Resumen de CCDA

7/25/2019 Resumen de CCDA

1/110

Resumen de CCDA

Capitulo 1Los generadores de nuevos arquitecturas de red son: Crecimiento de las aplicaciones Evolucin de IT de conectividad bsica a sistemas inteligentes. Incremento de las expectativas para las redes.

IIN (Inteligent information Network)Este Framewor es una visin ! una arquitectura que agrega

inteligencia a las redes. "e implementa por #ases para integrar la redcon aplicaciones$ middleware$ servidores ! servicios.La idea es tener un %nico sistema integrado para extenderinteligencia a trav&s de m%ltiples capas para mas cercanamenteenla'ar la red con el resto de la in#raestructura de TI. (l darleinteligencia a la red permite que participe activamente en la entregade servicios ! aplicaciones. Alinear los recursos de TI con lasprioridades de negocio.

Las capacidades de IIN son:

Un sistema integrado: La red se integra con aplicaciones$middleware ! servicios.

Participacin activa: )ermite a la red administrar$ monitorear! optimi'ar la entrega de aplicaciones ! servicios.

Aplicacin de polticas: La red aplica pol*ticas enla'ando losprocesos de negocio con reglas de red.

II+ consiste de , #ases: Transporte Integrado: Envuelve la convergencia de vo'$

video ! datos en una %nica red de transporte. Servicios Integrados: Enla'a elementos comunes como

storage ! data center server capacit!. Las tecnolog*as devirtuali'acin permiten la integracin de servidores$almacenamiento ! elementos de red.

Aplicaciones Integradas: La red se vuelve consitente con lasaplicaciones. La red puede optimi'ar el desempe-o de lasaplicaciones integrando el maneo de mensaes de aplicacin$optimi'acin de aplicaciones ! seguridad de aplicaciones.(pplication/0riented +etworing 1(0+2.


2/110

IIN= 3 fases (transporte|servicios|aplicaciones) integradas.

SONA (ServiceOriented Network Arc!itecture)Es un #ramewor de arquitectura que gua en la evolucin de lasredes empresariales hacia IIN para soportar nuevasestrategias de TI. Con "0+( servicios ! aplicaciones distribuidasson administrados centrali'adamente sobre una plata#orma com%n !uni3cada.Las redes "0+( estn basadas en un dise-o de , capas: Capa de infraestructura de red: Contiene la arquitectura de

red de Cisco 14outers ! switc5es2 ! #acilita el transporte deservicios a trav&s de la red. Tambi&n inclu!e servidores$almacenamiento ! clientes. 6eora la con3abilidad ! laseguridad

Capa de integracin de servicios: 0ptimi'a la comunicacin

entre aplicaciones ! servicios utili'ando #unciones de redinteligente como seguridad$ identidad$ vo'$ virtuali'acin ! 7o".Los servicios prove*dos por esta capa caen en dos categor*as:

o 8 "ervicios de In#raestructura: "ervicios de Identidad: ((($ +(C ! +9(4. "ervicios de movilidad: )+. Servicios almacenamiento: 6eorar el

almacenamiento. Servicios de computacin: ;tili'ar maquinas

virtuales para escalar la cantidad de servidores de

la red. Servicios de seguridad: "eguridad para 4ed$servidores ! usuarios. I


3/110

+isponi"ilidad:9rinda los servicios desde cualquier sitio en laempresa ! en cualquier momento. La red se constru!e conredundancia para evitar las caidas.

+esempe,o:9rinda rpidas tiempos de respuesta ! anc5o debanda con 7o" por aplicacin. La red se con3gurara para

maximi'ar el desempe-o de las aplicaciones criticas. Administracin:9rinda administracin de la con3guracin.

6onitoreo del desempe-o ! deteccin de #allas. *-ciencia:9rinda los servicios de red con costos de operacin

ra'onables e inversin de capital sensible.

"ases #reparar$ #lanear$ Dise%ar$ Implementar$ Operar &Optimi'ar (##DIOO)

"on 8 #ases que brindan ? bene3cios: 9aa el TC0 validando los requerimientos tecnolgicos

planeando los cambios de in#raestructura ! requerimientos derecursos.

Incrementa la disponibilidad de la red produciendo un buendise-o de red ! validando la operacin de la red.

6eora la agilidad del negocio estableciendo los requerimientosde negocio ! estrategias tecnolgicas.

6eora el acceso a aplicaciones ! servicios brindandodisponibilidad$ con3abilidad$ seguridad$ escalabilidad !desempe-o.

Fase Preparar

)acti"ilidad ! re.uerimientos de negocio ! organiacin&facti"ilidad/re.uerimientos( &negocio/organiacin(

Establece los reqeri!ientos de negocio " organi#aci$n.


4/110

Fase de %ise&o

*l dise,o de la red se realia "asado en los re.uerimientost1cnicos ! de negocio o"tenidos de las fases previas0El dise-o provee alta disponibilidad$ con3abilidad$ seguridad$escalabilidad ! desempe-o."e crean los diagramas de red ! una lista de equipamiento.El plan de pro!ecto es actuali'ado con in#ormacin mas granular paraimplementacin.(penas se aprueba inicia la implementacin.

Fase de I!ple!entaci$n

El eqipo nevo es instalado " configrado en esta fase.

+uevos equipos reempla'an o aumentan la in#raestructura existente.El plan de pro!ecto se sigue durante esta #ase.

Cambios planeados en la red deben ser comunicados en reuniones decontrol de cambios$ con las aprobaciones necesarias para proceder.Cada paso en la implementacin debe incluir una descripcin$ gu*asde instalacin detalladas$ tiempo estimado de implementacin$ pasospara rollbac e in#ormacin de re#erencia.Con#orme los cambios son implementados deben irse probando antesde 5incar la operacin.

Fase de operaci$n

"ervicios de +0C

6antiene la red operando d*a a d*a.La operacin inclu!e: (dministracin. 6onitoreo. 6antenimiento del enrutamiento. (dministracin de las actuali'aciones. (dministracin del desempe-o. Identi3car ! corregir #allas.

Fase de opti!i#aci$n

Involucra la administracin proactiva de la red identi3cando !resolviendo problemas antes de que a#ecten la red.)uede proveer un dise-o de red modi3cado$ para meorar eldesempe-o o para resolver problemas con aplicaciones$ lo queimplica que el ciclo vuelva a iniciar.

etodologa de dise%o *a+o ##DIOO

3 Fases (reqeri!ientos' carateri#ar la red' dise&o detopologa)

Tiene , #ases para las , primeras de ))


5/110

A. Identi-car los re.uerimientos de red: Los tomadores dedecisiones identi3can requerimientos ! una arquitecturaconceptual se propone. Fase )reparar. Los pasos son:

a. Identi3car las aplicaciones ! servicios de red.b.


6/110

Los dise-os de red son probados utili'ando una red piloto oprototipo antes de poner todo en produccin.

a. 51todo Top6+o7n: Inicia el dise-o por la capa superior! se trabaa 5acia abao. (dapta la red ! la in#raestructura#*sica a las necesidades de las aplicaciones de red. Los

equipos de red ! las tecnolog*as se seleccionan 5astanecesidades de las aplicaciones son anali'adas. Tomar encuenta el dise-o de los servicios 17o"$ "eguridad$multicast2 que debe brindar la in#raestructura ! el dise-ode la in#raestructura 1equipos$ direcciones I)$ protocolos2.

b. Prue"as Piloto ! Prototipo: ;n prototipo permiteprobar en un ambiente aislado el dise-o$ sin necesidad deconectarlo a la red. ;n piloto es una prueba en vivo paraprobar si #unciona un sitio de prueba antes deimplementarlo en toda la red. "i se detectan #allas secorrige el dise-o ! se vuelve a probar de nuevo.

c. +ocumento de dise,o1)(4TE"2: El documento debecontener las siguientes secciones:

i. Introduccin:


7/110

Instant messaging. ;ni3ed messaging. I)CC. 6eeting )lace. ideo


8/110

+o es necesario implementar todas las capas en di#erentes equipos#*sicos."e puede implementar cada capa en uno o mas equipos o en un soloc5asis 1?$ 8$ H8$ etc24edes peque-as pueden meter varias capas en un %nico equipo.

apa de ore

Es el bacbone de switc5ing a alta de velocidad. Transporte rpido. (lta disponibilidad 4edundancia Tolerancia a #allas. 9aa latencia ! buena administracin. Evita la manipulacin lenta de paquetes causanda por 3ltros o

otros procesos.


9/110

Limitacin de velocidad 14ate Limiting2 (4) inspection (CL "panning tree Trust Classi3cation )oE ! vlan auxiliar! para oI).

odelo de ar.uitectura de Cisco empresarialConsiste de 8 mdulos para #acilitar el dise-o de redes mas grandes !escalables$ se basa en "0+(:

A. Enterprise Campus 6oduleB. Enterprise Edge 6odule,. Enterprise (+ 6odule

?. Enterprise


10/110

a. Impresin.b. (plicaciones.c. Correo.d.


