Origen del VLAN nativo y el trunking 802.1Q

Origen del VLAN nativo y el trunking 802.1Q

 

El protocolo IEEE 802.1Q, también conocido como dot1Q, fue un proyecto del grupo de trabajo 802 de la IEEE para desarrollar un mecanismo que permita a múltiples redes compartir de forma transparente el mismo medio físico, sin problemas de interferencia entre ellas (Trunking). Es también el nombre actual del estándar establecido en este proyecto y se usa para definir el protocolo de encapsulamiento usado para implementar este mecanismo en redes Ethernet. Todos los dispositivos de interconexión que soportan VLAN deben seguir la norma IEEE 802.1Q que especifica con detalle el funcionamiento y administración de redes virtuales.

 

802.1Q en realidad no encapsula la trama original sino que añade 4 bytes al encabezado Ethernet original. El valor del campo EtherType se cambia a 0x8100 para señalar el cambio en el formato de la trama.

 

Debido a que con el cambio del encabezado se cambia la trama, 802.1Q fuerza a un recálculo del campo "FCS".

 

== VLAN nativas ==//// No se etiquetan con el ID de VLAN cuando se envían por el trunk. Y en el otro lado, si a un puerto llega una trama sin etiquetar, la trama se considera perteneciente a la VLAN nativa de ese puerto. Este modo de funcionamiento fue implementado para asegurar la interoperabilidad con antiguos dispositivos que no entendían 802.1Q.

 

La VLAN nativa es la vlan a la que pertenecía un puerto en un switch antes de ser configurado como trunk. Sólo se puede tener una VLAN nativa por puerto.

 

Para establecer un trunking 802.1q a ambos lados debemos tener la misma VLAN nativa porque la encapsulación todavía no se ha establecido y los dos switches deben hablar sobre un link sin encapsulación (usan la native VLAN) para ponerse de acuerdo en estos parámetros. En los equipos de Cisco Systems la VLAN nativa por defecto es la VLAN 1. Por la VLAN 1 además de datos, se manda información sobre PAgP, CDP, VTP.

 

Durante el diseño se recomienda

La VLAN nativa no debe ser la de gestión.

Cambiar la VLAN nativa de la 1 a cualquier otra como medida de seguridad.

Todos los switches en la misma VLAN nativa.

Usuarios y servidores en sus respectivas VLANs.

El tráfico entre switches debe ser el único que no se encapsule en enlaces trunk. El resto del tráfico, incluyendo la VLAN de gestión debe ir encapsulado por los trunks. Si no estamos encapsulando cualquiera puede conectar un equipo que no hable 802.1q (switches y hubs) y funcionará sin nuestro control.

 

Modos del Truking.

La siguiente tabla describe las combinaciones de modos y el estado final del puerto al que se llega, asumiendo que ambos lados tienen DTP habilitado.

 

                 http://es.wikipedia.org/wiki/Dynamic_Trunk_Protocol
                  http://es.wikipedia.org/wiki/IEEE_802.1Q
 

 

Trunking

Que es y porque es necesario el “Trunking”.

 

El trunking es una función para conectar dos switchs, routers o servidores, del mismo modelo o no, mediante 2 cables en paralelo en modo Full-Duplex. Así se consigue un ancho de banda del doble .

 

Trunking Protocol, un protocolo de mensajes de nivel 2 usado para configurar y administrar VLANs en equipos Cisco. Permite centralizar y simplificar la administración en un domino de VLANs, pudiendo crear, borrar y renombrar las mismas, reduciendo así la necesidad de configurar la misma VLAN en todos los nodos. El protocolo VTP nace como una herramienta de administración para redes de cierto tamaño, donde la gestión manual se vuelve inabordable.

 

VTP opera en 3 modos distintos:

Servidor

Cliente

Transparente

 

Servidor:

Es el modo por defecto. Desde él se pueden crear, eliminar o modificar VLANs. Su cometido es anunciar su configuración al resto de switches del mismo dominio VTP y sincronizar dicha configuración con la de otros servidores, basándose en los mensajes VTP recibidos a través de sus enlaces trunk. Debe haber al menos un servidor. Se recomienda autenticación MD5.

