¿Para qué sirven las capas del modelo OSI?

Cada capa interactúa con su capa adyacente y entre la misma capa del otro extremo.

Capa 5-7 – Aplicación, Presentación y Sesión

Proporciona servicios al software de aplicación que se ejecuta en una computadora. Estas

capas definen los servicios que necesitan las aplicaciones. La aplicación TCP/IP más
popular hoy en día es el navegador web que usa el protocolo HTTP.

Capa 4 – Transporte

Protocolo de Control de Transmisión (en inglés Transmission Control Protocol o TCP) y el

Protocolo de Datagramas de Usuario (en inglés User Datagram Protocol o UDP) pertenecen
a esta capa.
TCP incluye una característica de recuperación de errores. Para recuperarse de los errores,
TCP utiliza el concepto de acuses de recibo (ACK).

Capa 3 – Red

La Capa de Red cuenta con algunos protocolos, pero sólo uno es el más importante, el
Protocolo de Internet (en inglés Internet Protocol o IP).
Provee importantes características, la más importante es la del direccionamiento y ruteo.

Capa 2 – Enlace de Datos

Define los protocolos que se utilizaran en un tipo específico de medio físico, por ejemplo los
protocolos Ethernet.

Capa 1 – Física

Define las características físicas como cables, conectores, codificación, modulación.

Ventajas del Modelo OSI

Menos complejo: El modelo de capas simplifica los conceptos representarlos en pequeñas

partes.

Comunicación estándar: Ayuda a los vendedores a crear productos y beneficia la

competitividad.

Fácil aprendizaje: Facilita discutir sobre las funciones de los protocolos en perspectiva.

Fácil para el desarrollo: Reduce la complejidad permitiendo más fácilmente cambios y

desarrollo de productos más rápido.

Interoperatividad entre marcas: Productos que funcionan con los mismos estándares
permitiendo convivir varias marcas en una misma red.
Ingeniería modular: Una empresa puede escribir un software que funciona en una capa
superior y otra empresa puede desarrollar un software que se implemente en una capa
inferior.

¿Qué es el encapsulamiento en el modelo de capas?

Para lograr el envío de información cada capa agrega su propio encabezado (header) y
para los protocolos de enlace de datos una cola (trailer).
El proceso es el colocar encabezados y a veces una cola alrededor de datos.

A continuación se puede ver una imagen muy simple y eficaz para comprender el concepto
de encapsular y el nombre que se le da a los datos para cada capa.

Eligiendo la Conexión Correcta

Para el examen deberás tener muy claro qué tipo de cable o conexión usar (directa o
cruzada) según el tramo de la red. La diferencia es básicamente por qué pines transmite o
recibe los datos, por ejemplo, una PC transmite por el pin 1 y 2 y un switch transmite por el
pin 3 y 6, para este ejemplo un cable directo es el adecuado ya que tramiten y reciben por
pines distintos. El problema ocurre si conectáramos un cable directo entre dos dispositivos
que tramiten por el mismo pin, ahí es cuando usamos un cable cruzado.
Campos del Encabezado Ethernet

IEEE 802.3 Encabezados Ethernet

Preámbulo: Para sincronización.

Start Frame Delimiter: El siguiente byte trae la dirección MAC de Destino.

MAC de Destino: Identifica el destinatario de esta trama.

MAC de Origen: Identifica a quien envió esta trama.

Tipo: Identifica el tipo de protocolo que transporta dentro, habitualmente seria IPv4
(identificador 0800) o IPv6 (identificador 86DD).

Datos y Almohadilla: Contiene los datos de capas superiores.

FCS: Detección de errores (nota: no es una recuperación de errores). Tramas detectadas

con errores se descartan.

Creando Físicamente una Red LAN Ethernet con Fibra (Cable Óptico)

La distancia máxima de muchos cables UTP es de 100 metros. La distancia de un switch a

cualquier dispositivo que se conecte a él es generalmente menor a 100 metros. Sin
embargo, muchas veces se prefiere usar un cable óptico o cable de fibra óptica en lugar de
un cable de cobre ya que ofrece mayores distancias y otras mejoras.
¿Qué es la Fibra Óptica?

El cable de fibra óptica usa vidrio como medio para que la luz pase a través de él, ésta luz
varia en el tiempo codificando 0s y 1s.

Dado que el vidrio es un componente frágil, necesita cierta protección. A continuación

podemos ver un dibujo que representa la fibra óptica y las capas que lo conforman:

Componentes de la Fibra Óptica

Las tres capas exteriores del cable protegen el interior del cable lo que lo hace más fácil
para instalar y manipular, mientras que el revestimiento interior y el núcleo funcionan en
conjunto para crear el espacio que permitirá la transmisión de la luz a través del cable.

Fibra Multimodo

Una luz en el origen, llamada transmisor óptico, emite una luz adentro del núcleo. La luz
pasa a través del núcleo, sin embargo, la luz se refleja en el revestimiento del cable y vuelve
al núcleo. El siguiente ejemplo muestra cómo se emite luz desde un emisor LED. Puedes
ver como el revestimiento refleja la luz nuevamente hacia el núcleo mientras viaja a través
de él.

Transmisión en Fibra Multimodo con Reflexión Interna

El dibujo anterior muestra el funcionamiento normal de una fibra multimodo, su

característica es que el cable permite que las ondas de luz ingresen desde distintos ángulos
(modos) hacia el núcleo.

Fibra Monomodo

En constaste con la fibra multimodo, monomodo usa un diámetro del núcleo menor. Para
poder transmitir la luz en un núcleo mucho más chico, un transmisor láser envía luz en un
único angulo (de aquí el nombre monomodo).
Transmisión en Fibra Monomodo con Emisor Laser
Los cables multimodo y monomodo cumplen con distintas necesidades.

Multimodo VS Monomodo

La fibra multimodo mejora la distancia máxima respecto al cable UTP y es menos caro que
la fibra monomodo. Las distancias que logra multimodo es algunos cientos de metros, 300-
400m.

Monomodo permite distancias de decenas de kilometros, 10-30km, pero un hardware más

caro que multimodo ya que usa conectores SFP/SFP+.
Para transmitir entre dos dispositivos se precisan dos cables, uno para la transición y otro
para la recepción.

Usando Fibra Óptica en Ethernet: Tipo de Fibra y Distancias

 Para poder usar una fibra en un switch Ethernet, el switch debe tener puertos incorporados
o modulares que soporten el estandard Ethernet para un cable de fibra óptica.
Ejemplo de Algunos Estandars de la IEEE 802.3 10-Gbps para Fibra

Estandard Tipo de Cable Distancia Máxima*

10GBASE-S Multimodo 400m

10GBASE-LX4 Multimodo 300m

10GBASE-LR Monomodo 10km

10GBASE-E Monomodo 30km

* La distancia máxima está basada en los estándares de la IEEE sin repetidores.

Si hablamos de costos, UTP es el más económico, seguido de la fibra multimodo y por

último monomodo que precisa conectores SFP/SFP+.

Sin embargo los cable UTP tienen grandes desventajas respecto a la fibra óptica, además
de las distancias como ya comente antes, el cable UTP es susceptible al medio, pudiendo
tener ruido eléctrico, por ejemplo en fábricas, ya que puede ser afectado por
el electromagnetismo, además, los cables UTP emiten una señal débil fuera del cable. Todo
esto es algo que la fibra óptica no sufre.

Fibra Óptica VS Cable UTP

Criterio UTP Multimodo Monomodo

Costo del Cable Bajo Medio Medio

Costo del Puerto del Switch Bajo Medio Alto

Distancia Máxima Aproximada 100m 500m 40km

Susceptible a Interferencias Algo Nada Nada

Riesgo de emitir señal fuera del cable Algo Nada Nada

¿Qué es la dirección MAC?
La dirección MAC (Media Access Control ó Control de Acceso al Medio), también
llamado direccionamiento Ethernet es un conjunto de números binarios de 6 bytes (48 bits)
de largo.
Pero es representada en 12 dígitos hexadecimales.

La primera mitad, es decir, los primeros 3 bytes corresponden al OUI (Identificador Único
de la Organización) y los últimos 3 bytes corresponden a un número único e irrepetible que
asigna el fabricante.

Ejemplo de una dirección Unicast

[Link]

OUI Número (Tarjeta NIC, Interfaz)

24 bits 24 bits

6 dígitos Hexadecimal 6 dígitos Hexadecimal

[Link] [Link]

Nota:
Los dos puntos entre dígitos se utilizan para representar la dirección de una manera más
fácil de leer.
Otros nombres para la Dirección MAC

La dirección MAC se le puede llamar de muchas maneras; Direccionamiento Ethernet,

Dirección LAN, dirección de hardware, burned-in address (BIA), dirección física, dirección
universal o simplemente dirección MAC.

Dirección MAC de Broadcast

Las tramas enviadas a una dirección de Broadcast serán enviadas a todos los dispositivos
de la red LAN.

Ejemplo de una dirección de Broadcast

[Link]

Dirección MAC de Multicast

Las tramas enviadas a una dirección de Multicast serán enviadas a un grupo específico de
dispositivos de la red LAN.

Un ejemplo de dirección multicas es la dirección utilizada por el protocolo CDP de CISCO.

Ejemplo de una dirección de Multicast

[Link]

Cuando hablamos de Half Duplex vs Full Duplex estamos hablando de la forma en que se
envía y recibe la información.

Full Duplex es utilizado por defecto en los Switch, mientras que Half Duplex es requerido
cuando se utilizan Hubs.

Half Duplex vs Full Duplex: Cuál es la Diferencia

Half Duplex Características:

El dispositivo debe esperar para enviar tramas si está en ese momento recibiendo tramas.

Es decir, no puede enviar y recibir al mismo tiempo.

Full Duplex Características:

El dispositivo no tiene que esperar para enviar tramas.

Puede enviar y recibir al mismo tiempo.

Funcionamiento de Half Duplex en una Red LAN con Hubs

El Hub es un dispositivo de Capa 1, cuando un Delimitar Hub recibe una señal

eléctrica repite la misma por todos sus puertos a excepción del puerto donde recibió la
señal.
El Hub no entiende el concepto de direccionamiento de las tramas Ethernet, etc.
El problema de utilizar hubs es que, si tramiten al mismo tiempo dos o más Hub, éstos
podrían colisionar y resultar un problema.
La solución sería sustituir el Hub por un switch ya que éste último opera en la Capa 2 y
tiene la capacidad de leer los encabezados de las tramas.

Cómo Solucionar el Problema de Colisión en el Hub

Colisión de tramas con dos PC transmitiendo a través de un Hub

Para solucionar éste problema se utiliza half duplex en vez de full duplex.

Dado que el problema ocurre cuando dos dispositivos envían al mismo tiempo, half duplex
soluciona esto esperando un tiempo cuando otro dispositivo está enviando señales y
comenzar a enviar cuando nadie está transmitiendo.

Los dispositivos que utilizan half duplex usan el algoritmo lógico llamado CSMA/CD (carrier
sense multiple access with collision detection).

Cómo funciona CSMA/CD?

Si bien half duplex tiene en cuenta hacer el envío cuando nadie está enviando, ¿qué sucede
si los dos dispositivos reciben al mismo tiempo y envían al mismo tiempo? Para esto
tenemos CSMA/CD.
La lógica del algoritmo realiza los siguientes pasos de comprobación:

1. Un dispositivo que tiene una trama para enviar comienza a escuchar si en la red
Ethernet no está ocupada.

2. Cuando la red Ethernet no está ocupada el transmisor comienza a enviar la trama.

3. El transmisor escucha mientras está enviando para descubrir si ocurre colisión. La

colisión podría ocurrir por ejemplo por una desafortunada sincronización. Si ocurre
una colisión todos los transmisores realizan lo siguiente:

A. Envían una señal de interferencia que avisa que una colisión está sucediendo.

B. Independientemente ellos usa un tiempo de espera aleatorio antes de volver a

enviar.

C. El siguiente intento comenzara por el inicio del primer paso.

Los comandos show interfaces y show interfaces status listan la configuración de Duplex
en una interfaz

Nota: El texto (a-full) el carácter antepuesto (a-) significa que Duplex ha sido negociada.

En este Capítulo 3. Fundamentos de WANs y Enrutamiento IP se cubren los siguientes

temas:
1. Fundamentos de Redes WAN
2. Funcionamiento del Protocolo ARP
3. Qué es IPv4, para sirve y los tipos de IPv4
4. Una introducción al Enrutamiento de paquetes IP
5. Y por último, que hacen y cómo funcionan los Protocolos de Enrutamiento

Este este Capítulo 3 se presentan las WAN y diversas características de la capa de red
TCP/IP.

Primero, en el capítulo 3.1 Fundamentos de Redes WAN se explica la red WAN, no se verán
en detalle como un fin en sí mismas. Sin embargo, para entender el enrutamiento IP se
deben comprender los conceptos básicos de la red WAN: enlaces seriales y enlaces
Ethernet WAN.

Los enlaces WAN conectan routeres en sitios remotos, que pueden estar a kilómetros o
cientos de kilómetros de distancia.

El resto de los capítulos tienen que ver con la capa de red TCP/IP (Capa 3), con IP como
centro de la discusión. En estos capítulos se analiza las principales características de IP:
enrutamiento, direccionamiento y protocolos de enrutamiento.

El último capítulo veremos algunos protocolos distintos de IP que también ayudan a la capa
de red TCP/IP a crear una red que permite la comunicación de extremo a extremo.

La Red WAN (Wide Área Network) es una red que cubre mayores distancias que una red
LAN.
Las distancias que cubre una red WAN pueden ser cientos o miles de kilómetros alcanzando
múltiples locaciones geográficas.
Las empresas pueden ser dueñas de su red LAN, pero usualmente no lo son de la red WAN
a la que están conectadas sino que la arriendan.

Ejemplo de una Red WAN, conexión de dos redes LAN a través de la WAN

Línea Dedicada (Leased-Line)

Una línea dedicada ó Leased-Line es una línea arrendada o alquilada por una empresa.

No es realmente una línea físicamente dedicada, pero si reserva un circuito entre dos
puntos que puede ser utilizado todo el tiempo.
Algunos nombres de líneas dedicadas son: Circuito arrendado, Línea serial, Línea punto a
punto o point-to-point, T1, Línea WAN, Línea privada.

Cableado de una Línea dedicada

Cada sitio tiene un equipo llamado CPE (Customer Premises Equipment), que incluye un
router, una interfaz serial y una interfaz CSU/DSU.
La interfaz serial actúa como si fuera una interfaz NIC Ethernet enviando y recibiendo datos
a través del enlace físico.

Éste enlace físico requiere de una función llamada CSU/DSU (channel service unit/data
service unit).

CSU/DSU puede estar situado en la tarjeta de interfaz serial o puede estar fuera del router
como un dispositivo externo.

Para conectar dos routers a través de CSU/DSU necesitaras dos cables serial, un extremo
será el DTE (data terminal equipment) y el otro DCE (data communications equipment).
Del lado de DCE se debe configurar un reloj cronometrado que le dirá al DCE
cuando enviar cada bit. En un router Cisco esto se hace configurando el clock rate.

Del lado de DCE se debe configurar un reloj cronometrado que le dirá al DCE
cuando enviar cada bit. En un router Cisco esto se hace configurando el clock rate.
CSU/DSU ejemplo de interconexión a través de la WAN

Protocolos utilizados en una línea dedicada

HDLC (High-Level Data Link Control) y PPP (Point-to-Point Protocol) son hoy los más
utilizados.

HDLC

Éste protocolo se utiliza para líneas punto a punto, por es un protocolo simple ya que tiene
un único destino para el envío de datos.

Campos del encabezado HDLC

HDLC como tal no tiene un campo Tipo (Type) por tanto Cisco incluye éste campo.

Bandera (Flag): Patrón reconocible para saber que está llegando una trama.
Direccionamiento: Identifica el dispositivo destino.

Control: Actualmente no se utiliza.

Tipo (Type): Identifica el tipo de paquete de capa 3 encapsulado en la trama.

FCS: Identificador de error.

Encapsulación y Desencapsulación en HDLC

Encapsulación y Desencapsulación en HDLC

Pasos de un paquete enviado desde PC1 a PC2:

1. PC1 encapsula el paquete IP en una trama Ethernet con destino la MAC de R1.

2. R1 des encapsula (quita) el paquete IP de la trama Ethernet y encapsula el paquete

en una trama HDLC y envía la trama a R2.

3. R2 des encapsula el paquete IP de la trama HDLC y encapsula en una trama

Ethernet que tiene como destino la MAC de PC2.
WAN Ethernet over MPLS (EoMPLS)

En los inicios de Ethernet las distancias que soportaba eran muy cortas y se utilizaba sólo
para redes LAN, con el tiempo Ethernet soportó mayores distancias llegando a distancias
mayores de 70 km.

Con este avance surgen las redes WAN Ethernet tomando las ventajas que trae Ethernet
consigo.

MPLS es utilizado en la nube del ISP (Internet Service Provide).

Encapsulación y Desencapsulación en MPLS

A diferencia de HDLC, MPLS utiliza la trama Ethernet durante toda la ruta.

Encapsulación y Desencapsulación en MPLS

Pasos de un paquete enviado desde PC1 a PC2:

1. PC1 encapsula el paquete IP en una trama Ethernet con destino la MAC de R1.

2. R1 des encapsula (quita) el paquete IP de la trama Ethernet y encapsula el paquete

nuevamente en una trama Ethernet y envía la trama a R2. La MAC destino es la
dirección MAC de R2 interfaz G0/0, y la MAC de origen es la de R1 G0/1. R1 envía
esta trama a través del servicio EoMPLS a R2.
 3. R2 des encapsula el paquete IP de la trama Ethernet y encapsula en una trama
Ethernet que tiene como destino la MAC de PC2 y envía la trama.

Acceso a Internet

El acceso a Internet se puede hacer de muchas maneras, por ejemplo mediante una Línea
dedicada, DSL y Cable.

DSL

Digital Subscriber Line (DSL), proporcionan acceso a Internet a través de la red telefónica.
 Conexión de acceso a Internet a través del Módem ADSL

Cable Módem o Cable módem

Es un módem que funciona sobre una infraestructura de televisión por cable (CATV).
Vamos a ver qué es ARP el protocolo ARP (Protocolo de Resolución de Direcciones)
y cómo funciona ARP. Además a aprenderemos a ver la tabla ARP en la PC y en el router
Cisco.

¿Qué es ARP?

En las redes LAN Ethernet cuando un router o un host necesitan encapsular un paquete IP
en una nueva trama Ethernet, el host o router sabe casi todos los datos necesarios para
armar el encabezado, a excepción de la MAC de destino.

Por tanto, un paquete IP viaja a través de los dispositivos gracias al descubrimiento de

direcciones MAC del protocolo ARP (Address Resolution Protocol ó Protocolo de
Resolución de Dirección).

Como vimos en el Capítulo 1: El Modelo OSI, el protocolo IP funciona en la capa 3 donde

también pertenecen los routers.
El paquete IP viaja de router en router y para hacerlo entre salto y salto debe encapsular
en la capa 2.

Para que un router sepa llegar a otro router u otra PC utiliza el protocolo ARP que aprende
dinámicamente el direccionamiento de enlace de datos (la MAC de la Capa 2) de una IP de
un cliente conectado a la red LAN.

Resolución de dirección MAC con ARP

En la figura anterior podemos ver por ejemplo cómo el tercer router (de izquierda a derecha)
utiliza ARP para aprender la MAC de la PC2 antes de enviar los paquetes.

¿Cómo funciona ARP?

ARP envía un paquete ARP request a la dirección de broadcast ([Link]) con
la dirección IP por la que pregunta y espera un paquete ARP reply con la dirección MAC
que corresponde a esa IP.

El proceso de descubrimiento de MAC de ARP

¿Cómo ver la tabla cache ARP en mi PC?

Para ver la tabla ARP escribe en la línea de comandos de tu sistema operativo; arp –a

¿Cómo ver la tabla ARP en un Router Cisco?

Show ip arp

R2# show ip arp

Protocol Address Age (min) Hardware Addr Type Interface
Internet [Link] - 0200.2222.2222 ARPA GigabitEthernet0/0
Internet [Link] 35 0200.3333.3333 ARPA GigabitEthernet0/0

¿Qué es IPv4?
IPv4 (Protocolo de Internet versión 4 o en inglés: Internet Protocol versión 4), es un
protocolo de redes basados en Internet. Utiliza direcciones de 32 bits, siendo el total de
direcciones posibles de 4 294 967 296.

Cabecera IP

Cabecera IPv4 de 32 bits

La cabecera IP tiene 32 bits de ancho (4 bytes), siendo el total del paquete IP de ARPA
Gigabit Ethernet 20 bytes.

Clases de redes IPv4 – Direccionamiento IP

Nota: En las distintas clases de redes mencionamos una máscara, si aún no sabes cuál es
el concepto de máscara no te preocupes, lo veremos más adelante en éste curso. De
momento sólo es importante saber desde y hasta qué IP va una clase de red.

Dado que una dirección IPv4 tiene 32 bits y la representación decimal se divide en cuatro
octetos, si decimos que una IP tiene una máscara /8 (Clase A) quiere decir que sus primeros
8 octetos -de izquierda a derecha- pertenecen a la red y los demás octetos pertenecen al
host.

De igual manera para las máscaras /16 que utiliza la Clase B y /24 que utiliza la Clase C.

Rango de Direcciones IP disponibles por Clases de Red A, B, C, D, E

Clase A: [Link] a [Link] – Máscara /8

Reservado [Link]/8 (de [Link] a [Link])

Reservado [Link]/8 (de [Link] a [Link])

Clase B: [Link] a [Link] – Máscara /16

Clase C: [Link] a [Link] – Máscara /24

Clase D: [Link] a [Link] (Clase reservada para Multicast)

Clase E: [Link] a [Link] (Clase reservada)

Clase Rango válido del Primer Octeto Redes válidas

A 1 a 126 [Link] a [Link]

B 128 a 191 [Link] a [Link]

C 192 a 223 [Link] a [Link]

¿Cómo es enrutado un paquete IP?

Nada mejor que empezar con un ejemplo, para la siguiente red veremos qué pasos sigue
un paquete IP mientras es enrutado hasta llegar a su destino:

Enrutamiento IP – Ruteo en una misma subred y en subredes distintas

Enrutamiento IP en una misma subred

Caso 1: Desde PC1 hasta PC10

Paso 1 (Aplicaría para el Caso 1). Si la dirección IP de destino está en la misma subred
IP que yo, enviar el paquete directamente a ese host de destino.

Paso 2 (Aplicaría para el Caso 2). Sino, enviar el paquete a mi ruta por defecto (default
Gateway o router por defecto). La ruta por defecto tiene una interfaz en la misma subred
que el host.

Enrutamiento IP en diferente subred

Caso 2: Desde PC1 hasta PC2

Cuando el router recibe una trama dirigida a la dirección de enlace de ese router, el router
debe procesar el contenido de la trama. La lógica que el router realiza es la siguiente:

Paso 1. Verifica que la trama no tenga errores, para esto chequea el campo FCS de la
trama; si tiene errores descarta la trama.

Paso 2. Asumiendo que la trama no tenía errores y no fue descartada en el Paso 1, el router
quita el encabezado y la cola de la trama para dejar solamente el paquete IP.

Paso 3. Compara la dirección IP de destino que tiene el paquete IP con su tabla de ruteo
IP y busca el router que mejor se correlaciona con la dirección IP de destino. Esta ruta (de
la tabla de ruteo) identifica la interfaz de salida del router y posiblemente el siguiente salto
(next-hop); la dirección IP del siguiente router.

Paso 4. Encapsula el paquete IP dentro de una nueva trama de la capa de enlace (capa 2)
con un nuevo encabezado y cola con los nuevos datos necesarios para reenviar el paquete
encapsulado hacia una nueva interfaz de salida.

El proceso se repite hasta que el paquete llegue a su destino.

Si bien el router realiza todos los pasos antes descritos, la función principal de un router
estaría en el Paso 3.

¿Qué hacen los protocolos de enrutamiento?

El propósito principal de los protocolos de enrutamiento es:

• Mantener y llenar la tabla de enrutamiento con una ruta por subred.

• Si existe más de una ruta para una subred, elige y pone en la tabla de enrutamiento
la mejor ruta.

• Da aviso cuando una ruta ya no está disponible y la quita de la tabla de

enrutamiento.

• Si se quita una ruta de la tabla de enrutamiento y otra ruta a través de otro router
vecino está disponible, entonces agrega la ruta a la tabla.

• Agregar rápidamente nuevas rutas para remplazar otras cuando se pierde una ruta
y se encuentra otra. A esto se le llama tiempo de convergencia.

• Prevenir bucles (loops).

¿Cómo funciona un protocolo de enrutamiento?

Todos los protocolos de enrutamiento funcionan similar y por lo general no se precisa más
de un protocolo de enrutamiento. Los pasos que realiza un protocolo de enrutamiento son
los siguientes:

Paso 1: Cada router agrega rutas a su tabla de enrutamiento para cada

subred directamente conectada al router.

Paso 2: Cada router le avisa a su vecino de las rutas que tiene en su tabla de enrutamiento.

Paso 3: Luego de agregar una ruta que aprendió por un vecino, agrega esa ruta a su tabla
de enrutamiento junto a al router next-hop (siguiente salto) que habitualmente es el router
por donde aprendió la ruta.

Qué es el Protocolo TCP

TCP es un protocolo que se encuentra en la Capa 4 del Modelo OSI, en ésta capa (capa
de transporte) se definen varias funciones siendo la más importante la de recuperación de
errores y control de flujo. Los mensajes creados por TCP son llamados segmentos.

Funciones soportadas por TCP

Multiplexación Utilizando Puertos: Permite que lo que llega desde una fuente (como una
aplicación) pueda enviar los datos basándose en el número de puerto.

Recuperación de Errores (Confiabilidad): Permite la retransmisión ya que enumera los

datos con una secuencia conocida.

Control de Flujo: Evita congestión utilizando un tamaño de ventana, es decir un buffer.

Orientado a Conexión: Establecimiento y finalización de conexión.

Ordena Datos de Transferencia y Segmentación: Ordena los bytes en el mismo orden

Cabecera TCP

Campos de la Cabecera TCP

Puerto Origen (16 bits): Identifica el puerto emisor.

Puerto de Destino (16 bits): Identifica el puerto receptor.

Número de secuencia (32 bits): Identifica el byte del flujo de datos enviado por el emisor
TCP al receptor TCP.

Número de reconocimiento o acuse de recibo (32 bits): Contiene el valor del siguiente
número de secuencia que el emisor del segmento espera recibir.

Offset o Longitud de cabecera (4 bits): Especifica el tamaño de la cabecera en palabras de

32 bits.

Reservado (3 bits): Para uso futuro.

Bits de Bandera o Flag (9 bits): Nueve banderas de 1 bit para distintos propósitos.

Ventana (16 bits): Tamaño de ventana que especifica el número máximo de bytes que
pueden ser metidos en el buffer de recepción.
Suma de control o verificación (16 bits): Checksum utilizado para la comprobación de
errores tanto en la cabecera como en los datos.

Urgente (16 bits): Cantidad de bytes desde el número de secuencia que indica el lugar
donde acaban los datos urgentes

Aplicaciones que utilizan TCP

Número de puerto Aplicación

20 FTP datos

21 FTP control

22 SSH

23 Telnet

25 SMTP

53 DNS

80 HTTP (WWW)

110 POP3

443 SSL

Cómo funciona TCP

Multiplexación Utilizando Números de Puerto TCP

 Qué es Multiplexación en TCP

En el siguiente ejemplo podemos ver la comunicación entre dos dispositivos que utilizan
diferentes aplicaciones a través de los diferentes puertos según el servicio.

La Multiplexación se base en un concepto llamado socket (zócalo). Un socket consiste en

tres cosas:

• Una dirección IP

• Un protocolo de transporte

• Un número de puerto

Donde la solicitud es originada cualquier número de puerto puede ser utilizado.

De esta manera, cada solicitud en un mismo host utiliza diferentes números de puerto, pero
un servidor utilizara el mismo número de puerto para todas las conexiones.

Por ejemplo, 50 navegadores web en un mismo host (diferente puertos de origen) puede
conectarse a un mismo servidor web, pero el servidor web que tiene conectados 50 hosts
a él, tiene un socket y por tanto un solo puerto (puerto 80 para este caso).
 Sockets en TCP

El servidor puede decir cuales paquetes son enviados desde uno de los 50 clientes mirando
el puerto de origen en el segmento TCP recibido.
Establecimiento y Finalización de Conexión

Establecimiento de conexión TCP

Establecimiento y Finalización de Conexión TCP de tres vías (también llamado three-way handshake)

El establecimiento de conexión en TCP se realiza por tres vías (también llamado three-way
handshake) y se realiza previo a comenzar la transferencia.

La conexión se establece entre dos sockets.

Las señales de conexión TCP utilizan 2 bits dentro del campo bandera (flag) en la cabecera
TCP. Las banderas son SYN y ACK.

SYN significa «synchronize the sequence numbers ó del español; sincronizar los números
de secuencia» que es necesario para la inicialización en TCP.
Finalización de conexión TCP

Finalización de conexión en TCP por cuatro vías

La finalización de conexión TCP se realiza por tres vías, es sencilla y utiliza una bandera
adicional llamad el bit FIN.

TCP es un protocolo orientado a conexión

Protocolo orientado a conexión: Requiere un intercambio de mensajes antes de comenzar

a trasferir o requiere preestablecer una correlación entre dos puntos finales.

El protocolo no orientado a conexión es lo contrario; no requiere de algún intercambio de

mensajes antes de comenzar la transferencia.

Recuperación de Errores y Confiabilidad

Confiabilidad en TCP

TCP provee confiabilidad en la transferencia de datos, llamado también recuperación de

errores.

Para poder brindar esa confiabilidad, TCP enumera los bytes utilizando
una Secuencia y Reconocimiento (Acknowledgment) de los campos en la cabecera TCP.
TCP logra la confiabilidad en ambas direcciones, utilizando el campo Número de Secuencia
para una dirección combinada con el campo Número de Reconocimiento en la dirección
contraria.

La siguiente figura nos muestra un ejemplo de cómo el número de secuencia y el número

de reconocimiento permite enviar 3000 bytes de datos desde la PC al Servidor Web.

Confiabilidad en la transferencia de datos en TCP

En la figura se ven los segmentos TCP en orden, de arriba hacia abajo. Por simplicidad
todos los mensajes tienen 1000 bytes de datos en la porción de datos del segmento de
TCP.

En la figura se puede ver que sólo un mensaje va desde el servidor hacia la PC, es el
mensaje de número de reconocimiento que da acuse de recibo.

El valor 4000 para el número de reconocimiento quiere decir «Recibí todos los datos en
número de secuencia hasta 4000 o menos, estoy listo para recibir tu byte 4000.» Esta
convención de reconocimiento al enumerar el siguiente byte esperado, en lugar del número
del último byte recibido, se denomina acuse de recibo.

En éste primer ejemplo no se recupera ningún error, pero nos muestra de una manera
simple cómo un host envía datos con números de secuencia para identificar los datos y del
otro lado host que lo recibe utiliza el número de reconocimiento de para reconocer los datos.

Para conseguir recuperar errores, TCP utiliza éstas herramientas.

Recuperación de Errores en TCP

Gracias al campo número de secuencia y reconocimiento es que el dispositivo receptor

puede avisar si un dato se perdió, pidiéndole al dispositivo que envidio los datos que vuelva
a enviarlos y reconoce si el dato enviado llega al destino.

La siguiente figura nos muestra un ejemplo de cómo se puede recuperar datos perdidos.
Basándonos en el caso anterior, en éste ejemplo el segundo segmento de TCP falla a través
de la red.

Recuperación de Errores en TCP

Control de Flujo Utilizando Tamaño de Ventana

El concepto de ventana deja el dispositivo receptor avisarle al transmisor cuantos datos

puede recibir en ese momento, así el transmisor transfiere más o menos datos.

El receptor puede cambiar el tamaño de ventana. En la siguiente figura podemos ver un

ejemplo de esto.
Qué es el Protocolo UDP

UDP es un protocolo que se encuentra en la Capa 4 del Modelo OSI, en ésta capa (capa
de transporte). Provee la funcionalidad de Transferir Datos y la Multiplexación Utilizando
Puertos.

Funcionalidades

Multiplexación Utilizando Puertos: Permite que lo que llega desde una fuente (como una
aplicación) pueda enviar los datos basándose en el número de puerto.

No Orientado a Conexión: El protocolo no orientado a conexión es lo contrario al protocolo

TCP; no requiere de algún intercambio de mensajes antes de comenzar la transferencia.

Cabecera UDP

UDP tiene sólo 8 bytes. UDP necesita una cabecera pequeña ya que tiene un trabajo
«sencillo», sin demasiadas funcionalidades.

Campos de la Cabecera UDP

Aplicaciones que utilizan UDP

Las aplicaciones que utilizan UDP son tolerantes a la perdida de datos o tienen algún otro
mecanismo para la recuperación de datos.

Por ejemplo, VoIP utiliza UDP ya que si un paquete de voz se pierde, al ser una
comunicación en tiempo real, el tiempo de retransmisión del paquete podría ocasionar
mucho retraso y la voz podría ser irreconocible.

También la solicitud de DNS utiliza UDP ya que un usuario volverá a realizar la operación
de resolución de DNS si falla.
NFS (Network File System o en español Sistema de Archivos de Red) también utiliza UDP,
NFS es una aplicación de sistema de archivos remoto, la recuperación de datos la realiza
en la Capa de Aplicación (Capa 7 del modelo OSI), por tanto, las funcionalidades de UDP
son aceptables para NFS.

Número de puerto Aplicación

53 DNS

67 DHCP Servidor

68 DHCP Cliente

69 TFTP

161 SNMP

514 Syslog

Funciones

TCP y UDP soportan diferentes funciones, de las cinco funciones que veremos a
continuación UDP soporta sólo una. Esto no quiere decir que UDP es peor que TCP,
simplemente se utilizan para diferentes propósitos.

Por ejemplo, UDP es utilizado en VoIP para transmitir voz ya que no es necesario volver a
transmitir datos de voz si se pierden, de igual manera para datos de vídeo. Además UDP
tiene un tamaño de trama menor que TCP lo que le permite lograr una mayor transferencia
de datos.

Si por el contrario es importante que los datos se retransmitan ante cualquier perdida,
entonces lo mejor sería utilizar TCP, por ejemplo, para conexiones Web HTTP se utiliza
TCP.
TCP y UDP: Funciones soportadas por ambos

Multiplexación Utilizando Puertos: Permite que lo que llega desde una fuente (como una
aplicación) pueda enviar los datos basándose en el número de puerto.

TCP: Funciones soportadas sólo por TCP

Recuperación de Errores (Confiabilidad): Permite la retransmisión ya que enumera los

datos con una secuencia conocida.

Control de Flujo: Evita congestión utilizando un tamaño de ventana, es decir un buffer.

Orientado a Conexión: Establecimiento y finalización de conexión.

Ordena Datos de Transferencia y Segmentación: Ordena los bytes en el mismo orden

TCP vs UDP: Ventajas y Desventajas

UDP necesita menos bytes en la cabecera por lo que utiliza menos ancho de banda y
necesita menos consumo procesamiento.

TCP en cambio consume más ancho de banda que UDP, pero permite la retransmisión y
evita congestión.

En este Capítulo 4. Usando la Interfaz de Línea de Comando (CLI) se cubren los siguientes
temas:
1. Cómo ingresar a la CLI de un Switch Cisco

2. Los distintos Modos de Acceso de Usuario en un Switch

3. Los Tipos de Memorias de un Dispositivo Cisco

4. Cómo Copiar y Borrar la Configuración de un dispositivo Cisco

5. Y por último, veremos cómo qué es y cómo configurar la consola para que un
usuario acceda al equipo por consola

La primera habilidad que necesitas aprender antes hacer todas las tareas de configuración
y verificación es aprender cómo acceder y usar la interfaz de usuario del router, llamada
interfaz de línea de comandos (CLI).

El primer capítulo comienza mostrando los conceptos básicos sobre cómo acceder a la CLI.

Veremos una vez dentro del equipo cómo ingresar comandos de verificación. También
cómo guardar esa configuración.
¿Qué es el CLI de Cisco?

CLI quiere decir command-line interface ó en español; interfaz de línea de comandos

basado en texto.

Ingresar al IOS de Cisco por CLI

IOS (Internetwork Operating System) es el Sistema Operativo de Cisco.

Existen tres maneras para ingresar al switch, por Consola, por Telnet y por SSH. Telnet y
SSH utilizan la red IP, la consola es un puerto físico creado específicamente para permitir
el acceso a la CLI.

Ingresar al CLI de Cisco por Consola, Telnet o SSH

Tipos de Cables: Ingresar a un Switch Cisco por Consola

Como mencione antes si deseamos ingresar al CLI de Cisco por consola necesitaremos un
cable con un puerto Serial, RJ-45 y/o USB.

Distintas maneras de Ingresar al CLI por consola utilizando distintos cables

Nota: Cuando se utiliza la opción de USB, por lo general necesitaras también instalar los
drivers en tu PC para que el mismo sea reconocido por tu Sistema Operativo. Algunos
Switch soportan tanto el viejo conector USB como el nuevo puerto USB Consola (Mini-B).

Para acceder a consola se debe utilizar también una aplicación emulador.

El emulador trata todos los datos como texto y debe ser configurado para ser utilizado con
un puerto serial para que coincida la configuración del switch con la configuración del puerto
de consola.
Configuración 8N1

La configuración por defecto para un switch es la siguiente. Puedes ver que los últimos tres
parámetros se refieren colectivamente como 8N1.
• 9600 bits/second
• No hardware flow control
• 8-bit ASCII
• No parity bits
• 1 stop bit

Modos de Acceso en Cisco

Modo Usuario y Modo Privilegiado

User y Enable (Privileged) Modes son los modos de privilegios de tipo User y Enable

User Mode: También conocido como modo de usuario EXEC. Promt (>).

Enable Mode: También conocido como modo privilegiado o modo EXEC privilegiado).
Promt (#).
Modo Usuario y Modo Enable (Privilegiado) en Cisco
Configurar Modo Enable (Privilegiado) en Cisco

Ejemplo: Comandos en Modo Privilegiado que se rechazan en Modo de Usuario

Press RETURN to get started.

User Access Verification

Password:

[Link]>

[Link]> reload
Translating "reload"
% Unknown command or computer name, or unable to find computer address
[Link]> enable
Password:
[Link]#
[Link]# reload

Proceed with reload? [confirm] y

[Link] %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command.

Ejemplo: Contraseña de Acceso en CLI por Consola

[Link]# show running-config

! Output has been formatted to show only the parts relevant to this discussion
hostname [Link]
!
enable secret una_contraseña
! The rest of the output has been omitted
[Link]#

El comando enable secret una_contraseña define la contraseña que se debe utilizar para
ingresar al modo enable.
Modos de Configuración en Cisco

En Cisco existe un modo de configuración en el que se accede desde el Modo Privilegiado

con el comando configure terminal.

Modos de Acceso y Modos de Configuración en Cisco

Submodos y Contextos en Cisco

Dentro del modo de configuración existen submodos y contextos, la siguiente tabla muestra
alguno de ellos:

Nombre del
Promt Comando-Contexto para llegar a éste Modo
Modo

Ninguno – Primer modo del configure

hostname(config)# Global
terminal

line console 0
hostname(config-
Line
line)# line vty 0 15

hostname(config-if)# Interface interface type number

hostname(vlan)# VLAN vlan number

 Distintos Modos de Configuración en Cisco

Usualmente existen cuatro tipos de memoria en Cisco. Estas memorias son:

• Memoria RAM (Random Access Memory | Memoria de Acceso Aleatorio)

La configuración que se está ejecutando en el dispositivo y las tablas de
enrutamiento están alojado en esta memoria. El contenido que este alojado en esta
memoria se perderá si el dispositivo es reiniciado.

• Memoria Fash: Aquí se guardan las imágenes del IOS (Sistema Operativo del
Dispositivo). También se pueden guardar otros archivos como archivos de
configuración de respaldo. La información se mantiene guardada siempre, incluso
si se reinicia el equipo.

• Memoria ROM (Read Only Memory | Memoria Sólo de Lectura)

Guarda el programa bootstrap que es utilizado para inicializar los proceso de inicio.
Es una memoria de sólo lectura y no puede ser modificada.

• Memoria NVRAM (Nonvolatile RAM | RAM No Volatil)

Utilizada usualmente para guardar el archivo de configuración de inicio. La
información se mantiene guardada siempre, incluso si se reinicia el equipo.
Copiar Archivos de Configuración Cisco

En Modo Usuario ejecutar el comando copy running-config startup-config (en memoria

RAM) éste comando sirve para guardar la configuración del archivo running-config al
archivo startup-config (en memoria NVRAM).

R1# copy startup-config running-config

Borrar Archivos de Configuración Cisco

Puedes borrar el archivo de configuración startup-config en un switch o router Cisco puedes

utilizar diferentes comandos:

• write erase
• erase startup-config
• erase nvram:

R1#write erase
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete
%SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
R1#reload
Proceed with reload? [confirm]

Pasos para Configurar Consola en Switch Cisco

Configurando la contraseña para consola:

1. Utiliza el comando line con 0 para ingresar al modo de configuración de la consola.

2. Utiliza el subcomando login para habilitar la contraseña de seguridad de consola

utilizando un sistema de seguridad simple.

3. Utiliza el subcomando password password-value para indicar la contraseña de

consola.
Ejemplo: Contraseña de Acceso en CLI por Consola

Switch#(config)# line console 0

Switch#(config-line) # password la_pass_que_quieras
Switch#(config-line) # login
Switch#(config-line) # exit

Las tres líneas sirven para configurar la contraseña para el acceso a consola.

La primera (line console 0) identifica a la consola.

El comando login es para hacer una comprobación simple de la contraseña en la consola.

Por defecto el switch no pregunta por una contraseña para el acceso a la consola.

Por último, el comando password la_pass_que_quieras define la contraseña que se debe

ingresar cuando se accede por consola.

Ejemplo: Más de un usuario de acceso con Usuario Local y Contraseña

El comando username nombre_ususario secret contraseña_usuario permitirá tener un

nombre de usuario y contraseña, y podrás tener varios para cada administrador.

username usuario1 secret contraseña_usuario1

username ususario2 secret contraseña_usuario2

SW2# telnet [Link]

Trying [Link] ... Open

User Access Verification

Username: usuario1
Password:
SW1> enable
Password:
SW1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#^Z
SW1#
*Mar 11 [Link].329: %SYS-5-CONFIG_I: Configured from console by wendell on vty0
([Link])

Explicar cómo funciona un Switch es sencillo, realiza tres simples pasos.

Los Switches reciben tramas Ethernet y toman decisiones. Entre reenviar la trama hacia
otro puerto o ignorar la trama.
Los pasos que realiza un switch son los siguientes:

1. Paso 1: El switch reenvía tramas basándose en la dirección MAC de destino:

A. Si la MAC de destino es un broadcast, Multicast o Unicast con el destino
desconocido (no existe en la tabla de MAC), el switch inunda la red reenviando
la trama a todos los puertos.

B. Si la dirección MAC de destino es una dirección conocida (existe en la tabla de

MAC):

A. Si la interfaz de salida en la tabla de direcciones MAC es diferente a la

interfaz desde donde la recibió, el switch reenvía la trama a la interfaz de
salida.

B. Si la interfaz de salida en la tabla de direcciones MAC es la misma que la

interfaz desde donde la recibió, el switch filtra la trama, esto quiere decir que
el switch simplemente ignora la trama y no la reenvía.

2. Paso 2: El switch utiliza la siguiente lógica para aprender las entradas de la tabla de
direcciones MAC:

A. Reenvía cada trama recibida, examina la dirección MAC de origen y anota la

interfaz por donde la trama fue recibida.

B. Si no existe la dirección MAC de originen la tabla, agrega la dirección y la interfaz

por donde la aprendió.

3. Paso 3: El switch utiliza STP para prevenir loops (bucles) bloqueando algunas
interfaces, es decir, esas interfaces no podrán enviar o recibir tramas.
Paso 1. Como se Reenvían las Tramas Unicast Conocidas

La primera acción del switch es reenviar tramas que le van llegando o ignorarlas.

Para decidir a donde reenviar una trama, el switch utiliza una tabla dinámica que él
construye, en esta tabla se listan todas las direcciones MAC y sus interfaces de salida

El switch compara la dirección MAC de destino de la trama con su tabla para decidir a donde
debe reenviar la trama o simplemente la ignora.

Una manera muy simple de entender cómo se reenvían las tramas Unicast cuando son
conocidas es con las siguientes dos figuras:

Reenvío de tramas Unicast en un Switch

 Reenvío de tramas Unicast entre dos Switches

Paso 2. Cómo Aprende Direcciones MAC un Switch

La segunda acción del switch se trata de aprender las direcciones MAC e Interfaces para
agregar a su tabla.

Los switches aprenden las direcciones MAC y las interfaces para agregarlos a su tabla de
direcciones.

El switch crea la tabla de direcciones leyendo la MAC de origen de las tramas que ingresan.

Si la MAC de origen de una trama no existe en su tabla de enrutamiento, el switch crea una
entrada en su tabla. La tabla lista también la interfaz por donde la trama llego.
La siguiente es una figura donde muestro de manera muy simple cómo aprende direcciones
MAC un switch:

Switch Aprendiendo una MAC y Agregándola a la Tabla

Paso 3. Cómo Evitar Loops Utilizando STP (Spanning Tree Protocol)

La tercera acción importante que realiza un switch es prevenir loops (bucles)

utilizando STP.

Si no existiera STP en cualquier inundación de tramas (cuando recibe una trama Unicast
desconocida o una trama de broadcast) quedara en loops por un tiempo indefinido cuando
existen enlaces físicos redundantes.

Para prevenir lo anterior, STP bloquea puertos para que sólo exista un camino activo si
existe más de un camino físico para un mismo destino.
Si bien STP es una gran solución, también tiene aspectos negativos, por ejemplo, se
necesita algo de trabajo para balancear el tráfico a través de un enlace redundante
alternativo.
Estado del Switch por Defecto de Fábrica

Un switch viene con distintas configuraciones y estados por defecto cuando se saca por
primera vez de la caja:

• Las interfaces están habilitadas (enable) por defecto, prontas para comenzar a
trabajar una vez que el cable se conecta.

• Todas las interfaces están asignadas por defecto a la VLAN 1.

• Las interfaces con velocidad 10/100 y 10/100/1000 usan autonegociación por

defecto.

• El aprendizaje de direcciones MAC, reenvíos e inundamiento (broadcast) funciona

por defecto.

• STP esta habilitado por defecto.

