MANEJO DE REDES: 2014-06-01

miércoles, 4 de junio de 2014

UNIDAD 3 Administración de redes de área local virtual

UNIDAD 3

BENEFICIOS DE UNA VLAN

Seguridad. A los grupos que tienen datos sensibles se les separa del resto de la red, disminuyendo las posibilidades de que ocurran violaciones de información confidencial.

Reducción de costos. El ahorro en el costo resulta de la poca necesidad de actualizaciones de red caras y usos más eficientes de enlaces y ancho de banda existente.

Mejor rendimiento: la división de las redes planas de Capa 2 en múltiples grupos lógicos de trabajo (dominios de broadcast) reduce el tráfico innecesario en la red y potencia el rendimiento.

RANGOS DE ID DE LA VLAN

Rangos del ID de la VLAN

El acceso a las VLAN está dividido en un rango normal o un rango extendido.

VLAN de rango normal

Se utiliza en redes de pequeños y medianos negocios y empresas.

Se identifica mediante un ID de VLAN entre 1 y 1005.

Los ID de 1002 a 1005 se reservan para las VLAN Token Ring y FDDI.

Los ID 1 y 1002 a 1005 se crean automáticamente y no se pueden eliminar. Aprenderá más acerca de VLAN 1 más adelante en este capítulo.

Las configuraciones se almacenan dentro de un archivo de datos de la VLAN, denominado vlan.dat. El archivo vlan.dat se encuentra en la memoria flash del switch.

El protocolo de enlace troncal de la VLAN (VTP), que ayuda a gestionar las configuraciones de la VLAN entre los switches, sólo puede asimilar las VLAN de rango normal y las almacena en el archivo de base de datos de la VLAN.

VLAN DE RANGO NORMAL

Una red construida sobre dispositivos de capa 2 es conocida como “red plana”. Este tipo de redes se componen de un único dominio de difusión, es decir, las peticiones de broadcast inundan toda la red, si a este dominio de difusión le añadimos más host, aumentarán las peticiones de broadcast provocando que la red se sature.
Ejemplo de Dominio de Difusión (Broadcast)
En el siguiente ejemplo se muestra una red plana en la cual tenemos 3 Switches y 6 PC. Los Switches tienen la configuración por defecto y los PCs se han configurado en la red 172.17.1.0/24, de esta forma todos los PCs se ven unos con otros.

VLNA DE RANGO EXTENDIDO

Posibilita a los proveedores de servicios que amplíen sus infraestructuras a una cantidad de clientes mayor. Algunas empresas globales podrían ser lo suficientemente grandes como para necesitar los ID de las VLAN de rango extendido.

Se identifican mediante un ID de VLAN entre 1006 y 4094.

Admiten menos características de VLAN que las VLAN de rango normal.

Se guardan en el archivo de configuración en ejecución.

VTP no aprende las VLAN de rango extendido.

TIPOS DE VLAL

Una VLAN de datos es una VLAN configurada para enviar sólo tráfico de datos generado por el usuario. Una VLAN podría enviar tráfico basado en voz o tráfico utilizado para administrar el switch, pero este tráfico no sería parte de una VLAN de datos. Es una práctica común separar el tráfico de voz y de administración del tráfico de datos. La importancia de separar los datos del usuario del tráfico de voz y del control de administración del switch se destaca mediante el uso de un término específico para identificar las VLAN que sólo pueden enviar datos del usuario: una "VLAN de datos". A veces, a una VLAN de datos se la denomina VLAN de usuario.

VLAN DE DATOS

Cada computadora de una VLAN debe tener una dirección IP y una máscara de subred correspondiente a dicha subred.

Por mediante la CLI del IOS de un switch, deben darse de alta las VLAN y a cada puerto se le debe asignar el modo y la VLAN por la cual va a trabajar.

No es obligatorio el uso de VLAN en las redes conmutadas, pero existen ventajas reales para utilizarlas como seguridad, reducción de costo, mejor rendimiento, reducción de los tamaño de broadcast y mejora la administración de la red.

El acceso a las VLAN está dividido en un rango normal o un rango extendido, las VLAN de rango normal se utilizan en redes de pequeñas y medianas empresas, se identifican por un ID de VLAN entre el 1 y 1005 y las de rango extendido posibilita a los proveedores de servicios que amplien sus infraestructuras a una cantidad de clientes mayor y se identifican mediante un ID de VLAN entre 1006 y 4094.

El protocolo de enlace troncal de la VLAN VTP (que lo veremos más adelante) sólo aprende las VLAN de rango normal y no las de rango extendido.

VLAN PREDETERMINADA

Todos los puertos de switch se convierten en un miembro de la VLAN predeterminada al iniciar un switch. Esto significa que todos los puertos del switch forman parte del mismo dominio de broadcast. La VLAN predeterminada para los switches de Cisco es la VLAN 1, esta tiene todas las características de cualquier VLAN, excepto que no la puede volver a denominar y no la puede eliminar. El tráfico de control de Capa 2, como CDP y el tráfico del protocolo spanning tree se asociará siempre con la VLAN 1: esto no se puede cambiar. Es una práctica habitual cambiar la VLAN 1 (Predeterminada) por otra VLAN, ya que con esto optimizamos la seguridad.

VLAN NATIVA

Una VLAN nativa está asignada a un puerto troncal 802.1Q. Un puerto de enlace troncal 802.1Q admite el tráfico que llega de muchas VLANs (tráfico etiquetado – tagged) como también el tráfico que no llega de una VLAN (tráfico no etiquetado – untagged). El puerto de enlace troncal 802.1Q coloca el tráfico no etiquetado en la VLAN nativa. El tráfico no etiquetado lo genera una computadora conectada a un puerto del switch que se configura con la VLAN nativa. Las VLAN se establecen en la especificación IEEE 802.1Q para mantener la compatibilidad retrospectiva con el tráfico no etiquetado común para los ejemplos de LAN antigua.

VLAN DE ADMINISTRACION

Una VLAN de administración es aquella con la que el administrador y solo el administrador tendrá la capacidad de administrar la electrónica de red (switches, router, …). La VLAN 1 serviría como VLAN de administración, pero en la práctica habitual es aconsejable cambiar esta VLAN por otra diferente. A esta VLAN se le asigna una dirección IP y una máscara de subred, de esta forma podremos acceder al switch (HTTP, Telnet, SSH o SNMP) a través de su dirección IP.

