Ccna exploration lan_switching_and_wireless_chap_2_eb

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 1

Configuración de un switch

Conmutación y conexión inalámbrica de LAN. Capítulo 2


Objetivos

Resumir la función de Ethernet establecida para las LAN de100/1000 Mbps según el estándar IEEE 802.3

Explicar las funciones que le permiten a un switch enviartramas Ethernet en una LAN

Configurar un switch para que funcione en una reddiseñada para admitir transmisiones de voz, video y datos

Configurar seguridad básica en un switch que funcionaráen una red diseñada para admitir transmisiones de voz,video y datos


CSMA/CD

Las señales de Ethernet se transmiten a todos los hosts queestán conectados a la LAN mediante un conjunto de normasespeciales que determinan cuál es la estación que puedetener acceso a la red. El conjunto de normas que utilizaEthernet está basado en la tecnología de acceso múltiple pordetección de portadora y detección de colisiones (CSMA/CD)IEEE.


Elementos clave de redes Ethernet/802.3


Half Dúplex

La comunicación half-duplex se basa en un flujo de datosunidireccional en el que el envío y la recepción de datos nose producen al mismo tiempo.


Full Dúplex

En las comunicaciones full - dúplex el flujo de datos esbidireccional, por lo tanto la información puede enviarse yrecibirse al mismo tiempo. La capacidad bidireccionalmejora el rendimiento, dado que reduce el tiempo deespera entre las transmisiones. Actualmente, la mayoría delas tarjetas NIC Ethernet, Fast Ethernet y Gigabit Ethernetdisponibles en el mercado proporciona capacidad full -dúplex.


Configuración del puerto de switch

La opción auto establece el modo auto negociación dedúplex. Cuando este modo se encuentra habilitado, los dospuertos se comunican para decidir el mejor modo defuncionamiento.

La opción full establece el modo full - dúplex.

La opción half establece el modo half - dúplex.


auto-MDIX

Las conexiones entre dispositivos específicos, por ejemploentre switches o entre un switch y un router, solían requerirla utilización de ciertos tipos de cables (de conexión cruzadao conexión directa).

Ahora, en cambio, se puede utilizar el comando deconfiguración de interfaz mdix auto de la CLI para habilitar lafunción automática de conexión cruzada de interfazdependiente del medio (auto-MDIX).


Latencia de la Red:

Latencia es el tiempo en que una trama o paquete demora en viajar de un origen a un destino.


Latencia de la Red:


Direccionamiento MAC en Switchs

Los switches emplean direcciones MAC para dirigir lascomunicaciones de red a través de su estructura al puertocorrespondiente hasta el nodo de destino.

El switch determina cómo manejar las tramas de datosentrantes mediante una tabla de direcciones MAC.


Métodos de envío de Tramas del switch


Pasos

Paso 1. El switch recibe una trama de broadcast de la PC 1en el Puerto 1.


Pasos

Paso 2. El switch ingresa la dirección MAC de origen y elpuerto del switch que recibió la trama en la tabla dedirecciones.


Pasos

Paso 3. Dado que la dirección de destino es broadcast, elswitch genera flooding en todos los puertos enviando latrama, excepto el puerto que la recibió.


Pasos

Paso 4. El dispositivo de destino responde al broadcast conuna trama de unicast dirigida a la PC 1.


Pasos

Paso 5. El switch ingresa la dirección MAC de origen de laPC2 y el número de puerto del switch que recibió la tramaen la tabla de direcciones. La dirección de destino de latrama y el puerto relacionado a ella se encuentran en latabla de direcciones MAC.

La dirección de destino de la

trama y su puerto asociado se

encuentra en la tabla de

direcciones MAC.


Pasos

Paso 6. Ahora el switch puede enviar tramas entre losdispositivos de origen y destino sin saturar el tráfico, ya quecuenta con entradas en la tabla de direcciones queidentifican a los puertos asociados.


Dominio de colisiones

El área de red donde se originan las tramas y se producen lascolisiones se denomina dominio de colisiones.

