 conectado al puerto del s'itc EFG3, se crea una sesión utilizando !+A9 EFG3 como origen y EFGB como destino. Dado $ue todos los puertos involucrados pertenecen al mismo s'itc, esto se considera !+A9 local.
&l e%emplo 3 ilustra una configuración básica de !+A9 para la igura 3.
+ara verificar la configuración de la sesión !+A9, utilice el comando s@o7 monito* , como se muestra en el &%emplo. B. &ste comando devuelve el tipo de sesiones, los puertos de origen para cada dirección del tráfico y el puerto de destino.
.H. SOLU!I
Ing. José Dennis Estela Zumaeta administradores analicen el tráfico y resuelvan problemas antes de enviar el tráfico acia el destino. 5os (+! buscan patrones específicos en el tráfico. A medida $ue el tráfico atraviesa los (+!, puede analizar el tráfico en tiempo real y tomar medidas al detectar un patrón de tráfico predefinido. 5os (+! se utilizan principalmente para detectar ata$ues a la red mientras estos se producen y enviar alertas o incluso blo$uean los pa$uetes maliciosos mientras se produce el ata$ue. +ara ser eficaces, los (+! deben tener la capacidad para e#aminar todo el flu%o de tráfico en una red. Debido a $ue las redes modernas son entornos conmutados, el !+A9 es fundamental para la operación eficaz de los (+!. Algunos patrones de ata$ues son más comple%os $ue otros. +or e%emplo, un ata$ue 5A9D -ata$ue de red de área local/ envía un pa$uete 2)+ !<9 suplantado -inicio de cone#ión/ con la misma dirección (+ de origen y de destino del ost de destino y el mismo puerto de origen y destino $ue un puerto abierto del ob%etivo. Un ata$ue 5A9D ace $ue la má$uina responda a sí misma continuamente. Debido a $ue se re$uiere un solo pa$uete se re$uiere para identificar este tipo de ata$ue, el (+! puede evitar fácilmente $ue estos pa$uetes ingresen a la red en su totalidad. Además de los (+!, otro dispositivo comn utilizado para recibir el tráfico de !+A9 el analizador de pa$uetes. *ientras $ue los (+! se centran más en el aspecto de seguridad del tráfico, los analizadores de pa$uete se suelen utilizar para la solución de problemas. +or e%emplo, si una aplicación de red particular demora demasiado en e%ecutar las tareas, un administrador de red puede utilizar !+A9 para duplicar y redirigir el tráfico acia un analizador de pa$uetes para capturarlo. &l administrador luego puede analizar el tráfico de todos los dispositivos para solucionar problemas de funcionamiento por deba%o del nivel óptimo de la aplicación de red.
&.PRIORIZA!I
Ing. José Dennis Estela Zumaeta
&.&. AN!CO DE 8ANDA !ONGESTION DEMORA ? "LU!TUA!IONES &l anco de banda de la red es la medida de la cantidad de bits $ue se pueden transmitir en un segundo, es decir, bits por segundo -bps/. 5os administradores de redes generalmente acen referencia al rendimiento de los dispositivos de red describiendo el anco de banda de las interfaces e#presadas. +or e%emplo, para describir un dispositivo de red, se puede especificar $ue tiene un rendimiento de 3F gigabits por segundo -Ebps/. 5a congestión de la red produce demoras. 5as variaciones en la demora producen fluctuaciones. Una interfaz e#perimenta congestión cuando tiene más tráfico del $ue puede gestionar. 5os puntos de congestión de la red son candidatos fuertes para los mecanismos de So!. 5a igura 3 muestra tres e%emplos típicos de puntos de congestión.
Nota: Un dispositivo implementa nicamente So! cuando e#perimenta algn tipo de congestión. 5a demora o la latencia se refiere al tiempo $ue demora un pa$uete en via%ar de origen a destino. ay demoras fi%as y demoras variables.
Ing. José Dennis Estela Zumaeta
5as causas de las demoras se resumen en la 2abla 3.
5a fluctuación de fase es la variación en la demora de pa$uetes. &n el e#tremo emisor, los pa$uetes se envían de manera permanente con los pa$uetes de espacio uniforme por separado. Debido a la congestión en la red, la espera incorrecta o los errores de configuración, la demora entre cada pa$uete puede variar en lugar de mantenerse constante. &s necesario controlar y minimizar tanto la demora como las fluctuaciones para admitir el tráfico en tiempo real e interactivo.
&.#. PRDIDA DE PA;UETES !in mecanismos de So! en el lugar, los pa$uetes se procesan en el orden en el $ue se reciben. )uando se produce una congestión, los routers y los s'itces comienzan a descartar los pa$uetes. &sto significa $ue los pa$uetes sensibles al tiempo, como el video y la voz en tiempo real y voz, se descartarán con la misma frecuencia $ue los datos $ue no sean urgentes, como el correo electrónico y la e#ploración 'eb. +or e%emplo, cuando un router recibe un flu%o de audio digital del protocolo de transmisión en tiempo real -72+/ del protocolo de tiempo real para voz sobre (+ -;o(+/, debe compensar las fluctuaciones $ue se encuentren. &l mecanismo $ue administra esta función es el bfer de demora de reproducción. &l bfer de demora de reproducción debe almacenar en bfer estos pa$uetes y luego reproducirlos en un flu%o constante $ue se convertirá en un flu%o de audio analógico, como se muestra en la igura 3.
Ing. José Dennis Estela Zumaeta !i las fluctuaciones son tan grandes $ue acen $ue los pa$uetes se reciban fuera del alcance de este bfer, se descartan los pa$uetes $ue están fuera del rango, y se escucan interrupciones en el audio, como se muestra en la igura B.
+ara las p4rdidas tan pe$ue"as como un pa$uete, el procesamiento digital de se"ales -D!+/ interpola lo $ue considera $ue debe ser el audio y no ay ningn problema audible. !in embargo, cuando las fluctuaciones e#ceden lo $ue puede acer el D!+ para compensar los pa$uetes faltantes, se escucan los problemas de audio. 5a p4rdida de pa$uetes es una causa comn de los problemas de calidad de voz en una red (+. &n una red dise"ada correctamente, la p4rdida de pa$uetes debe estar cerca de cero. 5os códecs de voz utilizados por D!+ pueden tolerar cierto grado de p4rdida de pa$uetes sin un efecto radical en la calidad de voz. 5os ingenieros de redes utilizan mecanismos de So! para clasificar pa$uetes de voz para $ue la p4rdida de pa$uetes sea igual a cero. !e garantiza el anco de banda para las llamadas de voz dando prioridad al tráfico de voz sobre el tráfico $ue no es sensible al tiempo.
&.. IDENTI"I!AR LA TERMINOLOGIA DE LA !ALIDAD DE LA TRANSMISION DE LA RED
Ing. José Dennis Estela Zumaeta
&.H. TENDEN!IAS DEL TR="I!O DE LA RED A principios de la d4cada del BFFF, los tipos de tráfico (+ predominantes eran voz y datos. &l tráfico de voz tiene una necesidad de anco de banda predecible y tiempos de llegada de pa$uete conocidos. &l tráfico de datos no es en tiempo real, y tiene una necesidad impredecible de anco de banda. &l tráfico de datos puede tener estallidos temporalmente, como cuando se descarga un arcivo grande. &ste estallido puede consumir todo el anco de banda de un enlace. *ás recientemente, el tráfico de video se a vuelto cada vez más importante para las comunicaciones y las operaciones empresariales. !egn )isco ;irtual 9et'orMing (nde# -;9(/ -&nlaces a un sitio e#terno./, en BF3, el tráfico de video representó el HRW de todo el tráfico. +ara BF3I, representará el KFW de todo el tráfico. Además, el tráfico de video móvil aumentará más del HFFW, de 33C HRB 2L a RHK CC 2L. 5os tipos de demandas de voz, video y tráfico de datos en la red son muy diferentes.
&.'. VOZ &l tráfico de voz es predecible y uniforme, como se muestra en la igura 3. &l tráfico de voz es benigno, lo $ue significa $ue no consume mucos recursos de red. !in embargo, la voz es muy sensible a las demoras y los pa$uetes descartados, y no se puede volver a transmitir si se pierde. +or lo tanto, debe recibir una prioridad más alta. +or e%emplo, los productos de )isco utilizan el rango de puerto de 3HCK a CBRHR de 72+ para priorizar el tráfico de voz. 5a voz puede tolerar cierta cantidad de latencia, fluctuación y la p4rdida sin ningn efecto notable. 5a latencia no debe superar los 3JF milisegundos -ms/. 5as fluctuaciones no deben superar los CF ms y la p4rdida de pa$uetes de voz no debe ser superior al 3W. &l tráfico de voz re$uiere por lo menos CF XLGs de anco de banda.
Ing. José Dennis Estela Zumaeta
&.4. VIDEO !in So! y una cantidad significativa de capacidad de anco de banda adicional, la calidad de video normalmente disminuye. 5a imagen se muestra borrosa, dentada o en la cámara lenta. &l audio de la fuente puede perder la sincronización con el video. &l tráfico de video tiende a ser imprevisible, inconsistente y a transmitirse por ráfagas, en comparación con el tráfico de voz. &n comparación con la transmisión de voz, el video es menos resistente a p4rdidas y tiene un mayor volumen de los datos por pa$uete, como se muestra en la igura 3. 0bserve cómo los pa$uetes de voz llegan cada BF ms y son de BFF bytes predecibles cada uno. &n cambio, la cantidad y el tama"o de los pa$uetes de video varían cada CC ms segn el contenido del video. +or e%emplo, si la transmisión de video se compone de contenido $ue no cambia muco de un cuadro a otro, los pa$uetes de video serán pe$ue"os, y se necesitarán menos para mantener una e#periencia de usuario aceptable. !in embargo, si la transmisión de video está compuesta por contenido $ue cambia rápidamente -por e%emplo, una secuencia de acción en una película/, los pa$uetes de video serán más grandes y se re$uerirán más por cada módulo de tiempo de CC ms para mantener una e#periencia de usuario aceptable.
