Resumen de CCDA

Capitulo 1
Los generadores de nuevos arquitecturas de red son:
Crecimiento de las aplicaciones
Evolucin de IT de conectividad bsica a sistemas inteligentes.
Incremento de las expectativas para las redes.

IIN (Inteligent information Network)

Este Framework es una visin y una arquitectura que agrega
inteligencia a las redes. Se implementa por fases para integrar la red
con aplicaciones, middleware, servidores y servicios.
La idea es tener un nico sistema integrado para extender
inteligencia a travs de mltiples capas para mas cercanamente
enlazar la red con el resto de la infraestructura de TI. Al darle
inteligencia a la red permite que participe activamente en la entrega
de servicios y aplicaciones. Alinear los recursos de TI con las
prioridades de negocio.

Las capacidades de IIN son:

Un sistema integrado: La red se integra con aplicaciones,
middleware y servicios.
Participacin activa: Permite a la red administrar, monitorear
y optimizar la entrega de aplicaciones y servicios.
Aplicacin de polticas: La red aplica polticas enlazando los
procesos de negocio con reglas de red.
IIN consiste de 3 fases:
Transporte Integrado: Envuelve la convergencia de voz,
video y datos en una nica red de transporte.
Servicios Integrados: Enlaza elementos comunes como
storage y data center server capacity. Las tecnologas de
virtualizacin permiten la integracin de servidores,
almacenamiento y elementos de red.
Aplicaciones Integradas: La red se vuelve consitente con las
aplicaciones. La red puede optimizar el desempeo de las
aplicaciones integrando el manejo de mensajes de aplicacin,
optimizacin de aplicaciones y seguridad de aplicaciones.
Application-Oriented Networking (AON).

IIN= 3 fases (transporte|servicios|aplicaciones) integradas.

SONA (Service-Oriented Network Architecture)

Es un framework de arquitectura que gua en la evolucin de las
redes empresariales hacia IIN para soportar nuevas
estrategias de TI. Con SONA servicios y aplicaciones distribuidas
son administrados centralizadamente sobre una plataforma comn y
unificada.
Las redes SONA estn basadas en un diseo de 3 capas:
Capa de infraestructura de red: Contiene la arquitectura de
red de Cisco (Routers y switches) y facilita el transporte de
servicios a travs de la red. Tambin incluye servidores,
almacenamiento y clientes. Mejora la confiabilidad y la
seguridad
Capa de integracin de servicios: Optimiza la comunicacin
entre aplicaciones y servicios utilizando funciones de red
inteligente como seguridad, identidad, voz, virtualizacin y QoS.
Los servicios provedos por esta capa caen en dos categoras:
o 6 Servicios de Infraestructura:
Servicios de Identidad: AAA, NAC y NBAR.
Servicios de movilidad: VPN.
Servicios almacenamiento: Mejorar el
almacenamiento.
Servicios de computacin: Utilizar maquinas
virtuales para escalar la cantidad de servidores de
la red.
Servicios de seguridad: Seguridad para Red,
servidores y usuarios. IDS/IPS.
Voz y Servicios de colaboracin: Permite la
colaboracin a travs de todos los recursos de la
red. Cisco Meeting Place.
o Servicios de aplicacin: Utiliza aplicaciones middleware
y Cisco AON para optimizar la entrega de aplicaciones.
Igual se utiliza la virtualizacin para maximizar los
recursos y brindar flexibilidad.
Capa de aplicacin: Contiene las aplicaciones de negocios y
colaboracin utilizados por los usuarios finales como ERP, CRM,
Conferencia, etc.
SONA= 3 capas ( Infraestructura de red, integracin de
servicios, aplicacin)
Beneficios de SONA (FEDDAE):
Funcionabilidad: Soporta los requerimientos de operacin de
las empresas. Los servicios de red cumplen los requerimientos
del negocio.
Escalabilidad: Separa las funciones en 3 capas, permitiendo el
crecimiento y la expansin de las tareas organizacionales.

 Disponibilidad: Brinda los servicios desde cualquier sitio en la

empresa y en cualquier momento. La red se construye con
redundancia para evitar las caidas.
Desempeo: Brinda rpidas tiempos de respuesta y ancho de
banda con QoS por aplicacin. La red se configurara para
maximizar el desempeo de las aplicaciones criticas.
Administracin: Brinda administracin de la configuracin.
Monitoreo del desempeo y deteccin de fallas.
Eficiencia: Brinda los servicios de red con costos de operacin
razonables e inversin de capital sensible.