Cómo ver la tabla de direcciones MAC

show mac address-table dynamic

SW1# show mac address-table dynamic

Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----
1 0100.1111.1111 DYNAMIC Fa0/1
1 0100.2222.2222 DYNAMIC Fa0/2
1 0100.3333.3333 DYNAMIC Fa0/3
1 0100.4444.4444 DYNAMIC Fa0/4
Total Mac Addresses for this criterion: 4
SW1#

Comandos Útiles en un Switch

erase startup-config para borrar el archivo startup-config

delete [Link] para borrar los detalles de configuración de la VLAN

reload para reiniciar el switch (utilizando así la configuración de inicio vacía, sin información
de VLAN configurada)

hostname SW1 modifica el nombre o hostname del switch

 Comandos relacionados al historial guardado

Comando Descripción

show history Lista el historial de comandos.

terminal history Permite a un usuario elegir, solamente para su sesión, el tamaño del
size x historial de comandos guardados.

Dese la consola o desde el modo de configuración de línea vty, configura

history size x el numero por defecto de comandos guardados en el historial para ese
usuario.

Estado de la Interfaz y Razones Cuando No Funcionan

Los comandos del switch show interfaces y show interfaces description listan los dos
estados de la interfaz (line status ó estado de línea y protocol status ó estado del protocolo).

Line status hace referencia por lo general al funcionamiento de la Capa 1, protocol

status generalmente hace referencia al funcionamiento de la Capa 2.

Nota: El estado del puerto se lista con los dos estados y slash en el medio de ellos, por
ejemplo: up/up. Los datos de la siguiente tabla están en ingles ya que así es la salida de
los comandos de la interfaz.

Protocol
Line Status Interface Status Causas Principales Típicas
Status

administratively El comando shutdown está configurado

down disable
down en la interfaz.

Sin cable; cable roto, pinouts del cable

erróneos; velocidad desincronizada; el
down down not connected vecino esta (a) apagado, (b)
en shutdown, o (c) en estado error
disable.

No esperado en las interfaces LAN

up down not connected
físicas del switch.

down (err- Port security tiene deshabilitada la

down err-disable
disable) interfaz.

up up connected La interfaz está funcionando.

Observa por un momento los estados not connect, este estado puede tener varias causas,
por ejemplo, usar los pinouts del cable incorrectamente, velocidad, etc. En el siguiente
capítulo veremos en mayor profundidad éste tipo de estado.

Pasos para Configurar Telnet en Switch Cisco

Configurando la contraseña para Telnet (vty):

1. Utiliza el comando line vty 0 15 para ingresar al modo de configuración de vty en las
16 vty lines (enumerado del 0 al 15).

2. Utiliza el subcomando login para habilitar la contraseña de seguridad de las

sesiones vty utilizando una contraseña simple.

3. Utiliza el subcomando password password-value para configurar el valor de la

contraseña de vty.

Telnet utiliza el puerto bien conocido 23/TCP.

Ejemplo: Contraseña de Acceso en Telnet

Switch#(config)# line vty 0 15

Switch#(config-line) # password cualquier_contraseña
Switch#(config-line) # login
Switch#(config-line) # end

Ejemplo: Más de un usuario de acceso con Usuario Local y Contraseña

Comando username nombre_ususario secret contraseña_usuario permitirá tener un

nombre de usuario y contraseña, y podrás tener varios para cada administrador.

username usuario1 secret contraseña_usuario1

username ususario2 secret contraseña_usuario2
SW2# telnet [Link]

Trying [Link] ... Open

User Access Verification

Username: usuario1
Password:
SW1> enable
Password:
SW1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#^Z
SW1#
*Mar 11 [Link].329: %SYS-5-CONFIG_I: Configured from console by wendell on vty0
([Link])
Telnet tiene una seria desventaja frente a SSH: todos los datos en la sesiones se trasmiten
en texto plano, incluyendo la contraseña.

SSH encripta todos los datos transmitidos entre el cliente SSH y el servidor, protegiendo
así los datos y las contraseñas.

SSH utiliza el puerto bien conocido 22/TCP.

Ejemplo: Agregando la Configuración SSH a la Configuración de un Usuario Local

SW1# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

! Paso1. El hostname ya está configurado, pero se repite para reafirmar el paso.

SW1(config)# hostname SW1

SW1(config)# ip domain-name [Link]
SW1(config)# crypto key generate rsa
The name for the keys will be: [Link]
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 1024

% Generating 1024-bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 4 seconds)
SW1(config)#
!
! Opcionalmente, configura la versión SSH a la versión 2
!
SW1(config)# ip ssh version 2
!
! El paso siguiente, configurar las líneas vty para el soporte de usuario local,
! de igual manera que en la configuración de Telnet
!
SW1(config)# line vty 0 15
SW1(config-line) # login local
SW1(config-line) # exit
!
! Se definen los usuarios locales tal como en Telnet
!
SW1(config)# username wendell password odom
SW1(config)# username chris password youdaman
SW1(config)# ^Z
SW1#

Nota: Puedes deshabilitar Telnet si lo deseas para tener mayor seguridad, de la misma
manera se puede deshabilitar SSH. Para hacer esto utiliza el dentro de vty el
subcomando transport input {all | none | telnet | ssh}.
transport input all or transport input telnet ssh: Soporta ambos, Telnet y SSH
transport input none: No soporta a ninguno
transport input telnet: Soporta sólo Telnet
transport input ssh: Soporta sólo SSH

Pasos para configurar SSH en Cisco

1. Configura el switch para generar un par de llaves (keys) públicas y privadas que
coincidan entre ellas para utilizan en la encriptación:

A. Si no está configurado, configura un hostname en el modo de configuración

global.

B. Si no está configurado, configura el nombre de dominio con el comando ip

domain-name en el modo de configuración global.

C. Ingresa el comando crypto key generate rsa en el modo de configuración global

para generar una llave. (Utiliza al menos una llave de 768-bit para poder soportar
la versión 2 de SSH.)

2. (Opcional) Utiliza el comando ip ssh versión 2 en el modo de configuración global

para que no admita la versión 1 y 2 de SSH y sólo admita SSHv2.

3. (Opcional) Si no está configurado con las especificaciones que deseas, configura

las líneas vty para aceptar SSH y también Telnet:

A. Utiliza el comando transport input ssh en el modo de configuración line vty para
permitir sólo SSH.

B. Utiliza el comando transport input all (por defecto) o el comando transport input
telnet ssh en el modo de configuración line vty para permitir tanto SSH como
Telnet.

4. Utiliza varios comandos en el modo de configuración line vty para configurar el

nombre de usuario y autenticación mencionado antes en éste artículo.

Ver el estado del servidor SSH

SW1# show ip ssh

SSH Enabled - version 2.0

Authentication timeout: 120 secs; Authentication retries: 3

Ver los usuarios SSH

SW1# show ssh

A pesar de que un switch es de Capa 2 y transmite Tramas con Direcciones MAC y
no Paquetes IP, permite que se le configure una IP para la gestión.
Se puede acceder al switch por Telnet o SSH y otros protocolos de gestión como SNMP.

Para configurar la IP de gestión del switch se utiliza una VLAN, por lo general es la VLAN
1. Por defecto en un switch Cisco todos los puertos tienen asignada la VLAN 1.
De todas maneras la IP de gestión puede ser configurada en cualquier otra VLAN.

Pasos para Configurar la IP de Gestión del Switch

Configurar Gestión del Switch con una IP Estática

Paso 1. Ingresa el comando interfaz vlan 1 en el modo de configuración global para ingresar
al modo de configuración de la interfaz VLAN 1.

Paso 2. Ingresa el comando ip address ip-address mask en el modo de configuración de la

interfaz para asignar una dirección IP y una máscara.

Paso 3. Ingresa el comando no shutdown en el modo de configuración de la interfaz para

habilitar la interfaz VLAN 1 si aún no estaba habilitada.

Paso 4. Ingresa el comando ip default-Gateway ip-address en el modo de configuración

global para configurar la ruta por defecto (default Gateway).

Paso 5. (Opcional) Agrega el comando ip name-server ip-address1 ip-address2… en el

modo de configuración global para configurar el switch y utilizar el Domain Name System
(DNS) para resolver nombres con su dirección IP correspondiente.

Ejemplo de configuración de Gestión del Switch con una IP Estática

CCNA# configure terminal

CCNA (config)# interface vlan 1
CCNA (config-if) # ip address [Link] [Link]
CCNA (config-if) # no shutdown
[Link] %LINK-3-UPDOWN: Interface Vlan1, changed state to up
[Link] %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed
state to up
CCNA (config-if) # exit
CCNA (config)# ip default-gateway [Link]
Configurar Gestión del Switch con DHCP

Paso 1. Ingresa el comando interfaz vlan 1 en el modo de configuración global para ingresar
al modo de configuración de la interfaz VLAN 1.

Paso 2. Ingresa el subcomando ip address dhcp en el modo de configuración de la interfaz.

Ejemplo de configuración de Gestión del Switch con DHCP

CCNA# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
CCNA (config)# interface vlan 1
CCNA (config-if) # ip address dhcp
CCNA (config-if) # no shutdown
CCNA (config-if) # ^Z
CCNA#
[Link] %LINK-3-UPDOWN: Interface Vlan1, changed state to up
[Link] %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up

Verificando la IP de Gestión de un Switch

show running-config

show interfaces vlan x

show dhcp léase (Note que el switch no aloja la configuración de la IP aprendida por DHCP
en el archivo running-config.)

Ejemplo de verificación de la IP de Gestión aprendida por DHCP

CCNA# show dhcp lease

Temp IP addr: [Link] for peer on Interface: Vlan1
Temp sub net mask: [Link]
DHCP Lease server: [Link], state: 3 Bound
DHCP transaction id: 1966
Lease: 86400 secs, Renewal: 43200 secs, Rebind: 75600 secs
Temp default-gateway addr: [Link]
Next timer fires after: [Link]
Retry count: 0 Client-ID: cisco-0019.e86a.6fc0-Vl1
Hostname: Emma
CCNA# show interfaces vlan 1
Vlan1 is up, line protocol is up
Hardware is EtherSVI, address is 0019.e86a.6fc0 (bia 0019.e86a.6fc0)
Internet address is [Link]/24
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, reload 1/255
! lines omitted for brevity
CCNA# show ip default-gateway
[Link]
Vamos a ver cómo configurar la velocidad del puerto en un switch. Las interfaces de un
switch soportan múltiples velocidades (interfaces de 10/100 y 10/100/1000), por defecto
negocian la velocidad que usan.

Autonegociación de Velocidad en Puertos de un Switch conectado a distintas velocidades

También puedes tú mismo configurar la velocidad del puerto con el comando speed {auto |
10 | 100 | 1000}

Nota: También puedes agregar una descripción a la interfaz con el comando description.

Ejemplo: Cómo Configurar velocidad del Puerto en un switch Cisco

Cambiar velocidad del puerto del switch Cisco:

CCNA# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

CCNA (config)# interface Fast Ethernet 0/1

CCNA (config-if) # speed 100

CCNA (config-if) # description Printer on 3rd floor, preset to 100/full is connected here
CCNA (config-if) # exit
CCNA (config)# interface range Fast Ethernet 0/11 - 20
CCNA (config-if-range) # description end-users connect here
Ejemplo: Ver el estado de la interfaz

Emma# show interfaces status

Port Name Status Vlan Duplex Speed Type

Fa0/1 Printer on 3rd floo notconnect 1 full 100 10/100BaseTX
Fa0/2 notconnect 1 auto auto 10/100BaseTX
Fa0/3 notconnect 1 auto auto 10/100BaseTX
Fa0/4 connected 1 a-full a-100 10/100BaseTX
Fa0/5 notconnect 1 auto auto 10/100BaseTX
Fa0/6 connected 1 a-full a-100 10/100BaseTX
Gi0/1 notconnect 1 auto auto 10/100/1000BaseTX
Gi0/2 notconnect 1 auto auto 10/100/1000BaseTX

En el ejemplo anterior vemos que la interfaz FastEthernet 0/4 (Fa0/4) ha negociado la

velocidad (a-100), esto es el speed auto de Cisco. El texto antepuesto (a-) significa que la
velocidad ha sido negociada.

Autonegociación: Resultado cuando sólo uno de los nodos la usa

Velocidad: Si no hay autonegociación o si falla se usa la velocidad por defecto de IEEE (la
velocidad más baja soportada, generalmente 10 Mbps).

Cómo Bajar/Apagar o Levantar/Pender una Interfaz del Puerto

Para «levantar» o prender una interfaz se usa el comando no shutdown, esto para habilitar
puertos del switch Cisco. Contrariamente para apagar la interfaz usa el comando shutdown,
esto para deshabilitar puertos del switch Cisco.
Ejemplo: Cómo Bajar una Interfaz del Switch

SW1# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

SW1(config)# interface fast Ethernet 0/1

SW1(config-if) # shutdown

SW1(config-if) #

*Mar 2 [Link].701: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively

down

*Mar 2 [Link].708: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state

to down

SW1# show interfaces f0/1 status

Port Name Status Vlan Duplex Speed Type

Fa0/1 disabled 1 auto auto 10/100BaseTX

SW1# show interfaces f0/1

FastEthernet0/1 is administratively down, line protocol is down (disabled)

Hardware is Fast Ethernet, address is 1833.9d7b.0e81 (bia 1833.9d7b.0e81)

MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec, reliability 255/255, txload 1/255, reload 1/255

Los comandos show interfaces y show interfaces status listan la configuración de velocidad
en una interfaz, como se puede observar en el siguiente ejemplo.
Vamos a ver cómo configurar Half Duplex y Full Duplex del puerto en un switch.

Autonegociación de Duplex en puertos de un switch conectado a distintas velocidades y configurados

con duplex distintos

Puedes tú mismo configurar el puerto con el comando duplex {auto | full | half}.

Nota: También puedes agregar una descripción a la interfaz con el comando description.

Cómo Configurar half-duplex del Puerto en un Switch Cisco

CCNA# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
CCNA (config)# interface Fast Ethernet 0/1
CCNA (config-if) # duplex half
CCNA (config-if) # ^Z
CCNA#

Cómo Configurar full-duplex del Puerto en un Switch Cisco

CCNA# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
CCNA (config)# interface Fast Ethernet 0/1
CCNA (config-if) # duplex full
CCNA (config-if) # ^Z
CCNA#
Ver el estado de la interfaz

Emma# show interfaces status

Port Name Status Vlan Duplex Speed Type

Fa0/1 Printer on 3rd floo notconnect 1 full 100 10/100BaseTX
Fa0/2 notconnect 1 auto auto 10/100BaseTX
Fa0/3 notconnect 1 auto auto 10/100BaseTX
Fa0/4 connected 1 a-full a-100 10/100BaseTX
Fa0/5 notconnect 1 auto auto 10/100BaseTX
Fa0/6 connected 1 a-full a-100 10/100BaseTX
Gi0/1 notconnect 1 auto auto 10/100/1000BaseTX
Gi0/2 notconnect 1 auto auto 10/100/1000BaseTX

En el ejemplo anterior vemos que la interfaz FastEthernet 0/4 (Fa0/4) ha negociado el modo de funcionamiento
(a-full). El texto antepuesto (a-) significa que la forma de transmitir/recibir información ha sido negociada.

Estado de enlace de la interfaz (Velocidad y Duplex

Autonegociación

Por defecto en un switch de cisco las interfaces están configuradas como duplex auto.
Como resultado estas interfaces determinan automáticamente la forma de trabajar; duplex
(full o half) y la velocidad.
Los problemas ocurren cuando se dan una infortunada combinación de configuraciones.

Autonegociación: Resultado cuando sólo uno de los nodos la usa

Duplex: Usa por defecto las normas de la IEEE. Si la velocidad es = 10 o 100, usa half
duplex; sino, usa full duplex.

Autonegociación: Hubs en una LAN

Los hubs en una LAN también impactan en cómo la autonegociación funciona.

Básicamente, los hubs no reaccionan a los mensajes de autonegociación y no reenvían los
mensajes.

Como resultado, los dispositivos conectados a un Hub deben usar las reglas de la
IEEE para elegir la configuración por defecto, la cual será el uso de 10 Mbps y half duplex.

Qué es Seguridad en el Puerto o Port Security

Cuando hablamos de seguridad en un switch a nivel de puertos y acceso hablamos de Port

Security.

Port security identifica dispositivos en base a su dirección MAC de origen de las tramas
Ethernet enviadas.
Ejemplo:

Por ejemplo, en la siguiente figura tenemos dos Pc (PC1 y PC2), PC1 envía una trama con
su dirección MAC de origen.

Seguridad en el puerto de un Switch (Port Security)

La interfaz F0/1 del SW1 puede ser configurada con seguridad en el puerto y por tanto SW1
examinara la dirección MAC proveniente de PC1 y decidirá si PC1 tiene permitido enviar
tramas a través del puerto F0/1.

La seguridad del puerto no tiene restricción si la trama se originó desde un dispositivo local
o fue reenviado a través de otro switch.

Por ejemplo, SW1 puede usar seguridad en el puerto para la interfaz G0/1 chequeando la
dirección MAC de origen de la trama de PC2 cuando se reenvía hasta SW1 pasando por
SW2.
Variantes de la Seguridad en el Puerto

• Define un número máximo de direcciones MAC de origen permitidas para todas las
tramas que llegan a la interfaz.

• Mira todas las tramas de ingreso y mantiene una lista de todas las direcciones
MAC de origen, además un conteo del número de direcciones MAC diferentes.

• Cuando se agrega una nueva dirección MAC de origen a la lista, si el numero de la

direcciones MAC sobrepasa al máximo configurado, una violación de seguridad en
el puerto ocurre. El switch realiza una acción (por defecto apaga
administrativamente la interfaz).

Cómo configurar Seguridad en el Puerto

1. Configura la interfaz del switch entre acceso estático o interfaz trunk usando el
comando switchport mode access o switchport mode trunk respectivamente.

2. Habilita la seguridad del puerto usando dentro de la interfaz el comando switchport

port-security.

3. (Opcional) Sobrescribe el máximo número de direcciones MAC asociadas a la

interfaz por defecto usando dentro de la interfaz el comando switchport port-security
maximum number.

4. (Opcional) Sobrescribe la acción por defecto es deshabilitar la interfaz (shutdown)

cuando ocurre una violación de seguridad del puerto usando en la interfaz el
comando switchport port-security violation {protect | restrict | shutdown}.

5. (Opcional) Predefinir cualquier dirección MAC de origen permitida para la interfaz

usando el comando switchport port-security mac-address Mac. Usa el comando
múltiples veces para definir más de una dirección MAC.

6. (Opcional) Dile al switch que haga “sticky learn” o en español «aprendizaje

pegajoso» para las direcciones MAC aprendidas de forma dinámica usando dentro
de la interfaz el comando switchport port-security mac-address sticky.
Ejemplo de configuración:

Ejemplo de configuración para la seguridad en el puerto del switch

SW1# show running-config

(Lines omitted for brevity)

interface FastEthernet0/1

switchport mode access

switchport port-security
switchport port-security mac-address 0200.1111.1111
!
interface FastEthernet0/2
switchport mode access
switchport port-security
switchport port-security mac-address sticky
!
interface FastEthernet0/3
switchport mode access
switchport port-security
!
interface FastEthernet0/4
switchport mode trunk
switchport port-security
switchport port-security maximum 8

switchport port-security habilita la seguridad en el puerto con la configuración por defecto.

switchport mode access para cumplir con el requisito de configurar el puerto como un puerto
de acceso (access) o troncal (trunk).

switchport port-security mac-address 0200.1111.1111 define una dirección MAC de origen

especifica. Con la máxima dirección MAC permitida por defecto de 1, sólo tramas con la
dirección MAC 0200.1111.1111 de origen serán permitidas en éste puerto. Cuando una
trama diferente a ésta ingresa al puerto F0/1, el switch realiza la acción de violación por
defecto que es deshabilitar la interfaz (shutdown).

switchport port-security mac-address sticky le dice al switch que de forma dinámica aprenda
la dirección MAC de origen y agregue los comandos port-security al running-config.
Verificando la configuración:

SW1# show port-security interface fast Ethernet 0/1

Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
Secure Static Address Aging: Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address: Vlan: 0013.197b.5004:1
Security Violation Count : 1

SW1# show port-security interface fast Ethernet 0/2

Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
Secure Static Address Aging: Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 1
Last Source Address: Vlan: 0200.2222.2222:1
Security Violation Count : 0

SW1# show running-config interface f0/2

Building configuration...
Current configuration: 188 bytes
!
interface FastEthernet0/2
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0200.2222.2222

Acciones de Violación para la Seguridad en el Puerto

switchport port-security violation {protect | restrict | shutdown}

Opciones de comandos para la violación de Protegido Restringido

Shutdown*
puerto con switchport port-security violation (protect) (restrict)

Descartar tráfico ofensivo Si Si Si

Envía mensajes de registro y SNMP No Si Si

Incrementa el contador de violación por cada

No Si Si
violación de trama que llega

Deshabilita la interfaz poniéndola en estado

No No Si
err-disable y descartando todo el tráfico
*shutdown es la acción de configuración por defecto.

Cómo ver la tabla de direcciones MAC cuando se habilita Seguridad en el Puerto del Switch

Una vez que se ha configurado un puerto del switch con seguridad, el switch ya no
considera las direcciones MAC asociadas con ese puerto como entradas dinámicas como
se muestra con el comando show mac address-table Dynamic. Incluso si las direcciones
MAC se aprenden dinámicamente, una vez que se haya habilitado la seguridad del puerto,
debe usar una de las siguientes opciones para ver las entradas de la tabla MAC asociadas
a los puertos que utilizan la seguridad del puerto:

show mac address-table secure: Lista las direcciones MAC asociadas con puertos que usan
port security

show mac address-table static: Lista las direcciones MAC asociadas con puertos que usan
port security, así como cualquier otra dirección MAC definida estéticamente.

Ejemplo

SW1# show mac address-table secure interface F0/2

Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----
1 0200.2222.2222 STATIC Fa0/2
Total Mac Addresses for this criterion: 1

SW1# show mac address-table dynamic interface f0/2

Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----
SW1#
VLAN Y VTP

Básicamente para saber qué es un Dominio de Colisión en redes, pensemos que

está implícito en su nombre, es una parte de la red donde colisiones entre dispositivos
ocurren.

La colisión ocurre cuando dos dispositivos envían información al mismo tiempo en un

segmento compartido.

Atrás en el tiempo lo que se utilizaba en una red era un Hub Ethernet, pero a diferencia de
un switch Ethernet el primero no interpreta una señal eléctrica entrante como una trama
Ethernet como si lo haría un Switch. Básicamente un Hub es un repetidor, cuando un
repetidor recibe una señal eléctrica éste replica la misma por todos sus puertos (a
excepción del puerto de ingreso) regenerando la señal.

Ejemplo de colisión

Ejemplo de Colisión en un Dominio de Colisión con un Hub

 • El Hub actúa como un repetidor, regenerando la señal y repitiendo cualquier señal
eléctrica a todos sus puertos, incluso ignorando las reglas de CSMA/CD.

• Cuando dos o más dispositivos envían al mismo tiempo ocurre una colisión eléctrica,
haciendo que las dos señales queden corruptas.
• Los dispositivos conectados deberán tomar turnos utilizando la lógica de CSMA/CD
quien detectara las colisiones.

• Los Hubs entonces crean una topología física de tipo estrella.

Dispositivos (Hub, Bridge, Switch, Router) y los Dominios de Colisión

Ejemplo de dominios de colisión en una red con hubs, bridges, switches y routers

Cinco Dominios de Colisión, ejemplo con Hubs, Bridge, Switch y Router

Los brides, switches y routers crean dominios de colisión.

En resumen

• Cada interfaz de un Switch separa un dominio de colisión.

• Los Bridges utilizan la misma lógica que un switch, cada interfaz separa un dominio
de colisión.

• Los Routers separan dominios de colisión por cada interfaz. (El termino dominio de
colisión no aplica para interfaces WAN.)

• Los Hubs no separan dominios de colisión.

 • Las redes LAN modernas con switches y routers, con full duplex en cada enlace, no
tienen dominio de colisión.

• En una red LAN moderna con todos switches y routers, incluso sabiendo que full
duplex elimina los dominios de colisión, piensa en cada enlace Ethernet como un
dominio de colisión separado cuando sarga la necesidad de solucionar problemas.

¿Qué es un Dominio de Broadcast?

El Dominio de Broadcast o Dominio de Difusión es un dominio donde un broadcast Ethernet

es enviado.

Imagina que tienes una red con varios switches, configurados todos por defecto dentro de
la VLAN 1, si se envía un flujo de tramas de broadcast en esa red, las tramas llegaran a
todos los puertos de todos los dispositivos conectados (excepto desde donde salió la
trama).

Todos los puertos en un Hub o switch por defecto pertenecen al mismo dominio de
broadcast.

Todos los puertos en un router están en diferentes dominios de broadcast y los routers no
reenviaran las tramas de broadcast de un dominio a otro.

Los Routers separan Dominios de Broadcast

Dos
Dominios de Broadcast separados por un router
Las VLANs separan Dominios de Broadcast

En los switches si queremos separar dominios de broadcast lo que debemos hacer es crear
VLANs para distintos puertos.

Dos Dominios de Broadcast separados por VLANs

• Por definición las VLANs son dominios de broadcast creados por configuración.

• Los Routers separan dominios de broadcast por cada interfaz Ethernet.

Qué es Ethernet?

Ethernet es un estándar para redes LAN, el estándar ethernet IEEE fue desarrollado con el
número 802.3.

Para qué Sirve Ethernet?

Ethernet se usa para diferentes tipos de cables, distancias y velocidades.

Una LAN Ethernet puede usar muchos tipos de enlaces físicos para alcanzar distintas
distancias, presupuestos y necesidades de cableado.
Cuando vimos la red LAN ya habíamos mencionado el estándar Ethernet, sus alcances y
velocidades.

Nombre
Nombre Nombre Informal Tipo Cable,
Velocidad Formal del
Convencional del Estándar IEEE Largo Máximo
Estándar IEEE

Cobre UTP, 100

10 Mbps Ethernet 10BASE-T 802.3i
m

Cobre UTP, 100

100 Mbps Fast Ethernet 100BASE-T 802.3u
m

1000 Mbps Gigabit Ethernet 1000BASE-X 802.3z Fibra, 5000 m

Cobre UTP, 100

1000 Mbps Gigabit Ethernet 1000BASE-T 802.3ab
m

10 Gigabit
10 Gbps 10GBASE-X 802.3ae Fibra UTP, 100 m
Ethernet

10 Gigabit Cobre UTP, 100

10 Gbps 10GBASE-T 802.3an
Ethernet m

40 Gigabit
40 Gbps 40GBASE-X 802.3ba Fibra, 100 m
Ethernet

100 Gigabit
100 Gbps 100GBASE-X 802.3ba Fibra, 100 m
Ethernet
Tipo de Ethernet, Medio y Largo Máximo del Segmento

Tipo Medio Largo Máximo

10BASE-T UTP CAT3 o mejor, 2 pares 100 m

100BASE-T UTP CAT5 o mejor, 2 pares 100 m

1000BASE-T UTP CAT5e o mejor, 4 pares 100 m

10GBASE-T UTP CAT6a o mejor, 4 pares 100 m

10GBASE-T UTP CAT6 o mejor, 4 pares 35 – 55 m

1000BASE-SX Fibra Multimodo¹ 550 m

1000BASE-LX Fibra Multimodo 550 m

1000BASE-LX Fibra Monomodo² 5 km

WLC Qué es? Y Para Qué Sirve?

WLC qué es?

Wireless LAN Controller significa en español Controlador de Red Inalámbrica.

En una red Wireless LAN (WLAN) podemos usar WLC para centralizar el control de los
APs (Access Points ó Puntos de Acceso) en lugar de delegar el control a cada uno de ellos.

Ahora el AP ya no trabajaría de manera autónoma y se convertiría en lo que llamamos un

AP Ligero (LWAP) con la ayuda del protocolo de Control y Aprovisionamiento para Puntos
de Acceso Inalámbricos (CAPWAP). El LWAPS enviará los datos hacia el WLC.

Con esta funcionalidad lograremos por ejemplo hacer roaming, definir redes
inalámbricas (WLANs – SSIDs) y autenticación.

Con un diseño de WLC y LWAP combinados una única gran red WLAN en lugar de crear
varias redes separadas.
Ejemplo de una WLAN con WLC y LWAP

Ejemplo de una Red usando Wireless LAN Controller (WLC)

La clave de todo esto es que todo el tráfico fluye a través del WLC.

Qué es una VLAN: Una V LAN (Virtual LAN) agrupa lógicamente dispositivos en
un mismo dominio de broadcast, creando lógicamente distintas redes como si fueran
distintas redes físicas.

Ejemplo de una Red con dos VLAN Cisco

Usualmente una VLAN se configura en un switch para agrupar interfaces físicas en un

mismo dominio de broadcast y otras VLANs con otras interfaces en otros grupos de
interfaces físicas. Incluso se puede configurar la misma VLAN en distintos switches.

Por tanto las tramas de broadcast se switchean en la red a través de una VLAN
especifica.
Para qué Sirve la VLAN?

Para reducir la sobrecarga de CPU en cada dispositivo reduciendo el número de

dispositivos que recibirá la trama de broadcast.

Para evitar riesgos, reduciendo el número de clientes que reciben copias de las tramas
(broadcast, multicas y Unicast desconocidos).

Para mejorar la seguridad para los clientes que envían datos sensibles manteniendo esos
clientes separados con una VLAN.

Para tener diseños de redes más flexibles, agrupando usuarios por departamentos, o
quienes trabajan juntos sin depender de la locación física de los trabajadores.

Para solucionar problemas de manera más rápida ya que la zona de falla esta muchas
veces en el mismo dominio de broadcast donde se encuentran todos los dispositivos.
Para reducir la carga de trabajo del dispositivo por el uso de STP (Spanning Tree Protocol)
limitándolo con una VLAN.

Tipos de VLAN

VLAN de datos o de usuario: Para enviar sólo tráfico de datos generado por el usuario. No
está permitido el tráfico de voz o el tráfico de administración.

VLAN Predeterminada: En cisco la VLAN predeterminada es la VLAN 1. Esta VLAN no se

puede eliminar. A través de ella pasa el tráfico de control de la capa 2. Una vez se prende
el switch todos los dispositivos están por defecto en esta VLAN.

VLAN nativa: Conectada a un puerto del tipo trunk 802.1Q. Coloca en esta VLAN todo el
tráfico no viene etiquetado con otra VLAN
.
VLAN de administración: Esta VLAN se configura para para acceder a la gestión del switch.

VLAN de Voz: Permite mantener la calidad de servicio para telefonía de Voz sobre IP o en
inglés Voice over IP (VoIP). El tráfico tajeado con esta VLAN es prioritario frente a otros,
por ejemplo, el de datos de Internet.
 VLAN Trunking entre dos Switches

Previamente vimos que las VLANs se configuran en un switch simplemente configurando

los puertos del switch para que pertenezcan a un número de VLAN
Con varios switches se necesita una VLAN trunking para interconectar ambos switches.

Que es VLAN Trunking

VLAN trunking hace que se use un proceso llamado VLAN tagging o «tajeado» de
VLAN donde el switch transmisor agrega otra cabecera a la trama a transmitir antes de ser
enviada a través del enlace de tipo trunk. Esta cabecera incluye un campo con el
identificador de VLAN (VLAN ID).

VLAN Trunking se usa cuando queremos transmitir más de una VLAN por un único enlace.

Protocolo 802.1Q para VLAN Trunking

Cisco soporta dos protocolos diferentes para hacer trunking: Inter-Switch Link (ISL) y
IEEE 802.1Q.

El protocolo ISL fue creado mucho antes que 802.1Q, pero cuando 802.1Q se estandarizo
y su popularidad creció Cisco dejo de soportar gradualmente al protocolo ISL.

Lo que hace el protocolo 802.1Q es agregar una etiqueta a cada trama con la VLAN ID,
ésta cabecera sobre la trama original es de 4 bytes y la VLAN ID corresponde a un campo
de 12 bits dentro de la cabecera.
En teoría el campo VLAN ID soportaría 4096 VLANs, pero en la práctica soporta 4094 ya
que reserva la VLAN 0 y 4095.
 Cabecera 802.1Q Trunking Tag

Los switches Cisco cortan el rango de VLANS (1-4094) en dos, el rango normal y el rango
extendido.
• Rango Normal: 1-1005.
• Rango Extendido: 1006-4094.

VLAN Nativa en 802.1Q

Existe definida una VLAN especial, llamada VLAN nativa en cada enlace trunk (por defecto
VLAN 1).

Por definición no se agrega un encabezado a una trama que está en la VLAN nativa.
Cuando el switch en el otro extremo del enlace trunk recibe una trama que no tiene un
encabezado 802.1Q, sabe que la trama es parte de la VLAN nativa. Por supuesto que
ambos switches deben tener configurado el mismo número de VLAN nativa.

La VLAN nativa sirve para que switches que no están conectados en modo trunk puedan
comunicarse a través de la VLAN nativa (que no tiene encabezado 802.1Q).
Ejemplo de Enrutamiento entre dos VLANs usando Trunk en un Router

VLAN trunking puede también ser usado con un router como se ve en la siguiente figura.

VLAN Trunking con un Switcheo en Capa 2 y Enrutamiento en Capa 3

En éste capítulo veremos cómo configurar una VLAN en Cisco. Ya habíamos visto en un
capítulo anterior qué es una VLAN, si tienes dudas sobre los conceptos básico de una VLAN
corre a ver el otro artículo antes de continuar con la configuración de una VLAN.

Cómo Crear una VLAN y el Modo de Acceso en la Interfaz

Un Switch y Tres VLANs

Paso 1: Crear y Configurar una VLAN

1. Configurar el número de VLAN, vlan vlan-id para crear la VLAN

2. (Opcional) Configurar el nombre de la VLAN, name nombre-vlan si no se configura

un nombre, entonces la veremos con el siguiente nombre VLANXXXX, donde XXXX
es el número de VLAN

Paso 2: Configurar el Modo de Acceso de una Interfaz

El modo de acceso para la interfaz se usa cuando tenemos una única VLAN (no es trunk).

1. Nos movemos a la interfaz donde se configuró la VLAN con el

comando interface tipo número

2. Ingresa el comando switchport access vlan número-id dentro de la configuración de

la interfaz

3. (Opcional) Ingresa el comando switchport mode access en la configuración de la

interfaz para que este puerto opere siempre en access mode

Ejemplo 1: Cómo Configurar una VLAN

Configuraremos VLANs y asignaremos las VLANs a las interfaces.

SW1# show vlan brief

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
SW1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)# vlan 2
SW1(config-vlan) # name Freds-vlan
SW1(config-vlan) # exit
SW1(config)# interface range fast Ethernet 0/13 - 14
SW1(config-if) # switchport access vlan 2
SW1(config-if) # switchport mode access
SW1(config-if) # end
SW1# show running-config
! Many lines omitted for brevity
! Early in the output:
vlan 2
name Freds-vlan
!
! more lines omitted for brevity
interface FastEthernet0/13
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/14
switchport access vlan 2
switchport mode access
!
SW1# show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gi0/1, Gi0/2
2 Freds-vlan active Fa0/13, Fa0/14
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup

SW1# show vlan id 2

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
2 Freds-vlan active Fa0/13, Fa0/14

VLAN Type SAID MTU Parent RingNo Bridge No Step BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
2 net 100010 1500 - - - - - 0 0

Remote SPAN VLAN

----------------
Disabled

Primary Secondary Type Ports

------- --------- ----------------- ------------------------------------------
Ejemplo 2: Configuración rápida de VLAN

SW1# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)# interface range Fast Ethernet 0/15 - 16
SW1(config-if-range) # switchport access vlan 3
% Access VLAN does not exist. Creating vlan 3
SW1(config-if-range) # ^Z

SW1# show vlan brief

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
2 Freds-vlan active Fa0/13, Fa0/14
3 VLAN0003 active Fa0/15, Fa0/16
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup

VLAN Trunking Protocol

En todos estos ejemplos se ignora VTP, además VTP está configurado como transparent
mode o deshabilitado (con el comando global vtp mode off). Ambas opciones permiten al
administrador configurar tanto VLANs estándar o extendidas.

Para ver el estado de VTP puedes usar el comando show vtp status. Si tu switch usa el
modo server o client te encontraras con la siguiente situación:

• Los switches servidor pueden configurar VLANs solamente en el rango estándar (1–
1005).

• El switch cliente no puede configurar VLANs.

• Tanto el servidor como el cliente pueden aprender VLANs de otros switches, y ver
sus VLANs borradas por otros switches gracias a VTP.

• El comando show running-config no lista comandos vlans.

Por tanto, en el laboratorio actual el switch está configurado con VTP en modo
transparente, así ignoraremos de momento a VTP en el switch.
Configurar VLAN Trunking

switchport mode trunk

La configuración del trunk en los switches Cisco tienen algunas opciones;

• Tipo de trunking: IEEE 802.1Q, ISL, o negociar cuál usar

• El modo administrativo: Siempre en trunk, siempre en no trunk, o negociar

Los switches Cisco que soporta ISL y 802.1Q pueden negociar cuál usar, usando Dynamic
Trunking Protocol (DTP). Si ambos switches soportan ambos protocolos, entonces usaran
ISL, sino utilizaran el protocolo que ambos switches soportan.

Actualmente son pocos los switches que soportan el protocolo ISL, si lo soportara entonces
podrás usar el comando switchport trunk encapsulation {dot1q | isl | negotiate}

DTP también sirve para negociar el modo administrativo.

Comportamiento del Modo Administrativo:

Opción del
Descripción
comando

access Siempre actúa como un puerto de acceso (no trunk)

trunk Siempre actúa como un puerto trunk

Dynamic Inicia los mensajes de negociación y responde para negociar

desirable dinámicamente si usar trunking

Pasivamente espera a recibir menajes de negociación del trunk, en

Dynamic auto
este punto el switch responde y negocia si usar trunking
 Modo Dynamic Dynamic
Access Trunk
Administrativo Auto Desirable

Do Not
access Access Access Access
Use*

Dynamic auto Access Access Trunk Trunk

Do Not
trunk Trunk Trunk Trunk
Use*

Dynamic desirable Access Trunk Trunk Trunk

*Cuando entre dos switches se configura uno en mod0 «access» y el otro en «trunk» los
problemas ocurren. Evitar esta combinación.

Ejemplo de Configuración del Trunk

Ejemplo de red con dos switches con trunk y tres VLANS

A continuación, veremos dos ejemplos de configuración; en el primero se dejará
la configuración por defecto de los switches para el modo administrativo y en el segundo
ejemplo cambiaremos el modo a Dynamic desirable.

Ejemplo 1: Estado Inicial (Por Defecto). Sin Trunking Entre SW1 y SW2

SW1# show interfaces gigabit 0/1 switchport

Name: Gi0/1
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL

Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none

El resultado anterior nos muestra el modo administrativo por defecto como Dynamic auto.
Dado que SW2 también está configurado como Dynamic auto, el resultado es que el modo
operacional se encuentra en el estado «access», es decir, no es trunking.

Recordemos que Dynamic auto les dice a ambos switches que esperen a otro switch que
comience la negociación.

También podemos observar la fila que indica «Administrative Trunking Encapsulation:

dot1q», esto quiere decir que el equipo soporta sólo 802.1Q, si soportara ISL el valor por
defecto seria “negotiate».

Finalmente vemos «Operational Trunking Encapsulation: native» lo que hace referencia a

la VLAN nativa de 802.1Q.
! Note that the next command results in a single empty line of output.

SW1# show interfaces trunk

SW1#

El comando show interfaces trunk no nos muestra un resultado. Este comando nos
mostraría todos los puertos que actualmente funcionan como trunk.

Como podemos ver no hay interfaces en modo trunk, esto nos reafirma lo que veíamos
antes, el enlace que interconecta los switches no se encuentra en modo trunk.

Ejemplo 2: Cambiando SW1 de Dynamic Auto a Dynamic Desirable

SW1# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

SW1(config)# interface gigabit 0/1

SW1(config-if) # switchport mode dynamic desirable

SW1(config-if) # ^Z
SW1#
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to
down
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to
up
SW1# show interfaces gigabit 0/1 switchport
Name: Gi0/1
Switchport: Enabled
Administrative Mode: dynamic desirable
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Ahora sí, SW1 tiene el modo operacional en trunk, con una encarcelación dot1Q.

SW1# show interfaces trunk

Port Mode Encapsulation Status Native vlan

Gi0/1 desirable 802.1q trunking 1

Port Vlans allowed on trunk

Gi0/1 1-4094

Port Vlans allowed and active in management domain

Gi0/1 1-3

Port Vlans in spanning tree forwarding state and not pruned

Gi0/1 1-3

SW1# show vlan id 2

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
2 Freds-vlan active Fa0/13, Fa0/14, G0/1

VLAN Type SAID MTU Parent RingNo Bridge No Step BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
2 net 100010 1500 - - - - - 0 0

Remote SPAN VLAN

----------------
Disabled

Primary Secondary Type Ports

------- --------- ----------------- ------------------------------------------

El comando show interfaces trunk, ahora lista la interfaz G0/1, confirmando que G0/1 esta
operacional como trunking.
VLANs Listadas en el comando show interfaces trunk

Posición
Título Razones
en la lista

VLANs VLANs de 1–4094, menos los eliminados por el comando

Primera
permitidas de switchport trunk permitido

La primera lista, menos las VLANs no definidas para el

VLANs conmutador local (es decir, no hay un comando de
Segunda permitidas y configuración global vlan o el conmutador no ha aprendido
activas… de la VLAN con VTP), y también menos esas VLAN en
modo shutdown

VLANs La segunda lista, menos las VLANs en un estado de

Tercera en spanning bloqueo STP para esa interfaz, y menos VLANs VTP
tree… quitadas desde ese trunk

El cambio de usar el cableado disponible con los nuevos teléfonos IP que necesitan un
cableado UTP que soporten Ethernet causa algunos problemas en las oficinas, por ejemplo:

• El viejo teléfono (no IP) usaba una categoría de cableado UTP que no soporta
Ethernet a 100Mps o 1000Mbps.

• La mayoría de las oficinas tienen un único cable UTP conectados desde

el rack hasta cada escritorio, pero ahora tenemos dos dispositivos (la PC y el
Teléfono IP) y ambos necesitan un cable conectado desde el escritorio hasta el rack.

• Instalar un nuevo cable a cada escritorio podría ser muy caro, además
requerirá más puertos del switch.

Para solucionar éste problema Cisco incorpora un pequeño switch con tres puertos en los
teléfonos IP. De esta manera, se usará un único cable conectado desde el rack hasta el
switch del teléfono IP y la PC se conecta a un puerto del pequeño switch del teléfono.
Qué es una VLAN de Voz y Datos

La configuración define dos VLANs en un único puerto físico:

VLAN de Datos: La idea y la configuración es igual que una VLAN de acceso en un puerto
de acceso para la PC conectada al switch del teléfono IP.

VLAN de Voz: Es la VLAN definida en el enlace para reenviar el tráfico del teléfono. El
tráfico en esta VLAN usa usualmente un encabezado de etiqueta 802.1Q.

VLAN de Voz y Datos

Cómo Configurar una VLAN de Voz y Datos

VLAN de Voz y VLAN de Datos por un único cable UTP

Veremos cómo configurar una VLAN para voz en un switch Cisco y la VLAN de datos.

Tomando como ejemplo la imagen anterior, configuraremos los primeros cuatro

puertos (F0/1–F0/4) que vienen con la configuración por defecto.
Comandos y Pasos para Configurar VLAN de Voz y Datos en un Mismo Puerto

SW1# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

SW1(config)# vlan 10

SW1(config-vlan) # vlan 11

SW1(config-vlan) # interface range FastEthernet0/1 – 4

SW1(config-if) # switchport mode access

SW1(config-if) # switchport access vlan 10

SW1(config-if) # switchport voice vlan 11
SW1(config-if) #^Z
SW1#

Nota: El protocolo CDP (que veremos más adelante en el capítulo 9 «Gestión de

Dispositivos de Red» del CCNA 200-301 Volumen 2 de este curso) deberá estar habilitado
en la interfaz para que el puerto de acceso de voz funcione con el Teléfono IP de Cisco. De
todas maneras, CDP está habilitado por defecto.

show interfaces número-de-interfaz switchport

SW1# show interfaces Fast Ethernet 0/4 switchport

Name: Fa0/4
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 10 (VLAN0010)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: 11 (VLAN0011)
! The rest of the output is omitted for brevity
show interfaces trunk
show interfaces tipo-número-interfaz trunk

SW1# show interfaces trunk

SW1# show interfaces F0/4 trunk

Port Mode Encapsulation Status Native vlan

Fa0/4 off 802.1q not-trunking 1

Port Vlans allowed on trunk

Fa0/4 10-11

Port Vlans allowed and active in management domain

Fa0/4 10-11

Port Vlans in spanning tree forwarding state and not pruned

Fa0/4 10-11

Port Vlans in spanning tree forwarding state and not pruned

Fa0/4 10-11

En Resumen:

• Configura los puertos como un puerto de acceso normal: Configurar como un puerto
de acceso estático y asigna una VLAN.

• Agrega un comando más para definir la VLAN de voz (switchport voice vlan vlan-id).

• Observa que se nombra a la VLAN ID de voz en la salida del comando show

interfaces tipo-número-interfaz switchport.

• Observa que se ve la VLAN de voz y datos, ambas VLAN IDs en la salida del
comando show interfaces trunk.

• No esperes ver listado el puerto en la lista de trunks operativos con el comando show
interfaces trunk.

Spanning Tree Protocol (STP) permite a las redes LAN Ethernet tener enlaces
redundantes en una LAN mientras soluciona los problemas conocidos cuando se agregan
enlaces extras. Usar enlaces redundante permite mantener funcionando la red cuando un
enlace falla o incluso si un switch completo falla.

Una red bien diseñada no debería tener un único punto de falla, por lo que debería continuar
funcionando si existe una falla.

A través del tiempo, STP fue remplazado por un protocolo mejorado de STP
llamado RSTP (Rapid Spanning Tree Protocol). Los modelos más recientes de Cisco IOS
tienen por defecto RSTP en lugar de STP.
STP y RSTP comparten muchas características y ponerlos en comparativa es una buena
manera de entender las mejoras que trae RSTP.
En éste capítulo se organizan tres grandes secciones

1. Conceptos importantes: Cómo STP y RSTP descubren el árbol armado por los
nodos (switches) y enlaces para que no existan bucles en la red.
2. Diferencias entre STP y RSTP.

3. RSTP en mayor detalle: Cómo RSTP funciona mejor que STP cuando reacciona a
los cambios en la red.

Conceptos Básicos de STP y RSTP

Como comente antes, con STP o RSTP, podemos evitar bucles o loops en una red LAN que
tenga enlaces redundantes.

Con STP o RSTP habilitado, algunos switches bloquean puertos por lo que esos puertos
no podrán reenviar tramas. No hacen otro cambio en el estado de los puertos. Estos
protocolos eligen de manera inteligente qué puertos bloquear, con dos propósitos en mente:

• Todos los dispositivos en una VLAN pueden enviar tramas a todos los demás
dispositivos en esa VLAN.

