You are on page 1of 28

ARTAI MIJAIL ESCULTA FERNÁNDEZ

SWITCHES
ÍNDICE GENERAL
Artai Mijail Esculta Fernández
1. Introducción a los switches
...............................................................
5
1.1 Tipos de switches
.............................................................................................
5
1.2 Switches gestionables
...................................................................................
6
1.2.1 Componentes principales.................................................................................... 6
1.2.2 Tipos de memoria..................................................................................................... 6
1.2.3 Tipos de interfaces
..............................................................................................
6
1.3 Sistema operativo: Cisco IOS
...................................................................
6
1.3.1 Ficheros de configuración............................................................................... 7
1.3.2 Secuencia de arranque de IOS........................................................................ 7
1.3.3 Acceso a la interfaz CLI
..................................................................................
7
1.3.4 Modos de funcionamiento.................................................................................... 8
1.3.5 Sintaxis de las órdenes
....................................................................................
8
2 Supuesto práctico
.........................................................................................
9
3 Configuración básica de un switch
................................................
10
3.1 Configuración inicial: SETUP
................................................................
10
3.2 Configuración de administración y seguridad
............................
11
3.2.1 Configuración de usuarios y contraseñas........................................... 11
3.2.2 Configuración de acceso al puerto de consola............................... 11
3.2.3 Configuración de acceso al modo privilegiado
...............................
12
3.2.4 Configuración de acceso mediante Telnet........................................... 12
3.2.5 Configuración de usuarios............................................................................. 13
3.2.6 Configuración de acceso mediante SSH...................................................13
3.3 Configuración de puertos
..........................................................................
14
3.3.1 Apertura y cierre de puertos......................................................................14
3.3.2 Configuración de seguridad en puertos................................................ 15
4 Configuración de VLAN’s
........................................................................
16
4.1 Identificación de VLAN’s
..........................................................................
17
4.1.1 Modos de pertenencia a una VLAN...............................................................17
4.1.2 Tipos de VLAN’s..................................................................................................... 17
4.1.3 Gestión de VLAN’s
................................................................................................
18
4.2 Enlaces troncales
...........................................................................................
19
4.2.1 Estándar IEEE 802.1Q
.........................................................................................
19
4.2.2 Protocolo DTP (Dynamic Trunking Protocol).......................................20
4.3 Protocolo VTP (VLAN Trunk Protocol)
...............................................
20
4.3.1 Configuración de VTP......................................................................................... 21
4.3.2 Filtrado de tráfico
...........................................................................................
22
5. Diseño de Redes de Área Local jerárquicas
...........................
22
5.1 Protocolo STP (Spanning-Tree Protocol)
........................................
23
5.1.1 Estados de funcionamiento............................................................................. 24
5.1.2 Temporizadores STP
..............................................................................................
25
5.1.3 Modos de funcionamiento
..................................................................................
25
5.1.4 Variantes STP: PVST+ y Rapid-PVST+....................................................... 26
5.1.5 Configuración de STP
.........................................................................................
27
5.2 Agregación de enlaces: EtherChannel
...............................................
27
5.2.1 Protocolos EtherChannel: PAgP y LACP
...................................................
28
Página 5 de 28
1. Introducción a los switches
Un switch es un dispositivo de interconexión de sistemas
finales. Es decir, es un dispositivo que funciona a nivel de
enlace (nivel 2) y, por tanto, recibe tramas y las reenvía
por el puerto correspondiente a la MAC destinataria que figura
en la cabecera de la PDU. Además los switches segmentan las
redes de área local en varios dominios de colisión
1
1.1 Tipos de switches
1. Según su modo de gestión los clasificamos de la siguiente
manera:
a) No gestionables: Su software no permite alterar la
configuración.
b) Gestionables: Es posible la configuración y
monitorización de los puertos.
2. Según el nivel de arquitectura de red:
a) De nivel 2: Únicamente operan en el nivel de enlace.
Filtran y reenvían las tramas analizando únicamente las
direcciones MAC de las cabeceras.
b) Multinivel: Filtran y reenvían las PDU's analizando las
cabeceras de los distintos niveles de red (nivel 3 y
4).
3. Según su factor de forma:
a) De escritorio: Llamados también compactos. Disponen de
un máximo de 16 puertos y permiten instalar redes SOHO
(Small Office / Home Office).
b) De armario de comunicaciones:
i. De configuración fija: No permiten ampliaciones de
hardware, aunque algunos modelos disponen de puertos
de doble uso para convertidores de cable de cobre
a fibra.
ii. Modulares: Permiten ampliaciones de hardware a
través de tarjetas de línea.
iii. Apilables: Son switches de configuración fija
pero que se pueden interconectar entre ellos
mediante backplane. Funcionan como un único switch.
1
Dominio de colisión: Es un segmento físico de una red de
sistemas finales en el que las tramas interfieren unas con
otras si se transmiten al mismo tiempo.