Fases Preparar, Planear, Disear, Implementar, Operar y

Optimizar (PPDIOO)
Son 6 fases que brindan 4 beneficios:
Baja el TCO validando los requerimientos tecnolgicos
planeando los cambios de infraestructura y requerimientos de
recursos.
Incrementa la disponibilidad de la red produciendo un buen
diseo de red y validando la operacin de la red.
Mejora la agilidad del negocio estableciendo los requerimientos
de negocio y estrategias tecnolgicas.
Mejora el acceso a aplicaciones y servicios brindando
disponibilidad, confiabilidad, seguridad, escalabilidad y
desempeo.

Fase Preparar

Factibilidad y requerimientos de negocio y organizacin

(factibilidad|requerimientos) (negocio|organizacin)

Establece los requerimientos de negocio y organizacin.

Desarrolla una estrategia de red y propone una arquitectura de alto
nivel.
Identifica las tecnologas que soportan la arquitectura.
Crea un BC para establecer una justificacin financiera para la
estrategia de red.

Fase Plan
Requerimientos de red y se crea un plan de proyecto.
Identifica los requerimientos de red caracterizando y
evaluando la red.
Desarrolla un anlisis de GAP contra las arquitecturas de mejores
practicas.
Se fija en el ambiente operacional.
Se desarrolla un plan de proyecto para administrar las tareas, partes
responsables, hitos y recursos para el diseo y la implementacin.
El plan del proyecto es seguido durante todas las fases del proyecto.

Fase de Diseo
El diseo de la red se realiza basado en los requerimientos
tcnicos y de negocio obtenidos de las fases previas.
El diseo provee alta disponibilidad, confiabilidad, seguridad,
escalabilidad y desempeo.
Se crean los diagramas de red y una lista de equipamiento.
El plan de proyecto es actualizado con informacin mas granular para
implementacin.
Apenas se aprueba inicia la implementacin.

Fase de Implementacin
El equipo nuevo es instalado y configurado en esta fase.
Nuevos equipos reemplazan o aumentan la infraestructura existente.
El plan de proyecto se sigue durante esta fase.
Cambios planeados en la red deben ser comunicados en reuniones de
control de cambios, con las aprobaciones necesarias para proceder.
Cada paso en la implementacin debe incluir una descripcin, guas
de instalacin detalladas, tiempo estimado de implementacin, pasos
para rollback e informacin de referencia.
Conforme los cambios son implementados deben irse probando antes
de hincar la operacin.

Fase de operacin
Servicios de NOC
Mantiene la red operando da a da.
La operacin incluye:
Administracin.
Monitoreo.
Mantenimiento del enrutamiento.
Administracin de las actualizaciones.
Administracin del desempeo.
Identificar y corregir fallas.

Fase de optimizacin
Involucra la administracin proactiva de la red identificando y
resolviendo problemas antes de que afecten la red.
Puede proveer un diseo de red modificado, para mejorar el
desempeo o para resolver problemas con aplicaciones, lo que
implica que el ciclo vuelva a iniciar.