Cliente:

En este modo no se pueden crear, eliminar o modificar VLANs, tan sólo sincronizar esta información basándose en los mensajes VTP recibidos de servidores en el propio dominio. Un cliente VTP sólo guarda la información de la VLAN para el dominio completo mientras el switch está activado. Un reinicio del switch borra la información de la VLAN.

Transparente:

Desde este modo tampoco se pueden crear, eliminar o modificar VLANs que afecten a los demás switches. La información VLAN en los switches que trabajen en este modo sólo se puede modificar localmente. Su nombre se debe a que no procesa las actualizaciones VTP recibidas, tan sólo las reenvía a los switches del mismo dominio.

Los administradores cambian la configuración de las VLANs en el switch en modo servidor. Después de realizar cambios, estos son distribuidos a todos los demás dispositivos en el dominio VTP a través de los enlaces permitidos en el trunk (VLAN 1, por defecto), lo que minimiza los problemas causados por las configuraciones incorrectas y las inconsistencias. Los dispositivos que operan en modo transparente no aplican las configuraciones VLAN que reciben, ni envían las suyas a otros dispositivos. Sin embargo, aquellos que usan la versión 2 del protocolo VTP, enviarán la información que reciban (publicaciones VTP) a otros dispositivos a los que estén conectados con una frecuencia de 5 minutos. Los dispositivos que operen en modo cliente, automáticamente aplicarán la configuración que reciban del dominio VTP. En este modo no se podrán crear VLANs, sino que sólo se podrá aplicar la información que reciba de las publicaciones VTP.

Para que dos equipos que utilizan VTP puedan compartir información sobre VLAN, es necesario que pertenezcan al mismo dominio. Los switches descartan mensajes de otro dominio VTP.

Las configuraciones VTP en una red son controladas por un número de revisión. Si el número de revisión de una actualización recibida por un switch en modo cliente o servidor es más alto que la revisión anterior, entonces se aplicará la nueva configuración. De lo contrario se ignoran los cambios recibidos. Cuando se añaden nuevos dispositivos a un dominio VTP, se deben resetear los números de revisión de todo el dominio VTP para evitar conflictos. Se recomienda tener mucho cuidado al usar VTP cuando haya cambios de topología, ya sean lógicos o físicos. Realmente no es necesario resetear todos los números de revisión del dominio. Sólo hay que asegurarse de que los switches nuevos que se agregen al dominio VTP tengan números de revisión más bajos que los que están configurados en la red. Si no fuese así, bastaría con eliminar el nombre del dominio del switch que se agrega. Esa operación vuelve a poner a cero su contador de revisión.

El VTP sólo aprende sobre las VLAN de rango normal (ID de VLAN 1 a 1005). Las VLAN de rango extendido (ID mayor a 1005) no son admitidas por el VTP. El VTP guarda las configuraciones de la VLAN en la base de datos de la VLAN, denominada vlan.dat.

http://es.wikipedia.org/wiki/VLAN_Trunking_Protocol  
http://es.wikipedia.org/wiki/Trunking_(red)

BroadCast

·         Que es un Broadcast

•             Que es un Broadcast

Broadcast, difusión en español, es una forma de transmisión de información donde un nodo emisor envía información a una multitud de nodos receptores de manera simultánea, sin necesidad de reproducir la misma transmisión nodo por nodo.

https://es.wikipedia.org/wiki/Broadcast_(inform%C3%A1tica)

·         Cómo se Controlan los Dominios de Broadcast.

Un dominio de broadcast es cuando todas las computadoras que estan en un segmento de red pueden ver y recibir la información de las demás.

 Por ejemplo, si tienes un hub o un switch mantienen un mismo segmento de broadcast, pues todas las computadoras ven la misma informacion. Si tienes un router, entonces divides el dominio de broadcast pues el router separa las redes.

 Un dominio de colisión es area que se ve afectada cuando ocurre una colisión o "error" en la red.

 Si tienes un hub todos los segmentos tienen el mismo dominio de colisión. Si se produce una colision todos los segmentos se verán afectados.

 Si tienes un switch o un puente, entonces estás separando los dominios de colisión, pues el switch puede separar la información de cada red, entonces si se produce una colisión solo afecta a los dispositivos del mismo segmento.