Ing. José Dennis Estela Zumaeta &n la 2abla B, se resumen las características del tráfico de video. 5os puertos UD+, como JJ utilizados para el protocolo de transmisión en tiempo real -7!2+/, deben tener prioridad sobre otro tráfico de red menos sensible al tiempo. Al igual $ue la voz, el video puede tolerar cierta cantidad de latencia, fluctuación, y p4rdida sin ningn efecto notable. 5a latencia no debe ser superior a FF milisegundos -ms/. 5as fluctuaciones no deben ser de más de JF ms, y la p4rdida de pa$uetes de video no debe ser superior al 3W. &l tráfico de video re$uiere por lo menos CK MbGs de anco de banda.
&.. DATOS 5a mayoría de las aplicaciones utilizan 2)+ o UD+. A diferencia de UD+, 2)+ realiza la recuperación de errores. Aplicaciones de datos $ue no tienen tolerancia a la p4rdida de datos, como el correo electrónico y las páginas 'eb, el uso de 2)+ para asegurarse de $ue, si los pa$uetes se pierden en tránsito, se envíen nuevamente. &l tráfico de datos puede ser fluido o puede tener estallidos. &l tráfico de control de red generalmente es elegante y predecible. )uando ay un cambio de topología, el tráfico de control de red puede tener estallidos durante unos segundos. +ero la capacidad de las redes actuales permite administrar fácilmente el aumento del tráfico de control de red mientras la red converge. !in embargo, algunas aplicaciones 2)+ pueden ser muy e#pansivas y consumir una gran porción de la capacidad de la red. &l 2+ ocupará tanto anco de banda como pueda obtener cuando usted descargue un arcivo grande, como una película o un %uego. &n la 2abla 3, se resumen las características del tráfico de datos.
Ing. José Dennis Estela Zumaeta
Aun$ue el tráfico de datos es relativamente insensible a las caídas y demoras en comparación con la voz y el video, un administrador de red igualmente debe tener en cuenta la calidad de la e#periencia del usuario, a veces denominada Pcalidad de la e#perienciaP o So&. 5os dos factores principales acerca del flu%o del tráfico de datos por los $ue un administrador de red debe preguntar son los siguientes:
&.. DES!RIP!ION GENERAL DE LA PUESTA EN !OLA 5a política de So! implementada por el administrador de la red se activa cuando se produce una congestión en el enlace. 5a puesta en cola es una erramienta administrativa para la congestión $ue puede almacenar en bfer, priorizar, y, si corresponde, reordenar los pa$uetes antes de $ue estos se transmitan al destino. !e encuentran disponibles varios algoritmos de puesta en cola. A los fines de este curso, nos concentraremos en lo siguiente: • • • •
+rimero en entrar, primero en salir -(0/ *ecanismo de cola e$uitativo ponderado -1S/ )L1S -mecanismo de cola de espera e$uitativo y ponderado basado en clases/ *ecanismo de cola de ba%a latencia -55S/
EL PRIMERO EN ENTRAR ES EL PRIMERO EN SALIR "I"O i*st in i*st outF &n su forma más sencilla, la cola (0 -tambi4n conocida como Pprimero en entrar, primero en salirP o )!/ implica almacenar en bfer y reenviar pa$uetes en el orden de llegada. (0 no tiene ningn concepto de prioridad o clase de tráfico y, por lo tanto, no toma ninguna decisión sobre la prioridad del pa$uete. ay una sola cola, y todos los pa$uetes se tratan por igual. !e envía una interfaz a los pa$uetes en el orden en el $ue llegan, como se muestra en la igura 3. Aun$ue el tráfico sea más importante o sensible al tiempo segn la clasificación de prioridad, observe $ue el tráfico se envía en el orden en $ue se recibe.
Ing. José Dennis Estela Zumaeta
)uando se utiliza (0, el tráfico importante o sensible al tiempo se puede descartar cuando se produce una congestión en el router o en la interfaz del s'itc. )uando no ay otras estrategias de cola configuradas, todas las interfaces, e#cepto las interfaces seriales en &3 -BFK mbps/ y deba%o utilizan (0 de manera predeterminada. -5as interfaces seriales en &3 y deba%o utilizan 1S por defecto/. (0, $ue es el m4todo más rápido de espera, es eficaz para enlaces grandes $ue tienen poco retraso y congestión mínima. !i su enlace tiene una congestión muy pe$ue"a, la cola (0 puede ser la nica cola $ue necesite usar.
ME!ANISMO DE !OLA E;UITATIVO PONDERADO 6";F 5a 1S es un m4todo de programación automatizada $ue proporciona la asignación del anco de banda %usto a todo el tráfico de red. 5a 1S aplica la prioridad o las ponderaciones al tráfico identificado y lo clasifica en conversaciones o flu%os, como se muestra en la igura 3.
Ing. José Dennis Estela Zumaeta
&l 1S luego determina la cantidad de anco de banda $ue se le permite a cada flu%o en relación con otros flu%os. &l algoritmo basado en el flu%o utilizado por la 1S planifica simultáneamente el tráfico interactivo al frente de una cola para reducir el tiempo de respuesta. 5uego, comparte e$uitativamente el anco de banda restante entre flu%os de anco de banda altos. &l 1S le permite dar prioridad al tráfico de ba%o volumen e interactivo, como las sesiones 2elnet y de voz, sobre el tráfico de gran volumen, como las sesiones de 2+. )uando se producen simultáneamente los flu%os de las transferencias de arcivo mltiples, se asigna un anco de banda similar a las transferencias. 5a 1S clasifica el tráfico en distintos flu%os basados en el encabezado de mane%o de pa$uetes, lo $ue incluye características como las direcciones (+ de origen y de destino, las direcciones *A), los nmeros de puerto, el protocolo y el valor del tipo de servicio -2o!/. &l valor 2o! en el encabezado (+ puede utilizarse para clasificar el tráfico. &l 2o! se describirá más adelante en el capítulo. 5os flu%os de tráfico de ba%o anco de banda, $ue conforman el mayor parte del tráfico, reciben servicio preferencial, lo $ue permite $ue todas sus cargas ofrecidas se envíen oportunamente. 5os flu%os de tráfico de gran volumen comparten la capacidad restante proporcionalmente entre sí. 5imitaciones 5a 1S no se utiliza con los tneles y el cifrado por$ue estas funciones modifican la información de contenido de pa$uete re$uerida por la 1S para la clasificación. !i bien la 1S se adapta automáticamente a las condiciones de tráfico de red cambiantes, no ofrece el grado de control de precisión sobre la asignación de anco de banda $ue ofrece el )L1S.
!86"; ME!ANISMO DE !OLA DE ESPERA E;UITATIVO ? PONDERADO 8ASADO EN !LASESF &l )L1S e#tiende la funcionalidad estándar de la cola e$uitativa ponderada -1S/ para admitir las clases de tráfico definidas por el usuario. +ara el )L1S, se definen las clases de tráfico en base a los criterios de concordancia, incluidos los protocolos, las listas de control de acceso -A)5/ y las interfaces de entrada. 5os pa$uetes $ue cumplen los criterios de coincidencia para una clase constituyen el tráfico para esa clase. !e reserva una cola (0 para cada clase, y el tráfico $ue pertenece a una clase se dirige a la cola para esa clase, como se muestra en la igura 3.
Ing. José Dennis Estela Zumaeta
)uando se a definido una clase segn sus criterios de coincidencia, puede asignarle características. +ara cuantificar una clase, le asigna el anco de banda, el peso, y el límite de pa$uete má#imo. &l anco de banda asignado a una clase es el anco de banda garantizado $ue se entrega a la clase durante la congestión. +ara caracterizar una clase, tambi4n especifica el límite de cola para esa clase, $ue es la cantidad má#ima de pa$uetes $ue se pueden acumular en la cola de esa clase. 5os pa$uetes $ue pertenecen a una clase están su%etos al anco de banda y a los límites de cola $ue caracterizan a la clase. Una vez $ue una cola aya alcanzado su límite de cola configurado, el agregado de más pa$uetes a la clase ace $ue surtan efecto el descarte de cola o el descarte de pa$uetes, segn cómo est4 configurada la política de clase. &l descarte de cola significa $ue un router descarta simplemente cual$uier pa$uete $ue llega al e#tremo de una cola $ue a utilizado por completo sus recursos de retención de pa$uetes. &sta es la respuesta de espera predeterminada para la congestión. &l descarte de cola trata todo el tráfico por igual y no distingue entre las clases de servicio.
ME!ANISMO DE !OLA DE 8AJA LATEN!IA LL;F 5a función de 55S proporciona la cola de prioridad estricta -+S/ a )L1S. 5a asignación de cola de prioridad estricta permite $ue los datos susceptibles a la demora, como la voz, se envíen antes $ue los pa$uetes de otras colas. 5a 55S proporciona la cola de prioridad estricta para )L1S, lo $ue reduce las fluctuaciones en las conversaciones de voz, como se muestra en la igura 3.
