martes, 8 de julio de 2014

Protocolo de Enrutamiento Dinámico

Función de los protocolos de enrutamiento dinámico


¿Qué son exactamente los protocolos de enrutamiento dinámico? Los protocolos de enrutamiento se usan para facilitar el intercambio de información de enrutamiento entre los routers. Estos protocolos permiten a los routers compartir información en forma dinámica sobre redes remotas y agregar esta información automáticamente en sus propias tablas de enrutamiento. Esto se muestra en la animación.

Los protocolos de enrutamiento determinan la mejor ruta a cada red que luego se agrega a la tabla de enrutamiento. Uno de los principales beneficios de usar un protocolo de enrutamiento dinámico es que los routers intercambian información de enrutamiento cuando se produce un cambio de topología. Este intercambio permite a los routers aprender automáticamente sobre nuevas redes y también encontrar rutas alternativas cuando se produce una falla de enlace en la red actual.

En comparación con el enrutamiento estático, los protocolos de enrutamiento dinámico requieren menos sobrecarga administrativa. Sin embargo, el costo de usar protocolos de enrutamiento dinámico es dedicar parte de los recursos de un router para la operación del protocolo, incluso el tiempo de la CPU y el ancho de banda del enlace de red. Pese a los beneficios del enrutamiento dinámico, el enrutamiento estático aún ocupa su lugar. En algunas ocasiones el enrutamiento estático es más apropiado, mientras que en otras, el enrutamiento dinámico es la mejor opción. Muy a menudo, se encontrará una combinación de los dos tipos de enrutamiento en una red que tiene un nivel de complejidad moderado.

 Evolución de los protocolos de enrutamiento dinámico

Los protocolos de enrutamiento dinámico se han usado en redes desde comienzos de la década de los ochenta. La primera versión de RIP se lanzó en 1982, pero algunos de los algoritmos básicos dentro del protocolo ya se usaban en ARPANET en 1969.
Debido a la evolución de las redes y a su complejidad cada vez mayor, han surgido nuevos protocolos de enrutamiento. La figura muestra la clasificación de los protocolos de enrutamiento.

Uno de los primeros protocolos de enrutamiento fue el Routing Information Protocol (RIP). RIP ha evolucionado a una nueva versión, el RIPv2. Sin embargo, la versión más nueva de RIP aún no escala a implementaciones de red más extensas. Para abordar las necesidades de redes más amplias, se desarrollaron dos protocolos de enrutamiento avanzados: Open Shortest Path First (OSPF) e Intermediate System-to-Intermediate System (IS-IS). Cisco desarrolló el Interior Gateway Routing Protocol (IGRP) y el Enhanced IGRP (EIGRP), que también escala bien en implementaciones de redes más grandes.

Asimismo, surgió la necesidad de interconectar diferentes internetworks y proveer el enrutamiento entre ellas. El protocolo Border Gateway Routing (BGP) ahora se usa entre ISP y entre ISP y sus clientes privados más grandes para intercambiar información de enrutamiento.

Con la llegada de numerosos dispositivos para consumidores que usan IP, el espacio de direccionamiento IPv4 está prácticamente agotado. Por tal motivo, ha surgido el IPv6. A fin de sostener la comunicación basada en IPv6, se han desarrollado versiones más nuevas de los protocolos de enrutamiento IP.

Si quieres aprender sobre los protocolos dinámicos haz click en:

Laboratorio Práctico 1
Laboratorio Práctico 2
Publicado por en No hay comentarios:
Etiquetas: , ,

lunes, 7 de julio de 2014

Protocolo CDP

El Cisco Discovery Protocol (CDP) es una poderosa herramienta de control y resolución de problemas de redes. El CDP es una herramienta de recopilación de información utilizada por administradores de red para obtener información acerca de los dispositivos Cisco conectados directamente. El CDP es una herramienta patentada que le permite acceder a un resumen de información de protocolo y dirección sobre los dispositivos Cisco conectados directamente. Por defecto, cada dispositivo Cisco envía mensajes periódicos, conocidos como publicaciones CDP, a dispositivos Cisco conectados directamente. Estas publicaciones contienen información acerca de los tipos de dispositivos que están conectados, las interfaces del router a las que están conectados, las interfaces utilizadas para realizar las conexiones y los números de modelo de los dispositivos.