11/110

. ireless

,odlo /ervice Provider (/P) Edge

Consiste de servicios como: "ervicios de Internet "ervicios )"T+ "ervicios (+

,$dlos 0e!otos

Consiste de: *nterprise =ranch: Consiste de o3cinas remotas ! o3cinas de

ventas *nterprise +ata Center: 9rinda


12/110

miembros de @L9) se comunican por medio de ladireccin I) multicast BB?...AB utili'ando elpuerto ;ow. (dicionalmente sepuede incrementar la disponibilidad por medio de rutas

redundantes en #ull mes5 1n 1n/A2=B2 o partial mes5 1cadarouter con al menos dos enlaces a di#erentes routers2. 8edundancia de medio en la capa de acceso: "e

pueden con3gurar enlaces de respaldo que se activen enel momento cuando el enlace primario #alla o secongestiona. ( nivel L(+ los switc5es pueden contar conenlaces secundarios que "T) vuelve inactivos para evitarloops. "e recomienda que los enlaces de respaldo utilicentecnolog*as di#erentes ! con3gurar la distanciaadministrativa para seleccionar un enlace sobre otro.)ermite baar costos.

? Tipos de redundancia:A. Estacion de trabao contra router: (ca entra D"4)$ @L9)$

IC6)$ etcB. ( nivel de servidor: 4(I< ! cluster,. ( nivel de router: Full mes5 ! )artial mes5 con )rotocolos de

ruteo.?. ( nivel de medio: Enlaces de bacup

Capitulo /

0nterprise AN Design

0eglas de dise&o Et1ernet

El mximo tiempo de propagacin en un red A9T es de .AB msmientras que en A9T es de A.B ms.En A9T se aplica la regla $?$,.El largo mximo de un segmento en A ! A 9T es de Ametros.Abt solo dos repetidores$ la regla general indica que mximo Bmetros. "i se usa un repetidor clase I 1$H ms2 solo uno se permite$mientras que un Clase II 1$?8 ms2 se permite 5asta dos.


13/110

24,+P/ FE %esign rles 5*.3

I***>?@0%u! utili'a las mismas caracteristicas que A9T a nivel deC"6(=C< ! corre sobre ;T) cat ,$?$Existen varias especi3caciones: ??=AS*6TB )ast *thernet: ;tili'a ;T) Cat $ utili'a dos

pares$ conector 4O?$ codi3cacin ?99$ Es el mas utili'ado. ??=AS*6t )ast *thernet: ;tili'a ;T) cat ,$ utili'a los ?

pares$ no #ull duplex$ codi3cacin P98T. ??=AS*6)B )ast *thernet: utili'a 3bra optica multimodo o

monomodo$ #unciona sobre grandes distancias$ codi3cacin?99.

6igabit Et1ernet %esign 0les 5*.3ab

;tili'a el mismo #ormato ! tama-o de trama$ asi como C"6(=C


14/110

de enlaces Fast Et5ernet o @iga Et5ernet$ para crear un %nico caminovirtual.

/e pede configrar en n trn7 " per!ite agrpar 1asta 5pertos.

*l re.uerimiento es .ue todos los enlaces sean de la mismavelocidad' duple2 ! pertenecan a la misma vlan0

L8N 9ardare

8epetidores: "e utili'an para conectar segmentos separados$tomando la trama entrante$ regenerando el prembulo$ampli3cando la se-al ! enviando la trama por todas susinter#ases. "on equipos capa uno$ por lo que no contralanbroadcast o dominio de colisiones. ;tili'an la reglan $?$,.

3u": "e crearon para concentrar redes en un cuarto de

cableado. Trabaan igual que los repetidores pero con maspuertos.

=ridges: Trabaan en capa B$ protegen los dominios decolisiones. (prenden las direcciones 6(C de todos los nodosconectados en cada segmento ! en cual inter#ase estanconectados. "olo envia una trama si el destino se encuentra enotro de sus puertos. Trabaan 5aciendo store and #orward !antes de enviar una trama revisan el C4C. (s* mismoimplementan "T) para eviar loops. La prioridad del bridge va de a 8, siendo la ma!or. 9I< K )rioridad N 6(C.

S7itches: 9uscan reducir la latencia$ utili'an cut/t5roug5 enlugar de store and #orward. Cada )uerto es un dominio decolisiones di#erentes pero es parte de mismo dominio debroadcast$ asi mismo proveen anc5o de banda total en #ullduplex.

8outers: Controlan los dominios de colisiones ! son un dominiode broadcast en cada )uerto.

Da!er % S7itches: Cada )uerto es un dominio de colisiones !permite agrupar puertos en di#erentes dominios de broadcast

L8N %esign ;"pes and ,odelsLas redes L(+ pueden cali3carse en: Darge6=uilding DAN: Contiene un gran data center con acceso

alta velocidad ! closets de comunicacin por piso. 4equiereredundancia.

Campus DAN: 9rinda conectividad entre edi3cios de uncampus. 4equiere redundancia.

Small and 8emote DAN: 9rindan conectividad para o3cinasremotas con un relativo numero de nodos.

Los #actores de dise-o de un Campus inclu!en los siguientes: Caracter*sticas de las aplicaciones de red. Caracter*sticas de los equipos de in#raestructura.


15/110

Caracter*sticas ambientales.

3ipos de aplicaciones )unto/a/)unto: 6"+$ Compartir arc5ivos$ Telonos I) ! video

con#erencia. Cliente con servidores locales: "ervidores que estn en el

mismo segmento que el cliente o cerca. Cliente con granas de servidores: Correo$ servidor de arc5ivos !

base de datos. Cliente con servidores empresariales de borde: "ervidores

externos como "6T)$ web$ servidores p%blicos ! e/commerce.

e+ores pr-cticas para la capa de acceso

Tomar en cuenta el n%mero de usuarios ! puertos requeridos. elocidad de conexin para cada 5ost. Las vlans planeadas entran en el dise-o.


16/110

"umari'ar rutas de la distribucin para el C04E para reducir lasobrecarga de enrutamiento.

e+ores practicas para el COR0


17/110

/!all and 0e!ote /ite L8N

;sualmente se conectan a la red corporativa a trav&s de un enrutadorpeque-o.El servicio L(+ lo brinda un peque-o "witc5."e puede colocar un servidor para brindar


18/110

*l tra-co IP enviado por el tel1fono con un CoS &D@( de E ! unD% ToS de E' tam"i1n el tel1fono puede reclasi-car los datosde la PC con un CoSFToS de ?0 Con +SCP &+iGerentiatedServices Code Point(' el tra-co es con-gurado para *2pedited)or7arding &*)(0

onsideraciones para ;rafico ,lticast

I@6) 1Internet @roup 6anagement )rotocol2 es el protocolo entre lasestaciones 3nales ! el switc5 L, local. Los 5ost I) utili'an I@6) parareportar su membres*a de grupo multicast a los enrutadores. Losmensaes multicast utili'an el protocolo I) numero B. Estos mensaesno son ruteables.I@6) soporta source/speci3c multicast 1""62Existen dos opciones para evitar que 5ost que no participan delmulticast sean inundados de tra3co que no desea:

CH5P: Cisco @roup 6anagement )rotocol$ #ue creado paracontrolar multicast a nivel de capa B !a que un "witc5 no se dacuenta de los mensaes capa , de I@6). Este protocolo permiteal "witc5 5ablar con el 4outer I@6) ! encontrar las direcciones6(C que desean recibir los paquetes multicast. Tambien puedeentender los mensaes de leave de I@6) vB ! des5abilitarmulticast en el puerto.

IH5P snooping: )uede ser utili'ado en ve' de C@6). Con este#eature$ los switc5es escuc5an los mensaes entre el 5ost ! losenrutadores. "i un 5ost envia una solicitud de I@6) alenrutador$ el "witc5 agrega el 5ost al grupo de multicast !

permite que ese puerto reciba tra3co multicast. "e retira elpuerto cuando se recibe un mensae de leave. )uede impactarel C); del "witc5 debido a que debe escuc5ar todos losmensaes de control de I@6).

Capitulo 5 6ireless AN DesignEl primer estndar #ue publicado en AH #ue la IEEE ! el que seactualmente es la revisin de A.El IEEE PB.AA implementaba redes wireless a velocidades de A 6bps

utili'ando en la capa 3sica:


19/110

AA canales de las #recuencias Industrial' Scienti-c and5edical1I"62

;tili'a L8N La"er * 8ccess ,et1od

El control de (cceso al medio 16(C2 de PB.AA implementa C"6(=C($donde cada estacin de wireless escuc5a para detectar si otraestacin esta transmitiendo$ si no 5a! actividad$ la estacintransmite. "i 5a! actividad$ la estacin utili'a un contador aleatorioque al expirar$ la computadora transmitir.


20/110

/egridad >L8N

Los primeros esquemas de seguridad como E) #ueros rpidamentecraceados. )or lo que en Ounio B? sali el PB.AAi que brinda i/Fi)rotected (ccess B 1)(B2 que tiene las siguientes caracter*sticas:

PB.Ax para autenticacin con E(). 4obust "ecurit! +etwor 14"+2 para tener un rastro de las

asociaciones. (dvanced Encr!ption "tandard 1(E"2 para con3dencialidad$

integridad ! autenticacin de origen.

Acceso no autori'ado;na solucin para denegar el acceso a una red wireless es utili'arE)$ pero presenta problemas de seguridad$ pues !a 5a sidocraceado. (s* mismo se podr*a utili'ar autenticacin por 6(C

address$ pero es #cil reali'ar un robo de la direccin 6(C ! con estoconseguir acceso a la red.

