Contenu connexe
Similaire à Ccna exploration lan_switching_and_wireless_chap_2_eb
Similaire à Ccna exploration lan_switching_and_wireless_chap_2_eb (20)
Plus de Edgar Benavente (20)
Ccna exploration lan_switching_and_wireless_chap_2_eb
- 1. Configuración de un switch
Conmutación y conexión inalámbrica de LAN.
Capítulo 2
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 1
- 2. Objetivos
Resumir la función de Ethernet establecida para las LAN de
100/1000 Mbps según el estándar IEEE 802.3
Explicar las funciones que le permiten a un switch enviar
tramas Ethernet en una LAN
Configurar un switch para que funcione en una red
diseñada para admitir transmisiones de voz, video y datos
Configurar seguridad básica en un switch que funcionará
en una red diseñada para admitir transmisiones de voz,
video y datos
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 2
- 3. CSMA/CD
Las señales de Ethernet se transmiten a todos los hosts que
están conectados a la LAN mediante un conjunto de normas
especiales que determinan cuál es la estación que puede
tener acceso a la red. El conjunto de normas que utiliza
Ethernet está basado en la tecnología de acceso múltiple por
detección de portadora y detección de colisiones (CSMA/CD)
IEEE.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 3
- 4. Elementos clave de redes Ethernet/802.3
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 4
- 5. Half Dúplex
La comunicación half-duplex se basa en un flujo de datos
unidireccional en el que el envío y la recepción de datos no
se producen al mismo tiempo.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 5
- 6. Full Dúplex
En las comunicaciones full - dúplex el flujo de datos es
bidireccional, por lo tanto la información puede enviarse y
recibirse al mismo tiempo. La capacidad bidireccional
mejora el rendimiento, dado que reduce el tiempo de
espera entre las transmisiones. Actualmente, la mayoría de
las tarjetas NIC Ethernet, Fast Ethernet y Gigabit Ethernet
disponibles en el mercado proporciona capacidad full -
dúplex.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 6
- 7. Configuración del puerto de switch
La opción auto establece el modo auto negociación de
dúplex. Cuando este modo se encuentra habilitado, los dos
puertos se comunican para decidir el mejor modo de
funcionamiento.
La opción full establece el modo full - dúplex.
La opción half establece el modo half - dúplex.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 7
- 8. auto-MDIX
Las conexiones entre dispositivos específicos, por ejemplo
entre switches o entre un switch y un router, solían requerir
la utilización de ciertos tipos de cables (de conexión cruzada
o conexión directa).
Ahora, en cambio, se puede utilizar el comando de
configuración de interfaz mdix auto de la CLI para habilitar la
función automática de conexión cruzada de interfaz
dependiente del medio (auto-MDIX).
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 8
- 9. Latencia de la Red:
Latencia es el tiempo en que una trama o paquete
demora en viajar de un origen a un destino.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 9
- 10. Latencia de la Red:
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 10
- 11. Direccionamiento MAC en Switchs
Los switches emplean direcciones MAC para dirigir las
comunicaciones de red a través de su estructura al puerto
correspondiente hasta el nodo de destino.
El switch determina cómo manejar las tramas de datos
entrantes mediante una tabla de direcciones MAC.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 11
- 12. Métodos de envío de Tramas del switch
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 12
- 13. Pasos
Paso 1. El switch recibe una trama de broadcast de la PC 1
en el Puerto 1.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 13
- 14. Pasos
Paso 2. El switch ingresa la dirección MAC de origen y el
puerto del switch que recibió la trama en la tabla de
direcciones.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 14
- 15. Pasos
Paso 3. Dado que la dirección de destino es broadcast, el
switch genera flooding en todos los puertos enviando la
trama, excepto el puerto que la recibió.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 15
- 16. Pasos
Paso 4. El dispositivo de destino responde al broadcast con
una trama de unicast dirigida a la PC 1.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 16
- 17. Pasos
Paso 5. El switch ingresa la dirección MAC de origen de la
PC2 y el número de puerto del switch que recibió la trama
en la tabla de direcciones. La dirección de destino de la
trama y el puerto relacionado a ella se encuentran en la
tabla de direcciones MAC.
La dirección de
destino de la
trama y su puerto
asociado se
encuentra en la
tabla de
direcciones MAC.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 17
- 18. Pasos
Paso 6. Ahora el switch puede enviar tramas entre los
dispositivos de origen y destino sin saturar el tráfico, ya que
cuenta con entradas en la tabla de direcciones que
identifican a los puertos asociados.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 18
- 19. Dominio de colisiones
El área de red donde se originan las tramas y se producen las
colisiones se denomina dominio de colisiones.