VLAN DE VOZ

Es fácil apreciar por qué se necesita una VLAN separada para admitir la Voz sobre IP (VoIP). Imagine que está recibiendo una llamada de urgencia y de repente la calidad de la transmisión se distorsiona tanto que no puede comprender lo que está diciendo la persona que llama. El tráfico de VoIP requiere:

Ancho de banda garantizado para asegurar la calidad de la voz.
Prioridad de la transmisión sobre los tipos de tráfico de la red.
Capacidad para ser enrutado en áreas congestionadas de la red.
Demora de menos de 150 milisegundos (ms) a través de la red.

MODOS DE MEMBRESIA DE LOS PUERTOS SWITCH DE VLAN

Cuando configura una VLAN, debe asignarle un número de ID y le puede dar un nombre si lo desea. El propósito de las implementaciones de la VLAN es asociar con criterio los puertos con las VLAN particulares. Se configura el puerto para enviar una trama a una VLAN específica. Como se mencionó anteriormente, el usuario puede configurar una VLAN en el modo de voz para admitir tráfico de datos y de voz que llega desde un teléfono IP de Cisco. El usuario puede configurar un puerto para que pertenezca a una VLAN mediante la asignación de un modo de membresía que especifique el tipo de tráfico que envía el puerto y las VLAN a las que puede pertenecer. Se puede configurar un puerto para que admita estos tipos de VLAN:

ENLACE RTONCAL DE LA VLAN

Cada computadora de una VLAN debe tener una dirección IP y una máscara de subred correspondiente a dicha subred.

Por mediante la CLI del IOS de un switch, deben darse de alta las VLAN y a cada puerto se le debe asignar el modo y la VLAN por la cual va a trabajar.

El protocolo de enlace troncal de la VLAN VTP (que lo veremos más adelante) sólo aprende las VLAN de rango normal y no las de rango extendido.

ETIQUETADO DE TRAMA 802.1Q

El protocolo IEEE 802.1Q, también conocido como dot1Q, fue un proyecto del grupo de trabajo 802 de la IEEE para desarrollar un mecanismo que permita a múltiples redes compartir de forma transparente el mismo medio físico, sin problemas de interferencia entre ellas (Trunking). Es también el nombre actual del estándar establecido en este proyecto y se usa para definir el protocolo de encapsulamiento usado para implementar este mecanismo en redes ETHERNET. Todos los dispositivos de interconexión que soportan VLAN deben seguir la norma IEEE 802.1Q que especifica con detalle el funcionamiento y administración de redes virtuales.

VLAN NATIVAS Y ENLACE TRONCAL 802.1Q

Enlace Troncal.- Un enlace troncal es un enlace punto a punto entre dos sispositivos de red, el cual transporta más de una vlan. Un enlace troncal de VLAN no pertence a una VLAN específica, sino que es un conducto para las VLAN entre switches y routers.

Existen deiferentes modos de enlaces troncales como el 802.1Q y el ISL, en la actualidad sólo se usa el 802.1Q, dado que el ISL es utilizado por las redes antiguas, un puerto de enlace troncal IEEE 802.1Q admite tráfico etiquetado y sin etiquetar, el enlace troncal dinámico DTP es un protocolo propiedad de cisco, DTP administra la negociación del enlace troncal sólo si el puerto en el otro switch se configura en modo de enlace troncal que admita DTP

PUERTO DE ACCESO EN LOS SWITCH

El diseño de Ethernet no ofrecía escalabilidad, es decir, al aumentar el tamaño de la red disminuyen sus prestaciones o el costo se hace inasumible. CSMA/CD, el protocolo que controla el acceso al medio compartido en Ethernet, impone de por sí limitaciones en cuanto al ancho de banda máximo y a la máxima distancia entre dos estaciones. Conectar múltiples redes Ethernet era por aquel entonces complicado, y aunque se podía utilizar un router para la interconexión, estos eran caros y requería un mayor tiempo de procesado por paquete grande, aumentando el retardo.

CONFIGURACIÓN DE UNA VLAN

Existen deferentes modos de enlaces troncales como el 802.1Q y el ISL, en la actualidad sólo se usa el 802.1Q, dado que el ISL es utilizado por las redes antiguas, un puerto de enlace troncal IEEE 802.1Q admite tráfico etiquetado y sin etiquetar, el enlace troncal dinámico DTP es un protocolo propiedad de cisco, DTP administra la negociación del enlace troncal sólo si el puerto en el otro switch se configura en modo de enlace troncal que admita DTP.

Configuración de un enlace troncal 802.1Q en un Switch:

AGREGAR UNA VLAN

Ciscoredes# configure terminal

Ciscoredes(config)# vlan vlan-id

Ciscoredes(config-vlan)# name nombre-de-vlan

Ciscoredes(config-vlan)# exit

Vlan .- comando para asignar las VLAN
Valn-id.- Numero de vlan que se creará que va de un rango normal de 1-1005 (los ID 1002-1005 se reservan para Token Ring y FDDI).
Name.- comando para especificar el nombre de la VLAN
Nombre-de-vlan.- Nombre asignado a la VLAN, sino se asigna ningún nombre, dicho nombre será rellenado con ceros, por ejemplo para la VLAN 20 sería VLAN0020.

ASIGNACION DE UN PUERTO DE SWITCH

Ciscoredes# configure terminal

Ciscoredes(config)# interface interface-id

Ciscoredes(config-vlan)# switchport mode access

Ciscoredes(config-vlan)# switchport access vlan vlan-id

Ciscoredes(config-vlan)# end

Donde:

interface .- Comando para entrar al modo de configuración de interfaz.
Interface-id.- Tipo de puerto a configurar por ejemplo fastethernet 0/0
Switchport mode access .- Define el modo de asociación de la VLAN para el puerto
Switchport access vlan .- Comandos para asignar un puerto a la vlan.
Vlan-id.- Numero de vlan a la cual se asignará el puerto.