Ing. José Dennis Estela Zumaeta
!in la 55S, )L1S proporciona el 1S segn las clases definidas sin una cola de prioridad estricta disponible para el tráfico en tiempo real. &l peso para un pa$uete $ue pertenece a una clase específica se deriva del anco de banda $ue le asignó a la clase al configurarla. +or lo tanto, el anco de banda asignado a los pa$uetes de una clase determina el orden en $ue se envían los pa$uetes. !e realiza el servicio de todos los pa$uetes en base suficiente al pesoO ninguna clase de pa$uetes puede otorgar la prioridad estricta. &ste es$uema presenta problemas para el tráfico de voz, $ue en gran medida no admite retrasos, especialmente variaciones en el retraso. +ara el tráfico de voz, las variaciones en la demora introducen irregularidades en la transmisión $ue se manifiestan como fluctuaciones en la conversación escucada. )on la 55S, los datos susceptibles a la demora se envían primero, antes de $ue se procesen los pa$uetes de otras colas. 5a 55S permite $ue los datos susceptibles a la demora, como la voz, se envíen primero -antes $ue los pa$uetes de otras colas/, con lo $ue se otorga un tratamiento preferencial a los datos susceptibles a la demora con respecto a otros tipos de tráfico. !i bien se pueden poner varios tipos de tráfico en tiempo real en la cola de prioridad estricta, )isco recomienda enviar solamente el tráfico de voz.
!OMPARAR LOS ALGORITMOS DE !OLA
Ing. José Dennis Estela Zumaeta
5a cantidad de bits $ue se pueden transmitir a trav4s de una red en un solo segundo: A9)0 D& LA9DA.
&.. SELE!!I
So! se implementa realmente en una red $ue utiliza (nt!erv o Diff!erv. Aun$ue (nt!erv proporciona la garantía más alta de So!, utiliza mucos recursos y por lo tanto su escalabilidad es limitada. &n cambio, Diff!erv consume menos recursos y es más escalable. &n algunas ocasiones, los dos se emplean %untos para la implementación de So! en redes.
Ing. José Dennis Estela Zumaeta MODELO DE MEJOR ES"UERZO &l dise"o básico de (nternet ofrece la entrega de pa$uetes mediante el modelo de me%or esfuerzo y no brinda ninguna garantía. &ste enfo$ue an predomina en (nternet actualmente y sigue siendo adecuado en la mayoría de los casos. &l modelo de me%or esfuerzo trata a todos los pa$uetes de red de la misma manera, por eso un mensa%e de voz de emergencia se trata de la misma manera $ue una foto digital ad%untada a un correo electrónico. !in So!, la red no puede conocer la diferencia entre pa$uetes y, como resultado, no puede tratar a los pa$uetes de manera preferencial. &l modelo de me%or esfuerzo es un concepto similar al de enviar una carta por correo postal estándar. !u carta se trata e#actamente de la misma manera $ue las otras cartas. )on el modelo de me%or esfuerzo, la carta podría no llegar y, a menos $ue aya llegado a un acuerdo de notificación con el destinatario de la carta, tal vez nunca se entere de $ue la carta no llegó. 5a 2abla 3 muestra los beneficios y las desventa%as del modelo de me%or esfuerzo.
SERVI!IOS INTEGRADOS 5as necesidades de aplicaciones en tiempo real, como video remoto, conferencias multimedia, visualización y realidad virtual, motivaron el desarrollo del modelo de ar$uitectura (nt!erv en 3II -7) 3HCC, BB33 y BB3B/. (nt!erv es un modelo de servicio mltiple $ue puede acomodar mltiples re$uisitos de )alidad de !ervicio -So!/. (nt!erv proporciona una manera de entregar la So! completa $ue las aplicaciones en tiempo real re$uieren al administrar e#plícitamente los recursos de red para proporcionar So! a las transmisiones de pa$uetes específicas de usuario, a veces denominados microflu%os. Utiliza reserva de recursos y mecanismos de control de admisión como módulos de construcción para establecer y mantener So!. &sta práctica es similar a un concepto conocido como =ard So!>. ard So! garantiza las características de tráfico, como el anco de banda, la demora y las velocidades de p4rdida de pa$uetes, de e#tremo a e#tremo. ard So! asegura niveles de servicios predecibles y garantizados para las aplicaciones críticas. 5a igura 3 es una simple ilustración del modelo de (nt!erv.
Ing. José Dennis Estela Zumaeta
(nt!erv utiliza un enfo$ue orientado a la cone#ión eredado del dise"o de una red de telefonía. )ada comunicación individual debe especificar e#plícitamente su descriptor de tráfico y los recursos solicitados a la red. &l router perimetral realiza el control de admisión para garantizar $ue los recursos disponibles son suficientes en la red. &l estándar de (nt!erv asume $ue los routers a lo largo de una ruta configuran y mantienen el estado de cada comunicación individual. &n el modelo de (nt!erv, la aplicación solicita a un tipo específico de servicio a la red antes de enviar datos. 5a aplicación informa a la red su perfil de tráfico y solicita a un tipo particular de servicio $ue puede abarcar re$uisitos de anco de banda y retraso. (nt!erv utiliza el +rotocolo de reserva de recursos -7!;+/ para se"alar las necesidades de So! del tráfico de una aplicación %unto con los dispositivos en la ruta de e#tremo a e#tremo a trav4s de la red. !i los dispositivos de red a lo largo de la ruta pueden reservar el anco de banda necesario, la aplicación de origen puede comenzar a transmitir. !i reserva solicitada falla a lo largo de la ruta, la aplicación de origen no envía ningn dato. 5a red realiza el control de admisión en base a la información de aplicaciones y los recursos de red disponibles. 5a red cumple con los re$uisitos de So! de la aplicación siempre $ue el tráfico est4 dentro de las especificaciones del perfil. 5a red cumple su compromiso al mantener el estado por flu%o y llevar a cabo luego la clasificación de pa$uetes, de políticas, y espera inteligente basada en ese estado.
Ing. José Dennis Estela Zumaeta SERVI!IOS DI"EREN!IADOS &l modelo de )alidad de !ervicio -So!/ de servicios diferenciados -Diff!erv/ especifica un mecanismo simple y escalable para clasificar y administrar el tráfico de red y proporcionar las garantías de So! en redes (+ modernas. +or e%emplo, Diff!erv puede proporcionar servicio garantizado de ba%a latencia al tráfico de red crítico, como voz o video, al mismo tiempo $ue proporciona garantías del me%or tráfico a servicios no críticos como tráfico 'eb o transferencias de arcivos. &l dise"o de Diff!erv supera las limitaciones de los modelos de me%or esfuerzo e (nt!erv. &l modelo Diff!erv se describe en 7) BR, BJIR, BJIK, CBH, JI. Diff!erv puede proporcionar una )alidad de !ervicio =casi garantizada> sin perder rentabilidad ni escalabilidad. &l modelo Diff!erv es un concepto similar al de enviar un pa$uete mediante un servicio de entrega. Usted solicita -y paga/ un nivel de servicio cuando envía un pa$uete. &n la red de pa$uetes, se reconoce el nivel de servicio por el $ue usted pagó y se le brinda a su pa$uete servicio normal o preferencial, segn lo $ue usted solicitó. Diff!erv no es una estrategia de So! de e#tremo a e#tremo por$ue no puede otorgar garantías de e#tremo a e#tremo. !in embargo, el modelo Diff!erv es un enfo$ue más escalable para implementar So!. A diferencia de (nt!erv y Pard So!P -So! fuerte/ en los $ue los osts terminales se"alan sus necesidades de So! a la red, Diff!erv no utiliza la se"alización. &n su lugar, Diff!erv usa un enfo$ue de =soft So!> -So! suave/. unciona en el modelo $ue proporciona So!, donde los elementos de red se configuran para mantener varias clases de tráfico cada uno con re$uisitos de So! diferentes.
*ientras el ost envía tráfico a un router, el router clasifica los flu%os en agregados -clases/ y proporciona la política So! apropiada para las clases. Diff!erv impone y aplica los mecanismos de So! en base a saltos, aplicando uniformemente el
Ing. José Dennis Estela Zumaeta significado global a cada clase de tráfico para proporcionar fle#ibilidad y escalabilidad. +or e%emplo, Diff!erv agrupa todos los flu%os 2)+ como una nica clase, y asigna un anco de banda para esa clase, en lugar de los flu%os individuales como aría (nt!erv. Además de clasificar el tráfico, Diff!erv minimiza los re$uisitos de mantenimiento de se"alización y estado en cada nodo de la red. &specíficamente, Diff!erv divide el tráfico de red en clases segn los re$uisitos de la empresa. !e puede asignar a un nivel diferente de servicio a cada una de las clases. A medida $ue los pa$uetes atraviesan una red, cada uno de los dispositivos de red identifica la clase de pa$uete y brinda servicios al pa$uete segn esa clase. )on Diff!erv, es posible elegir mucos niveles de servicio. +or e%emplo, al tráfico de voz desde tel4fonos (+ se le otorga generalmente un trato preferencial sobre el resto del tráfico de aplicaciones, al correo electrónico se le da generalmente el servicio de me%or esfuerzo, y al tráfico no empresarial se le puede asignar muy poco servicio o blo$uearlo por completo.
Nota: 5a red moderna usa principalmente el modelo Diff!erv. !in embargo, debido a los volmenes crecientes de tráfico sensible a demoras y fluctuaciones, en ocasiones (nt!erv y 7!;+ se implementan %untos.