Dominio de Broadcast
El dominio de broadcast MAC incluye todos los dispositivos de
la LAN que reciben broadcasts de tramas a través de un host a
todas las demás máquinas en la LAN
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 19
- 20. Conmutacion
De almacenamiento y envió
En este tipo de conmutación, cuando el switch recibe la
trama, la almacena en los buffers de datos hasta recibir la
trama en su totalidad. Durante el proceso de
almacenamiento, el switch analiza la trama para buscar
información acerca de su destino.
La CRC utiliza una fórmula matemática, basada en la
cantidad de bits (1) de la trama, para determinar si ésta
tiene algún error. Después de confirmar la integridad de la
trama, ésta se envía desde el puerto correspondiente hasta
su destino.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 20
- 21. Conmutacion
Método de Corte:
En este tipo de conmutación, el switch actúa sobre los datos
apenas los recibe, incluso si la transmisión aún no se ha
completado. El switch recopila en el búfer sólo la
información suficiente de la trama como para leer la
dirección MAC de destino y así determinar a qué puerto
debe reenviar los datos.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 21
- 22. Conmutación simétrica y asimétrica
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 22
- 23. Búfer de Memoria
Un switch analiza algunos datos o todos de un paquete
antes de que lo reenvíe al host de destino basado en el
método de reenvío.
Almacena el paquete para el breve tiempo en un búfer de
memoria. Incorporadas en el hardware:
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 23
- 24. Comparación de la conmutación de la Capa 2
con la Capa 3
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 24
- 25. Switch capa 2
Un switch LAN de Capa 2 lleva a cabo los procesos de
conmutación y filtrado basándose solamente en la dirección
MAC de la Capa de enlace de datos (Capa 2) del modelo OSI.
El switch de Capa 2 es completamente transparente para los
protocolos de la red y las aplicaciones del usuario. Recuerde
que un switch de Capa 2 crea una tabla de direcciones MAC
que utiliza para determinar los envíos.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 25
- 26. Switch capa 3
Los switches de Capa 3 son también capaces de llevar a cabo
funciones de enrutamiento de Capa 3, con lo cual se reduce
la necesidad de colocar routers dedicados en una LAN.
el switch de Capa 3 puede también emplear la información
de la dirección IP. En lugar de aprender qué direcciones MAC
están vinculadas con cada uno de sus puertos, el switch de
Capa 3 puede también conocer qué direcciones IP están
relacionadas con sus interfaces.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 26
- 27. Configurar un switch para que funcione en una red
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 27
- 28. Configurar un switch para que funcione en una red
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 28
- 29. Configurar un switch para que funcione en una red
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 29
- 30. Secuencia de inicio de un switch Cisco
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 30
- 31. Preparación del switch para su configuración
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 31
- 32. Cómo realizar una configuración básica de switch
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 32
- 33. Configurar un switch para que funcione en una red
Comandos Show
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 33
- 34. Administración de los archivos de configuración Cisco IOS
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 34
- 37. Configuración de Gestión Remota Telnet y SSH
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 37
- 38. Ataques claves contra la seguridad de un Switch
Inundación de Direcciones MAC:
Recordemos que la tabla de direcciones MAC en un interruptor :
Contiene las dirección MA disponible en un puerto determinado
de un switch.
Contiene los parámetros correspondientes para cada VLAN.
Se busca la dirección de destino de una trama.
Si éste ESTA en la tabla, se envía al puerto de salida
apropiado.
Si este NO ESTA en la tabla, la trama es enviada por todos
los puertos a excepción del puerto donde se recibió la trama.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 38
- 39. Ataques de Seguridad Comunes
Inundación de direcciones MAC:
La tabla de direcciones MAC es limitada en tamaño.
Un intruso usará una herramienta de ataque de red que envía
continuamente falsas direcciones MAC en el switch.(por ejem. 155.000
direcciones MAC por minuto)
El switch aprende cada dirección falsa y en un corto periodo de tiempo,
la tabla se llena.
Cuando la tabla MAC se llena y se mantiene así, no tiene mas
opción que enviar cada trama que recibe por todos los puertos –
solo se comporta como un hub.
El intruso puede ver ahora todo el trafico que cursa por el switch.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 39
- 40. Ataques de Seguridad Comunes
Ataques de Suplantación:
Hombre en el Medio:
Intercepción del trafico de la red.
Suplantación de DHCP o DNS.
El dispositivo de ataque responde a las peticiones DHCP o DNS con
la configuración IP o información de la dirección que apunta el
usuario hasta el destino que es la PC del intruso.
DHCP Starvation:
El dispositivo del atacante continuamente solicita dirección IP a un
servidor DHCP verdadero modificando continuamente su dirección
MAC.