ASIGNACION DE RANGOS DE PUERTOS

Los comandos están de color Azul y los argumentos de color marrón.

SW_CUBA (config)# interface fastethernet 0/1 (interfaz donde se va asignar a que VLAN pertenece ese puerto).

SW_CUBA (config-if)# switchport mode access

SW_CUBA (config-if)# switchport access vlan ID (indicar el identificador de la VLAN que asignaremos a ese puerto)

SW_CUBA (config-if)#do copy running-config startup-config (guardaremos la configuración, si ponemos el comando do, podremos poner cualquier comando en cualquier modo).

ADMINISTRACION DE LAS VLAN

Una VLAN de administración le otorga los privilegios de administración al administrador de la red, para manejar un switch en forma remota se necesita asignarle al switch una dirección IP y gateway dentro del rango de dicha subred para esta VLAN, como hemos mencionado anteriormente por defecto la VLAN de administración es la 1, en nuestro ejemplos modificaremos dicha VLAN, los pasos para configurar la VLAN de administración son los siguiente:

Ciscoredes# configure terminal

Ciscoredes(config)# interface vlan id

Ciscoredes(config-if)# ip address a.a.a.a b.b.b.b

Ciscoredes(config-if)# no shutdown

Ciscoredes(config-if)# exit

Ciscoredes(config)# interface interface-id

Ciscoredes(config-if)# switchport mode access

Ciscoredes(config-if)# switchport acces vlan vlan-id

Ciscoredes(config-if)# exit

VERIFICACION DE LAS VINCULACIONES DE PUERTO Y DE LAS VLAN

Después de configurar la VLAN, puede validar las configuraciones de la VLAN mediante la utilización de los comandos show del IOS de Cisco.

La sintaxis de comando para los diversos comandos show del IOS de Cisco debe conocerse bien. Ya ha utilizado el comando show vlan brief. Se pueden ver ejemplos de estos comandos haciendo clic en los botones de la figura.

En este ejemplo, el usuario puede ver que el comando show vlan name student no produce resultados muy legibles. Aquí se prefiere utilizar el comando show vlan brief. El comando show vlan summary muestra la cuenta de todas las VLAN configuradas. El resultado muestra seis VLAN: 1, 1002-1005 y la VLAN del estudiante, VLAN 20.

Este comando muestra muchos detalles que exceden el alcance de este capítulo. La información clave aparece en la segunda línea de la captura de pantalla e indica que la VLAN 20 está activa.

Este comando muestra información útil para el usuario. Puede determinar que el puerto F0/18 se asigna a la VLAN 20 y que la VLAN nativa es la VLAN 1. El usuario ha utilizado este comando para revisar la configuración de una VLAN de voz.

VINCULOS AL PUERTO DE ADMINISTRACION

Existen varias formas de administrar las VLAN y los vínculos del puerto de VLAN. La figura muestra la sintaxis para el comando no switchport access vlan.

ADMINISTRACIÓN DE LA PERTENENCIA AL PUERTO

Para reasignar un puerto a la VLAN 1, el usuario puede usar el comando no switchport access vlan en modo de configuración de interfaz. Examine la salida del comando show vlan brief que aparece inmediatamente a continuación. Note cómo VLAN 20 sigue activa. Sólo se la ha eliminado de la interfaz F0/18. En el comando show interfaces f0/18 switchport, se puede ver que la VLAN de acceso para interfaz F0/18 se ha reestablecido a la VLAN 1.

Un puerto de acceso estático sólo puede tener una VLAN. Con el software IOS de Cisco, no necesita quitar primero un puerto de una VLAN para cambiar su membresía de la VLAN. Cuando reasigna un puerto de acceso estático a una VLAN existente, la VLAN se elimina automáticamente del puerto anterior. En el ejemplo, el puerto F0/11 se reasigna a la VLAN 20.

ELIMINACIN DE LAS VLAN

La figura proporciona un ejemplo de uso del comando de configuración global no vlan vlan-id para eliminar la VLAN 20 del sistema. El comando show vlan brief verifica que la VLAN 20 ya no está en el archivo vlan.dat.

Alternativamente, el archivo completo vlan.dat puede eliminarse con el comando delete flash:vlan.dat del modo EXEC privilegiado. Después de que el switch se haya vuelto a cargar, las VLAN configuradas previamente ya no estarán presentes. Esto ubica al switch, en forma efectiva, en "de fábrica de manera predeterminada" con respecto a las configuraciones de la VLAN.

Nota: Antes de eliminar una VLAN, asegúrese de reasignar primero todos los puertos miembro a una VLAN diferente. Todo puerto que no se ha movido a una VLAN activa no puede comunicarse con otras estaciones luego de eliminar la VLAN.

CONFIGURACIÓN DE UN ENLACE TRONCA

Configuración de un enlace troncal 802.1Q en un Switch:

Ciscoredes# configure terminal

Ciscoredes(config)# interface interface-id

Ciscoredes(config-if)# switchport mode trunk

Ciscoredes(config-if)# switchport trunk native vlan vlan-id

Ciscoredes(config-if)# exit

VERIFICACION DE LA CONFIGURACION DEL ENLACE TRONCAL

Para configurar un enlace troncal en un puerto de switch, utilice el comando switchport mode trunk. Cuando ingresa al modo enlace troncal, la interfaz cambia al modo permanente de enlace troncal y el puerto ingresa a una negociación de DTP para convertir el vínculo a un vínculo de enlace troncal, por más que la interfaz que la conecta no acepte cambiar. En este curso configurará un enlace troncal utilizando únicamente el comando switchport mode trunk. En la figura se muestra la sintaxis de comando IOS de Cisco para especificar una VLAN nativa diferente a la VLAN 1. En el ejemplo, el usuario configura la VLAN 99 como la VLAN nativa. Se muestra la sintaxis de comando utilizada para admitir una lista de las VLAN en el enlace troncal. En este puerto de enlace troncal, admita las VLAN 10, 20 y 30.

CONFIGURACIÓN DE ENRUTAMIENTO ENTRE VLAN

El enrutamiento entre vlans o inter vlan routing, resulta necesario una vez que se posee una infraestructura de red con vlan implementadas, debido a que los usuarios necesitaran intercambiar información de una red a otra.

