Aprende Redes.com

SW_1900(config)#ip address [direccion ip + mascara]
SW_1900(config)#ip default-gateway[IP de gateway]
Eliminacion de la configuracion de la NVRAM:

Switch#delete nvram
El switch 1900 no admite sesión de telnet.

Configuración de puertos:

Switch(config)#interface FastEthernet 0/1
Switch(config-if)#speed [10 | 100 | auto]
Switch(config-if)#duplex [full | half | auto]

Seguridad de puertos:

El comando switchport port-security permite asociar la primera dirección MAC a dicho puerto:
 Switch(config)#interface FastEthernet 0/1
 Switch(config-if)#switchport port-security
La cantidad posibles de direcciones MAC asociadas al puerto tiene un valor comprendido entre 1 y 132, el comando switchport port-security maximun permite establecer la cantidad máxima permitida.
El ejemplo ilustra la configuración de un puerto con 10 direcciones MAC máximas posibles.
 Switch(config)#interface FastEthernet 0/1
 Switch(config-if)#switchport port-security maximum 10

En el caso de que se detecte algún intento de violación del puerto se puede ejecutar el siguiente comando, haciendo que el puerto quede automáticamente cerrado:

 Switch(config-if)#switchport port-security violation
    [protect|restrict|shutdown]

• 98 comentarios
• Autor : ernesto
                

Estados de los puertos de STP(spanning-tree)November 22, 2006

Bloqueando:
Para evitar bucles STP bloquea los puertos necesarios.Inicialmente todos los puertos se encuentran  en este estado. Si STP determina que el puerto debe continuar en ese estado, solo escuchara las BPDU pero no las enviara.

Escuchando:
En este estado los puertos determinan la mejor topología enviando y recibiendo las BPDU.

Aprendiendo:
El puerto comienza a completar su tabla MAC, pero aun no envía tramas. El puerto se prepara para evitar inundaciones innecesarias.

Enviando:
El puerto comienza a enviar y recibir tramas.

Existe un quinto estado que es desactivado cuando el puerto se encuentra físicamente desconectado o anulado por el sistema operativo, aunque no es un estado real de STP pues no participa de la operativa STP.

 
El tiempo que lleva el cambio de estado desde Bloqueado a Envío es de 50 segundos.

Existe una nueva versión de STP llamado RSTP (protocolo de árbol de extensión rápido). La velocidad de cálculo y convergencia es mucho más rápida que su antecesor STP.

Copia se un show STP:

switch#show spanning-tree brief

VLAN1
  Spanning tree enabled protocol IEEE
  ROOT ID    Priority 8192
             Address 0003.a0ea.f800
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    49152
             Address     0004.2729.1040
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
Port                           Designated
Name    Port ID Prio Cost Sts  Cost  Bridge ID      Port ID
——- ——- —- —- —  —-  ————– ——-
Gi0/1   128.67  128  3004 FWD  0     0003.a0ea.f800 128.129
Gi0/2   128.75  128  3004 FWD  3004  0004.2729.1040 128.75

VLAN2
  Spanning tree enabled protocol IEEE
  ROOT ID    Priority 8192
             Address 0003.fe3a.3801
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    49152
             Address     0004.2729.1041
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
Port                           Designated
Name    Port ID Prio Cost Sts  Cost  Bridge ID      Port ID
——- ——- —- —- —  —-  ————– ——-
Gi0/1   128.67  128  3004 FWD  4     0003.a0ea.f801 128.129
Gi0/2   128.75  128  3004 BLK  3004  0002.b9f9.5901 128.75