• Las tramas no viajan en bucle a través de la red de manera indefinida.

¿Para qué sirve STP?

STP/RSTP previene tres problemas comunes que ocurren por un motivo; sin el uso de este
protocolo, una trama podría viajar durante horas, días o incluso para siempre en la red hasta
que el enlace o el equipo caigan.

#1 Tormenta de Broadcast

Una única trama en bucle causa lo que se llama una tormenta de broadcast.
Para entender mejor cómo esto ocurre, la siguiente figura muestra un ejemplo de una red
en la cual Bob envía una trama de broadcast. Las líneas punteadas muestran como la
trama se retransmite por todos los puertos indefinidamente.
 Problema con STP deshabilitado: Tormenta de Broadcast

Ya habíamos visto cómo funciona un switch, recordemos que un switch envía una trama
ethernet de broadcast por todos sus puertos, excepto por el puerto que ingreso la trama.
Todos los switches en el ejemplo anterior hacen esto, reenvían la trama de broadcast por
todos sus puertos.

#2 Tabla de Direcciones MAC Inestable

Otro problema que sucede es que la tabla de direcciones MAC se encuentra inestable ya
que la trama viaja desde la PC de Bob hacia el SW3 donde aprende que para llegar a la
dirección MAC 0200.3333.3333 debe llegar por el puerto Fa0/13, luego la trama viaja hacia
el SW2, luego al SW1 y nuevamente vuelve hasta el SW3, en este momento el SW3 ve que
para llegar a la dirección MAC 0200.3333.3333 debe llegar por el puerto Gi0/1 que es por
donde le llegó esta vez la trama. Todo esto hace inestable la tabla de direcciones de MAC.

#3 Múltiple Transmisión de Tramas

Las tramas que viajan en bucle (infinitamente) en una tormenta de broadcast causan un
tercer problema: múltiples copias de la trama llegan al destino.

Imagina el caso en que Bob envía una trama a Larry, pero ninguno de los switches conoce
como llegar a Larry. Los switches inundan de tramas hacia destinos desconocidos. Cuando
Bob envía la trama destinada a la dirección MAC de Larry, SW3 envía una copia tanto a
SW1 como SW2. SW1 y SW2 también inundan la red de tramas, causando copias de las
tramas en un bucle. SW1 también envía una copia de cada trama hacia el puerto Fa0/11
que es donde está conectado Larry. Como resultado, Larry recibe múltiples copias de la
trama, lo que puede ocasionar que falle la solicitud, lo que a su vez puede ocasionar otros
problemas de red más generalizados.

Tabla con el Resumen de los Tres Problema que Ocurren si no se Usa STP

Problema Descripción

El envío de una trama repetidamente en el mismo

Tormenta de Broadcast enlace, consumiendo partes significantes de las
capacidades del enlace.

La actualización constante de una tabla de direcciones

MAC en el switch con entradas incorrectas, en reacción
Tabla de Direcciones MAC Inestable
a las tramas en bucle, resultando en tramas que se
envían a locaciones incorrectas.

Un efecto secundario de las tramas en bucle en las que

Múltiple Transmisión de Tramas se envían varias copias de una trama al host de destino
previsto, confundiendo así al host.
¿Qué Hace y Cómo Funciona Spanning Tree?

STP/RSTP previene bucles cambiando el estado de los puertos entre el estado de

reenvío (forwarding state) o estado bloqueado (blocking state).

Cuando la interfaz está en estado de reenvío actúa normalmente, enviando y recibiendo

tramas

Lo que hace STP/RSTP: Bloqueo de puertos para evitar Loops

Ahora cuando envía una trama de broadcast, la trama no queda en bucle. Como se puede
ver en los pasos del dibujo:

Paso 1. Bob envía la trama a SW3.

Paso 2. SW3 reenvía la trama sólo a SW1, pero no sale desde Gi0/2 a SW2, porque la
interfaz Gi0/2 de SW3 está en estado bloqueado.

Paso 3. SW1 envía la trama hacia Fa0/11 y Gi0/1.

Paso 4. SW2 envía la trama hacia Fa0/12 y Gi0/1.

Paso 5. SW3 físicamente recibe la trama, pero ignora la trama recibida desde SW2 porque
la interfaz Gi0/2 del SW3 está en estado bloqueado.
Si alguno de los enlaces activos falla, STP/RSTP converge para que SW3 reenvíe las
tramas a través de su interfaz Gi0/2 en su lugar desbloqueando la misma.

Nota: El término converger se refiere al proceso en el cual los switches colectivamente

realizan algún cambio en la topología de la red y determinan qué necesitan cambiar, qué
puertos bloquear y por qué puertos reenviar.

¿Cómo Trabaja Spanning Tree Protocol?

La estructura en árbol de las interfaces de reenvío crea un único camino, tal como en el
caso real de un árbol, crece el árbol desde la base hasta cada hoja.

Usando el algoritmo STA (spanning-tree algorithm), elige qué interfaces serán de reenvío
(forwarding), las no elegidas serán bloqueadas (blocking).

STP usa tres criterios para decidir qué interfaces estarán en estado de reenvío:

• STP/RSTP elige un switch como root o raíz (switch raíz). STP pone todas las
interfaces que están funcionando en el switch raíz en estado de reenvío.

• Cada switch que no es un switch raíz, considera el costo administrativo entre su

puerto y el switch raíz. El costo se llama, el costo raíz de ese switch. STP/RSTP
pone su puerto que es parte de la ruta de menor costo raíz, llamado puerto raíz (en
inglés, Root Port o RP) en estado de reenvío.

• Muchos switches pueden conectarse al mismo segmento Ethernet, pero dado que
un enlace conecta dos dispositivos, un enlace sólo podrá tener un máximo de dos
switches. Con dos switches en un enlace, el switch con el menor costo raíz,
comparándose con los otros switches conectados al mismo enlace, es puesto en
estado de reenvío. Éste switch, es el switch designado, y las interfaces de ese
switch, conectadas a ese segmento, con llamado puerto designado (en
inglés, Designated Port o DP).

Todas las demás interfaces son puestas en estado bloqueado. La siguiente tabla resume
las razones por las que STP/RSTP pone un puerto en estado reenvío o bloqueado:
STP/RSTP: Razones para Reenviar o Bloquear Puertos

Caracterización del Estado

Descripción
Puerto STP

Todos los puertos del El switch raíz es siempre el switch designado en

Forwarding
switch raíz todos los segmentos conectados.

El puerto a través del cual el switch tiene el

Cada puerto raíz del
Forwarding menor costo para llegar al switch raíz (menor
switch no raíz
costo raíz).

El switch que reenvía el Hello al segmento, con

El puerto designado
Forwarding el menor costo raíz, es el switch designado para
en cada LAN
ese segmento.

El puerto no está siendo usado para reenviar

Todos los demás
tramas de usuarios, ninguna trama es recibida
puertos en Blocking
en esas interfaces, ni se consideran tramas
funcionamiento
recibidas para el reenvío en esa interfaz.

Nota: STP/RSTP sólo considera interfaces en funcionamiento (aquellas en estado

conectado). Interfaces en estado de falla (por ejemplo, interfaces sin cable instalado) o
administrativamente down (administrativamente dados de baja) son puesta en
estado deshabilitado por STP/RSTP. Por tanto, en esta sección se considera a un puerto
en funcionamiento a las interfaces que pueden reenviar tramas si STP/RSTP pone la
interfaz en estado reenvío.

Nota: STP y RSTP difieren un poco en el uso de los nombres de algunos estados como
blocking y disabled, con RSTP usando el término de estado discarding. Sin embargo, esas
pequeñas diferencias no cambian la discusión en esta primera sección de este capítulo. La
siguiente sección llamada “Comparación STP VS RSTP” discute esas diferencias.

El STP Bridge y los Campos del Mensaje Hello BPDU

El algoritmo STA intercambia mensajes entre switches:

bridge ID (BID)

El STP/RSTP bridge ID (BID) es un valor único de 8 bytes para cada switch. El bridge
ID consiste en un campo prioritario de 2 bytes y un System ID de 6 bytes.
System ID

Basado en la dirección MAC de cada switch asegurándose que el número es único.

Mensaje bridge protocol data units (BPDU)

También llamado BPDU de configuración, usado por los switches para intercambiar
información entre ellos.

Hello BPDU

El mensaje BPDU más común es el mensaje Hello BPDU, que lista varios detalles,
incluyendo el BID.

La siguiente tabla describe algunas de las informaciones más importantes del menaje Hello
BPDU:

Campo Descripción

El bridge ID del switch que envía el Hello, quien actualmente cree que es
Bridge ID raíz
el switch raíz

Bridge ID del que

El bridge ID del switch que envió este Hello BPDU
envía

Costo raíz del que

El costo STP/RSTP entre éste switch y el que es actualmente raíz
envía

Valores de tiempo en Incluye el temporizador del Hello, el temporizador MaxAge (tiempo

el switch raíz máximo de vida), y temporizador de delay (retraso) de envío

Eligiendo el Switch Raíz (Switch Root)

Los switches eligen el switch raíz basándose en las BIDs en los BPDUs. El switch raíz es
el que tiene el valor numérico del BID más bajo. Ya que, de las dos partes de los valores
de la BID, el primero es el valor que define la prioridad, ósea que, a menor número en el
valor de prioridad, entonces será el switch raíz. Un ejemplo seria, una prioridad 4096 contra
8192, en este caso el switch raíz será el que tiene prioridad 4096.
Si hubiera un empate porque las prioridades son iguales, entonces desempata con el
segundo valor del BID, siendo un valor basado en la MAC, que como ya sabemos la
dirección MAC es única e irrepetible. Por ejemplo, si un switch usa la dirección MAC
0200.0000.0000 y otro usa la 0811.1111.1111, el primer switch (MAC 0200.0000.0000) será
el switch raíz.

El proceso de STP/RSTP para elegir el switch raíz comienza con todos los switches
reclamando ser el switch raíz, enviando mensajes BPDUs del tipo Hello junto a su BID.

STP/RSTP: Proceso inicial y cuando SW1 gana como Switch Root o Switch Raíz

En Resumen, Dos Criterios para Elegir el Switch Raíz

• La prioridad más baja

• Si hay un empate, la dirección MAC más baja

Eligiendo Cada Puerto Raíz del Switch

El segundo proceso de STP/RSTP sucede cuando casa switch que no es raíz elige uno y
sólo uno de sus puertos como raíz (Root Port o RP). El puerto raíz es el que tiene el menor
costo para alcanzar al switch raíz (menor costo raíz).
Como ejemplo podemos ver en la siguiente figura que SW3 tiene dos posibles caminos
físicos hasta el switch raíz: el costo es la suma de los costos de todos los caminos de los
puertos del switch.

Para este ejemplo podemos ver que el costo del camino desde el SW3, interfaz G0/1 es
de 5 y el otro camino tiene un costo de 8. SW3 usa el puerto G0/1 como puerto raíz porque
es el camino menos costoso para llegar al switch raíz.

Cómo STP/RSTP calcula el costo desde SW3 hacia el SW1 que es el switch raíz (root).
El switch raíz envía su costo raíz = 0.

Eligiendo el Puerto Designado (Designted Port o DP)

El paso final de STP/RSTP es elegir el puerto designado (DP) dentro de un segmento de

red. El DP es el puerto del switch que notifica en el mensaje Hello el menor costo en ese
segmento LAN.

Por ejemplo, en la imagen anterior vemos que el SW2 reporta un costo 4 y SW3 un costo
5. Dado que SW2 reporta el menor costo, Gi0/2 es el puerto designado.
Tabla: Resumen del Estado de los Puertos

Interfaz del Razón por la cual la Interfaz está en Estado de Reenvío

Estado
Switch (Forwarding)

La interfaz se encuentra en el switch raíz, por tanto, éste

SW1, Gi0/1 Forwarding
será el DP para este enlace.

La interfaz se encuentra en el switch raíz, por tanto, éste

SW1, Gi0/2 Forwarding
será el DP para este enlace.

SW2, Gi0/2 Forwarding El puerto raíz de SW2.

SW2, Gi0/1 Forwarding El puerto designado en el segmento LAN de SW3.

SW3, Gi0/1 Forwarding El puerto raíz de SW3.

SW3, Gi0/2 Blocking No es el puerto raíz y no es el puerto designado.

Configurando STP para Influenciar en la Topología

Las configuraciones del BID y los costos de los puertos para los switches se crean por
defecto en cada switch, interfaz y VLAN.

Si queremos influir en esta decisión automática podemos hacerlo con las velocidades de
las interfaces, ya que esto valores por defecto se crean a partir de la velocidad según
del estándar Ethernet.
Costos de Puertos por Defecto Según la IEEE

Velocidad Costo IEEE 802.1D: 1998 (y Costo IEEE 802.1Q: 2004 (y

Ethernet antes) después)

10 Mbps 100 2,000,000

100 Mbps 19 200,000

1 Gbps 4 20,000

10 Gbps 2 2000

100 Gbps N/A 200

1 Tbps N/A 20

Hasta ahora habíamos visto todo lo que pueden hacer STP y RSTP. Ahora
veremos características que hace STP que RSTP no hace, para poder contrastarlos y entrar
de lleno en la próxima sección exclusivamente con el funcionamiento de RSTP.

STP y RSTP difieren cuando la red sufre cambios, la forma en que reaccionan estos dos
protocolos es diferente, de ahí el nombre Rapid (Rápido) STP. Entender cómo reacciona
STP a los cambios nos ayudará a entender mejor cuales son las ventajas de RSTP para
que responda más rápido a esos cambios.

Funcionamiento de STP en un Escenario Normal

Un switch raíz envía un nuevo BPDU Hello cada 2 segundos por defecto.

1. El switch raíz crea y envía un BPDU Hello, con un costo raíz de 0 hacia todas sus
interfaces que se encuentran en funcionamiento (estado reenvío).

2. Los switches que no son raíz reciben el Hello en sus puertos raíz. Después el switch
que recibe el mensaje cambia el BID y su costo raíz y reenvía el Hello hacia todos
sus puertos designados (DP).

3. Los pasos 1 y 2 se repiten cuando sucede un cambio.

Temporizadores STP Que Gestionan la Convergencia de STP

Valor por
Temporizador Descripción
Defecto

Hello 2 segundo El periodo de tiempo entre los Hellos creados por el root.

10 veces Hello
(20 segundos, 10
MaxAge Cuanto tiempo cualquier switch debe esperar después de
veces el tiempo
(Tiempo Máximo dejar de escuchar Hellos, antes de intentar cambiar
por defecto del
de Vida) la topología STP.
Hello de 2
segundos)

Retraso que afecta el proceso que ocurre cuando una

interfaz cambia del estado bloqueado al estado de
Forward delay
reenvío. Un puerto permanece en un estado de escucha
(Retraso del 15 segundos
provisional, y luego un estado de aprendizaje provisional,
Reenvío)
por un número de segundos definidos por el tiempo de
Retraso de Reenvío.

Cambiando el Estado de las Interfaces con STP

Cuando un puerto que está bloqueado necesita pasar a un estado de reenvío, el switch
primero pone el puerto en dos estados intermedios. Estos estados temporales de STP
ayudan a prevenir loops:

• Listening (Escuchando): Como en el estado bloqueado, la interfaz no reenvía

tramas. El switch elimina las viejas entradas inutilizadas (sin uso) de la tabla de MAC
para las que no recibe tramas desde cada dirección MAC durante ese periodo. Esa
vieja entrada de MAC podría ser la causa de un loops.

• Learning (Aprendiendo): Las interfaces en este estado aun no envían tramas, pero
el switch comienza a aprender las direcciones MAC recibidas en esa interfaz.
 ¿Reenvía Tramas ¿Aprende MACs Basadas en ¿Estado Transitorio
Estado
de Datos? Tramas Recibidas? o Estable?

Blocking
No No Estable
(Bloqueando)

Listening
No No Transitorio
(Escuchando)

Learning
No Si Transitorio
(Aprendiendo)

Forwarding
Si Si Estable
(Reenviando)

Disabled
No No Estable
(Deshabilitado)

Protocolo STP vs RSTP diferencias y similitudes entre estos dos protocolos:

Con el paso del tiempo nuevos protocolos emergen y lo que antes era suficiente con STP
ahora es mejorado con RSTP (introducido en el estándar IEEE 802.1w). Actualmente RSTP
tiene el estándar 802.1D.

Similitudes entre STP y RSTP

RSTP funciona igual que STP de muchas maneras, como ya vimos en el Capítulo 9.2:
Cómo Funciona STP? y el Capítulo 9.3: Qué hace STP (que RSTP no). En resumen:
• RSTP y STP eligen el switch raíz usando las mismas reglas y desempates.

• RSTP y STP eligen el puerto raíz de sus switches con las mismas reglas.

• RSTP y STP eligen el puerto designado con cada segmento LAN con las mismas
reglas y desempates.

• RSTP y STP ponen cada puerto en estado forwarding o blocking, sin embargo RSTP
llama al estado blocking en estado discarding.

Nota: La única diferencia hasta ahora es la manera en que RSTP llama al puerto en estado
«blocking», nombrándolo como estado «discarding».
Diferencias entre STP y RSTP

La principal razón por la que se crea RSTP para sustituir a STP es por la convergencia. A
STP le toma un tiempo relativamente largo para converger (50 segundos con las
configuraciones por defecto cunado todos los tiempos de espera se dan). A RSTP le toma
usualmente unos pocos segundos (máximo 10 segundos).

• RSTP agrega un nuevo mecanismo en el cuál un switch puede reemplazar su puerto

raíz, sin tener que esperar a tener un estado forwarding (en algunos casos).

• RSTP agrega un nuevo mecanismo para remplazar un puerto designado, sin tener
que esperar a tener un estado forwarding (en algunos casos)

• RSTP baja los tiempos de espera para los casos en que RSTP tiene que esperar un
temporizador.

Cambio en tiempos de espera (MaxAge) en RSTP

Sobre bajar los tiempos de espera, antes STP definía el MaxAge 10 veces para los Hello
(cada Hello se envía cada 2 segundos), siendo en total 20 segundos de espera.
Ahora RSTP lo hace sólo 3 veces en vez de 10.

Roles de los Puertos en RSTP

Uno de los grandes cambios en RSTP es que agrega dos roles de puertos más con
respecto a STP:

• Puerto Alternativo (Alternate Port) que sirve para remplazar al Puerto Raíz cuando
éste falla.

• Puerto de Respaldo (Backup Port) que sirve para remplazar al Puerto

Designado cuando éste falla.
Comparación del Estados de los Puertos en STP y RSTP

Estado Estado
Función
STP RSTP

El puerto esta administrativamente deshabilitado Disabled Discarding

Estado estable que ignora las tramas de datos de entrada y

Blocking Discarding
no es usado para reenviar tramas de datos.

Estado intermedio sin aprendizaje de MAC y sin reenvío Listening Not Used

Estado intermedio con aprendizaje de MAC y sin reenvío Learning Learning

Estado estable que permite el aprendizaje de MAC y el

Forwarding Forwarding
reenvío de tramas de datos

Qué es RSTP

RSTP es el protocolo que previene loops en una red de switches.

Éste suplanta a su antecesor; el protocolo STP. RSTP trae consigo varias mejoras respecto
a STP, principalmente en lo que tiene que ver a los tiempos de convergencia.

Ahora, entrando de lleno sobre qué es RSTP:

Roles de Puertos en RSTP

La siguiente tabla muestra los distintos roles de los puertos en RSTP.

Funciones Rol del Puerto

Puerto con la mejor ruta desde el switch que no es raíz al switch raíz Puerto raíz

Puerto que remplaza al puerto raíz cuando el puerto raíz falla Puerto alternativo

Puerto designado del switch para reenviar a un dominio de colisión Puerto designado

Puerto que remplaza al puerto designado cuando el puerto designado

Puerto de respaldo
falla

Puerto
Puerto que esta administrativamente deshabilitado
deshabilitado
Ejemplo RSTP: SW3 Haciendo que G0/2 se Convierta en el Puerto Alternativo

Ejemplo RSTP: SW3 Haciendo que G0/2 se Convierta en el Puerto Alternativo

Ejemplo RSTP: Convergencia Cuando el Puerto G0/1 Falla en SW3

Ejemplo RSTP: Convergencia Cuando el Puerto G0/1 Falla en SW3

Estados de los Puertos en RSTP

Estado
Función
RSTP

El puerto esta administrativamente deshabilitado Discarding

Estado estable que ignora las tramas de datos de entrada y no es

Discarding
usado para reenviar tramas de datos.

Estado intermedio sin aprendizaje de MAC y sin reenvío Not Used

Estado intermedio con aprendizaje de MAC y sin reenvío Learning

Estado estable que permite el aprendizaje de MAC y el reenvío de

Forwarding
tramas de datos

Cómo Configurar RSTP

Veremos cómo configurar RSTP, actualmente un switch trae RSTP por defecto y
configurado por defecto de manera tal que funcionará automáticamente. Incluso si un switch
tiene STP y el otro RSTP no tendrás problema.

Típica Configuración: Switches de Distribución como Raíz

Por muchas razones, la mayoría de los Ingenieros de red hacen que la capa de switches
de distribución (red de transporte) sean los switches raíz. El siguiente dibujo muestra
una red típica con dos switches de distribución y tres switches de acceso que conectan con
los usuarios finales.
RSTP: Hacer que los Switches de Distribución (Transporte) sean Raíz es una
Configuración Típica

La necesidad de Multiple Spanning Trees Protocol (MSTP)

Tengamos en cuenta que STP se crea en 1990 y en aquel entonces aun no existían
las Virtual LAN (VLAN). Es decir, existía un único dominio de broadcast en una red física
LAN con una única instancia de STP. Luego, a mediados de 1990 aparecen las VLANs y
con ello la necesidad de adaptar STP para que funcione creando múltiples spanning tree.

Ejemplo: STP en dos VLANs distintas con PVST+

La elección del switch raíz difiere en la VLAN 1 y la VLAN2 ya que son dos dominios de
broadcast diferentes. En STP esto lo hace gracias a PVST+ (Per VLAN Spanning Tree
Plus). A su vez vemos como hace balanceo de carga usando las dos interfaces, una por
cada VLAN.
RSTP – Balanceo de Carga con un Árbol para la VLAN1 y otro para la VLAN 2

En RSTP lo anterior lo hace con Rapid PVST+ (RPVST+).

El estándar IEEE no usó PVST+ o RPVST+, que eran propietarios de Cisco, sino que
uso MSTP.

Distintos Modos de STP y Estándares

Línea de tiempo para Per-VLAN y Multiple STP

Línea de Tiempo – Evolución de STP

Cómo configurar PVST+, RPVST+ y MSTP

Basado en STP o # de Estándar Original Parámetro de

Nombre
RSTP? Árboles IEEE Configuración

STP STP 1 (CST) 802.1D N/A

PVST+ STP 1/VLAN 802.1D pvst

RSTP RSTP 1 (CST) 802.1w N/A

Rapid
RSTP 1/VLAN 802.1w rapid-pvst
PVST+

MSTP RSTP 1 o más* 802.1s mst

CST: Common spanning tree.

* MSTP permite definir muchas instancias de spanning tree (multiple spanning tree
instances, o MSTIs), tantas como el diseñador de la red quiera, pero no requiere solo una
por VLAN.

SW1(config)# spanning-tree mode?

mst Multiple spanning tree mode
pvst Per-Vlan spanning tree mode
rapid-pvst Per-Vlan rapid spanning tree mode
SW1(config)#

El Bridge ID y La Extensión del System ID

IEEE redefine el formato original del valor del BID como podemos ver a continuación:

La Extensión System ID de STP

Como se puede ver en la imagen anterior, el campo de la prioridad era originalmente de 16
bits (0 a 65,535). A raíz de esta situación previa al cambio del BID, la configuración del
comando (spanning-tree vlan vlan-id priority x) requiere un número del 0 al 65,535. Pero no
un número de ese rango simplemente; este número debe ser múltiple de 4096 como se
puede ver enfatizado en la siguiente salida de comando:
SW1(config)# spanning-tree vlan 1 priority?

<0-61440> bridge priority in increments of 4096

SW1(config)#

Valores de Configuración de Prioridad para STP/RSTP

Valor Decimal Equivalente en 16 bits

0 0000 0000 0000 0000

4096 0001 0000 0000 0000

8192 0010 0000 0000 0000

12288 0011 0000 0000 0000

16384 0100 0000 0000 0000

20480 0101 0000 0000 0000

24576 0110 0000 0000 0000

28672 0111 0000 0000 0000

Valor Decimal Equivalente en 16 bits

32768 1000 0000 0000 0000

36864 1001 0000 0000 0000

40960 1010 0000 0000 0000

45056 1011 0000 0000 0000

49152 1100 0000 0000 0000

53248 1101 0000 0000 0000

57344 1110 0000 0000 0000

61440 1111 0000 0000 0000

Una manera fácil de configurar un switch como primario o secundario que nos facilita Cisco
es la siguiente:

spanning-tree vlan x root primary (en el switch que será primario)

spanning-tree vlan x root secondary (en el switch que será secundario)
Por defecto el número que le asigna al switch como prioridad es 32,768. Si se configura
como primario la prioridad será entre 24,576 o 4096. Si se configura como secundario la
prioridad será 28,672.

Cómo usan los Switches la Prioridad y la Extensión System ID

A la Configurada Prioridad (16-Bit) se le Agrega el System ID Extensión (12-Bit)

SW1# show spanning-tree vlan 9

VLAN0009

Spanning tree enabled protocol rstp

Root ID Priority 24585

Address 1833.9d7b.0e80
Cost 4
Port 25 (GigabitEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32777 (priority 32768 sys-id-ext 9)
Address f47f.35cb.d780
! Output omitted for brevity
Métodos de RSTP para Soportar Multiple Spanning Trees

• RSTP crea un sólo árbol —el Common Spanning Tree (CST)— mientras que
RPVST+ crea un árbol por cada VLAN.

• RSTP envía una serie de mensajes RSTP (BPDUs) en la red, no importa el número
de VLANs, mientras que RPVST+ envía una serie de mensajes por VLAN.

• RSTP y RPVST+ usan diferentes direcciones MAC de destino: RSTP con la

dirección de Multicast 0180.C200.0000 (una dirección definida por el
estándar IEEE), y RPVST+ con la dirección Multicast 0100. [Link] (una
dirección elegida por Cisco).

• Cuando se transmiten mensajes en las VLAN trunks, RSTP envía los mensajes en
la VLAN nativa sin encabezado/etiqueta en la VLAN. RPVST+ envía los mensajes
de cada VLAN dentro de esa VLAN, por ejemplo, las BPDUs de la VLAN 9 tienen
un encabezado 802.1Q que enumera la VLAN 9.

• RPVST+ agrega un valor de longitud de tipo variable (TVL) a la BPDU que identifica
la ID de la VLAN, mientras que RSTP no (porque no es necesario ya que RSTP
ignora las VLAN).

• Ambos ven la prioridad de 16-bits como si tuvieran una Extensión System ID de 12-
bit, con RSTP configurando el valor en 0000.0000.0000, es decir, «no VLAN»,
mientras que RPVST+ usa la VLAN ID

En otras palabras, el estándar RSTP se comporta como si las VLANs no existieran, mientras
que el RPVST+ de Cisco integra la información de la VLAN en todo el proceso.

Otras Opciones de Configuración de RSTP

Para el examen del CCNA estas opciones de configuración no son necesarias, pero sirven
para ampliar un poco más las opciones de configuración que tenemos con RSTP.

• Switch Priority: spanning-tree vlan x priority y permite configurar la prioridad del

switch para esa VLAN.
• Switches Raíz Primarios y Secundarios: spanning-tree vlan x root primary |
secondary también permite configurar la prioridad, pero el switch decide un valor
para hacer que el switch sea raíz primario (el raíz o root) o raíz secundario (el switch
que se convierte en raíz o root si el primario falla).

• Costo del Puerto: spanning-tree [vlan x] cost y permite configurar el costo

STP/RSTP en un puerto del switch, ya sea para todas las VLANs o una VLAN
especifica en ese puerto. Cambiando esos costos entonces cambia el costo raíz
para algunos switches, lo que impacta en la elección del puerto raíz y del puerto
designado.
Vamos a ver cómo configurar EtherChannel en un switch Capa 2 de Cisco, también
conocido como LAG (link aggregation group).

Qué es EtherChannel y para qué Sirve

Dos switches vecinos pueden tener múltiples enlaces en paralelo entre ellos, como un único
enlace lógico, llamado EtherChannel.

Sin EtherChannel un switch maneja cada enlace por separado.

Sin EtherChannel, con enlaces en paralelo entre los switches, STP/RSTP podría bloquear
todos los enlaces excepto uno, sin embargo con EtherChannel, el switch puede usar todos
los enlaces balanceando el tráfico a través de los enlaces.

Cómo Configurar EtherChannel en un Switch Capa 2

Configuración Manual de EtherChannel

Paso 1. Usar el comando channel-group number mode on para agregar la interfaz física al
channel.

Paso 2. Usar el mismo número en todas las interfaces físicas del switch. El número usado
(channel-group number) puede diferir del usado en no los switches vecinos.
Cómo Configurar EtherChannel en un Switch Capa 2

SW1# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

SW1(config)# interface fa 0/14

SW1(config-if) # channel-group 1 mode on

SW1(config)# interface fa 0/15
SW1(config-if) # channel-group 1 mode on
SW1(config-if) # ^Z
SW1# show spanning-tree vlan 3

VLAN0003
Spanning tree enabled protocol ieee
Root ID Priority 28675
Address 0019.e859.5380
Cost 12
Port 72 (Port-channel1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 28675 (priority 28672 sys-id-ext 3)

Address 0019.e86a.6f80
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300

Interface Role Sets Cost [Link] Type

------------------- ---- --- --------- -------- --------------------------------
Po1 Root FWD 12 128.64 P2p Peer (STP)

SW1# show EtherChannel 1 summary

Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use N - not in use, no aggregation
f - failed to allocate aggregator

M - not in use, minimum links not met

m - not in use, port not aggregated due to minimum links not met
u - unsuitable for bundling
w - waiting to be aggregated
d - default port

A - formed by Auto LAG

Number of channel-groups in use: 1

Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) - Fa0/14(P) Fa0/15(P)
Configuración Dinámica de EtherChannel
Para configurar dinámicamente un EtherChannel es necesario usar un protocolo. Cisco
soporta dos protocolos para cumplir esta función; PAgP (Port Aggregation Protocol) y el
estándar IEEE LACP (Link Aggregation Control Protocol), basado en el estándar 802.3ad.
Existen diferencias entre ambos protocolos.

PAgP VS LACP

LACP soporta más enlaces en un channel -16- comparado con PAgP que soporta un
máximo de 8.

Con LACP, sólo 8 pueden estar activos al mismo tiempo, mientras que los otros quedan en
estado de espera para ser usados en caso que un enlace activo falle.

Ambos protocolos se configuran usando un channel-group, pero cada protocolo usa una
manera de iniciar una negociación y de esperando que el otro comience la negociación.
El siguiente ejemplo muestra el modo de configuración según el protocolo:

PAgP VS LACP – Configuración correcta para cada protocolo

Ejemplo de Verificación:

SW1# show EtherChannel 1 port-channel

Port-channels in the group:

---------------------------

Port-channel: Po1

------------

Age of the Port-channel = 0d:00h:04m:04s

Logical slot/port = 16/1 Number of ports = 2

GC = 0x00020001 HotStandBy port = null

Port state = Port-channel Ag-Inuse

Protocol = PAgP
Port security = Disabled
Load share deferral = Disabled

Ports in the Port-channel:

Index Load Port EC state No of bits

------+------+------+------------------+-----------
0 00 Gi0/1 Desirable-Sl 0
0 00 Gi0/2 Desirable-Sl 0

Time since last port bundled: 0d:00h:03m:57s Gi0/2

Configuración Física de Interfaces y EtherChannel

Aunque todo esté configurado correctamente, otras configuraciones del switch podría evitar
que un puerto sea parte de un EtherChannel. A continuación explico las razones.

Primero, antes de usar un puerto físico en un EtherChannel, el switch compara la

configuración del nuevo puerto físico con los puertos existentes en el channel.

La configuración de esa nueva interfaz física debe ser la misma que la configuración de los
puertos existentes; de lo contrario, el conmutador no agrega el nuevo enlace a la lista de
interfaces aprobadas y en funcionamiento en el canal.

Es decir, la interfaz física permanece configurada como parte del PortChannel, pero no se
usa como parte del channel, a menudo se coloca en un estado no operativo.

La lista de elementos que verifica el switch incluye lo siguiente:

• Velocidad

• Duplex

• Acceso operacional o estado del trunking (todos deben ser puertos -access- de
acceso, o todos deben ser puertos -trunks- troncales)

• Si es un puerto de acceso (switchport mode access), verifica la VLAN de acceso

• Si es un puerto trunk, verifica la lista de VLAN permitida (comando switchport trunk

allowed)

• Si es un puerto trunk, verifica la VLAN nativa

• Configuraciones de STP en la interfaz

Adicionalmente los switches verifican las configuraciones del switch vecino.

Para esto los switches usan PAgP o LACP ó Cisco Discovery Protocol (CDP) si están
usando una configuración EtherChannel manual.

Cuando hacen esta verificación con el vecino, todas las configuraciones deben ser iguales,
a excepción de ST
Ejemplo de fallo

*Mar 1 [Link].132: %PM-4-ERR_DISABLE: channel-misconfig (STP) error detected on

Po1, putting Gi0/1 in err-disable state
*Mar 1 [Link].132: %PM-4-ERR_DISABLE: channel-misconfig (STP) error detected on
Po1, putting Gi0/2 in err-disable state
*Mar 1 [Link].132: %PM-4-ERR_DISABLE: channel-misconfig (STP) error detected on Po1,
putting Po1 in err-disable state
*Mar 1 [Link].120: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to
down
*Mar 1 [Link].137: %LINK-3-UPDOWN: Interface Port-channel1, changed state to down
*Mar 1 [Link].137: %LINK-3-UPDOWN: Interface GigabitEthernet0/2, changed state to
down

SW1# show EtherChannel summary

Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use N - not in use, no aggregation
f - failed to allocate aggregator

M - not in use, minimum links not met

m - not in use, port not aggregated due to minimum links not met
u - unsuitable for bundling
w - waiting to be aggregated
d - default port

A - formed by Auto LAG

Number of channel-groups in use: 1

Number of aggregators: 1

Group Port-channel Protocol Ports

------+-------------+-----------+-----------------------------------------------
1 Po1(SD) - Gi0/1(D) Gi0/2(D)
Distribución de Carga en EtherChannel

Puedes configurar la distribución de carga de un EtherChannel usando el comando port-

channel load-balance método.

Comando de configuración (method) Lógica que usa… Capa

src-mac Dirección MAC de origen 2

dst-mac Dirección MAC de destino 2

src-dst-mac Ambos, origen y destino de la dirección MAC 2

src-ip Dirección IP de origen 3

dst-ip Dirección IP de destino 3

src-dst-ip Ambos, origen y destino de la dirección IP 3

src-port Puerto origen de TCP o UDP 4

dst-port Puerto destino de TCP o UDP 4

src-dst-port Ambos, origen y destino de TCP o UDP 4

Métodos de distribución de carga en EtherChannel

Cuando nos encontramos con un problema es importante saber por dónde empezar a
analizarlo, tener el conocimiento de cómo proceder en la solución de problemas mediante
una metodología es la diferencia sustancial para llegar a buen puerto.

Pasos para Solución de Problemas en Cisco

Paso 1. Aislar el problema y documentar.

Entrar en conocimiento del problema, confirmar que efectivamente éste es el problema y

determinar que dispositivo o enlace puede ser parte del problema cuáles no.

Paso 2. Resolver o escalar.

Si no se puede resolver el problema luego de aislar e identificar por dónde puede venir,
entonces escalar el mismo a un nivel superior de soporte.

Paso 3. Verificar o monitorear.

Ya has visto la existencia del problema, aislado y documentado el mismo, definir una posible
causa del problema y has intentado resolverlo. Es hora de verificar que realmente está
funcionando correctamente, en ocasiones será simplemente ingresar algunos comandados
shows, en otras acciones deberás monitorear durante unos días el avance.

Solucionar Problemas en los Exámenes de CCNA

El examen de CCNA usa principalmente dos tipos de preguntas para evaluar tus
habilidades para solucionar problemas en la red; preguntas tipo Sim y Simlet. Ya habíamos
mencionado los tipos de preguntas del examen, puedes leer más en la sección «Tipos de
preguntas del examen CCNA«.

Ejemplo: Aislar el Problema

Podemos comenzar aislando el problema en la Capa 3.

En la siguiente imagen vemos como aislar el problema en la Capa 3, si encontramos la falla
en el paso 1, 3, 4 o 6 entonces la causa del problema podría estar relacionada
con Ethernet u otro problema de la Capa 2.

Ejemplo de Solución de Problemas con Aislamiento en la Capa 3

Si por ejemplo se encuentra en el análisis de la Capa 3 que la PC1 no puede enviar
paquetes a R1, entonces podemos deducir que el paso 1 (de la imagen anterior) falla.

Ahora, luego de aislar el problema en el paso 1, lo siguiente seria determinar:

• La dirección MAC de PC1 y la interfaz LAN de R1

• Las interfaces del switch usadas en SW1 y SW2

• El estado de la interfaz de cada interfaz del switch

• Las VLANs que deberían estar en uso

• El reenvío esperado de una trama enviada por PC1 a R1, así como la dirección MAC
de destino esperada.

Problemas Comunes de Capa 1 en Interfaces Funcionando

Los switches Cisco listan éste error como CRC (Cyclic redundancy check), es un término
relacionado en el cálculo de FCS (frame check sequence) detecta un error.)

Ejemplo:

SW1# show interfaces fa0/13

! lines omitted for brevity

Received 284 broadcasts (0 multicast)

0 runts, 0 giants, 0 throttles

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 281 multicast, 0 pause input
0 input packets with dribble condition detected
95226 packets output, 10849674 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped out

Runts: Las tramas que no cumplen con el requisito de tamaño de trama mínimo (64 bytes,
incluidos los 18 bytes de la MAC de destino, la MAC de origen, tipo y FCS). Puede ser
causado por colisiones.

Giants: Tramas que exceden del máximo tamaño de trama requerida (1518 bytes, incluidos
los 18 bytes de la MAC de destino, la MAC de origen, tipo y FCS).
Input Errors: Un total de todos los contadores, incluyendo runts, giants, no buffer, CRC,
frame, overrun, e ignored counts.

CRC: Tramas recibidas que no han pasado el cálculo de FCS; puede estar causado por
colisiones.
Frame: Tramas recibidas que tienen un formato errado, por ejemplo, terminando con un
byte parcial; puede causar colisiones.

Packets Output: Número total de paquetes (tramas) enviadas hacia afuera de la interfaz.

Output Errors: Número total de paquetes (tramas) que el puerto del switch intenta transmitir,
pero ocurrió un problema.

Collisions: Conteo de todas las colisiones que ocurrieron cuando la interfaz está
transmitiendo una trama.

Late Collisions: El subconjunto de todas las colisiones que ocurren después de que haya
transmitido el byte número 64 de la trama. (En una red Ethernet LAN que funciona
correctamente, las colisiones deberían ocurrir dentro de los primeros 64 bytes; las
colisiones tardeas -late Collisions-, por lo tanto, hoy en día apunta a un problema en el
duplex.

¿Qué es una Subred?

Una subred es el método de dividir redes en redes más pequeñas y así optimizar y
flexibilizar el uso de las redes. A esto le llamamos VLSM (del Inglés Variable Length Subnet
Mask o Máscara de Subred de Longitud Variable en español).

¿Cuándo y porqué hacer una subred?

Si quisiera crear redes pequeñas para algunos pocos hosts entonces tendría que optimizar
el uso de las Ip ya que estas son limitadas.

En el capítulo anterior vimos las Clases de Redes IPv4 y que por ejemplo una clase B tiene
una máscara /16; desde la IP [Link] a [Link].

En el siguiente ejemplo vamos a armar cinco redes pequeñas para algunos pocos hosts
con una clase B, tendríamos por ejemplo algo así:
Ejemplo de Redes clase B

Red 1: [Link]/16
Red 2: [Link]/16
Red 3: [Link]/16
Red 4: [Link]/16
Red 5: [Link]/16

Esto sería un desperdicio de Ip ya que cada red podría soportar 65536-2(Red y Broadcast)
=65534 hosts.

Para solucionar esto es que usamos las subredes, podemos entonces hacer una
subdivisión de recursos más eficiente y para el ejemplo anterior podríamos asignar las
subredes de la siguiente manera:
Ejemplo de Subredes clase B

Red 1: [Link]/24
Red 2: [Link]/24
Red 3: [Link]/24
Red 4: [Link]/24
Red 5: [Link]/24

Ahora tendríamos 254 hosts posibles.

¿Qué es la División de Subredes IPv4?

Las direcciones IP requieren ser planificadas en una red, para esto hacemos la división de
redes grandes en redes más pequeñas.

Entonces debemos saber calcular cuantas subredes y cuantos hosts (clientes/dispositivos)

se precisaran.

Reglas sobre Subredes y Hosts

Para que el ruteo funcione eficientemente, los grupos de direcciones IP se agrupan (vale la
redundancia) en subredes y ésta decisión se toma en base a estas reglas:
• Direcciones IP en la misma subred no son separadas por el router.

• Direcciones IP en diferentes subredes son separadas por al menos un router.

División de Subredes

¿Cómo Calcular Subredes IPv4?

Para calcular el número de subredes necesarias debemos tener acceso a la documentación

y diagramas de la red actual, detalles sobre las configuraciones de VLANs y sobre los
enlaces WAN.

Para los tipos de enlaces que hemos visto en este curso, necesitaríamos planificar subredes
para las VLANs, enlaces serial Point-to-point o Punto-a-Punto, Enlaces WAN como
EoMPLS.
Ejemplo de Subredes

Interconexión de Subredes

El número de subredes necesarias para la figura anterior no puede ser con seguridad
predecible ya que podrían existir variantes. Tres subredes serán necesarias para los
enlaces WAN, una subred por enlace. Cada enlace del switch puede ser configurado con
una única VLAN o con múltiples VLANs, ciertamente sabemos que al menos se requerirá
una subred por cada LAN, pero podrías necesitar más.

En la siguiente figura veremos cómo decidimos crear subredes para ésta red. Algunas
subredes son estrictamente necesarias, recordemos que los routers separan redes, pero
otras se separaron a gusto, como es el caso de las VLANs en los switches, que también
separan redes.
Ejemplo de División de Subredes

El Tamaño de una Subred

El tamaño de la subred es la cantidad de Ip que usaremos en esa subred.

¿Puedo Usar un Único Tamaño de Subred?

Podríamos usar un único tamaño para todas las subredes o variar el tamaño de las
subredes para dimensionar el uso de Ip según nuestras necesidades.

Calculando el Tamaño de una Subred

Ya vimos anteriormente en el tema de IPv4 que las direcciones IP tienen una máscara, esta
máscara es la que crea las subredes y asigna la cantidad de Ip (Hosts) a usar dentro de
esa subred.

Las Ip se conforman por bits que son números binarios (unos y ceros) y por tanto en base
2.
Puedes calcular entonces el tamaño de la subred haciendo 2x siendo x la cantidad de bits.
Si la máscara define H hosts de bits, la subred seria 2H.

Sin embargo, el tamaño de la subred será en realidad 2H − 2 porque dos números de la

subred son reservados para otros propósitos.

Cómo Calcular el Tamaño de una Subred

Una forma muy sencilla de ver cómo separar subredes y hosts es analizando la siguiente
figura.

Ejemplos para Calcular el Tamaño de Varias Subredes y Host por Subred

Podemos ver 32 bits que es el tamaño de un paquete IPv4, la red es de Clase B, esto lo
sabemos porque los primeros 16 bits representan a la Red.
También vemos en el ejemplo cómo podemos calcular tanto la cantidad de subredes como
la cantidad de host que necesitemos. Sólo debemos recordar que en el caso del host se
debe restar dos números ya que son reservados y no aplica esto para el caso de las
subredes.

En el primer ejemplo precisamos 200 subredes y 200 host, por tanto usaremos S = 8 bits
(256 subredes) y H = 8 bits (254 host). La subred tiene un exceso de 56 y el host tiene un
exceso de 54.

En el segundo ejemplo precisamos 50 subredes y 1000 host, por tanto usaremos S = 6 bits
(64 subredes) y H = 10 bits (1022 host). La subred tiene un exceso de 14 y el host tiene un
exceso de 22.

Ejemplos de División de Subredes IPv4

Ejemplo: Un Único Tamaño de Subred

En el siguiente ejemplo utilizaremos una única mascara de red, ignoraremos de momento

las subredes de los enlaces WAN.

Ejemplo Subredes con un Único Tamaño

La mayoría de las redes precisan 50 Ip, pero vemos que la red principal conectada al router
Core precisa 200 Ip, dado que estamos dimensionando las subredes todas iguales
entonces necesitaríamos para todos los casos al menos soportar 200 direcciones IP.

Por tanto, necesitaríamos 8 bits de host. Si usáramos 7 bits no llegaríamos ya que 27 − 2 =

126. Ocho bits de host serian 28 − 2 = 254.

Ventaja de usar un único tamaño de subred: La ventaja de usar un único tamaño de subred
o máscara es que para el grupo de personas que opera la red le será más fácil saber la
máscara de todas las redes ya que todas usan la misma.

Desventaja de usar un único tamaño de subred: La gran desventaja de esto es que

estaríamos desperdiciando direcciones IP. En el ejemplo anterior vemos que sólo
precisamos 50 direcciones Ip para ciertas subredes, e incluso vemos que para los enlaces
WAN sólo precisaríamos 2 IP. Esto es ciertamente un gran desperdicio.

Ejemplo: Múltiples Tamaños de Subred (Variable-Length Subnet Masks)

Ejemplo Subredes con Múltiple Tamaños

Las subredes de la derecha necesitan 50 direcciones IP teniendo así 6 bits de host,
para 26 − 2 = 62 direcciones disponibles por subred.

Los enlaces WAN necesitan sólo 2 IP, usan por tanto una máscara de 2 bits de host,
para 22 – 2 = 2 direcciones disponibles por subred.

¿Qué son las Redes Classful IPv4?

Las Redes Classful IPv4 son las redes Clase A, B y C que tienen un rango de IP y una
máscara para cada clase.