0nfo.ue de dise%o de seguridad en redes 6AN9rinda dos en#oques basado en que todos los equipos se van aconectar a la misma red I) ! van a acceder a casi todos los serviciosbrindados en la red cableada:

;tili'ar LE() para asegurar la autenticacin. ;tili'ar )+ con I)"ec para asegurar el tr3co de la red

inalmbrica a la red cableada.

)ara tener un buen nivel de seguridad$ se puede implementar una redwireless con )+ sobre I)"ec$ utili'ando IEEE PB.Ax/BA ! llavesdinmicas E).

I000 789:1;9881 Autenticacion *asada en el puertoEs un estndar de autenticacin para redes L(+$ que permiteautenticar a un usuario antes de permitirle acceso a la red.Con PB.Ax$ las maquinas cliente corren un so#tware para solicitaracceso a los servicios. )ara esto utili'an E() para comunicarse con elswitc5$ el cual veri3ca la in#ormacin del cliente con el servidor deautenticacin 4(?@020No soporta #TP' por lo .ue re.uire "uenas pr4cticas de

mane9o de pass7ords0


21/110

Controlando el acceso 6AN a los servidoresLos sevidores de 4(


22/110

6A##Lig5tweig5t (ccess )oint )rotocol 1L())2 es un dra#t de la IETF paracontrol de mensaer*a de con3guracin$ autenticacin ! operacinentre () ! LC.Con la operacin ;+ "plit/6(C$ los mensaes de control ! datos sondivididos. L()) () se comunican con el LC utili'ando mensaes decontrol sobre la red cableada mientras que los mensaes de datos sonencapsulados ! enviados a los clientes wireless. ;n LC administramultiples ()$ brindando in#ormacin de con3guracin !actuali'aciones de 3rmware."plit/6(C K (rc5itecture$ w5ere t5e processing o# PB.AA data andmanagement protocols and access point capabilities is distributedbetween a lig5tweig5t access point and a centrali'ed L(+ controller

1Figure A2. 6ore speci3call!$ time/sensitive activities$ suc5 as beacon5andling$ 5ands5aes wit5 clients$ media access control 16(C2 la!erencr!ption$ and 4F monitoring$ are 5andled in t5e access point. (llot5er #unctions are 5andled in t5e L(+ controller$ w5eres!stemwide visibilit! is required. T5is includes PB.AA managementprotocol$ #rame translation$ and bridging #unctions$ as well ass!stemwide policies #or user mobilit!$ securit!$ 7o"$ and$ per5apsmost importantl!$ real/time 4F management.Las #unciones de 6(C L() son:

PB.AA: 9eacons$ probe response. PB.AA Control: (CR de paquetes ! transmisin. PB.AAe: Encolamiento de tramas ! prioriti'acin de paquetes. PB.AAi: Encripcin ! desencripcin de datos.

Las #unciones de 6(C del Controlador: PB.AA 6(C 6anagement: "olicitudes de asociacin ! acciones. PB.AAe 4esource 4eservation: )ara guardar recursos para

aplicaciones especi3cas. PB.AAi: (dministracin de llaves ! autenticacin.

En el dra#t de L())$ los mensaes de control pueden sertransmitidos sobre tuneles LB o L,. La desventaa de LB 1CdigoEt5ernet x99992 es que el LC debe estar en la misma subnet del(). Con L, los () requieren una direccin I) pero el LC puede estaren una subnet di#erente.Dos mensa9es de control de


23/110

,odos de operaci$n de los 8P L>8PP

Local 6ode 4E() 6ode 6onitor 6ode 4ogue detector 6ode "nier 6ode 9ridge 6ode.

Los () L()) tienen 8 modos de operacin: Local mode:

o El modo por de#ecto.o Cada AP segundos el () env*a 8 ms en los canales que

no opera.o


24/110

o "e soporta )B) 9ridging$ )Bmultipoint bridging$ )B)wireless (ccess con bac5aul wireless integrado !)B6ultipoint wireless (ccess con bac5aul wirelessintegrado.


25/110

L>8PP %iscover"

Cuando se coloca un () en la red$ primero solicita una direccin I) por


26/110

Facil de usar a nivel de usuario. Equipos de in#raestructura L(+ soportados.

Las opciones de autenticacin son las siguientes: E()/TL" 1E()/Transport La!er "ecurit!2

o ersion IETF$ estandaro 9ien soportado por los vendedores de wirelesso )oco implementado.o Utilia PJIpara asegurar las comunicaciones con el

servidor 4(


27/110

Interfaces: ;na inter#a' del L(+ es una conexin lgica quese mapea con una vlan en lar red. Cada inter#a' se mapea conuna %nica direccin I)$ @atewa!$ puertos #*sicos$ tag de vlan !servidor de


28/110

0oa!ing and ,obilit" 6rops

La ra'n principal para tener wireless es la capidad de acceder a losrecursos de red desde areas comunes ! lugares de di#*cil accesomediante cable de red.6obilt! permite el acceso a la red desde di#erentes lugares.4oaming ocurre cuando un usuario cambia su asociacin de un (ccess)oint a otro$ el cual puede ser intercontrolado o intracontrolado.

Roaming IntracontroladoCuando un usuario cambia de un () a otro dentro del mismo LC.El LC actuali'a la 9< de cliente con la asociacin al nuevo () ! no lecambia la I) al cliente."i se requiere los clientes se reautenticaran ! se establecer unnuevo securit! association.La base de datos de clientes se mantendr dentro del mismo LC.

Roaming intercontrolado de Capa 90curre cuando un usuario cambia de un () a otro en di#erentes LC.El roam en LB ocurre cuando el tr3co del cliente es enviado en lamisma subred I) ! no 5a! cambio de direccin I) para el cliente.La 9< de cliente se mueve del LCA al LC B.El cliente es reautenticado ! un nuevo "( es establecido.

Roaming intercontrolado de Capa /0curre cuando un usuario cambia de un () a otro en di#erentes LC.

El tra3co es enviado en una di#erente subred I).Cuando el cliente se asocia con el ()B$ el LCB intercambia mensaesde mobilit! con el LCA.La 9< de cliente original no se intercambia$ en cambio el LCA marcael cliente con una entrada de ancla en su base datos. La base dedatos es copiada al LCB ! es marcado como entrada #ornea.El cliente wireless mantiene su direccin I) original ! esreautenticado."e establece un nuevo "(.El tra3co del cliente se enruta de una #orma asim&trica.El tr3co del cliente es enviado por el LC #orneo$ pero el tra3co

para el cliente llega al LC ancla$ que se encarga de reenviarlo atrav&s de un t%nel Et5ernet/in/I) 1Et5erI)2 al LC #orneo$ para quesea entregado al cliente.

Intracluster roaming$ The client entr! is updated on the same


29/110

in#ormacin v*a Et5erI)0 Dos grupos mviles soportan hasta @


30/110

8edundancia


31/110

0F /ite /rve"

)ermite determinar las reas de cobertura ! revisar la inter#erencia.Los pasos son los siguientes:

A. +e-nir los re.uerimientos del cliente: +iveles de servicio !soporte para oI).

B. Identi-car 4reas de co"ertura ! densidad de usuarios:Incluir tiempos de uso pico ! locali'ar salones de con#erencias.

,. +eterminar las localiaciones preliminares de AP:Electricidad$ conexin a la red cableada$ puntos de montae !antenas.

?. 8ealiar el Surve!: "e utili'a un () para anali'ar el area ! la#uer'a de la se-al 4F recibida en el lugar donde se deseacolocar el (). "e deben considerar los e#ectos de los equiposel&ctricos como ascensores ! microondas.

. +ocumentar los hallagos:


32/110

0eco!endaciones de %ise&o ,es1

Latencia t*pica por salto de B /, ms. )ara outdoor$ o menos saltoses los recomendado para

meor desempe-o. Un m42imo de > saltos es sopotado.

)ara indoor se soporta un %nico salto. @? 5AP por 8APes lo recomendable por desempe-o$ pero

hasta %@son soportados como mximo.

onsideraciones de dise&o en a!ps

+esign Item +escripcin+umero de ()s B dispositivos por ()

H oI) por () con @.HAAP oI) por () con @.HB

Colocar () Colocarlos en un lugar centrali'ado)oder de () "e pueden utili'ar #uentes de poder ! )oE+umero de LCs


33/110

)eature ?2? @ %? @%? @? %?? E??(utonomo=L())

L())

(mbos

(mbos (mbos

(mbos (mbos

L())

(ntena Externa "i +o +o "i "i "i "i0utdoor +o +o +o +o +o "i "i4E()=D4E() 4E() +o D/

4E()+o D/4E() +o "i


34/110

?&*rid R0A#Es una meora del 4E() ! brinda capacidades adicionales como +(T$ms opciones de seguridad ! la capacidad de controlar 5asta , ()remotamente.

Trabaa en dos modos de seguridad: "tandalone: D/4E() reali'a la autenticacin el mismo$ cuando el

LC no est disponible. Connected: El equipo utili'a al LC para la autenticacin de

clientes.

D/4E() es ms sensible a dela!$ por lo que el 4TT no debe excederlos Ams entre el () ! el LC.

Opciones de 6C para >ranc!

Cisco B8: "oporta 5asta 8 ()s. Cisco ??B/AB ! ??B/B: "oportan 5asta AB ! B ()s$

respectivamente. LC 6odule para I"4: "oporta 5asta 8. ,H con LC: "oporta 5asta B o dependiendo del modelo.