• 6 comentarios
• Autor : ernesto
                

Protocolo de árbol de extensión(STP)November 21, 2006

El Protocolo de Árbol de Extensión (STP) es un protocolo de capa dos publicado en la especificación IEEE 802.1.
El objetivo del árbol de extensión es mantener una red libre de bucles. Un camino libre de bucles se consigue cuando un dispositivo es capaz de reconocer un bucle en la topología y bloquear uno o más puertos redundantes.
El protocolo Árbol de extensión explora constantemente la red, de forma que cualquier fallo o adición en un enlace, switch o bridge es detectado al instante. Cuando cambia la topología de red, el algoritmo de árbol de extensión reconfigura los puertos del switch o el bridge para evitar una perdida total de la conectividad.
Los switches intercambian información (BPDU) cada dos segundos si se detecta alguna anormalidad en algún puerto STP cambiara de estado algún puerto automáticamente utilizando algún camino redundante sin que se pierda conectividad en la red.
Proceso STP

Elección de un Switch Raíz:
En un dominio de difusión solo puede existir un switch raíz. Todos los puertos del bridge raíz se encuentran en estado enviando y se denominan puertos designados. Cuando esta en este estado, un puerto puede enviar y recibir trafico. La elección de un switch raíz se lleva a cabo determinando el switch que posea la menor prioridad. Este valor es la suma de la prioridad por defecto dentro de un rango de 1 al 65536 (20 a 216) y el ID del switch equivalente a la dirección MAC. Por defecto la prioridad es 215 = 32768 y es un valor configurable. Un administrador puede cambiar la elección del switch raíz por diversos motivos configurando un valor de prioridad menor a 32768. Los demás switches del dominio se llaman switch no  raíz.

Puerto Raíz:
El puerto raíz corresponde a la ruta de menor coste desde el Switch no raíz, hasta el Switch Raíz. Los puertos raíz se encuentran en estado de envío o retransmisión y proporcionan conectividad hacia atrás al Switch Raíz. La ruta de menor coste al switch raíz se basa en el ancho de banda.

Puertos designados:
El puerto designado es el que conecta los segmentos al Switch Raíz y solo puede haber un puerto designado por segmento. Los puertos designados se encuentran en estado de retransmisión y son los responsables del reenvío de tráfico entre segmentos.
Los puertos no designados se encuentran normalmente en estado de bloqueo con el fin de romper la topología de bucle.

• 9 comentarios
• Autor : ernesto
                

Bucles de capa 2November 15, 2006

Las redes están diseñadas por lo general con enlaces y dispositivos redundantes. Estos diseños eliminan la posibilidad de que un punto de fallo individual, originan al mismo tiempo varios problemas que deben ser tenidos en cuenta. Sin algún servicio que evite bucles, cada switch inundaría las difusiones en un bucle infinito. Esta situación se conoce como Bucle de Puente.

La propagación continua de estas difusiones a través del bucle produce una tormenta de difusión, lo que da como resultado un desperdicio del ancho de banda, así como impactos serios en el rendimiento de la red.
Podrían ser distribuidas múltiples copias de tramas sin difusión a los puestos de destino.
Muchos protocolos esperan recibir una sola copia de cada transmisión. La presencia de múltiples copias de la misma trama podría ser causa de errores irrecuperables.
Una inestabilidad en el contenido de la tabla de direcciones MAC da como resultado que se reciban varias copias de una misma trama en diferentes puertos del switch.
 

• añade un comentario
• Autor : ernesto
                

Tecnologias de conmutaciónNovember 13, 2006

Almacenamiento y envío:
El switch debe recibir la trama completa antes de enviarla por el puerto correspondiente. Lee la dirección MAC destino, comprueba el CRC (contador de redundancia cíclica, utilizado en las tramas para verificar errores de envió), aplica los filtrados correspondientes y retransmite. Si el CRC es incorrecto se descarta la trama. El retrazo de envió o latencia suele ser mayor debido a que el switch debe almacenar la trama completa, verificarla y posteriormente enviarla al segmento correspondiente.

Método de corte:
El switch verifica la dirección MAC de destino en cuanto recibe la cabecera de la trama, y comienza de inmediato a enviar la trama. La desventaja de este modo, es que el switch podría retransmitir una trama de colisión o una trama con un valor de CRC incorrecto, pero la latencia en muy baja.