&.&$. EVITAR LA PERDIDA DE PA;UETES 5a p4rdida de pa$uetes es generalmente el resultado de la congestión en una interfaz. 5a mayoría de las aplicaciones $ue utilizan el 2)+ e#perimentan una disminución de velocidad debido a $ue el 2)+ se a%usta automáticamente a la congestión en la red. 5os segmentos caídos del 2)+ acen $ue las sesiones del 2)+
Ing. José Dennis Estela Zumaeta reduzcan su tama"o de ventana. Algunas aplicaciones no utilizan 2)+ y no pueden mane%ar las caídas -flu%os frágiles/. 5os siguientes enfo$ues pueden evitar las caídas de aplicaciones sensibles: • •
•
Aumentar la capacidad de enlace para facilitar o evitar la congestión. Earantizar el suficiente anco de banda y aumentar el espacio en bfer para acomodar las ráfagas de tráfico de flu%os frágil. isten varios mecanismos disponibles en el soft'are de calidad de servicio -So!/ de )isco (0! $ue pueden garantizar el anco de banda y proporcionar el reenvío prioritario a las aplicaciones sensibles a las caídas. Algunos e%emplos son 1S, )L1S y 55S. &vitar la congestión el descartar pa$uetes de prioridad más ba%a antes de $ue se produzca la congestión. So! de )isco (0! proporciona mecanismos de espera $ue comienzan a descartar pa$uetes de prioridad más ba%a antes de $ue se produzca la congestión. Un e%emplo es la Detección 2emprana Aleatoria +onderada -17&D/.
&.&&. CERRAMIENTAS DE !ALIDAD DE SERVI!IO ;oSF ay tres categorías de erramientas de So! como se describe en la 2abla 3.
)onsulte la igura 3 para comprender la secuencia de cómo se utilizan estas erramientas cuando se aplica So! a los flu%os de pa$uetes.
Ing. José Dennis Estela Zumaeta
)omo se muestra en la ilustración, se clasifican los pa$uetes de ingreso -cuadros grises/ y se marca su encabezado (+ respectivo -cuadros de color/. +ara evitar la congestión, luego se asignan recursos a los pa$uetes en base a las políticas definidas. 5os pa$uetes son luego puestos en la cola y reenviados a la interfaz de egreso segn la política definida de modelado y regulación de tráfico de So!.
Nota: 5a clasificación y la marcación se pueden aplicar en el ingreso o en el egreso, mientras $ue las otras acciones de So!, como la organización de la cola y el modelado, generalmente se realizan al egreso.
&.. !LASI"I!A!ION ? MAR!A!ION Antes de $ue a un pa$uete se le pueda aplicar una política de So!, el mismo tiene $ue ser clasificado. 5a clasificación y la marcación nos permiten identificar o =marcar> los tipos de pa$uetes. 5a clasificación determina la clase de tráfico al cual los pa$uetes o tramas pertenecen. !olamente se pueden aplicar políticas al tráfico despu4s de $ue este se aya identificado. )ómo se clasifica un pa$uete depende de la implementación de So!. 5os m4todos de clasificación de flu%os de tráfico en la capa B y C incluyen el uso de interfaces, A)5 y mapas de clase. &l tráfico tambi4n se puede clasificar en las capas a R mediante el uso del 7econocimiento de aplicaciones basado en la red -9LA7/.
Nota: 9LA7 es una función de clasificación y detección del protocolo del soft'are )isco (0! $ue funciona con funciones de So!. 9LA7 e#cede el ámbito de este curso. 5a marcación significa $ue estamos agregando un valor al encabezado de pa$uetes. 5os dispositivos $ue reciben el pa$uete se basan en este campo para ver si coincide con una política definida. 5a marcación debe realizarse tan cerca de la fuente como sea posible. &sto determina el límite de confianza.
&.&. MAR!A!I
•
5os terminales confiables tienen las capacidades y la inteligencia para marcar el tráfico de aplicaciones con las )o! de capa B apropiadas yGo los valores de D!)+ de la )apa C. Algunos e%emplos de terminales de confianza incluyen
Ing. José Dennis Estela Zumaeta
• •
tel4fonos (+, puntos de acceso inalámbrico, gate'ays y sistemas de videoconferencia, estaciones de conferencia (+ y más. 5os terminales seguros pueden acer $ue el tráfico se mar$ue en el s'itc de la capa B. &l tráfico tambi4n puede marcarse en los s'itcesGrouters de la capa C.
Eeneralmente, es necesario volver a marcar el tráfico. +or e%emplo, la remarcación de los valores de )o! a valores de prioridad (+ o D!)+.
&.&. PREVEN!I
&.&. MODELADO ? VIGILAN!IA 5as políticas de modelado y de vigilancia del son dos mecanismos proporcionados por el soft'are )isco (0! So! para evitar la congestión. &l modelado del tráfico conserva los pa$uetes en e#ceso en una cola y luego programa el e#ceso para la transmisión posterior en incrementos de tiempo. &l resultado del modelado del tráfico es una velocidad de salida de pa$uetes alisada, como se muestra en la igura 3.
Ing. José Dennis Estela Zumaeta &l modelado implica la e#istencia de una cola y de memoria suficiente para almacenar en bfer los pa$uetes retardados, mientras $ue la vigilancia no ace esto. &n cambio, la vigilancia del tráfico propaga los estallidos. )uando la velocidad del tráfico alcanza el la velocidad má#ima, se descarta el tráfico e#cesivo -o comentado/. &l resultado es una velocidad de salida $ue tiene una apariencia similar a la de los dientes de una sierra, con crestas y canales, como se muestra en la igura B.
5a espera es un concepto de salidaO los pa$uetes $ue salen de una interfaz pueden ponerse en cola y pueden ser formados. !olo se puede aplicar vigilancia al tráfico entrante en una interfaz. Asegrese de tener memoria suficiente cuando active el modelado. Además, la formación re$uiere una función de programación para la transmisión posterior de cual$uier pa$uete con retardo. &sta función de programación le permite organizar la cola de modelado en distintas colas. &ntre las funciones de programación son )L1S y 55S.
&H.DES!RIP!ION GENERAL DE LA NU8E
Ing. José Dennis Estela Zumaeta 5a computación en la nube implica una gran cantidad de computadoras conectadas a trav4s de una red $ue puede estar ubicada físicamente cual$uier lugar. 5os proveedores dependen en mayor medida de la virtualización para brindar sus servicios de computación en la nube. 5a computación en la nube puede reducir costos operativos al utilizar los recursos con mayor eficacia. 5a computación en la nube admite una variedad de problemas de administración de datos: • • • • •
+ermite el acceso a los datos de organización en cual$uier momento y lugar. 0ptimiza las operaciones de 2( de la organización suscribi4ndose nicamente a los servicios necesarios. &limina o reduce la necesidad de e$uipos, mantenimiento y administración de 2( en las instalaciones. 7educe el costo de e$uipos y energía, los re$uisitos físicos de la planta y las necesidades de capacitación del personal. +ermite respuestas rápidas a los crecientes re$uisitos de volumen de datos.
5a computación en la nube, con su modelo de =pago segn el consumo>, permite $ue las organizaciones consideren los gastos de computación y almacenamiento más como un servicio $ue como una inversión en infraestructura. 5os gastos de capital se transforman en gastos operativos.
&H.&. SERVI!IOS EN LA NU8E 5os servicios en la nube están disponibles en una variedad de opciones dise"adas para cumplir con los re$uisitos del cliente. 5os tres servicios principales de computación en la nube definidos por el (nstituto 9acional de 9ormas y 2ecnología -9(!2/ de los &stados Unidos en su publicación especial KFFN3J son los siguientes: Sot7a*e )omo se*i)io SaaSF: &l proveedor de la nube es responsable del acceso a los servicios, como correo electrónico, comunicación y 0ffice CHJ $ue se ofrecen a trav4s de (nternet. &l usuario sólo necesita proporcionar sus datos. • Platao*ma )omo se*i)io PaaSF: &l proveedor de la nube es responsable del acceso a las erramientas y los servicios de desarrollo utilizados para distribuir las aplicaciones. • In*aest*u)tu*a )omo se*i)io IaaSF: &l proveedor de la nube es responsable del acceso al e$uipo de red, los servicios de red virtualizados y la infraestructura de red $ue utiliza.
5os proveedores de servicios en la nube an e#tendido este modelo para proporcionar tambi4n soporte de 2( para cada uno de los servicios de computación en la nube -(2aa!/. +ara las empresas, los (2aa! pueden e#tender las funcionalidades de 2( sin necesidad de invertir en infraestructura nueva, capacitación de personal nuevo o licencias de soft'are nuevo. &stos servicios están disponibles a petición y se proporcionan de forma económica a cual$uier dispositivo en cual$uier lugar del mundo, sin comprometer la seguridad ni el funcionamiento.
&H.#. MODELOS DE NU8E isten cuatro tipos principales de nubes, como se muestra en la igura 3.