Por naturaleza, la mayoría de los dispositivos de red no funcionan de manera aislada. Un dispositivo Cisco a menudo tiene como vecinos a otros dispositivos Cisco en la red. La información obtenida de otros dispositivos puede ayudarlo a tomar decisiones relacionadas con el diseño de la red, solucionar problemas y realizar cambios en el equipo. El CDP puede utilizarse como una herramienta de descubrimiento de redes que le permite crear una topología lógica de una red cuando falta dicha documentación o cuando no tiene información suficiente.
La familiaridad con el concepto general de vecinos es importante para comprender el CDP y los análisis futuros acerca de los protocolos de enrutamiento dinámico.
El CDP se ejecuta en la capa de Enlace de datos que conecta los medios físicos a los protocolos de capa superior (ULP). Dos o más dispositivos de red Cisco, como por ejemplo los routers que admiten diferentes protocolos de capa de Red (por ejemplo, IP y Novell IPX) pueden aprender uno del otro debido a que el CDP funciona en la capa de Enlace de datos.
Cuando un dispositivo Cisco se inicia, el CDP se inicia por defecto. El CDP descubre automáticamente los dispositivos Cisco que ejecutan el CDP, independientemente de qué protocolo o conjunto de aplicaciones se ejecute. El CDP intercambia información del hardware y software del dispositivo con sus vecinos CDP conectados directamente.

El CDP brinda la siguiente información acerca de cada dispositivo vecino de CDP:
  • Identificadores de dispositivos: por ejemplo, el nombre host configurado de un switch
  • Lista de direcciones: hasta una dirección de capa de Red para cada protocolo admitido
  • Identificador de puerto: el nombre del puerto local y remoto en forma de una cadena de carácter ASCII, como por ejemplo, ethernet0
  • Lista de capacidades: por ejemplo, si el dispositivo es un router o un switch
  • Plataforma: la plataforma de hardware del dispositivo; por ejemplo, un router Cisco serie 7200




Pagina con ejemplo de utilización del CDP
Otra pagina con ejemplo de utilización del CDP
Publicado por en No hay comentarios:
Etiquetas: ,

domingo, 6 de julio de 2014

Programación de Seguridad de Puerto en Switch

Con el objetivo de incrementar la seguridad en una red LAN es posible implementar seguridad de puertos en los switches de capa de acceso, de manera de permitir que a cada puerto se conecte sólo la estación autorizada. Para ello, Cisco provee port security, un mecanismo bastante potente y sencillo que resumiré a continuación.

Dirección MAC segura estática

  • Se configura manualmente.
  • Se agrega a la tabla de direcciones MAC.
  • Se guarda en la running-config.
  • Se puede hacer permanente guardando la configuración.
 SwA(config-if)# switchport port-security mac-address DIRECCION-MAC

Dirección MAC segura dinámica

  • Se aprende del tráfico que atraviesa la interfaz.
  • Se la guarda en la tabla de direcciones MAC.
  • Se pierde cuando se reinicia el equipo.
SwA(config-if)# switchport port-security

Dirección MAC segura sticky

  • Se la puede configurar de forma manual o dinámica.
  • Se la guarda en la tabla de direcciones MAC.
  • Se almacena en la running-config.
  • Se puede hacer permanente guardando la configuración.
SwA(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC]
La principal ventaja de las direcciones sticky en contraposición con las dinámicas es que éstas últimas se agregan a la running-config. Así nos evitamos escribir un montón de direcciones MAC de manera estática pero aún podemos guardarlas en el archivo de configuración de manera que se mantengan inclusive si el switch se reinicia.
Dos aspectos importantes a tener en cuenta:
  • Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas de forma dinámica, éstas pasan a la running-config y todas las nuevas que se aprendan también se agregan allí.
  • Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinámicas y se borran de la running-config. Además, todas las que se aprendan también serán dinámicas.