Libre de Fragmentos:
Modo de corte modificado, el switch lee los primeros 64 bytes antes de retransmitir la trama. Normalmente las colisiones tienen lugar en los primeros 64 bytes de una trama. El switch solo envía las tramas que están libres de colisiones.

APRENDIZAJE DE DIRECCIONES

Un switch crea circuitos virtuales entre segmentos, para ello debe identificar las direcciones MAC de destino, buscar en sus tabla de direcciones MAC a que puerto debe enviarla y ejecutar el envío.  Cuando un switch se inicia no posee datos sobre los host conectados a sus puertos, por lo tanto inunda todos los puertos esperando capturar la MAC correspondiente.
 A medida que las tramas atraviesan el switch, este las comienza a almacenar en la memoria CAM (memoria de contenido direccionable) asociándolas a un puerto de salida e indicando en cada entrada una marca horaria a fin de que pasado cierto tiempo sea eliminada preservando el espacio en memoria. Si un switch detecta que la trama pertenece al mismo segmento de donde proviene no la recibe evitando trafico, si por el contrario el destino pertenece a otro segmento solo enviara la trama al puerto correspondiente de salida. Si la trama fuera un broadcast el switch inundara todos los puertos con dicha trama.
La siguiente copia muestra la tabla MAC de un switch:

switch#sh mac-address-table
Dynamic Address Count:                 172
Secure Address Count:                  0
Static Address (User-defined) Count:   0
System Self Address Count:             76
Total MAC addresses:                   248
Maximum MAC addresses:                 8192
Non-static Address Table:
Destination Address  Address Type  VLAN  Destination Port
——————-  ————  —-  ——————–
0000.0c07.ac01       Dynamic         12  GigabitEthernet0/1
0000.0c07.ac0b       Dynamic         11  GigabitEthernet0/1
0000.c0e5.b8d4       Dynamic         12  GigabitEthernet0/2
0001.9757.d29c       Dynamic          1  GigabitEthernet0/1
0001.9757.d29c       Dynamic          2  GigabitEthernet0/1
0001.9757.d29c       Dynamic          3  GigabitEthernet0/1
0001.9757.d29c       Dynamic          4  GigabitEthernet0/1
0001.9757.d29c       Dynamic          5  GigabitEthernet0/1
0001.9757.d29c       Dynamic          6  GigabitEthernet0/1
0001.9757.d29c       Dynamic          7  GigabitEthernet0/1
0001.9757.d29c       Dynamic          8  GigabitEthernet0/1
0001.9757.d29c       Dynamic          9  GigabitEthernet0/1

• 11 comentarios
• Autor : ernesto
                

Conmutación de capa 2November 10, 2006

Las redes ethernet pueden mejorar su desempeño a partir de la conmutación de tramas.
La conmutación permite segmentar una Lan creando dominios de colisión con anchos de banda
exclusivos para cada segmento pudiendo transmitir y recibir al mismo tiempo sin el retardo
que provocarían las colisiones. El ancho de banda dedicado por puerto es llamado microsegmentacion.

Los puentes, switches y routers dividen las redes en segmentos. Los puentes trabajan a nivel
de software generando alta latencia, los routers utilizan gran cantidad de recursos,
mientras que los switches lo hacen a nivel de hardware
siendo tan rápidos como el medio lo exija.

La conmutación permite:
Comunicaciones dedicadas entre dispositivos.
Los host posen un dominio de colisión puro libre de colisiones, incrementando la rapidez de transmisión.

Múltiples conversaciones simultáneas.
Los host pueden establecer conversaciones simultanéelas entre segmentos gracias a los circuitos virtuales proporcionados por los switch.
Comunicaciones full-duplex.
El ancho de banda dedicado por puerto permite transmitir y recibir a la vez, duplicando el ancho de banda teórico.

Adaptación a la velocidad del medio.
La conmutación creada por un switch funciona nivel de hardware (ASIC), respondiendo tan rápidamente como el medio lo permita.
Conmutación con switch

Un switch segmenta una red en dominios de colisión, tantos como puertos activos posea. Aprender direcciones, reenviar, filtrar paquetes y evitar bucles también son funciones de un switch.