Artai Mijail Esculta Fernández
Página 6 de 28
1.2 Switches gestionables
1.2.1 Componentes principales
a) Chasis
b) Alimentación y ventilación
c) Módulo/s supervisor/es: Contiene el procesador y la
memoria.
d) Módulo/s de línea/s: Contiene los dispositivos de
entrada/salida.
1.2.2 Tipos de memoria
1. RAM: Memoria de acceso aleatorio y VOLÁTIL que almacena
la configuración activa (running-config) en el switch, la
tabla de direcciones MAC y el buffer de tramas.
2. NVRAM: Memoria de acceso aleatorio y NO VOLÁTIL que
almacena la configuración de arranque del switch
(startup-config). En los nuevos modelos es sustituida por
la memoria FLASH.
3. ROM: Contiene el POST (Power-ON Self Test), el cargador
de arranque (bootstrap) y una versión reducida del sistema
operativo para poder iniciarse en caso de error.
4. FLASH: Almacena la imagen del sistema operativo del switch
y los diversos archivos de configuración presentes
(startup-config, vlan.dat, etc)
1.2.3 Tipos de interfaces
Existen 3 tipos de conexiones de rede de los dispositivos:
 Físicas: Son los puertos de conexión a la red.
 Puertos de acceso: Pertenecen a una VLAN
 Puertos troncales: Pertenecen a varias VLAN’s
 Virtuales: Son interfaces que no pueden intercambiar datos
sin pasar a través de un dispositivo de nivel 3.
 EtherChannel: Son puertos agrupados lógicamente que se
gestionan como uno solo.
1.3 Sistema operativo: Cisco IOS
IOS (Internetworking Operating System) es el sistema
operativo multi-tarea propietario del mayor fabricante de
dispositivos de interconexión de redes: Cisco.
Página 7 de 28
El sistema operativo se almacena en la memoria FLASH del switch
en un único archivo (imagen del S.O.) y se puede gestionar
a través de una interfaz de usuario de línea de órdenes llamada
Interfaz CLI (Command-Line Interface).
1.3.1 Ficheros de configuración
Existen básicamente dos ficheros de configuración para Cisco
IOS:
1. Startup-config: Contiene la configuración de arranque del
switch y no se borra si se apaga el switch. Una vez arrancado
el sistema operativo, éste se copia en la memoria RAM bajo
el nombre de running-config.
2. Running-config: Almacena la configuración activa en el
switch. El fichero se modifica dinámicamente a medida que
se alteran las configuraciones a través de la interfaz CLI.
Dicho archivo puede ser almacenado como configuración de
arranque para que no se elimine si se apaga el switch.
1.3.2 Secuencia de arranque de IOS
1. Ejecución del POST: Se carga la comprobación del hardware
desde la ROM y, en caso de ser favorable, se pasa a la
siguiente fase.
2. Carga del bootstrap: Se almacena en RAM el cargador de
arranque y se procede a su ejecución.
3. Localización del S.O.: Se carga la imagen del sistema
operativo. En caso de no estar presente ni en la memoria
Flash ni en un servidor TFTP, se carga la imagen reducida
de IOS almacenada en la ROM.
4. Carga de ficheros de configuración: Se carga el fichero
«startup-config». En caso de no estar presente dicho
fichero se inicia el programa «setup» para crear uno nuevo.
En caso negativo se crea un «startup-config» con las
configuraciones por defecto.
1.3.3 Acceso a la interfaz CLI
1. Mediante puerto serie RS-232 (puerto de consola): Mediante
este modo sólo se permite el acceso local al switch. Se
usa en configuraciones iniciales y en caso de fallos cuando
no hay acceso remoto.
2. Telnet (TELecommunication NETwork): Permite acceso remoto
mediante un cable ethernet. Es necesario configurar
previamente IP, contraseñas y puertos permitidos.
3. SSH (Secure SHell): Similar a Telnet, pero la comunicación
Artai Mijail Esculta Fernández
Página 8 de 28
entre el cliente y el switch es cifrada.
1.3.4 Modos de funcionamiento
a) Modo usuario (Prompt: >): Modo predeterminado.
Monitorización básica. No permite modificar la
configuración.
b) Modo privilegiado (Prompt: #): Monitorización avanzada.
Manipulación del sistema de ficheros. lncluye la
funcionalidad del modo usuario.
c) Modo de configuración global (Prompt: (config)):
Configuración de características generales.
d) Modo de config. específicos (Prompt: (config-if):
Configuración de interfaces y servicios específicos.
1.3.5 Sintaxis de las órdenes
Página 9 de 28
2 Supuesto práctico
Artai Mijail Esculta Fernández
Página 10 de 28
3 Configuración básica de un switch
Para comenzar a configurar un switch debemos acceder
localmente a él mediante el puerto de consola. Para ello se
utiliza un cable con conexión RJ45 a DB9. Desde el ordenador
se emula una terminal con la siguiente configuración:
 9600 b.p.s.