En este capítulo veremos cómo desde una IP determinar:

• Clase (A, B, o C)

• Máscara por defecto

• Número de octetos/bits de la red

• Número de octetos/bits del host

• Número de direccionamiento del host en la red

• ID de la red

• Dirección de broadcast de la red

• Primer y última dirección usable de la red

Redes Classful: Número de Redes y Hosts soportados para la Clase A, B y C
 Rango
Número Número
del
Clase Redes válidas Propósito total de total de Máscara
Primer
redes host
Octeto

Unicast
27 − 2 = 224 − 2 =
A 1 a 126 [Link] a [Link] (redes [Link]
126 16,777,214
grandes)

Unicast
[Link] a 214 − 2 = 216 − 2 =
B 128 a 191 (redes [Link]
[Link] 16,384 65,534
medianas)

Unicast
[Link] a 221− 2 = 28− 2 =
C 192 a 223 (redes [Link]
[Link] 2,097,152 254
pequeñas)

[Link] a Máscara no
D 224 a 239 Multicast
[Link] definida

Reservada
[Link] a Máscara no
E 240 a 255 (formalmente
[Link] definida
experimental)

Nota: Si tienes dudas sobre cómo se calcula la cantidad de redes o hosts por red que
puedes usar, es aconsejable que leas el capítulo anterior llamado División de Subredes
IPv4.

Representación Binaria y Direccionamiento de Redes Classful IPv4

Tamaño (Bits) de Red y Host para Redes Classful

R indica un bit usado para la red.
H indica un bit usado para el host.
X indica un bit usado sin propósito específico.

Clase A
0. 0. 0. 0 = 00000000.00000000.00000000.00000000
[Link] = 01111111.11111111.11111111.11111111
[Link]
Máscara en Decimal: [Link]
Máscara en Binario: 11111111.00000000.00000000.00000000

Clase B
128. 0. 0. 0 = 10000000.00000000.00000000.00000000
[Link] = 10111111.11111111.11111111.11111111
[Link]
Máscara en Decimal: [Link]
Máscara en Binario: 11111111.11111111.00000000.00000000

Clase C
192. 0. 0. 0 = 11000000.00000000.00000000.00000000
[Link] = 11011111.11111111.11111111.11111111
[Link]
Máscara en Decimal: [Link]
Máscara en Binario: 11111111.11111111.11111111.00000000

Clase D
224. 0. 0. 0 = 11100000.00000000.00000000.00000000
[Link] = 11101111.11111111.11111111.11111111
[Link]

Clase E
240. 0. 0. 0 = 11110000.00000000.00000000.00000000
[Link] = 11111111.11111111.11111111.11111111
[Link]

La máscara de red es usada en una o varias subredes IP. La máscara divide redes en dos
partes: prefijo y host, con la parte del host se define el tamaño de la subred.

Las clases Classful (A, B o C) dividen la estructura del direccionamiento en subredes, el

prefijo parte la estructura en red y subredes.
Máscara de Red Representada en Tres Formatos

Convertir de Binario a Decimal y Prefijo de Subred

La máscara se puede representar en tres formatos diferentes:

• Binario

• Notación Decimal Punteada ó Dotted-decimal notation (DDN)

• Prefijo (también llamado classless interdomain routing [CIDR])

Ejemplo 1
11111111 00000000 00000000 00000000
[Link]
/8
Ejemplo 2
11111111 11111111 11111111 00000000
[Link]
/24
Convertir de Binario a Prefijo

11111111 11111111 11000000 00000000

/18
Lógica: Cuento 8 + 8 + 2 = 18 binarios en 1
11111111 11111111 11111111 11110000
/28
Lógica: Cuento 8 + 8 + 8 + 4 = 28 binarios en 1
11111111 11111000 00000000 00000000
/13
Lógica: Cuento 8 + 5 = 13 binarios en 1

Convertir de Binario a Decimal

Convertir de Binario a Decimal

Nueve valores posibles en un octeto de una máscara de red.

Octeto Binario de la Máscara Equivalente en Decimal Número de Binarios en 1

00000000 0 0

10000000 128 1

11000000 192 2

11100000 224 3

11110000 240 4

11111000 248 5

11111100 252 6

11111110 254 7

11111111 255 8

Nota: 27 + 26 + 25 + 24 + 23 + 22 + 21 + 20 = 28

11111111 11111111 11000000 00000000

[Link]
Lógica: 28 . 28 . (27 + 26) . 0

11111111 11111111 11111111 11110000

[Link]
Lógica: 28 . 28 . 28 . (27 + 26 + 25 + 24)

11111111 11111000 00000000 00000000

[Link]
Lógica: 28 . (27 + 26 + 25 + 24 + 24) . 0 . 0

En el capítulo anterior vimos qué es una Dirección Classful, ahora la compararemos una
Dirección Classless y Classful.
Classless vs Classful

Dirección Classless: Conceptualmente una dirección IPv4 tiene dos partes — el prefijo y
el host — definidos por la máscara, sin tener consideración de la clase (A, B, o C).

Dirección Classful: Conceptualmente una dirección IPv4 tiene tres partes — red, subred
y host— definidos por la máscara y las reglas de la Clase A, B, y C.

Es decir, una dirección Classful está definida por una clase específica en la parte de la red,
mientras que una dirección Classless no es definida por una clase especifica de 8, 16 o 24
bits.

¿Por qué usar una Dirección Classless?

• Para hacer frente al problema del agotamiento de direcciones IPv4

• Para frenar el crecimiento de las tablas de enrutamiento en los routeres de Internet

Ejemplo de Classless vs Classful

Pongamos un ejemplo para entrar en comparación.

Si por ejemplo uso una IP Classful de Clase C, al tener disponible en el Host 8 bits (me lo
indica la clase), la cantidad de Host que podría tener para esa red es de 256 – 2 = 254.

Ahora bien, como Classless permite definir la máscara sin considerar clases, entonces
podría asignarle a esa misma IP mayor cantidad de bits en el Host, por ejemplo 10 bits, de
esta manera pasaría a tener 1024 – 2 = 1022.
 Classless y Classful

Con este capítulo ya completaremos del curso la Parte IV – Direccionamiento. Vamos a

ver cómo analizar subredes existentes.

Estructura de una Subred

Una subred se conforma de:

• Un ID de la subred

• Una dirección de broadcast de la subred

• Un rango de direcciones IP usables en la subred

Definiendo a una Subred

Una subred IP es un subconjunto de una red Classful, creada y elegida por un ingeniero.
No se puede elegir cualquier subred o direccionamiento, se deben seguir ciertas reglas:
• La subred tiene un conjunto de número consecutivos.

• La subred contiene 2H números, donde H es la cantidad de bits del host definidos

por la máscara de subred.

• Dos números especiales no pueden ser elegidos como direcciones IP:

• El primer (más bajo) número actúa como identificador de la subred (ID de la

subred).

• El último (más alto) número actúa como dirección de broadcast de la subred

• Las demás direcciones que se sitúan entre el ID de la subred y la dirección de

broadcast de la subred, son usadas como direcciones IP de Unicast.

Ejemplo de dos Subredes dentro de la Red [Link]

Supongamos que tenemos una máscara [Link] y una red Classful [Link].

Basándonos en lo aprendido en el capítulo 13.1 Máscara de Red podemos encontrar la

estructura de la subred, el número de hosts y bits de la subred. Por tanto podemos ver que
tenemos 2 bits en el campo de subredes, es decir 22 subredes. En otras palabras,
tenemos 4 subredes.

Nota: En este capítulo se asume que se utiliza una única máscara para todas las subredes,
por eso podemos concluir que son 4 subredes.

La siguiente figura muestra mejor la idea, si lo anterior te pareció chino entonces repasa los
conceptos dados sobre la Máscara de Red.
Ejemplo de dos Subredes dentro de la Red [Link] con máscara /18
Vamos a Analizar las Subredes Existentes más en detalle

La IP [Link] es clase B. Por tanto tiene 16 bits de Red (R).

La Máscara en decimal es [Link] y usa 18 bits de Red, y 2 bits de Subred (S),
deja para el host (H) 14 bits:

RRRRRRRR RRRRRRRR SSHHHHHH HHHHHH

11111111 11111111 11000000 00000000
[Link]
/18

Las cuatro subredes

Parándonos en los 2 bits de la subred tenemos:

Red: [Link]/18
10101100.00010000.00000000.00000000

Máscara: [Link]
10101100.00010000.00111111.11111111

Red: [Link]/18
10101100.00010000.01000000.00000000

Máscara: [Link]
10101100.00010000.01111111.11111111

Red: [Link]/18
10101100.00010000.10000000.00000000

Máscara: [Link]
10101100.00010000.10111111.11111111

Red: [Link]/18
10101100.00010000.11000000.00000000

Máscara: [Link]
10101100.00010000.11111111.11111111
Definiciones

¿Qué es el ID de la Subred?

Es el número que representa la subred.

¿Qué es la Dirección de Broadcast de una Subred?

Un número reservado en cada subred que, cuando se usa como dirección de destino de un
paquete, hace que el dispositivo reenvíe el paquete a todos los hosts en esa subred.

Router Modelo 4321 de Cisco Integrated Services Router (ISR)

Cómo Instalar un Router Cisco Físicamente

Para hacer la instalación física de un router sigue los siguientes pasos:

1. Conecta los cables de cobre LAN que tienen un conector RJ45 a los puertos LAN
del switch.

2. Para cualquier puerto WAN serial:

A. Si usas CSU/DSU externo, conecta la interfaz serial del router al CSU/DSU y éste
a la línea de tu proveedor de servicio.
 B. Si usas CSU/DSU interno, conecta la interfaz serial del router a la línea de tu
proveedor de servicio.

3. Para cualquier puerto WAN Ethernet:

A. Cuando ordenes el servicio WAN Ethernet, confirma el estándar Ethernet y el tipo

de SFP requerido para conectar el enlace y compra el SFP.

B. Instala el SFP en el router y conecta el cable Ethernet del enlace WAN Ethernet
con el SFP en cada extremo.

4. Conecta el puerto de consola del router a un PC (usando un cable cruzado), según

sea necesario, para configurar el router.

5. Conecta el cable de poder del router para energizarlo.

6. Prende el router.

Cómo Acceder a un Router Cisco por CLI

Nota: Previamente en éste curso vimos varios temas que puede que te sirva repasar antes
de seguir:

Para configurar un switch o router se debe acceder a la CLI (Command Line Interface) del
equipo.

Comandos de Cisco Iguales entre Router y Switch

Muchos comandos son iguales para un switch o un router. Algunos destacados son:
• Modo Usuario y Enable (privilegiado)

• Entrar y salir del modo de configuración, usando los comandos configure

terminal, end, y exit y la secuencia de teclado Ctrl+Z

• Configuración de la consola, Telnet (vty), y enable secret passwords

• Configuración de la llave de encriptación Secure Shell (SSH) y las credenciales de

acceso ususario/password

• Configuración del hostname e interface description

• Configuración de las interfaces Ethernet que pueden negociar la velocidad usando

los comandos speed y duplex
 • Configuración de una interfaz para que este administrativamente
deshabilitada (shutdown) y administrativamente habilitada (no shutdown)

• Navegación a través de diferentes contextos del modo configuración usando

comandos como line console 0 e interface type number

• Ayuda de CLI, edición de comandos y funciones de recuperación de comandos

• El significado y el uso de startup-config (en NVRAM), running-config (en RAM) y

servidores externos (como TFTP), junto con cómo usar el comando copy para
copiar los archivos de configuración y las imágenes IOS

Comandos de Cisco Distintos entre Router y Switch

• La configuración de la IP difiere entre switch y router. El switch usa una interfaz

VLAN y el router usa una IP configurada en cada interfaz activa.

• Muchos de los routeres Cisco tienen un puerto llamado auxiliar (Aux) que puede ser
conectado a un módem externo o línea telefónica para permitir el acceso remoto de
usuarios y así acceder a la CLI del equipo. Los switches en cambio no tienen un
puerto auxiliar.

• El sistema operativo IOS de los routeres tiene deshabilitado Telnet y SSH por
defecto, esto porque viene con el comando transport input none en la configuración
vty. Para habilitar Telnet (transport input telnet), SSH (transport input ssh), o ambos
(transport input all o transport input telnet ssh).

• La CLI de un switch y un router también son diferentes. Por ejemplo, un switch al

ser de Capa 2 soporta el comando show mac address-table, pero no soportaría el
comando show ip route ya que éste sería un comando de Capa 3 para un router.

• Los switches Cisco de Capa 2 usan el comando show interfaces status para listar
una línea de salida por interfaz (los routeres no), mientras que los routeres usan el
comando show ip interface brief para listar información similar (pero los switches
no).

Comandos para Ingresar a las Interfaces:

interface ethernet 0

interface fast Ethernet 0/1

interface gigabit Ethernet 0/0

interface serial 1/0/1

Comandos para Mostrar el Estatus de las Interfaces:

Dos de los comandos más comunes para mostrar el estatus de las interfaces son show ip
interface brief y show interfaces.

El primer listo las interfaces una por línea, con información básica como la dirección IP y el
estado de la interfaz. El segundo comando lista las interfaces, pero con muchas más
información por cada una.

Ejemplo: Listar Interfaz del Router

R1# show ip interface brief

Interface IP-Address OK? Method Status Protocol
Embedded-Service-Engine0/0 unassigned YES NVRAM administratively down down
GigabitEthernet0/0 [Link] YES NVRAM down down
GigabitEthernet0/1 unassigned YES manual administratively down down
Serial0/0/0 [Link] YES NVRAM up up
Serial0/0/1 [Link] YES NVRAM up up
Serial0/1/0 unassigned YES NVRAM up up
Serial0/1/1 unassigned YES NVRAM administratively down down

R1# show interfaces serial 0/0/0

Serial0/0/0 is up, line protocol is up
Hardware is WIC MBRD Serial
Description: Link in lab to R2's S0/0/1
Internet address is [Link]/24
MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec,
reliability 255/255, txload 1/255, reload 1/255
Encapsulation HDLC, loopback not set
Keepalive set (10 sec)
Last input [Link], output [Link], output hang never
Last clearing of 'show interface' counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
42 packets input, 3584 bytes, 0 no buffer
Received 42 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
41 packets output, 3481 bytes, 0 underruns
0 output errors, 0 collisions, 4 interface resets
3 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out
0 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up
 Comandos Clave para Listar el Estado de la Interfaz del Router

Líneas Mostradas Listado de ¿Estado de la

Comando
por Interfaz Configuración IP Interfaz Listada?

show ip interface brief 1 Dirección Si

show protocol [type number] 1o2 Dirección/Máscara Si

show interfaces [type

Muchas Dirección/Máscara Si
number]

Ver el Estado de Puertos Cisco

Line Status / Protocol Status

Los códigos de estado son: up (levantado) o down (caído).

Nombre Ubicación Significado

Line Primer Código Hace referencia al estado en la Capa 1 ó Capa física. (Por ejemplo, la
Status de Estado instalación del cable está mal o instalado en otro puerto final).

Hace referencia en general al estado en la Capa 2 ó Capa de enlace.

Segundo
Protocol Siempre estará caído si el Line Status esta caído. Si Line Status esta
Código de
Status levantado y Protocol Status esta caído, es posible que exista un
Estado
desajuste o mala configuración relacionada a la Capa de enlace.
 Comando para Ver Estado de Puertos Cisco

R1# show ip interface brief

Interface IP-Address OK? Method Status Protocol

Embedded-Service-Engine0/0 unassigned YES NVRAM administratively down down
GigabitEthernet0/0 [Link] YES NVRAM down down
Serial0/0/0 [Link] YES NVRAM up up

R1# show interfaces serial 0/0/0

Serial0/0/0 is up, line protocol is up
...

Códigos de Estado de los Puertos

Existen varias combinaciones de códigos de estado en el puerto o interfaz. La siguiente

tabla muestra los diferentes códigos de estado que se pueden dar, desde un estado
deshabilitado hecho a propósito en la configuración hasta un estado completamente
funcional.

Protocol
Line Status Razones Típicas
Status

Administratively El puerto tiene configurado el comando shutdown. Para volver a

Down
down levantarlo se debe ingresar el comando no shutdown.

El puerto no está en shutdown, pero la capa física tiene un

problema. Por ejemplo, el cable no está conectado a la interfaz o
Down Down
con Ethernet, la interfaz del switch en el otro extremo esta apagada
o el switch esta apagado.

La mayoría de las veces se debe a problema sen la capa de enlace

y por lo tanto en general en la configuración. Por ejemplo,
Up Down
en enlaces serial sucede cuando en un extremo se configura el
protocolo PPP y en el otro HDLC que el protocolo por defecto.

Up Up La Capa 1 y la Capa 2 están funcionales en esta interfaz.

Esquema de un Enlace Serial (DTE-DCE)

La configuración de Velocidad del Reloj o Clock Rate se realiza sólo en el router DCE.

Cómo Configurar Interfaz Serial Cisco

Viendo la configuración del router R1 que vimos en la red del capitulo anterior, en el
siguiente ejemplo se muestra la configuración del comando clock rate. Para confirmar que
el comando clock rate está configurado debemos ingresar el comando show
controllers. Éste comando confirma que R1 tiene conectado un cable DCE V.35.

Ejemplo: La Configuración del Router R1 con el comando clock rate

R1# show running-config

! lines omitted for brevity
interface Serial0/0/0
ip address [Link] [Link]
clock rate 2000000
!
interface Serial0/0/1
ip address [Link] [Link]
clock rate 128000

! lines omitted for brevity

R1# show controllers serial 0/0/1

Interface Serial0
Hardware is PowerQUICC MPC860
DCE V.35, clock rate 128000
idb at 0x8169BB20, driver data structure at 0x816A35E4
! Lines omitted for brevity
Nota: Cisco ha quitado este capítulo de su documentación oficial, pero ha dejado en el
Apéndice información sobre las Interfaces Seriales y su configuración. Ya que Cisco
entiende (yo también) que mantener esta información es relevante para entender los
conceptos reaccionados, es que he decidido dejar éste capítulo.

Previamente vimos en el Parte I, Capítulo 3.2: Conceptos Básicos de Enrutamiento IP, en

éste capítulo veremos Conceptos Avanzados de Enrutamiento IP. Si aun no lo hiciste,
puedes antes ver el capítulo mencionado para tener un panorama general.

Nota: En este capítulo se ven muchos conceptos relacionados la encapsulación y

Desencapsulación, formas de nombrar los datos según la capa en la que se encuentra. Le
recomiendo leer el Capítulo 1; El Modelo OSI si aún no tienes estos conceptos claros.

Pasos del Enrutamiento IPv4

El proceso de enrutamiento comienza con un host que crea un paquete IP. Primero el host
pregunta: ¿Esta la dirección IP de destino de este paquete en mi subred local? El host usa
su propia IP/máscara para determinar el rango del direccionamiento de la subred.

Enrutamiento IP Local y Remoto

 1. Si el destino es local, envía directamente:

A. Busca la dirección MAC de destino del host. Usa la entra ya conocida de la

tabla ARP (Address Resolution Protocol) o usa el mensaje ARP para aprenderla.

B. Encapsula el paquete IP en una trama con la dirección MAC de destino del host.

2. Si el destino no es local, envía a la puerta de enlace predeterminada (default

Gateway):

A. Busca la dirección MAC de la puerta de enlace predeterminada. Usa la entra ya

conocida de la tabla ARP (Address Resolution Protocol) o usa el mensaje ARP
para aprenderla.

B. Encapsula el paquete IP en una trama con la dirección MAC de destino de

la puerta de enlace predeterminada.

Los routeres tienen más trabajo de enrutamiento comparado con el host.

Pasos del Enrutamiento en un Router

1. El router decide si procesar o no la trama, la procesa si:

A. La trama no tiene errores (FCS).

B. La dirección en la capa de enlace (MAC) es la del router (o una dirección

Multicast o de broadcast apropiada).

2. Si se elige el proceso del Paso 1, des encapsula el paquete que viaja dentro de la
trama.

3. Hace una decisión de enrutamiento. Para esto, compara la dirección IP de destino

del paquete con la tabla de enrutamiento y busca la ruta que coincide con la
dirección IP de destino. Esta ruta identifica la interfaz de salida y posiblemente su
next-hop (siguiente salto).

4. Encapsula el paquete en una trama hacia la interfaz. Cuando reenvía hacia afuera
por la interfaz LAN, usa ARP para buscar el siguiente dispositivo de acuerdo a su
dirección MAC.

5. Transmite la trama sacándola por la interfaz de la ruta IP encontrada den la tabla de

enrutamiento.
Un ejemplo para dar mayor perspectiva:

Lógica del Enrutamiento en el Router

El Router 1 (Router 1 – R1) procesa la trama y el paquete como se ve en la figura anterior.
A continuación explicare los cinco pasos que se ven en la figura:

1. El Router R1 recibe una trama Ethernet que pasó el chequeo FCS y que la dirección
Ethernet MAC de destino es la de R1, entonces procesa la trama.

2. R1 des encapsula el paquete IP contenido dentro de la trama Ethernet.

3. R1 compara la dirección IP de destino del paquete con su tabla de enrutamiento IP.

4. R1 encapsula el paquete IP dentro de una nueva trama, pero en este caso dentro
de una trama del tipo HDLC (High-Level Data Link Control).

5. R1 transmite el paquete IP contenido dentro de la nueva trama HDLC, hacia el

enlace serial de la derecha.
Ejemplo Real Paso a Paso de Enrutamiento IP

En el siguiente ejemplo veremos cómo viaja un paquete enviado desde el host A

([Link]) al host B ([Link]).

Un Ejemplo de Enrutamiento IP
Paso 1: Host A Envía el Paquete al Router por Defecto R1 (Default Gateway)
La Lógica del Host A es la siguiente:

• Mi dirección/máscara IP es [Link]/24, entonces mi subred debería ser

[Link]–[Link].

• La dirección destino es [Link], por lo que no está dentro de mi subred

• Envío l paquete a mi puerta de enlace por defecto, que es [Link].

• Para enviar el paquete, lo encapsulo en una trama Ethernet con una dirección MAC,
esa dirección MAC es la usada en la interfaz G0/0 de R1 (puerta de enlace
predeterminada del host A)
Paso 2: R1 Decide si Procesar la Trama que le está Llegando

• El router puede procesar o descartar la trama. El router descarta la trama si tiene

errores, esto lo verifica mirando el campo FCS.

• El router también chequea la dirección de destino. Por ejemplo, si la dirección MAC

es la suya, entonces lo procesa, si no lo descarta.

•
Paso 3: R1 Des encapsula el Paquete IP

Luego de pasar el anterior Paso 2, el router ya no precisa la trama de la capa de enlace,

así que le quita el encabezado y la cola.

Paso 4: R1 Decide por Donde Enviar el Paquete IP

El router debe decidir por dónde enviara el paquete, este proceso usa la tabla de
enrutamiento IP.

Tabla de Enrutamiento IP
Paso 5: R1 Encapsula el Paquete IP en una Nueva Trama

El router vuelve a encapsular el paquete IP en una nueva trama de la capa de enlace, así
que le agrega un nuevo encabezado y la cola.

Paso 6: Transmitiendo la Trama

Luego que la trama está preparada, el router simplemente necesita transmitirla al siguiente
dispositivo.

Un Ejemplo de Direccionamiento en IPv4

Veremos cómo configurar la IP en router Cisco dentro de la interfaz o puerto. Además

veremos cómo listar las IP configuradas.
Configurar IP

Ejemplo: Cómo Configurar IP en Router Cisco

R1# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

R1config) # interface G0/0

R1(config-if) # ip address [Link] [Link]

R1(config-if) # no shutdown
R1(config-if) # interface S0/0/0
R1(config-if) # ip address [Link] [Link]
R1(config-if) # no shutdown
R1(config-if) # interface S0/0/1
R1(config-if) # ip address [Link] [Link]
R1(config-if) # no shutdown
R1(config-if) # ^Z
R1#

Ver IP Configurada

R1# show protocol

Global values:
Internet Protocol routing is enabled
Embedded-Service-Engine0/0 is administratively down, line protocol is down
GigabitEthernet0/0 is up, line protocol is up
Internet address is [Link]/24
GigabitEthernet0/1 is administratively down, line protocol is down
Serial0/0/0 is up, line protocol is up
Internet address is [Link]/24
Serial0/0/1 is up, line protocol is up
Internet address is [Link]/24
Serial0/1/0 is administratively down, line protocol is down
Serial0/1/1 is administratively down, line protocol is down
Otros Comandos Útiles

Para Listar las IP Configuradas en las Interfaces

Líneas de
Listado de la ¿Estado de la
Comando Salida por
Configuración IP Interfaz Listada?
Interfaz

show ip interface
1 Dirección IP Si
brief

show protocol [type

1o2 Dirección IP/máscara Si
number]

show
interfaces [type Muchas Dirección IP/máscara Si
number]

Los Tres Métodos Cómo se Agregan Rutas a un Router

Luego que un router puede enturar paquetes IP por una o más interfaces, el router lo hace
a través de alguna ruta. Los routeres pueden agregar rutas a sus tablas de enrutamiento a
través de tres métodos:

Rutas directamente conectadas: Agregadas cuando se configura una IP usando el

comando ip address en la interfaz del router local (es el ejemplo de éste capítulo)

Rutas Estáticas: Agregadas cuando se configura una ruta estática con el comando global ip
route en el router local

Protocolos de enrutamiento: Agregadas como una funcionalidad por la configuración de

todos los routeres, resultando en un proceso en donde un router dinámicamente le dice al
otro router sobre la red, entonces todos aprenden las rutas

¿Qué es el Enrutamiento Estático?

Veremos qué son y cómo se configuran el Enrutamiento Estático o rutas estáticas. En

general un router es configurado con un protocolo de enrutamiento para aprender las rutas
automáticamente, a estas rutas las llamamos rutas dinámicas, pero también podemos
prescindir del protocolo de enrutamiento y directamente agregar rutas a nuestro router de
manera estática («a mano«).

Si bien lo más cómodo y rápido de implementar en una red media/grande es el enrutamiento

dinámico, lo cierto es que en ocasiones es muy útil usar rutas estáticas.
¿Cómo Configurar un Enrutamiento Estático?

Si tomamos como ejemplo la siguiente imagen, y en particular los routeres R1 y R2, para
crear un enrutamiento estático en R1, debemos configurar tres parámetros en R1:

• La subred

• La máscara de la subred

• La interfaz de salida de R1 (S0/0/0) o el siguiente salto (next-hop), es decir la

dirección IP ([Link]) configurada en la interfaz del siguiente router, que es R2.
¿Cómo Agregar Rutas Estáticas?

Agregar Enrutamiento Estático a R1

Rutas estáticas con direcciones del siguiente salto

ip route [Link] [Link] [Link]

Rutas estáticas con interfaces de salida

ip route [Link] [Link] S0/0/1

En los dos ejemplos anteriores nos muestra las dos maneras de agregar el enrutamiento
estático para llegar desde R1 a las redes [Link]/24 y [Link]/24.

En el primer caso usando como next-hop la IP definida en la interfaz de R2 directamente

conectada a R1.

Y en el segundo caso usando como next-hop la interfaz física de salida de R1 que se

conecta físicamente y directamente a R2.

¿Cómo Ver Rutas Estáticas Agregadas en R1?

Rutas Estáticas Agregadas en R1

R1# show ip route static

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

! lines omitted for brevity
Gateway of last resort is not set

[Link]/16 is variably subnetted, 10 subnets, 2 masks

S [Link]/24 [1/0] via [Link]
S [Link]/24 is directly connected, Serial0/0/1

Las rutas estáticas las vemos definidas en el router como «S «.

La Tabla de Enrutamiento

Para que una ruta sea agregada a la tabla de enrutamiento debe cumplir dos cosas:
• Para el ip route que usa la interfaz de salida del router, esta interfaz debe está en
estado up/up.

• Para el ip route que usa la IP del next-hop del siguiente router, el router local debe
tener una ruta para alcanzar la dirección del next-hop.

Misma Ruta Compitiendo

Se puede dar el caso que para la misma ruta existan otras formas de llegar, por ejemplo, si
se configura además de una ruta estática, una ruta dinámica para llegar a dicha red.
El router debe primero considerar la distancia administrativa (sobre esto lo veremos en los
próximos capítulos) de la ruta, sirve para saber qué ruta es tomada más en cuenta de
acuerdo a cómo fue configurada (directamente conectada, estática, dinámica usando un
protocolo de enrutamiento, etc.).

Por ejemplo, si queremos alcanzar la misma subred y configuramos la ruta de manera

estática, entonces la distancia administrativa será 1, mientras que la distancia
administrativa para una ruta configurada con OSPF seria 110 o con RIP 120. Cuanto más
cercano a cero más autoridad tendrá esa ruta.

Pero no nos compliquemos ahora con esto, ya que veremos más adelante en este curso.

Ruta por Defecto (Default Route)

IOS de Cisco permite la configuración de una ruta estática para una ruta por defecto, usando
un valor especial en el capo de la subred y máscara: [Link] y [Link]. Por ejemplo, si
tomamos como el router R2, el comando ip route [Link] [Link] S0/0/1 crea una ruta
estática por defecto en el Router R2 —una ruta que toma todos los paquetes IP— y envía
esos paquetes a través de la interfaz S0/0/1.

R2# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

R2(config)# ip route [Link] [Link] s0/0/1

R2(config)# ^Z
R2# show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - replicated route, % - next hop override
Gateway of last resort is [Link] to network [Link]

S* [Link]/0 is directly connected, Serial0/0/1

[Link]/16 is variably subnetted, 4 subnets, 2 masks
C [Link]/24 is directly connected, GigabitEthernet0/0
L [Link]/32 is directly connected, GigabitEthernet0/0
C [Link]/24 is directly connected, Serial0/0/1
L [Link]/32 is directly connected, Serial0/0/1

¿Cómo Solucionar Problemas con las Rutas Estática?

Veremos cómo solucionar problemas con las rutas estáticas desde tres perspectivas:

• La ruta está en la tabla de enrutamiento, pero es incorrecta.

• La ruta no está en la tabla de enrutamiento

.
• La ruta está en la tabla de enrutamiento y es correcta, pero no llegan los paquetes.
•
Solucionar Problema Cuando la Ruta es Incorrecta, Pero Esta en la Tabla de Enrutamiento

Verifica si:

• ¿Es el cálculo de la máscara y de la subred correcto?

• ¿Es la IP del siguiente salto (next-hop) correcta, y se corresponde con la dirección

IP de un router vecino?

• ¿Es la interfaz de salida correcta, y se corresponde a una interfaz de la ruta local

(es decir, el mismo router donde el enrutamiento estático fue configurado)?

La Ruta Estática No Aparece en la Tabla de Enrutamiento IP

• La interfaz de salida usada en el comando ip route esta up/up.

• La dirección IP usada del router next-hop en el comando ip route, no es alcanzable

(es decir, no hay una ruta que coincida con la dirección del next-hop).

• Existe otra ruta que compite mejor (otra ruta hacia la misma subred y máscara), y
esta ruta que compite tiene mejor (más baja) distancia administrativa.
La Ruta Estática que Aparece es Correcta, Pero Funciona Mal

Estas soluciones pueden ser más complejas y requieren de mayor conocimiento que aún
no abordamos en este curso, más adelante veremos la parte VI (Diseño y Solución de
Problemas IPv4) donde abordaremos mejor las distintas causas

Tomando como ejemplo la siguiente salida del comando show ip route vamos a ir viendo
por partes una tabla de enrutamiento en Cisco.
Es una forma muy didáctica de entenderla, sin más vueltas vamos a ello:

[Link]/8 is variably subnetted, 13 subnets, 5 masks

C [Link]/26 is directly connected, GigabitEthernet0/1
L [Link]/32 is directly connected, GigabitEthernet0/1
O [Link]/26 [110/65] vía [Link], [Link], Serial0/1/0
O [Link]/30 [110/128] vía [Link], [Link], Serial0/0/1
Valor en el
Idea Descripción
Ejemplo

La tabla de enrutamiento fue organizada por una red Classful. Esta es la

[Link]/8 Red Classful primera línea para la red Classful [Link]; ésta lista la máscara por defecto
para la red de Clase A (/8).

El número de rutas para subredes de la red Classful conocidas por éste

13 Subnet Número de subredes router, desde todos los originarios, incluyendo rutas locales – las rutas /32
que coinciden con las direcciones IP de la interfaz.

Número El número de diferentes máscaras usadas en todas las rutas conocías por
5 Masks
de mascaras router dentro de esta red Classful.

Un pequeño código que identifica el origen de la información de

C, L, O Código de la leyenda enrutamiento. O es para OSFP, D para EIGRP. C para Directamente
Conectadas, S para Rutas Estáticas, y L para Locales.

Prefijo (ID de la
[Link] El número de subred para esta ruta en particular.
subred)

Longitud del prefijo

/30 El prefijo de la máscara usada con esta subred.
(Mascara)

Si un router aprende rutas de la subred listada desde más de un origen de

Distancia
110 información de enrutamiento, el router usa la ruta de menor distancia
administrativa
administrativo.

128 Métrica La métrica para esta ruta.

Router del siguiente Para los paquetes que van a esta ruta, la dirección IP del siguiente salto
[Link]
salto (Next-hop) (router) a donde el paquete debe ser reenviado.

Para las rutas de OSPF y EIGRP, este es el tiempo desde que la ruta fue
[Link] Temporizador
aprendida por primera vez.

Para los paquetes que van a esta ruta, esta es la interfaz de salida en la que
Serial0/0/1 Interfaz de salida
el paquete debe ser reenviado.
Desglosando una Tabla de Enrutamiento de Cisco
 Enrutamiento Intra VLAN vs Inter VLAN

El Enrutamiento entre VLANs puede ser del tipo Intra VLAN o Inter VLAN y se usa para
comunicar subredes distintas dentro de las distintas VLANs

Intra VLAN: Se usa una interfaz física del tipo Trunk para interconectar varias VLANs y
enrutar entre ellas.

Inter VLAN: Participa un switch de capa 3 para enrutar entre VLANs.

Existen tres opciones para conectar un router a cada subred de una VLAN:

• Opción 1 (Intra VLAN) – Enrutamiento de VLAN con Trunks 802.1Q en el router:

Usa un router con conectividad del tipo trunk hacia una LAN de un switch de Capa
2. El router se encarga de enrutar con el switch que crea las VLANs. Esta
característica es conocida como Enrutamiento sobre una VLAN trunk y también
conocido como router-on-a-stick (ROAS).

• Opción 2 (Inter VLAN) – Enrutamiento de VLAN con Switch de Capa 3 (SVIs):

Usa un switch que soporta tanto Capa 2 como Capa 3 (llamado Switch de Capa 3 o
Switch Multicapas). Para enrutar, la configuración del switch de Capa 3 usa las
llamadas interfaces virtuales del switch (switched virtual interfaces) ó (SVI).
 • Opción 3(Enrutamiento de VLAN con Puertos de Enrutamiento en un Switch de
Capa 3:
Una alternativa a la Opción 2 de Inter VLAN ó SVI, es los llamados puertos de
enrutamiento en donde los puertos físicos del switch creado para funcionar como
si fueran interfaces de un router.

En esta sección también se introduce el concepto de EtherChannel que es una

característica llamada EtherChannel de Capa 3 y es usada en un puerto de tipo
enrutamiento.

Configurando Enrutamiento Entre VLANs Usando 802.1Q

Ya habíamos hablado del protocolo 802.1Q cuando vimos VLAN Trunk, éste protocolo lo
que hace es agregar una etiqueta a la trama Ethernet.

Como una interfaz sólo puede tener una única IP y nosotros tenemos varias subredes con
sus VLANs a las que queremos llegar, tenemos entonces que crear subinterfaces y
asociarles a ellas una IP, esto podemos lograrlo gracias al protocolo 802.1Q.

Ejemplo de Subinterfaces en un enlace 802.1Q Trunk

Enrutamiento Intra VLAN con 802.1Q Trunking

El ejemplo anterior muestra la configuración 802.1Q trunking que requiere el router B1.
Pasos de configuración:

Paso 1. Usa el comando interface type [Link] en el modo de configuración global

para crear una única subinterfaz para cada VLAN que necesita ser enrutada.

Paso 2. Usa el comando encapsulation dot1q vlan_id en la subinterfaz para habilitar

802.1Q y asociar una VLAN específica VLAN a la subinterfaz.

Paso 3. Usa el comando ip address address mask en la subinterfaz para configurar la IP

(dirección y máscara).

B1# show running-config

! Only pertinent lines shown

interface gigabit Ethernet 0/0

! No IP address up here! No encapsulation up here!

interface gigabit Ethernet 0/0.10

encapsulation dot1q 10
ip address [Link] [Link]
!
interface gigabit Ethernet 0/0.20
encapsulation dot1q 20
ip address [Link] [Link]
!
B1# show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
! Lines omitted for brevity

[Link]/8 is variably subnetted, 4 subnets, 2 masks

C [Link]/24 is directly connected, GigabitEthernet0/0.10
L [Link]/32 is directly connected, GigabitEthernet0/0.10
C [Link]/24 is directly connected, GigabitEthernet0/0.20
L [Link]/32 is directly connected, GigabitEthernet0/0.20
El número de la subinterfaz no tiene por qué ser el mismo que el de la VLAN ID, este número
puede ser cualquiera de entre 4 billones. Éste es sólo un número único para representar a
la subinterfaz.

Por ejemplo, para la VLNA 10 (encapsulation dot1q 10), puedo usar una subinterfaz 30.

Interface gigabit Ethernet 0/0.30

encapsulation dot1q 10
ip address [Link] [Link]
!
Ahora que el router tiene las subinterfaces configuradas trabajará con ellas como si fueran
interfaces normales y con las IPv4 configuradas el router puede encaminar los paquetes a
través de las subinterfaces.

Nota: Si quisiéramos configurar esto mismo pero con el protocolo ISL en lugar de 802.1Q,
sólo tendríamos que sustituir la parte del comando dot1q por isl.

Ejemplo de Configuración Usando la VLAN Nativa en un enlace 802.1Q Trunk

En el anterior ejemplo se configuraban sin tener en cuenta la VLAN nativa, sin

embargo cada enlace trunk 802.1Q tiene una VLAN nativa y cuando ésta se usa la
configuración cambian dos opciones del lado del router:

• Configura el comando ip address en la interfaz física, pero sin el

comando encapsulation; el router considera a esta interfaz física la usada para la
VLNA nativa

• Configura el comando ip address en una subinterfaz y usa el

subcomando encapsulation…native.

Para este ejemplo se muestran las dos opciones de configuración con cambios. En este
caso la VLAN 10 se convierte en la VLAN nativa.

! First option: put the native VLAN IP address on the physical interface

interface gigabit Ethernet 0/0

ip address [Link] [Link]

!
interface gigabit Ethernet 0/0.20
encapsulation dot1q 20
ip address [Link] [Link]
! Second option: like normal, but add the native keyword
interface gigabit Ethernet 0/0.10
encapsulation dot1q 10 native
ip address [Link] [Link]
!
interface gigabit Ethernet 0/0.20
encapsulation dot1q 20
ip address [Link] [Link]
Verificando la Configuración de Enrutamiento Intra VLAN

show ip route connected

B1# show ip route connected

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

! Legend omitted for brevity

[Link]/8 is variably subnetted, 4 subnets, 2 masks

C [Link]/24 is directly connected, GigabitEthernet0/0.10
L [Link]/32 is directly connected, GigabitEthernet0/0.10
C [Link]/24 is directly connected, GigabitEthernet0/0.20
L [Link]/32 is directly connected, GigabitEthernet0/0.20

show vlans

R1# show vlans

Virtual LAN ID: 1 (IEEE 802.1Q Encapsulation)

vlans Trunk Interface: GigabitEthernet0/0

Protocols Configured: Address: Received: Transmitted:

Other 0 83

69 packets, 20914 bytes input

147 packets, 11841 bytes output

Virtual LAN ID: 10 (IEEE 802.1Q Encapsulation)

vlans Trunk Interface: GigabitEthernet0/0.10

This is configured as native Vlan for the following interface(s):

GigabitEthernet0/0

Protocols Configured: Address: Received: Transmitted:

IP [Link] 2 3
Other 0 1

3 packets, 722 bytes input

4 packets, 264 bytes output

Virtual LAN ID: 20 (IEEE 802.1Q Encapsulation)

vlans Trunk Interface: GigabitEthernet0/0.20

Protocols Configured: Address: Received: Transmitted:

IP [Link] 0 134
Other 0 1

0 packets, 0 bytes input

135 packets, 10498 bytes output
Pasos para Solucionar Problemas de Enrutamiento Intra VLAN

1. ¿Cada VLAN no-nativa está configurada en la subinterfaz del router con el comando
encapsulation dot1q vlan-id?

2. Existe esas mismas VLANs en el trunk del switch vecino (show interfaces trunk), y
están en una lista permitida, no limitada por VTP, y no bloqueada por STP?

3. Cada subinterfaz del router que se encarga de hacer enrutamiento intra VLAN tiene
una dirección/máscara IP configurada según la configuración planificada?

4. ¿Si estas usando la VLAN nativa, esta está configurada correctamente en una
subinterfaz del router (con el comando encapsulation dot1q vlan-id native) o implícito
en la interfaz física?

5. Esta la misma VLAN nativa configurada en el trunk del switch vecino en comparación
a la VLAN nativa configurada en el router?

6. Alguna interfaz física o subinterfaz usada en el enrutamiento intra VLAN está

configurada con el comando shutdown?

En el capítulo anterior vimos el Enrutamiento Intra VLAN. Ahora vamos a ver

cómo configurar un Switch de capa 3 para hacer Enrutamiento Inter VLAN.

Enrutamiento Inter VLAN

Pasos de Configuración para el Enrutamiento Inter VLAN

Los siguientes pasos muestran cómo configurar el switch:

Paso 1. En modelos antiguos de switches, habilitar el soporte del hardware del

enrutamiento IPv4. Por ejemplo, en los modelos de switch 2960, usar el comando sdm
prefer lanbase-routing en el modo de configuración global y reinicia el switch.

Paso 2. Usa el comando ip routing para habilitar el enrutamiento IPv4 en el switch.

Paso 3. Usa el comando interface vlan vlan_id para crear las interfaces para
cada VLAN por las cuales el switch de capa 3 va a enrutar paquetes.

Paso 4. Usa el comando ip address address mask dentro de la configuración de la interfaz

de la VLAN.

Paso 5. Usa el comando no shutdown dentro de la interfaz para habilitar la interfaz de la

VLAN (si estuviera apagada).

ip routing
!
interface vlan 10
ip address [Link] [Link]
!
interface vlan 20
ip address [Link] [Link]
!
interface vlan 30
ip address [Link] [Link]

A continuación vemos todas las redes descubiertas e incluidas en la tabla de

enrutamiento por ser directamente conectadas.

SW1# show ip route

! legend omitted for brevity

[Link]/8 is variably subnetted, 6 subnets, 2 masks

C [Link]/24 is directly connected, Vlan10

L [Link]/32 is directly connected, Vlan10
C [Link]/24 is directly connected, Vlan20
L [Link]/32 is directly connected, Vlan20
C [Link]/24 is directly connected, Vlan30
L [Link]/32 is directly connected, Vlan30
El switch podría necesitar también rutas adicionales para el resto de la red, posiblemente
se pueden usar rutas estáticas que será explicado en el siguiente artículo.

Pasos para Solucionar Problemas de Enrutamiento Inter VLAN

Paso 1. La VLAN debe estar definida en el switch local (ya sea explícitamente o aprendido
por VTP).

Paso 2. El switch debe tener al menos una interfaz up/up usando la VLAN, cualquiera o
ambas:

1. Una interfaz de acceso up/up asignada a esa VLAN

2. Una interfaz trunk en la que la VLAN está permitida en la lista, está STP reenviando,
y no está limitada por VTP.

Paso 3. La VLAN (no la interfaz de la VLAN) debe estar administrativamente habilitada (es
decir, no en shutdown).

Paso 4. La interfaz de la VLAN (no la VLAN) debe estar administrativamente habilitada (es
decir, no en shutdown).
Tres Ejemplos que causan problemas de Enrutamiento Inter VLAN

SW1# show interfaces status

! Only ports related to the example are shown
Port Name Status Vlan Duplex Speed Type
Fa0/1 connected 10 a-full a-100 10/100BaseTX
Fa0/2 notconnect 10 auto auto 10/100BaseTX
Fa0/3 connected 20 a-full a-100 10/100BaseTX
Fa0/4 connected 20 a-full a-100 10/100BaseTX
Gi0/1 connected 30 a-full a-1000 10/100/1000BaseTX

SW1# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

! Case 1: Interface F0/1, the last up/up access interface in VLAN 10, is shutdown
SW1(config)# interface fast Ethernet 0/1
SW1(config-if) # shutdown
SW1(config-if) #
*Apr 2 [Link].784: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed
state to down
SW1(config-if) #
*Apr 2 [Link].772: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to
administratively down
*Apr 2 [Link].779: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1,
changed state to down

! Case 2: VLAN 20 is deleted

SW1(config)# no vlan 20
SW1(config)#
*Apr 2 [Link].688: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed
state to down

! Case 3: VLAN 30, the VLAN from the switch to the router, is shutdown
SW1(config)# vlan 30
SW1(config-vlan) # shutdown
SW1(config-vlan) # exit
SW1(config)#
*Apr 2 [Link].204: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan30, changed
state to down

! Final status of all three VLAN interfaces are below

SW1# show ip interface brief | include Vlan
Vlan1 unassigned YES manual administratively down down
Vlan10 [Link] YES manual up down
Vlan20 [Link] YES manual up down
Vlan30 [Link] YES manual up down
Un switch de Capa 3 se puede configurar para que el puerto físico actúe como el puerto
físico de un router y no como el puerto físico de un switch. Ahora la lógica de enrutamiento
no es de Capa 2 sino de Capa 3. Con esto tendremos un puerto de enrutamiento en switch
Capa 3.

En el capítulo anterior vimos cómo se puede enrutar con un switch de Capa 3 cuando
usa SVIs (switched virtual interfaces). Cuando un switch usa SVI, la interfaz física actúa
como lo que es realmente: una interfaz de Capa 2. Ahora veremos cómo configurar el switch
para que el puerto actúe como un router de Capa 3.

Es decir, el switch recibe una trama Ethernet, aprende la dirección MAC de origen de la
trama y reenvía según la MAC de destino. Para poder enrutar sigue la lógica de proceso de
un switch de Capa 2, en cambio, las tramas que llegan a un puerto del switch de tipo
router desencadenan una lógica de Capa 3, incluyendo:

1. Elimina el encabezado y la cola de la trama Ethernet

2. Toma una decisión de reenvío de Capa 3 comparando la dirección IP de destino con

la tabla de enrutamiento IP

3. Agrega un nuevo encabezado/cola de enlace de datos Ethernet al paquete

4. Reenvía el paquete encapsulado en una nueva trama

Configurar Puerto de Enrutamiento en Switch Capa 3

El siguiente ejemplo es prácticamente similar al ejemplo que vimos en el Capítulo 17.2:

Enrutamiento Intra VLAN.

Configurar Interfaz de Enrutamiento en Switch de Capa 3

Para habilitar una interfaz del switch como una interfaz de enrutamiento simplemente hay
que usar el comando no switchport en la interfaz física.

ip routing

interface vlan 10

ip address [Link] [Link]

interface vlan 20

ip address [Link] [Link]

interface gigabit Ethernet 0/1

no switchport
ip address [Link] [Link]

Una vez que es configurada la salida de los comandos en esa interfaz se verá diferente en
el switch.