Dominio de Broadcast

El dominio de broadcast MAC incluye todos los dispositivos dela LAN que reciben broadcasts de tramas a través de un host atodas las demás máquinas en la LAN


Conmutacion

De almacenamiento y envió

En este tipo de conmutación, cuando el switch recibe latrama, la almacena en los buffers de datos hasta recibir latrama en su totalidad. Durante el proceso dealmacenamiento, el switch analiza la trama para buscarinformación acerca de su destino.

La CRC utiliza una fórmula matemática, basada en lacantidad de bits (1) de la trama, para determinar si éstatiene algún error. Después de confirmar la integridad de latrama, ésta se envía desde el puerto correspondiente hastasu destino.


Conmutacion

Método de Corte:

En este tipo de conmutación, el switch actúa sobre los datosapenas los recibe, incluso si la transmisión aún no se hacompletado. El switch recopila en el búfer sólo lainformación suficiente de la trama como para leer ladirección MAC de destino y así determinar a qué puertodebe reenviar los datos.


Conmutación simétrica y asimétrica


Búfer de Memoria

Un switch analiza algunos datos o todos de un paqueteantes de que lo reenvíe al host de destino basado en elmétodo de reenvío.

Almacena el paquete para el breve tiempo en un búfer dememoria. Incorporadas en el hardware:


Comparación de la conmutación de la Capa 2 con la Capa 3


Switch capa 2

Un switch LAN de Capa 2 lleva a cabo los procesos deconmutación y filtrado basándose solamente en la direcciónMAC de la Capa de enlace de datos (Capa 2) del modelo OSI.El switch de Capa 2 es completamente transparente para losprotocolos de la red y las aplicaciones del usuario. Recuerdeque un switch de Capa 2 crea una tabla de direcciones MACque utiliza para determinar los envíos.


Switch capa 3

Los switches de Capa 3 son también capaces de llevar a cabofunciones de enrutamiento de Capa 3, con lo cual se reducela necesidad de colocar routers dedicados en una LAN.

el switch de Capa 3 puede también emplear la informaciónde la dirección IP. En lugar de aprender qué direcciones MACestán vinculadas con cada uno de sus puertos, el switch deCapa 3 puede también conocer qué direcciones IP estánrelacionadas con sus interfaces.


Configurar un switch para que funcione en una red






Secuencia de inicio de un switch Cisco


Preparación del switch para su configuración


Cómo realizar una configuración básica de switch



Comandos Show


Administración de los archivos de configuración Cisco IOS


Configurar seguridad básica en un switch




Configuración de Gestión Remota Telnet y SSH


Ataques claves contra la seguridad de un SwitchInundación de Direcciones MAC:

Recordemos que la tabla de direcciones MAC en un interruptor :Contiene las dirección MA disponible en un puerto determinadode un switch.Contiene los parámetros correspondientes para cada VLAN.Se busca la dirección de destino de una trama.

Si éste ESTA en la tabla, se envía al puerto de salidaapropiado.Si este NO ESTA en la tabla, la trama es enviada por todoslos puertos a excepción del puerto donde se recibió la trama.


Inundación de direcciones MAC:

La tabla de direcciones MAC es limitada en tamaño.

Un intruso usará una herramienta de ataque de red que envía continuamente falsas direcciones MAC en el switch.(por ejem. 155.000 direcciones MAC por minuto)

El switch aprende cada dirección falsa y en un corto periodo de tiempo, la tabla se llena.

Cuando la tabla MAC se llena y se mantiene así, no tiene mas opción que enviar cada trama que recibe por todos los puertos –solo se comporta como un hub.

El intruso puede ver ahora todo el trafico que cursa por el switch.

Ataques de Seguridad Comunes


Ataques de Suplantación:

Hombre en el Medio:

Intercepción del trafico de la red.

Suplantación de DHCP o DNS.

El dispositivo de ataque responde a las peticiones DHCP o DNS conla configuración IP o información de la dirección que apunta elusuario hasta el destino que es la PC del intruso.

DHCP Starvation:

El dispositivo del atacante continuamente solicita dirección IP a un servidor DHCP verdadero modificando continuamente su dirección MAC.

Eventualmente el pool de direcciones es totalmente otorgado y los actuales usuarios no puede acceder a la red.