 8 bits de datos
 1 bit de parada
 Sin paridad
 Sin control de flujo
3.1 Configuración inicial: SETUP
Los switches Cisco en su primera ejecución (o cuando no existe
el fichero <<startup-config>>) pregunta si se desea ejecutar
una utilidad de configuración llamada SETUP. Se basa en una
serie de preguntas y respuestas para configurar de manera
simple el switch, pero dado que utilizaremos la interfaz CLI
para configurarlo, no haremos uso de esta utilidad.
Los primeros parámetros que configuraremos serán el nombre
descriptivo del switch, la fecha y hora, deshabilitaremos el
uso de búsqueda de DNS y habilitaremos el uso síncrono de la
consola para que los mensajes de salida de IOS no interfieran
con las órdenes que se están escribiendo.
Página 11 de 28
3.2 Configuración de administración y seguridad
Para añadir una seguridad inicial durante el proceso de
configuración del switch estableceremos el uso de contraseñas
(algunas son obligatorias, p.ej. para el uso de Telnet).
Además esta seguridad será un handicap contra posibles
ataques maliciosos en nuestro dominio de administración.
3.2.1 Configuración de usuarios y contraseñas
En Cisco IOS el recurso básico para conceder acceso a los
diferentes modos de administración de la interfaz CLI.
Se pueden configurar contraseñas para:
 Acceso al puerto de consola
 Acceso al modo privilegiado
 Acceso remoto mediante Telnet
Por defecto el sistema operativo almacena las contraseñas de
acceso a la consola y a Telnet en texto plano. Si nuestros
ficheros de configuración de los switches se almacenasen en
un servidor TFTP (o si alguien tiene acceso a la interfaz CLI
y usa el comando “show running-config”), las contraseñas
serían visibles por cualquiera. Para ello habilitaremos el
cifrado de las contraseñas con el siguiente comando desde el
modo de configuración global:
3.2.2 Configuración de acceso al puerto de consola
El comando “login” se usa para activar la contraseña utilizada.
En caso de querer eliminar la contraseña es necesario
desactivarla primero y luego eliminarla.
Artai Mijail Esculta Fernández
Página 12 de 28
Se procederá de la siguiente forma:
3.2.3 Configuración de acceso al modo privilegiado
La contraseña de acceso al modo privilegiado no es necesario
activarla.
3.2.4 Configuración de acceso mediante Telnet
Telnet es un protocolo de nivel de aplicación del tipo
cliente/servidor utilizado para acceder remotamente a otras
máquinas a través de una red. En los switches Cisco es posible
configurar hasta 16 sesiones de acceso, referenciadas como
líneas de terminal virtual (vty). Por motivos de seguridad
no es posible acceder a una sesión Telnet sin antes haber
configurado contraseñas para todas las sesiones y para el modo
privilegiado.
Se pueden configurar varias sesiones al mismo tiempo
siguiendo la siguiente sintaxis:
line vty núm-línea-inicial núm-línea-final
 Configuración de una única sesión:
 Configuración de varias sesiones:
Para acceder y gestionar el switch a través de un puerto
Ethernet es necesario configurar el protocolo IP a través de
una interfaz virtual (VLAN). Para ello es necesario asignarle
dirección IP, máscara de subred y puerta de enlace
Página 13 de 28
predeterminada (en caso de ser necesario).
3.2.5 Configuración de usuarios
IOS permite sustituir el modo de autentificación por
contraseña por otro que usa la pareja “usuario-contraseña”.
A cada usuario se le asigna un nivel de privilegio predefinido
que va desde el nivel 0 (usuario normal) hasta el 15(control
total). Cada nivel de privilegio permite acceder a un conjunto
de órdenes predefinidas de configuración y administración.
Para poder utilizar este método de autentificación es
necesario desactivar la autentificación por contraseña.
 Creación de un usuario:
 Activación del uso de usuario-contraseña:
3.2.6 Configuración de acceso mediante SSH
Para poder utilizar el protocolo Secure Shell es obligatorio
tener activada la autentificación por nombre de usuario.
Procederemos de la siguiente forma para configurar el accesos
Artai Mijail Esculta Fernández
Página 14 de 28
seguro:
1. Configurar el nombre y dominio del switch.
2. General la clave de cifrado RSA indicando el número de bits.
3. Activar la autentificación con usuarios y activar sólo el
acceso remoto con el protocolo SSH.
3.3 Configuración de puertos
Los switches negocian por defecto el modo dúplex y la velocidad
de funcionamiento de los puertos. En caso de ser necesario
que estos parámetros sean configurados manualmente (cuando
uno de los extremos del enlace no soporte la auto-negociación)
podemos configurarlos manualmente atendiendo a los
siguientes parámetros:
1. Tipo de interfaz, módulo y puerto:
interface tipo módulo/puerto
 Tipo: fastEthernet o gigabitEthernet.
 Módulo: Para switches no modulares siempre es 0.
 Puerto: El número de puerto que pretendemos configurar.