Metodologa de diseo bajo PPDIOO

3 Fases (requerimientos, caraterizar la red, diseo de
topologa)
Tiene 3 fases para las 3 primeras de PPDIOO:

1. Identificar los requerimientos de red: Los tomadores de

decisiones identifican requerimientos y una arquitectura
conceptual se propone. Fase Preparar. Los pasos son:
a. Identificar las aplicaciones y servicios de red.
b. Definir los objetivos y limitaciones organizacionales.
c. Definir los objetivos y limitaciones tcnicas.
2. Caracterizar la red existente: Lo mismo de fase de planear.
a. Pasos para obtener informacin:
i. Identificar toda la informacin existente y
documentacin.
ii. Realizar una auditoria de red.
iii. Utilizar anlisis de trafico para argumentar
informacin sobre aplicaciones y protocolos
utilizados.
b. Herramientas para auditoria de red: Debe brindar la
misma informacin que Cisco Works y tiene 3 fuentes de
informacin:
i. Documentacin existente.
ii. Software de administracin red existente.
iii. Herramientas de administracin red nuevas.
iv. Algunas herramientas son: Cisco Works, Cacti,
WhatsUP, sniffers.
v. Comandos manuales: Tech-support, proceses cpu,
versin, etc.
c. Herramientas de anlisis de red: Para obtener
informacin a nivel de aplicacin, el paquete IP debe ser
examinado. Algunas herramientas son:
i. Network-Based Application Recognition (NBAR)
ii. Neflow
iii. Netflow Collector Engine
iv. Solar Winds.
d. Checklist de red: Para determinar la salud de red se debe
correr el siguiente checklist:
i. Los segmentos compartidos de ethernet no estn
saturados (no mas del 40%). Utilizar switches.
ii. Los enlaces WAN no estn saturados(no mas del
70% de utilizacin).
iii. El tiempo de respuesta es menor de 100ms, 2ms en
LAN.
iv. No mas del 20% de trafico broadcast o multicast.
v. No mas de un CRC por milln de bytes.
vi. 0.1% de colisiones en segmentos ethernet.
vii. 75% de CPU en el intervalo de 5 minutos.
viii. El numero de botados en la cola de salida <= 100 x
hora.
ix. El numero de botados en la cola de entrada <= 50 x
hora.
x. El numero de perdidos en el buffer <= 25 x hora.
xi. Paquetes ignorados <= 10 x hora
3. Disear la topologa de red y las soluciones: Para la fase
de diseo del PPDIOO se utiliza un mtodo llamado Top-Down.

Los diseos de red son probados utilizando una red piloto o

prototipo antes de poner todo en produccin.
a. Mtodo Top-Down: Inicia el diseo por la capa superior
y se trabaja hacia abajo. Adapta la red y la infraestructura
fsica a las necesidades de las aplicaciones de red. Los
equipos de red y las tecnologas se seleccionan hasta
necesidades de las aplicaciones son analizadas. Tomar en
cuenta el diseo de los servicios (QoS, Seguridad,
multicast) que debe brindar la infraestructura y el diseo
de la infraestructura (equipos, direcciones IP, protocolos).
b. Pruebas Piloto y Prototipo: Un prototipo permite
probar en un ambiente aislado el diseo, sin necesidad de
conectarlo a la red. Un piloto es una prueba en vivo para
probar si funciona un sitio de prueba antes de
implementarlo en toda la red. Si se detectan fallas se
corrige el diseo y se vuelve a probar de nuevo.
c. Documento de diseo (PARTES): El documento debe
contener las siguientes secciones:
i. Introduccin: Describe el propsito del proyecto y
las razones para el diseo de red.
ii. Requerimientos de diseo: Lista los requerimientos
de la organizacin, limitaciones y objetivos.
iii. Infraestructura de red existente: incluye la topologa
lgica de capa 3, topologas fsicas, resultados de
las auditorias, protocolos de enrutamiento, un
summary de aplicaciones, lista de enrutadores de la
red. Switches, y otros equipos, configuraciones y
descripciones de problemas.
iv. Diseo: Contiene la informacin especifica del
diseo, como topologa fsica y logica,
direccionamiento IP, protocolos de enrutamiento y
configuraciones de seguridad.
v. Prueba de concepto: Resultados del piloto o
prototipo.
vi. Plan de implementacin: Incluye los pasos
detallados para que se realice la implementacin y
los cambios.
vii. Apndices: Informacin adicional y configuraciones.
Las 3

fuentes primarias de info en un network audit tool:

La documentacin
Management Software
New Management software tools.

Capa

de Aplicaciones:
Product Lifecycle Management.
CRM/ERP
Supply Chain Management.

Aplicaciones de colaboracin:

Instant messaging.
Unified messaging.
IPCC.
Meeting Place.
Video Delivery.

Service layer

Seguridad.
Identidad
Voz
Virtualizacin
QoS

Capitulo 2

Modelos de red Jerrquicos

Se basa en capas con funciones definidas que aplican para diseos
LAN y WAM.