Es importante recordar que cada VLAN es un dominio de broadcast único. Por lo tanto, de manera predeterminada, las computadoras en VLAN separadas no pueden comunicarse.

CONFIGURACIÓN DEL PUERTO DE ENLACE TRONCAL EN EL SWITCH

Ciscoredes# configure terminal

Ciscoredes(config)# interface interface-id.numero

Ciscoredes(config-subif)# encapsulation dot1q numero

Ciscoredes(config-subif)# ip address a.a.a.a b.b.b.b

Ciscoredes(config-subif)# exit

CONFIGURACION DE LA VLAN

Las VLAN son bastante utiles para hacer mas eficiente el uso de un switch dividiéndolo en tantos dominios de broadcast como puertos posea el switch. También nos permiten garantizar la calidad de servicio y agrupar los usuarios en grupos específicos; todo lo anterior y otros beneficios se pueden conseguir utilizando un solo switch con el uso de las VLANs.

Inicialmente configuraremos solo un switch para explicar la sintaxis de los comandos necesarios para configurar VLANs en un switch, pero mas adelante en otros tutoriales configuraremos múltiples switches con sus respectivas VLANs y VTP (VLAN Trunking Protocol).

Las VLAN que configuraremos en el switch serán las siguientes:

VLAN 10 (Administración) – Puerto 1

VLAN 20 (Ventas) – Puertos 3 y 5

VLAN 30 (RRHH) – Puertos 6 – 9

A medida que se haga la configuración, se explicaran los pasos uno por uno y al final de la configuración de cada equipo se tiene que verificar el estado de la comunicación entre los equipos con pruebas de conectividad (ping).

Procedimiento de configuración de VLAN

Para realizar la configuración de una VLAN, se debe ingresar al método de configuración de VLAN (S1(config-vlan)#) desde el modo de configuración global (S1(config)#) utilizando el comando “vlan”, seguido del numero de la vilan que deseamos configurar y para asignar el nombre a la vlan que estamos configurando utilizamos el comando “name” seguido del nombre que deseamos asignar a dicha VLAN.

Para asignar la VLAN a uno o varios puertos debemos de ingresar al modo de configuración de la interfaz (S1(config-if)#) utilizando el comando “interface” seguido de la interfaz correspondiente por ejemplo: “fastEthernet 0/1”. Luego utilizando el comando “switchport mode access” declaramos el puerto como modo acceso y utilizando el comando “switchport access vlan” seguido del numero de la VLAN que queremos asignar por ejemplo: “10”.

Nota: Para configurar mas de una interfaz al mismo tiempo, solo debemos ingresar al modo de configuración de varias interfaces con el comando “interface range” seguido del tipo de interfaz que deseamos configurar “fastEthernet” por ejemplo, y luego el rango o los números de los puertos separados por una coma “,” si no están en secuencia por ejemplo “fastEthernet 0/1 , fastEthernet 0/3” o separados por un guion “-” si son un rango en secuencia, por ejemplo “0/1 – 5”.

Configuración Switch 1 (S1):

S1 conoce actualmente las VLANs configuradas por defecto en los switches Cisco, estas se pueden ver con el comando “show vlan brief” desde el modo privilegiado (S1#):

[S1#show vlan brief ]

Las VLANs configuradas por defecto son:

1 default

1002 fddi-default

1003 token-ring-default

1004 fddinet-default

1005 trnet-default

Ahora tenemos que agregar y asignar las VLANs a los puertos que deseamos.

Configuración de la vlan 10:

S1(config)#vlan 10

S1(config-vlan)#name administración

S1(config-vlan)#exit

S1(config)#interface fastEthernet 0/1

S1(config-if)#switchport mode access

S1(config-if)#switchport access vlan 10

Configuración de la vlan 20:

S1(config)#vlan 20

S1(config-vlan)#name Ventas

S1(config-vlan)#exit

S1(config)#interface range fastEthernet 0/3 , fastEthernet 0/5

S1(config-if)#switchport mode access

S1(config-if)#switchport access vlan 20

Configuración de la vlan 30:

S1(config)#vlan 30

S1(config-vlan)#name RRHH

S1(config-vlan)#exit

S1(config)#interface range fastEthernet 0/6 - 9

S1(config-if)#switchport mode access

S1(config-if)#switchport access vlan 30

La lista de VLANs se vera de esta manera:

1 default

10 administración

20 Ventas

30 RRHH

1002 fddi-default

1003 token-ring-default

1004 fddinet-default

1005 trnet-default

NOTA: Como podemos ver las VLAN 10, 20 y 30 se pueden ver en la lista con sus respectivos nombres. En esta lista se pueden ver los puertos que corresponden a cada VLAN justo en la parte derecha de la lista.

IMAGEN DE LA LISTA DE VLAN:

Estado general de la red:

Luego de esta configuración las computadoras conectadas a su respectiva VLAN tendrán comunicación entre si debido a su VLAN, las computadoras que no se encuentren en el mismo rango IP o la misma red no tendrán comunicación a pesar de la VLAN.

ADMINISTRACION DE UNA VLAN.

Una VLAN (acrónimo de Virtual LAN) es una subred IP separada de manera lógica, las VLAN permiten que redes IP y subredes múltiples existan en la misma red conmutada, son útiles para reducir el tamaño del broadcast y ayudan en la administración de la red separando segmentos lógicos de una red de área local (como departamentos para una empresa, oficina, universidades, etc.) que no deberían intercambiar datos usando la red local.

Cada computadora de una VLAN debe tener una dirección IP y una máscara de subred correspondiente a dicha subred.

Tipos de VLAN

VLAN de Datos.- es la que está configurada sólo para enviar tráfico de datos generado por el usuario, a una VLAN de datos también se le denomina VLAN de usuario.

VLAN Predeterminada.- Es la VLAN a la cual todos los puertos del Switch se asignan cuando el dispositivo inicia, en el caso de los switches cisco por defecto es la VLAN1, otra manera de referirse a la VLAN de predeterminada es aquella que el administrador haya definido como la VLAN a la que se asignan todos los puertos cuando no estan en uso.