2. Dúplex: auto, full, half.
3. Velocidad de transmisión: auto, 10, 100, 1000 Mbps.
4. Descripción: Cadena de texto descriptiva.
3.3.1 Apertura y cierre de puertos
Para el cierre administrativo de un puerto (cerraremos todos
Página 15 de 28
los puertos que no estén en uso) es necesario ejecutar el
comando:
Shutdown
En caso de querer reabrir un puerto cerrado previamente basta
con negar el anterior comando.
3.3.2 Configuración de seguridad en puertos
La seguridad en puertos restringe las tramas identrificando
las direcciones MAC de los dispositivos que tienen
conectados.
Se pueden configurar 3 tipos de direcciones MAC seguras:
1. Estática: Se introduce manualmente la dirección MAC
deseada y se añade a la tabla de direcciones MAC y al fichero
running-config.
2. Dinámica: Se aprende de forma dinámica en cuanto el switch
recibe la primera PDU y se añade a la tabla de direcciones
MAC.
3. Adhesiva: Se aprende de forma dinámica y se añade a la tabla
de direcciones MAC y al fichero running-config.
A la hora de configurar la seguridad en los puertos, podemos
manejar los incidentes de distintos modos:
 Proteger: Se descartan las tramas de las direcciones MAC
distintas a las permitidas sin notificar el incidente.
 Restringir: Se descartan las tramas de las direcciones MAC
distintas a las permitidas notificando el incidente.
 Cerrar: Se cierra el puerto donde se ha generado el
incidente.
 Cerrar VLAN: Se cierra la VLAN a la que pertenece el puerto
donde se ha generado el incidente.
Para activar la seguridad en un puerto se ha de proceder de
la siguiente manera:
1. Indicar si el puerto es de acceso o troncal:
switchport mode access|trunk
2. Habilitar la seguridad:
switchport port-security
Artai Mijail Esculta Fernández
Página 16 de 28
3. Indicar el número máximo de direcciones MAC permitidas:
switchport port-security maximum número
4. Definir la forma de tratar incidentes de seguridas:
switchport port-security violation
protect|restrict|shutdown|shutdown vlan
5. Definir las direcciones MAC seguras:
switchport port-security mac-address dirección|sticky
4 Configuración de VLAN’s
Se dice que un switch genera o pertenece a un dominio de
difusión porque propaga el tráfico de difusión por todas las
interfaces menos por la originaria del tráfico. Debido a que
existen protocolos de red que usan intensivamente el tráfico
de difusión nos encontramos con los siguientes problemas:
 Reducción del ancho de banda efectivo.
 Reducción de la capacidad de proceso de los sistemas
finales, que necesitan analizar las tramas que reciben por
difusión para que sean procesadas o descartadas.
 Problemas de seguridad, puesto que con un analizador de
protocolos puede generarse un mapa de la red para posibles
ataques.
Por tanto, se hace necesario segmentar dichos dominios de
difusión a las partes que interesa. Mediante software
(configurando los switches) podemos segmentar una LAN en
varios dominios de difusión mediante las VLAN’s.
Una VLAN es un grupo lógico de sistemas finales que forman
un dominio de difusión. Gracias a la creación de las redes
virtuales conseguimos segmentar el tráfico de difusión, pero
además incrementamos la seguridad de la red puesto que los
dispositivos que pertenecen a una VLAN no son visibles por
los dispositivos que pertenecen a otra VLAN.
En los switches Cisco por defecto todas sus interfaces
pertenecen a la misma VLAN y, por tanto, al mismo dominio de
difusión.
Por ejemplo, en el caso práctico se segmenta el tráfico de
difusión en tres dominios distintos:
1. VLAN 10: ESO
2. VLAN 20: CICLOS
3. VLAN 100: ADMIN
Página 17 de 28
Al segmentar el tráfico de difusión en diferentes dominios,
lo que se consigue indirectamente es la creación de grupos
de trabajo virtuales si necesidad de modificar el cableado
de la red.
4.1 Identificación de VLAN’s
4.1.1 Modos de pertenencia a una VLAN
El modo de pertenencia de una interfaz a una VLAN indica: el
tipo de tráfico que pasa por el puerto y el número de VLAN’s
a las que pertenece.
1. Acceso estático: El puerto sólo puede pertenecer a una VLAN
asignada manualmente. No se requiere VTP (VLAN Trunk
Protocol).
2. Acceso dinámico: El puerto sólo puede pertenecer a una VLAN
asignada dinámicamente mediante un servidos VMPS (VLAN
Membership Policy Server) en base a la dirección MAC
conectada a dicho puerto. Es necesario VTP.
3. Troncal: Por defecto el puerto pertenece a todas las VLAN’s
pero se puede configurar una lista de acceso. Es
recomendable el uso de VTP.
4. VLAN de voz: El puerto pertenece a una VLAN de voz y a otra
de datos. No se requiere VTP.
4.1.2 Tipos de VLAN’s
Una VLAN se identifica por un número y, opcionalmente, por
un nombre descriptivo. Podemos distinguir dos tipos de VLAN’s
en función de su identificador:
1. VLAN de rango normal: Su identificador está comprendido
entre el 1 y el 1005. La configuración para estas VLAN’s
se almacena en la base de datos <<vlan.dat>> en la memoria
FLASH del switch y soportan el protocolo VTP.