Beneficios del Modelo Jerrquico

Reduccin de costos: No tratar de hacer todo en un solo
equipo, permite el uso apropiado del ancho de banda con cada
capa.
Facil comprensin: Mantiene el diseo simple y enfocado en
las funcionabilidades. Permite distribuir el monitoreo y
administracin de las diferentes capas
Crecimiento modular de la red: El diseo jerrquico facilita
los cambios, la creacin de elementos de diseo que se pueden
replicar a medida que la red crece.
Mejoramiento en el aislamiento de fallas: Los
administradores de red pueden conocer fcilmente los puntos
de transicin de la red, lo que permite identificar los puntos de
falla. Estructurar la red en elementos pequeos, fciles de
comprender ayuda al aislamiento de fallas.

Diseo Jerrquico de red

Consta de 3 capas:
La capa de Core que brinda transporte rpido entre los
switches de distribucin dentro del campus.
La capa de distribucin brinda conectividad basada en
polticas.
La capa de acceso brinda acceso a los usuarios a la red.
Cada capa brinda funcionabilidades a la red de campus.

No es necesario implementar todas las capas en diferentes equipos

fsicos.
Se puede implementar cada capa en uno o mas equipos o en un solo
chasis (4500, 6500, 7600, etc)
Redes pequeas pueden meter varias capas en un nico equipo.

Capa de Core
Es el backbone de switching a alta de velocidad.
Transporte rpido.
Alta disponibilidad
Redundancia
Tolerancia a fallas.
Baja latencia y buena administracin.
Evita la manipulacin lenta de paquetes causanda por filtros o
otros procesos.
Dimetro limitado y consistente.
QoS

El dimetro = # de routers entre borde y borde. Los saltos entre una

computadora y otra deben ser los mismos, igual entre una pc y un
servidor.
Limitar el dimetro brinda desempeo predecible y facilidad para
encontrar fallas.

Capa de Distribucin

Es el aislamiento entre el Core y el Acceso.

Poltica.
Redundancia y Balanceo de cargas.
QoS
Filtrado de seguridad.
Direcionamiento o agregacin de area o sumarizacin.
Acceso departamental o de grupo de trabajo.
Definicin del dominio de broadcast o multicast.
Enrutamiento entre vlans.
Traslacin de medio.
Redistribucin entre dominios de enrutamiento.
Demarcacin entre protocolos de enrutamiento dinmicos y
estticos.

Capa de acceso
Puros servicios de L2 + QoS y HA:
La capa de acceso esta caracterizada por segmentos LAN
switcheados o de BW compartido.
Alta disponibilidad
Seguridad de puertos (Port security)
Supresin broadcast.
QoS

Limitacin de velocidad (Rate Limiting)

ARP inspection
VACL
Spanning tree
Trust Classification
PoE y vlan auxiliary para VoIP.

Modelo de arquitectura de Cisco empresarial

Consiste de 6 mdulos para facilitar el diseo de redes mas grandes y
escalables, se basa en SONA:
1. Enterprise Campus Module
2. Enterprise Edge Module
3. Enterprise WAN Module
4. Enterprise Data Center module
5. Enterprise Branch Module
6. Enterprise Teleworker module
Los 4 Basicos que son:
1. Enterprise Campus, (Tiene 4 submodulos: DC, Core, Acceso y
Distribucin) se conecta con el edge.
2. Enterprise Edge, se conecta al SP para llegar a los modulos
remotos e Internet, contiene: E-commerce, WAN, Remote
Access VPN
3. Service Provider Edge, Son los servicios que brinda el
SP(PSTN, MPLS, Internet)
4. Remote Modules (Teleworker, DataCenter, Branch)
Aprenderse la topologia y los servicios.
Enterprise
Campus
Server Farm/Data
Center

Enterprise
Edge

SP Edge Remote Modules

E-Commerce

Internet

Core

WAN

WAN

Distribution

VPN
Interne
t

PSTN

Access
Edge Distribution

Enterprise Branch
Enterprise Data
Center
Enterprise
Teleworkers

Enterprise Campus Module

Consiste de los siguientes submodulos:
1. Campus Core.
2. Building Distribution
3. Building Access
4. Edge Distribution: Se puede colapsar con el Core
5. Server Farm / Data Center: Ac se colocan los servidores de:

a.
b.
c.
d.
e.
f.
g.

Impresin.
Aplicaciones.
Correo.
DNS.
Call Manager.
Administracin.
Monitoreo.