35/110

3ecnologas 6AN Capitulo @)untos importantes$ obetivos de dise-o$ ))8NLos mdulos bsicos son: Internet$


36/110

ISDN

Es una conexin de l*nea digital completa estandari'ado enAP.


37/110

"rame Rela&

Es un protocolo LB orientado a conexin. Las conexiones pueden ser )C o "C. ;na conexin )C entre dos enrutadores utili'a un data/lin

connection identi3er 1


38/110

Las etiquetas se pueden utili'ar para implementar TraVcEnginiering$ sobreescribiendo las tablas de enrutamiento.

6)L" puede correr sobre varias tecnolog*as LB como (T6$ F4$)0" ! Et5ernet.

Las etiquetas se pueden basar en parmetros como:o


39/110

6ireless

6obile ireless: Consiste de aplicaciones celulares ! telonosmobiles:

o @"6: trabaa a 8 bps.o @)4" 1@eneral pacet radio service2: velocidades de 8? a

ABP Rbps.o ;6T" 1;niversal 6obile Telecommunications "ervice2:

Conocido como ,@$ trabaa 5asta B6bps. ireless L(+: ;na ventaa de iFi es a5orro de tiempo ! dinero

evitando la instalacin de la capa #*sica. 9ridge ireless: Conectan dos redes wireless di#erentes$ por lo

general locali'adas en dos edi3cios di#erentes. )ermite altasvelocidades.

"i*ra oscura"e instalan en el suelo o donde los derec5os de paso son evidentes.)ara mantener la integridad ! el control del itter en largas distanciasse utili'an regeneradores de se-al. El #raming es determinado por laempresa$ no por el )roveedor de servicios$ aunque es el due-o ! lasempresas compran el servicio igual que una l*nea dedicada parautili'arlo en (+ ! 6(+. La con3abilidad debe ser dise-ada por laempresa.

Dense 6ave Division ultiple2ing (D6D)B

Incrementa las capacidades a nivel de 9 de la 3bra utili'andodi#erentes longitudes de onda llamadas canales sobre la misma 3bra.)ermite a varios equipos acceder a la red$ inclu!endo enrutadores I)$switc5es (T6 ! terminales "0+ET.

,etodologa de dise&o >8N

"e utili'a ))exible ! adaptable a tecnolog*as #uturassin limitar las opciones del cliente ! debe ser e#ectivo al costo.

3iempo de respuesta6ide el tiempo entre la solicitud del cliente ! la respuesta del servidor


40/110

3!roug!putEs la medida de los datos trans#eridos de un 5ost a otro en unacantidad de tiempo.

Confia*ilidad

Es la medida de la disponibilidad ! desempe-o de una aplicacin paralos usuarios.

onsideraciones 8nc1o de banda

(nc5o debanda

6enos de B6bps

B6bps5asta ?6bps

?6bps5astaA 6bps

A6bps5astaA@bps

Cobre "erial$ Iindos /i#e


41/110

o Priorit! ueuing &P(: Estable colas de interfasede salidaque sirven para di#erentes niveles de prioridad.)uede comerse otras colas$ si en una 5a! muc5os datos.

o Custom ueuing &C(: Utilia hasta K colasindividualsde salida. Limites con3gurables de tama-o

de b!tes se asignan a cada cola ! cuando se alcan'a estel*mite$ se procede con la siguiente cola. Es ms usto que)7 porque al menos permite que pase algo de cada cola$pero es considerado pasado de moda.

o


42/110

Capitulo : Dise%o 6AN

3ecnologas 6AN 3radicionales Circuit6S7itched: Las conexiones de datos se establecen

cuando se necesitan ! se desconectan cuando se 3nali'an.Eemplo: exibilidad para colocarla redundancia.

8emote6access Net7or +esign

La idea es brindar una solucin uni3cada que si el usuario estuvieraen el sitio.Es importante anali'ar la aplicacin$ los requerimientos de red ! lasopciones de los I").Los requerimientos t*picos son:

9est/eort interactive and low/volume traVc patterns. Conectividad al enterprise edge utili'ando tecnologias (+ de

LB "oporte de o' ! )+.

Existen dos opciones de conexiones de acceso remoto:A.


43/110

VPN Net7or design"e utili'an tipicamente sobre alguna in#raestructura compartida. Lasdi3cultades presentes son:

La conexin es best/eort Troubles5ooting es di#*cil

*2isten % tipos de VPN: Access VPN: 9rinda conexin a los usuarios sobre redes

compartidas como Internet a la intranet corporativa. Existendos opciones para iniciar las conexiones )+:

o Client Initiated VPN: )ermite a los usuarios estableceruna sesin I)"ec sobre la internet 5acia el equipocorporativo terminador de )+.

o NAS6Initiated VPN: El cliente primero conecta con el+(" ! luego este estable una )+ contra la redcoporativa.

Intranet VPN: Conocida como "ite to "ite$ brinda conexin)+ a o3cinas remotas 5acia las o3cinas centrales.@eneralmente las o3cinas remotas utili'an su enlace a Internetpara levantar la )+$ pero tambi&n puede ser dentro del9acbone de un I"). La principal ventaa es la reduccin de la#raestructura (+$ cargos (+ ! TC0.

*2tranet VPN: Conexin con partners de negocios$ tambi&n

utili'a Internet o una in#raestructura privada. +ecesita de unabuena pol*tica de acceso.

Overla& #NsSe constru!en utiliando tecnologas


44/110

>eneficios de las #NLos bene3cios ms grandes son:

Flexibilidad: Existen di#erentes opciones 1Intranet$ Extranet$(cceso 4emoto2 ! son #ciles de implementar

Costo: 4educen el TC0. Escalabilidad: @ran cobertura$ prcticamente que en cualquier

lugar con internet. "impli3can las operaciones (+: "e pueden implementar de

una manera consistente.

6AN >ackup Design"i el enlace es de baa velocidad ! tiene poca con3abilidad es un buencandidato para dise-os de respaldo (+.Las opciones son:

+ial =acup: I"otantes.

Secondor! ackup over t!e InternetEsta es otra opcin de respaldo$ pero no brinda garant*as de anc5o debanda.

Tambien requiere un gran entendimiento con el I")$ para establecerlos tuneles ! advertir a las redes corporativas internamente que esaso3cinas remotas 5an encontrado el destino I).Es necesario utili'ar


45/110

seguridad con @4E=I)"ec. La idea es tener un enlace primario con unal*nea dedicada ! un respaldo por Internet.

/ 3unneling*2isten dos m1todos:

Heneric 8outing *ncapsulation &H8*(:


46/110

permite tener di#erentes pol*ticas de seguridad pordepartamento$ o rea #uncional.

Soporte para vo ! video: ( nivel (+ se pueden o#recersoluciones Cisco 7o"/Certi3ed I) )+s$ pero sobre Internet esdi#*cil asegurar 7o". (l menos un H8PRbps es requerido para

empresas peque-as$ teleworers o agentes para transmitirvideo ! vo'.

Cisco 0nterprise AN6AN ComparisionCaracterstica Private


47/110

o Tipos de puertos soportados6odularidad

o 9acplane ! t5roug5put4edundancia

o Expansion para uso #uturo La seleccin del so#tware se basa en el desempe-o ! los

#eatures incluidos. (lgunos #actores son:o ow! el paquete I) oice.

Advanced IP Services: "oporte a I)v8$ ! los #eatures de lospaquetes (dvanced "ecurit! ! ") "ervices.

*nterprise Services: "oporte completo a I96 ! los #eatures delos paquetes Enterprise 9ase ! ") "ervices.

(dvanced "ervices

(dvanced I) "ervices

I) base I) oice"ervice (dvanced Enterprise)rovider "ervices

Enterprise "ervicesEnterprise 9ase

)eature Set IP+ata VoIP'Vo)8 AT5'5PDS Apple'IPB' I=5 )


48/110

I) oice S S(dvanced"ecurit!

S S

") "ervices S S SEnterprise 9ase S S

(dvanced I)"ervices

S S S S

Enterprise"ervices

S S S S

(dvancesEnterprise"ervices

S S S S S

4outer="witc5

D

"o#tware exibilidad para el C04E o Edgedel I")

BH$ ,8$,H

ersin "AB.B"E

L(+ "witc5ing de medianacapacidad para el acceso !distribucin empresarial

?$? ersin "AB.B"@

L(+ switc5ing de medianacapacidad para acceso !distribucin en Campus$ tambi&nen 6E

8 ersin "AB.B"S L(+ switc5ing de alta capacidadpara acceso$


49/110

ireless () permitiendo el roaming )rocesamiento de llamadas para brinda ;ni3ed communications

! video Tele#onos I) ! computadoras para los usuarios. +0 inclu!e los equipos de gestin$ pues estos estn el empresa.

>ranc! DesignLa idea es contestar las siguientes preguntas:

Cuantos puntos ! equipos existentes 5a!W 7ue cantidad de escalabilidad ! crecimiento se esparaW 7ue nivel de D( !=o redundacia es requeridoW Existe un servidor o protocolo de red especi3co que necesite

soporteW La administracin !=o soporte ser centrali'ado o distribuidoW Existen restricciones de segmentacin$ como un


50/110

o "witc5es LB=L, externos: "e recomiendan ,H constacise 1"tac de 5asta switc5es2

o Laptops.