2. VLAN de rango extendido: Su identificador está comprendido
entre el 1006 y el 4094. La configuración para estas VLAN’s
se almacena en el fichero <<running-config>>, soportan
menos funciones y, por ende, son menos utilizadas.
En los switches Cisco existen 5 VLAN’s que pertenecen a la
configuración predeterminada y no se pueden alterar o
eliminar:
Artai Mijail Esculta Fernández
Página 18 de 28
 VLAN 1: Es la VLAN a la que pertenecen por defecto todas
las interfaces del switch. Soporta tres tipos de tráfico:
 Tráfico de control: Es el tráfico de los protocolos que
usan los switches para auto-control. Este tipo de
tráfico siempre pertenece a la VLAN 1.
 Tráfico de gestión: Es el tráfico generado por los
protocolos de gestión externa de extremo a extremo. Es
recomendable separar el tráfico de gestión a una VLAN
ad-hoc. Por convención, se usa la VLAN 99 para dicho
fin.
 Tráfico de usuarios finales: Conviene separarlo del
resto de tráficos por motivos de seguridad.
 VLAN’s 1002 a 1005: Son los TokenRing y FDDI
4.1.3 Gestión de VLAN’s
En base al caso práctico, crearemos las VLAN’s necesarias para
el switch 6 (VLAN 10, VLAN 20 y VLAN 100):
Con el siguiente comando podemos visualizar la lista de VLAN’s,
su estado y los puertos que tiene asignados.
Página 19 de 28
Para eliminar una VLAN usaremos el mismo comando de creación
pero negado.
La asignación de puertos a una VLAN se realiza de la siguiente
manera:
1. Se define el puerto como puerto de acceso:
2. Se define la VLAN a la que pertenece el puerto:
4.2 Enlaces troncales
Hasta ahora hemos usado interfaces que pertenecen de forma
estática a una VLAN. Si quisiéramos interconectar varios
switches, tendríamos que utilizar un puerto para cada VLAN
existente.
Los enlaces troncales son enlaces por los que circula el
tráfico de varias (o todas) las VLAN’s de la red. Para que
un switch, enrutador o servidor pueda utilizar un enlace
troncal es necesario que soporte el estándar IEEE 802.1Q
(dot1q)
4.2.1 Estándar IEEE 802.1Q
Las cabeceras de las tramas Ethernet presentan un problema
fundamental para su uso con tráfico de red en varias VLAN’s:
no existe un campo identificativo que indique a qué VLAN
pertenece cada una de las PDU’s.
El estándar 802.1Q surge para añadir un campo de etiquetado
en las cabeceras de las tramas. Dicha etiqueta se añade antes
de reenviar las tramas por un puerto troncal y se elimina antes
de reenviar la trama por un puerto de acceso. Se compone de
los siguientes campos:
 Tipo: Es el identificador de la etiqueta. (0x8100 para IEEE
802.1Q).
 Prioridad: Define hasta 8 niveles de seguridad para el QoS
(Quality of Service).
 CFI (Cannonical Field Indicator): Se usa para la
compatibilidad con TokenRing.
Artai Mijail Esculta Fernández
Página 20 de 28
 VLANid: Campo de 12 bits que especifica el número de VLAN
a la que pertenece la trama.
El etiquetado dot1q se usa en todas las VLAN’s excepto en la
VLAN nativa. Esto implica que el tráfico de control de los
switches siempre pase a través de los enlaces troncales sin
etiquetar. Además, cualquier trama recibida por un enlace
troncal que no esté etiquetada se considerará de la VLAN
nativa.
4.2.2 Protocolo DTP (Dynamic Trunking Protocol)
El protocolo DTP es un protocolo propietario de Cisco en el
que el modo operativo de una interfaz (acceso o troncal)
depende del modo administrativo en el que se configure.
Existen 5 modos administrativos posibles:
1. Switchport nonegotiate: El protocolo DTP está
deshabilitado. Se usa en caso de que en el otro extremo
del enlace exista un switch de otro fabricante o que no
soporte DTP. También se usa para prevenir ataques por
envenenamiento ARP cuando los puertos están configurados
en alguno de los modos dinámicos.
2. Switchport access: DTP obliga al puerto a ser de acceso.
3. Switchport trunk: DTP obliga al puerto a ser troncal.
4. Switchport dynamic auto: Es el modo administrativo por
defecto. El puerto entra en modo de negociación pasiva.
Espera la recepción de tramas DTP y pasa a ser troncal si
en el otro extremo se configura DTP como trunk o dynamic
desirable.
5. Switchport dynamic desirable: El puerto entra en modo de
negociación activa. Pasa a ser troncal si en el otro extremo
se configura DTP como trunk, dynamic auto o dynamic
desirable.
4.3 Protocolo VTP (VLAN Trunk Protocol)
A medida que una red de área local crece también se incrementan
con ella el número de switches y el número de VLAN’s
existentes.