Enterprise Edge Module

Contiene los siguientes 4 submodulos:
1. E-commerce network and servers: Brinda HA para los
sevidores de negocios, la misma tecnica del server farm. Aca se
localizan los siguientes equipos de:
a. Web y aplicaciones
b. Bases de datos
c. Firewall
d. IDS/IPS
2. Internet connectivity and DMZ: Brinda servicios publicos y la
conectividad con uno o mas ISP se maneja ac (4 opciones de
redundancia). Este submodulo incluye los siguientes
componentes:
a. Firewalls
b. Enrutadores de Internet
c. Servidores FTP y WEB.
d. Servidores de correo SMTP
e. Servidores DNS
f. Servidores de aplicaciones.
g. Servidores de base de datos.
3. VPN and remote access: Brinda servicios de terminacion de
acceso remoto, incluyendo autenticacin para usuarios y sitios
remotos. Los componentes incluyen:
a. Firewalls.
b. VPN Concentrator
c. Dial-in Access Concentrators
d. ASA
e. IDS
4. Enterprise WAN: Los enrutadores en este modulo brindan
acceso a la red WAN, QoS, enrutamiento, redundancia, control
de acceso con las siguientes tecnologas WAN:
a. MPLS
b. Metro Ethernet
c. Lineas dedicadas
d. Sonet y SDH
e. PPP
f. Frame Relay
g. ATM
h. Cable
i. DSL

j. Wireless

Modulo Service Provider (SP) Edge

Consiste de servicios como:
Servicios de Internet
Servicios PSTN
Servicios WAN

Mdulos Remotos
Consiste de:
Enterprise Branch: Consiste de oficinas remotas y oficinas de
ventas
Enterprise Data Center: Brinda Disaster Recovery y
continuidad de negocio. Los componentes del Data Center son:
o Equipos de red
o Tecnologas LAN de alta velocidad
o Servicios interactivos
o Administracin DC.
Enterprise Teleworker: Consiste de una pequea oficina o
usuario movil que necesita acceso a los servicios del campus.

Disponibilidad de red
Tipos de redundancia:
Redundancia workstation-to-router en la capa acceso
del edificio: Una estacion de trabajo tiene muchas formas
de descubrir la direccin de un enrutador en su segmento
de red, incluyendo los siguientes:
o ARP: Se basa en la idea de enviar tramas ARP para
descubrir una estacin remota. Proxy ARP.
o Configuracin Explicita: Configurar un default
gateway.
o ICMP RDP: Una implementacin de ICMP (RFC 1256)
permite a una pc y un enrutador correr RDP para
aprender la direccin del router.
o RIP: Una pc puede correr RIP para aprender sobre
enrutadores
o HSRP: Trabaja creando una direccin IP virtual con
MAC Address que se configura como default
gateway en las computadoras. Tambien funciona
con Proxy ARP
o GLBP: Funciona parecido a HSRP, solo que balancea
trafico entre multiples enrutadores, brindando una
unica IP virtual pero multiples direcciones MAC. Los

miembros de GLBP se comunican por medio de la

direccin IP multicast 224.0.0.102 utilizando el
puerto UDP 3222.
o
Redundancia de servidor: En el modulo de Server
Farm. Se utiliza RAID y cluster.
Redundancia de enrutador dentro y entre los
componentes de red: Se puede utilizar Load Balancing
a traves de protocolos de enrutamiento como EIGRP ya
sea en enlaces de BW igual o diferente. As mismo
dependiendo del modo de switching se balanceara el
trafico ya sea por paquetes utilizando Proccess Switching
o a nivel de direccin IP si se utiliza Fast, autonomous,
silicon, optimum, distributed o Netflow. Adicionalmente se
puede incrementar la disponibilidad por medio de rutas
redundantes en full mesh (n (n-1)/2) o partial mesh (cada
router con al menos dos enlaces a diferentes routers).
Redundancia de medio en la capa de acceso: Se
pueden configurar enlaces de respaldo que se activen en
el momento cuando el enlace primario falla o se
congestiona. A nivel LAN los switches pueden contar con
enlaces secundarios que STP vuelve inactivos para evitar
loops. Se recomienda que los enlaces de respaldo utilicen
tecnologas diferentes y configurar la distancia
administrativa para seleccionar un enlace sobre otro.
Permite bajar costos.
4 Tipos de redundancia:
1. Estacion de trabajo contra router: Aca entra HSRP, GLBP,
ICMP, etc
2. A nivel de servidor: RAID y cluster
3. A nivel de router: Full mesh y Partial mesh con Protocolos de
ruteo.
4. A nivel de medio: Enlaces de backup