El switch segmenta el tráfico de manera que los paquetes destinados a un dominio de colisión determinado, no se propague a otro segmento aprendiendo las direcciones MAC de los host.
A diferencia de un HUB un switch no inunda todos los puertos con las tramas, por el contrario  el switch es selectivo con cada trama.

Debido a que los switches controlan él trafico para múltiples segmentos del al mismo tiempo, han de implementar memoria búfer para que puedan recibir y transmitir tramas independientemente en cada puerto o segmento.

Un switch nunca aprende direcciones de difusión o multidifusión, dado que las direcciones no aparecen en estos casos como dirección de origen de la trama. Una trama de broadcast será transmitida a todos los puertos a la vez.

• 7 comentarios
• Autor : ernesto
                

Consideraciones importantes sobre listas de accesoNovember 6, 2006

Una lista de acceso puede ser aplicada a múltiples interfaces.

Sólo puede haber una lista de acceso por protocolo, por dirección y por interfaz.

Es posible tener varias listas para una interfaz, pero cada una debe pertenecer a un protocolo diferente.

Organice las listas de acceso de modo que las referencias más específicas a una red o subred aparezcan delante de las más generales.

Coloque las condiciones de cumplimiento más frecuente antes de las menos habituales.

Las adiciones a las listas se agregan siempre al final de éstas, pero siempre delante de la condición de denegación implícita.

No es posible agregar a eliminar selectivamente instrucciones de una lista cuando se usan listas de acceso numeradas, pero sí cuando se usan listas de acceso IP con nombre.

A menos que termine una lista de acceso con una condición de permiso implícito de todo, se denegará todo el tráfico que no cumpla ninguna de las condiciones establecidas en la lista al existir un deny implícito al final de cada lista.

Toda lista de acceso deben incluir al menos una instrucción permit. En caso contrario, todo el tráfico será denegado.

Cree una lista de acceso antes de aplicarla a la interfaz. Una interfaz con una lista de acceso inexistente o indefinida aplicada al mismo denegará todo el trafico.
 
Las listas de acceso permiten filtrar sólo el tráfico que pasa por el router. No pueden hacer de filtro para el tráfico originado por el propio router

El orden en el que aparecen las instrucciones en la lista de acceso es fundamental para un filtrado correcto. La practica recomendada consiste en crear las listas de acceso en un usando un editor de texto y descargarlas después en un router vía TFTP o copiando y pegando el texto. Las listas de acceso se procesan de arriba abajo. Si coloca las pruebas más específicas y las que se verificaran con más frecuencia al comienzo de la lista de acceso, se reducirá la carga de procesamiento. Solo las listas de acceso con nombre permiten la supresión, aunque no la alteración del orden de instrucciones individuales en la lista. Si desea reordenar las instrucciones de una lista de acceso, deber á eliminar la lista completa y volver a crearla en el orden apropiado o con las instrucciones correctas.

Las listas de acceso extendidas, deben colocarse normalmente lo más cerca posible del origen del tráfico que será denegado, mientras que las estándar lo mas cerca posible del destino.

• 16 comentarios
• Autor : ernesto
                

Listas de acceso con nombre

Con listas de acceso IP numeradas, para modificar una lista tendría que borrar primero la lista de acceso numerada y volver a introducirla de nuevo con las correcciones necesarias. En una lista de acceso numerada no es posible borrar instrucciones individuales.
Las listas de acceso IP con nombre permiten eliminar entradas individuales de una lista específica. El borrado de entradas individuales permite modificar las listas de acceso sin tener que eliminarlas y volver a configurarlas desde el principio. Sin embargo no es posible insertar elementos selectivamente en una lista. Si se agrega un elemento a la lista, este se coloca al final de la misma.
No es posible usar el mismo nombre para varias listas de acceso. Las listas de acceso de diferentes tipos tampoco pueden compartir nombre.