Ing. José Dennis Estela Zumaeta
•
•
•
•
Nues +3li)as: 5as aplicaciones basadas en la nube y los servicios $ue se ofrecen en una nube pblica están a disposición de la población en general. 5os servicios pueden ser gratuitos u ofrecerse en el formato de pago segn el uso, como el pago de almacenamiento en línea. 5a nube pblica utiliza (nternet para proporcionar servicios. Nues +*ia-as: 5as aplicaciones y los servicios basados en una nube privada $ue se ofrecen en una nube privada están destinados a una organización o una entidad específica, como el gobierno. !e puede configurar una nube privada utilizando la red privada de la organización, si bien el armado y el mantenimiento pueden ser costosos. Una organización e#terna $ue cuente con una seguridad de acceso estricta tambi4n puede administrar una nube privada. Nues @>*i-as: Una nube íbrida consta de dos o más nubes -por e%emplo, una parte personalizada y otra parte pblica/O donde cada una de las partes sigue siendo un ob%eto separado, pero ambas están conectadas a trav4s de una nica ar$uitectura. &n una nube íbrida, las personas podrían tener grados de acceso a diversos servicios segn los derecos de acceso de los usuarios. Nues +e*sonaliQa-as: &stas son nubes desarrolladas para satisfacer las necesidades de una industria específica, como los servicios de salud o los medios de comunicación. 5as nubes personalizadas pueden ser privadas o pblicas.
&H.. !OMPARA!I
Ing. José Dennis Estela Zumaeta 5os t4rminos Pcentro de datosP y Pcomputación en la nubeP a menudo se usan de manera incorrecta. &stas son las definiciones correctas de centro de datos y computación en la nube: •
•
!ent*o -e -atos: Eeneralmente, consiste en una instalación de almacenamiento y procesamiento de datos gestionados por un departamento de 2( interno o arrendado fuera de las instalaciones. !om+uta)i,n en la nue : Eeneralmente, consiste en un servicio fuera de las instalaciones $ue ofrece acceso a pedido a un grupo compartido de recursos informáticos configurables. &stos recursos se pueden aprovisionar y lanzar rápidamente con un esfuerzo de administración mínimo.
5a computación en la nube es posible gracias a los centros de datos. Un centro de datos es una instalación utilizada para alo%ar sistemas de computación y componentes relacionados. Un centro de datos puede ocupar una abitación en un edificio, un piso o más, o un edificio entero. +or lo general, la creación y el mantenimiento de centros de datos son muy costosos. +or esta razón, solo las grandes organizaciones utilizan centros de datos privados creados para alo%ar sus datos y proporcionar servicios a los usuarios. 5as organizaciones más pe$ue"as, $ue no pueden costear el mantenimiento de su propio centro de datos privado, pueden reducir el costo total de propiedad mediante el al$uiler de servicios de servidor y almacenamiento a una organización en la nube con un centro de datos más grande. A menudo, la computación en la nube es a menudo un servicio proporcionado por los centros de datos, como se muestra en la igura 3.
5os proveedores de servicios en la nube utilizan los centros de datos para sus servicios en la nube y sus recursos basados en la nube. +ara garantizar la disponibilidad de los servicios de datos y los recursos, a menudo los proveedores mantienen espacios en varios centros de datos remotos.
Ing. José Dennis Estela Zumaeta &H.H. TERMINOLOGIA DE !OMPUTA!ION EN LA NU8E
&H.'.!OMPUTA!ION EN LA NU8E ? VIRTUALIZA!ION 5os t4rminos =computación en la nube> y =virtualización> suelen usarse indistintamenteO !in embargo, significan diferentes cosas. 5a virtualización es la base de la computación en la nube. !in ella, la computación en la nube más ampliamente utilizada no sería posible. 5a computación en la nube separa la aplicación del ard'are. 5a virtualización separa el !0 ard'are. 5os diferentes proveedores ofrecen servicios en la nube virtuales $ue pueden proveer dinámicamente los servidores segn sea necesario. +or e%emplo, el servicio 'eb Amazon &lastic )ompute )loud -Amazon &)B/ proporciona una manera simple para $ue los clientes proporcionen dinámicamente los recursos informáticos $ue necesitan. &stas instancias virtualizadas de los servidores se crean a pedido en el &)B de Amazon.
&H.4. SERVIDORES DEDI!ADOS +ara poder apreciar completamente la virtualización, primero es necesario entender un poco parte la istoria de la tecnología de los servidores. istóricamente, los servidores empresariales consistían en un sistema operativo -!0/ del servidor, como 1indo's !erver o 5inu# !erver, instalado en el ard'are específico, como se muestra en la igura 3. 2oda la 7A*, la potencia de procesamiento y todo el espacio del disco duro de un servidor se dedicaban al servicio proporcionado -por e%emplo, red, servicios de correo electrónico, etc./.
Ing. José Dennis Estela Zumaeta
&l principal problema con esta configuración es $ue cuando falla un componente, el servicio proporcionado por este servidor no se encuentra disponible. &sto se conoce como punto nico de falla. 0tro problema era $ue los servidores dedicados eran infrautilizados. A menudo, los servidores dedicados estaban inactivos durante largos períodos de tiempo, esperando asta $ue ubiera una necesidad de ofrecer un servicio específico $ue estos proporcionaban. &stos servidores malgastaban energía y ocupaban más espacio del $ue estaba garantizado por la cantidad de servicio. &sto se conoce como proliferación de servidores.
Ing. José Dennis Estela Zumaeta &H.. VIRTUALIZA!I
&l ipervisor es un programa, un firm'are o un ard'are $ue suma una capa de abstracción a la parte superior del ard'are físico real. 5a capa de abstracción se utiliza para crear má$uinas virtuales $ue tienen acceso a todo el ard'are de la má$uina física, como )+U, memoria, controladores de disco y 9(). )ada una de esas má$uinas virtuales e%ecuta un sistema operativo completo y separado. )on la virtualización, las empresas aora pueden consolidar el nmero de servidores. +or e%emplo, no es raro $ue 3FF servidores físicos se consoliden como má$uinas virtuales sobre los 3F servidores físicos $ue utilicen ipervisores. &l uso de la virtualización normalmente incluye redundancia para brindar protección desde un punto sencillo de falla. 5a redundancia se puede implementar de diferentes maneras. !i falla el ipervisor, se puede reiniciar la ;* en otro ipervisor. Además, la misma ;* se puede e%ecutar en dos ipervisores simultáneamente copiando las instrucciones de 7A* y de )+U entre estos. !i falla un ipervisor, la ;* contina e%ecutándose en el otro supervisor. 5os servicios $ue se e%ecutan en las ;* tambi4n son virtuales y se pueden instalar o desabilitar dinámicamente, segn sea necesario.
Ing. José Dennis Estela Zumaeta &H..
VENTAJAS DE LA VIRTUALIZA!I
•
•
Se ne)esitan menos eui+os: 5a virtualización permite la consolidación de los servidores, $ue re$uiere menos servidores físicos, menos dispositivos de red y menos infraestructura de soporte. 2ambi4n significa menores costos de mantenimiento. Se )onsume menos ene*g>a0 5a consolidación de los servidores reduce los costos de energía y de refrigeración mensuales. &l consumo reducido ayuda a las empresas a alcanzar una uella de carbono más pe$ue"a. Se *euie*e menos es+a)io 5a consolidación de servidores con la virtualización reduce la uella general del centro de datos. *enos servidores, dispositivos de red y racMs reducen la cantidad de espacio de piso re$uerido
&stos son los beneficios adicionales de la virtualización: •
• •
•
•
!*ea)i,n -e +*ototi+os ms sen)illa: se pueden crear rápidamente laboratorios autónomos $ue funcionen en redes aisladas para probar y crear prototipos de implementación de redes. !i se comete un error, un administrador puede volver simplemente a una versión anterior. 5os entornos de prueba pueden estar en línea, pero deben estar aislados de los usuarios finales. Una vez completada la prueba, se pueden implementar los servidores y los sistemas. A+*oisionamiento ms *+i-o -e se*i-o*es : crear un servidor virtual es muco más rápido $ue el aprovisionamiento de un servidor físico. Ma2o* tiem+o -e a)tii-a- -el se*i-o* : 5a mayoría de las plataformas de virtualización de servidores aora ofrecen funciones avanzadas redundantes con tolerancia a fallas, como la migración en vivo, la migración de almacenamiento, la alta disponibilidad y la programación distribuida de recursos. 2ambi4n admiten la capacidad de mover una má$uina virtual de un servidor a otro. Re)u+e*a)i,n t*as un -esast*e me5o*a-a0 5a virtualización ofrece soluciones avanzadas de continuidad de los negocios. Lrinda la capacidad de abstracción de ard'are de modo $ue el sitio de recuperación ya no necesite tener ard'are $ue sea id4ntico al ard'are del entorno de producción. 5a mayoría de las plataformas de virtualización de servidores de la empresa tambi4n tienen soft'are $ue puede ayudar a probar y automatizar las fallas antes de $ue suceda un desastre. So+o*te @e*e-a-o: 5a virtualización puede e#tender la vida til de los 0!! y de las aplicaciones, y esto brinda más tiempo a las organizaciones para migrar a nuevas soluciones.
Ing. José Dennis Estela Zumaeta &H.. !APAS DE A8STRA!!I
&n cada una de estas capas de abstracción, se utiliza algn tipo de código de programación como interfaz entre la capa inferior y la capa superior. +or e%emplo, el lengua%e de programación ) se suele utilizar para programar el firm'are $ue accede al ard'are. &n la igura B, se muestra un e%emplo de virtualización. Un ipervisor se instala entre el firm'are y el 0!. &l ipervisor puede admitir varias instancias de !0.