Acciones a tomar si se produce una violación

Es importante tener en cuenta que por violación se entiende uno de los siguientes dos casos:
  • Se alcanzó la cantidad máxima de direcciones MAC permitidas.
  • Una dirección MAC que se aprendió en un puerto se aprende por otro puerto diferente.
Los modos en los que se puede establecer un puerto para decidir qué acción tomar en el caso de una violación son, entonces:
  • Protect: una vez que se alcanzó el máximo de direcciones MAC en un puerto, todo el tráfico de orígenes desconocidos (es decir, de direcciones MAC que no sean válidas para ese puerto) es descartado. No obstante, se continúa enviando el tráfico legal normalmente. No se notifica al administrador de esta situación.
  • Restrict: el mismo comportamiento que el caso anterior pero con la diferencia que se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
  • Shutdown: en este caso el puerto se da de baja dejándolo en estado err-disabled (deshabilitado por error). Además se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
  • Shutdown VLAN: la única diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.

Configuración

Para configurar port-security es importante saber que la interfaz debe estar en modo access o en modo trunk. Port-security no puede habilitarse en una interfaz que esté en modo dinámico.
  • Habilitar port-security.
SwA(config-if)# switchport port-security
  • Indicar que sólo se permite una MAC por interfaz.
SwA(config-if)# switchport port-security maximum 1
  • Configurar el modo restrict para cuando ocurra una violación del puerto.
SwA(config-if)# switchport port-security violation restrict
  • Configurar el aprendizaje de direcciones MAC sticky.
SwA(config-if)# switchport port-security mac-address sticky
  • O bien especificar una MAC de forma estática.
SwA(config-if)# switchport port-security mac-address 5400.0000.0001
  • Chequear el estado de port-security.
SwA# show port-security
Les dejo un prezi que contiene el resumen de lo visto en este post y que pueden reutilizar si tienen cuenta en prezi.com

Publicado por en No hay comentarios:
Etiquetas: ,

sábado, 5 de julio de 2014

Programación básica de Switch

La construcción de una LAN que satisfaga las necesidades de empresas pequeñas o medianas tiene más probabilidades de ser exitosa si se utiliza un modelo de diseño jerárquico. En comparación con otros diseños de redes, una red jerárquica se administra y expande con más facilidad y los problemas se resuelven con mayor rapidez.

El diseño de redes jerárquicas implica la división de la red en capas independientes. Cada capa cumple funciones específicas que definen su rol dentro de la red general. La separación de las diferentes funciones existentes en una red hace que el diseño de la red se vuelva modular y esto facilita la escalabilidad y el rendimiento. El modelo de diseño jerárquico típico se separa en tres capas: capa de acceso, capa de distribución y capa núcleo. Un ejemplo de diseño de red jerárquico de tres capas se observa en la figura.

Capa de acceso

La capa de acceso hace interfaz con dispositivos finales como las PC, impresoras y teléfonos IP, para proveer acceso al resto de la red. Esta capa de acceso puede incluir routers, switches, puentes, hubs y puntos de acceso inalámbricos. El propósito principal de la capa de acceso es aportar un medio de conexión de los dispositivos a la red y controlar qué dispositivos pueden comunicarse en la red.

Capa de distribución

La capa de distribución agrega los datos recibidos de los switches de la capa de acceso antes de que se transmitan a la capa núcleo para el enrutamiento hacia su destino final. La capa de distribución controla el flujo de tráfico de la red con el uso de políticas y traza los dominios de broadcast al realizar el enrutamiento de las funciones entre las LAN virtuales (VLAN) definidas en la capa de acceso. Las VLAN permiten al usuario segmentar el tráfico sobre un switch en subredes separadas. Por ejemplo, en una universidad el usuario podría separar el tráfico según se trate de profesores, estudiantes y huéspedes. Normalmente, los switches de la capa de distribución son dispositivos que presentan disponibilidad y redundancia altas para asegurar la fiabilidad. Aprenderá más acerca de las VLAN, los dominios de broadcast y el enrutamiento entre las VLAN, posteriormente en este curso.

Capa núcleo

La capa núcleo del diseño jerárquico es la backbone de alta velocidad de la internetwork. La capa núcleo es esencial para la interconectividad entre los dispositivos de la capa de distribución, por lo tanto, es importante que el núcleo sea sumamente disponible y redundante. El área del núcleo también puede conectarse a los recursos de Internet. El núcleo agrega el tráfico de todos los dispositivos de la capa de distribución, por lo tanto debe poder reenviar grandes cantidades de datos rápidamente.
 Les dejo una guía de comandos básicos de Switch.



Publicado por en No hay comentarios:
Etiquetas: ,
Suscribirse a: Entradas (Atom)