0nterprise teleworker (>ranc! de uno)T*picamente se conecta a su proveedor local de (


51/110

Capitulo E I#v5Estudiar el 5eader de I)


52/110

;?/

"e utili'a para especi3car parmetros de 7o".Los routers ! switc5es L,$ se 3an en este campo para aplicar pol*ticascomo prioridad. Da pasado por muc5as evoluciones.Los , iniciales bits del To" del 4FC HA de APA son de I) )recedence$! se utili'an para marcar ! dar un trato di#erenciado basando en lasprioridades. )or de#ault todo se marca con .El 4FC A,? rede3nio los bits del , al 8 para re>ear un tipo deseadode optimi'acin del servicio.En AP$ el 4FC B?H? redi3nio el To" como


53/110

)ara reali'ar el reemsamblae el 5ost destino$ se 3o en los camposidenti3cation ! #ragment oset."i uno o ms #ragmentos se pierden el paquete completo deberetrasmitirse. La retrasmisin es responsabilidad de los protocolossuperiores como TC).

(si mismo se puede 3ar el campo de >ags para que no se #ragmente$pero se descartar*a si el 6T; de la inter#a' de salida es meor.

%irecciona!iento IPvA

Clase

Inicio delocteto

8ango Privadas

A A.../AB8...X A...=P= A ABP.../AA.B.. AHB.A8.. =ABC AA AB.../

BB,.B.B.AB.A8P..=A8

+ AAA BB?.../B,.B.B.B* AAAA B?.../

B?.B.B.BDas redes ?0?0?0? ! @L0?0?0 tienen usos especiales0

La encargada de brindar las direcciones I) es la I(+($ quien a su ve'delega la asignacin regional a 4egional Internet 4egistries 14I42$ queson :

(4I+ 1(merican 4egistr! #or Internet +umbers2 4I)E +CC 14eseaux I) Europeens +etwor Control Center2 ()+IC 1(sia )aci3c +etwor In#ormation Center2 L(C+IC 1Latin (merica and Caribbean +etwor In#ormation

Center2 (#ri+IC 1(#rican +etwor In#ormation Centre2

NA3Especi3cado en el 4FC ,BB.Conceptos:

Static NAT: 6apea una I) privada a una %nica I) publicamanualmente.

+!namic NAT: 6apea una I) privada a una I) publica de unpool$ 5a! dos #ormas:

o #verloading: 6apea m%ltiples I) privadas a una %nica)ublica$ utili'ando di#erentes puertos. "e conoce como)(T.

o #verlapping: 6apea direcciones I) p%blicas internas conI) publicas externas.

Stu" domain: La red interna que est utili'ando direcciones I)

privadas. Pu"lic Net7or: 0utside del stub domain$ reside en Internet !

las direcciones son p%blicas.


54/110

Inside local address: La direccin I) del 5ost que est en lared interna. "e utili'a en el stub domain.

Inside glo"al address: La direccin I) p%blica con la que seest 5aciendo +(T al 5ost que est en la red interna.

#utside glo"al address: La direccin I) real de un equipo quereside en Internet$ outside del stub domain.

#utside local address: La direccin I) traducida del equipoque reside en Internet. Esta direccin se utili'a dentro del "tubdomain.

oop*ack AddressEs una direcciones I) con una mascara de ,B bits.

Redes de 3elefona I#

Los telonos I) normalmente se conectan en una lan auxiliar$ queest en un segmento lgico separado de las estaciones de trabao delos usuarios."eparar la vo' ! los datos en di#erentes subredes o vlans$ a!uda enproveer 7o" para el tr3co de vo' en cuanto a clasi3car$ encolar !almacernar. (demas se #acilita la atencin de #allas.

CIDR & Sumari'aci4nCI


55/110

Capitulo 7B I#v

Introdcci$n a IPvB

La especi3cacin de I)v8 brinda @> "its para direccionamiento. *l8)C @K?especi3ca este nuevo protocolo.I)v8 o#rece las siguientes ventaas sobre I)v?:

Espacio de direcciones ampliado: ABP bits en lugar de ,B bits.


56/110

3op Dimit: Largo P bits. Es decrementado en A por cada salto$si llega a el paquete se descarta.

Source Address: Largo ABP bits


57/110

destino deben compartir caracter*sticas comunes ! estarexpl*citamente con3gurados para an!cast. Cuando un paquetees enviado a una direccin (n!cast$ este es enrutado al equipoms cercano$ determinado por el protocolo de enrutamiento.

IPvK 5ulticast Address: ;no a muc5os$ el paquete es

enviado a todos los 5ost identi3cados con esa direccin. Elbroadcast es un tipo de multicast$ pues se puede 5acer un Zall/nodes[. (lgunas direcciones I) multicast son:

o ))?:::::::A \ Indica direcciones de todos los nodosen el inter#ace/local scope.

o ))?@:::::::B: Las direcciones de todos losenrutadores en un enlace local.

Asignacin de direcciones IPvK

Los bits ms signi3cativos de una direccin I)v8$ pueden de3nir eltipo de direccin ! otras reservaciones. Estos bits mas signi3cativosson de tama-o variable ! se llaman Format )re3x 1F)2;na direccin no especi3cada es todos en cero$ lo que signi3ca que lainter#a' no tiene direccin I). Esta direccin I) no es enrutable.;na direccin loopbac es :::::::A$ es similar al ABH...ALas direcciones I)v? que son compatibles con I)v8 inician con 8ceros binarios seguidos de los ,B bits de la direccin I)v?.::::::A,.A..A o solo ::A,.A..A


58/110

Siteocal AddressLas direcciones "ite/Local (dress son como las direcciones I)de3nidas en el 8)C M> de IPv. 9sicamente son para serutili'adas dentro de una organi'acin$ no son %nicas$ no son ruteablesa trav&s de Internet.

ulticast AddressLas direcciones I)v8 multicast #uncionan igual a las de I)v? ! estnde3nidas por lo n%meros 5exadecimales FF$ adems proveen elequivalente a un broadcast de I)v?.El #ormato de las direcciones I)v8 multicast es:

P bits de F)$ todos en A K FF. ? bits de Flags. Consiste de , ceros seguidos de un T. "i T K $

"e trata de una direccin bien conocida de multicast asignadapor la I(+($ pero si TKA$ no es una direccin asignada

permanentemente. ? bits de "cope: Indica que tan grande es 1scope2 el grupo

multicast AAB de Id de grupo: Identi3ca el grupo multicast dentro de un

scope$ pero el grupo es independiente del scope )or eemploFF:: es para 0")F v,.

AAAAAAAAN?bits de >agsN ? bits de scopeN AAB de grupo K ABPbits

@lobal ;nicast: Equivalente a I) publicas. ?P @lobalNA8 "ubnedIagsN? bitsde scopeN AAB de grupo

,ecanis!os IPvB

IC#vIC6) tuvo que su#rir algunas modi3caciones para soportar I)v8.( trav&s de IC6)$ se puede obtener:

6ensaes de in#ormacin como: ec5o request ! ec5o repl!. 6ensaes de error como:


59/110

Los equipos utili'an +< para implementar #unciones plug and pla!que descubren todos los 5ost en el mismo enlace$ buscan direccionesduplicadas$ encuentran enrutadores$ adems busca rutas alternas sila primaria #alla.Las #unciones que reali'a son:

Autocon-guracin de direcciones: ;n 5ost puededeterminar completamente la direccin I)v8 sin necesidad de


60/110

El 4FC APA recomienda el 6T; discover! para determinar cuando unnodo es ma!or de ABP$ para esto se utili'an mensaes IC6) pacet/too/big. Los nodos a lo largo del pat5 env*an estos mensaes de IC6)al 5ost que env*a$ si el paquete es ms grande que el 6T; de lainter#a' de salida.

0strategias de asignaci4n de direcciones I#v

Autocon-guracin de direcciones de enlace localLos 5ost I)v8 pueden utili'ar un m&todo de autocon3guracin sin


61/110

3ransici4n de I#v5 a I#vExisten varios modelos:

A. IPvK so"re enlaces


62/110

Capitulo F Routing #rotocolsEnrutamiento esttico ! dinmicoLa principal ventaa del esttico es que no genera over5ead$adicionalmente pueden ser mas #ciles de con3gurar ! detectar #allas.Es recomendado utili'ar rutas estaticas en redes 5ub and spoe conconexiones de baa velocidad.


63/110

#rotocolos ,erar.uicos versus #lanosLos equipos del bacbone sirven ! coordinan las rutas ! el tr3co de !para los enrutadores que no estn el internetwor local.)or lo general dos niveles de erarquia son su3cientes para proveerescalabilidad. 0")F e I"/I" son protocolos erarquicos.Los protocolos planos no permiten una red erarquica$ propagan toda

la in#ormacin de enrutamiento a lo largo de la red$ sin dividir osumari'ar grandes redes en areas peque-as$ lo cual es un ventaa delos protocolos erarquicos. Los enrutadores son vecinos de todos$ning%n router tiene un rol especial. EI@4)$ 4I)vA ! 4I)vB sonprotocolos planos.

Oerarquicos

0")F e I"I"

)lanos 4I)vA$ 4I)vB$ EI@4)$I@4)

Classless ersus Classfull Routing #rotocolos"e pueden clasi3car basados en su soporte a L"6 ! CI


64/110

Distancia administrativaEs posible que dos protocolos di#erentes tengan una ruta 5acia elmismo destino$ por esto es que los enrutadores Cisco asignan unadistancia administrativa a cada protocolo.