Ing. José Dennis Estela Zumaeta
&H.&$. CIPERVISORES DE TIPO # Un ipervisor es un soft'are $ue crea y e%ecuta instancias de ;*. 5a computadora, en la $ue un ipervisor está e%ecutando una o más ;*, es un e$uipo ost. 5os ipervisores de tipo B tambi4n se denominan ipervisores alo%ados. &sto se debe a $ue el ipervisor está instalado en el !0 e#istente, como *ac 0! 6, 1indo's o 5inu#. 5uego, una o varias instancias adicionales del !0 se instalan en el ipervisor, como se muestra en la igura 3:
Una gran venta%a de los ipervisores de tipo B es $ue el soft'are de la consola de administración no es necesario.
Ing. José Dennis Estela Zumaeta 5os ipervisores de tipo B son muy populares entre los consumidores y en las organizaciones $ue e#perimentan con la virtualización. 5os ipervisores comunes de tipo B incluyen: • • • • •
;irtual +). ;*'are 1orMstation. 0racle ;* ;irtualLo#. ;*'are usion. *ac 0! 6 +arallels.
*ucos de estos ipervisores de tipo B son gratuitos. Algunos ofrecen funciones más avanzadas mediante el pago de una cuota.
Nota: &s importante asegurarse de $ue el e$uipo ost sea lo suficientemente resistente para instalar y e%ecutar las ;*, para $ue no se $uede sin recursos.
&H.&&. IDENTI"I!AR LA TERMINOLOGIA DE LA VIRTUALIZA!ION
&H.. CIPERVISORES DE TIPO & 5os ipervisores de tipo 3 tambi4n se denominan el enfo$ue de =infraestructura física> por$ue el ipervisor está instalado directamente en el ard'are. 5os ipervisores de tipo 3 se usan generalmente en los servidores empresariales y los dispositivos de redes para centros de datos. )on los ipervisores de tipo 3, el ipervisor se instala directamente en el servidor o en el ard'are de red. 5uego, las instancias de un 0! se instalan en el ipervisor, como se muestra en la igura 3. 5os ipervisores de tipo 3 tienen acceso directo a los recursos de ard'areO por lo tanto, son más eficaces $ue las ar$uitecturas alo%adas. 5os ipervisores de tipo 3 me%oran la escalabilidad, el rendimiento y la solidez.
Ing. José Dennis Estela Zumaeta
&H.&. INSTALA!ION DE UNA VM EN UN CIPERVISOR )uando se instala un ipervisor de tipo 3 y se reinicia el servidor, sólo se muestra la información básica, como la versión de !0, la cantidad de 7A* y la dirección (+. Una instancia de 0! no se puede crear a partir de esta pantalla. 5os ipervisores de tipo 3 re$uieren una =consola de administración> para administrar el ipervisor. &l soft'are de administración se utiliza para administrar varios servidores con el mismo ipervisor. 5a consola de administración puede consolidar los servidores automáticamente y encender o apagar los servidores, segn sea necesario. +or e%emplo, suponga $ue el !ervidor3 de la igura 3 se $ueda con menos recursos. +ara acer $ue aya más recursos disponibles, la consola de administración mueve la instancia de 1indo's al ipervisor en el !ervidorB.
5a consola de administración proporciona la recuperación ante las fallas de ard'are. !i falla un componente del servidor, la consola de administración mueve la ;* a otro servidor automáticamente y sin inconvenientes.
Ing. José Dennis Estela Zumaeta Algunas consolas de administración tambi4n permiten la sobreasignación. 5a sobreasignación se produce cuando se instalan varias instancias de !0, pero su asignación de memoria e#cede la cantidad total de memoria $ue tiene un servidor. +or e%emplo, un servidor tiene 3H EL de 7A*, pero el administrador crea cuatro instancias de !0 con 3F EL de 7A* asignadas a cada una. &ste tipo de asignación e#cesiva es abitual por$ue las cuatro instancias de !0 re$uieren raramente los 3F EL completo de 7A* en todo momento.
&H.&H. VIRTUALIZA!ION DE LA RED 5a virtualización del servidor oculta los recursos del servidor -por e%emplo, la cantidad y la identidad de los servidores físicos, de los procesadores y del !0/ de los usuarios del servidor. &sta práctica puede crear problemas si el centro de datos está utilizando las ar$uitecturas de red tradicionales. +or e%emplo, las 5A9 virtuales -;5A9/ utilizadas por las ;* se deben asignar al mismo puerto de s'itc $ue el servidor físico $ue e%ecuta el ipervisor. !in embargo, las ;* son trasladables, y el administrador de la red debe poder agregar, descartar y cambiar los recursos y los de la red. &ste proceso es difícil de acer con los s'itces de red tradicionales. 0tro problema es $ue los flu%os de tráfico difieren considerablemente del modelo clienteNservidor tradicional. Eeneralmente, un centro de datos tiene una cantidad considerable de tráfico $ue se intercambia entre los servidores virtuales -denominado Ptráfico entre nodosP/. &stos flu%os cambian en la ubicación y la intensidad en el tiempo, lo $ue re$uiere un enfo$ue fle#ible a la administración de recursos de red. 5as infraestructuras de red e#istentes pueden responder a los re$uisitos cambiantes relacionados con la administración de los flu%os de tráfico utilizando las configuraciones de calidad de servicio -So!/ y de a%ustes de nivel de seguridad para los flu%os individuales. !in embargo, en empresas grandes $ue utilizan e$uipos de varios proveedores, cada vez $ue se activa una nueva ;*, la reconfiguración necesaria puede llevar muco tiempo. ?+odría la infraestructura de red tambi4n beneficiarse de la virtualización@ !i esto es así, ?de $u4 manera podría acerlo@ 5a respuesta se encuentra en la manera en la $ue un dispositivo de red funciona mediante un plano de datos y un plano de control.
&H.&'. PLANOS DE !ONTROL ? PLANOS DE DATOS Un dispositivo de red contiene los siguientes planos: •
•
Plano -e )ont*ol : Eeneralmente, esto se considera como el cerebro de un dispositivo. !e utiliza para tomar decisiones de reenvío. &l plano de control contiene los mecanismos de reenvío de ruta de capa B y capa C, como las tablas de vecinos de protocolo de routing y las tablas de topología, las tablas de routing (+v e (+vH, !2+, y la tabla A7+. 5a información $ue se envía al plano de control es procesada por la )+U. Plano -e -atos: &ste plano, tambi4n denominado Pplano de reenvíoP, generalmente es la estructura de s'itc $ue conecta los diversos puertos de red en un dispositivo.&l plano de datos de cada dispositivo se utiliza para
Ing. José Dennis Estela Zumaeta reenviar los flu%os de tráfico. 5os routers y los s 'itces utilizan la información del plano de control para reenviar el tráfico entrante desde la interfaz de egreso correspondiente. +or lo general, la información del plano de datos es procesada por un procesador especial del plano de datos, como un procesador de se"al digital -D!+/ sin $ue se involucre a la )+U. &l e%emplo de la igura 3 muestra cómo )isco press or'arding -)&/ utiliza el plano de control y el plano de datos para procesar los pa$uetes:
)& es una tecnología de s'itcing de (+ de capa C $ue permite $ue el reenvío de los pa$uetes ocurra en el plano de datos sin $ue se consulte el plano de control. &n )&, la tabla de routing del plano de control rellena previamente la tabla de base de información de reenvío -(L/ de )& en el plano de datos. 5a tabla A7+ del plano de control rellena previamente la tabla de adyacencia. 5uego, los pa$uetes son reenviados directamente por el plano de datos basado en la información incluida en la (L y en la tabla de adyacencia, sin necesidad de consultar la información en el plano de control. +ara virtualizar la red, un controlador centralizado realiza y elimina la función del plano de control de cada dispositivo, como se muestra en la igura B. &l controlador centralizado comunica las funciones del plano de control a cada dispositivo. )ada dispositivo aora puede enfocarse en el envío de datos mientras el controlador centralizado administra el flu%o de datos, me%ora la seguridad y proporciona otros servicios.
Ing. José Dennis Estela Zumaeta
&H.&4. VIRTUALIZA!ION DE LA RED ace más de una d4cada, ;*'are desarrolló una tecnología de virtualización $ue permitía a un !0 ost admitir uno o más !0 clientes. 5a mayoría de las tecnologías de virtualización aora se basan en esta tecnología. 5a transformación de los servidores e#clusivos para los servidores virtualizados se a adoptado y se implementa rápidamente en el centro de datos y las redes empresariales. !e an desarrollado dos ar$uitecturas de red principales para admitir la virtualización de la red: •
Re-es -eini-as +o* sot7a*e SDNF0 una ar$uitectura de red definida por soft'are $ue virtualiza la red.
•
In*aest*u)tu*a )ent*a-a en a+li)a)iones A!IF -e !is)o0 Una solución de ard'are dise"ada específicamente para la integración de computación en la nube y administración de centros de datos.
&stas son otras tecnologías de virtualización de redes, incluyen algunas de las cuales se incluyen como componentes en !D9 y A)(: •
•
•
O+en"lo7 : &ste enfo$ue se desarrolló de Universidad !tanford para administrar el tráfico entre los routers, los s'itces, los puntos de acceso inalámbrico y un controlador. &l protocolo 0penlo' es un elemento básico en el desarrollo de soluciones de !D9. O+enSta):: &ste enfo$ue es una plataforma de virtualización y organización disponible para desarrollar entornos de nube escalables y proporcionar una infraestructura como una solución -(aa!/ de servicio. 0pen!tacM se usa frecuentemente en con%unto con )isco A)(. 5a organización en la red es el proceso para automatizar el aprovisionamiento de los componentes de red como servidores, almacenamiento, s'itces, routers y aplicaciones. Ot*os )om+onentes0 otros componentes incluyen la interfaz a 7outing !ystem -(B7!/, la intercone#ión transparente de varios enlaces -27(55/, )isco abric+at -+/ e (&&& KFB.3a$ !ortest +at Lridging -!+L/.