 

En Resumen.

 Dominio de colisión: hub = 1 solo dominio, switch y routers lo dividen.

 dominio de broadcast: hub y switch= 1 solo dominio. Con el router lo divides

 

http://iespicasso-1asir-par.wikispaces.com/dominios+de+colision

 

http://mx.answers.yahoo.com/question/index?qid=20061118114659AAZsUje

Configuración de Interfaces.

 

Configurar las interfaces del router Cisco.

Paso 1:

Configure la interfaz Fa0/0 del router con la última dirección disponible de la segunda subred. (Subred 1 en la tabla de direcciones).
Router1(config)# interface fa0/0 Router1(config-if)# description Connection to Host1 with crossover cable Router1(config-if)# ip address máscara de la dirección Router1(config-if)# no shutdownRouter1(config-if)# end Router1#Look for the interface to become active: *Mar 24 19:58:59.602: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Paso 2:

Configure la interfaz Fa0/1 del router con la última dirección disponible de la tercera subred. (Subred 2 en la tabla de direcciones). Router1(config)# interface fa0/1 Router1(config-if)# description Connection to switch with straight-through cable Router1(config-if)# ip addressmáscara de la direcciónRouter1(config-if)# no shutdown Router1(config-if)# end Router1#Look for the interface to become active: *Mar 24 19:58:59,602: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
Paso 3: Configure la computadora host.

Configure la computadora host para conectividad LAN. Recuerde que para acceder a la ventana de configuración LAN hay que hacer clic en la PC en la ficha Escritorio y luego en Configuraciones IP. Complete los siguientes campos:
Dirección IP: La primera dirección host en la segunda subred. (Subred 1 en la tabla de direcciones).
Máscara de subred: La máscara de subred
Gateway predeterminado: La dirección IP FastEthernet 0/0 en el Router1

Paso 4: Verifique la conectividad de la red.

Use el comando ping para verificar la conectividad de la red con el router. Si las respuestas del ping no son exitosas, siga una resolución de problemas de la conexión:
¿Qué comando IOS de Cisco puede usarse para verificar el estado de la interfaz? Show ip Interface brief¿Qué comando de Windows se puede utilizar para verificar la configuración de la computadora host? Ipconfig¿Cuál es el cable LAN correcto para conectar el host1 y el Router1?Conexio creuada.

 

CONFIGURAR INTERFACES SERIAL COMO DTE.

RouterPrueba> enable
RouterPrueba# config terminal
RouterPrueba(config)# interface serial 0/0 * (ingresa al Submodo de Configuración de Interfaz)
RouterPrueba(config-if)# ip address 10.0.0.1 255.0.0.0 (configura la IP en la interfaz)
RouterPrueba(config-if)# no shutdown (levanta la interfaz)
RouterPrueba(config-if)# description red (asigna un nombre a la interfaz)
RouterPrueba(config-if)# exit
RouterPrueba(config)#

* Tener en cuenta que el número de interfaz puede ser 0, 1, 0/0, 0/1, etc. Esto varía según el router.

CONFIGURAR INTERFACES SERIAL COMO DCE

RouterPrueba> enable
RouterPrueba# config terminal
RouterPrueba(config)# interface serial 0/1 * (ingresa al Submodo de Configuración de Interfaz)
RouterPrueba(config-if)# ip address 10.0.0.2 255.0.0.0 (configura la IP en la interfaz)
RouterPrueba(config-if)# clock rate 56000 (configura la sincronización entre los enlaces)
RouterPrueba(config-if)# no shutdown (levanta la interfaz)
RouterPrueba(config-if)# description red (asigna un nombre a la interfaz)
RouterPrueba(config-if)# exit
RouterPrueba(config)#

* Tener en cuenta que el número de interfaz puede ser 0, 1, 0/0, 0/1, etc. Esto varía según el router.

 

Configuracion de interfaz de switch.

Para la configuración inicial del Switch se utiliza el puerto de consola conectado a un cable transpuesto o de consola y un adaptador RJ-45 a DB-9 para conectarse al puerto COM1 del ordenador. Este debe tener instalado un software de emulación de terminal, como el HyperTerminal.