VLAN Nativa.- una VLAN nativa está asignada a un puerto troncal 802.1Q, un puerto de enlace troncal 802.1Q admite el tráfico que llega de una VLAN y también el que no llega de las VLAN’s, la VLAN nativa sirve como un identificador común en extremos opuestos de un elace troncal, es aconsejable no utilizar la VLAN1 como la VLAN Nativa.

VLAN de administración.- Es cualquier vlan que el administrador configura para acceder a la administración de un switch, la VLAN1 sirve por defecto como la VLAN de administración si es que no se define otra VLAN para que funcione como la VLAN de Administración.

IDENTIFICACIÓN DE CONCEPTOS VTP

Descripción general del protocolo de enlaces troncales de VLAN (VTP)

EL VTP (VLAN trunking protocol) es un protocolo que sirve para permitir conectividad entre VLAN, por medio de un enlace troncal entre switches. El VTP reduce la necesidad de configuración manual de la red.

El VTP permite a un administrador de red configurar un switch de modo que propagará las configuraciones de la VLAN hacia los otros switches en la red.

UNIDAD 2 Implementación de dispositivos de ruteo y conmutación de red

UNIDAD 2

SISTEMA OPERATIVO INTERNETWORK

Se conoce como Sistema Operativo Internetwork (IOS) de Cisco. Como cualquier sistema operativo de una computadora, el IOS de Cisco administra los recursos de hardware y software del Router, incluso la asignación de memoria, los procesos, la seguridad y los sistemas de archivos.

FUNCIÓN DE IOS

El IOS de Cisco es un sistema operativo multitarea que está integrado con las funciones de enrutamiento, conmutación, internetworking y telecomunicaciones.

METODOS DE ACCESO

"Espacio para el acceso y apropiacion de conocimiento de las redes informaticas y sus implicaciones en el desarrollo de la sociedad conteporanea".

Métodos de acceso:

Los tres métodos diseñados para prevenir el uso simultáneo del medio de la red incluyen:

· Métodos de acceso múltiple por detección de portadora:

Por detección de colisiones

Con anulación de colisiones.

· Métodos de paso de testigo que permiten una única oportunidad para el envío de datos.

· Métodos de prioridad de demandas.

CONSOLA

Se puede tener acceso a la CLI a través de una sesión de consola, también denominada línea CTY. La consola usa una conexión serial de baja velocidad para conectar directamente un equipo o un terminal al puerto de consola en el router o switch.

El puerto de consola es un puerto de administración que provee acceso al router fuera de banda. Es posible acceder al puerto de consola aunque no se hayan configurado servicios de networking en el dispositivo.

TELNET

Un método que sirve para acceder en forma remota a la sesión CLI es hacer telnet al router. A diferencia de la conexión de consola, las sesiones de Telnet requieren servicios de networking activos en el dispositivo.

En esta imagen se muestra una Conexión Remota "Telnet"

PUERTO AUXILIAR

Otra manera de establecer una sesión CLI en forma remota es a través de una conexión de marcado telefónico mediante un módem conectado al puerto auxiliar del router. De manera similar a la conexión de consola, este método no requiere ningún servicio de networking para configurarlo o activarlo en el dispositivo.

El puerto auxiliar también puede usarse en forma local, como el puerto de consola, con una conexión directa a un equipo que ejecute un programa de emulación de terminal. El puerto de consola es necesario para la configuración del router, pero no todos los routers tienen un puerto auxiliar.

TIPOS DE ARCHIVOS DE CONFIGURACIÓN

Un dispositivo de red Cisco contiene dos archivos de configuración:

• El archivo de configuración en ejecución, utilizado durante la operación actual del dispositivo

• El archivo de configuración de inicio, utilizado como la configuración de respaldo, se carga al iniciar el dispositivo

También puede almacenarse un archivo de configuración en forma remota en un servidor a modo de respaldo.

CONFIGURACIÓN EN EJECUCIÓN

Una vez en la RAM, esta configuración se utiliza para operar el dispositivo de red. La configuración en ejecución se modifica cuando el administrador de red realiza la configuración del dispositivo. Los cambios en la configuración en ejecución afectarán la operación del dispositivo Cisco en forma inmediata. Luego de realizar los cambios necesarios, el administrador tiene la opción de guardar tales cambios en el archivo startup-config, de manera que se utilicen la próxima vez que se reinicie el dispositivo.

CONFIGURACIÓN DE INICIO

El archivo de configuración de inicio (startup-config) se usa durante el inicio del sistema para configurar el dispositivo. El NVRAM es no volátil, el archivo permanece intacto cuando el dispositivo Cisco se apaga. Los archivos startup-config se cargan en la RAM cada vez que se inicia o se vuelve a cargar el router. Una vez que se ha cargado el archivo de configuración en la RAM, se considera la configuración en ejecución o running-config.

MODOS DE OPERACIÓN DE IOS

Modos de interfaz de usuario

La interfaz de línea de comando (CLI) de Cisco usa una estructura jerárquica. Esta estructura requiere el ingreso a distintos modos para realizar tareas particulares. Por ejemplo, para configurar una interfaz del router, el usuario debe ingresar al modo de configuración de interfaces. Desde el modo de configuración de interfaces, todo cambio de configuración que se realice, tendrá efecto únicamente en esa interfaz en particular. Al ingresar a cada uno de estos modos específicos, la petición de entrada del router cambia para señalar el modo de configuración en uso y sólo acepta los comandos que son adecuados para ese modo.

· El modo EXEC usuario permite sólo una cantidad limitada de comandos de monitoreo básicos. A menudo se le describe como un modo "de visualización solamente". El nivel EXEC usuario no permite ningún comando que pueda cambiar la configuración del router. El modo EXEC usuario se puede reconocer por la petición de entrada: ">".

· El modo EXEC privilegiado da acceso a todos los comandos del router. Se puede configurar este modo para que solicite una contraseña del usuario antes de dar acceso. Para mayor protección, también se puede configurar para que solicite una ID de usuario. Esto permite que sólo los usuarios autorizados puedan ingresar al router. Los comandos de configuración y administración requieren que el administrador de red se encuentre en el nivel EXEC privilegiado. Para ingresar al modo de configuración global y a todos los demás modos específicos, es necesario encontrarse en el modo EXEC privilegiado. El modo EXEC privilegiado se puede reconocer por la petición de entrada "#".