Eventualmente el pool de direcciones es totalmente otorgado y los
actuales usuarios no puede acceder a la red.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 40
- 41. Ataques de Seguridad Comunes
Ataques de CDP:
Cisco Discovery Protocol (CDP) es un protocolo propietario de Cisco
que intercambia informacion entre dispositivos directamente
conectados.
Direccion IP
Version de Software
Plataforma
Capacidades
VLAN Nativa (Enlaces Troncales – Capitulo 3).
Con un sniffer de red gratuito (Wireshark) un intruso puede obtener
esta información.
Puede ser usado para encontrar formas de hacer ataques de
Denegación de Servicios (DoS).
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 41
- 42. Ataques de Seguridad Comunes
Ataques de Telnet:
Telnet envía la information en texto plano. Si bien es posible establecer
contraseñas, se puede ser vulnerable a los siguientes ataques.
Fuerza bruta (Adivinar la contraseña)
DoS (Denegación de Servicios)
Con un sniffer de red gratuito (Wireshark) un intruso puede obtener
esta información.
Use contraseña robustas y cámbielas frecuentemente.
Use SSH.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 42
- 43. Configurando Port Security
Implemente Port Security para:
Port security esta deshabilitado por defecto.
Limitar el numero de direcciones MAC validas permitidas en un puerto.
Cuando se asigna una dirección MAC segura a un puerto, éste no
envía paquetes el puerto no envía los paquetes con direcciones de
origen fuera del grupo de direcciones definidas.
Especifique un grupo de direcciones MAC validas permitidas para
un puerto.
O permita una dirección MAC para acceder al puerto.
Especificar que el puerto se deshabilite automáticamente si se
detecta una dirección MAC invalida.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 43
- 44. Configurando Port Security
Tipo de MAC Address seguras:
Estática:
Manualmente se especifican cual dirección MAC es
EXCLUSIVAMENTE permitida para conectarse al puerto.
Estas se agregan a la tabla de direcciones MAC y se almacenan en
la configuración activa.
Dinámicas:
Las direcciones MAC son aprendidas de forma dinámica cuando un
dispositivo se conecta al switch.
Estas son almacenadas en ala tabla de direcciones MAC y se
pierden al reiniciarse el switch.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 44
- 45. Configurando Port Security
Tipo de MAC Address seguras :
Sticky:
Especifica las direcciones MAC:
Dinámicamente aprendidas.
Añadidas a la tabla de direcciones MAC.
Almacenadas en la configuración actual. (running - config)
Usted debe agregar manualmente una dirección MAC.
Las direcciones MAC que son “aprendidas de forma pegajosa”
(sticky learned) se perderán si no respalda la configuración.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 45
- 46. Configurando Port Security
Modos de Violaciones de Seguridad:
Una violación ocurre cuando:
Una estación cuya dirección MAC no está en la tabla de direcciónes
permitidas para acceder a la interfaz y la tabla de direcciones está
llena.
Una dirección se está utilizando en dos interfaces de seguridad en la
misma VLAN.
Modos:
Protegido: dropea tramas – no notifica
Restringido: dropea tramas - notifica
Shutdown: deshabilita el puerto - notifica
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 46
- 47. Configurando Port Security
Configuracion de Seguridad por Defecto:
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 47
- 48. Configurando Port Security
Configure Port Security Estático:
SOLO direcciones permitidas.
Se agrega a la tabla MAC y a la running configuration.
Configure la Interface
Habilite Port Security
Especifique la dirección
MAC
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 48
- 49. Configurando Port Security
Configure Port Security Dinámico:
Dinámicamente aprende cuando se conectan dispositivos.
Se agregan únicamente a la tabla MAC.
Configure la Interface
Habilite Port Security
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 49
- 54. Comandos del IOS de Cisco que se usan para
deshabilitar puertos que no se utilizan
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 54
- 55. Resumen
Diseño LAN
Proceso que explica cómo se debe implementar
una LAN
Entre los factores que se deben considerar al
diseñar una LAN, se encuentran
Dominios de colisiones
Dominios de broadcast
Latencia de red
Segmentación de LAN
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 55
- 56. Resumen
Métodos de envío del switch
Almacenamiento y envío.
Método de corte.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 56
- 57. Resumen
Conmutación simétrica
La conmutación se realiza entre puertos que tienen
el mismo ancho de banda.
Conmutación asimétrica
La conmutación se realiza entre puertos que tienen
ancho de banda diferente.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 57
- 58. Resumen
La CLI del IOS de Cisco incluye las siguientes
características.
Ayuda incorporada
Historial/opciones de comandos
Seguridad del switch
Protección de contraseñas
Uso de SSH para acceso remoto
Seguridad de puertos
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 58
- 59. © 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 59