Ing. José Dennis Estela Zumaeta &H.&. AR;UIE!TURA SDN &n un router o una ar$uitectura de s'itces tradicionales, el plano de control y las funciones del plano de datos se producen en el mismo dispositivo. 5as decisiones de routing y el envío de pa$uetes son responsabilidad del sistema operativo del dispositivo. 5as redes definidas por soft'are -!D9/ son una ar$uitectura de red $ue se desarrolló para virtualizar la red. +or e%emplo, las !D9 pueden virtualizar el plano de control. 2ambi4n conocidas como !D9 basadas en controladores, las !D9 mueven el plano de control desde cada dispositivo de red a una inteligencia de la red central y una entidad de las políticas fabricación denominada controlador de !D9. 5as dos ar$uitecturas se muestran en la igura 3.
&l controlador de !D9 es una entidad lógica $ue permite $ue los administradores de red administren y determinen cómo el plano de datos de s'itces físicos y virtuales de los routers debe administrar el tráfico de red. )oordina, media y facilita la comunicación entre las aplicaciones y los elementos de red. &l marco de !D9 se ilustra en la igura B. 0bserve el uso de interfaces de programación de aplicaciones -A+(/ dentro del marco de !D9. Una A+( es un con%unto de solicitudes estandarizadas $ue definen la forma adecuada para $ue una aplicación solicite servicios de otra aplicación. &l controlador de !D9 usa los A+( ascendentes para comunicarse con las aplicaciones ascendentes. &stos administradores de red de ayuda de A+( forman el tráfico e implementan los servicios. &l controlador de !D9 tambi4n utiliza interfaces A+( descendentes para definir el comportamiento de los s'itces y routers virtuales descendentes. 0penlo' es la A+( original descendente ampliamente implementada. 0pen 9et'orMing oundation es responsable de mantener el estándar de 0penlo'.
Nota: &l tráfico en un centro de datos moderno se describe como -en sentido/ vertical -$ue se produce entre los usuarios del centro de datos e#ternos y los servidores del centro de datos/ y -en sentido/ transversal -$ue se produce entre los servidores del centro de datos/.
Ing. José Dennis Estela Zumaeta
+ara obtener más información sobre !D9, 0penlo' y 0pen 9et'orMing oundation, visite: ttps:GG'''.opennet'orMing.orgGsdn NresourcesGsdnNdefinition -&nlaces a un sitio e#terno./
&H.&. !ONTROLADOR SDN ? OPERA!IONES &l controlador de !D9 define los flu%os de datos $ue ocurren en el flu%o de datos de las !D9. Un flu%o es una secuencia de pa$uetes $ue atraviesan una red $ue comparten un con%unto de valores de campo del encabezado. +or e%emplo, un flu%o puede consistir en todos los pa$uetes con las mismas direcciones (+ de origen y de destino, o todos los pa$uetes con el mismo identificador de ;5A9. )ada flu%o $ue atraviesa la red debe obtener primero un permiso del controlador de !D9, $ue verifica $ue la comunicación sea permisible segn la política de red. !i el controlador permite un flu%o, calcula una ruta para $ue tome el flu%o y agrega una entrada para ese flu%o en cada uno de los s'itces $ue están a lo largo de la ruta. &l controlador realiza todas las funciones comple%as. &l controlador completa las tablas de flu%o, y los s'itces administran las tablas de flu%o. &n la igura 3, un controlador de !D9 se comunica con los s'itces compatibles con 0penlo' utilizando el protocolo 0penlo'. &ste protocolo utiliza 2ransport 5ayer !ecurity -25!/ para enviar de manera segura las comunicaciones del plano de control a trav4s de la red. )ada s'itc de 0penlo' se conecta con otros s'itces de 0penlo'. 2ambi4n pueden conectarse a los dispositivos de usuarios finales $ue forman parte de un flu%o de pa$uetes.
Ing. José Dennis Estela Zumaeta
Dentro de cada s'itc, se utiliza una serie de tablas implementadas en el ard'are o el firm'are para administrar flu%os de pa$uetes a trav4s del s'itc. +ara el s'itc, un flu%o es una secuencia de pa$uetes $ue coincide con una entrada específica en una tabla de flu%o. 5as tablas sirven para lo siguiente: •
•
Tala -e lu5o0 &sta tabla asigna los pa$uetes entrantes a un flu%o determinado y especifica las funciones $ue deben realizarse en los pa$uetes. +uede aber tablas de flu%o mltiples $ue funcionan a modo de canalización. Tala -e me-i-o* : &sta tabla activa una variedad de acciones relacionadas con el funcionamiento en un flu%o.
Una tabla de flu%o puede dirigir un flu%o a una tala -e g*u+os, $ue puede alimentar una variedad de acciones $ue afecten a uno o más flu%os.
&H.&. IN"RAESTRU!TURA !ENTRADA EN APLI!A!IONES !IS!O *uy pocas organizaciones tienen realmente el deseo o las abilidades para programar la red utilizando las erramientas de !D9. !in embargo, la mayoría de las organizaciones desea automatizar la red, acelerar la implementación de aplicaciones y alinear sus infraestructuras de 2( para cumplir me%or con los re$uisitos empresariales. )isco desarrolló la (nfraestructura centrada en aplicaciones -A)(/ para alcanzar los siguientes ob%etivos de maneras más avanzadas y más innovadoras $ue antes los enfo$ues de !D9. A)( es una ar$uitectura de red de centro de datos desarrollada por (nsieme y ad$uirida por )isco en BF3C. )isco A)( es una solución de ard'are dise"ada específicamente para la integración de la computación en la nube y de la administración de centros de
Ing. José Dennis Estela Zumaeta datos. &n un nivel alto, el elemento de políticas de la red se elimina del plano de datos. &sto simplifica el modo en $ue se crean redes del centro de datos. +ara obtener más información sobre las diferencias entre !D9 y A)(, visite: ttp:GGblogs.cisco.comGdatacenterGis Naci NreallyNsdn None Npoint Nof Nvie'NtoNclarifyN teconversation -&nlaces a un sitio e#terno./ +ara obtener más información sobre los aspectos básicos de A)(, vea el siguiente video de )isco 2ec1ise:ttp:GGvideo.cisco.comGdetailGvideosGtec'isetvGvideoGCCHKHBIHFF3Gfundam entalsN of Naci -&nlaces a un sitio e#terno./
&H.#$. !OMPONENTES PRIN!IPALES DE A!I &stos son los tres componentes principales de la ar$uitectura de A)(: •
•
•
Pe*il -e *e- -e a+li)a)iones ANPF: Un A9+ es un con%unto de grupos de terminales -&+E/, sus cone#iones y las políticas $ue definen esas cone#iones. 5os &+E $ue se muestran en la igura 3, como ;5A9, servicios 'eb y las aplicaciones, son simplemente e%emplos. Un A9+ es con frecuencia muco más comple%o. !ont*ola-o* -e in*aest*u)tu*a -e +ol>ti)as -e a+li)a)iones API!F : &l A+() se considera como el cerebro de la ar$uitectura de A)(. &l A+() es un controlador centralizado de soft'are $ue administra y opera una estructura agrupada A)( escalable. &stá dise"ado para la programabilidad y la administración centralizada. 2raduce las políticas de las aplicaciones a la programación de la red. S7it)@es !is)o Ne/us $$$: estos s'itces proporcionan una estructura de s'itcing con reconocimiento de aplicaciones y funcionan con una A+() para administrar la infraestructura virtual y de red física.
)omo se muestra en la ilustración, el A+() se ubica entre el A+9 y la infraestructura de red abilitada con A)(. &l A+() traduce los re$uisitos de aplicaciones a una configuración de red para cumplir con esas necesidades.
Ing. José Dennis Estela Zumaeta
&H.#&. TOPOLOGIA DE NODO PRIN!IPAL ? NODO SE!UNDARIO 5a estructura )isco A)( está compuesta por el A+() y los s'itces )isco 9e#us de la serie IFFF mediante una topología de dos niveles de nodo principal y secundario, como se muestra en la igura 3. 5os s'itces de nodo secundario siempre se ad%untan a los nodos principales, pero nunca se ad%untan entre sí. De manera similar, los s'itces principales solo se ad%untan a la o%a y a los s'itces de ncleo -no se muestran/. &n esta topología de dos niveles, todo está a un salto de todo lo demás.
Ing. José Dennis Estela Zumaeta 5os A+() de )isco y todos los demás dispositivos de la red se ad%untan físicamente a los s'itces de nodo secundario. &n comparación con una !D9, el controlador de A+() no manipula la ruta de datos directamente. &n cambio, el A+() centraliza la definición de políticas y programas a los $ue cambia el nodo secundario para reenviar tráfico segn las políticas definidas. +ara la virtualización, la A)( es compatible con entornos de varios proveedores de ipervisor $ue se conectarían a los s'itces secundarios, incluidos los siguientes: • • •
*icrosoft -yperN;G!);**GAzure +acM/. 7ed at &nterprise 5inu# 0! -X;* 0;!G0pen!tacM/. ;*'are -&!6Gv)enterGv!ield/.
&H.##. TIPOS DE SDN &l controlador de infraestructura de política de aplicación -módulo para empresas A+()N&*V/ de )isco e#tiende la A)( destinada a la aplicación en empresas y campus. +ara comprender me%or el A+()N&*, es til dar una mirada más amplia a los tres tipos de !D9.