En particular en la interfaz configurada como interfaz de enrutamiento, como por ejemplo la

interfaz GigabitEthernet0/1 del ejemplo:

show interfaces:

Similar al mismo comando en un router, por el contrario en un puerto común de un switch

este comando no lista una dirección IP.

SW11# show interfaces g0/1

GigabitEthernet0/1 is up, line protocol is up (connected)
Hardware is Gigabit Ethernet, address is bcc4. 938b.e541 (bia bcc4. 938b.e541)
Internet address is [Link]/24
! lines omitted for brevity
show interfaces status

Debajo de la columna «VLAN», en lugar de listar la VLAN de acceso, o la palabra trunk, la

salida muestra la palabra «routed«, lo que quiere decir que es un puerto enrutado.

SW1# show interfaces status

! Only ports related to the example are shown; the command lists physical only
Port Name Status Vlan Duplex Speed Type
Fa0/1 connected 10 a-full a-100 10/100BaseTX
Fa0/2 notconnect 10 auto auto 10/100BaseTX
Fa0/3 connected 20 a-full a-100 10/100BaseTX
Fa0/4 connected 20 a-full a-100 10/100BaseTX
Gi0/1 connected routed a-full a-1000 10/100/1000BaseTX

show ip route

Lista los puertos enrutados como una interfaz de salida de las rutas.

SW1# show ip route

! legend omitted for brevity

[Link]/8 is variably subnetted, 6 subnets, 2 masks

C [Link]/24 is directly connected, Vlan10
L [Link]/32 is directly connected, Vlan10
C [Link]/24 is directly connected, Vlan20
L [Link]/32 is directly connected, Vlan20
C [Link]/24 is directly connected, GigabitEthernet0/1
L [Link]/32 is directly connected, GigabitEthernet0/1

show interfaces type number switchport

Si un puerto enrutado, la salida es corta y confirma que el puerto no es un puerto de tipo
switch. (Si el puerto es de Capa 3, este comando lista muchas configuraciones y detalles
del estado).

SW1# show interfaces g0/1 switchport

Name: Gi0/1
Switchport: Disabled
¿Cuándo usar Puerto de Enrutamiento o Enrutamiento Inter VLAN (SVI)?

En el siguiente ejemplo nos podemos hacer una idea.

En este diseño de red, el core (Core1, Core2) y los switches la red de distribución (D11,
D12, D21, D22) que conectan con Core 1 y Core 2 realizan Switcheo de Capa 3. Todos los
puertos que se enlazan directamente entre switches de Capa 3 pueden tener interfaces de
enrutamiento.

Para las VLANs en las que varias interfaces (access y trunk) se conectan a esa VLAN, el
enrutamiento Inter VLAN (SVI) tiene más sentido, porque las SVIs pueden enviar y recibir
tráfico hacia y desde múltiples puertos en el mismo switch.

En este diseño, todos los puertos de Core1 y Core2 deben ser puertos enrutados, mientras
que los cuatro switches de distribución usarán algunos puertos enrutados y otros como
SVIs.

Usando Interfaces de Enrutamiento para el Core y enlaces de Capa 3 para la Red de

Distribución
Vamos a ver cómo configurar EtherChannel en switch Capa 3 de Cisco, EtherChannel es
también conocido como LAG (link aggregation group).

Nota: En el capítulo 10 ya había hablado de EtherChannel para un Switch de Capa 2, si

aún no lo has visto te recomiendo verlo y volver a esta página.

Qué es EtherChannel y para qué Sirve

Es el agrupamiento de enlaces en paralelo para aumentar el rendimiento más allá de un

único enlace.

También provee redundancia en caso que un enlace falle.

Cómo Configurar EtherChannel en Switch Capa 2

Paso 1. Configura las interfaces físicas:

1. Use el comando channel-group number mode on para agregar la interfaz al
channel. Usar el mismo número en todas las interfaces físicas del switch. El número
usado (channel-group number) puede diferir del usado en en los switches vecinos.

2. Use el comando no switchport para hacer de cada puerto físico un puerto

enrutado.

Paso 2. Configura la interfaz PortChannel:

1. Use el comando interface port-channel number para pasar al modo de
configuración del port-channel al mismo número configurado en la interfaz física.

2. Use el comando no switchport para estar seguro que la interfaz port-channel

funciona como un puerto router.

3. Use el comando ip address address mask para configurar la dirección y máscara.

 Configuración de EtherChannel (LAG)

Configuración

interface GigabitEthernet1/0/13

no switchport
no ip address
channel-group 12 mode on
!
interface GigabitEthernet1/0/14
no switchport
no ip address
channel-group 12 mode on
!
interface Port-channel12
no switchport
ip address [Link] [Link]
Verificación

port-channel 12

SW1# show interfaces port-channel 12

Port-channel12 is up, line protocol is up (connected)
Hardware is EtherChannel, address is bcc4. 938b.e543 (bia bcc4. 938b.e543)
Internet address is [Link]/24
! lines omitted for brevity

SW1# show interfaces status

! Only ports related to the example are shown.
Port Name Status Vlan Duplex Speed Type
Gi1/0/13 connected routed a-full a-1000
10/100/1000BaseTX
Gi1/0/14 connected routed a-full a-1000
10/100/1000BaseTX
Po12 connected routed a-full a-1000

SW1# show ip route

! legend omitted for brevity
[Link]/8 is variably subnetted, 4 subnets, 2 masks
C [Link]/24 is directly connected, Vlan2
L [Link]/32 is directly connected, Vlan2
C [Link]/24 is directly connected, Port-channel12
L [Link]/32 is directly connected, Port-channel12

EtherChannel

SW1# show EtherChannel 12 summary

Flags: D - down P - bundled in port-channel

I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator

M - not in use, minimum links not met

u - unsuitable for bundling
w - waiting to be aggregated
d - default port

Number of channel-groups in use: 1

Number of aggregators: 1

Group Port-channel Protocol Ports

-------+---------------+---------------+----------------------------------------
12 Po12(RU) - Gi1/0/13(P) Gi1/0/14(P)
Los EtherChannel de capa 2 tienen una lista más larga de requisitos, pero los EtherChannel
de capa 3 también requieren algunas comprobaciones de consistencia entre los puertos
antes de que puedan agregarse a EtherChannel. La siguiente es la lista de requisitos para
la capa 3 EtherChannel:

no switchport: La interfaz PortChannel debe estar configurada con el comando no

switchport, también las interfaces físicas.

Velocidad: Los puertos físicos en el channel deben usar la misma velocidad.

duplex: Los puertos físicos en el channel deben usar el mismo duplex.

Entender qué es Ping es muy fácil, Ping es un programa usado para diagnóstico de
fallas en la red IP usando el paquete ICMP.

Cuando hay problemas en la red una de las primeras técnicas que se usa es usar el
comando ping o «pinguear» la red para detectar problemas.

Para qué Sirve el Comando Ping?

El comando ping nos sirve para descartar problemas en la red y posiblemente detectar la
razón del problema.

Si por ejemplo haces ping a una dirección de red y funciona y luego haces un ping a otra
dirección de red y falla ¿qué te dice la falla de ese comando ping? ¿Qué partes del
enrutamiento IPv4 pueden tener problema, y ¿qué partes sabes que no son un problema?

Por tanto, el comando ping nos sirve para aislar las causas del problema e
ir segmentando la red hasta encontrar el origen.

Cómo Funciona el Comando Ping?

El comando ping prueba la conectividad enviando paquetes a una dirección IP, esperando
que los paquetes vuelvan desde esa dirección de vuelta.

El comando envía paquetes que significan «si recibe este paquete, y está dirigido a ti, envía
una respuesta».

Cada vez que el comando ping envía uno de estos paquetes y recibe el mensaje enviado
por el otro host (el destino), el comando ping sabe que un paquete se generó desde el host
de origen al de destino y viceversa.

El comando ping usa el Protocolo de Mensajes de Control de Internet o en inglés Control

Message Protocol (ICMP), específicamente envía un mensaje de solicitud (echo request)
ICMP y recibe mensajes de respuesta de (echo reply) ICMP.

ICMP define muchos otros mensajes, pero estos dos mensajes fueron hechos
específicamente para pruebas de conectividad por comandos como el ping.
ICMP no se basa en TCP o UDP, y no utiliza cualquier protocolo de capa de
aplicación. Funciona como parte de la Capa 3, como un protocolo de control para ayudar a
IP ayudando a gestionar las funciones de la red IP.

Ejemplo de un Ping

Ejemplo desde una PC

Ping desde el Host A al Host B

Ping [Link]
El ejemplo anterior muestra los mensajes ICMP, con los encabezados IP.

En este caso, el usuario del host A abre la línea de comandos y emite el comando ping
[Link], probando la conectividad con el host B. El comando envía una solicitud
de echo y espera (Paso 1); el host B recibe los mensajes y devuelve
una respuesta de echo (Paso 2).

$ ping [Link]
PING [Link] ([Link]): 56 data bytes
64 bytes from [Link]: icmp_seq=0 ttl=64 time=1.112 ms
64 bytes from [Link]: icmp_seq=1 ttl=64 time=0.673 ms
64 bytes from [Link]: icmp_seq=2 ttl=64 time=0.631 ms
64 bytes from [Link]: icmp_seq=3 ttl=64 time=0.674 ms
64 bytes from [Link]: icmp_seq=4 ttl=64 time=0.642 ms
64 bytes from [Link]: icmp_seq=5 ttl=64 time=0.656 ms
^C
--- [Link] ping statistics ---
6 packets transmitted, 6 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.631/0.731/1.112/0.171 ms
Ejemplo de Ping Desde un Router Cisco

Ping desde R1 hacia Host B

Si el ping lo haces desde un router la cosa puede cambiar, es posible que veas que el primer
mensaje se pierde, pero no te preocupes es normal.

Esto sucede cuando el router aún no tiene en su tabla ARP esa ruta.
En el siguiente ejemplo vemos al router 1 (R1) hacer ping al host B:

R1# ping [Link]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to [Link], timeout is 2 seconds:
. ! ! ! !
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
R1# ping [Link]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to [Link], timeout is 2 seconds:
! ! ! ! !
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Mira la salida del comando, por defecto el comando ping de Cisco IOS envía cinco mensajes
de echo, con un tiempo de espera de 2 segundos.

Si el comando no recibe una respuesta de echo dentro de 2 segundos, el comando

considera que el mensaje a fallado o no ha llegado y el comando lo muestra en la salida
con un punto.

Si se recibe una respuesta satisfactoria en 2 segundos, el comando muestra un signo

de exclamación.

Así, en este primer comando, el primer echo de la respuesta se agotó, mientras que los
otros cuatro recibieron una respuesta de echo coincidente en 2 segundos.
Como comenté antes, el ejemplo muestra un comportamiento común y normal en los
comandos de ping

Esto suele ocurrir porque algún dispositivo en la ruta de extremo a extremo carece de una
entrada en la tabla ARP.

El Paso a Paso del Ejemplo Anterior

• R1 puede enviar mensajes echo request ICMP al host B ([Link]).

• R1 envía estos mensajes desde la dirección IP de su interfaz saliente (por defecto),

[Link] en este caso.

• El host B puede enviar mensajes de respuesta de echo reply ICMP a la dirección IP

[Link] del R1 (los hosts envían echo mensajes de respuesta a la dirección IP
desde la que se recibió la solicitud de echo).

•
Nota: Para que un mensaje transite por la red éste tiene que llegar por una ruta, para esto
es necesario tener configurada en la red rutas estáticas o rutas dinámicas con
algún protocolo de enrutamiento.

Y así se ven las tablas ARP en los distintos dispositivos luego que éstos cargan la
información en caché. Ahora en un futuro cuando se haga un ping el primer paquete no se
«perderá» ya que conoce el destino.

Tablas ARP en una PC, un Switch y un Router Cisco luego del Ping

A continuación te muestro cómo ejecutar y utilizar el comando Ping en distintos equipos:

Testeando con Ping en la misma LAN

Hacer un ping entre dos dispositivos conectados a la misma LAN puede confirmar si la LAN
puede pasar paquetes y tramas.

Específicamente, un ping que funcione descarta muchas de las posibles causas de un

problema.

Por ejemplo si se hace un ping desde R1 hacia el host A, ping [Link] y falla (ver figuras
anteriores), esta lista muestra las posibles causas:

• Problema de dirección IP: el Host A podría estar configurado estáticamente con una
dirección IP incorrecta.

• Problemas de DHCP: Si está usando el protocolo DHCP, muchos problemas

podrían existir. Lo veremos en profundidad en el capítulo 7 del Volumen 2 de este
curso, «Implementación de DHCP».

• Problemas de VLAN Trunking: El router podría estar configurado para un enlace del
tipo trunk 802.1Q, cuando no debería (o viceversa).

• Problemas de LAN: Una amplia variedad de problemas podrían existir con

los Switches de la Capa 2, evitando cualquier flujo de trama entre el host A y el
router

Así que, tanto si el ping funciona como si falla, el simple hecho de hacer un ping a un host
de la LAN desde un router puede ayudar a aislar aún más el problema.

Comando Ping en Windows, Linux o MAC son iguales

Este comando es el mismo para cualquier Windows; Windows 7, Windows 8 o Windows 10,
etc. También es el mismo para Linux o MAC.

En Windows el comando ping se ejecuta desde el programa de Windows CMD

Cómo Hacer Ping en CMD (MS DOS)

Abrir la ventana “Ejecutar” de Windows: usa la combinación de las teclas Windows + R para
abrir el cuadro de diálogo “Ejecutar”. Introduce el comando “CMD” en el campo “Abrir” y
confirma con la tecla INTRO.

Una vez en la ventana CMD ejecutar el comando ping seguido de una IP, por ejemplo:
ping [Link]

También puedes hacer ping a una URL o dominio.

Ejemplo de Ping a Google (o Cualquier Web)

Microsoft Windows [Version 10.0.18363.959]

(c) 2019 Microsoft Corporation. Todos los derechos reservados.

C:\Users\Marcelo>ping [Link]
Haciendo ping a [Link] [[Link]] con 32 bytes de datos:
Respuesta desde [Link]: bytes=32 tiempo=13ms TTL=114
Respuesta desde [Link]: bytes=32 tiempo=14ms TTL=114
Respuesta desde [Link]: bytes=32 tiempo=14ms TTL=114
Respuesta desde [Link]: bytes=32 tiempo=14ms TTL=114
Estadísticas de ping para [Link]:
Paquetes: enviados = 4, recibidos = 4, perdidos = 0
(0% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 13ms, Máximo = 14ms, Media = 13ms
C:\Users\Marcelo>

Es el mismo comando para hacer ping en Packets Tracer ya que éste emula al CMD.

Ejemplo de Ping a Toda la Red

Para hacer un Ping a toda una red debemos saber cuáles la IP de Broadcast. Por ejemplo
en una red [Link]/24 la IP de Broadcast es [Link]
ping [Link]
Sobre esto ya hable en el capítulo del Análisis de Subredes.
En el siguiente capítulo veremos el Ping Extendido donde ampliaré las posibilidades que
tiene el comando Ping y cómo nos ayuda a analizar problemas en la red de manera más
granular.

En el capítulo anterior vimos qué es Ping, ahora profundizaremos en el Ping extendido en

Cisco y otros dispositivos.
El ping del router Cisco por defecto no puede probar las rutas IP de forma más completa.
En particular, no prueba la ruta inversa de vuelta hacia él, el host original.

Por ejemplo, refiriéndonos nuevamente al siguiente ejemplo de red que ya habíamos visto
en el capítulo anterior, observa que las rutas inversas no apuntan a una dirección en
la subred del host A ([Link]/24). Cuando R1 procesa el comando ping [Link],
R1 tiene que elegir una dirección IP de origen para usar para el echo request, y los routeres
eligen la dirección IP de la interfaz de salida que en este caso es la dirección IP [Link]
(interfaz G0/0/0 de R1). La respuesta del mensaje echo vuelve de vuelta a esa misma
dirección ([Link]).
 Ejemplo de un Ping desde un router Cisco a una PC

Un ping estándar a menudo no prueba la ruta inversa que se necesita probar. En este caso,
el comando estándar ping [Link] en R1 no prueba si los routeres pueden enrutar de
vuelta a la subred [Link]/24, en lugar de probar sus rutas para la subred [Link]

Un ping extendido probaría la ruta de regreso a la subred del host A; un ping extendido
desde R1 puede hacer esta prueba.

Cómo Usar Ping Extendido en Cisco

R1# ping
Protocol [ip]:
Target IP address: [Link]
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: [Link]
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to [Link], timeout is 2 seconds:
Packet sent with a source address of [Link]
! ! ! ! !
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
El ping extendido permite que el comando ping de R1 utilice la dirección IP de la LAN de
R1 desde dentro de la subred [Link]/24. Entonces, los mensajes de respuesta de echo
volverán a la subred del host A, como se muestra en la siguiente figura.

Ejemplo de Ping Extendido desde Router Cisco a PC

Testeando con Ping Extendido en la misma LAN

Un ping estándar de un host en la LAN desde un router no prueba la configuración por

defecto del router de ese host.

Sin embargo, un ping extendido puede probar la configuración predeterminada del router
del host.

Ambas pruebas pueden ser útiles, especialmente para el aislamiento de problemas, porque

• Si un ping estándar de un host LAN local funciona…

• Pero un ping extendido del mismo host LAN falla…

• El problema probablemente se relaciona de alguna manera con la configuración por

defecto del router del host.

Recuerda que el ping extendido entre otras cosas podemos elegir la IP de origen del router,
para que no salga desde la interfaz por defecto que se encuentra en la misma LAN que el
dispositivo que estamos testeando. Lo lógico para hacer una mejor prueba (si funciona un
ping standard) seria usar la IP de origen de la otra pata de subred del router, como explique
antes.
 Ping Extendido en Windows

Este comando ping extendido es el mismo para cualquier Windows; Windows 7, Windows
8 o Windows 10, etc. También es el mismo para Linux o MAC.

Sintaxis: ping <ip> /parámetro valor /parametro2 valor ...

Opción
Descripción
(selección)

Se busca continuamente la conexión con el host destino hasta que interrumpas el

-t
proceso con CTRL + C .Es un Ping infinito.

Para averiguar el nombre de host del destino. Se muestra el nombre del ordenador
-a <ip>
junto con la estadística Ping en el terminal.

Defines el número deseado de solicitudes de echo ICMP. Ping envía cuatro

-n <número>
solicitudes en la configuración estándar en Windows.

Defines el tamaño del paquete de solicitud de echo ICMP en bytes. El valor

-l <tamaño> estándar es 32. Con ping pueden enviarse paquetes de datos con un tamaño
máximo de 65 527 bytes.

El programa pone el flag <Do not fragment> (no fragmentar) en la cabecera IP del
paquete de solicitud de echo a 1. Una solicitud de este tipo no puede ser dividida
-f
en unidades menores por los nodos de red en su ruta al destino. Esta opción solo
está disponible en redes IPv4.

Defines un TTL (Time to Live o en español Tiempo de Vida) personal de usuario

-i <TTL>
para tu solicitud echo ICMP. El máximo es 255.

-4 Obliga la utilización de IPv4.

-6 Obliga a la utilización de IPv6.

 Ejemplo de Ping Extendido a un Dominio en Windows

ping [Link] /l 64 /i 250

Ejemplo de Ping Extendido a una IP en Windows

ping [Link] /i 147 /a

Ping Extendido en Linux

Sintaxis: ping <ip> -parámetro valor -parametro2 valor ...

Opción
Descripción
(selección)

Espera x segundos entre el envío de cada paquete ICMP. El tiempo estándar es

-i 1 segundo. También sirve para, en el caso de que el host origen tenga más de una
interfaz, identificar por qué interfaz se realizará el ping.

-c <número> Especifica el número de pings a hacer, por defecto es infinito.

-n Especifica que no habrá salida a nombre de host DNS, solo numérica (dirección IP).

Especifica el tamaño de la porción de datos del paquete ICMP. El tamaño estándar es

-s 56 bytes (+ 20 bytes fijos de la cabecera IP + 8 bytes de la cabecera ICMP, en total 84
bytes).

-l Especifica que los paquetes ICMP deben ser enviados lo más rápido posible.

Defines un TTL (Time to Live o en español Tiempo de Vida) personal de usuario para tu
-t
solicitud echo ICMP. El máximo es 255.

Ejemplo de Ping Extendido a un Dominio en Linux

ping [Link] -i 200 -t 15

Ejemplo de Ping Extendido a una IP en Linux

ping [Link] -l preload

Qué es Traceroute?

Traceroute es un comando para diagnóstico que permite seguir el rastro de los paquetes
que vienen desde un host o punto en la red. Se obtienen además estadísticas del tiempo
de ida y vuelta o la latencia de la red de esos paquetes, lo que sería una estimación de la
distancia a la que están los extremos de la comunicación.

En Linux y Mac se llama traceroute y en Windows se llama tracert.

Para qué Sirve Traceroute?

Como vimos con el comando ping, el comando traceroute ayuda a los ingenieros de red
a aislar los problemas.

Ping VS Traceroute

Comparación del Ping y Traceroute:

• Ambos envían mensajes en la red para probar la conectividad.

• Ambos dependen de otros dispositivos para enviar una respuesta.

• Ambos tienen un amplio apoyo en muchos sistemas operativos diferentes.

• Ambos pueden utilizar un nombre de host o una dirección IP para identificar el

destino.

• En los routeres, ambos tienen una versión estándar y otra versión extendida, lo que
permite probar mejor la ruta inversa.

Las mayores diferencias entre ellos es que traceroute ofrece salidas del comando con
resultados más detallados y a traceroute le lleva mayor tiempo y esfuerzo extra para
construir esa salida.

Imagina que aparece un problema en la red y haciendo la prueba con el comando ping falla.
¿Dónde está el problema?, ¿Dónde debería el ingeniero mirar más de cerca? Aunque el
comando ping puede ser útil aislando la fuente del problema, el comando traceroute puede
ser una mejor opción.

El comando traceroute ayuda sistemáticamente a señalar problemas de enrutamiento,

mostrando cuán lejos un paquete circula por una red IP antes de ser descartado.
Traceroute para Diagnosticar Fallas en Cisco

El comando traceroute identifica los routeres en el camino desde el host de origen hasta el
host de destino.

Específicamente, enumera la dirección IP del siguiente salto de cada router que estaría en
cada una de las rutas individuales.

Por ejemplo, un comando traceroute [Link] en el host A en la siguiente figura

identificaría una dirección IP en el router R1, otra en el router R2, y luego el host B, como
se muestra en la figura.

El siguiente es un ejemplo de la salida del comando tomada desde el host A:

$ traceroute [Link]
traceroute to [Link], 64 hops max, 52-byte packets
1 [Link] ([Link]) 0.870 ms 0.520 ms 0.496 ms
2 [Link] ([Link]) 8.263 ms 7.518 ms 9.319 ms
3 [Link] ([Link]) 16.770 ms 9.819 ms 9.830 ms

Cómo Funciona el Comando Traceroute?

El comando traceroute recoge información generando paquetes que disparan mensajes de

error de los routeres; estos mensajes identifican a los routeres, permitiendo al comando
traceroute listar las direcciones IP de los routeres en la salida del comando.

Ese mensaje de error es el mensaje ICMP de tiempo de vida excedido (TTL Exceded),
originalmente destinado a notificar a los hosts cuando un el paquete había estado en loops
en una red.

Ignoremos traceroute por un momento y enfoquémonos en el enrutamiento IP, los routeres

de IPv4 evitan los loops o bucles en la red descartando los paquetes IP. Para hacer esto
el encabezado IPv4 tiene un campo llamado Time to Live (TTL).

El host original que crea el paquete especifica un valor TTL inicial. Entonces cada router
que reenvía el paquete disminuye el valor del TTL en 1.

Cuando un router disminuye el TTL a 0, el router percibe que el paquete está en un bucle,
y el router descarta el paquete. El router también notifica al host que envió el paquete
descartado enviando un mensaje de ICMP TTL excedido.

Ahora volviendo a traceroute.

Traceroute envía mensajes con valores bajos de TTL para hacer que los routeres envíen
un mensaje TTL de tiempo excedido.

Específicamente, un comando traceroute comienza enviando varios paquetes

(normalmente tres), cada uno con el campo TTL de cabecera igual a 1. Cuando ese
paquete llega al siguiente router (el router R1 es el router por defecto del host A en el
ejemplo de la figura) el router disminuye el TTL a 0 y descarta el paquete. El router entonces
envía al host A el mensaje TTL de tiempo excedido, que identifica la dirección IP del router
al comando traceroute.

Primer descubrimiento de Traceroute con un TTL = 1

Para encontrar todos los routeres de la ruta, y finalmente confirmar que los paquetes fluyen
hasta el host de destino, el comando traceroute envía un pequeño conjunto de paquetes
con TTL=1, luego un pequeño conjunto con TTL=2, luego 3, 4, y así sucesivamente, hasta
que el host de destino responda.
En el siguiente ejemplo vemos un ejemplo de cómo funciona el comando traceroute

Segundo descubrimiento de Traceroute en el segundo grupo de mensajes con un TTL = 2

Pasos de Traceroute

La figura muestra estos cuatro pasos:

1. El comando traceroute envía un paquete del segundo conjunto con TTL=2.

2. El router R1 procesa el paquete y decrementa el TTL a 1. R1 reenvía el paquete.

3. El router R2 procesa el paquete y decrementa el TTL a 0. R2 descarta el paquete.

4. R2 notifica al host emisor del paquete descartado enviando un mensaje ICMP de

TTL Exceded. La dirección IP de origen del mensaje es [Link].

Traceroute Extendido en Cisco

El comando extendido de traceroute nos brinda características como las que vimos en el
capítulo anterior de Ping Extendido.

Ejemplo del commando Traceroute

R1# traceroute [Link]

Type escape sequence to abort.
Tracing the route to [Link]
VRF info: (vrf in name/id, vrf out name/id)
1 [Link] 0 msec 0 msec 0 msec
2 [Link] 0 msec 0 msec *
Ejemplo del commando Traceroute Extendido

R1# traceroute
Protocol [ip]:
Target IP address: [Link]
Source address: [Link]
Numeric display [n]:
Timeout in seconds [3]:
Probe count [3]:
Minimum Time to Live [1]:
Maximum Time to Live [30]:
Port Number [33434]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Type escape sequence to abort.
Tracing the route to [Link]
VRF info: (vrf in name/id, vrf out name/id)
1 [Link] 0 msec 0 msec 0 msec
2 [Link] 0 msec 0 msec *

NOTA Los comandos de traceroute del sistema operativo del host suelen crear solicitudes
echo ICMP. El comando traceroute del sistema operativo de Cisco (IOS) crea en cambio
paquetes IP con un encabezado UDP. Esta información puede parecer trivial en este punto.
Sin embargo, ten en cuenta que una ACL puede filtrar el tráfico de los mensajes traceroute
de un host pero no el comando traceroute del router, o viceversa.

Traceroute en Windows (tracert)

C:\>tracert [Link]

Traza a la dirección [Link] [[Link]]

sobre un máximo de 30 saltos:

1 13 ms 16 ms 8 ms [Link]

2 7 ms 17 ms 10 ms [Link]

3 12 ms 4 ms 19 ms [Link]

4 * 510 ms 318 ms GE-RAC-AVELLANEDA_3600-AVELLANEDA_7200.[Link]

[[Link]]

5 40 ms 123 ms 8 ms SOL-LSR_II-GE-SOL-RAC-AVELLANEDA_3600.[Link]
[[Link]]
 6 277 ms 234 ms 128 ms GE-SOL-LSR_II-LSR_I.[Link] [[Link]]

7 30 ms 67 ms 9 ms [Link]

8 50 ms 33 ms 25 ms [Link]

9 34 ms 29 ms 31 ms [Link]

10 30 ms 65 ms 12 ms [Link] [[Link]]

11 40 ms 98 ms 23 ms GE-SOL-LSR_II-LSR_I.[Link] [[Link]]

Traza completa.

Traceroute en Linux

user@localhost:/# traceroute [Link]

traceroute to [Link] ([Link]), 64 hops max, 40-byte packets

1 * * *

2 [Link] ([Link]) 23 ms 23 ms 22 ms

3 [Link] ([Link]) [MPLS: Label 1479 Exp 0] 38 ms 51 ms 38 ms

4 [Link] ([Link]) 38 ms 38 ms 37 ms

5 [Link] ([Link]) 51 ms 43 ms 43 ms

6 [Link] ([Link]) 94 ms 93 ms 93 ms

7 [Link] ([Link]) 95 ms 93 ms 93 ms

8 [Link] ([Link]) 94 ms 95 ms 95 ms

9 [Link] ([Link]) 104 ms 104 ms 103 ms

10 [Link] ([Link]) 104 ms 103 ms *

11 [Link] ([Link]) 103 ms 103 ms 103 ms

 12 [Link] ([Link]) 98 ms 97 ms [Link] ([Link]) 103 ms

13 [Link] ([Link]) 105 ms 104 ms 106 ms

14 [Link] ([Link]) 106 ms * 105 ms

15 [Link] ([Link]) 110 ms 109 ms 107 ms

16 * [Link] ([Link]) 100 ms 99 ms

Traceroute en Mac

traceroute: Warning: [Link] has multiple addresses; using [Link]

traceroute to [Link] ([Link]), 64 hops max, 52-byte packets

1 live box ([Link]) 6.443 ms 3.020 ms 3.682 ms

2 [Link] ([Link]) 36.757 ms 33.193 ms 28.403 ms

3 * * [Link] ([Link]) 28.510 ms

4 [Link] ([Link]) 29.722 ms 26.758 ms 31.308 ms

5 [Link] ([Link]) 30.782 ms 263.705 ms 2691.420 ms

6 [Link] ([Link]) 49.426 ms 32.855 ms

37.527 ms

7 * * *

8 [Link] ([Link]) 28.724 ms 38.731 ms 27.124 ms

9 [Link] ([Link]) 30.814 ms 28.500 ms 27.119 ms

10 [Link] ([Link]) 28.481 ms 53.681 ms 31.937 ms

11 [Link] ([Link]) 27.614 ms 32.469 ms 29.051 ms

Este capítulo de Vector Distancia y Estado de Enlace y el siguiente capítulo (Distancia
Administrativa y Métricas) son un preámbulo para poder comprender mejor el
funcionamiento de los protocolos de enrutamiento (Enrutamiento Dinámico) que
hablaremos en mayor profundidad en próximos capítulos.

El algoritmo de un protocolo de enrutamiento es una de sus mayores particularidades y

éste puede ser:

• Vector Distancia o Distance Vector (DV)

Ejemplo de protocolo: RIP e IGRP.

• Estado de Enlace o Link State (LS)

Ejemplo de Protocolo: OSPF e ISIS.

Vector Distancia VS Estado de Enlace

Bases a comparar Vector Distancia Estado de Enlace

Algoritmo Bellman-Ford Dijsktra

Información desde el punto de vista del Información completa de la topología

Vista de la red
vecino de red

Cálculo del mejor camino Basado en el menor número de saltos Basado en el «costo»

Actualizaciones Tabla de enrutamiento completa Actualización del estado de los enlaces

Frecuencia de las
Actualizaciones periódicas Actualizaciones especificas
actualizaciones

CPU y memoria Bajo uso Alto uso

Simplicidad Muy simple Más complejo

Tiempo de convergencia Moderado Rápida

Actualizaciones (red) Broadcast Multicast

Estructura jerárquica No Si

Nodos intermedios No Si
Vector Distancia

¿Qué es el Enrutamiento por Vector Distancia y Cómo Funciona?

Como indica su nombre, los protocolos de enrutamiento de vector distancia usan la

distancia para determinar la mejor ruta para llegar a una red.

Cuando un router aprende la ruta de una red, aprende tres factores importantes
relacionados al router:

• La red de destino.

• La distancia (métrica).

• El vector (el enlace y el router del siguiente salto a usar como parte de la ruta).

Muchas veces, la distancia es el número de saltos (routeres) hasta la red de destino.

El protocolo de vector distancia generalmente envía la tabla de enrutamiento completa a
cada vecino (un vecino está directamente conectado a un router que ejecuta el
mismo protocolo de enrutamiento).

Estos protocolos usan el algoritmo Bellman-Ford para calcular la mejor ruta.

En comparación con el protocolo de enrutamiento de estado de enlace, los protocolos de

vector distancia son más fáciles de configurar y mantener, pero son más susceptibles a
loops o bucles de rutas y convergen más lento. Además los protocolos de vector distancia
usan más ancho de banda porque envían la tabla de enrutamiento completa, mientras que
los protocolos de estado de enlace envían actualizaciones específicas sólo cuando
la topología de la red cambia.

Estado de Enlace

¿Qué es el Enrutamiento por Estado de Enlace y Cómo Funciona?

Al igual que los protocolos de vector distancia, el propósito básico es encontrar el mejor
camino hacia el destino, pero lo hace de manera distinta.

A diferencia de los protocolos vector distancia, los protocolos de estado de enlace no envían
la tabla de enrutamiento completa sino que avisan de cambios en la red (enlaces
directamente conectados, routeres vecinos…), al final todos los routeres van a tener la
misma base de datos de la topología de la red.

Los protocolos de estado de enlace convergen más rápido que los de vector distancia.
Envía actualizaciones de la red usando direcciones de Multicast y usa actualizaciones de
enrutamiento en cadena.
Requiere más CPU y memoria del router que los protocolos de vector distancia y es más
difícil de configurar.

Tipos de Tablas

Cada router que usa un protocolo de enrutamiento de estado de enlace crea tres
tablas diferentes:

• Tabla de Vecinos – la tabla de routeres vecinos con el mismo protocolo de

enrutamiento de estado de enlace.

• Tala de Topología – la tabla que guarda la topología de toda la red.

• Tabla de Enrutamiento – la tabla que guarda las mejores rutas.

Algoritmo: Dijkstra ó Shortest Path First (en español; El camino más corto primero) es el
algoritmo usado para calcular la mejor ruta. OSPF e IS-IS.

¿Qué es la Distancia Administrativa?

En corto, la Distancia Administrativa sirve para que un router elija una ruta para alcanzar
la misma subred cuando se usa más de una protocolo de enrutamiento para llegar a ella.
La ruta del protocolo de enrutamiento que tenga la distancia administrativa más baja será
la mejor ruta.

Ejemplo de Distancia Administrativa

Por ejemplo, si la misma ruta es aprendida por RIP e IGRP, un router Cisco elegirá la ruta
de IGRP y la priorizará en la tabla de enrutamiento. Esto sucede porque IGRP tiene (por
defecto) la distancia administrativa de 100, mientras que RIP tiene una distancia
administrativa mayor de 120.

Puedes ver la distancia administrativa de todas las rutas con el comando show ip route:

R1#show ip route

Gateway of last resort is not set

[Link]/24 is subnetted, 1 subnets

C [Link] is directly connected, Ethernet0
I [Link]/8 [100/1600] via [Link], [Link], Ethernet0
C [Link]/24 is directly connected, Loopback0

En este caso vemos la letra I que representa al protocolo IGRP y entre paréntesis rectos
vemos el número 100 [100/1600] que representa la distancia administrativa de IGRP por
defecto.
Tabla de la Distancia Administrativa Por Defecto

Origen de la ruta Distancia administrativa por defecto

Interfaces directamente conectadas 0

Rutas estáticas 1

EIGRP 5

eBGP (External BGP) 20

Internal EIGRP 90

IGRP 100

OSPF 110

IS-IS 115

RIP 120

EGP 140

ODR 160

External EIGRP 170

iBGP (Internal BGP) 200

Unknown* 255
* Si la distancia administrativa es 255, el router no cree en la fuente de ésta ruta y no agrega
la ruta a la tabla de enrutamiento.

¿Qué es la Métrica?

Si un router aprende dos caminos diferentes para la misma red con el mismo protocolo de
enrutamiento, éste debe decidir cuál ruta es mejor y la agregará a la tabla de enrutamiento.

La métrica es la medida usada para decidir la mejor ruta. Cada protocolo de enrutamiento
usa su propia métrica. Por ejemplo, RIP usa el conteo por saltos como métrica, mientras
que OSPF usa el costo.
Ejemplo del Camino Más Óptimo, Más Corto o el Mejor Camino

Ejemplo de Métrica entre RIP y OSPF

En la imagen anterior podemos ver un ejemplo de cómo se comporta el algoritmo para

encontrar el camino más optimo, más corto o el mejor camino.
Si quisiéramos llegar del router A al B:

Claramente se observa que RIP prefiere como camino más optimo el que tiene menor
cantidad de saltos (A > B), pero es el camino que ofrece la velocidad 10 veces menor que
con 128 Kbps.
Mientras que el OSPF entiende que el camino más optimo es el que ofrece mayor
velocidad en todo el recorrido (A > C > D > B).

Para este ejemplo en particular el protocolo de enrutamiento OSPF es mejor, pero si en vez
de tener un enlace de 128 Kbps éste fuera de 100 Mbps como los demás, entonces el
protocolo de enrutamiento RIP funcionaria perfectamente.

La siguiente lista muestra algunos protocolos de enrutamiento y el tipo de métrica que usan.

Protocolo de enrutamiento Métrica

RIP Saltos

EIGRP Ancho de banda, delay (retraso)

OSPF Costo (ancho de banda y delay)

En un capítulo anterior habíamos visto el Enrutamiento Estático, es decir, sin usar un
protocolo de enrutamiento IP, por el contrario en el Enrutamiento Dinámico usa un protocolo
de enrutamiento con lo cual las rutas se crean dinámicamente.

También vimos las características más importantes de un protocolo de enrutamiento;

el algoritmo que usa un protocolo de enrutamiento, la distancia administrativa y la
métrica de un protocolo de enrutamiento.

Funciones de un Protocolo de Enrutamiento Dinámico

Existen muchos protocolos de enrutamiento IP. Todos estos protocolos comparten en

esencia las mismas características:

1. Lee la información de enrutamiento de las subredes IP de los routeres vecinos.

2. Notifica sobre la información de enrutamiento de n a los routeres vecinos.

3. Si el router aprende más de una ruta para alcanzar una subred, elije el mejor
camino basándose en un concepto de los protocolos de enrutamiento
llamado métrica.

4. Reacciona a cambios en la red, por ejemplo cuando un enlace falla

y converge usando una nueva opción con el mejor camino para cada subred de
destino.

Si bien todos los protocolos de enrutamiento comparten lo anterior, difieren en cómo

realizan esas tareas.

Historia de los Protocolos IGP

IGP quiere decir; Interior Gateway Protocol o Protocolo de Gateway Interior. Básicamente
refiere a los protocolos usados dentro de un Sistema Autónomo, al contrario
que EGP (External Gateway Protocol) que refiere a los protocolos externos usados para la
intercomunicación entre Sistema Autónomos.
Línea de tiempo de los protocolos de enrutamiento interior (IGP)
1ra Ola

En 1980 aparece el más popular protocolo de enrutamiento del momento llamado RIP
Versión 1 (RIPv1).

Poco más tarde aparece IGRP, un protocolo propietario de Cisco.

2da Ola

En 1990 aparecen varios protocolos de enrutamiento gracias a los avances del momento,
desatando así la segunda ola. Algunos de estos nuevos protocolos son RIP Versión 2
(RIPv2), OSPF Versión 2 (OSPFv2) y Enhanced Interior Gateway Protocol (EIGRP), todos
en uso actualmente.

Hasta ahora los protocolos citados funcionaban con IPv4, pero no con IPv6. IPv6 aparece
a mediados de 1990 para solucionar las limitaciones de crecimiento de IPv4 en Internet.

3ra Ola

La nueva tercera ola de protocolos para IPv6 fueron EIGRP para IPv6 (EIGRPv6), OSPF
Versión 3 (OSPFv3) y RIP next generation (RIPng).

4ta Ola

La cuarta ola incorpora el protocolo OSPFv3 Adress Families que unifica OSPFv2 (que sólo
funcionaba con IPv4) con OSPFv3 (que sólo funcionaba con IPv6).
Comparación de protocolos IGP

Cuando se quiere elegir un protocolo de enrutamiento u otro principalmente se ven estas

cuatro características que más difieren entre protocolos:

• El algoritmo que usa el protocolo:

• Distance Vector o Vector Distancia (DV)

• Link State o Estado de Enlace (LS)

• La métrica: El protocolo de enrutamiento elije la mejor ruta basándose en su métrica.

• La velocidad de convergencia: Cuanto tiempo le lleva conocer o aprender las rutas

cuando exista un cambio en la red.

• Si el protocolo es un estandard público o propietario de un vendedor: RIP y OSPF

son estándares, definidas en las RFCs.

IGP vs EGP

Los protocolos de enrutamiento IP caen dentro de una de las dos categorías principales:

Protocolo interior – Interior Gateway Protocol (IGP)

Protocolo Exterior – External Gateway Protocol (EGP).

Las definiciones de cada uno de ellos son las siguientes:

• IGP: Un protocolo de enrutamiento que fue diseñado y destinado a ser utilizado

dentro de un Sistema Autónomo único o en inglés Autonomous System (AS)

• EGP: Un protocolo de enrutamiento que fue diseñado y destinado a ser utilizado

entre diferentes sistemas autónomos

Un sistema autónomo (AS) es una red bajo el control administrativo de una sola
organización. Por ejemplo, una red creada y que la paga una sola compañía es
probablemente un solo AS, y una red creada por una universidad es probablemente un solo
AS.

Otros ejemplos incluyen grandes divisiones de un estado gobierno nacional, donde los
diferentes organismos gubernamentales podrían construir sus propias redes.

Cada proveedor de servicios de Internet (ISP) es también típicamente un único AS

diferente.
 A continuación veremos qué es OSPF y cómo funciona OSPF en Cisco. Vale aclarar que
veremos el protocolo OSPFv2 que es el protocolo de enrutamiento para IPv4.

Qué es OSPF

OSPF (Open Shortest Path First ó en español, El Camino Más Corto Primero) es
un protocolo de enrutamiento dinámico interior (IGP – Internal Gateway Protocol -). Usa
un algoritmo de tipo Estado de Enlace.

En esencia un protocolo de enrutamiento lo que hace es:

1. Aprende información de enrutamiento sobre las subredes IP de los routeres

vecinos.

2. Anuncia información de enrutamiento sobre subredes IP a los routeres vecinos.

3. Si existe más de una ruta posible para llegar a una subred, elije la mejor ruta en
base a una métrica.

4. Si la tipología de la red cambia, por ejemplo si un enlace falla, reacciona anunciando

que algunas rutas han fallado y elige la nueva mejor ruta. (Este proceso se
denomina convergencia).

Nota: Es recomendable leer esta Parte VI del curso desde el principio ya que se tocan
temas relacionados al protocolo OSPF como Vector Distancia y Estado de Enlace o
las Métricas y la Distancia Administrativa.

Cómo Funciona OSPF

Los protocolos de estado de enlace (Link State) crean rutas IP con un par de pasos
importantes.

Primero, todos los routeres juntos construyen la información sobre la red: routeres, enlaces,
direcciones IP, información de estado, etc.

Luego los routeres inundan la red de información, así que todos los routeres conocen la
misma información. En ese punto, cada router puede calcular las rutas a todas las subredes,
pero desde la perspectiva de cada router.
OSPF organiza la información de la tipología de red utilizando lo que se llaman LSA y la
base de datos de estado de enlace (LSDB). Cada LSA es una estructura de datos con
alguna información específica sobre la tipología de red; el LSDB es simplemente la una
base de datos con la colección de todos los LSA conocidos por un router.
Base de datos de LSA (LSDB)
La siguiente imagen muestra la idea general del proceso de inundación (flooding), con R8
creando e inundando sus LSAs.

Inundación de mensajes LSA en usando un protocolo de enrutamiento de Estado de Enlace

Encontrar la Mejor Ruta en OSPF

La información contenida en la base de datos LSDB no indica explícitamente la mejor ruta

de cada router para llegar a un destino. Para saber esto tienen que hacer algunas
matemáticas.
Todos los protocolos de estado de enlace utilizan un tipo de n, llamado
Algoritmo de la Dijkstra Shortest Path First (SPF), para procesar la LSDB. Ese algoritmo
analiza (con matemáticas) la LSDB y construye las rutas que el router local debe añadir a
la tabla de rutas.

Esto fue visto en mayor profundidad en la sección Estado de Enlace del capítulo
anterior 19.1: Vector Distancia y Estado de Enlace.

Conocer a los Vecinos y Aprender su Identificación de Router

Los routeres OSPF necesitan establecer una relación de vecindad antes de intercambiar
actualizaciones de enrutamiento. Los vecinos de OSPF son descubiertos dinámicamente
enviando paquetes de mensaje «Hello» a cada interfaz habilitada para OSPF en un router.
Los mensajes «Hello» a su vez enumeran el ID de cada router (RID), que sirve
como identificador único de cada router OSPF.

Los RID de OSPF son números de 32 bits. Por defecto IOS elige una de las direcciones
IPv4 de la interfaz del router para crear el identificador OSPF RID, también se puede
configurar directamente.

Los routeres OSPF pueden convertirse en vecinos si están conectados a la misma subred.

Para descubrir otros routeres que hablen OSPF, un router envía paquetes Hello
de Multicast a cada interfaz y espera recibir paquetes Hello de otros routeres OSPF
conectados a esas interfaces.
La siguiente imagen muestra el concepto:
Intercambio de paquetes Hello en OSPF
Los routeres R1 y R2 envían mensajes Hello al enlace. Continúan enviando Hellos a un
intervalo regular basado en la configuración de su temporizador. Los mensajes de Hello por
sí mismos tienen las siguientes características:

• El mensaje Hello sigue el encabezado del paquete IP, con el protocolo IP tipo 89.
• Los paquetes de Hello se envían a la dirección IP Multicast [Link], una dirección
IP Multicast destinada para todos los routeres que hablan OSPF.
• Los routeres OSPF escuchan los paquetes enviados a la dirección IP Multicast
[Link], en parte con la esperanza de recibir los paquetes de Hello y aprender
sobre los nuevos vecinos.

Estado 2-way ó de 2 vías – Lo que sucede en la figura anterior es lo siguiente:

• El router recibió un Hello del vecino, con el RID de ese router listado como visto por
el vecino.
 • El router ha comprobado todos los parámetros del Hello recibido desde el vecino sin
problemas. El router está dispuesto a convertirse en un vecino OSPF.

• Si ambos routeres alcanzan un estado 2-way entre sí, significa que ambos routeres
cumplen todos requisitos de configuración de OSPF para convertirse en vecinos.
Efectivamente, en ese punto, son vecinos y listos para intercambiar sus LSDB entre
ellos.

Estados de Vecinos de OSPF

Antes de establecer una relación vecina, los routeres OSPF deben pasar por varios cambios
de estado. Estos estados se explican a continuación:

1. Estado de inicio (Init): un router ha recibido un mensaje Hello del otro router OSFP

2. Estado 2-Way: el vecino recibió el mensaje Hello y respondió con un mensaje Hello
propio.

3. Estado Exstart: comienzo del intercambio LSDB entre ambos routeres. Los
routeres comienzan a intercambiar información sobre el estado del enlace.