CONFIGURACIÓN GLOBAL

Este modo permite la configuración básica de router y permite el acceso a submodos de configuración específicos.

PATRONES DE ENTRADA DE COMANDO

Terminal

Una terminal, es un dispositivo de comunicación con el cual se podía tener acceso previa configuración, a la línea de comandos de un ordenador o equipo, con el fin de realizar tareas de administración, entre otras. Antiguamente conocidos como terminales de datos, este tipo de aparatos ya están en desuso y el término pasa a ser sinónimo de “interfaz de línea de comandos o consola”

Interprete de comandos

Es una aplicación que se ejecuta siempre que un usuario se conecta al sistema, su función principal es hacer la interacción USUARIO – SISTEMA.

Siempre que el usuario introduzca textos en su emulador de terminal, con el cual inicio sesión, el intérprete será quien los recoja, y comprobara si se trata de un comando valido o no.

Si lo introducido es invalido, el interprete devuelve un mensaje de error, indicando que no sabe que hacer con lo indicado. Si es un comando Valido, lo procesa. El intérprete de comandos, tiene un prompt (indicador de comandos) o petición de entrada, que normalmente esta representado por el símbolo $, que será la señal que indica que puede introducir comandos en el sistema.

En VENENUX el intérprete de comandos por defecto es BASH.

Entrada y Salida Estándar

En los sistemas GNU/LINUX por tanto en VENENUX, esta definida una entrada y una salida estándar, que se usa para todos los comandos. La entrada estándar específica el canal de entrada de los datos al sistema, por lo general la entrada estándar por defecto es el teclado. Siempre que un comando requiera datos de la entrada estándar, el usuario tendrá que introducirlos a través del teclado.

La salida estándar de un comando especifica el canal de salida de los datos generados por el; por defecto es la consola o terminal desde la que se lanzo el comando. Siempre que un comando escriba algo a la salida estándar, se mostrara por la pantalla del usuario. Los cambios de entradas y salidas estándar se puede hacer desde el interprete de comandos, es decir, no es necesario modificar el código del comando, ni indicarle ningún tipo de opciones.

TIPOS DE COMANDOS

Los comandos ejecutados por el usuario pueden ser:

*Comandos Internos

Los comandos internos están incluidos dentro del interprete de comandos del sistema, en VENENUX, dentro de BASH; estos no existen como aplicaciones o programas dentro de la estructura de directorios del sistema.

Algunos comandos de BASH son: cd, chdir, alias, set o export.

*Comandos Estándar del Sistema

Los comandos estándar del sistema, son los que están disponibles en todas las versiones del sistema (GNU/LINUX) y permiten trabajar con los recursos del mismo, procesos y ficheros.

Algunos comandos estándar son: lsmod, mount, free, dmesg, etc.

*Comandos de Terceros

Los comandos de terceros, son aplicaciones que se instalan adicionalmente en el sistema. En VENENUX se pueden nombrar como comandos de tercero a:

Por ejemplo, “mplayer”, Reproductor multimedia para el sistema, y “proz” (PROZILLA) un Acelerador de Descargas, entre otros.

*Scripts de Usuarios

Los Scripts de usuarios, son ficheros texto con comandos del sistema, que se ejecutan de forma secuencial y son interpretados por un intérprete de comandos como BASH.

En VENENUX, se puede nombrar el Script “carontfs”.

2.2 Configura los servicios integrados en dispositivos de ruteo y conmutación, basado en los programas del Sistema Operativo de Internetwork

Configuración de un Router de Servicios Integrados (ISR) con SDM.

ISR

Configuración de un Router de Servicios Integrados (ISR) con SDM.

El Administrador de routers y dispositivos de seguridad (SMD) es una herramienta de administración de dispositivos basada en la Web y fácil de usar, diseñada para configurar la LAN, la WAN y las características de seguridad en los routers basados en el software IOS de Cisco.
SDM de Cisco admite una amplia gama de versiones de software IOS de Cisco. Viene preinstalado en todos los nuevos routers de servicios integrados de Cisco.

CONFIGURACIÓN FÍSICA DEL ISR

Coloqué el interruptor de encendido que se encuentra en la parte posterior del ISR en la posición Encendido.

Durante este paso, los indicadores LED en el chasis se encienden y se apagan, no necesariamente al mismo tiempo. La actividad del indicador LED depende de lo que esté instalado en el ISR.

Observe los mensajes de inicio a medida que aparecen en la ventana del programa de emulación de terminal. No presione ninguna tecla en el teclado mientras aparezcan estos mensajes. Si lo hace, se interrumpirá el proceso de inicio del router.

Configuración del router dentro de banda y fuera de banda

Un cliente instala varios routers Cisco en su infraestructura de red. La gestión diaria se realiza a través de la red existente (dentro de banda). Sin embargo, el socio de servicios de gestión necesita una forma segura y fiable de diagnosticar problemas de forma remota, incluso cuando se producen cortes en el funcionamiento de la red (en el ejemplo que aparece más arriba, el Nodo 2 está desconectado).

Configuración de un Router con la CLI.

Interfaz de Línea de Comandos (CLI)

Por su acrónimo en inglés de Command Line Interface (CLI), es un método que permite a las perso dar instrucciones a algún programa informático por medio de una línea de texto simple. Debe notarse que los conceptos de CLI, Shell y Emulador de Terminal no son lo mismo, aunque suelen utilizarse como sinónimos.
Las CLI pueden emplearse interactivamente, escribiendo instrucciones en alguna especie de entrada de texto, o pueden utilizarse de una forma mucho más automatizada (archivo batch), leyendo comandos desde un archivo descripts.
Esta interfaz existe casi desde los comienzos de la computación, superada en antigüedad solo por las tarjetas perforadas y mecanismos similares. Existen, para diversos programas y sistemas operativos, para diversos hardware, y con diferente funcionalidad.