Los parámetros de configuración son los siguientes:

El puerto COM adecuado

9600 baudios• 8 bits de datos• Sin paridad• 1 bit de parada• Sin control de flujo Asignación de nombre y contraseñas

Switch>enable

Switch#configure terminal

Switch(config)#hostname SW_MADRID

SW_MADRID(config)#enable password [nombre de la enable pass]

SW_MADRID(config)#enable secret [nombre de la enable secret]

SW_MADRID(config)#line console 0

SW_MADRID(config-line)#login

SW_MADRID(config-line)#password [nombre de la pass de consola]

SW_MADRID(config)#line vty 0 4

SW_MADRID(config-line)#login

SW_MADRID(config-line)#password [nombre de la pass de telnet]

En un switch 2950:

SW_2950(config-vlan)#ip address [direccion ip + mascara]

SW_2950(config-vlan)#no shutdown

Si el switch necesita enviar información a una red diferente a la de administración se debe configurar un gateway:

Eliminacion de la configuracion de la NVRAM:

A pesar de eliminar la configuración de la NVRAM las VLANS no se eliminan debido a que se guardan en un archivo en la memoriua flash llamado VLAN.dat.

En un switch 1900:

SW_1900(config)#ip default-gateway[IP de gateway]
Eliminacion de la configuracion de la NVRAM:
El switch 1900 no admite sesión de telnet.
Switch(config-if)#speed [10 | 100 | auto]
Switch(config-if)#duplex [full | half | auto]
Switch(config)#interface FastEthernet 0/1
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security
La cantidad posibles de direcciones MAC asociadas al puerto tiene un valor comprendido entre 1 y 132, el comando switchport port-security maximun permite establecer la cantidad máxima permitida.
El ejemplo ilustra la configuración de un puerto con 10 direcciones MAC máximas posibles.
Switch(config)#interface FastEthernet 0/1
Switch(config-if)#switchport port-security maximum 10
Switch(config-if)#switchport port-security maximum 10
[protect|restrict|shutdown]

La asignación de un nombre exclusivo al Switch y las contraseñas correspondientes se realiza en el modo de configuración global, mediante los siguientes comandos:

Asignación de dirección IP

Para configurar la dirección IP a un switch se debe hacer sobre una interfaz de vlan. Por defecto la VLAN 1 es vlan nativa del switch, al asignar un direccionamiento a la interfaz vlan 1 se podrá administrar el dispositivo vía telnet. Si se configura otra interfaz de vlan automáticamente queda anulada la anterior configuración pues solo admite una sola interfaz de vlan.

SW_2950(config)#interface vlan 1

SW_2950(config)#ip default-gateway[IP de gateway]

Switch#erase startup-config

Erasing the nvram filesystem will remove all files! Continue? [confirm]

Erase of nvram: complete

 

SW_1900(config)#ip address [direccion ip + mascara]

Switch#delete nvram

Configuración de puertos:

Switch(config)#interface FastEthernet 0/1

Seguridad de puertos:

El comando switchport port-security permite asociar la primera dirección MAC a dicho puerto:

En el caso de que se detecte algún intento de violación del puerto se puede ejecutar el siguiente comando, haciendo que el puerto quede automáticamente cerrado:

Switch(config-if)#switchport port-security violation

http://www.buenastareas.com/ensayos/Configuraci%C3%B3n-B%C3%A1sica-De-Dispositivos-De-Red/3917992.html

http://es.scribd.com/doc/55690568/b-Configuracion-Basica-de-Dispositivos-de-Red

Configuraciones de un Router Cisco en IOS

Configuracion de Router.

Configuración Básica de un Router Cisco. Introduce aspectos como la Consola o los distintos modos de un Router Cisco, y muestra como configurar el nombre del Router, la Fecha y Hora del Router, como establecer las contraseñas, como configurar un interfaz de un Router, el comando Show, los comandos Ping y Telnet, como establecer la portada o banner de un Router Cisco, etc. No se incluye información para realizar configuraciones complejas de Routers Cisco, pues el nivel de este artículo es introductorio para realizar una Configuración Básica de un Router Cisco y conocer algo el IOS.

Definicion / Concepto Encriptación.

Encriptacion.