Configurar todos y cado uno de los switches para que en ellos
exista el mismo número de VLAN’s se hace cada vez más costoso.
Por ello Cisco desarrolla un protocolo basado en el modelo
cliente-servidor para centralizar la gestión y evitar las
inconsistencias en la base de datos de VLAN’s (<<vlan.dat>>):
el protocolo VTP.
Mediante este protocolo, se interconectan los switches bajo
un mismo dominio VTP para que todos contengan la misma base
Página 21 de 28
de datos y que esta configuración no se propague a los switches
que no pertenezcan al dominio.
Existen 3 modos de funcionamiento para VTP:
1. Modo servidor: Es el modo por defecto. Permite modificar
manualmente la base de datos de VLAN’s. El servidor
contiene un identificador numérico de versión del fichero
<<vlan.dat>> que incrementa cada vez que se realiza alguna
modificación en él. Acto seguido, transfiere el nuevo
fichero a todos lo switches del mismo dominio a través de
los enlaces troncales para que actualicen su configuración.
También envía la base de datos cada 5 minutos en caso de
que se haya conectado un nuevo switch al dominio VTP.
Por motivos de tolerancia a errores, dentro de un mismo
dominio pueden coexistir varios servidores VTP,
actualizando su base de datos cada vez que otro servidor
transfiere una nueva versión de la misma.
2. Modo cliente: Un cliente recibe y propaga las
actualizaciones VTP por todos sus puertos troncales pero
en él no se permite la modificación de la base de datos
de VLAN’s. Cada vez que un cliente (o un servidor) recibe
una actualización VTP con un número de revisión mayor que
el suyo, actualiza su configuración.
3. Modo transparente: Propaga las actualizaciones VTP del
mismo modo que el cliente, pero no modifica su
configuración. Al no participar en VTP, permite modificar
su propia base de datos de VLAN’s.
4.3.1 Configuración de VTP
Artai Mijail Esculta Fernández
Página 22 de 28
4.3.2 Filtrado de tráfico
Por defecto los switches reenvían el tráfico de todas las
VLAN’s por todos sus puertos troncales. Puede darse el caso
de que no existan sistemas finales que pertenezcan a todas
las VLAN’s en todos los switches, por lo que se hace necesario
filtrar el tráfico para aumentar la efectividad de la red.
Dicho filtrado puede realizarse de manera manual mediante la
creación de listas de acceso para cada uno de los enlaces
troncales, pero es una tarea demasiado compleja en redes de
cierto tamaño.
El protocolo VTP admite un filtrado automático mediante la
determinación de cuáles son los enlaces que no necesitan el
tráfico de las diversas VLAN’s. Este filtrado automático
recibe el nombre de VTP Pruning.
5. Diseño de Redes de Área Local jerárquicas
Con el crecimiento exponencial del número de equipos
conectados a la red se hace necesario implementar un modelo
de diseño que simplifique su implementación y mantenimiento,
además de proporcionar una alta tolerancia a fallos. Cisco
solventa el problema creando un modelo de red jerárquico,
subdividido en tres niveles principales:
 Acceso: Proporciona y controla (mediante la seguridad de
puertos) el acceso de los usuarios a la red. Se implementa
con switches de nivel 2. En el caso práctico los switches
SW3, SW4, SW5 y SW6 representan la capa de acceso.
 Distribución: Proporciona interconexiones entre los
Página 23 de 28
grupos de trabajo. Aplica políticas de filtrado y prioridad
de tráfico, implementadas mediante switches multinivel de
nivel 3. SW1 y SW2 representan la capa de distribución.
 Núcleo: Proporciona conmutación a alta velocidad entre los
dispositivos de la capa de distribución. No se filtra el
tráfico y se implementa mediante switches multinivel de
nivel 3. SW0 representa la capa de núcleo.
Podemos destacar dos características principales:
 Redundancia: En la capa de núcleo y distribución existen
switches redundantes, lo cual permite a uno asumir la
función de otro en caso de fallo. No se implementa en la
capa de acceso.
 Modularidad: Para implementar con mayor efectividad la
redundancia, las capas se dividen en dos unidades
funcionales básicas:
 Bloque de switches: Está formado por un grupo de
switches de acceso y dos switches de distribución. Los
switches multinivel de la capa de distribución
encaminan el tráfico entre las VLAN’s y evitan que este
llegue a la capa de núcleo. Debe existir una relación
del ancho de banda entre los enlaces de la capa inferior
y la superior no mayor a 20:1 entre acceso y distribución
y 4:1 entre distribución y núcleo.
 Bloque de núcleo: Está formado por 2 switches de núcleo.
Cuando las redes tienen menos de 200 sistemas finales,
la capa de núcleo y distribución se solapa (la capa de
distribución forma entonces una topología en malla).
Como norma general se implementa la capa de núcleo
cuando haya que interconectar más 2 o más edificios o
cuando existan más de 3 bloques de switches.
 Escalabilidad: Debido a su diseño modular se pueden añadir
más dispositivos a cada capa sin necesidad de modificar
la topología.