Capitulo 3
Enterprise LAN Design
Reglas de diseo Ethernet
El mximo tiempo de propagacin en un red 100BT es de 5.12 ms
mientras que en 10BT es de 51.2 ms.
En 10BT se aplica la regla 5,4,3.
El largo mximo de un segmento en 10 y 100 BT es de 100metros.
100bt solo dos repetidores, la regla general indica que mximo 205
metros. Si se usa un repetidor clase I (0,7 ms) solo uno se permite,
mientras que un Clase II (0,46 ms) se permite hasta dos.

100-MBPS FE Design rules 802.3u

IEEE802.3u y utiliza las mismas caracteristicas que 10BT a nivel de
CSMA/CD y corre sobre UTP cat 3,4,5
Existen varias especificaciones:
100BASE-TX Fast Ethernet: Utiliza UTP Cat 5, utiliza dos
pares, conector RJ45, codificacin 4B5B, Es el mas utilizado.
100BASE-t4 Fast Ethernet: Utiliza UTP cat 3, utiliza los 4
pares, no full duplex, codificacin 8B6T.
100BASE-FX Fast Ethernet: utiliza fibra optica multimodo o
monomodo, funciona sobre grandes distancias, codificacin
4B5B.

Gigabit Ethernet Design Rules 802.3ab

Utiliza el mismo formato y tamao de trama, asi como CSMA/CD. Las
diferencias aparecen en la codificacin (8B10B con NRZ) y la
frecuencia.

Existen cuatro tecnologias

1000BASE-LX: Funciona en 1300 nm, con fibra monomodo
(5KM) y multimodo (550m)
1000BASE-SX: Funciona en 850 nm, con fibra multimodo
(550m)
1000BASE-CX: Funciona sobre coaxial a 150 Ohmios a una
distancia mxima de 25m, se usa en servidores.
1000BASE-T: Funciona sobre UTP cat5, a 100m, utiliza los 4
pares.

10 Gigabit Ethernet Design Rules 802.3ae

Existen 7 tipos de medios:
10GBASE-SR: Multimodo (850nm) a 300 metros, codificacin
66B.
10GBASE-SW: Multimodo (850nm) a 300 metros, utiliza WAN
Interface sublayer (WIS), para interoperar con el formato de
transmisin de SONET.
10GBASE-LR: Monomodo (1300nm) a 10KM, codificacin 66B.
10GBASE-LW: Monomodo (1300nm) a 10KM, utiliza (WIS).
10GBASE-ER: Monomodo (1510nm) a 40KM, codificacin 66B.
10GBASE-EW: Monomodo (1510nm) a 40KM, utiliza (WIS).
10GBASE-LX4: Monomodo o Multimodo a 10KM, con codificacin
8B/10B.

Fast EthernetChannel
Es un mtodo para incrementar el ancho de banda, balanceo de
cargas y redundancia entre dos sistemas por medio del agrupamiento

de enlaces Fast Ethernet o Giga Ethernet, para crear un nico camino

virtual.

Se puede configurar en un trunk y permite agrupar hasta 8

puertos.
El requerimiento es que todos los enlaces sean de la misma
velocidad, duplex y pertenezcan a la misma vlan.

LAN Hardware
Repetidores: Se utilizan para conectar segmentos separados,
tomando la trama entrante, regenerando el prembulo,
amplificando la seal y enviando la trama por todas sus
interfases. Son equipos capa uno, por lo que no contralan
broadcast o dominio de colisiones. Utilizan la reglan 5,4,3.
Hub: Se crearon para concentrar redes en un cuarto de
cableado. Trabajan igual que los repetidores pero con mas
puertos.
Bridges: Trabajan en capa 2, protegen los dominios de
colisiones. Aprenden las direcciones MAC de todos los nodos
conectados en cada segmento y en cual interfase estan
conectados. Solo envia una trama si el destino se encuentra en
otro de sus puertos. Trabajan haciendo store and forward y
antes de enviar una trama revisan el CRC. As mismo
implementan STP para eviar loops. La prioridad del bridge va de
0 a 65535 siendo 0 la mayor. BID = Prioridad + MAC.
Switches: Buscan reducir la latencia, utilizan cut-through en
lugar de store and forward. Cada Puerto es un dominio de
colisiones diferentes pero es parte de mismo dominio de
broadcast, asi mismo proveen ancho de banda total en full
duplex.
Routers: Controlan los dominios de colisiones y son un dominio
de broadcast en cada Puerto.
Layer 3 Switches: Cada Puerto es un dominio de colisiones y
permite agrupar puertos en diferentes dominios de broadcast