Ataques de CDP:

Cisco Discovery Protocol (CDP) es un protocolo propietario de Cisco que intercambia informacion entre dispositivos directamente conectados.

Direccion IP

Version de Software

Plataforma

Capacidades

VLAN Nativa (Enlaces Troncales – Capitulo 3).

Con un sniffer de red gratuito (Wireshark) un intruso puede obtener esta información.

Puede ser usado para encontrar formas de hacer ataques de Denegación de Servicios (DoS).



Ataques de Telnet:

Telnet envía la information en texto plano. Si bien es posible establecer contraseñas, se puede ser vulnerable a los siguientes ataques.

Fuerza bruta (Adivinar la contraseña)

DoS (Denegación de Servicios)

Con un sniffer de red gratuito (Wireshark) un intruso puede obtener esta información.

Use contraseña robustas y cámbielas frecuentemente.

Use SSH.



Implemente Port Security para:

Port security esta deshabilitado por defecto.

Limitar el numero de direcciones MAC validas permitidas en un puerto.

Cuando se asigna una dirección MAC segura a un puerto, éste noenvía paquetes el puerto no envía los paquetes con direcciones deorigen fuera del grupo de direcciones definidas.

Especifique un grupo de direcciones MAC validas permitidas para un puerto.

O permita una dirección MAC para acceder al puerto.

Especificar que el puerto se deshabilite automáticamente si se detecta una dirección MAC invalida.

Configurando Port Security


Tipo de MAC Address seguras:

Estática:

Manualmente se especifican cual dirección MAC es EXCLUSIVAMENTE permitida para conectarse al puerto.

Estas se agregan a la tabla de direcciones MAC y se almacenan en la configuración activa.

Dinámicas:

Las direcciones MAC son aprendidas de forma dinámica cuando un dispositivo se conecta al switch.

Estas son almacenadas en ala tabla de direcciones MAC y se pierden al reiniciarse el switch.



Tipo de MAC Address seguras :

Sticky:

Especifica las direcciones MAC:

Dinámicamente aprendidas.

Añadidas a la tabla de direcciones MAC.

Almacenadas en la configuración actual. (running - config)

Usted debe agregar manualmente una dirección MAC.

Las direcciones MAC que son “aprendidas de forma pegajosa” (sticky learned) se perderán si no respalda la configuración.



Modos de Violaciones de Seguridad:

Una violación ocurre cuando:

Una estación cuya dirección MAC no está en la tabla de direcciónes permitidas para acceder a la interfaz y la tabla de direcciones está llena.

Una dirección se está utilizando en dos interfaces de seguridad en la misma VLAN.

Modos:

Protegido: dropea tramas – no notifica

Restringido: dropea tramas - notifica

Shutdown: deshabilita el puerto - notifica



Configuracion de Seguridad por Defecto:



Configure Port Security Estático:

SOLO direcciones permitidas.

Se agrega a la tabla MAC y a la running configuration.


Configure la Interface

Habilite Port Security

Especifique la dirección MAC


Configure Port Security Dinámico:

Dinámicamente aprende cuando se conectan dispositivos.

Se agregan únicamente a la tabla MAC.


Habilite Port Security

Configure la Interface


Verificando Port Security


Verificando Port Security






Comandos del IOS de Cisco que se usan para deshabilitar puertos que no se utilizan


Resumen

Diseño LAN

Proceso que explica cómo se debe implementar una LAN

Entre los factores que se deben considerar al diseñar una LAN, se encuentran

Dominios de colisiones

Dominios de broadcast

Latencia de red

Segmentación de LAN


Resumen

Métodos de envío del switch

Almacenamiento y envío.

Método de corte.


Resumen

Conmutación simétrica

La conmutación se realiza entre puertos que tienen el mismo ancho de banda.

Conmutación asimétrica

La conmutación se realiza entre puertos que tienen ancho de banda diferente.


Resumen

La CLI del IOS de Cisco incluye las siguientes características.

Ayuda incorporada

Historial/opciones de comandos

Seguridad del switch

Protección de contraseñas

Uso de SSH para acceso remoto

Seguridad de puertos


Technology

Ccna exploration lan_switching_and_wireless_chap_2_eb