Cuando existen multiples rutas a un destino$ el enrutador seleccionala ruta mas especi3ca$ por eemplo: para encontrar la redAH.B.A.A$ 0")F tiene una ruta AH.B.A.=B? ! EI@4)AH.B.A.=A8. El router utili'a la ruta por 0")F$ porque tiene elpre3o mas largo B? bits$ es mas especi3co.En el caso de que dos o mas protocolos de enrutamiento o#re'can lamisma ruta 1con el mismo largo de pre3o2$ los enrutadores Ciscoseleccionan la ruta con la distancia administrativa mas peque-a.La distancia administrativa es un nivel de la con3an'a de la #uente dein#ormacin de enrutamiento.

External 9@)$ EI@4)$ I@4)$ 0")F$I"/I"$ 4I)$ Internal 9@).


65/110

etricas de protocolos de enrutamiento & prevenci4n de oop(lgunos parmetros de m&trica de enrutamiento son:

A. Cuenta de saltos: Cuenta la cantidad de enlaces entre routers.4I) utili'a esa m&trica. Funciona bien en enlaces con el mismoanc5o de banda. La ruta mas corta no es siempre la meor.

B. (nc5o de banda: ;tili'a el anc5o de banda 1bandwidt52 paradeterminar la meor ruta a un destino. La ruta con el anc5o debanda mas grande es seleccionada. FE sobre


66/110

. "umari'acin: Los protocolos que soportan CI


67/110

Capitulo 18B RI# and 0I


68/110

La misma distancia administrativa 1AB2.

I60P

Es una solucin a los A saltos de 4I)$ pero con todos sus dems

problemas.Es vector distancia.)rotocolo I) numero ."oporta 5asta A? rutas por update.+o soporta autenticacin.+acio en la misma d&cada de 4I).


69/110

4utas sumari'adas tienen un costo de .4utas externas 1redistribuidas2 tienen un costo de AH.Componentes:

Protocol6dependent modules: Los modulos son la inter#a'lgica entre


70/110

EI60P ,etrics

;tili'a la misma m&trica compuesta que I@4)$ solo que el 9 semultiplica por B8 para ma!or granularidad.La m&trica se compone de 9$


71/110

+etwor core.

EI60P para IPvB

Tiene las mismas caracter*sticas de EI@4) para I)v?$ pero se maneaseparado ! sus principales caracter*sticas son:

Implementa mdulos independientes del protocolo. ;tili'a la misma m&trica. ;tili'a los mismos tiempos. Tiene un #easible successor ! #easible distance. Tiene los mismos tipos de paquetes. "e administra ! con3gura separadamente de EI@4) I)v?/ 4equiere un 4outer I< antes de iniciar.

"e con3gurara en Inter#aces. ;tili'a la direccin I) multicast FFB::( "oporta autenticacin.

%ise&o con EI60P IPvB

Igual que EI@4) para I)v?.


72/110

"ummar!

BB?... 4I)vB$ balanceo de rutas con el mismo costo.BB?...A EI@4)$ soporta balanceo de rutas con el mismo

costo$ o con di#erentes costos.

Con los parmetros de#ault de dela!$ EI@4) selecciona el pat5 con elmas grande menor 9.

EI@4) ! 4I) reali'an sumari'acin.


73/110

apitlo 22: ?/PF " I/4I/

Los dos son lin state$ I@).0")FvBLin "tate$ usa el algoritmo ")F de


74/110

direccin I) en la red punto multipunto. En este tipo de redes no elige


75/110

entonces la direccin #*sica ms alta. Los enrutadores con un I


76/110

El ("94 genera los L"( externos tipo H$ mientras mantiene lascaracteristicas de un area stub en el resto del (". Existen dosopciones en el (94 que conecta al ("94:

/ Traducir los L"( tipo H en tipo e inundar el restode la red.

/ )asa4 los tipo H directo$ no se traduce nada.

Virtual Dins0")F requiere que todas las areas se conecten a un enrutadorbacbone$ pero algunas veces esto no es posible$ por lo que sepueden utili'ar virtual lins para conectar temporalmente el area conel bacbone.El >uo dentro del virtual lin es unidireccional ! debe ser con3gurado

en cada enrutador del enlace. La idea es que un area se vuelvatransito$ por lo que el tra3co entre estas dos areas 1el area que noconecta con el area ! el area de transito2 no >u!a directo entre ellassino a trav&s del area .

#SP)v@ 8outer Authentication"oporta autenticacin de rutas utili'ando 8? bits en clear text o 6


77/110

OS#"v/ Areas & 3ipos de enrutador0")Fv, mantiene la misma estructura ! conceptos de 0")FvB$ por loque las areas ! los tipos de enrutadores son los mismos.

OS#"v/ ink State Advertisements

6antiene los mismos L"( de 0")FvB con algunas modi3caciones !dos nuevos L"(: Lin L"( ! Intra/(rea/ )re3x.

Todos los L"( utili'an un encabe'ado com%n de Bb!tes que indica eltipo de L"($ el enrutador que env*a el anuncio ! el n%mero desecuencia. (si como el tiempo en segundos que 5a transcurrido desdeque #ue generado el L"( ! adems cuenta con , bits llamados ;$ "A$"B$ que modi3can como debe ser di#undido el L"(.( continuacin se muestran los L"( de 0")F

4outer L"( describe el costo ! el estado de todas las inter#ases delenrutador que lo env*a. Este L"( se env*a dentro del area ! nocontiene pre3os I)v8.+etwor L"( son generados por los


78/110

@roup/members5ip:


79/110

+o 5a! 9


80/110

Especi3ca nuevos obetos de tipos$ largos ! valores 1TL2$ TL decon3bilidad ! TL de direccin de inter#a' para enviar in#ormacin deI)v8 en la red.El I0" de Cisco !a lo soporta como lo especi3ca el


81/110

Capitulo 19 >


82/110

"e utili'a por lo general en (" de transito$ osea (" que reenv*antra3co de un (" externo a otro (" externo. "i los (" de transito noutili'an i9@)$ las rutas aprendidas por e9@) tendr*an que serredistribuidas en un I@) ! luego redistribuidas en el proceso 9@) enotro enrutador e9@). +ormalmente el n%mero de rutas e9@) son

demasiadas para que un I@) las manee. (dems i@9) brinda unameor manera para controlar las rutas dentro de un (" de transito.Con i9@) la in#ormacin de enrutamiento externa 1atributos2 esreenviado$ en cambio los protocolos I@) no entienden o reenv*an losatributos de 9@)$ inclu!endo (" pat5s entre enrutadores e9@).0tro uso de i9@) es en grandes empresas donde las redes I@) estnen dominios de enrutamiento independientes a lo largo de l*mitesorgani'acionales o geogr3cos. )or eemplo una empresa que tenga ,I@) di#erentes conectados a un i9@) de C04E.e9@) and i9@) redistribu!en automticamente en un router si los)eers de 9@) estn con3gurados con el mismo numero de (".

Otros usos de i>


83/110

Los (" privados o identi3cadores no son publicados en Internet peroson contenidos dentro de las redes i9@). Los enrutadores dentro decada (" privado son con3gurado con una malla Full i9@). Cada ("privado es con3gurado con e9@) para comunicarse con otros semi("en la con#ederacin

Los (" externos ven %nicamente el (" de la con#ederacin que secon3gura con el identi3cador de con#ederacin 9@). El (" externo KI< de con#ederacin.Con con#ederaciones se necesita un enlace #ull mes5 dentro de cadasemi ("

+6P %istancia ad!inistrativa


84/110


85/110

puede ser aplicado a rutas individuales o a todos las rutas recibidasde un peer. Es exclusivo de enrtuadores Cisco ! no se env*a a otrosenrutadores. El valor va de a 8,. El peso ma!or es pre#erido. Lasrutas que son originadas por el enrutador local tienen un peso porde#ecto de ,BH8P.

"e puede utili'ar en lugar de local pre#erence. La di#erencia es que secon3gura localmente ! que no se intercambia en las actuali'aciones.

>


86/110

,aniplaci$n de rtas

#>R"e utili'a para modi3car la direccin de next/5op o para marcarpaquetes para que reciban un servicio di#erenciado 1marcar el I)

precedence2

Sumari'aci4n de rutas4educe el tra3co de enrutamiento$ la computacin innecesaria derutas ! adems permite a la redes crecer. La idea es sumari'ar en lacapa de distribucin$ el C04E solo necesita conocer las rutassumari'adas.

Redistri*uci4n de rutas"e con3gura en enrutadores que residen en el E


87/110

Las direcciones de B,.BB.. a B,.BB.B.B$ B,.B?.. aB,.B?.B.B ! B,.B.. a B,.B.B.B estan reservadaspara site/local scope.BB?...A \ all 5ostBB?...B \ all routers

BB?... \ all 0")F routersBB?...8 \ all 0")F


88/110

o Versin @ +e9ar Hrupo: Enviado por los 5ost paraindicar que un 5ost deara el grupo. "e env*a al destinoBB?...B.