 Mayor desempeño: El desempeño de cada dispositivo de
interconexión es el óptimo para la función que realiza.
 Facilidad de administración: Modificar un dispositivo de
los dispositivos de cada capa es similar. Es posible
modificar la configuración en uno y copiarla a los demás
switches de la misma capa.
5.1 Protocolo STP (Spanning-Tree Protocol)
Con el aumento en la complejidad de los diseños de las redes
de área local y la implementación del modelo jerárquico de
Cisco conseguimos que nuestra red sea más eficiente en la
transmisión de tramas y en la recuperación en caso de errores.
Pero dicha redundancia a nivel de enlace causa 3 problemas:
Artai Mijail Esculta Fernández
Página 24 de 28
1. Tormentas de difusión: En un anillo (como el formado por
los switches SW1,SW2 y SW3 del caso práctico) cuando se
envía una trama de difusión, los switches reenvían la trama
por todos sus puertos menos por el entrante. Este proceso
se repite de forma indefinida, reduciendo el ancho de banda
efectivo y llegando a colapsar la red.
Del mismo modo, cuando se envía una trama de unidifusión
y el switch no tiene almacenada la dirección MAC del
destinatario, reenvía la trama por todos sus puertos menos
por el de origen.
2. Inestabilidad en la tabla de direcciones MAC: A
consecuencia de la constante recepción de tramas repetidas
en todos los switches que conforman el bucle, se actualizan
constantemente las tablas de direcciones MAC con datos
erróneos (los switches tendrán a cada sistema final
almacenados como origen en todos sus puertos).
Para evitar la formación de bucles a nivel de enlace se diseña
el protocolo Spanning-Tree (STP, Protocolo de Árbol de
Expansión). Este protocolo deshabilita intencionadamente
ciertos puertos en los switches para eliminar los enlaces
redundantes, creando así una topología lógica en árbol. En
caso de que alguno de los enlaces operativos falle, se
desbloquean los puertos que permiten una topología lógica
alternativa.
5.1.1 Estados de funcionamiento
Cada uno de los puertos que participa en STP tiene cuatro
estados de funcionamiento posibles:
1. Bloqueando (Blocking): Es el estado inicial para evitar
formaciones de bucles. No envían ni reciben datos,
únicamente reciben BPDU’s.
2. Escuchando (Listening): En este estado el puerto envía y
recibe BPDU’s para determinar el modo de funcionamiento
del puerto. No envía ni recibe datos.
3. Aprendiendo (Learning): El switch comienza a aprender
direcciones MAC. No envía ni recibe datos, sólo BPDU’s.
Es un estado intermedio al siguiente estado.
4. Reenviando (Forwarding): Envía y recibe datos y BPDU’s.
Aprende direcciones MAC.
Cada vez que un sistema final se conecta o desconecta (se
cierra alguno de los puertos de un switch) automáticamente
se envía una BPDU solicitando una nueva topología lógica.
Página 25 de 28
5.1.2 Temporizadores STP
Para controlar el tiempo que los puertos permanecen en los
diferentes estados, el protocolo STP usa los siguiente
temporizadores:
 Tiempo de saludo (Hello time): Es el intervalo de tiempo
entre las BPDU’s de configuración enviadas por el puente
raíz (2s por defecto).
 Retraso de reenvío (Forward delay): Es el tiempo que los
puertos están en los estados “escuchando” y “aprendiendo”
(15s)
 Antigüedad máxima: Tiempo máximo que un switch almacena
una BPDU antes de almacenarla. Si se supera el tiempo (20s
por defecto) sin recibir una nueva BPDU el switch considera
que se ha perdido contacto con el puente raíz y solicita
una nueva topología lógica.
Denominamos tiempo de convergencia STP al intervalo de tiempo
desde que ocurre un cambio en la topología física de la red
y se determina una nueva topología lógica. El tiempo de
convergencia con los valores por defecto oscila entre los 30
y los 50 segundos.
Para acelerar el tiempo de convergencia STP, Cisco añade una
extensión al protocolo destinada a ser usada en los puertos
que conectan los sistemas finales con la capa de acceso:
PortFast.
Gracias a esta extensión, cuando se detecta la presencia de
enlace el puerto pasa al estado “reenviando”. Este puerto
todavía participa en STP (se desactiva el modo PortFast en
caso de que reciba una BPDU de otro switch) pero no anuncia
un cambio en la topología de la red si el puerto se cierra
(se apaga o se enciende el sistema final).
5.1.3 Modos de funcionamiento
En la topología lógica STP elige como raíz del árbol (puente
raíz) al switch con la dirección MAC base más o baja (si no
se configura prioridad) mediante el envío de tramas BPDU
(Bridge Protocol Data Unit) en las que se incluye un campo
con la dirección MAC del puente raíz. Una vez elegido el puente
raíz, se determina la función que debe realizar cada puerto
de los switches, que puede ser:
Artai Mijail Esculta Fernández
Página 26 de 28
 Puerto raíz: En cada switch que
no sea puente raíz se elige un
puerto raíz, que es el que tiene
el menos coste administrativo
más bajo hasta el puente raíz.