Por ejemplo, las CLI son parte fundamental de los Shells o Emuladores de Terminal. Aparecen en todos los desktops (Gnome, KDE, Windows) como un método para ejecutar aplicaciones rápidamente. Aparecen como interfaz de lenguajes interpretados tales como Java, Python, Ruby oPerl. También se utilizan en aplicaciones cliente-servidor, en DBs (Postgres, MySQL, Oracle), en clientes FTP, etc. Las CLI son un elemento fundamental de aplicaciones de ingeniería tan importantes como Matlab y Autocad.

SDM

El Administrador de routers y dispositivos de seguridad (SDM) es una herramienta de administración de dispositivos basada en la Web y fácil de usar, diseñada para configurar la LAN, laWAN y las características de seguridad en los routers basados en el software IOS de Cisco.SDM nos permite manipular nuestro dispositivo intermediario por medio de una serie de ventanaslas cuales son muy intuitivas que nos van guiando durante el proceso de configuración.

Plataformas soportadas para SDM

SDM es soportado por Windows en las siguientes plataformas.

Microsoft Windows Xp Professional.

Microsoft Windows 2003 Server (Standar Edition).

Microsoft Windows 2000 Professional con SP4 (Windows 2000 Advance Server no tienesoporte).

Microsft Windows ME.

Microsoft Windows 98 (Second Edition).

Archivos de configuración de interfaz

Los archivos de configuración de interfaz controlan las interfaces de software para dispositivos de red individuales. Cuando su sistema arranca, utiliza estos archivos para saber qué interfaces debe activar y cómo configurarlas. Estos archivos habitualmente se conocen como ifcfg-<name>, donde <name> hace referencia al nombre del dispositivo que controla el archivo de configuración.

Configuración de un ISR con SDM.

Paso 1: Configurar la PC para que se conecte al router y luego iniciar el SDM de Cisco

a. Encienda el router.

b. Encienda la PC.

c. Deshabilite todos los programas bloqueadores de elementos emergentes. Los bloqueadores de elementos emergentes impiden que se muestren las ventanas de SDM Express.

d. Conecte la NIC de la PC al puerto FastEthernet 0/0 del router ISR Cisco 1841 con el cable Ethernet.

NOTA: Un router SDM que no sea el 1841 puede requerir conexión a un puerto diferente para acceder a SDM.Configure la dirección IP de la PC para que sea 10.10.10.2 con una máscara de subred de 255.255.255.248.f. SDM no se carga automáticamente en el router. Para acceder al SDM, debe abrir la explorador de Internet. Abra el explorador de Internet en la PC y conéctese al siguiente URL: http://10.10.10.1 NOTA 1: Si falla la conexión del explorador al router. Si no puede conectarse y ver la pantalla de inicio de sesión, controle el cableado y las conexiones y asegúrese de que la configuración IP en la PC sea la correcta. Es posible que el router haya sido configurado anteriormente con una dirección de 192.168.1.1 en la interfaz Fa0/0. Observe qué sucede si establece la dirección IP de la PC en 192.168.1.2 con una máscara de subred de 255.255.255.0 y conéctese a http://192.168.1.1 con el explorador. Si tiene dificultades con este procedimiento, pídale ayuda a su instructor.

CONFIGURAR UN ROUTER

La configuración del router es un aparte fundamental del proceso de conseguir buenas velocidades con los programs p2p. Los routers tiene 2 tipos de configuración:

Monopuesto: es la configuración para un único ordenador, el router no filtra las conexiones. No requiere configuración ni apertura de puertos, pero apenas ofrece seguridad.
Multipuesto: permite conectar varios ordenadores. El router funciona como una términal, la información de internet llega al router y este la distribuye a través de los clientes (cada ordenador conectado).

El router ha de saber a que ordenador mandar cada conexión; a esto se le llama redirección de IPs públicas en la red privada. Además, muchos routers llevan Firewalls integrados que cortan las conexiones de programas p2p, por lo que debemos habilitar los puertos necesarios para estas conexiones. Lo más normal es abrir uno o varios puertos del router y redirigirlos a una IP en la red privada.

COMANDOS O PALABRAS CLAVE ABREVIADOS

Los comandos y las palabras clave pueden abreviarse a la cantidad mínima de caracteres que identifica a una selección única. Por ejemplo, el comando configure puede abreviarse en conf ya que configure es el único comando que empieza con conf. La abreviatura con no dará resultado ya que hay más de un comando que empieza con con.

Las palabras clave también pueden abreviarse.

Otro ejemplo podría ser show interfaces, que puede abreviarse de esta forma:

Router#show interfaces
Router#show int

Se puede abreviar tanto el comando como las palabras clave, por ejemplo:

Router#sh int

USOS DE LOS COMANDOS SHOW

show interfaces
Muestra las estadísticas completas de todas las interfaces del router. Para ver las estadísticas de una interfaz específica, ejecute el comando show interfaces seguido de la interfaz específica y el número de puerto.
Por ejemplo:
Router#show interfaces serial 0/1

show controllers serial
Muestra información específica de la interfaz de hardware. El comando debe incluir el número de puerto y/o de ranura de la interfaz.
Por ejemplo:
Router#show controllers serial 0/1

• show clock
Muestra la hora fijada en el router

• show hosts
Muestra la lista en caché de los nombres de host y sus direcciones

• show users
Muestra todos los usuarios conectados al router

• show history
Muestra un historial de los comandos ingresados

• show flash
Muestra información acerca de la memoria flash y cuáles archivos IOS se encuentran almacenados allí

• show version
Despliega la información acerca del router y de la imagen de IOS que esté corriendo en al RAM. Este comando también muestra el valor del registro de configuración del router

• show ARP
Muestra la tabla ARP del router
• show protocols
Muestra el estado global y por interfaz de cualquier protocolo de capa 3 que haya sido configurado

• show startup-config
Muestra el archivo de configuración almacenado en la NVRAM
• show running-config
Muestra el contenido del archivo de configuración activo o la configuración para una interfaz específica.

Pruebe ver todos los comandos show en cada modo con: show ?