89/110

/pare vrs %ense ,lticast 0oting Protocols

El tra3co I) multicast se transmite desde la Fuente a los receptorsutili'ando un spanning tree desde la #uente que conecta con todos los

5ost en el grupo. Cada 5ost destino se registra como un miembroutili'ando I@6). Los enrutadores mantienen un registro de estosgrupos dinmicamente ! contru!en arboles de distribucin quegra3ca caminos desde cada #uente 5asta todos los receptores. Losprotocolos de enrutamiento multicast siguen los siguientesacercamientos:

1uo de tra3co en los bordes dela red que no tienen miembros del grupo multicast. Losprotocolos que utili'an este acercamiento son:


90/110

no tomar la meor ruta 5acia los receptores porque deben pasara trav&s del 4). ;na ve' que los #uos de datos comien'an a>uir desde la #uente 5acia el receptor 4)$ los enrutadores en elcamino optimi'an la ruta automticamente para remover lossaltos innecesarios. La #uncin de 4) consume muc5a memoria

en el enrutador designado. )I6/"6 utili'a 4) 1s5ared trees2.

#ITiene dos opciones:

PI56S5: ;tili'a arboles compartidos ! 4) para llegar amiembros multicast mu! dispersos con un protocoloe3cientemente ra'onable a nivel de anc5o de banda.

PI56+5: ;tili'a 4)F 1reverse pat5 #orwarding2 para llegar amiembros de grupo relativamente cercanos con una e3ciencia

ra'onable del procesador ! memoria en los equipos de red delos arboles de distribucin. Con 4)F$ los paquetes multicastrecibidos son enviados a todas las otras inter#ases$ permitiendoque el stream de datos llegue a todos los segmentos. "i no 5a!5ost miembros en el grupo multicast en alguno de las subredesde los enrutador$ entonces env*a un mensae de prune al rbolde distribucin 1reverse pat52 para indicar al upstream routerque no envie paquetes para el grupo multicast

#IS (utili'a R#)

4FC B,8B$ asume que ning%n 5ost desea recibir tra3co multicast amenos que lo pida."elecciona un enrutador como 4)$ quien obtiene la in#ormacin de las#uentes ! pone disponible para los receptores.Los enrutadores que tienen receptores$ deben registrarse en el 4).Los equipos 3nales solicitan la membresia a un grupo multicastutili'ando I@6) contra sus enrutadores locales. Los enrutadores quesirven los equipos 3nales entonces se registran como receptores detr3co con el 4) para el grupo espec*3co de multicast en la red.

#IDR;n enrutador designado 1


91/110

"i el grupo multicast no esta en la tabla de multicast$ el enrutadoragrega la inter#a' a la tabla ! env*a un mensae oin al 4) con ladireccin BB?...A, 1todos los )I6 4outers2 solicitando el grupomulticast.

Pruning PI56S5Cuando un )I6/"6 no tiene mas 5osts recibiendo tra3co multicast oenrutadores receptores en cualquiera de sus inter#ases$ entoncesenv*a un mensae de prune al 4)$ el cual contiene el grupo que debeser pruned o removido.

AutoR#0tra #orma ser*a que el 4) anuncie sus servicios a la red )I6$ elproceso se llama auto/4). Los 4)s candidatos env*an sus anuncios alos agentes de mapeo 4) con la direccin I) BB?..A., 1cisco/rp/

announce2. Los agentes de mapeo 4) son tambi&n con3gurados. Enredes peque-as$ el 4) puede ser el agente de mapeo. Los agentes demapeo 4) escuc5an los anuncios. El agente de mapeo 4) entoncesselecciona el 4) para un grupo basado en la direccin I) mas alta detodos los candidatos 4)s. Los agentes de mapeo 4) entonces env*anmensaes 4)/discover! al resto de los enrutadores )I6/"6 en la redcon el mapeo 4)/to/group seleccionado.

#Iv9 >ootstrap RouterEn lugar de utili'ar auto/4)$ se puede con3gurar un enrutador )I6vB

bootstrap 19"42 para seleccionar automticamente un 4) para la red.Con 9"4 se puede con3gurar 9"4 candidatos 1C/9"42 con prioridadesdesde a B ! una direccin 9"4. C/9"4 intercambian mensaes debootstrap$ que se env*an con la direccin I) BB?...A, 1(LL )I6routers2. "i un C/9"4 reciben un mensae de bootstrap$ el lo comparacon la su!a. La prioridad ms alta de C/9"4 se selecciona como el9"4.


92/110

implementadas sobre maquinas ;nix corriendo el proceso mrouted.;n t%nel


93/110


94/110

Capitulo 1/ Securit& anagement

Netor7 /ecrit" ?vervie

La seguridad de red debe ser transparente para el usuario 3nal !tambi&n debe ser dise-ada para prevenir ataques:

9loquear atacantes externos. )ermitir acceso %nicamente a usuarios autori'ados. )revenir ataques originados internamente. "uportar di#erentes nivels de acceso de usuario. 4esguardar la in#ormacin de manipulacin o mal uso.

Legislaci$n en segridad

US Pu"lic Compan! Accounting 8eform and InvestorProtection Act of @??@ &San"anes6#2le!( S#B: "e en#ocaen la exactitude ! los controles impuestos sobre los registros3nancieros de una compa-ia.

Hramm6Deach6=lile! )inancial Services 5oderniationAct of MMM &HD=A(: 9rinda proteccin contra el venta dein#ormacin de cuentas ! bancaria que es regularmentecomprada ! vendida por instituciones 3nancieras. Tambienprotege contra la prctica de obtener in#ormacin privada atrav&s de #alsas pretensiones.

U0S0 3ealth Insuranace Porta"ilit! and Accounting Act

&3IPAA(: (plica a la proteccin de in#ormacin m&dica privadaque es utili'ada electronicamente. El propsito es 5abilitar unmeor acceso a in#ormacin m&dica$ reducir el #raude ! baar elcosto del cuidado medico en los ;.".

*U +ata Protection +irective MEFKF*C: Llama a laproteccin de la privacidad de las personas con respecto alprocesamiento de la in#ormacin personal.

8!ena#as de segridad 8econocimiento: El obetivo de reconocimiento es obtener la

ma!or in#ormacin posible sobre el obetivo o red.@eneralmente se da antes de lan'ar un ataque. Las t&cnicasque usan la 5erramientas de escaneo son conexiones TC)$ TC)"f+s$ (CR sweeps$ IC6) sepes$ "f+ sweeps ! null scans.

o Las 5erramientas de port/scanning mas #amosas son: +6() "uper"can +et"tumbler

Rismeto In#ormacin sobre vulnerabilidades:

CE4T


95/110

6IT4E 6icroso#t Cisco

o Derramientas de vulnerabilidades: +essus: Es open source "(I+T: Es para ;+IS. 69"(: Es de 6icroso#t.

#"tener acceso no autoriado: Es el acto de atacar oexplotar un sistema o 5ost. Los "istemas operativos$ servicios !el acceso #*sico tienen vulnerabilidades$ asi como tambi&n sepuede utili'ar la ingenier*a social para obtener in#ormacincon3dencial. La idea 3nal es borrar$ cambiar o leer in#ormacincon3dencial.

+oS: La idea es sobrecargar recursos como memoria$ C); !anc5o de banda para negar acceso a los usuarios legitimos.

0iesgo de /egridad

)ara proteger los recursos de la red$ procesos ! procedimientos$ latecnolog*a necesita dimensionar el riesgo de seguridad. Lascaracter*sticas de la red que pueden tener riesgos de amane'as deseguridad inclu!en: con3dencialidad$ integridad de los datos !disponibilidad del sistema:

La disponi"ilidad del sistemadebe asegurar el acceso

inenterumpido a los recursos de red ! computacionalespara prevenir la perturbacin del negocio ! la baa en laproduccin.

Integridad de datosdebe asegurar que %nicamente losusuarios autori'ados pueden cambiar in#ormacin cr*tica !garanti'ar la autenticidad de la in#ormacin.

La con-dencialidad de la in#ormacin debe asegurarque %nicamente los usuarios legitimos pueden verin#ormacin sensitiva para prevenir el robo$responsabilidades legales ! da-os a la organi'acin.

+lancos de n ataqe

Los 5ost son el blanco #avorito$ en especial para virus ! worms$adems luego que son comprometidos$ se utili'an para lan'ar nuevosataques.;na lista seria la siguiente:

Equipos de in#raestructura: 4outers$ switc5es. Equipos de seguridad: Firewalls$ I


96/110

PDrdida de disponibilidad

Los ataques


97/110

Politica de segridad " procesos

)ara brindar los niveles de seguridad apropiados e incrementar ladisponibilidad de la red$ es necesaria una pol*tica de seguridad$adems la seguridad de la red se constru!e alrededor de una pol*ticaque es parte del ciclo de vida de un sistema.Las necesidades de negocio de3nen que se debe 5acer con la red.;n 4is assessment es una parte del ciclo de vida$ pues explica elriesgo ! su costo.;na pol*tica de seguridad describe los procesos$ procedimientos$guias ! estadares de la organi'acin. (si mismo las meores practicasde la industria se utili'an para proveer procesos bien conocidos !procedimientos.)ara crear una pol*tica de seguridad$ el 4FC BA8 brinda esta gu*a:

A. Identi3car que se trata de proteger.B.


98/110

partes explican como las pol*ticas relacionadas con el maneo delriesgo son maneadas a lo largo de la empresa.El maneo del riesgo$ cuenta con las siguientes areas:

)olitica de uso aceptable: Es un documento de usuario 3nal quese escribe en lenguae simple.


99/110

;+0: El riesgo tiene un impacto limitado ! es #cil de mitigar.