 
Configuración de una lista de acceso Nombrada

Router(config)#ip access-list[standard|extended][nombre]
Router(config[std|ext]nac1)#[permit|deny][condiciones de prueba]
Router(config[std|ext]nac1)#no[permit|deny][condiciones de prueba]
Router(config)#Interfaz asociación de la ACL
Router(config-if)#ip access-group[nombre][in|out]

Para eliminar una instrucción individual, anteponga no a la condición de prueba.
Ejemplo de una ACL nombrada “INTRANET” denegando tráfico hacia un FTP:

Router(config)#ip access-list extended INTRANET                                       
Router(config-ext-nacl)#deny tcp any any eq 21 log
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
Router(config)#interface ethernet 1
Router(config-if)#ip access-group INTRANET out

Se creo una ACL con el nombre INTRANET que deniega todo trafico de cualquier origen a cualquier destino hacia el Puerto 21, luego se permite cualquier otro trafico IP. Se uso el comando log (opcional) para enviar información de la ACL a un servidor. Se asocia a la interfaz ethernet 1 como saliente.
Para agregar un comentario a una ACL:

Router#configure t
Router(config)#access-list [número] remark [comentario]

Verificación de ACL

Router#show ip interface[tipo de interfaz][Nº de interfaz]

Verifica si una lista de acceso esta asociada a un interfaz.
Muestra información de la interfaz IP.

Router#show access-list

Muestra contenido de todas las listas de acceso:

Router#show access-lists
Standard IP access list 10
    deny   192.168.1.0
Extended IP access list 120
    deny   tcp host 204.204.10.1 any eq 80
    permit ip any any
Extended IP access list INTRANET
    deny   tcp any any eq 21 log
    permit ip any any

Router#show[protocolo]access-list[Nº lista de acceso|nombre]

• 9 comentarios
• Autor : ernesto
                

Proceso de configuración de ACLNovember 3, 2006

El proceso de creación de una ACL se lleva a cabo creando la lista y posteriormente asociándola a una interfaz entrante o saliente.
Configuración de ACL estándar

Router(config)#access-list[1-99][permit|deny][dirección de origen][mascara comodín]

Donde:

1-99 Identifica el rango y la lista.

Permit|deny indica si esta entrada permitirá o bloqueará el tráfico a partir de la dirección especificada.

Dirección de origen  identifica la dirección IP de origen.

Mascara comodín o wildcard identifica los bits del campo de la dirección que serán comprobados.

La mascara predeterminada es 0.0.0.0 (coincidencia de todos los bits).
Asociación de la lista a una interfaz

Router(config-if)#ip access-group[nº de lista de acceso][in|out]

Donde:

Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz.

In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida.
Ejemplo de una ACL estándar denegando una red:

Router#configure terminal
Router(config)#access-list 10 deny 192.168.1.0 0.0.0.0
Router(config)#access-list 10 permit any
Router(config)#interface serial 0
Router(config-if)#ip access-group 10 in

Se ha denegado al host 192.168.1.0 y luego se ha permitido a cualquier origen,
Posteriormente se asocio la ACL a la interfaz Serial 0.
Configuración de ACL extendida

El proceso de configuración de una ACL IP extendida es el siguiente:

Router(config)#access-list[100-199][permit|deny][protocol][dirección de origen][mascara comodín][dirección de destino][mascara de destino][puerto][establisehed][log]
100-199 identifica el rango y número de lista
Permit|deny: indica si la entrada permitirá o bloqueara la dirección especificada.
Protocolo: como por ejemplo IP, TCP, UDP, ICMP

Dirección origen y destino: identifican direcciones IP de origen y destino.

Mascara wildcard origen y mascara destino: Son las mascaras comodín. Las 0 indican las posiciones que deben coincidir, y los 1 las “que no importan”.

Puerto opcional) puede ser por ejemplo: lt (menor que), gt (mayor que), eq (igual a), o neq (distinto que) y un número de puerto de protocolo correspondiente.