4. Estado de Exchange: se intercambian los paquetes DBD (Database Descriptor).

Los DBD contienen encabezados de LSA. Los routeres utilizarán esta información
para ver qué LSA deben intercambiarse.

5. Estado de Carga (Loading): un vecino envía LSRs (Link State Requests, en

español Solicitudes de Estado de Enlace) para cada red que no conoce. El otro
vecino responde con las LSU (Link State Updates, en español Actualizaciones de
Estado de Enlace) que contienen información sobre las redes solicitadas. Después
de haber recibido toda la información solicitada, otro vecino pasa por el mismo
proceso

6. Estado Completo (Full): ambos routeres tienen la base de datos sincronizada y

son completamente adyacentes entre sí.

A continuación seguiré profundizando en OSPF, veremos el intercambio de LSBDs entre

routeres vecinos.

Calculando la Mejor Ruta en OSPF

Para saber qué rutas agregar a la tabla de enrutamiento, cada router debe hacer algunos
cálculos matemáticos usando el algoritmo SPF para elegir las mejores rutas desde la
perspectiva de ese router.
Si existe más de una ruta, el router compara las métricas y elige la mejor ruta, es decir la
métrica más baja y la agrega a la tabla de enrutamiento.
Con una simple suma se puede calcular la métrica para cada ruta, prediciendo cuál elegirá
usando SPF:

La siguiente imagen muestra un ejemplo con tres posibles rutas para R1 llegue a la Subred
X ([Link]/24).

Calculo (Costo) de la Mejor Ruta en OSPF

Nota: OSPF considera el costo de la interfaz de salida (solamente) para cada router. Éste
no considera el costo de las interfaces de ingreso.

Ruta Localización en la imagen Costo acumulado

R1–R7–R8 Izquierda 10 + 180 + 10 = 200

R1–R5–R6–R8 Medio 20 + 30 + 40 + 10 = 100

R1–R2–R3–R4–R8 Derecha 30 + 60 + 20 + 5 + 10 = 125

La ruta del medio (R1-R5-R3-

A continuación veremos en detalle el intercambio de LSBD en OSPF entre vecinos, cómo

los routeres OSPF intercambian la base de datos (LSBD) entre ellos.

El estado 2-way (bidireccional) de un vecino OSPF significa que el router está disponible
para intercambiar su LSDB.

Los routeres no envían el contenido de toda la base de datos.

Primero, intercambian una lista de LSA en sus respectivas bases de datos, no todos los
LSA, solo una lista, esto para hacer antes ciertas verificaciones.

Luego puede pedirle al otro router solo los LSA restantes que aún no se conoce.

Por ejemplo, el router R1 puede enviar al router R2 una lista de verificación que enumera
10 LSA (utilizando una descripción de base de datos OSPF o un paquete DD). R2 luego
verifica su LSDB y encuentra seis de esos 10 LSA. Entonces, R2 le pide a R1 (usando
un paquete de solicitud de estado de enlace) que envíe los cuatro LSA adicionales.

Los mensajes OSPF que envían los LSA entre vecinos se denominan paquetes de
actualización de estado de enlace (LSU). El paquete LSU contiene estructuras de datos
denominadas anuncios de estado de enlace (LSA). Los LSA no son paquetes,
sino estructuras de datos que se encuentran dentro del LSDB y describen la tipología.

Cuando el intercambio de mensajes se termina, los routeres alcanzan un estado completo

(full), lo que significa que han intercambiado completamente el contenido de sus LSDB.
Intercambio de LSBD en OSPF

Mantener a los Vecinos y la LSDB

Una vez que dos vecinos alcanzan el estado full (completo), han realizado todo el trabajo
inicial para intercambiar información OSPF entre ellos. Sin embargo, los vecinos todavía
tienen que hacer algunas pequeñas tareas continuas para mantener la relación con los
vecinos.

Los routeres envían mensajes Hello y dos temporizadores relacionados: el Intervalo

Hello y el Intervalo Dead. Los routeres envían mensajes Hello cada un Intervalo Hello a
cada vecino. Si un vecino está en silencio durante el Intervalo Dead (de forma
predeterminada, cuatro veces más que el Intervalo Hello), la pérdida de Hellos significa
que el vecino ha fallado.

Los routeres también deben reaccionar cuando cambia la tipología, y los vecinos
desempeñan un papel clave en ese proceso. Cuando algo cambia, uno o más routeres
cambian uno o más LSA. Luego, los routeres deben inundar los LSA cambiados a cada
vecino para que el vecino pueda cambiar su LSDB.

Otra tarea de mantenimiento realizada por los vecinos es volver a inundar cada LSA
ocasionalmente, incluso cuando la red está completamente estable. De forma
predeterminada, cada router que crea un LSA también tiene la responsabilidad de volver a
cargar el LSA cada 30 minutos (valor predeterminado), incluso si no se producen cambios.
Cada LSA tiene un temporizador independiente, en función de cuándo se creó el LSA.
La siguiente lista enumera las tres tareas de mantenimiento:

• Mantiene el estado del vecino enviando mensajes Hello basados en el Intervalo

Hello y escuchando los Hello antes de que expire el Intervalo Dead

• Inunda a cada vecino cuando las LSA cambian

• Vuelve a inundar la red a medida que expire su vida útil (30 minutos
predeterminados) aunque los LSA no cambien

OSPF se comporta de manera diferente en algunos tipos de interfaces según una

configuración de interfaz denominada OSPF network type. En los enlaces Ethernet, OSPF
utiliza de forma predeterminada un tipo de network type broadcast, lo que hace que OSPF
elija uno de los routeres en la misma subred para que actúe como un Router Designado;
Designated Router (DR). El DR juega un papel clave en cómo funciona el proceso de
intercambio de bases de datos, con reglas diferentes a las de los enlaces punto a punto.

Para entender cómo se elige un DR en OSPF mire la siguiente imagen. La imagen muestra
cinco routeres OSPFv2 en la misma VLAN Ethernet. Estos cinco routeres OSPF eligen un
router para actuar como DR y un router para ser un DR de respaldo ó Backup (BDR). La
imagen muestra A y B como DR y BDR respectivamente, por la única razón de que Ethernet
debe tener uno de cada uno.
La elección del DR y BDR es según las prioridad establecida en el router OSPF, por defecto
es 1.

Nota: Puedes influir en el proceso de selección del DR y BDR configurando manualmente

la prioridad del router OSPF usando el comando ip ospf priority valor en la interfaz.

Designated Router (DR) y Backup Designated Router (BDR) en OSPF

El proceso de intercambio de la base de datos en un enlace Ethernet ocurre entre el DR y
cada uno de los otros routeres.

El DR se asegura de que todos los demás routeres obtengan una copia de cada LSA.

Intercambio LSDB en el Designated Router

El BDR observa el estado del DR y reemplaza al DR si éste falla. Cuando el DR falla, el
BDR se hace cargo y luego se elige un nuevo BDR.

El DR envía un paquete a todos los routeres OSPF en la subred mediante la dirección IP de

broadcast [Link].

Cualquier router OSPF que tenga que enviar un mensaje al DR y también al BDR usa la
dirección de broadcast antes mencionada.

DR y el BDR realizan un intercambio completo de bases de datos con todos los demás
routeres OSPF en la LAN, llegando a un estado completo (full) con todos los vecinos. Sin
embargo, los routeres que no son DR ni BDR (denominados DROthers) nunca alcanzan
un estado Full porque no intercambian LSDB directamente entre sí.

El comando show ip ospf neighbor en estos routeres DROther enumera algunos vecinos
en un estado 2-way (bidireccional), que permanecen en ese estado en condiciones de
funcionamiento normal.

Por ejemplo, usando la red de la imagen anterior, con OSPF funcionando normalmente, un
comando show ip ospf neighbor en el router C (que es un router DROther) mostraría lo
siguiente:
• Dos vecinos (A y B, el DR y el BDR, respectivamente) con un estado full (llamados
vecinos totalmente adyacentes)
• Dos vecinos (D y E, que son DROthers) con un estado 2-way (llamados vecinos)
Ejemplo del comando show ip ospf neighbor (no se corresponde con el ejemplo de la
imagen):
R3#show ip ospf neighbor

Neighbor ID Pri State Dead Time Address Interface

[Link] 1 FULL/DROTHER [Link] [Link] FastEthernet0/0
[Link] 1 FULL/DR [Link] [Link] FastEthernet0/0
[Link] 1 FULL/DROTHER [Link] [Link] FastEthernet0/0
[Link] 1 FULL/BDR [Link] [Link] FastEthernet0/0

Estados de los Vecinos OSPF Estables y sus Significados

Estado del
Término del Vecino Término de la Relación
Vecino

Neighbor Relationship (Relación

2-way Neighbor (Vecino)
de Vecino)

Adjacent Neighbor (Vecino Adyacente)

Full Fully Adjacent Neighbor (Vecino Adjacency (Adyacente)
Adyacente Completo)

Veremos cómo configurar OSPF en Cisco. Primero la configuración usando una sola área y
luego varias áreas (OSPF Multiárea).

Configurar OSPF en una sola Área

Veremos cómo se configura OSPFv2 en una única área, esto puede ser tan simple como
habilitar OSPF en cada interfaz del router y colocar esa interfaz en el área de OSPF
correcta.

La siguiente lista describe los pasos de configuración para OSPF con una sola área:

Paso 1. Usa en el router el comando ospf process-id global en el router para ingresar al
modo de configuración de OSPF en un proceso OSPF en particular.
Paso 2. (Opcional) Configura el ID del router OSPF haciendo lo siguiente:

• A. Usa el comando router-id id-value para definir el ID del router,

• B. Usa el comando global interfaz loopback number, junto al comando ip

address address mask, para configurar una dirección IP de loopback en la interfaz
(elije la dirección IP más alta de todas las direcciones de loopback que funcionan),

• C. Confía en la dirección IP de la interfaz (elige la dirección IP más alta de todas las

loopbacks que funcionan).

Paso 3. Usa una o más comandos network ip-address wildcard-mask area area-id router
para habilitar OSPFv2 en todas las interfaces que machean por la dirección y la máscara
configuradas, habilitando OSPF en la interfaz para el área enumerada.

Nota: En OSPF para la máscara se usa la Máscara de Wildcard. Básicamente la wildcard

es lo «inverso» a una máscara «convencional». Por ejemplo, para la máscara
[Link] la máscara de wildcard es [Link]. Nótese que esto se usa en el
comando network.

Ejemplo dentro del modo OSPF en el router:

router ospf 1
router-id [Link]

network [Link] [Link] area 0

interface S0/0/0
ip address [Link] [Link]

router ospf 1 define el ID del proceso OSPF

router-id [Link] configura el ID del router (opcional)

network [Link].0 [Link] area 0 se puede ver en dos partes, primero agrega la red
[Link]/8 en el proceso OSPF y luego le define el área 0

Nota: También puede realizar la configuración directamente en la subinterfaz, esta es una

alternativa al comando tradicional visto arriba. Para usarlo tienes que eliminar el comando
anterior network; no network network-id area area-id y agregar en la subinterfaz el
siguiente comando; ip ospf process-id area area-id.

Para ver la configuración puedes usar el comando show ip ospf interface [interface].
Verificación del Funcionamiento de OSPF

Como hemos visto, los routeres OSPF utilizan un proceso de tres pasos para agregar
eventualmente rutas aprendidas por OSPF a la tabla de enrutamiento IP. Primero, crean
relaciones con los vecinos. Luego, construyen e inundan de LSA entre esos vecinos para
que cada router en la misma área tenga una copia del mismo LSDB. Finalmente, cada
router calcula independientemente sus propias rutas IP utilizando el algoritmo SPF y las
agrega a su tabla de enrutamiento.

Nota: Si quieres puedes leer antes los conceptos básicos de OSPF y el Intercambio de
información entre vecinos OSPF para comprender mejor la siguiente explicación.

El siguiente tema explica cómo mostrar los resultados de cada uno de esos pasos, lo que
le permite confirmar si OSPF ha funcionado correctamente o no.

Los comandos show ip ospf neighbor, show ip ospf database y show ip route muestran
información que coincide con cada uno de estos tres pasos, respectivamente.

Es habitual comenzar la verificación de OSPF observando el resultado del comando show

ip ospf neighbor donde se muestra la relación de vecino del router con cada uno con los
routeres vecinos.

Distintos comandos para la verificación en orden:

Config

Comandos:

show running-config
show ip protocols
↓
Comandos network e ip ospf
↓
Interfaces Habilitadas

Comandos:

show ip ospf interface

show ip ospf interface type number
show ip ospf interface brief
↓
Descubrimiento con paquetes Hello
↓
Vecinos

Comandos:
show ip ospf neighbor
show ip ospf neighbor type number
↓
Inundación de LSAs

↓
LSDB

Comando:

show ip ospf database

↓
Cálculo de SPF

↓
RIB

Comando:

show ip ospf rib

↓
Distancia Administrativa

↓
Rutas

Comandos:

show ip route
show ip route ospf
show ip route subnet mask
show ip route | section subnet

Ejemplo de vecino OSPF en un router:

R1# show ip ospf neighbor

Neighbor ID Pri State Dead Time Address Interface

[Link] 1 FULL/DR [Link] [Link] GigabitEthernet0/0/0

[Link] 1 FULL/DR [Link] [Link] GigabitEthernet0/1/0
[Link] 1 FULL/BDR [Link] [Link] GigabitEthernet0/2/0
Detalles de la Tabla de Vecindad

Interface: Esta es la interfaz del router local conectado al vecino. Por ejemplo, el primer
vecino en la lista es alcanzable a través de la interfaz G0/0/0 de R1.

Address: Esta es la IP del vecino en ese enlace.

State: Exiten muchos estados (que ya hemos visto en capítulos anteriores), FULL seria lo
correcto y sería un estado completamente funcional para este caso.

Neighbor ID: Éste es el ID del router vecino.

En los enlaces que se usa un router designado o en inglés Designated Router (DR), en el
estado también se lista el rol del router vecino después de / (DR, BDR, o DROTHER. Como
resultado, el estado normal de funcionamiento debería ser:

Detalles de los Estados

FULL/ –: El estado del vecino es completo (full), con el «-» en lugar de letras significa que
el enlace no usa un DR/BDR.

FULL/DR: El estado del vecino es full, y el vecino es un DR.

FULL/BDR: El estado del vecino es full, y el vecino es el Backup DR (BDR).

FULL/DROTHER: El estado del vecino es full, y el vecino no es un DR o BDR. (Esto también

implica que el router local is un DR o BDR porque el estado es FULL.)

2WAY/DROTHER: El estado del vecino es 2-way, y el vecino no es un DR o BDR—esto es,

un router DROther. (Esto también implica que el router local es también un router DROther
porque de otra manera el estado debería ser FULL.)
Ejemplo de Rutas IPv4 Agregadas por OSPF

R4# show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
! Additional legend lines omitted for brevity

Gateway of last resort is not set

[Link]/8 is variably subnetted, 9 subnets, 2 masks

O [Link]/24 [110/2] via [Link], [Link], GigabitEthernet0/0/0
O [Link]/24 [110/2] via [Link], [Link], GigabitEthernet0/0/0
C [Link]/24 is directly connected, Vlan4
L [Link]/32 is directly connected, Vlan4
O [Link]/24 [110/2] via [Link], [Link], GigabitEthernet0/0/0
O [Link]/24 [110/2] via [Link], [Link], GigabitEthernet0/0/0
C [Link]/24 is directly connected, GigabitEthernet0/0/0
L [Link]/32 is directly connected, GigabitEthernet0/0/0
O [Link]/24 [110/3] vía [Link], [Link], GigabitEthernet0/0/0

En la salida del comando show ip route del ejemplo anterior puedes ver marcadas las rutas
que fueron agregadas por OSPF, estas se identifican por la «O«.

También puedes ver que la distancia administrativa es 110 [110/2]. El 2 [110/2] hace
referencia a la métrica de OSPF para esta ruta.

También se lista la interfaz de salida (G0/0/0) para llegar al next-hop que es la dirección IP
[Link].1.

RID: Configurar el ID del Router OSPF

Para elegir el RID, un router Cisco utiliza el siguiente proceso. Ten en cuenta que el router
deja de buscar una ID para el router una vez que uno de los pasos identifica un valor a usar.
1. Si el comando router-id rid es configurado, este valor es usado como RID.

2. Si cualquier interfaz de loopback tiene una dirección IP configurada, y la interfaz

esta levantada (up), el router elige el número de la dirección IP más alta entre esas
interfaces de loopback.

3. El router elige el número de dirección IP más alta de todas las interfaces que
están up
Configurar OSPF Multiárea

Entendiendo cómo configurar OSPF con una única área ya sólo necesitas entender un
concepto más para configurar OSPF Multiárea por lo que seré breve.

Tomemos como ejemplo la siguiente imagen que tiene tres áreas.

Ejemplo de Multiárea en OSPF

Para configurar las distintas áreas podemos ingresar los siguientes comandos en la CLI:
router ospf 1

network [Link] [Link] area 0

network [Link] [Link] area 0
network [Link] [Link] area 23
network [Link] [Link] area 23
network [Link] [Link] area 4

Configuraciones Adicionales de OSPFv2

Existen algunas configuraciones muy populares en OSPFv2 que son opcionales, estas
funcionalidades que se pueden configurar son:

• Interfaces pasivas
• Rutas por defecto
• Métricas
• Balance de carga
Configurar Interfaces Pasivas en OSPF

A veces, un router no necesita formar una relación de vecindad con vecinos en una interfaz.
A menudo, no existen otros routeres en un enlace en particular, por lo que el router no tiene
la necesidad de seguir enviando mensajes repetitivos de Hello OSPF. En estos
casos puedes convertir la interfaz en pasiva, lo que significa que:

• OSPF continúa anunciando acerca de las subredes que están conectadas a la

interfaz.

• OSPF no envía paquetes Hellos OSPF en esa interfaz.

• OSPF no continúa procesando cualquier mensaje Hello en esta interfaz.

Comando: passive-interface type number

Ejemplo:

! Primero, haz cada subinterfaz pasiva directamente

router ospf 1
passive-interface GigabitEthernet0/0.1
passive-interface GigabitEthernet0/0.2

! O, cambia el estado por defecto a pasivo, y haz que las otras interfaces no sena
pasivas
router ospf 1
passive-interface default
no passive-interface GigabitEthernet0/0/0
no passive-interface GigabitEthernet0/1/0
no passive-interface GigabitEthernet0/2/0
R1# show ip ospf interface g0/0.1
GigabitEthernet0/0.1 is up, line protocol is up
Internet Address [Link]/24, Area 0, Attached via Network Statement
Process ID 1, Router ID [Link], Network Type BROADCAST, Cost: 1
Topology-MTID Cost Disabled Shutdown Topology Name
0 1 no no Base
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) [Link], Interface address [Link]
No backup designated router on this network
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
No Hellos (Passive interface)
! Lines omitted for brevity

Configurar Rutas por Defecto (Gateway) en OSPF

En el Capítulo 16.3, “Enrutamiento Estático”, vimos algunos de los usos y beneficios de las
rutas por defecto, con ejemplos de rutas por defecto estáticas. Exactamente por esas
mismas razones, las redes pueden usar OSPF para anunciar rutas por defecto.

El caso más clásico de utilizar un protocolo de enrutamiento para anunciar una ruta por
defecto tiene que ver con la conexión de una empresa a Internet.
La siguiente imagen muestra la idea de cómo OSPF anuncia la ruta por defecto, con una
configuración OSPF específica. En este caso, una empresa se conecta a un ISP (Internet
Service Provider) con su Router R1. Ese router tiene una ruta estática predeterminada
(destino [Link], máscara [Link]) con una dirección de next-hop del router del ISP. Luego,
el uso del comando OSPF default-information originate (Paso 2) hace que el router
anuncie una ruta por defecto usando OSPF a los routeres remotos (B1 y B2).

Cómo Configurar Ruta por Defecto (Gateway) en OSPF

! The next command is from Router R1. Note the static code for the default route
R1# show ip route static
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
! Rest of the legend omitted for brevity

Gateway of last resort is [Link] to network [Link]

S* [Link]/0 [254/0] via [Link]

! The next command is from router B01; notice the External route code for the default
B1# show ip route ospf
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
! Rest of the legend omitted for brevity

Gateway of last resort is [Link] to network [Link]

O*E2 [Link]/0 [110/1] via [Link], [Link], GigabitEthernet0/1/0

[Link]/8 is variably subnetted, 6 subnets, 2 masks
O [Link]/24 [110/3] vía [Link], [Link], GigabitEthernet0/1/0
O [Link]/24 [110/2] vía [Link], [Link], GigabitEthernet0/1/0

Configurar Métricas en OSPF

Los routeres Cisco permiten tres maneras diferentes de cambiar el costo en la interfaz
OSPF:

• Usando el subcomando ip ospf cost x parados en la configuración de la interfaz.

• Usando el cálculo por defecto para la interfaz, y cambiando la configuración de

ancho de banda de la interfaz, lo que hará cambiar el cálculo para el valor del costo.

• Usando el cálculo por defecto para la interfaz, y cambiando la configuración del

ancho de banda de referencia en OSPF (que es 100 Mbps), lo que hará cambia el
valor calculado.

La siguiente lista resume las reglas sobre cómo un router establece sus costos de interfaz
OSPF:

1. Configura el costo explícitamente usando el comando ip ospf cost x con un valor

entre 1 y 65,535 inclusive.

2. Aunque debe evitarse, cambia el ancho de banda de la interfaz con el

comando bandwidth speed, siendo la velocidad un número en kilobits por segundo
(Kbps).
 3. Cambia la referencia del ancho de banda, usando el comando auto-cost reference-
bandwidth ref-bw, con una unidad de megabits por segundo (Mbps).
4.
Configurar Balanceo de Carga en OSPF

Cuando un router usa SPF para calcular la métrica de cada una de varias rutas para llegar
a una subred, una ruta puede tener la métrica más baja, por lo que OSPF coloca esa ruta
en la tabla de enrutamiento.

Sin embargo, cuando las métricas se vinculan para múltiples rutas a la misma subred, el
router puede colocar múltiples rutas de igual costo en la tabla de enrutamiento (el valor
predeterminado es cuatro rutas diferentes) dependiendo de la configuración del
comando maximum-paths number.

Por ejemplo, si una red tiene seis rutas posibles para lguna parte de la red y deseas que se
usen todas las rutas, los routeres pueden configurarse con el subcomando maximum-
paths 6 dentro de router ospf.

De esta manera, al tener varias rutas con el mismo costo, el router puede balancear el
tráfico para ese mismo destino, es decir, el router podría enviar un paquete por la primera
ruta, el siguiente paquete por la segunda ruta, el siguiente paquete por la tercera ruta, y
luego comience de nuevo con la primera ruta para el siguiente paquete.

Nota, la configuración por defecto del valor para maximum-paths varía entre distintos
routeres.

La convergencia de red en OSPF se puede mejorar con una simple configuración en los
temporizadores, pero antes veamos qué es una convergencia de red y cómo funciona el
intercambio de menajes entre vecindades en OSPF.

¿Qué es una Convergencia de Red?

Dado que el protocolo OSPF usa el algoritmo Dijkstra que es un algoritmo de Estado de
Enlace, podemos decir que ante un cambio en la topología de red el tiempo de convergencia
es menor a un protocolo de enrutamiento que usa Bellman-Ford que es Vector Distancia
como RIP.

Además, OSPF usa routeres designados (DR) que mantienen la topología de toda la red
dentro de un área.

En otras palabras, OSPF es un protocolo de enrutamiento de convergencia rápida por su

propia naturaleza.
Tiempo de Convergencia de OSPF

Lo que determina el tiempo de convergencia en OSPF son los temporizadores usados

para el intercambio de paquetes entre routeres OSPF. Por ejemplo, los routeres envían
mensajes Hello (mensajes de saludo) cada un Intervalo Hello a cada vecino. El Intervalo
Hello es de 10 segundos por defecto.
Además, para actualizar una ruta si un enlace cae es necesario que se envié un mensaje
anunciando esto en un Intervalo Dead, que son cuatro Intervalos Hello, es decir 40
segundos por defecto.
Cómo Reducir el Tiempo de Convergencia en OSPF

Sabemos entonces que el tiempo de convergencia está directamente relacionado a los

temporizadores del Intervalo Hello y el Intervalo Dead. Puedes entonces mejorar el tiempo
de convergencia para una interfaz en particular reduciendo el tiempo del temporizador:

Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#interface Serial0/1
Router1(config-if) #ip ospf hello-interval 5
Router1(config-if) #ip ospf dead-interval 20
Router1(config-if) #exit Router1(config)#end
Router1#

Si realizas este cambio en un router, entonces debes hacer lo mismo en los demás
routeres que comparte el mismo segmento de red:

Router2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#interface Serial0/0
Router2(config-if) #ip ospf hello-interval 5
Router2(config-if) #ip ospf dead-interval 20
Router2(config-if) #exit
Router2(config)#end
Router2#

Existe una configuración específica para la interfaz en OSPF llamada network type,
veremos dos tipos de redes OSPF; point-to-point (Punto a Punto) y broadcast (selección
del DR/BDR). También existe el tipo de red non-broadcast que no veremos en este curso
ya que se usan en tecnologías antiguas que no soportan broadcast como Frame Delay o
ATM.
La configuración le dice al router si debe o no descubrir dinámicamente a los vecinos OSPF
(en lugar de requerir la configuración estática de la dirección IP del router vecino) y si el
router debe intentar usar un router designado (DR) y un DR de respaldo (BDR) en la subred.

De los dos tipos de red OSPF incluidos en los temas del examen CCNA, ambos hacen que
los routers descubran vecinos dinámicamente, pero uno requiere el uso de un DR mientras
que el otro no.
La siguiente tabla muestra las características de los dos tipos de red OSPF mencionados
en los temas del examen.

Palabra Clave del Network Type Descubre Vecinos Dinámicamente Usa un DR/BDR

broadcast Si Si

point-to-point Si No

Tipo de Red OSPF de Broadcast

Este es el tipo de red por defecto que usa OSPF en las interfaces. Y si estas siguiendo este
curso de CCNA te cuento que es el tipo de red que estuvo configurada en todo éste capítulo
de OSPF.

Como sabemos, las redes Ethernet permiten hacer un broadcast, con lo que un solo
paquete transmitido por un dispositivo se puede retransmitir en todos sus puertos que se
encuentra en la misma subred. Esto es una ventaja para facilitar el descubrimiento
automático de vecinos en OSPF.

En la siguiente salida de comando de ejemplo podemos ver el tipo de red:

R1# show ip ospf interface g0/0

GigabitEthernet0/0 is up, line protocol is up

Internet Address [Link]/24, Area 0, Attached via Interface Enable

Process ID 1, Router ID [Link], Network Type BROADCAST, Cost: 1

Topology-MTID Cost Disabled Shutdown Topology Name
0 1 no no Base
Enabled by interface config, including secondary ip addresses
Transmit Delay is 1 sec, State DROTHER, Priority 1
Designated Router (ID) [Link], Interface address [Link]
Backup Designated router (ID) [Link], Interface address [Link]
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in [Link]
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1/1, flood queue length 0
Next 0x0(0)/0x0(0)/0x0(0)
Last flood scan length is 0, maximum is 1
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 3, Adjacent neighbor count is 2
Adjacent with neighbor [Link] (Backup Designated Router)
Adjacent with neighbor [Link] (Designated Router)
 Suppress hello for 0 neighbor(s)

En algunos casos, es posible que quieras influir en la elección del DR/BDR con dos
configuraciones configurables, que se enumeran aquí en orden de precedencia:

• La interfaz OSPF de mayor prioridad: El que tiene el valor más alto gana durante la
selección, con valores entre 0 y 255.

• El ID del Router más alto de OSPF: Si las prioridades empatan, la elección es del
router con el valor RID OSPF más alto.

R1# configure terminal

Configuring from terminal, memory, or network [terminal]?

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)# interface g0/0

R1(config-if) # ip ospf priority 99

R1(config-if) # ^Z
R1#
R1# show ip ospf interface g0/0 | include Priority
Transmit Delay is 1 sec, State DROTHER, Priority 99

R1# show ip ospf neighbor

Neighbor ID Pri State Dead Time Address Interface
[Link] 1 2WAY/DROTHER [Link] [Link] GigabitEthernet0/0
[Link] 1 FULL/BDR [Link] [Link] GigabitEthernet0/0
[Link] 1 FULL/DR [Link] [Link] GigabitEthernet0/0

R1# show ip ospf interface brief

Interface PID Area IP Address/Mask Cost State Nabs F/C
Gi0/1 1 0 [Link]/24 1 DR 0/0
Gi0/0 1 0 [Link]/24 1 DROTH 2/3

Tipo de Red OSPF Point-to-point

Este es el tipo de red más simple. Una red punto a punto es, como su nombre lo describe
un enlace entre dos puntos (o routers). Un paquete enviado desde uno de los routers
siempre tendrá exactamente un destinatario en el enlace local.

Como puedes imaginar funciona bien para enlaces de datos que, por su naturaleza, tienen
solo dos routers en el enlace.
R1# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)# interface g0/0/0

R1(config-if) # ip ospf network point-to-point

R1(config-if) #

R1# show ip ospf interface g0/0/0

GigabitEthernet0/0/0 is up, line protocol is up

Internet Address [Link]/24, Area 0, Attached via Interface Enable

Process ID 1, Router ID [Link], Network Type POINT_TO_POINT, Cost: 1

Topology-MTID Cost Disabled Shutdown Topology Name
0 4 no no Base
Enabled by interface config, including secondary ip addresses
Transmit Delay is 1 sec, State POINT_TO_POINT
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in [Link]
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/3/3, flood queue length 0
Next 0x0(0)/0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 3
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor [Link]
Suppress hello for 0 neighbor(s)
Last flood scan length is 1, maximum is 3
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor [Link]
Suppress hello for 0 neighbor(s)
R1# show ip ospf neighbor

Neighbor ID Pri State Dead Time Address Interface

[Link] 0 FULL/ - [Link] [Link] GigabitEthernet0/0/0
! lines omitted for brevity

R1# show ip ospf interface brief

Interface PID Area IP Address/Mask Cost State Nbrs F/C
Gi0/0/0 1 0 [Link]/24 4 P2P 1/1
! lines omitted for brevity
 En este capítulo veremos las relaciones de vecinos OSPF: los requerimientos para estas
relaciones, la prevención de problemas entre vecinos para lograr su adyacencias
y problemas que permiten la adyacencia, pero impiden las rutas IP.

La configuración de OSPF en un router habilita OSPF en un conjunto de interfaces. Luego,

IOS intenta descubrir otros vecinos en esas interfaces enviando y
escuchando mensajes Hello OSPF. Sin embargo, una vez descubiertos, es posible que dos
routers no se conviertan en vecinos ya que deben tener configuraciones compatibles.

Requerimientos entre Vecinos OSPF

Después de que un router OSPF escucha un Hello de un nuevo vecino, el protocolo de

enrutamiento examina la información en el saludo y compara esa información con la propia
configuración del router local.
Si la configuración coincide, genial. De lo contrario, los routers no se convierten en vecinos.

La siguiente tabla enumera los requisitos de vecinos para OSPF:

Requerido para Vecindad Perdida si es

Requerimientos
OSPF Incorrecto

Las interfaces deben esta levantadas, en estado up/up. Si Si

La lista de Control de Acceso (Access control lists; ACL) no debe filtrar los
Si Si
mensajes del protocolo de enrutamiento.

Las interfaces deben estar en la misma subred. Si Si

Deben pasar la autenticación de vecino del protocolo de enrutamiento (si

Si Si
está configurado).

Los temporizadores de Hello y hold/dead deben coincidir. Si Si

El Router IDs (RID) debe ser único. Si Si

Deben estar en la misma área. Si Si

El proceso OSPF no debe estar apagado. Si Si

Las interfaces entre vecinos deben estar tener la misma configuración de

Si No
MTU.
 Requerido para Vecindad Perdida si es
Requerimientos
OSPF Incorrecto

Las interfaces entre vecinos deben usar el mismo tipo de red OSPF. Si No

La columna denominada «Requerido para OSPF» significa que el elemento debe estar
funcionando correctamente para que la relación de vecino funcione correctamente. Ten en
cuenta que todos los elementos de esta columna muestran un «sí», lo que significa que
todos deben ser correctos para que la relación de vecino funcione correctamente.

El título de la última columna dice «Vecindad Perdida si es Incorrecto». Para los elementos
que muestran un «Sí» en esta columna, si ese elemento está configurado incorrectamente,
el vecino no aparecerá en las listas de vecinos OSPF, por ejemplo, con el comando show
ip ospf neighbor.

La siguiente tabla vuelve a enumerar algunos de los requisitos de la tabla anterior, junto
con los comandos más útiles para encontrar las respuestas.

Requerimientos Mejor Comando Show

Temporizadores Hello y dead deben coincidir. show ip ospf interface

Deben estar en la misma área. show ip ospf interface brief

Los RIDs deben ser únicos. show ip ospf

Deben pasar cualquier autenticación entre vecinos. show ip ospf interface

El proceso OSPF no debe estar apagado. show ip ospf, show ip ospf interface

Requisitos del vecino OSPF y los mejores comandos show/debug

Nota: Una opción de configuración que la gente a veces piensa que es un problema, pero
no lo es, es el ID de proceso definido por el comando router ospf process-id. Los routers
vecinos pueden usar los mismos valores ID del proceso, o diferentes valores ID del proceso,
sin impactar en la vecindad entre dos routers OSPF.

Problemas que Impiden Adyacencias de Vecinos OSPF

A continuación veremos tres de los temas de la primera tabla de esta página en los cuales,
si existe un problema, el router no se convierte en vecino. Para mostrar los problemas, se
usa una topología a la que se le introdujo una configuración incorrecta. Los siguientes
errores fueron introducidos:

• R2 se ha configurado con ambas interfaces LAN en el área 1, mientras que las

interfaces G0/0 de los otros tres routers están asignadas al área 0.
• R3 utiliza el mismo RID ([Link]) que R1.
• R4 se ha configurado con un temporizador de Hello/dead de 5/20 en su interfaz
G0/0, en lugar del 10/40 utilizado (por defecto) en R1, R2 y R3.

Relaciones de Vecinos OSPF y Problemas

Encontrar Discrepancias en el Área

La siguiente configuración fue usada en el ejemplo para que las áreas no se correspondan,
se configuró en R1 el área 1 cuando debía ser el área 0.

router ospf 1

router-id [Link]

!
interface gigabitEthernet0/0
ip ospf 1 area 1
!
interface gigabitEthernet0/1
ip ospf 1 area 1

Para solucionar este problema, debes encontrar la configuración del área en cada interfaz
en los routers vecinos. Para hacerlo:

• Chequea la salida del comando show running-config para ver

• en la interfaz usa el subcomando ip ospf process-id area area-number

• los comandos network en el modo OSPF

• Usa el comando show ip ospf interface [brief] para listar el número de área

Encontrar IDs de Routers OSPF Duplicados

A continuación se muestra que R1 y R3 intentan usar el mismo RID [Link]. Ambos routers
generan automáticamente un mensaje de registro para el problema RID de OSPF duplicado
entre R1 y R3, estos se ve al final del ejemplo.

! Next, on R3: R3 lists the RID of [Link]

!
R3# show ip ospf
Routing Process "ospf 1" with ID [Link]
Start time: [Link].136, Time elapsed: [Link].200
! lines omitted for brevity
! Back to R1: R1 also uses RID [Link]
R1# show ip ospf
Routing Process "ospf 1" with ID [Link]
Start time: [Link].864, Time elapsed: [Link].904
! lines omitted for brevity
*May 29 [Link].679: %OSPF-4-DUP_RTRID_NBR: OSPF detected duplicate router-id
[Link] from [Link] on interface GigabitEthernet0/0

Para solucionar el problema asumimos que R1 usará el RID [Link] y R3 el RID [Link],
debemos cambiar los RIDs y reiniciar el proceso OSPF.

Para hacer esto hay que usar el comando router-id [Link] dentro de OSPF en el modo
EXEC usar el comando clear ip ospf process.

Encontrar Discrepancias en el Temporizador de OSPF Hello y Dead

Primero, como recordatorio de los capítulos anteriores:

 • Intervalo/temporizador Hello: el temporizador por interfaz que le indica a un router
con qué frecuencia enviar mensajes Hello OSPF en una interfaz.

• Intervalo/temporizador Dead: el temporizador por interfaz que le dice al router

cuánto tiempo debe esperar sin haber recibido un Hello de un vecino antes de creer
que el vecino ha fallado. (El valor predeterminado es cuatro veces el temporizador
de saludo).

R1# show ip ospf interface G0/0

GigabitEthernet0/0 is up, line protocol is up

Internet Address [Link]/24, Area 0, Attached via Network Statement

Process ID 1, Router ID [Link], Network Type BROADCAST, Cost: 1

Topology-MTID Cost Disabled Shutdown Topology Name

0 1 no no Base

Transmit Delay is 1 sec, State DR, Priority 1

Designated Router (ID) [Link], Interface address [Link]

No backup designated router on this network

Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
! lines omitted for brevity
! Moving on to R4 next

R4# show ip ospf interface Gi0/0

GigabitEthernet0/0 is up, line protocol is up

Internet Address [Link]/24, Area 0, Attached via Network Statement

Process ID 4, Router ID [Link], Network Type BROADCAST, Cost: 1

Topology-MTID Cost Disabled Shutdown Topology Name

0 1 no no Base

Transmit Delay is 1 sec, State DR, Priority 1

Transmit Delay is 1 sec, State DR, Priority 1

Designated Router (ID) [Link], Interface address [Link]

 No backup designated router on this network

Timer intervals configured, Hello 5, Dead 20, Wait 20, Retransmit 5

! lines omitted for brevity

Apagar el Proceso OSPF

De manera similar a bajar o subir una interfaz administrativamente, IOS también permite
hacerlo con el proceso de OSPF, haciendo posible un shutdown o no shutdown.
Cuando el proceso esta apagado IOS hace lo siguiente:

• Da de baja todas las relaciones entre vecinos Brings down all neighbor relationships
y limpia la tabla de vecinos de OSPF

• Limpia la LSDB

• Limpia la tabla de enrutamiento IP de cualquier ruta aprendida por OSPF

Al mismo tiempo, apagando OSPF retiene algunos detalles importantes de OSPF, en

particular:

• IOS retiene todas las configuraciones de OSPF.

• IOS aun lista todas las interfaces con OSPF habilitado en la lista de interfaces de
OSPF (show ip ospf interface) pero en estado DOWN.

R5# show ip ospf neighbor

Neighbor ID Pri State Dead Time Address Interface

[Link] 1 FULL/DR [Link] [Link] GigabitEthernet0/1

[Link] 1 FULL/DR [Link] [Link] GigabitEthernet0/2

R5# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

R5(config)# router ospf 1

R5(config-router) # shutdown
R5(config-router) # ^Z
*Mar 23 [Link].634: %OSPF-5-ADJCHG: Process 1, Nbr [Link] on GigabitEthernet0/1
from FULL to DOWN, Neighbor Down: Interface down or detached
*Mar 23 [Link].635: %OSPF-5-ADJCHG: Process 1, Nbr [Link] on GigabitEthernet0/2
 from FULL to DOWN, Neighbor Down: Interface down or detached
R5# show ip ospf interface brief
Interface PID Area IP Address/Mask Cost State Nbrs F/C
Gi0/1 1 0 [Link]/24 1 DOWN 0/0
Gi0/2 1 0 [Link]/24 1 DOWN 0/0

R5# show ip ospf

Routing Process "ospf 1" with ID [Link]
Start time: 5d23h, Time elapsed: 1d04h
Routing Process is shutdown
! lines omitted for brevity

R5# show ip ospf neighbor

R5#
R5# show ip ospf database
OSPF Router with ID ([Link]) (Process ID 1)
R5#

Problemas que Permiten Adyacencias pero Impiden Rutas IP

En la primera tabla de esta página vimos en las dos últimas líneas que existen dos casos
que son requeridos en OSPF (como todos los demás), pero en estos dos casos se pierde
la vecindad. Estos dos problemas son: una discrepancia o no-coincidencia en la
configuración de la MTU y la discrepancia del tipo de red en OSPF.

No Coincide la Configuración de la MTU

El tamaño de la MTU en IPv4 define el tamaño máximo de un paquete IPv4 que el router
puede reenviar hacia fuera de su interfaz.
El valor por defecto en un router es 1500 bytes.

El comando ip mtu size define la MTU en IPv4 y el comando ipv6 mtu size es el
equivalente para paquetes IPv6.

Con esta inconsistencia, el intercambio de la base de datos LSBDs falla.

Puedes ver el tamaño de la MTU en la interfaz usando el comando show interfaces.

No Coincide el Tipo de Red OSPF

Si configuras incorrectamente la configuración del tipo de red, de modo que un router usa
tipo broadcast y el otro usa point-to-point, ocurre lo siguiente:

• Los dos routers se convierten en vecinos completamente adyacentes (es decir,

alcanzan un estado completo)

• Intercambian sus LSDB.

• No agregan rutas IP a la tabla de enrutamiento IP.

*Apr 10 [Link].951: %OSPF-4-NET_TYPE_MISMATCH: Received Hello from [Link] on

GigabitEthernet0/0/0 indicating a potential network type mismatch

R1# show ip ospf neighbor

Neighbor ID Pri State Dead Time Address Interface

[Link] 0 FULL/ - [Link] [Link] GigabitEthernet0/0/0

R1#
R2# show ip ospf neighbor

Neighbor ID Pri State Dead Time Address Interface

[Link] 1 FULL/BDR [Link] [Link] GigabitEthernet0/1/0

IP versión 6 (IPv6) es un protocolo para remplazar a IP versión 4 (IPv4).

Pero antes que nada quiero aclarar que en éste capítulo se va a tratar temas de IPv6 a
modo introductorio, si buscas respuestas más técnicas sobre el asunto puedes ir avanzando
en los siguientes capítulos.

IPv6 nos plantea varias preguntas:

• ¿Por qué es necesario reemplazar IPv4 por IPv6?

• ¿Cuándo se remplazara?
• ¿Y ocurrirá rápidamente?
• ¿Qué sucede exactamente cuando una empresa que ofrece Internet reemplaza IPv4
con IPv6?
 Y podríamos hacernos muchas más preguntas sobre IPv6.

Para éste capítulo de introducción a IPv6 no voy a contestar a todas esta preguntas (y no
es necesario para el examen CCNA), pero te adelanto que la razón más obvia de porqué
hay que remplazar IPv4 por IPv6 es por crecimiento, ya que las direcciones IPv4 públicas
se están terminando.

IPv4 IPv6

32 bits 128 bits

IPv4 utiliza una dirección de 32

IPv6 aumenta la dirección a 128 bits.
bits

[Link].[Link].[Link].456
[Link] direcciones, (232)
direcciones, (2128)

IPv6 tiene más de 10,000,000,000,000,000,000,000,000,000 veces más direcciones que

IPv4.
Antes de abordar de lleno qué es IPv6 veamos un poco de historia.

Historia: Cuando se Creó IPv6

IPv6 comienza a crecer a través de investigaciones en universidades, desde los inicios de

Internet en ARPANET a fines de la década de 1960 hasta la de 1970.
Internet siguió creciendo rápidamente en la década de 1980.

A principios de la década de 1990, Internet comenzó a transformarse para permitir el

comercio, lo que permitió a las personas vender servicios y productos a través de Internet,
lo que impulsó a otro fuerte aumento en el crecimiento de Internet.

Con el tiempo, el acceso fijo a Internet se volvió común, seguido por el uso generalizado de
Internet desde dispositivos móviles como teléfonos inteligentes.

¿Por qué es necesario reemplazar IPv4 por IPv6?

El increíble crecimiento de Internet durante bastante tiempo creó un gran problema para las
direcciones IPv4 públicas: el mundo se estaba quedando sin direcciones.
¿Cuándo se remplazara IPv6?

Finalmente ha llegado el día en que las nuevas empresas ya no pueden simplemente usar
IPv4, ignorando IPv6. Su única opción será IPv6 porque a IPv4 no le quedan direcciones
públicas.

Protocolo IPv6

IPv6 define la nueva dirección IPv6 de 128 bits.

Escribir estas direcciones en binario sería un problema por el largo; ¡escrito en binario no
entraría en el ancho de este artículo!

IPv6 define un formato hexadecimal más corto, que requiere como máximo 32
dígitos hexadecimales (un dígito hexadecimal por cada 4 bits), con métodos para abreviar
también las direcciones hexadecimales.

Por ejemplo, lo siguiente son direcciones IPv6, cada una con 32 dígitos hexadecimales o
menos:

Ejemplo de Direcciones IPv6

[Link] [Link] AAAA

[Link] [Link] A

FE80::1

Como puedes observar no todas las direcciones tienen la misma cantidad de dígitos
hexadecimales, pero no te preocupes, en el próximo capítulo veremos cómo abreviar
direcciones IPv6 en detalle.
Encabezado IPv6

Encabezado IPv6

Protocolos IPv6

Para soportar el enrutamiento IPv6, los routers deben comprender las direcciones y el
enrutamiento IPv6. Como resultado, la migración de IPv4 a IPv6 es mucho más que cambiar
un protocolo (IP) y afecta a muchos otros protocolos.
IPv6 refleja el mismo propósito del protocolo IPv4, sin embargo, debido a que IPv6 impacta
a muchas otras funciones en una red TCP/IP, muchas más RFC deben definir detalles de
IPv6.
Por esta razón los protocolos ya existentes para IPv4 se tenían que actualizarse para
soportar IPv6:

OSPF Versión 2 se actualizo a OSPF Versión 3: Open Shortest Path First (OSPF) Versión
2 funciona para IPv4, pero no para IPv6, por lo que se creó una versión más nueva, OSPF
Versión 3, para soportar IPv6.
ICMP fue actualizado a ICMP Versión 6: El protocolo de mensajes de control de Internet
(ICMP) funcionaba bien con IPv4, pero era necesario cambiarlo para soportar IPv6. El
nuevo nombre es ICMPv6.
ARP fue reemplazado por Neighbor Discovery Protocol: para IPv4, el protocolo de
resolución de direcciones (ARP) descubre la dirección MAC utilizada por los vecinos. IPv6
reemplaza al protocolo ARP con Neighbor Discovery Protocol (NDP).

Enrutamiento en IPv6

Al igual que con muchas funciones de IPv6, el enrutamiento IPv6 se parece al enrutamiento
IPv4 desde una perspectiva general, y las diferencias son claras cuando se observan los
detalles. Manteniendo la discusión general por ahora, IPv6 usa estas ideas de la misma
manera que IPv4:
• Para poder crear y enviar paquetes IPv6 a través de una interfaz, los dispositivos de
usuario final necesitan una dirección IPv6 en esa interfaz.
• Los hosts de los usuarios finales deben conocer la dirección IPv6 de un router por
defecto ó default Gateway, al que el host envía paquetes IPv6 si el host está en una
subred diferente.
• Los routers IPv6 des encapsulan y vuelven a encapsular cada paquete IPv6 cuando
enrutan el paquete.
• Los routers IPv6 toman decisiones de enrutamiento comparando la dirección de
destino del paquete IPv6 con la tabla de enrutamiento IPv6 del router; la ruta
coincidente enumera las direcciones de dónde enviar el paquete IPv6 a
continuación.