100/110

B. Identit!: Es el quien en una relacin de con3an'a. "e valida concredenciales ! esta basada en los siguientes atributos:

a. (lgo que se conoce: Conocer una contrase-a o )I+. )or logeneral los usuarios no quieren utili'ar contrase,as#uertes.

b. (lgo que se tiene: Tener un toen$ smartcard$ certi3cado ollave.i. Dos toensrepresentan una #orma de incrementrar

la seguridad recurriendo a autenticacionde dos#actores 1algo que se$ algo que tengo2.

ii. Certi-cadosson una #orma de probar digitalmentela identidad o permiso de acceso a in#ormacin oservicios$ estos constan un par de llaves que seusan para encriptar ! 3rmar digitalmentein#ormacin. )or lo general contienen: +ombre !llave publica del due-o$ Fec5a de expiracin$Certi3cate aut5orit!$ numero de serie$ 3rma digitaldel C(.

c. (lgo que se es: (lguna caracter*stica 5umana como una5uella$ la retina o la vo'.

,. Control de acceso: Es el mecanismo de seguridad para controlarla admisin a redes ! recursos. Estos controles aplican lapol*tica de seguridad ! emplean reglas sobre cuales recursospueden ser accesados. Control de acceso asegura lacon3dencialidad e integridad de los recursos de red. Consistede:

a. (utenticacin: Establecer la identididad ! acceso sobrelos recursos de red.b. (utori'acin:


101/110

"5ared "ecrets:o (mbos lados pueden utili'ar la misma llave o utili'ar un

trans#orm para crear una llave de desencripcin.o La llave se coloca en el punto remoto$ #uera de l*nea.o Es simple pero tiene problemas porque las llaves casi

nunca cambian. )ublic Re! In#raestructure 1)RI2:

o "e basa en criptogra#*a asim&trica$ utili'a dos llaves.o Llaves publicas para encriptar ! privadas para

desencriptar.o "e utili'a en e/commerce.

#rotocolos de #N

I)"eco ;tili'a:

(D: (ut5entication Deader$ protocolo A$ 4FC B?B$brinda integridad sin conexin$ autenticacion deorigen ! antirepla!.

E"): Encapsulating "ecurit! )a!load$ protocolo $4FC B?8$ brinda con3dencialidad$ autenticacion deorigen$ integridad ! anti/repla!

o ;tili'a IRE para intercambio dinamico de llaves.o Los puntos extremos necesitan so#tware de I)"ec.

""Lo ;tili'a TC)=??, 1DTT)"2o )rovee conexin )+ encriptada utili'ando un browsero La ma!or*a de los browser soportan ""L )+.

onfidencialidad de ;rans!isi$n

La idea es encriptar los datos antes de transportarlos sobre cualquierred no segura como internet.

(unque ocurra un eavesdropping en Internet$ desencriptar lospaquetes es mu! compleo.I)"ec utili'a algoritmos bien conocidos para desarrollar el tratamientode con3dencialidad del paquete$ tales como:

,


102/110

Integridad de %atos

Los protocolos de criptogra#*a protegen los datos del tamperingutili'ando 5uellas ! 3rmas digitales que permiten detectar cambios enla integridad de los datos.Fingerprint$ #unciona agregando un c5ecsum a los datos que esgenerado ! veri3cado con la llave secreta. La llave secreta solo laconocen los autori'ados. ;n eemplo ser*a Das5/based 6essage(ut5entication 1D6(C2Las 3rmas digitales utili'an m&todo criptogr3co para 3rmardigitalmente los datos. El 3rmante crea una 3rma utili'ando una llaveque es %nica ! conocida solo por &l. Los destinatarios del mensaepueden veri3car la 3rma utili'ando la llave de veri3cacin de 3rma. Lacriptogra#*a in5erente en 3rmas digitales garanti'a la veracidad !autenticidad porque el origen 3rma."e recomienda anali'ar la necesidad de integridad de transmisin$

anali'ar el impacto en el desempe-o$ pero utili'ar algoritmos #uertes! bien conocidos.

%efen#a ante a!ena#as

Tiene , areas principales:A. 6eorar la seguridad de la red existente: )revenir la perdida de

downtime$ ganancias ! reputacin.B. (gregar servicios de seguridad a los puntos de la red: (segurar

los servidores ! destops con C"(.,. Dabilitar la seguridad integrada en los enrutadores$ switc5es !

appliances: Dabilitar t&cnicas de seguridad a lo largo de la red$no solo en los puntos de produccin.

/egridad Fisica

La seguridad #*sica permite proteger ! restringir acceso a los recursosde la red ! a los equipos #*sicos equipos de la red.(lgunas consideraciones para amena'as de seguridad #*sica:

ulnerabilidades in5erentes en los sistemas cuando losatacantes accesan al 5ardware directamente a trav&s deconsola o so#tware no con3able.

(cceso a la red$ permitir a los atacantes capturar$ alterar oremover datos >u!endo en la red.

(tacantes pueden utili'ar su propio 5ardware$ como laptop orouter para in!ectar tra3co malicioso en la red.

(lgunas guias de seguridad #*sica: ;tili'ar controles de acceso #*sico como candados ! alarmas. Evaluar brec5as de seguridad potenciales. Contabili'ar el impacto de robo de recursos de la red ! equipos. ;tili'ar controles como criptogra#*a para asegurar el tra3co

>u!endo en redes #uera de su control


103/110

Infraestrcte protection

Es el proceso de reali'ar pasos para reducir el riesgo ! amane'as parala in#raestructura de red ! para mantener la integridad ! altadisponibilidad para los recursos de red.;tili'ando las meores practicas ! una pol*tica de seguridad$ esposible protegegr la in#raestructura para prevenir ataquespotenciales.(lgunos equipos de Cisco tienen seguridad integrada como es el casode:

("(: Firewall$ I)"$ I)"ec$ )+ ! ""L )+. 4outers: I0" Firewall$ I)"$ I)"ec$ )+$


104/110

Netor7 /ecrit" Platafor!s

("(: Firewall$ I)"$ (ntivirus$ I)"ec$ ""L )+$ capacidades de+(C.

I"4: Combina I0" Firewall$ I)"$ Capacidades de +(C. "witc5es Catal!st: 6itigaciones de


105/110

>?@0B: IEEE 6edia/level (ccess control standard que permite! deniega acceso a la red ! aplica pol*ticas de tra3co basado enla identidad.

Cisco Identit!6=ased Net7or Services &I=NS(: 9asado envarias soluciones integradas de Cisco para permitir

aut5entication$ aprovisionamiento dinamico de vlans$ guestvlan$ PB.Ax con port securit!$ para asegurar la in#raestructurade red ! los recursos. En PB.Ax clientes K suplicantes !()=4outers K aut5enticators. Con este servicio el 5ost utili'aPB.AxN E() sobre L(+ 1E()oL2 para enviar sus credenciales einiciar una sesin en la red.


106/110

abuse$ )B) no autori'ado. "on productos suplementarios a losI)" ! Firewalls.

In#ection containment: La idea es crear 'onas utili'ando ("($)IS$ F"6 ! I0" Firewalls para particionar la red en segmentos.El 3rewall brinda seguridad$ pero no elimina la necesidad de

monitoreo de red. Tambien se puede utili'ar +(C. Inline I)" and anomal! detection: I)"$ I0" I)"$ @uard=detector$

(nomal! detector.

3!reats Detection and itigation 3ec!nologies

)IS: Firewall F"6: 6odulo para el 8. ("(: Firewall robusto con I)". I0" Firewall: Feature de Firewall en el I0". I)" sensor appliance: +I)". I)": Intrusion )revention "!stem 1I0" Feauture2. C"(: Cisco "ecurit! (gent 1DI)"2. +et>ow: Estadisticas de los paquetes que >u!en por el router. "!slog: "!slogging


107/110

)ermite aplicar pol*ticas de seguridad #cilmente en los equiposvia una inter#ace gra3ca.

Control de acceso "asado en rolespara todas las cuentas demanera que se puedan separar las tareas administrativas de las#unciones de usuario.

)olitica$ auditoria para el maneo correcto de incidentes.

Securit& #lataform Solutions

C"6: "olucion para administrar Firewalls$ )+$ 4outer$ switc5module e I)". Las politicas pueden ser aplicadas por equipo$grupo o globalmente.

(C": Control centrali'ado de acceso a los equipos$ brindaT(C(C" ! 4adius ! soporta routers$ switc5es$ 3rewalls$ wireless! oI).

6(4": )ermite monitorear$ identi3car$ aislar ! responder a lasamena'as de seguridad. 6(4" logra entender la topolog*a dered ! la con3guracin de los dispositivos como routers$switc5es$ 3rewalls ! I)".

C"( 6C: )ermite administrar los C"( ! agruparlos para aplicarpol*ticas a varias de una ve'.

"


108/110

6odulo (I6 para terminar un gran numero de t%neles como


109/110

B. T5reat detection and mitigation: +et>ow$ "!slog$ "+6)$ 460+$6(4"$ I)"$ DI)".

,. In#raestructure protection: ((($ ""D$ "+6)$""D$ aut5 deprotocolos de ruteo$ "eguridad de capa B.

?. "ecurit! 6anagement: C"6$ 6(4"$ (C".

C04E: C"6 ! 6(4".ow$ s!slog$ F"6$ I)"$ (CL.(cceso: "eguridad de LB ! PB.Ax"eguridad en el


110/110

Documents

Resumen de CCDA