CONFIGURACIÓN BÁSICA DE INTERFACES

Bueno en aquí veremos lo mas común relacionado con las interfaces. Debemos tener claro que cuando tenemos como promp Router(config-if)# es porque nos encontramos en alguna interfaz. En todo los ejercicios tomaremos como ejemplo la interfaz serial 0/0/0

Ingresar a una interfaz

Router>enable

Router#configure terminal

Router(config)#interface [interfaz] [nº interfaz] (lo mas normal es que la interfaz sea Fastethernet o Serial)

Asignar IP y MASK a una interfaz

Router(config)#interface serial 0/0/0

Router(config-if)#ip address [ip] [mascara]

Router(config-if)#no shutdown (esto es para levantar la interfaz)

Asignar Clock Rate

Router(config)#interface serial 0/0/0

Router(config-if)#clock rate [velocidad]

Asignar descripción a interfaces

Router(config)#interface serial 0/0/0

Router(config-if)#description [descripcion]

Router(config-if)#

CONFIGURAR RUTAS POR DEFECTO EN PACKET TRACER

Este tutorial es para que comprendan cómo funcionan y cómo se configuran lasrutas por defecto. El ejercicio esta realizado con parte del tutorial de rutasestáticas y le agregamos un router para emular Internet y una red remota(192.168.4.0 /24).Normalmente las rutas por defecto se implementan en redes con acceso aInternet ya que sería imposible contener en las tablas de enrutamiento de losdispositivos, en este caso los routers A, B y C, todas las rutas a todos losdestinos de internet. En el gráfico pueden ver la topología que vamos a usar yque tienen armada y funcionando en Packet Tracer. La finalidad del ejercicio esque se pueda enrutar tráfico entre las redes 192.168.1.0/24, 192.168.2.0/24 y192.168.3.0/24 mediante rutas estáticas y que estas se comuniquen a travésde Internet (en este caso para simplificar es un router) con la red192.168.4.0/24 usando rutas por defecto.

Observaciones:

El enlace entre el RouterC y el Router Internet, vendría a ser una conexiónentre la red de los routers A, B y C y un ISP (proveedor de Internet), estáconfigurado mediante una ruta por defecto pero podría haber usado unprotocolo de enrutamiento.Los routers A, B y C, se comunican mediante rutas estáticas y también podríahaber configurado cualquier protocolo de enrutamiento ya que la finalidad esque las redes 192.168.1.0, 192.168.2.0 y 192.168.3.0 resuelvan el tráficogenerado a una red destino que no está en su tabla de enrutamiento, en estecaso la red 192.168.4.0 /24.

PASO 1 - Configuración de los Hosts

Host 1IP: 192.168.1.2Máscara: 255.255.255.0Default Gateway: 192.168.1.1Host 2IP: 192.168.2.2Máscara: 255.255.255.0Default Gateway: 192.168.2.1Host 3IP: 192.168.3.2Máscara: 255.255.255.0Default Gateway: 192.168.3.1Host 4IP: 192.168.4.2Máscara: 255.255.255.0Default Gateway: 192.168.4.1Observaciones: El default gateway (puerta de enlace) para los hosts es lainterfaz del router conectada a la red a la cual pertenece el host. En este caso es la FastEthernet 0/0 de cada router.

PASO 2- Configuración Básica de los Routers

Router A

Router>enableRouter#config terminalRouter(config)#hostname RouterARouterA(config)#interface fastethernet 0/0RouterA(config-if)#ip address 192.168.1.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config-if)#exitRouterA(config)#interface serial 0/0RouterA(config-if)#ip address 10.0.0.2 255.0.0.0RouterA(config-if)#no shutdown

Router B

Router>enableRouter#config terminalRouter(config)#hostname RouterBRouterB(config)#interface fastethernet 0/0RouterB(config-if)#ip address 192.168.2.1 255.255.255.0RouterB(config-if)#no shutdownRouterB(config-if)#exitRouterB(config)#interface serial 0/0RouterB(config-if)#ip address 10.0.0.1 255.0.0.0RouterB(config-if)#clock rate 56000RouterB(config-if)#no shutdownRouterB(config-if)#exit

Configuración del router dentro de banda y fuera de banda

Configuración de NAT estático

La dificultad de este tipo configuración es la de entender la diferencia entre Inside y Outside.

Estos términos definen donde esta su red privada (inside) y donde Internet (outside)

Router (config)# ip nat source static

inside_local_source_IP_address

inside_global_source_IP_address

En este primer ejemplo genérico se define que la IP local interna se debe cambiar por la IP global interna

Router (config)# ip nat source static

outside_local_source_IP_address

outside_global_source_IP_address

Creación de una configuración de respaldo del Router en un servidor TFTP

Permitir el acceso al archivo config.txt guardado en el dispositivo disk0. tftp-server disk0:config.txt ! Permitir el acceso a la config de IOS, pero usando un ! nombre más corto (config.txt) como alias. tftp-server disk0:c7200-tftpserver-config-201012101000 alias config.txt ! Permitir la descarga del archivo de sistema operativo con un nombre ! corto llamado ios.bin pero que sea accesible solo desde los hosts ! permitidos en el access-list estándar número 69. tftp-server disk0:c7200-adventerprisek9-mz.124-24.T.bin alias ios.bin 69

Configuración de un Switch.

Configuración inicial del switch

Una estación de trabajo con software de emulación de terminal, por ejemplo Microsoft Hyperterminal, instalado para conectar directamente,o a través de un módem, con el puerto de consola del Switch.

Conexión del switch de la LAN al router

El switch funciona en el ámbito de capa 2 (MAC), procesan las direcciones MAC en una LAN y no modifican el contenido

del paquete. Inspecciona la dirección de fuente y destino del paquete (MAC Address) para determinar la ruta de conmutación.

La tabla de rutas se realiza mediante un compilador de direcciones MAC. La misma es dinámica y se actualiza sobre la base

de la lectura de las direcciones contenidas en los paquetes que ingresan al switch (aprendizaje mediante lectura de

direcciones). Cuando un switch recibe un paquete con dirección desconocida lo emite a todas las puertas (técnica conocida

como Flooding).

Protocolo CDP

El Protocolo CDP es un protocolo de Capa 2 que conecta los medios físicos inferiores con los protocolos de red de las capas superiores,
La lectura del comando show cdp neighbors incluyen la siguiente información:

• Identificador del dispositivo

• Interfaz local

• Tiempo de espera