Si existen dos o más enlaces
directos entre dos switches,
el puerto raíz será el que tenga
el menor ID Puerto. Estos puertos reenvían tramas.
 Puerto designado: En cada enlace existente se elige un
puerto designado, que será aquel que tenga menor coste
hacia la raíz. En caso de empate será el que tenga menos
ID Puerto. Estos puertos reenvían tramas.
En los enlaces con el puente raíz, todos los puertos del
puente raíz son designados porque del otro lado del enlace
son considerados puertos raíz.
 Puerto alternativo: Es alternativo todo puerto que no sea
designado o raíz. Son los que se desbloquean en caso de
que uno de los que están reenviando falle.
5.1.4 Variantes STP: PVST+ y Rapid-PVST+
Para aumentar la efectividad de la red, Cisco crea dos nuevos
protocolos que soportan una instancia de STP por VLAN: PVST+
(Per VLAN Spanning-Tree) y Rapid-PVST+
Gracias a ello, podemos elegir múltiples puentes raíz (cada
uno de ellos para una VLAN distinta) y así evitar que los
enlaces redundantes estén bloqueando tramas para todas las
VLAN’s.
Si tomamos como ejemplo la topología del caso práctico, en
la capa de distribución SW1 y SW2 serán configurados como
puentes raíz cada uno de ellos para una mitad de las VLAN’s
de la red. SW1 servirá como raíz para las VLAN’s 10 y 100 y
SW2 lo será para la VLAN 20. De este modo, todos los enlaces
de la capa de distribución con la capa de acceso estarán
activos y, por tanto, se aumentará la eficacia de la misma.
En el caso de SW1 tendrá todos sus puertos <<reenviando>> para
las VLAN’s 10 y 100 y <<bloqueando>> para la VLAN 20.
Del mismo modo SW2 tendrá sus puertos <<reenviando>> para la
VLAN 20 y <<bloqueando>> para el resto.
En PVST+ y Rapid-PVST+ no existe el estado de funcionamiento
<<escuchando>> y los switches ya envían BPDU’s en el estado
<<bloqueando>>. Todos los switches envían BPDU’s de saludo
cada 2s aunque no reciban ninguna del puente raíz. Si un switch
no recibe 3 BPDU de saludo consecutivas solicita que se calcule
una nueva topología de red. De esta forma se acelera la
Coste administrativo
Tasa de bits Coste
10 Mbps 100
100 Mbps 19
1 Gbps 4
10 Gbps 2
Página 27 de 28
convergencia STP hasta un máximo de 15 segundos.
Distinguimos 4 tipos de puertos según el modo dúplex del
enlace:
1. Modo semi-dúplex:
 Compartido (Shr): Se asigna automáticamente.
 Compartido perfiférico (Shr Edge): El puerto pertenece
a la periferia de la red (capa de acceso). Equivale a
la extensión PortFast.
2. Modo full-duplex:
 Punto a punto (P2p): Se asigna automáticamente.
 Punto a punto periférico (P2p Edge): El puerto pertenece
a la periferia de la red (capa de acceso). Equivale a
la extensión PortFast.
5.1.5 Configuración de STP
5.2 Agregación de enlaces: EtherChannel
Otro método de agregar tolerancia a fallos en las topologías
de red jerárquicas es mediante la agregación de enlaces. En
los switches Cisco esta práctica se denomina EtherChannel.
EtherChannel consiste en agrupar varios puertos en ambos
extremos de un enlace que son gestionados como grupo. Al mismo
tiempo que se incrementa la redundancia en la topología de
red, también se incrementa el ancho de banda efectivo, puesto
que si agrupamos dos enlaces FastEthernet el ancho de banda
total será de 200 Mbps.
Para que las tramas no sean enviadas por todos los puertos
del EtherChannel se utiliza un algoritmo de distribución para
seleccionar el puerto por el que son reenviadas. Dicho
algoritmo permite seleccionar el balance de carga según los
siguientes parámetros:
Artai Mijail Esculta Fernández
Página 28 de 28
 MAC origen
 MAC destino
 MAC origen y destino
 IP origen
 IP destino
 IP origen y destino
5.2.1 Protocolos EtherChannel: PAgP y LACP
Existen dos protocolos de agregación de enlaces:
1. PAgP (Port Aggregation Protocol): Es un protocolo
propietario de Cisco que permite grupos de hasta 8 puertos.
Sus modos de configuración son <<Auto>> y <<Desirable>>.
2. LACP (Link Aggregation Protocol): Es un protocolo
estandarizado en la IEEE 802.3ad que se basa en PAgP.
Permite grupos de hasta 16 puertos (8 activos y 8 de reserva
en caso de fallos). Sus modos de configuración son
<<Active>> y <<Passive>>.
Para que un grupo de puertos funcione correctamente, ambos
extremos del enlace han de estar configurados con el mismo
protocolo.