Establisehed: (opcional) Se usa solo para TCP de entrada. Esto permite que él rafico TCP pase si el paquete utiliza una conexión ya establecida (por ejemplo posee un conjunto de bits ACK)

Log: (opcional) Envía un mensaje de registro a la consola a un servidor syslog determinado.

Algunos de los números de puertos más conocidos:

20 Datos del protocolo FTP
21 FTP
23 Telnet
25 SMTP
69 TFTP
53 DNS

Asociación de la lista a una interfaz

Router(config-if)#ip access-group[nº de lista de acceso][in|out]

Donde:

Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz.

In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida.

Ejemplo de una ACL Extendida denegando un host hacia el puerto 80 de una red:

Router(config)#access-list 120 deny tcp host 204.204.10.1  any eq 80
Router(config)#access-list 120 permit ip any any
Router(config)#interface serial 1
Router(config-if)#ip access-group 120 in

Se ha denegado al host 204.204.10.1, (identificándolo con la abreviatura “host”) hacia el puerto  80 de cualquier red de destino (usando el termino any). Posteriormente se permite todo trafico IP. Esta ACL se asocio a la interfaz Serial 1 como entrante.
Aplicación de una ACL a la linea de telnet

Para evitar intrusiones no deseadas en las conexiones de telnet se puede crear una
lista de acceso estándar y asociarla a la Line VTY. El proceso de creación se lleva a cabo como una ACL estándar denegando o permitiendo un origen hacia esa interfaz. El modo de asociar la ACL a la Línea de telnet es el siguiente:

router(config)#line vty 0 4
router(config-line)#access-class[Nº de lista de acceso][in|out]

Como eliminar las listas de acceso

Desde el modo interfaz donde se aplico la lista:

Router(config-if)#no ip access-group[Nº de lista de acceso]

Desde el modo global elimine la ACL

router(config)#no access-list[Nº de lista de acceso]

• 70 comentarios
• Autor : ernesto
                

Uso de Wilcard en las ACLNovember 2, 2006

Puede ser necesario probar condiciones para un grupo o rengo de direcciones IP, o bien para una dirección IP individual. La comparación de direcciones tiene lugar usando máscaras que actúan a modo de comodines en las direcciones de la lista de acceso, para identificar los bits de la dirección IP que han de coincidir explícitamente y cuales pueden ser ignorados. El enmascaramiento wildcard para los bits de direcciones IP utiliza los números 1 y 0 para referirse a los bits de la dirección.

• Un bit de máscara wildcard 0 significa “comprobar el valor correspondiente”
• Un bit de mascara wildcard 1 significa “No comprobar (ignorar) el valor del bit correspondiente”

Para los casos más frecuentes de enmascaramiento wildcard se pueden utilizar abreviaturas.

Host = mascara comodín 0.0.0.0, utilizada para un host especifico
Any = 0.0.0.0 255.255.255.255, utilizado para definir a cualquier host, red o subred
En el caso de permitir o denegar redes o subredes enteras se deben ignorar todos los host pertenecientes a dicha dirección de red o subred. Cualquier dirección de host será leída como dirección de red o subred.

Las Wilcard también permiten identificar rangos simplificando la cantidad de comandos a introducir, en este ejemplo la wildcard debe identificar el rango de subredes entre la 172.16.16.0/24 y la 172.16.31.0/24

Trabaje con el tercer octeto, se debe trabajar con el rango entra 16 y 31:
 

16       000 1 0000
            17       000 1 0001
            18       000 1 0010
            19       000 1 0011
            20       000 1 0100
            21       000 1 0101     
            22       000 1 0110
            . . .       . . . . . . . . .
            30       000 1 1110
            31       000 1 1111     
El bit común es el correspondiente al valor decimal16,

Los bits a ignorar junto con los del cuarto octeto estarán en 1 [00001111.11111111 = 15.255]

por lo tanto la Wilcard será:

172.16.16.0       0.0.15.255

• 18 comentarios
• Autor : ernesto