Protocolos de Enrutamiento IPv6

Los routers IPv6 necesitan aprender las rutas para todos los posibles prefijos (subredes) de
IPv6. Al igual que con IPv4, los routers IPv6 utilizan protocolos de enrutamiento, con
nombres familiares y, en general, con funciones familiares.

Ninguno de los protocolos de enrutamiento IPv4 se pudo utilizar para anunciar rutas IPv6
originalmente. Todos requirieron algún tipo de actualización para agregar mensajes,
protocolos y reglas para admitir IPv6.

Con el tiempo los protocolos de enrutamiento RIP, OSPF, EIGRP y BGP se actualizaron
para admitir IPv6.
 Nombre del Protocolo de Enrutamiento
Nombre del Protocolo de Enrutamiento IPv4
con Soporte de IPv6

RIP » RIPng (RIP next generation)

OSPF » OSPFv3 (OSPF versión 3)

EIGRP » EIGRPv6 (EIGRP for IPv6)

BGP » MP BGP-4 (Multiprotocol BGP version 4)

La evolución de los protocolos de enrutamiento para soportar IPv6

En este capítulo veremos los formatos de direcciones IPv6 y las maneras de acortar o
expandir direcciones IPv6:
• Cómo escribir e interpretar direcciones IPv6 de 32 dígitos no abreviadas

• Cómo abreviar acortar direcciones IPv6 y cómo interpretar direcciones acortadas

• Cómo interpretar la máscara de longitud del prefijo IPv6

• Cómo encontrar el prefijo IPv6 (ID de subred), según una dirección y una máscara
de longitud de prefijo

Como ya sabes el examen CCNA requiere algunas habilidades fundamentales para trabajar
con direcciones IPv4. Por ejemplo, tienes que poder interpretar direcciones IPv4, como
[Link]. Trabajar con los prefijos de máscaras, como /25, e interpretar lo que eso
significa cuando se usa con una dirección IPv4 en particular. Y tienes que poder tomar una
dirección y una máscara, como [Link]/25, y encontrar el ID de subred. Lo mismo
aplica para una dirección IPv6

Antes de continuar si quieres puedes repasar todos los conceptos de IPv4, si no los tienes
muy claros te recomiendo leerlos antes de continuar con este capítulo. Comenzando por
la Parte I, Capítulo 3.3 IPv4 y luego sigue con todos los capítulos de las Partes IV y V que
puedes ver en el menú de navegación a la izquierda de esta página (para PC) o el menú
de arriba (en móvil).
Direcciones IPv6 Completas (no abreviadas o sin acortar)

IPv6 utiliza un formato hexadecimal (hex) conveniente para las direcciones.

Para hacerlo más legible, IPv6 usa un formato con ocho conjuntos de cuatro dígitos
hexadecimales, con cada conjunto de cuatro dígitos separados por dos puntos. Por
ejemplo:
[Link] AAAA: [Link]

Si bien las direcciones IPv6 también tienen un formato binario, no es necesario en la

mayoría de los casos mirar una dirección IPv6 en ese formato.

Conversión de Hexadecimal a Binario

Recordemos que los valores alfanuméricos en hexadecimal son 16: 0, 1, 2, 3, 4, 5, 6, 7, 8,

9, A, B, C, D, E, F.

Hex Binary Hex Binary

0000 8 1000

1 0001 9 1001

2 0010 A 1010

3 0011 B 1011

4 0100 C 1100

5 0101 D 1101

6 0110 E 1110

7 0111 F 1111

Acortar y Expandir Direcciones IPv6

Aunque el uso de un número hexadecimal de 32 dígitos funciona mucho mejor que trabajar
con un número binario de 128 bits, 32 dígitos hexadecimales siguen siendo muchos dígitos
para recordar, reconocer en la salida del comando y escribir en una línea de comando.
Las reglas de abreviación de direcciones IPv6 te permiten acortar estos números.

2 Reglas para Acortar Direcciones IPv6

Sólo dos reglas básicas te permiten a ti, o cualquier computadora, acortar o abreviar una
dirección IPv6:
1. Dentro de cada cuarteto de cuatro dígitos hexadecimales, elimina los 0 iniciales (los
0 en el lado izquierdo del cuarteto). (Nota: en este paso, un cuarteto de 0000 dejará
un solo 0).

2. Busca cualquier cadena de dos o más cuartetos consecutivos con todos los
hexadecimales en cero y reemplaza ese conjunto de cuartetos con dos puntos
dobles (: :). El: significa «dos o más cuartetos de todos 0». Sin embargo, puede usar
:: solo una vez en una sola dirección porque, de lo contrario, es posible que no se
comprenda cuál es la dirección IPv6 exacta.

3. Nada mejor que un ejemplo para entender lo que vimos en los párrafos anteriores.

Paso 1: Eliminar los ceros «0» de la izquierda

Aplicando la primera regla: Donde se eliminan los tres primeros ceros cuando el cuarteto
tiene todos sus dígitos en cero. La siguiente dirección IPv6:

[Link]
Pasa a quedar de la siguiente manera:

[Link] [Link] 0:56

Paso 2: Si hay dos o más cuartetos con ceros consecutivos remplazar por ::

Usando la dirección anterior que ya paso por la primera regla:

[Link] [Link] 0:56

Y ahora Aplicando la segunda regla, el resultado es el siguiente:

[Link]

Dos Errores Comunes que se Suelen Cometer Cuando Acortamos una Dirección IPv6

Primero, nunca elimines los ceros al final de un cuarteto (los ceros en el lado derecho del
cuarteto). Por ejemplo, en el primer cuarteto FE00, los dos ceros finales no pueden
eliminarse porque están a la derecha y no a la izquierda como indica la primera regla.

Segundo, no remplaces todos los cuartetos de 0 con el doble dos puntos. Recuerda que
los:: se pueden utilizar sólo una vez. Por ejemplo, la siguiente abreviación seria incorrecta:
FE00::1::56
Expandir Direcciones IPv6 Acortadas

Para volver a expandir una dirección IPv6 aplica las dos reglas que mencioné antes, pero
a la inversa.

1. En cada cuarteto agrega los 0 que falten a la izquierda hasta completar los cuatro
dígitos hexadecimales del cuarteto.

2. Si hay dos veces seguidas los dos puntos (::), cuenta todos los cuartetos; el total
debe ser menos que 8. Remplaza :: con múltiples cuartetos de 0000 hasta llegar a
un total de ocho cuartetos en toda la dirección IPv6.

Aquí te dejo una herramienta muy interesante para acortar y expandir IPv6, sólo úsala para
verificar tus propios resultados: Acortar direcciones IPv6, Expandir direcciones IPv6.

Ejercicios de expandir y acortar direcciones IPv6

Respuesta al ejercicio anterior:

Completo Abreviado

[Link] [Link] ABCD: 0101:1010 [Link] [Link] ABCD: 101:1010

30A0: ABCD: [Link]

30A0: ABCD: [Link] [Link]
[Link]

[Link] [Link] 6060:0707 [Link]

[Link] [Link] 0000:0000 3210:

210F: [Link] CCCC: [Link] 210F: CCCC: [Link]

[Link] [Link]

[Link] FE80::DEAD:BEFF:FEEF:CAFE

[Link] FACE: BAFF: FEBE: CAFE FE80::FACE:BAFF:FEBE:CAFE

Resultados del ejercicio anterior

Máscara o Prefijo IPv6

IPv6 utiliza un concepto de máscara, llamado longitud de prefijo, similar a las máscaras de
subred IPv4.

La longitud del prefijo IPv6 se escribe como /, seguida de un número decimal. La longitud
del prefijo define cuántos bits de la dirección IPv6 corresponden al prefijo IPv6, que es
básicamente el mismo concepto que el ID de subred IPv4.

Al escribir la longitud del prefijo puedes optar por dejar un espacio antes de /, o no, como
se muestra en los dos ejemplos siguientes.

[Link] A: [Link]/64
[Link] A: [Link] /64
Para el prefijo, el rango de valor legal es de 0 a 128, inclusive.

El cálculo del ID de la subred es igual que en IPv4.

Calcular o Encontrar el Prefijo IPv6

Un prefijo representa un grupo de direcciones IPv6.

Cada prefijo de IPv6, o subred si lo prefieres, tiene un número que representa al grupo.

Según las RFC de IPv6, el número en sí también se llama prefijo, pero muchas personas
simplemente lo llaman número de subred o ID de subred, utilizando los mismos términos
que IPv4.
Si la longitud del prefijo es del tipo /P, usa estas reglas:
1. Copia los primeros P bits.
2. Cambia el resto de bits a 0.
Cuando se utiliza una longitud de prefijo que es múltiplo de 4, no tienes que pensar en
términos de bits, sino en términos de dígitos hexadecimales. Una longitud de prefijo que es
un múltiplo de 4 significa que cada dígito hexadecimal se copia o se cambia a 0
hexadecimal.

Si la longitud del prefijo es múltiplo de 4, el proceso se convierte en

1. Identifica el número dígitos hexadecimales en el prefijo dividiendo el ancho del

prefijo (que está en bits) por 4.
2. Copia los dígitos hexadecimales que se encuentran dentro del prefijo según lo visto
en el paso primero.
3. Cambia el resto de los dígitos hexadecimales por 0.
Ejemplo con múltiplo de 16:

Para un prefijo /64 (la mitad de una dirección IPv6 que son de 128 bits):

PPPP: PPPP: PPPP: PPPP: HHHH: HHHH: HHHH: HHHH

[Link] AAAA: [Link] 9ABC:EF01
Copia los bits del prefijo y cambia a cero los del host:

[Link] AAAA: [Link] 0000:0000

Ejemplo con múltiplo de 4:

Para un prefijo /60 (60 dividido 4 = 11 veces P):

PPPP: PPPP: PPPP: PPPH: HHHH: HHHH: HHHH: HHHH

[Link] AAAA: [Link] 9ABC:EF01
Copia los bits del prefijo y cambia a cero los del host:

[Link] AAAA: [Link] 0000:0000

Ejercicios para Encontrar la Longitud del Prefijo IPv6

Completa los campos vacíos

Dirección/Longitud Prefijo

[Link]/64 [Link]/64

[Link]/64 [Link]/64

[Link]/64 [Link]/64

3210::ABCD:101:1010/64 3210::/64

210F::CCCC:B0B0:9999:9009/64 210F::/64

[Link]/64 [Link]/64

3124::DEAD:CAFE:FF:FE00:1/64 [Link]/64

2BCD::FACE:BEFF:FEBE:CAFE/64 2BCD::/64

Resultados del ejercicio anterior

Encontrar Prefijos IPv6 de Mayor Complejidad

Algunas longitudes de prefijo hacen que las matemáticas para encontrar el prefijo sean muy
fáciles, algunas en su mayoría fáciles y algunas requieren que trabajes en binario.

Si la longitud del prefijo es múltiplo de 16, el proceso es el de copiar parte de la dirección

en cuartetos completos.

Si la longitud del prefijo no es un múltiplo de 16 pero es un múltiplo de 4, al menos el límite

se encuentra en el borde de un dígito hexadecimal, por lo que puede evitar trabajar en
binario.

Aunque la longitud del prefijo /64 es, con mucho, la longitud de prefijo más común, debes
estar listo para encontrar el prefijo cuando utilice una longitud de prefijo que sea cualquier
múltiplo de 4.

Por ejemplo, consideras la siguiente dirección IPv6 y longitud de prefijo:

[Link] [Link]/56

Dado que este ejemplo usa una longitud de prefijo /56, el prefijo incluye los primeros 56
bits, o los primeros 14 dígitos hexadecimales completos de la dirección. El resto de los
dígitos hexadecimales será 0, lo que dará como resultado el siguiente prefijo:

[Link]/56
este valor puede acortarse de la siguiente manera:

[Link] :/56
 Longitud/Dirección Prefijo

[Link]/80 [Link]/80

3124::DEAD:CAFE:FF:FE00:1/80 [Link]/80

2BCD::FACE:BEFF:FEBE:CAFE/48 2BCD::/48

[Link]/48 [Link]/48

[Link]/40 [Link]/40

[Link]/36 [Link]/36

3124::DEAD:CAFE:FF:FE00:1/60 [Link]/60

2BCD::FACE:1:BEFF:FEBE:CAFE/56 [Link]/56

Existen tres tipos de direcciones IPv6; Unicast, Anycast y Multicast que están contenidos
en dos clasificaciones, las direcciones Global Unicast (públicas) y Local Unicast
(privadas).
Tipos de Direccionamiento IP: Unicast, Anycast y Multicast
Unicast: Representa a una única interfaz de red. Los paquetes dirigidos a una dirección
Unicast se envían a una única interfaz.

Anycast: Identifica a una o más interfaces. Por ejemplo, los servidores que admiten la
misma función pueden utilizar la misma dirección IP de unidifusión. Los paquetes enviados
a esa dirección IP se reenvían al servidor más cercano según sea el mejor destino desde
el punto de vista de la topología de la red. Las direcciones Anycast son usadas para el
balanceo de carga.

Multicast: Representan a un grupo dinámico de hosts. Los paquetes enviados a esta

dirección son reenviados por varias interfaces. Las direcciones de Multicast en IPv6 tienen
un propósito similar que en IPv4.

Como ya hemos visto antes, en IPv4 las IP Unicast se dividen en Clase a, B y C, donde
luego se definen Ip públicas y privadas. El concepto de clases no existe en IPv6, pero si el
de direcciones públicas y privadas, sin embargo, la IANA reserva algunos rangos para
propósitos específicos.

Direcciones IPv6 Públicas y Privadas

En la historia del direccionamiento IPv4, se comenzó con un plan que le dio a cada host
una dirección IPv4 pública única a nivel mundial. Pero como ya vimos, IPv4 tenía muy pocas
direcciones. Por tanto, en la década de 1990, las empresas comenzaron a usar direcciones
del rango de direcciones IPv4 privadas.

Lo que usaban es la traducción de direcciones de red (NAT), donde se traducen direcciones

privadas que salen al mundo a través de una dirección pública.

IPv6 usa también direcciones IP públicas como lo hacía IPv4, éstas son las global Unicast.

IPv6 también tiene direcciones IP locales ó unique local que son similares a las direcciones
IP privadas de IPv4.

Esta es una comparación entre global Unicast y unique local:

Global Unicast vs Unique Local

Global Unicast
Direccionamiento que funciona como una dirección IPv4 pública. La organización que
necesita direcciones IPv6 solicita un bloque de direcciones IPv6 al registrador, el cual es
asignado como un enrutamiento de prefijo global. Luego sólo esta organización usara este
rango de direcciones.

Unique Local
Funciona similar al direccionamiento privado de IPv4 con la posibilidad de que muchas
organizaciones usen el mismo rango de direcciones, y no requieren ser registradas con
alguna autoridad.

Rangos de Direcciones IPv6

Tipo de
Primeros Dígitos Hexadecimales
Dirección

Global 2 o 3 (originalmente); no todas reservadas de todas maneras (hoy en día).

Unicast Actualmente IANA tiene asignada sólo el rango 2000: :/3

Unique Local FD00: :/8

Multicast FF00: :/8

Link Local FE80: :/10

Direcciones IPv6 Global Unicast

División de Subredes Ipv6 Global Unicast

Estructura de una Dirección IPv6 de tipo Global Unicast

La imagen anterior es la estructura que tendría una dirección IPv6, a modo didáctico te voy
a mostrar a continuación la estructura de IPv4 y compararlas.

Ejemplo de una Estructura para Direcciones IPv4

El campo Prefijo de Enrutamiento Global IPv6 (el prefijo/longitud asignada por el RIR o
ISP) actúa como la parte del campo Red en IPv4. La parte de subred IPv6 actúa como la
parte de subred IPv4.

Y el lado derecho de IPv6, formalmente llamado ID de la Interfaz (abreviatura de

identificador de interfaz), actúa como el campo de Host de IPv4.
Ahora volamos al prefijo de enrutamiento global IPv6 y su longitud de prefijo. Como comenté
antes, a diferencia de IPv4, IPv6 no tiene un concepto de clases de dirección, por lo que no
hay reglas predeterminadas que determinen la longitud del prefijo de enrutamiento global.

Sin embargo, cuando una empresa solicita a un ISP, RIR o cualquier otra organización que
pueda asignar un prefijo de enrutamiento global, esa asignación incluye tanto el prefijo
como la longitud del prefijo. Una vez que una empresa recibe un prefijo de enrutamiento
global y esa longitud de prefijo, la longitud del prefijo normalmente no cambia con el tiempo
y básicamente está bloqueado. (Ten en cuenta que la longitud del prefijo de enrutamiento
global suele estar entre /32 y /48, o posiblemente tan largo como /56).

A continuación, observa el lado derecho de la imagen para ver el campo de ID de la interfaz.

Por varias razones que se vuelven más obvias cuanto más se aprende sobre IPv6, este
campo suele tener una longitud de 64 bits. ¿Tiene que tener una longitud de 64 bits? No.
Sin embargo, el uso de un campo de ID de interfaz de 64 bits funciona bien en redes reales
y no hay razones para evitar su uso.

Por último, observa el campo de subred en el centro de la imagen. Similar a IPv4, este
campo crea un lugar con el cual numerar subredes IPv6. La longitud del campo de subred
se basa en los otros dos hechos: la longitud del prefijo de enrutamiento global y la longitud
del ID de la interfaz. Y con el campo de ID de la interfaz de 64 bits que se usa
comúnmente, el campo de subred suele ser de 16 bits, siendo P la longitud del prefijo de
enrutamiento global.

Veamos el siguiente ejemplo con la dirección IPv6 [Link]

[Link]
• El prefijo asignado es [Link], con el ancho de prefijo /48.
• La ID de la Interfaz es de 64 bits.
• La subred asignada es de 16 bits, permitiendo 216 subredes IPv6.

Bits 48 16 64

Prefijo de Enrutamiento
Campo Subred ID de la Interfaz
Global

Valor Hexadecimal de la
[Link] 0001 [Link]
Dirección IPv6
Direcciones IPv6 Unique Local Unicast

Son direcciones Privadas, tienen similitudes con las direcciones Global Unicast, pero sus
mayores diferencias son el número con el que comienza (FD) y el proceso administrativo:
no son registrados por una autoridad y pueden ser usados por varias organizaciones.

Existen algunas reglas que se deben cumplir:

• Usa FD como los dos primeros dígitos hexadecimales.

• Elige un Global ID único de 40 bits.

• Adjunta el Global ID con FD para crear un prefijo de 48 bits, usado como prefijo para
todas tus direcciones.

• Usa los siguientes 16 bits como el campo de subred.

• Ten en cuenta que la estructura deje el campo ID de la Interfaz en 64 bits ya que es

muy conveniente por su facilidad de uso.
Direcciones IPv6 Link-Local

Estas direcciones no se usan para el flujo normal de paquetes que contienen datos para
aplicaciones. Son usados por protocolos y enrutamiento.

IPv6 define reglas para los paquetes enviados a cualquier dirección link-local, no deben ser
reenviados por ninguna otra subred. Como resultado, muchos protocolos IPv6 usan
direcciones link-local cuando el mensaje del protocolo necesita permanecer en la misma
red LAN local. Por ejemplo, Neighbor Discovery Protocol (NDP).

Los routers también usan direcciones link-local como la dirección IP de next-hop.

Algunos datos clave sobre las direcciones link-local:

Unicast (no Multicast): Las direcciones link-local representan un solo host, y los paquetes
enviados a una dirección de enlace local deben ser procesados solo por ese host IPv6.

El alcance de reenvío es solo del enlace local: Los paquetes enviados a una dirección de
link-local no abandonan el enlace de datos local porque los routers no reenvían paquetes
con direcciones de destino de enlace local.

Generada automáticamente: Cada interfaz de host IPv6 (e interfaz de enrutador) puede

crear su propia dirección local de enlace automáticamente, resolviendo algunos
problemas de inicialización para los hosts antes de que aprendan una dirección global
Unicast aprendida dinámicamente.

Usos comunes: Las direcciones link-local se utilizan para algunos protocolos de

sobrecarga que permanecen locales en una subred y como la dirección del siguiente salto
para las rutas IPv6.

Direcciones IPv6 Multicast

Una vez más, las direcciones Multicast funcionan de manera similar que en IPv4. Se usan
para comunicarse con un grupo dinámico.

El rango usado para Multicast es FF00: :/8.

Paquete de Multicas en IPv6

Representación de un paquete Multicast IPv6

El Alcance de Multicast en IPv6

Después de los primeros 8 bits tenemos 4 bits para el Flag y otros 4 para Scope (alcance).
Los routers usan el campo Scope para determinar a dónde deben se debe reenviar el tráfico
Multicast.

Nombre del
Primer Alcance
Alcance Significado
Cuarteto definido por…
(Scope)

El paquete permanece dentro del dispositivo.

Enviado por el
Interface-Local FF01 Útil para enviar internamente paquetes a
dispositivo
servicios que se ejecutan en ese mismo host.

Enviado por el El host que crea el paquete puede enviarlo al

Link-Local FF02
dispositivo enlace, pero ningún router reenvía el paquete.

Tiene la intención de ser más que un enlace

local, por lo que los routers hacen el reenvío,
Configuración pero debe ser menor que el Scope
Site-Local FF05
en los routers Organization-Local; generalmente destinado a
limitar los paquetes para que no crucen los
enlaces WAN.

Pretende ser amplio, probablemente para una

Organization- Configuración
FF08 compaña entera o una organización. Debe ser
Local en los routers
más amplia que el Scope Link-Local.

Global FF0E Sin límites Sin límites

El alcance de las distintas direcciones de Multicast en IPv6

Gráfica de Ejemplo de los Alcances de Multicast en IPv6

Para que quede claro, dado que he hablado de link-local varias veces y en distintos
contextos, para evitar confusiones vamos a ver la diferencia en cada caso:

Dirección Link-local: Una dirección IPv6 que comienza con FE80. Sirve como una
dirección Unicast usada para una interfaz a la que los dispositivos aplican un alcance link-
local. Los dispositivos por tanto crean sus propias direcciones link-local usando las reglas
de EUI-64. Una mejor comparación del término más completa sería una dirección link-local
Unicast.

Dirección Multicast Link-local: Una dirección IPv6 que comienza con FF02. Sirve como
una dirección multicas reservada con la cual el dispositivo aplica el alcance link-local.

Alcance Link-local: Una referencia al alcance en sí, en lugar de una dirección. Este
alcance define que los routers no deben reenviar paquetes cuando son enviados a una
dirección en este alcance.

Dirección Multicast Solicited-Node (Nodo Socilitado)

Pv6 Neighbor Discovery Protocol (NDP) reemplaza a ARP de IPv4. NDP mejora el proceso
de descubrimiento de MACs (MAC-Discovery) enviando paquetes Multicast de IPv6 que
pueden ser procesados por el host correcto, pero descartado con menor procesamiento por
el resto de los hosts en la subred. El proceso usa la dirección Multicast de Solicited-
Node o nodo solicitado asociada a la dirección Ipv6 Unicast.
La siguiente figura muestra cómo determinar la Dirección Multicast de Nodo Solicitado con
la dirección Unicast. Comienza con un prefijo /104 predefinido, es decir, todas las
direcciones Multicast comienzan con FF02::1FF. En los últimos 24 bits (6 dígitos
hexadecimales), se copian los 6 últimos dígitos de la dirección Unicast dentro de
la Dirección de Nodo Solicitado.

FF02: 0000: 0000: 0000: 0000: 0001: FF __:____

Últimos 6 Dígitos Hexadecimales

Definido por la RFC
de la Dirección Unicast

Otras Direcciones IPv6

• La dirección IPv6 desconocida (sin especificar), o todos ceros (0s)

Ejemplo: [Link]

• La dirección IPv6 de Loopback,1, o 127 binarios en cero con (0s) un sólo uno (1)
Ejemplo: [Link]

En este capítulo veremos cómo configurar IPv6 en router Cisco. Comenzando por lo más
obvio, la configuración de direcciones IPv6 y comparándolo con las configuraciones en
IPv4, las diferencias que existen en las salidas del comando show.

Nota: En este capítulo no veremos los protocolos de enrutamiento IPv6, esto lo puedes ver
en el siguiente capítulo.

Configurar Direcciones IPv6 Unicast en un Router

Mientras fue pasando el tiempo, las compañas comenzaron a usar IPv6 en sus redes
además de IPv4. Primero comenzaron usando IPv4 y luego incorporaron la estrategia
del dual-stack donde básicamente se usa IPv4 e IPv6 juntos.
A comienzos del 2010 se incorporaron algunas IPv6 en la red.

Actualmente, transitando el 2020 se ha continuado con dual-stack, pero se agrandó el uso

de IPv6.
Se estima que, en la próxima década, en 2030 todos los ISP estarán entregando
únicamente IPv6 a sus clientes.
Configurar Dirección Unicast Estática

ipv6 Unicast-routing
!
interface GigabitEthernet0/0
ipv6 address [Link]/64
!
interface GigabitEthernet0/0/0
ipv6 address [Link] [Link]/64

Como puedes ver la configuración es similar a IPv4: ipv6 address address/prefix-

length sólo que previamente debes habilitar IPv6 usando el comando ipv6 Unicast-
routing.

Verificar las Direcciones IPv6 Estáticas en el Router

! The first interface is in subnet 1

R1# show ipv6 interface Gigabit Ethernet 0/0

GigabitEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::1: AAFF: FE00:1
No Virtual link-local address(es):
Global unicast address(es):
[Link], subnet is [Link] :/64
Joined group address(es):
FF02::1
FF02::2
FF02::1: FF00:1
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachable are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 30000)
ND advertised reachable time is 0 (unspecified)
ND advertised retransmit interval is 0 (unspecified)
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
ND advertised default router preference is Medium
Hosts use stateless autoconfigure for addresses.

R1# show ipv6 interface brief

GigabitEthernet0/0 [up/up]
FE80::1: AAFF: FE00:1
[Link]
GigabitEthernet0/1 [administratively down/down]
unassigned
GigabitEthernet0/0/0 [up/up]
FE80::32F7: DFF: FE29:8568
[Link]
GigabitEthernet0/1/0 [administratively down/down]
unassigned
Mostrar Routers IPv6 Conectados en el Router R1

R1# show ipv6 route connected

IPv6 Routing Table - default - 5 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
H - NHRP, I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea
IS - ISIS summary, D - EIGRP, EX - EIGRP external, NM - NEMO
ND - ND Default, NDp - ND Prefix, DCE - Destination, NDr - Redirect
RL - RPL, O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1
OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
la - LISP alt, lr - LISP site-registrations, ld - LISP dyn-eid
lA - LISP away, a - Application
C [Link] :/64 [0/0]
via GigabitEthernet0/0, directly connected
C [Link] :/64 [0/0]
via GigabitEthernet0/0/0, directly connected

Generar un Interface ID Única Usando el Modificador EUI-64

IOS soporta dos métodos para configurar una dirección.

Un método usa el comando ipv6 address para definir la dirección completa de 128 bits,
como vimos en el ejemplo anterior.

El otro método es usar éste mismo comando ipv6 address, pero sólo configurar los 64 bits
del prefijo para la interfaz y dejar que el router genere automáticamente el ID de la interfaz.

Éste segundo método usa las reglas llamadas modificador EUI-64 (extended unique
identifier). El router entonces usa las reglas EUI-64 para crear la parte de la dirección del
ID de la interfaz de la siguiente manera:

1. Divide la dirección MAC de 6 byte (12-digitos-hexadecimales) en dos mitades (6

dígitos hexadecimales cada uno).

2. Inserta FFFE entre los dos, haciendo que la ID de la interfaz ahora tenga un total
de 16 dígitos hexadecimales (64 bits).

3. Invierte el séptimo bit del ID de la interfaz.

Formato de la dirección IPv6 creado con EUI-64

Ejemplos prácticos para calcular el formato del Interface ID con EUI-64

Tengamos en cuenta que sólo tomamos la segunda mitad, la primera mitad es el prefijo de
subred.

Ejemplo 1 Ejemplo 2

[Link] 1612.3456.789A

Se separa en dos: Se separa en dos:

001312 34ABCD 161234 56789A

Se agrega en el medio FFFE Se agrega en el medio FFFE

001312 FFFE 34ABCD 161234 FFFE 56789A

Hasta ahora quedaría sí: Hasta ahora quedaría sí:

[Link] FE34: ABCD [Link] FE56:789A

Sólo falta invertir el séptimo bit del primer Sólo falta invertir el séptimo bit del primer
byte. El primer byte es 00: byte. El primer byte es 00:

[Link] FE34: ABCD [Link] FE56:789A

 Ejemplo 1 Ejemplo 2

Desglosándolo en bits quedaría: Desglosándolo en bits quedaría:

00000000 00010110

El séptimo bit se invierte: El séptimo bit se invierte:

00000010 00010100

El resultado es: El resultado es:

[Link] FE34: ABCD [Link] FE56:789A

Configurar interfaces IPv6 usando EUI-64

ipv6 unicast-routing
!
! The ipv6 address command now lists a prefix, not the full address
interface GigabitEthernet0/0
mac-address 0201.aa00.0001
ipv6 address [Link] :/64 eui-64
!
interface GigabitEthernet0/0/0
ipv6 address [Link] :/64 eui-64

R1# show ipv6 interface brief

GigabitEthernet0/0 [up/up]
FE80::1: AAFF: FE00:1
[Link] AAFF: FE00:1
GigabitEthernet0/1 [administratively down/down]
unassigned
GigabitEthernet0/0/0 [up/up]
FE80::32F7: DFF: FE29:8568
[Link] DFF: FE29:8568
GigabitEthernet0/0/1 [administratively down/down]
DFF: FE
Configurar Direcciones Unicast Dinámicas

Los routers Cisco soportan dos maneras de aprender dinámicamente una dirección IPv6:

• Stateful DHCP
• Stateless Address Autoconfiguration (SLAAC)

El siguiente ejemplo muestra la configuración, una usando Stateful DHCP y la otra usando
SLAAC.

! This interface uses DHCP to learn its IPv6 address

interface FastEthernet0/0

ipv6 address dhcp

!
! This interface uses SLAAC to learn its IPv6 address
interface FastEthernet0/1
ipv6 address autoconfigure

Configurar Direcciones Link-Local

La configuración de una dirección Link-Local es igual a la usada para cualquier dirección

IPv6 estática que vimos antes. Se usa también en este caso EUI-64 para generar la IP.

Cómo vimos en el capítulo anterior, la dirección Link-Local tiene un rango FE80: :/10, es
decir que puede usar entre FE8, FE9, FEA, o FEB.
Por tanto, tenemos una mitad estática en el rango que comenté antes y la otra mitad que
se genera por EUI-64.

64 bits 64 bits

FE80 : 0000 : 0000 : 0000 Interface ID: EUI-64

Formato de la dirección Link-Local

Configuración:
ipv6 address [Link] :/64 eui-64
Resumen de Configuración para Todos los Casos

Tipo Prefijo/Dirección Comando para Habilitarlo

ipv6 address address/prefix-length

Global Unicast Muchos prefijos
ipv6 address prefix/prefix-length eui-64

Unique Local FD00: :/8 ipv6 address prefix/prefix-length eui-64

ipv6 address address link-local

Autogenerado por todos los comandos ipv6
Link Local FE80: :/10
address
Autogenerado por el comando ipv6 enable

Todos los hosts

FF02::1 Autogenerado por todos los comandos ipv6
Multicast
address

Todos los routers Autogenerado por todos los comandos ipv6

FF02::2
Multicast address

Protocolo de Agregado a la interfaz cuando el protocolo de

enrutamiento Various enrutamiento correspondiente está habilitado en
Multicast la interfaz

Solicited-Node (nodo Autogenerado por todos los comandos ipv6

FF02::1: FF /104
solicitado) Multicast address
Este es el último capítulo de la Parte VII (IPv6) del curso. En este capítulo veremos cómo
configurar el enrutamiento IPv6 en un router Cisco mientras desarrollamos los siguientes
tres temas principales:

• Rutas IPv6 conectadas y rutas locales, similar a IPv4, veremos cómo un router
agrega routers conectados y locales en cada interfaz con dirección IPv6.

• Cómo configurar rutas estáticas IPv6 por línea de comando, en este caso usando el
comando ipv6 route en lugar del comando ip route usado en IPv4.

• Por último, veremos el protocolo NDP (Neighbor Discovery Protocol ó en español,

Protocolo de Descubrimiento de Vecinos)

Nota: Todos los conceptos que veremos sobre IPv6 tienen sus bases en IPv4, por tanto, si
no estás completamente familiarizado con estos conceptos te invito a revisarlos en último,
este curso; Parte IV – Direccionamiento IPv4 y Parte V – Enrutamiento IPv4.

Rutas IPv6 Conectadas y Locales

El router Cisco agrega rutas IPv6 en su tabla de enrutamiento por la misma razón que lo
hace IPv6. Específicamente, un router agrega rutas IPv6 basado en lo siguiente:

• Rutas Conectadas y Locales – La configuración del direccionamiento IPv6 en las

interfaces que están funcionando (rutas conectadas y locales)

• Rutas Estáticas – La configuración directa de una ruta estática (rutas estáticas)

• Rutas Dinámicas – La configuración de un protocolo de enrutamiento,

como OSPFv3, en routers que comparten los mismos datos de enlaces (rutas
dinámicas)
Reglas para las Rutas Conectadas y Estáticas

La siguiente lista resume las reglas sobre cómo los routers crean rutas basados en la
configuración de las direcciones IPv6 Unicast en la interface:

1. Los routers crean rutas IPv6 basados en cada dirección IPv6 Unicast en una interfaz,
configurada con el comando ipv6 address, como puedes ver a continuación:
A. El router crea una ruta para la subred (una ruta conectada).

B. El router crea una ruta del host (ancho del prefijo /128) para la dirección IPv6 del
router (una ruta local).

2. Los routers no crean rutas basadas en las direcciones link-local asociadas con la
interfaz.

3. Los routers eliminan las rutas conectadas y locales en una interfaz si ésta falla y las
rutas se agregan nuevamente cuando la interfaz vuelve a funcionar (up/up), estado
working.

Ejemplo de Configuración de Direcciones IPv6 en un Router

ipv6 unicast-routing

interface GigabitEthernet0/0

ipv6 address [Link]/64

interface Serial0/0/0

ipv6 address [Link]/64

interface GigabitEthernet0/1/0

ipv6 address [Link]/64

Rutas en un Router Antes de Agregar Rutas Estáticas o Protocolos de
Enrutamiento

R1# show ipv6 route

IPv6 Routing Table - default - 7 entries

Codes: C - Connected, L - Local, S - Static, U - Per-user Static route

B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
H - NHRP, I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea
IS - ISIS summary, D - EIGRP, EX - EIGRP external, NM - NEMO
ND - ND Default, NDp - ND Prefix, DCE - Destination, NDr -
Redirect
RL - RPL, O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1
OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
la - LISP alt, lr - LISP site-registrations, ld - LISP dyn-eid
lA - LISP away, a - Application
C [Link] :/64 [0/0]
via GigabitEthernet0/0, directly connected
L [Link]/128 [0/0]
via GigabitEthernet0/0, receive
C [Link] :/64 [0/0]
via Serial0/0/0, directly connected
L [Link]/128 [0/0]
via GigabitEthernet0/0/0, receive
C [Link] :/64 [0/0]
via GigabitEthernet0/1/0, directly connected
L [Link]/128 [0/0]
via GigabitEthernet0/1/0, receive
L FF00: :/8 [0/0]
vía Null0, receiver
Ejemplos de Rutas Locales IPv6

R1# show ipv6 route local

! Legend omitted for brevity

L [Link]/128 [0/0]
via GigabitEthernet0/0, receive
L [Link]/128 [0/0]
via Serial0/0/0, receive
L [Link]/128 [0/0]
via GigabitEthernet0/1/0, receive
L FF00: :/8 [0/0]
vía Null0, receive

Rutas IPv6 Estáticas

Ejemplo de Red para crear rutas estáticas con el comando IPv6 Route

Rutas Estáticas Usando la Interfaz de Salida

Ejemplo de Rutas IPv6 Estáticas en un Router:

! Static route on router R1

R1(config)# ipv6 route [Link] :/64 S0/0/0

! Static route on router R2

R2(config)# ipv6 route [Link] :/64 S0/0/1

Como puedes observar, se incluye la interfaz física de salida junto al comando ipv6 route.
Verificar Rutas Estáticas:

R1# show ipv6 route static

! Legend omitted for brevity
S [Link] :/64 [1/0]
via Serial0/0/0, directly connected
R1# show ipv6 route [Link]
Routing entry for [Link] :/64
Known via "static", distance 1, metric 0
Route count is 1/1, share count 0
Routing paths:
directly connected via Serial0/0/0
Last updated [Link] ago

Rutas Estáticas Usando la Dirección IPv6 del Next-Hop o Próximo Salto

Usando una IPv6 Unicast o Link-Local como Dirección de Next-Hop para Rutas Estáticas
Ejemplo de Rutas Estáticas Usando Direcciones Global Unicast

! The first command is on router R1, listing R2's global unicast address

R1(config)# ipv6 route [Link] :/64 [Link]

! The next command is on router R2, listing R1's global unicast address

R2(config)# ipv6 route [Link] :/64 [Link]

Verificación de Rutas Estáticas que van hacia la Dirección de Next-Hop Global Unicast:

R1# show ipv6 route static

! Legend omitted for brevity
S [Link] :/64 [1/0]
via [Link]

R1# show ipv6 route [Link]/64

Routing entry for [Link] :/64
Known via "static", distance 1, metric 0
Backup from "ospf 1 [110]"
Route count is 1/1, share count 0
Routing paths:
[Link]
Last updated [Link] ago

Ejemplos de Rutas Estáticas con una Dirección Link-Local como Next-Hop

Las rutas estáticas que hacen referencia a la dirección link-local de un vecino funcionan un
poco como los dos estilos anteriores de rutas estáticas. Primero, el comando de route
ipv6 se refiere a una dirección del next-hop, es decir, una dirección de link-local. Sin
embargo, el comando también debe hacer referencia a la interfaz de salida local del
enrutador. ¿Por qué ambos? El comando route ipv6 no puede simplemente referirse a una
dirección next-hop link-local por sí mismo porque la dirección link-local no le dice al router
qué interfaz de salida usar.

Curiosamente, cuando el comando route ipv6 se refiere al next-hop de una dirección de

global Unicast, el router puede deducir la interfaz saliente ya que puede mirar su tabla de
enrutamiento IPv6. Como resultado, con una dirección global Unicast como next-hop, se
puede deducir la interfaz de salida correcta.

Con una dirección next-hop link-local, un router no puede funcionar con esta misma lógica,
por lo que la interfaz de salida también debe configurarse.
Ejemplo de Configuración de Rutas Estáticas IPv6 Usando Direcciones de Vecinos de Link-
Local:

! The first command is on router R1, listing R2's link-local address

R1(config)# ipv6 route [Link] :/64 S0/0/0 FE80: FF: FE00:2

! The next command is on router R2, listing R1's link-local address

R2(config)# ipv6 route [Link] :/64 S0/0/1 FE80: FF: FE00:1

Verificación de Rutas Estáticas hacia una Dirección de Next-Hop Link-Local:

R1# show ipv6 route static

! Legend omitted for brevity

S [Link] :/64 [1/0]

vía FE80: FF: FE00:2, Serial0/0/0

R1# show ipv6 route [Link]

Routing entry for [Link] :/64
Known via "static", distance 1, metric 0
Backup from "ospf 1 [110]"
Route count is 1/1, share count 0
Routing paths:
FE80: FF: FE00:2, Serial0/0/0
Last updated [Link] ago

Rutas Estáticas Por Defecto (Default Route)

Al igual que en IPv4, la ruta por defecto le dice al router qué hacer con un paquete cuando
no coincide con alguna otra ruta. Por tanto, se envía a la ruta por defecto.

Configuración:

! Forward out B1's S0/0/1 local interface…

B1(config)# ipv6 route: :/0 S0/0/1

En IPv6 se usa la dirección: :/0 como ruta por defecto, lo mismo sería en IPv4; [Link].

B1# show ipv6 route static

IPv6 Routing Table - default - 10 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, R - RIP, I1 - ISIS L1, I2 - ISIS L2
IA - ISIS interarea, IS - ISIS summary, D - EIGRP, EX - EIGRP external
ND - ND Default, NDp - ND Prefix, DCE - Destination, NDr - Redirect
O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
S: :/0 [1/0]
vía Serial0/0/1, directly connected

Rutas de Host IPv6 Estáticas

Esto sería una ruta con una única dirección IP de host. Lo que sería en IPv4 una máscara
/32 que identifica una única IP. En IPv6 sería una máscara /128.
Ejemplo de configuración:

! The first command lists host B's address, prefix length /128,

! with R2's link-local address as next-hop, with an outgoing interface.

R1(config)# ipv6 route [Link]/128 S0/0/0 FE80: FF: FE00:2
R1(config)#
! The next command also lists host B's address, prefix length /128,
! but with R2's global unicast address as next-hop, and no outgoing
interface.
R1(config)# ipv6 route [Link]/128 [Link]

Solucionar Problemas de Rutas IPv6 Estáticas

Las rutas estáticas IPv6 tienen los mismos problemas que tienen las rutas IPv4 como
ya vimos en el Capítulo 16.3 – Enrutamiento Estático (Rutas Estáticas). Sin embargo, las
rutas estáticas en IPv6 tienen algunas pequeñas diferencias.
Separemos la solución de problemas de rutas estáticas IPv6 en dos perspectivas: los
casos en donde la ruta está en la tabla de enrutamiento, pero es incorrecta, y los casos
en donde la ruta no se encuentra en la tabla de enrutamiento.
Solucionar Problemas de Rutas Estáticas Incorrectas que Aparecen en la Tabla de
Enrutamiento IPv6

Cuando veas una pregunta en el examen que tiene rutas estáticas y las ves en la salida del
comando show ipv6 route, recuerda que las rutas podrían tener parámetros incorrectos.
Verifica los siguientes tipos de errores:

• Paso 1. Prefijo/Longitud: ¿Tiene el comando ipv6 route el ID de subred (prefijo) y

máscara (longitud del prefijo) correctos?

• Paso 2. Si se está usando una dirección IPv6 como next-hop que es una dirección
link-local:
• A. Es la dirección link-local una dirección del router vecino? (Esta debería ser
una dirección del otro router de un enlace compartido.)

B. El comando ipv6 route hace referencia a la interfaz de salida correcta en el

router local?

• Paso 3. ¿Si estás usando una dirección IPv6 como next-hop que es una dirección
global Unicast o una dirección unique local, es ésta la dirección Unicast del router
vecino correcta?

• Paso 4. ¿Si se referencia a una interfaz de salida, el comando ipv6 route referencia
a la interfaz del router local (este es el mismo router donde la ruta estática es
configurada)?
Ejemplos de Configuración con el Comando ipv6 route con sintaxis correcta en R1, pero
mal ejecutados en su idea:

Red con IPv6 para usar de base en ejemplos mal implementados de configuración

ipv6 route [Link] :/64 [Link]! Paso 1: El prefijo está mal

ipv6 route [Link] :/64 G0/2 FE80:AAA9! Paso 2A: El vecino del enlace
local está mal
ipv6 route [Link] :/64 FE80::2! Paso 2B: Falta la interfaz de salida
ipv6 route [Link] :/64 [Link]! Paso 3: Dirección del vecino está
mal
ipv6 route [Link] :/64 G0/1 FE80::2! Paso 4: Interfaz en R1 está mal

Todos los ejemplos anteriores son incorrectos, tienen una sintaxis correcta y podrían
agregarse a la de enrutamiento IPv6 de R1. Sin embargo, todos los comandos tienen fallas.
Trabajando en el ejemplo anterior y en orden:

• Paso 1. El prefijo ([Link] :) tiene un carácter mal en el cuarto cuarteto (33

en lugar de 3).
• Paso 2A. La imagen muestra que la dirección link-local de la interfaz G0/1 en
R2 es FE80::2, pero el comando usa FE80:AAA9.
• Paso 2B. El comando usa la dirección link-local correcta de R2 en el enlace
compartido (FE80::2 según la imagen), pero omite la interfaz de salida de R1
que es la interfaz G0/2. (Mira el siguiente ejemplo para más detalle.)
• Paso 3. La imagen muestra la subred del centro como [Link] :/64, con R1
usando la dirección:1 y R2 usando:2. Para el caso del cuarto comando del ejemplo,
el comando en R1 debería usar la dirección [Link] de R2, pero R1 usa su
propia dirección [Link] en su lugar.

• Paso 4. Dado que es un comando en R1, la interfaz de salida debe ser la suya. La
interfaz en este caso debería ser G0/2 ya que se quiere llegar a la red [Link]
 :/64, esta es la interfaz que vemos a la derecha del router, si se quisiera llegar a la
subred de la izquierda entonces si estaría correcto usar la interfaz G0/1.

Solucionar Problemas de Rutas Estáticas Incorrectas que NO Aparecen en la Tabla de

Enrutamiento IPv6
En el ejemplo anterior vimos casos donde el comando estaba mal ingresado, en este
ejemplo partiremos de base que todos los comandos están correctos y de todas maneras
las rutas estáticas no aparecen en la tabla de enrutamiento.

La lógica que usa Cisco antes de agregar una ruta es la siguiente:

• Para los comandos ipv6 route que listan una interfaz de salida, esta interfaz debe
estar en el estado up/up (working).

• Para los comandos ipv6 route que listan una global Unicast o unique local como
dirección IP de next-hop (es decir, no una dirección link-local), el router local debe
tener una ruta para alcanzar a esa dirección de next-hop.

• Si otra ruta IPv6 existe para el mismo prefijo/longitud-del-prefijo, la ruta estática debe
tener una mejor (menor) distancia administrativa.

Qué es NDP

NDP en redes significa protocolo de descubrimiento de vecinos.

Así como IPv4 usa ICMP, IPv6 también define el protocolo ICMP (ICMPv6). Sin embargo,
ICMPv6 consigue llegar más lejos que ICMPv4, incorporando funciones realizadas por otros
protocolos diversos en IPv4. Por ejemplo, con IPv4, ARP funciona como un protocolo
separado; con IPv6, el protocolo de descubrimiento de vecinos (NDP) es parte de ICMPv6,
realiza las mismas funciones.

Funciones de NDP
Neighbor MAC Discovery (Descubrimiento de MAC Vecina): Un host IPv6 en una red
LAN necesita aprender la dirección MAC del otro host en la misma subred. NDP emplaza a
ARP de IPv4 proveyendo mensajes que reemplazan al ARP Request y ARP Reply.

Router Discovery (Descubrimiento de Routers): Los hosts aprenden el direccionamiento

IPv6 de los routers IPv6 disponibles en la misma subred.