Encriptar es una manera de codificar la información para protegerla frente a terceros.

Por lo tanto la encriptación informática sería la codificación la información de archivos o de un correo electrónico para que no pueda ser descifrado en caso de ser interceptado por alguien mientras esta información viaja por la red.

Es por medio de la encriptación informática como se codifican los datos. Solamente a través de un software de descodificación que conoce el autor de estos documentos encriptados es como se puede volver a decodificar la información.

Por lo que la encriptación informática es simplemente la codificación de la información que vamos a enviar a través de la red (Internet). Para poder descodificarla como dijimos es necesario un software o una clave que sólo conocen el emisor y el receptor de esta información.

La encriptación de la informática se hace cada vez más necesaria debido al aumento de los robos de claves de tarjetas de crédito, número de cuentas corrientes, y en general toda la información que viaja por la red, etc.

Todo esto ha fomentado que se quiera conseguir una mayor seguridad en la transmisión de la información sobre todo a través de Internet. Es por ello que las últimas versiones de los navegadores de Internet ya usan sistemas automáticos de encriptación de datos para que sea más difícil para los hackers robarlos.

 Visualización de Contraseñas de Encriptación.

Existe otro comando de utilidad que impide que las contraseñas aparezcan como texto sin cifrarcuando se visualizan los archivos de configuración. Este comando es el service passwordencryption. Este comando provee la encriptación de lacontraseña cuando está se configura.Demás, aplica una encriptación débil a todas las contraseñas no encriptadas. Esta encriptación nose aplica a las contraseñas cuando se envían a través de medios únicamente en la configuración.

Ejmplo.

Function encripta(Cadena)
Local I,Llave,Salida, Cad
*Invertimos Cadena
Cad=''
Cadena=Alltrim(Cadena)
For i=Len(Cadena) to 1 Step -1
Cad=Cad+Substr(Cadena,I,1)
EndFor
Cadena=Cad
Salida=''
Llave = 5 && 5 es mi llave de acceso y no de ser cambiada si se desea que esta misma desencripte la cadena
&& o bajo ninguna circunstancia se podrán recuperar
&& las cadenas Dadas con esta llave
For I=1 to Len(Cadena)
Car=Asc(Substr(Cadena,I,1))
Num=Chr(Bitxor(Car,5))
Salida=Salida + Num
Endfor
Return Salida 

Diferentes tipos de contraseñas Reglas para crear una buena contraseña.

Contraseña de Consola.

El puerto de consola de un dispositivo Cisco IOS tiene privilegios especiales. El puertode consola de dispositivos de red debe estar asegurado, como mínimo, mediante elpedido de una contraseña segura al usuario. Así se reducen las posibilidades de quepersonal no autorizado conecte físicamente un cable al dispositivo y obtenga acceso aéste.Los siguientes comandos se usan en el modo de configuración global para estableceruna contraseña para la línea de consola:Switch(config)#line console 0 Switch(config-line)#password password Switch(config-line)#loginDesde el modo de configuración global, se usa el comando line console 0 paraingresar al modo de configuración de línea para la consola. El cero se utiliza pararepresentar la primera (y, en la mayoría de los casos, la única) interfaz de consolapara un router.El segundo comando, password especifica una contraseña en una línea.El comando login configura al router para que pida la autenticación al iniciar sesión. Cuando el login está habilitado y se ha configurado una contraseña, habrá una petición de entrada de una contraseña. Una vez que se han ejecutado estos tres comandos, aparecerá una petición de entrada de contraseña cada vez que un usuario intente obtener acceso al puerto

De consola.

Contraseña de enable y Contraseña enable secret.

Para proporcionar una mayor seguridad, utilice el comando enable password o el comando enable secret. Puede usarse cualquiera de estos comandos para establecerla autenticación antes de acceder al modo EXEC privilegiado (enable).Si es posible, use siempre el comando enable secret, no el comando anterior enablepassword. El comando enable secret provee mayor seguridad porque la contraseña.

Contraseña de VTY.

Limita el acceso de los dispositivos que utilizan Telnet. Los siguientes comandos se usan paraconfigurar una contraseña en líneas VTY:Router (config) #line vty 0 4Router (config-line) #password contraseñaRouter (config-line) #login