SDN 8ASADO EN DISPOSITIVOS &n este tipo de !D9, los dispositivos son programables por las aplicaciones $ue se e%ecutan en el mismo dispositivo o en un servidor en la red, como se muestra en la igura 3. )isco 0ne+X es un e%emplo de un !D9 basado en dispositivos. +ermite $ue los programadores creen aplicaciones utilizando ) y a Yava con +yton para integrar e interactuar con los dispositivos )isco.
SDN 8ASADO EN !ONTROLADORES &ste tipo de !D9 utiliza un controlador centralizado $ue tiene conocimiento de todos los dispositivos de la red, como se muestra en la igura B. 5as aplicaciones pueden interactuar con el controlador responsable de administrar los dispositivos y de manipular los flu%os de tráfico en la red. &l controlador !D9 )isco 0pen es una distribución comercial de 0pen Dayligt.
Ing. José Dennis Estela Zumaeta
SDN 8ASADO EN POLITI!AS &ste tipo de !D9 es similar a un !D9 basado en controladores donde un controlador centralizado tiene una vista de todos los dispositivos de la red, como se muestra en la igura C. &l !D9 basado en políticas incluye una capa de políticas adicional $ue funciona a un nivel de abstracción mayor. Utiliza las aplicaciones integradas $ue automatizan tareas de configuración avanzada mediante un flu%o de traba%o guiado y una EU( fácil de usar $ue no re$uiere abilidades de programación. )isco A+()N&* es un e%emplo de este tipo de !D9.
&H.#. "UN!IONES API!%EM )ada tipo de !D9 tiene sus propias funciones y venta%as. 5as !D9 basadas en políticas son las más resistentes, lo $ue proporciona un mecanismo simple para controlar y administrar políticas en toda la red. )isco A+()N&* proporciona las siguientes funciones:
Ing. José Dennis Estela Zumaeta
•
•
•
•
• •
Des)u*imiento: Admite una funcionalidad de detección $ue se utiliza para completar la base de datos de inventario de dispositivos y de ost de controlador. Inenta*io -e -is+ositios: de dispositivos $ue recopila información detallada de los dispositivos dentro de la red incluidos el nombre del dispositivo, el estado del dispositivo, la dirección *A), las direcciones (+vG(+vH, el (0!Gfirm'are, la plataforma, el tiempo de actividad y la configuración. Inenta*io -e @ost: 7ecopila información detallada de los osts con la red, $ue incluye el nombre del ost, la identificación del usuario, la dirección *A), las direcciones (+vG(+vH y el punto de cone#ión de red. To+olog>a: Admite una visión gráfica de la red -vista de topología/. )isco A+()N &* detecta automáticamente y asigna dispositivos a una topología física con datos detallados de nivel del dispositivo. Además, la visualización automática de las topologías de capa B y C sobre la topología física proporciona una vista detallada para la planificación de dise"o y la solución de problemas simplificada. 5a igura 3 muestra un e%emplo de una vista de topología generada por )isco A+()N&*. Pol>ti)a: )apacidad de ver y políticas de control en toda la red, incluido el So!. Anlisis -e +ol>ti)a: (nspección y análisis de las políticas de control de acceso a la red. )apacidad de rastrear las rutas específicas de la aplicación entre los terminales para identificar rápidamente las A)5 en uso y las áreas problemáticas. abilita la administración de cambios de permisos mediante A)5 con una identificación más sencilla de la redundancia, los conflictos y el ordenamiento incorrecto de las entradas de control de acceso. 5as entradas de A)5 incorrectas se conocen como sombras.
&H.#H. ANALISIS DE A!L DE API!%EM Una de las funciones más importantes del controlador A+()N&* es la capacidad de administrar políticas en toda la red. 5as políticas operan en un nivel de abstracción más
Ing. José Dennis Estela Zumaeta alto. 5a configuración de dispositivos tradicional se aplica de a un dispositivo por la vez, mientras $ue las políticas de !D9 se aplican a toda la red. &l análisis y el seguimiento de ruta de A+()N&* A)5 proporcionan erramientas para permitir $ue el administrador analice y comprenda las políticas y las configuraciones de las A)5. )rear nuevas A)5 o editar las A)5 e#istentes a trav4s de la red para implementar una nueva política de seguridad puede ser desafiante. 5os administradores son reticentes a cambiar las A)5 por miedo a romperlos y a causar nuevos problemas. &l análisis y el seguimiento de ruta de las A)5 permiten $ue el administrador visualice fácilmente flu%os de tráfico y descubra las entradas de A)5 conflictivas, duplicadas o sombreadas. A+()N&* proporciona las siguientes erramientas para solucionar problemas en las entradas de las A)5:
ANALISIS DE A!L &sta erramienta e#amina las A)5 en los dispositivos y busca entradas redundantes, en conflicto o entradas sombreadas. &l análisis de las A)5 permite el e#amen y la interrogación de las A)5 en toda la red y e#pone los inconvenientes y los conflictos. &n la igura 3, se muestra una pantalla de e%emplo de esta erramienta.
SEGUIMIENTO DE RUTA A!L &sta erramienta e#amina las A)5 específicas en la ruta entre dos nodos finales y muestra todos los problemas potenciales. &n la igura B, se muestra una pantalla de e%emplo de esta erramienta.
Ing. José Dennis Estela Zumaeta
&H.#'. IDENTI"I!AR TIPO DE SDN
&'.IP SLA 5os acuerdos de nivel de servicio -!5A/ de (+ son una función de (0! de )isco $ue permite el análisis de los niveles de servicio de (+. 5os (+ !5A generaron el tráfico para medir el rendimiento de la red entre dos dispositivos de red, ubicaciones de red mltiples, o en varias rutas de red. 5os ingenieros de redes utilizan (+ !5A para simular los datos de red y los servicios (+ para recopilar información de rendimiento de la red en tiempo real. 5a supervisión del rendimiento puede realizarse en cual$uier momento, en cual$uier lugar, sin implementar una sonda física.
Nota: +ing y traceroute son erramientas de sondeo. Una sonda física es diferente. &s un dispositivo $ue puede insertarse en algn lugar en la red para recopilar y monitorear el tráfico. &l uso de sondas físicas e#cede el alcance de este curso.
Ing. José Dennis Estela Zumaeta 5as mediciones proporcionadas por varias operaciones de (+ !5A se pueden utilizar para resolver problemas de funcionamiento de red con las mediciones uniformes, confiables $ue identifican problemas inmediatamente y aorran tiempo de solución de problemas. 5os beneficios adicionales para utilizar los (+ !5A se indican a continuación: • •
!upervisión, medición y verificación del acuerdo de nivel de servicio. *onitoreo de rendimiento de la red: *ide las fluctuaciones, la latencia, o la p4rdida de pa$uetes en la red. +roporciona las mediciones continuas, confiables y predecibles. • &valuación del estado de la red de servicio (+ para verificar $ue la So! e#istente es suficiente para nuevos servicios (+. • !upervisión de contorno contra contorno de disponibilidad de red para la verificación de la conectividad dinámica de los recursos de red. 5as operaciones de (+ !5A mltiples se pueden e%ecutar en la red o en un dispositivo en cual$ cua l$uie uierr mo momen mento. to. 5os (+ !5 !5A A se pu pued eden en log lograr rar me media diante nte la in inter terfaz faz de lín línea ea de comandos -)5(/ o a trav4s del protocolo simple de administración de redes -!9*+/.
Nota: 5as notificaciones de !9*+ segn datos reunidos por una operación de (+ !5A están más allá del alcance de este curso.
&'.&. !ON"IGURA!ION DE IP SLA UTILIZA!I
!upervisión de disponibilidad -estadísticas de p4rdida de pa$uetes/. !upervisión de rendimiento -latencia y tiempo de respuesta/. 0peración de red -conectividad completa/.
!OMPRO8A!I
Ing. José Dennis Estela Zumaeta
PASOS ? !OMANDOS UTILIZADOS PARA !ON"IGURAR LA OPERA!I
Ing. José Dennis Estela Zumaeta
+ara desabilitar la operación de (+ !5A, introduzca el comando no i+ sla operationnumber en operationnumber en el modo de configuración global.
!ON"IGURA!I
Ing. José Dennis Estela Zumaeta
&l e%emplo 3 muestra la configuración de eco ()*+ de (+ !5A en 73.
&l comando i+ sla crea una operación (+ !5A con un nmero de operación igual a 3. !e pueden configurar varias operaciones (+ !5A en un dispositivo y se puede consultar cada operación mediante el nmero de operación correspondiente. &l comando i)m+%e)@o identifica la dirección de destino $ue se supervisará. &n el e%emplo, se establece para supervisar la interfaz !3 del 7C. &l comando *euen)2 marca la velocidad de (+ !5A a intervalos de CF segundos. &l comando i+ sla s)@e-ule está planificando $ue el nmero de operación 3 de (+ !5A comience inmediatamente -no'/ y contine asta $ue se cancele manualmente -forever/.
Nota: Utilice el comando no i+ sla s)@e-ule (operation-number) para cancelar la operación de !5A. 5a configuración de la operación de !5A se preserva y se puede reprogramar cuando sea necesario.
VERI"I!A!I
Ing. José Dennis Estela Zumaeta
7evise el resultado del comando s@o7 i+ sla )onigu*ation para verificar los a%ustes de configuración
VISUALIZA!ION DE ESTADISTI!AS DE LA OPERA!I