SLAAC: Cuando se usa SLAAC (Stateless Address Auto Configuration), el host usa los
mensajes NDP para aprender la subred (prefijo) usado en el enlace además de la longitud
del prefijo.

DAD: Antes de usar una dirección IPv6, los hosts usan NDP para realizar el proceso DAD
(Duplícate Address Detection o en español, Detección de Direcciones Duplicadas), para
asegurarse que ningún otro host usa la misma dirección IPv6 antes de intentar usarla.
En resumen:

• Descubre las MAC vecinas

• Descubre los routers vecinos
• Aprende las subredes y su longitud de prefijo
• Verifica que no esté duplicada dirección la IPv6 antes de usarla

Mensaje Quien Quién Envía

Información
Función del Descubre la la
Enviada
Protocolo Información Información

Descubrimiento Cualquier host Cualquier Direcciones Link-

RS and RA
del Router IPv6 router IPv6 local IPv6 del router
 Mensaje Quien Quién Envía
Información
Función del Descubre la la
Enviada
Protocolo Información Información

Prefijo(s) y longitud
Descubrimiento Cualquier host Cualquier de los prefijos
RS and RA
del Prefijo/longitud IPv6 router IPv6 asociados usados en
el enlace local

Dirección de la capa
de enlace (por
Descubrimiento Cualquier host Cualquier
RS and RA ejemplo, la dirección
del Vecino IPv6 router IPv6
MAC) usada por un
vecino

Confirmación simple
Detección de
Cualquier host Cualquier cuando una dirección
Direcciones RS and RA
IPv6 router IPv6 Unicast ya está en
Duplicadas (DAD)
uso

Descubrimiento de Direcciones del Enlace Vecino con Mensajes NDP NS y NA

NS y NA son mensajes que envía NDP.

Neighbor Solicitation (NS): Este mensaje le pregunta a un host con una dirección IPv6 en
particular (la dirección de destino) que responda con un mensaje NA donde se enumera su
dirección MAC. El mensaje NS es enviado a la dirección de Multicast del nodo solicitado
asociada con la dirección de destino, por tanto, el mensaje es procesado sólo por los hosts
en donde los últimos seis dígitos hexadecimales coinciden con la dirección que fue
requerida al comienzo.

Neighbor Advertisement (NA): Este mensaje lista la dirección IPv6 y MAC del remitente.
Éste puede ser enviado en respuesta a un mensaje NS, y en ese caso el paquete es enviado
a la dirección IPv6 Unicast del host que envió el mensaje NS original. Un host puede enviar
una solicitud NA anunciando su dirección IPv6 y MAC, en cuyo caso el mensaje es enviado
a la dirección Multicast FF02::1 de alcance local (local-scope) de todos los hosts IPv6.
Ejemplo de Mensajes NDP NS y NA en el proceso de descubrimiento de su vecino

Ver los vecinos IPv6 en un Router Cisco:

R3# show ipv6 neighbors

IPv6 Address Age Link-layer Addr State Interface
[Link] 0 0201.a010.0001 REACH Gi0/0/0
FE80::1: [Link] 0 0201.a010.0001 REACH Gi0/0/0

Ver los Vecinos IPv6 en Windows:

netsh interface ipv6 show neighbors

Ver los Vecinos IPv6 en Linux:

ip -6 neighbor show
Ver los Vecinos IPv6 en Mac OS:

ndp -an

Descubrimiento de Routers con Mensajes NDP RS y RA

RS y RA son mensajes que envía NDP.

Router Solicitation (RS): Este mensaje es enviado a todos los routers IPv6 a la dirección
Multicast FF02::2 de alcance local (local-scope), por tanto, el mensaje le pregunta a todos
los routers del enlace local solamente para que se identifiquen a sí mismos.

Router Advertisement (RA): Este mensaje enviado por el router lista muchos datos,
incluida la dirección link-local IPv6 del router. Cuando se envía en respuesta de un menaje
RS, éste vuelve a la dirección Unicast del host que envió el mensaje RS o a la dirección
FF02::1 de todos los hosts IPv6. Los routers también envían mensajes RA sin que se lo
soliciten, enviados a la dirección de Multicast FF02: 1 de alcance local de todos los hosts
IPv6.

Ejemplo de Mensajes NDP RS y RA NS/NA en el proceso de descubrimiento de su Router vecino

Usando SLAAC con Mensajes NDP RS y RA

Tanto IPv4 como IPv6 soportan la idea de direcciones dinámicas asignadas al host a través
de Dynamic Host Configuration Protocol (DHCP). Para encontrar una dirección que se use
con DHCP, el cliente DHCP envía mensajes al servidor DHCP, y el servidor asigna
direcciones que no se están usando actualmente en esa subred para que el host en el
extremo use. El proceso confía en la funcionalidad del cliente DHCP en cada dispositivo y
el servidor DHCP configurado y funcionando en esa red.

IPv6 soporta un método alternativo para que los hosts IPv6 elijan automáticamente una
dirección IPv6 sin uso, un proceso que no requiere de un servidor DHCP. El proceso lleva
el nombre de Autoconfiguración de Direcciones sin Estado ó en inglés Stateless Address
Autoconfiguration (SLAAC). SLAAC usa un simple proceso de tres pasos que comienza
aprendiendo el prefijo/longitud como se muestra en la siguiente imagen. Los pasos son los
siguiente:

1. Aprende el prefijo IPv6 usado en el enlace desde cualquier router, usando los
mensajes NDP RS/RA.

2. Construye una dirección desde el prefijo y el ID de la interfaz, eligiendo entre

usar las reglas EUI-64 o como un valor aleatorio.

3. Antes de usar la dirección, primero usa DAD para estar seguro que ningún otro
host está usando la misma dirección.

Creación de una IPv6 usando SLAAC

Descubriendo Direcciones Duplicadas usando Mensajes NDP NS y NA

Lo mejor es verlo con un ejemplo con una imagen. PC1 comienza haciendo un chequeo
DAD, pero PC2 está en funcionamiento con esa dirección. La imagen sigue los siguientes
pasos:

1. PC1, antes de usar la dirección [Link], debe usar DAD.

2. PC1 envía un mensaje NS, listando la dirección que PC1 ahora quiere usar
([Link]).

3. PC2 recibe el mensaje NS, PC2 mira qué dirección está usando en este momento
y envía de vuelta atrás un mensaje NA.

4. PC1 recibe el mensaje NA con su propia dirección IPv6 y se da cuenta que tiene
una dirección duplicada que ya existe en la red.

Detección de Dirección Duplicada en IPv6 usando DAD con NDP NS/NA

Vamos a ver todo sobre Redes Inalámbricas Cisco.
Las redes inalámbricas transmiten la información por radiofrecuencia (RF). En redes
cableadas Ethernet se usa el estándar IEEE 802.3 y en redes inalámbricas se usa el
estándar IEEE 802.11.

Topología de una Red LAN Inalámbrica

En las redes inalámbricas el medio se comparte entre todos quienes enviar y recibir datos
a través del aire, por tanto, los dispositivos tienen que transmitir en un tiempo determinado
para no colisionar entre ellos, esta técnica se define en el estándar 802.11. Y seguramente
te sonará de alguna parte, pues si, esta técnica también se usa en una red LAN Ethernet
tradicional (no switch), por ejemplo, cuando tenemos un Hub en half-duplex, cada
dispositivo tiene que esperar su turno para transmitir y así evitar colisiones.

Las redes WLAN IEEE 802.11 son siempre half-dúplex porque las transmisiones entre
estaciones utilizan la misma frecuencia o canal. Solo una estación puede transmitir en
cualquier momento; de lo contrario, ocurren colisiones. Para lograr el modo full-duplex,
la transmisión de una estación tendría que ocurrir en una frecuencia mientras recibe en una
frecuencia diferente, al igual que funcionan los enlaces Ethernet full-duplex. Aunque esto
es ciertamente posible y práctico, el estándar 802.11 no permite la operación full-duplex.
Algunas enmiendas al estándar proporcionan un medio para que varios dispositivos
transmitan en el mismo canal al mismo tiempo, pero esto está más allá del alcance de este
curso.

BSS: Conjunto de Servicios Básicos

Existe un conjunto de servicios básicos para el funcionamiento de una red inalámbrica. El

estándar 802.11 llama a este conjunto de servicios básicos (BSS).

En el corazón de un BSS hay un Punto de Acceso inalámbrico o en inglés, Access Point

(AP). El AP ofrece el servicio necesario para infraestructura de una red inalámbrica.

Tanto el AP como lo miembros del BSS deben usar el mismo canal de comunicación.

El BSS depende del AP y por tanto está limitado al área que cubre la señal del AP. A esto
se le conoce como Área de Servicio Básico ó BSA (Basic Service Área). Este espacio al
que le llamaremos celda puede tener distintas formas dependiendo del tipo de antena.

El AP usa un único identificador BSS (BSSID) que está basado en la dirección MAC del AP.
BSS: Basic Service Set (Conjunto Básico de Servicios). Estándar 802.11
Adicionalmente, el AP anuncia la red con un SSID (Service Set Identifier) que es un texto
que contiene el nombre lógico de la red.

La afiliación con la BSS se llama asociación. Un dispositivo inalámbrico solicita una

asociación con el AP, el AP debe aceptar o denegar la solicitud. Una vez asociado, el
dispositivo se convierte en un cliente, o una estación (STA) 802.11 del BSS.

Para mantener la estabilidad y el control de la red por parte del BSS, todas las
comunicaciones de los dispositivos inalámbricos deben pasar por un AP. Por tanto, no es
posible que dos dispositivos se envíen información directamente.
En resumen:

• AP (Punto de Acceso): Ofrece el servicio necesario para la infraestructura de red

inalámbrica.

• BSS (Conjunto de Servicios Básicos): En el BSS hay un AP (Punto de Acceso).

• BSA (Área de Servicios Básicos): Es el área que cubre el AP.

• BSSID: Es el identificador del AP basándose en su MAC.

• SSID: Cadena de carácter de texto que identifica de manera lógica al AP.

• STA: La asociación que hace un dispositivo cualquiera con el AP.

DS: Sistema de Distribución

Cuando un dispositivo se quiere comunicar con otro fuera de su BSS, éste tiene que utilizar
lo que se define en el estándar 802.11 como DS (Distribution System) que es el enlace
cableado de subida (upstream).

Para hacer esto el AP se encarga de mapear una VLAN a un SSD.

DS: Distribution System Supporting a BSS (Sistema de Distribución)
Este concepto se puede extender a multiples SSID.

Para esto crea una VLAN Trunk con distintas VLANs para cada SSID. Por ejemplo, en la
siguiente figura vemos que la VLAN 10 mapea el SSID “Mi Red,”, la VLAN 20 mapea el
SSID “TuRed,” y la VLAN 30 el SSID “Invitado.”

Soportando Múltiples SSIDs en un AP

ESS: Conjunto de Servicios Extendidos

Por lo general un solo AP no puede cubrir el área completa que el cliente necesita cubrir.
Por ejemplo, si el cliente quiere cubrir el piso completo de un hotel, hospital o un edificio
con áreas grandes. Para poder hacer esto podemos usar más de un AP, es decir varias
celdas separadas geográficamente.

Cuando varios APs son puestos en lugares diferentes éstos se pueden interconectar por un
switch. El estandard 802.11 llama a esto ESS (Extended Service Set o en español,
Conjunto de Servicios Extendidos)

Lo ideal es que el SSID definido en un AP se use para todos los AP y evitar que los clientes
tengan que reconfigurar sus dispositivos cada vez que pasan a otra celda de la red que
tiene otro SSID.

Cabe destacar que, si bien el SSID puede ser el mismo, el BSSID siempre es distinto ya
que identifica físicamente al AP.

De esta manera un cliente puede pasar entre celdas sin «darse cuenta» ya que no tiene
que reconfigurar, a esto se le llama roaming. Ten en cuenta que cada AP ofrece su propio
BSS en su propio canal para evitar interferencias, esto lo hace porque escanea los
diferentes canales usados por los BSS.

En definitiva, el cliente hace roaming de BSS a BSS, de un canal a otro.

ESS: Extended Service Set (Conjunto de Servicios Extendidos). Escalando la cobertura Inalámbrica
con 802.11
IBSS: Conjunto de Servicios Básicos Independientes

En general en una red inalámbrica usa los APs para organización, control y escalabilidad
de la red.

Pero a veces esto no es posible o conveniente en una situación específica. Por ejemplo,
dos personas quieren intercambiar documentos electrónicos y no encuentran un BSS
disponible o quieren evitarlo para no autenticarse en la red.

El estándar 802.11 permite a dos clientes o más comunicarse directamente entre ellos, a
esto se le conoce como ad hoc o IBSS (Independen Basic Service Set).

Otras Topologías de Red Inalámbrica

Repetidor

Normalmente, cada AP tiene un conector cableado (DS) que se puede conectar a otro AP
para extender el espectro geográfico que cubre la celda. Pero en algunos escenarios esto
no es posible porque por ejemplo el cable necesario es muy extenso para soportar una
comunicación Ethernet.

En este caso se puede usar un AP configurado en modo repetido. Un repetidor

inalámbrico toma la señal que recibe y la repite o retransmite en una nueva celda
alrededor del repetidor.
Repetidores Inalámbricos
WGM: Workgroups Bridge (Puente de Grupo de Trabajo)

El WGM conecta a un dispositivo que no tiene conectividad inalámbrica con la red

inalámbrica. Por ejemplo, un equipo médico que está conectado a la red posiblemente no
tenga conectividad inalámbrica, en este caso se usa un dispositivo WGB para interconectar
el equipo médico con la red inalámbrica.

WGB: Workgroups Bridge (Puente de Grupo de Trabajo)

Puedes encontrar dos tipos de puentes de grupos de trabajo:

• Universal workgroup bridge (uWGB): A un único cable de un dispositivo se le

puede hacer puente con una red inalámbrica.

• Workgroups bridge (WGB): Una implementación propietaria de Cisco que permite

a múltiples dispositivos cableados hacer puente con una red inalámbrica.

Bridge Outdoor (Puente al Aire Libre)

Los enlaces puente al aire libre son usados comúnmente para conectar entre edificios o
ciudades.

En cada extremo se necesita un AP configurado en modo bridge. Normalmente se usan

antenas conectadas a los Bridge para direccionar la señal en una dirección. Esto maximiza
la distancia.
Conexión Inalámbrica Outdoor Bridge (Puente al Aire Libre)
Mesh Network (Red Mallada)

Para proveer una cobertura muy extensa no es práctico interconectar los AP con cables
entre ellos. En su lugar puedes usar varios APs configurados en modo mesh.

Red Mesh Inalámbrica

Bandas y Canales Inalámbricos

Bandas y Canales Inalámbricos en 2.4-GHz y 5-GHz

 Para evitar solapamiento de frecuencias en redes inalámbricas, puedes cambiar el
canal donde se transmitirá, ya que cada canal ocupa un espectro de frecuencia y los
canales se solapan entre ellos (especialmente en la banda 2.4-Ghz).

En la banda 2.4-Ghz, la única manera de evitar el solapamiento sería configurando los

canales 1, 6 y 11, a pesar de tener un total de 14 canales.

Los APs y Estándares Inalámbricos

Máxima
2.4 5
Enmienda Transferencia de Notas
GHz GHz
Datos

802.11-
Si No 2 Mbps El estándar original 802.11 ratificado en 1997
1997

802.11b Si No 11 Mbps Introducido en 1999

802.11g Si No 54 Mbps Introducido en 2003

802.11a No Si 54 Mbps Introducido en 1999

HT (high throughput, en español, alto rendimiento),

802.11n Si Si 600 Mbps
introducido en 2009

VHT (very high throughput, en español; muy alto

802.11ac No Si 6.93 Gbps
rendimiento), introducido en 2013

High Efficiency Wireless (Inalámbrico de Alta

Eficiencia), Wi-Fi6; fecha prevista 2019; operará
802.11ax Si Si 4x 802.11ac
también en otras bandas a medida que estén
disponibles

Arquitectura AP (Access Point) Autónoma

Como vimos en el capítulo anterior, la función principal de un AP (Access Point o Punto de

Acceso) es unir datos inalámbricos desde el aire a una red cableada normal.

En el AP se conectan distintos dispositivos como si fuera una red cableada, el AP por tanto
convierte a estos como miembros de su red LAN.
Los AP autónomos ofrecen uno o más conjuntos de servicios básicos independientes
(BSS).

La siguiente imagen muestra un ejemplo de una red con APs autónomos, si bien se
muestran sólo cuatro AP, la realidad es que en una red empresarial podrían ser cientos.

Ejemplo de Arquitectura Inalámbrica con Access Point Autónomos

Características de un AP (Access Point) Autónomo

Podemos ver en el ejemplo anterior algunas características de un AP autónomo, como

permitir más de un SSID (wlan100 y wlan200) que se transmiten por distintas VLANs (10,
100, 200) por un enlace tipo Trunk. Además, el AP autónomo tiene una IP de
gestión ([Link]).

Arquitectura AP (Acceso Point) Basado en la Nube

Un AP autónomo necesita de mucha configuración y administración. Si quisieras ayudar

a resolver esto puedes usar una arquitectura de AP basada en la nube donde la
administración del AP se resuelve fuera de la empresa empujándolo hacia la nube de
Internet. Cisco Meraki es una solución de Cisco basado en la nube donde puedes hacer
una administración centralizada además de obtener detallados informes de la red.
Cuando se agreguen nuevos AP éstos se conectarán a la nube y se configuraran
automáticamente para ser administrados desde la nube.
La siguiente imagen muestra un ejemplo de esta red, puedes ver que la arquitectura es la
misma que la de los AP autónomos y es que los AP que se usan son también autónomos.
La diferencia está en que todos los AP se gestionan, controlan y supervisan desde la nube.

Ejemplo de Arquitectura Inalámbrica Basado en la Nube con Cisco Meraki Cloud

Arquitectura Split-MAC (MAC Dividida)
Dado que los AP autónomos son justamente autónomos, toda la gestión, configuración,
monitoreo, seguridad, etc., son configurados en cada uno de ellos.

Para solucionar estas limitaciones es necesario desplazar muchas funciones desde el AP

autónomo hacia una ubicación centralizada.

Podemos ver en la siguiente imagen cómo desplazamos estas funciones en dos

grupos: funciones de administración en la parte superior y funciones en tiempo real en
la parte inferior.

Ejemplo de Arquitectura Inalámbrica Split-MAC

Funciones en Tiempo Real: Los procesos en tiempo real implican enviar y recibir tramas
802.11, señales y mensajes de prueba. El cifrado de datos 802.11 también se maneja en
tiempo real, por paquete. El AP debe interactuar con los clientes inalámbricos a bajo nivel,
conocido como capa de Control de Acceso a Medios ó Media Access Control (MAC). Estas
funciones deben permanecer con el hardware del AP, más cercano a los clientes.

Funciones de Gestión: Las funciones de gestión no son parte integral de manejar tramas
en los canales de RF, pero son cosas que deben administrarse de forma centralizada. Por
lo tanto, esas funciones se pueden mover a una plataforma ubicada en el centro, lejos del
AP.

Cuando se dividen las funciones de un AP autónomo, el hardware del AP es conocido

como Lightweight AP (AP Liguero) y realiza sólo las operaciones 802.11 en tiempo real.
Las funciones de gestión son usualmente realizadas por el Controlador de LAN
Inalámbrica (WLC; Wireless LAN controller) que controla a los APs ligueros.

Para comunicar los APs ligueros con el WLC se tiene que crear un túnel usando el protocolo
CAPWAP (Control and Provisioning of Wireless Access Points o en español, Control y
Aprovisionamiento de Puntos de Acceso Inalámbricos) encapsulando los datos dentro de
un paquete IP. Los datos dentro del túnel pueden ser enrutados a través de la red.

Túnel CAPWAP

Existen dos túneles separados:

CAPWAP para el control de mensajes: Transporta el intercambio usado para configurar

el AP y gestionar su operación. El mensaje de control tiene autenticación y encriptación,
por tanto, el AP tiene seguridad de que será controlado por el WLC apropiado.

CAPWAP para datos: Usado para los paquetes que viajan hacia y desde los clientes
inalámbricos que están asociados con el AP. Los paquetes de datos son transportados a
través del túnel de datos, pero no están encriptados por defecto. Cuando la encriptación de
datos está habilitada, los paquetes están protegidos con DTLS (Datagram Transport Layer
Security o en español, Seguridad de la Capa de Transporte de Datagramas).
Túnel CAPWAP

WLC Comparación de Implementación según modelos de red que atienden las

necesidades por tamaño de la empresa o localización geográfica. Existen distintos modelos
como el Unifield, Cloud, Embedded, Mobility Express y Autonomous.

¿Dónde ubicarías el controlador WLC? Existen diferentes locaciones donde puedes

colocar el controlador para diferentes arquitecturas de red, una decisión que también
afectara la cantidad de WLCs que necesitas para soportar los APs requeridos.
 Ubicación del
WLC (DC, APs Clientes
Modelo de Despliegue Uso Típico
Acceso, Central, Soportados Soportados
AP)

Unified (Centralizado) Central 6000 64.000 Gran Empresa

Cloud (en la Nube) Data Center 3000 32.000 Nube Privada

Campus
Embedded (incrustado) Acceso 200 4000
Pequeño

Mobility Express Ubicado en la

Otro 100 2000
(Movilidad Rápida) Sucursal

Autonomous (Autónomo) N/A N/A N/A N/A

Resumen de Modelos de Implementación de WLC

WLC Unifield o Centralizado

Una opción es colocar el WLC en el centro para maximizar el número de APs conectados al
controlador. A esto se le llama normalmente unifield o despliegue de WLC centralizado.

La siguiente imagen muestra muetra un ejemplo de un WLC centralizado:

Ejemplo de Red Inalámbrica WLC Unifield o Centralizado

WLC Cloud o en la Nube
El WLC existe como una máquina virtual en lugar de un dispositivo físico.
Si la plataforma de computación en la nube ya existe, entonces implementar un WLC
basado en la nube es sencillo.

Si tu red inalámbrica escala más allá de eso, entonces se pueden agregar WLC adicionales
como máquinas virtuales.

Ejemplo de Red Inalámbrica WLC Cloud o en la Nube

WLC Embedded o Incrustado

Para campus pequeños o sucursales distribuidas, donde el número de APs es

relativamente pequeño, el WLC puede ser apilado junto a switches. Es llamado Embedded
o incrustado porque esta apilado al switch.

A medida que crece la cantidad de APs, se pueden agregar WLC adicionales

incorporándolos en otros switches de la pila.

Ejemplo de Red Inalámbrica WLC Embedded o Incrustado

WLC Mobility Express (Movilidad Rápida)

Por último, en entornos de pequeña escala, como sucursales pequeñas, medianas o de

varios sitios, es posible que no desees invertir en WLC dedicados. En este caso, la función
WLC se puede ubicar junto con un AP que está instalado en el sitio de la sucursal. Esto se
conoce como implementación de Cisco Mobility Express WLC.

El AP que aloja el WLC forma un túnel CAPWAP con el WLC, junto con cualquier otro AP
en la misma ubicación.

Ejemplo de Red Inalámbrica MobilityExpress WLC

Existen muchos modos de access point de Cisco, según el modo, las características y
funciones de éste cambian. Muchos APs de Cisco pueden operar como autónomo o en
modo Lightweight (ligero). Desde el WLC puedes configurar un AP Lightweight para operar
en uno de los siguientes modos de propósito especial:

Modo Local

El modo Lightweight predeterminado ofrece uno o más BSS en funcionamiento en un canal

específico. Durante los momentos en que no está transmitiendo, el AP escaneará los otros
canales para medir el nivel de ruido, medir la interferencia, descubrir dispositivos no
autorizados y compararlos con los eventos del sistema de detección de intrusiones (IDS).

Modo Monitor

El AP no transmite en absoluto, pero su receptor está habilitado para actuar como un sensor
dedicado. El AP busca eventos IDS, detecta puntos de acceso no autorizados y determina
la posición de las estaciones a través de servicios basados en la ubicación.

Modo FlexConnect

Un AP en un sitio remoto puede intercambiar localmente el tráfico entre un SSID y una

VLAN si su túnel CAPWAP al WLC está caído (down) y si está configurado para hacerlo.

Modo Sniffer

Un AP dedica sus radios a recibir tráfico 802.11 de otras fuentes, como un rastreador o un
dispositivo de captura de paquetes. El tráfico capturado se reenvía a una PC que ejecuta
un software de análisis de red como Wildpackets OmniPeek o WireShark, donde se puede
analizar más a fondo.

Modo Rogue Detector

Un AP se dedica a detectar dispositivos deshonestos al correlacionar las direcciones MAC

que se escuchan en la red cableada con las que se escuchan en el aire. Los dispositivos
deshonestos son aquellos que aparecen en ambas redes.
Modo Bridge

Un AP se convierte en un bridge (puente) dedicado (punto a punto o punto a multipunto)

entre dos redes. Se pueden usar dos AP en modo puente para vincular dos ubicaciones
separadas por una distancia. Varios AP en modo puente pueden formar una red
mallada interior o exterior.

Modo Flex+Bridge

La operación FlexConnect está habilitada en un AP mallado.

Modo SE-Connect

El AP dedica sus radios al análisis de espectro en todos los canales inalámbricos. Puede
conectar de forma remota una PC que ejecute software como MetaGeek Chanalyzer o
Cisco Spectrum Expert al AP para recopilar y analizar los datos de análisis del espectro
para descubrir fuentes de interferencia.

Nota: Recuerda que un AP Lightweight normalmente está en modo local cuando

proporciona BSS y permite que los dispositivos cliente se asocien a LAN inalámbricas.
Cuando un AP está configurado para operar en uno de los otros modos, el modo local (y
los BSS) están deshabilitados.

La seguridad en redes inalámbricas se centra en las siguientes áreas:

• Identificación de los endpoints o puntos finales de una conexión inalámbrica

• Identificación del usuario final

• Protección de los datos inalámbricos contra los espías

• Protección de los datos inalámbricos contra alteraciones

Los clientes inalámbricos que forman asociaciones con puntos de acceso inalámbricos
(AP) pasan datos de un lado a otro por el aire.

Siempre que todos los clientes y AP cumplan con el estándar 802.11, todos
pueden coexistir, incluso en el mismo canal. Sin embargo, no todos los dispositivos 802.11
son amigables y confiables lo que no aporta a la seguridad en redes inalámbricas. A veces
es fácil olvidar que las tramas transmitidas no van directamente del remitente al receptor,
como en una conexión cableada o conmutada. En cambio, viajan de acuerdo con el patrón
de antena del transmisor, llegando potencialmente a cualquier receptor que esté dentro del
alcance.

Imagine que un cliente comparte una contraseña confidencial, si hay usuarios que no son
de confianza dentro del alcance de la señal del cliente, también pueden aprender la
contraseña capturando tramas que se han enviado en el canal. La conveniencia de la
comunicación inalámbrica también facilita que las transmisiones sean escuchadas y
explotadas por usuarios malintencionados.

El estándar 802.11 ofrece mecanismos de seguridad en redes inalámbricas que se pueden

usar:
• Confianza

• Privacidad

• Integridad

Autenticación

Los clientes deben estar autenticados por algún medio antes de que puedan convertirse en
miembros funcionales de la LAN inalámbrica.

Los clientes potenciales deben identificarse presentando algún tipo de credenciales a los
AP.

Algunos métodos de autenticación requieren solo una cadena de texto estático que es
común en todos los clientes y AP confiables. ¿Qué podría pasar si el dispositivo es robado
o perdido? Lo más probable es que cualquier usuario que posea el dispositivo aún pueda
autenticarse en la red. Otros métodos de autenticación más estrictos requieren
la interacción con una base de datos de usuarios corporativos. En esos casos, el usuario
final debe ingresar un nombre de usuario y contraseña válidos. Algo que no sería conocido
por un ladrón o un impostor.

Dado que uno se conecta a una red de acuerdo el nombre del SSID, si ese nombre parece
ser seguro uno se conectaría a él en una cafetería o un aeropuerto, pero es posible que no
sea una red segura, sin saberlo, podrías unirte a un SSID con el mismo nombre que otro si
lo anunciara un impostor.
Mensajes Privados

Supón que te has autenticado a una red, de todas maneras, los datos que pasan a través
de ella aún son visibles y por tanto un espía que ya estuviese identificado a la red
podría captar esas tramas y leer los mensajes.

Para proteger la privacidad de los datos en una red inalámbrica, los datos deben estar
encriptados para su viaje a través del espacio libre. Esto se logra encriptando la carga útil
de datos en cada trama inalámbrica justo antes de ser transmitida, luego descifrando a
medida que se recibe. La idea es utilizar un método de cifrado que comparten el transmisor
y el receptor, por lo que los datos se pueden cifrar y descifrar correctamente.

El AP negocia una clave de cifrado única con cada cliente asociado.

Idealmente, el AP y un cliente son los únicos dos dispositivos que tienen las claves de
cifrado en común para que puedan comprender los datos del otro. Ningún otro dispositivo
debería conocer o poder utilizar las mismas claves para espiar y descifrar los datos.

Integridad del Mensaje

La encriptación de datos los oculta de la vista mientras viajan a través de una red pública o
no confiable. El destinatario previsto debería poder descifrar el mensaje y recuperar el
contenido original, pero ¿qué pasa si alguien logra alterar el contenido en el camino? Al
destinatario le resultaría muy difícil descubrir que los datos originales se habían modificado.

Una verificación de integridad de mensajes (MIC o Message Integrity Check) es una

herramienta de seguridad que puede proteger contra la manipulación de datos. Puedes
pensar en un MIC como una forma para que el remitente agregue un sello secreto dentro
de la trama de datos cifrada. El sello se basa en el contenido de los bits de datos a transmitir.
Una vez que el destinatario descifra la trama, puede comparar el sello secreto con su propia
idea de cuál debería ser el sello, basándose en los bits de datos que se recibieron. Si los
dos sellos son idénticos, el destinatario puede asumir con seguridad que los datos no han
sido alterados.

Un cliente puede usar diferentes métodos de autenticación inalámbrica para asociarse

a la red. Esta sección cubre los métodos de autenticación de redes inalámbricas que más
se usan.

Resumen de Métodos de Autenticación Inalámbrica:

• Autenticación Abierta – Credencial usada: Ninguna otra que no sea el protocolo
802.11

• WEP (Wired Equivalent Privacy) – Credencial usada: Claves WEP Estáticas

• 802.1x/EAP (Extensible Authentication Protocol) – Credencial usada: Depende del

Método usado basado en EAP, ver en el siguiente capítulo.
Autenticación Abierta

El estándar 802.11 originalmente ofrecía solo dos opciones para autenticar a un cliente:
autenticación abierta y WEP.

La autenticación abierta es fiel a su nombre; ofrece acceso abierto a una WLAN. El único
requisito es que un cliente debe utilizar una solicitud de autenticación 802.11 antes de
intentar asociarse con un AP. No se necesitan otras credenciales.

¿Cuándo querría utilizar la autenticación abierta? Después de todo, no suena muy

seguro porque no lo es. Sin ningún desafío, cualquier cliente 802.11 puede autenticarse
para acceder a la red. Ese es, de hecho, todo el propósito de la autenticación abierta: validar
que un cliente es un dispositivo 802.11 válido mediante la autenticación del hardware
inalámbrico y el protocolo. La autenticación de la identidad del usuario se maneja como un
verdadero proceso de seguridad a través de otros medios.

Probablemente has usado este tipo de autenticación en una red abierta como una cafetería
o plaza pública, donde luego te pedirá una autenticación vía web.

WEP

Como era de esperar, la autenticación abierta no ofrece nada que pueda ocultar o cifrar los
datos que se envían entre un cliente y un AP. Como alternativa, el estándar 802.11 ha
definido tradicionalmente la Privacidad Equivalente por Cable o en inglés, Wired Equivalent
Privacy (WEP) como un método para hacer que un enlace inalámbrico sea más parecido o
equivalente a una conexión por cable.

WEP utiliza el algoritmo de cifrado RC4 para hacer que cada trama de datos inalámbricos
sea privada y oculta a los espías. El mismo algoritmo cifra los datos en el remitente y los
descifra en el receptor. El algoritmo utiliza una cadena de bits como clave, comúnmente
llamada clave WEP, para derivar otras claves de cifrado, una por trama inalámbrica.
Siempre que el remitente y el receptor tengan una clave idéntica, uno puede descifrar lo
que la otra cifra.

WEP se conoce como un método de seguridad de clave compartida. La misma clave debe
compartirse entre el remitente y el receptor antes de tiempo, para que cada uno pueda
derivar otras claves de cifrado mutuamente aceptables. De hecho, todos los clientes
potenciales y AP deben compartir la misma clave antes de tiempo para que cualquier cliente
pueda asociarse con el AP.

La clave WEP también se puede utilizar como método de autenticación opcional y como
herramienta de cifrado. A menos que un cliente pueda usar la clave WEP correcta, no se
puede asociar con un AP. El AP prueba el conocimiento del cliente de la clave WEP
enviándole una frase de desafío aleatoria.
El cliente cifra la frase de desafío con WEP y devuelve el resultado al AP. El AP puede
comparar el cifrado del cliente con el suyo para ver si las dos claves WEP producen
resultados idénticos.

Las claves WEP pueden tener una longitud de 40 o 104 bits, representadas por una cadena
de 10 o 26 dígitos hexadecimales. Como regla general, las claves más largas ofrecen bits
más únicos para el algoritmo, lo que resulta en un cifrado más robusto. Excepto en el caso
de WEP, claro. Debido a que WEP se definió en el estándar 802.11 original en 1999, cada
adaptador inalámbrico se construyó con hardware de cifrado específico para WEP. En
2001, se descubrieron y revelaron varias debilidades, por lo que se comenzó a trabajar para
encontrar mejores métodos de seguridad inalámbrica. En 2004, la enmienda 802.11i fue
ratificada y WEP quedó oficialmente en desuso. Tanto el cifrado WEP como la autenticación
de clave compartida WEP se consideran en general métodos débiles para asegurar una
LAN inalámbrica.

802.1x/EAP

Con solo la autenticación abierta y WEP disponibles en el estándar 802.11 original, se

necesitaba un método de autenticación más seguro.

En lugar de incorporar métodos de autenticación adicionales en el estándar 802.11, se eligió

un marco de autenticación más flexible y escalable, el Protocolo de Autenticación Extensible
o en inglés, Extensible Authentication Protocol (EAP).

EAP es extensible y no consta de ningún método de autenticación. En cambio, EAP define

un conjunto de funciones comunes que los métodos de autenticación reales pueden utilizar
para autenticar a los usuarios.

EAP tiene otra cualidad interesante: puede integrarse con el estándar de control de acceso
basado en puertos IEEE 802.1x. Cuando se habilita 802.1x, limita el acceso a un medio de
red hasta que un cliente se autentica. Esto significa que un cliente inalámbrico podría
asociarse con un AP, pero no podrá pasar datos a ninguna otra parte de la red hasta que
se autentique correctamente.

Con la autenticación abierta y WEP, los clientes inalámbricos se autentican localmente en

el AP sin más intervención. El escenario cambia con 802.1x; el cliente usa autenticación
abierta para asociarse con el AP, y luego el proceso de autenticación del cliente real ocurre
en un servidor de autenticación dedicado. La siguiente imagen muestra la disposición
802.1x tripartita que consta de las siguientes entidades:

• Suplicante: El dispositivo cliente que solicita el acceso

• Autenticador: El dispositivo de red que provee acceso a la red (usualmente

un controlador de red de LAN Inalámbrica [WLC])

• Servidor de Autenticación (AS): El dispositivo que toma las credenciales del

usuario o cliente y permite o deniega el acceso a la red basado en una base de
datos de usuarios y políticas (usualmente un servidor RADIUS)
Autenticación Basada en EAP

Recordemos que en el capítulo anterior (Métodos de Autenticación Inalámbrica) vimos que

en la autenticación basada en EAP; 802.1x/EAP es necesario constar con entidades
tripartitas:
• Suplicante: El dispositivo cliente que solicita el acceso

• Autenticador: El dispositivo de red que provee acceso a la red (usualmente

un controlador de red de LAN Inalámbrica [WLC])

• Servidor de Autenticación (AS): El dispositivo que toma las credenciales del

usuario o cliente y permite o deniega el acceso a la red basado en una base de
datos de usuarios y políticas (usualmente un servidor RADIUS)

Autenticación Basada en EAP

Existen distintos métodos de la otra cifra autenticación basados en EAP, a continuación, un
resumen de ellos:

• LEAP (Lightweight EAP): Obsoleto; utiliza claves WEP dinámicas

• EAP-FAST (EAP Flexible Authentication by Secure Tunneling): Usa credenciales de

acceso protegido (PAC)

• PEAP (Protected EAP): Servidor autenticado por certificado digital

• EAP-TLS (EAP Transport Layer Security): Cliente y Servidor autenticados mediante

certificado digital

LEAP

Con Lightweight EAP (LEAP) el cliente debe proporcionar credenciales de nombre de

usuario y contraseña. Tanto el servidor de autenticación como el cliente intercambian
mensajes que luego se cifran y devuelven. Esto proporciona autenticación mutua; el cliente
y el AS esencialmente se han autenticado entre sí.

Hoy dia LEAP ha quedado obsoleto, aunque los clientes y controladores inalámbricos
todavía ofrecen LEAP, no debe usarlo.

EAP-FAST

Con Flexible Authentication by Secure Tunneling (EAP-FAST) las credenciales de

autenticación se protegen pasando una credencial de acceso protegido (PAC) entre el AS
y el solicitante. El PAC es una forma secreta de compartir que genera el AS y se utiliza para
la autenticación mutua.

EAP-FAST es una secuencia de tres fases:

• Fase 0: El PAC es generado o provisto e instalado en el cliente.

• Fase 1: Después el suplicante y el AS tienen que autenticarse entre ellos, ellos

negocian un túnel TLS (Transport Layer Security).

• Fase 2: El usuario final se puede autenticar a través de túnel TLS para obtener una
seguridad adicional.

Nota que ocurren dos procesos separados de autenticación en EAP-FAST—uno entre el

AS y el suplicante y otro con el usuario final.
PEAP

Como con EAP-FAST, el método Protected EAP (PEAP) utiliza una autenticación interna y
externa; sin embargo, el AS presenta un certificado digital para autenticarse con el
solicitante en la autenticación externa. Si el solicitante está satisfecho con la identidad del
AS, ambos construirán un túnel TLS que se utilizará para la autenticación del cliente interno
y el intercambio de claves de cifrado.

El certificado digital del AS consta de datos en un formato estándar que identifica al

propietario y está “firmado” o validado por un tercero. El tercero es conocido como
una autoridad de certificación (CA) y es conocido y confiable tanto por el AS como por los
solicitantes. El solicitante también debe poseer el certificado de CA solo para que pueda
validar el que recibe del AS. El certificado también se usa para pasar una clave pública, a
simple vista, que puede usarse para ayudar a descifrar mensajes del AS.

Ten en cuenta que solo el AS tiene un certificado para PEAP. Eso significa que el solicitante
puede autenticar fácilmente el AS. El cliente no tiene ni utiliza un certificado propio, por lo
que debe autenticarse dentro del túnel TLS mediante uno de los dos métodos siguientes:

• MSCHAPv2: Microsoft Challenge Authentication Protocol version 2

• GTC: Generic Token Card; un dispositivo de hardware que genera una contraseña
por única vez para el usuario final o una contraseña generada manualmente

EAP-TLS

PEAP aprovecha un certificado digital en el AS como un método sólido para autenticar el

servidor RADIUS. Es fácil obtener e instalar un certificado en un solo servidor, pero los
clientes deben identificarse por otros medios. EAP Transport Layer Security (EAPTLS) va
un paso más allá al requerir certificados en el AS y en cada dispositivo cliente.

Con EAP-TLS, el AS y el solicitante intercambian certificados y pueden autenticarse entre

sí. Posteriormente, se construye un túnel TLS para que el material de la clave de cifrado se
pueda intercambiar de forma segura.

EAP-TLS se considera el método de autenticación inalámbrica más seguro disponible; sin

embargo, implementarlo a veces puede ser complejo. Junto con el AS, cada cliente
inalámbrico debe obtener e instalar un certificado. La instalación manual de certificados en
cientos o miles de clientes puede resultar poco práctica. En su lugar, necesitaría
implementar una infraestructura de clave pública (PKI) que pudiera proporcionar
certificados de manera segura y eficiente y revocarlos cuando un cliente o usuario ya no
debería tener acceso a la red. Por lo general, esto implica la creación de su propia CA o la
creación de una relación de confianza con una CA externa que pueda proporcionar
certificados a sus clientes.
Es importante tener privacidad e integridad en redes inalámbricas, pero como vimos el
estándar 802.11 original solo admitía un método para proteger los datos inalámbricos de
los espías: WEP. Como has aprendido en los capítulos anteriores, WEP se ha visto
comprometido, obsoleto y ya no se puede recomendar. ¿Qué otras opciones están
disponibles para cifrar datos y proteger su integridad mientras viaja por el espacio libre?

Nota: se recomienda leer todos los capítulos anteriores (Capítulo 28.x) si no lo ha hecho
para entender mejor ciertos conceptos que vas a ver aquí.

Resumen de Métodos de Privacidad e Integridad en Redes Inalámbricas:

• TKIP (Temporal Key Integrity Protocol)

• CCMP (Counter/CBC-MAC Protocol)

• GCMP (Galois/Counter Mode Protocol)

TKIP

Durante el tiempo en que WEP estaba integrado en el cliente inalámbrico y el hardware AP,
aunque se sabía que era vulnerable, se desarrolló el Protocolo de Integridad de Clave
Temporal o en inglés, Temporal Key Integrity Protocol (TKIP).

TKIP agrega las siguientes características de seguridad utilizando hardware heredado y el

cifrado WEP subyacente:

• MIC: Verificación de integridad de mensajes (Message Integrity Check)

• Sello de tiempo: Evita ataques de reintento

• Dirección MAC del remitente

• Contador secuencial TKIP

• Algoritmo de mezcla de claves

• Vector de inicialización más largo (IV)

TKIP se convirtió en un método de seguridad provisional razonablemente seguro, ganando

tiempo hasta que se pudiera ratificar el estándar 802.11i. Se han creado algunos ataques
contra TKIP, por lo que también debe evitarse si se dispone de un método mejor. De
hecho, TKIP quedó obsoleto en 802.11-2012.
CCMP

El protocolo Counter/CBC-MAC Protocol (CCMP) se considera más seguro que TKIP.

CCMP consta de dos algoritmos:

• Encriptación en modo contador AES

• Cipher Block Chaining Message Authentication Code (CBC-MAC) utilizado como

verificación de integridad de mensajes (MIC)

El Estándar de cifrado avanzado (AES) es el algoritmo de cifrado actual adoptado por el

Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. Y el gobierno de EE. UU.,
Y se utiliza ampliamente en todo el mundo. En otras palabras, AES es abierto, de acceso
público y representa el método de cifrado más seguro disponible en la actualidad.

CCMP no se puede usar en dispositivos heredados que solo admiten WEP o TKIP.

GCMP

Galois/Counter Mode Protocol (GCMP) es un robusto conjunto de autenticación de

encriptación que es más seguro y más eficiente que CCMP. GCMP consta de dos
algoritmos:

• Encriptación en modo contador AES

• Código de Autenticación de Mensajes de Galois o en inglés, Galois Message

Authentication Code (GMAC) utilizado como verificación de integridad de mensajes
(MIC)

GCMP se utiliza en WPA3, que se describe en el siguiente capítulo.

WPA: Métodos de autenticación y algoritmos de cifrado e integridad de mensajes.

Wi-Fi Alliance ([Link] es una asociación de la industria inalámbrica sin fines

de lucro, ha ideado formas sencillas de hacerlo a través de su Wi-Fi Protected Access
(WPA).

Hasta la fecha, existen tres versiones diferentes: WPA, WPA2 y WPA3.

Los productos inalámbricos se prueban en laboratorios de pruebas autorizados con criterios

estrictos que representan la implementación correcta de un estándar. Siempre que Wi-Fi
Alliance haya certificado un dispositivo cliente inalámbrico y un AP y su WLC asociado para
la misma versión WPA, deben ser compatibles y ofrecer los mismos componentes de
seguridad.
WPA

WPA es el nombre de la primera versión y si bien se pudo llamar WPA 1, la realidad es que
lo llamaron simplemente WPA. Se basaba en partes de la enmienda 802.11i e
incluía autenticación 802.1x, TKIP y un método para la gestión dinámica de claves de
cifrado.

WPA2

Una vez ratificado y publicado el estándar 802.11i, Wi-Fi Alliance lo incluyó en su totalidad
en su certificación WPA Versión 2 (WPA2). Se basa en los algoritmos AES CCMP
superiores, en lugar del TKIP obsoleto de WPA. Debería ser obvio que WPA2 estaba
destinado a reemplazar a WPA.

WPA3

En 2018, Wi-Fi Alliance presentó la versión 3 (WPA3) como un reemplazo futuro de WPA2,
agregando varios mecanismos de seguridad importantes y superiores.

WPA3 aprovecha un cifrado más fuerte de AES con el Protocolo de Modo de

Contador/Galois o en inglés, Galois/Counter Mode Protocol (GCMP). También utiliza
Protected Management Frames (PMF) para asegurar importantes tramas de gestión 802.11
entre AP y clientes, para evitar actividades maliciosas que puedan falsificar o alterar el
funcionamiento de un BSS.

WPA vs WPA2 vs WPA3

Características de Autenticación y Encriptación Soportadas WPA WPA2 WPA3

¿Autenticación con Llaves Pre-Compartidas? Si Si Si

Autenticación con 802.1x? Si Si Si

¿Encriptación y MIC con TKIP? Si No No

¿Encriptación y MIC con AES y CCMP? Si Si No

¿Encriptación y MIC con AES y GCMP? No Si Si

Comparando WPA, WPA2, y WPA3

*MIC = Message Integrity Check

*WPA3 incluye otras características más allá de WPA y WPA2, como la Autenticación
Simultánea de Iguales o en inglés, Simultáneos Authentication of Equals (SAE), el Secreto
de Reenvío y las Tramas de Gestión Protegidas (PMF).

Por qué hay tres versiones, WPA, ¿WPA2 y WPA3?

Es el proceso que secuencial en el tiempo que ha tomado los distintos avances, el último
protocolo (WPA3) suplanta a los anteriores (WPA y WPA2).

¿Cuál WPA es mejor?

Como ya has visto a lo largo de este capítulo WPA ha evolucionado en seguridad. Tanto
WPA versión 1 y WPA versión 2 (WPA2) se desaconsejan usar a día de hoy, siendo WPA3
el mejor.

¿Por qué se usa WPA?

Para asegurarse la compatibilidad entre dispositivos la Wi-Fi Alliance llevó adelante

estrictas pruebas para asegurarse que se implemente de forma correcta el estándar. En
definitiva, usar WPA no sólo facilita la compatibilidad entre dispositivos, sino que mejora su
seguridad.