LAN Design Types and Models

Las redes LAN pueden calificarse en:
Large-Building LAN: Contiene un gran data center con acceso
alta velocidad y closets de comunicacin por piso. Requiere
redundancia.
Campus LAN: Brinda conectividad entre edificios de un
campus. Requiere redundancia.
Small and Remote LAN: Brindan conectividad para oficinas
remotas con un relativo numero de nodos.
Los factores de diseo de un Campus incluyen los siguientes:
Caractersticas de las aplicaciones de red.
Caractersticas de los equipos de infraestructura.

 Caractersticas ambientales.

Tipos de aplicaciones
Punto-a-Punto: MSN, Compartir archivos, Telfonos IP y video
conferencia.
Cliente con servidores locales: Servidores que estn en el
mismo segmento que el cliente o cerca.
Cliente con granjas de servidores: Correo, servidor de archivos y
base de datos.
Cliente con servidores empresariales de borde: Servidores
externos como SMTP, web, servidores pblicos y e-commerce.

Mejores prcticas para la capa de acceso

Tomar en cuenta el nmero de usuarios y puertos requeridos.

Velocidad de conexin para cada host.
Las vlans planeadas entran en el diseo.
Desempeo, redundancia y QoS
Limitar las vlans a un unico closet cuando sea posible, para
brindar una topologa deterministica y altamente disponible.
Utilizar RPVST+ si STP es requerido.
Configurar Vlan Dynamic Trunking Protocol (DTP) en
desirable/desirable con negociacin.
Prune manualmente las vlans no utilizadas para evitar la
propagacin del broadcast.
Utilizar VTP en modo transparente.
Deshabilitar trunk en puertos de host.
Considerar implementar enrutamiento en la capa de acceso
brinda rpida convergencia y balanceo en capa 3.
Habilitar port fast.

Mejores practicas para la capa de distribucin

Las consideraciones de diseo incluyen proveer alto desempeo
(wire-speed) en todos los puertos, redundancia de enlace y servicios
de infraestructura.
Los enlaces con el CORE deben soportar el ancho de banda utilizado
por los switches agregados de la capa de acceso.
Los enlaces redundantes desde los switches de acceso a los de
distribucin y desde estos al CORE permiten alta disponibilidad. Los
servicios incluyen QoS, security y aplicacin de polticas.
Utilizar protocolos de redundancia como HSRP o GLBP si se
utiliza L2 entre el acceso y la distribucin.
Utilizar L3 entre la distribucin y el CORE, para brindar rpida
convergencia y balanceo de cargas.
Construir tringulos de L3 en lugar de cuadrados.
Utilizar los switches de distribucin para conectar Vlans L2.

 Sumarizar rutas de la distribucin para el CORE para reducir la

sobrecarga de enrutamiento.

Mejores practicas para el CORE

Dependiendo del tamao de la red, puede ser que no sea necesario el
CORE.
El CORE brinda conectividad de alta velocidad para el data center y
para el borde.
El CORE debe proveer switching de alta velocidad con enlaces
redundantes para todos los puntos de distribucin. Gigabit e
integracin de datos y voz.
Las mejores prcticas son:
Reduce el peering de switches utilizando conexiones
redundantes en forma de triangulo entre switches.
Utilizar enrutamiento para proveer una topologa sin loops de
L2.
Utilizar switches L3 para proveer inteligencia

Large-Building LAN
Estn segmentadas por pisos o departamentos de hasta 200 usuarios.
El acceso es para uno o mas departamentos o pisos. La distribucin
es para uno o varios edificios y el CORE para conectar el data center ,
componentes de distribucin y el edge.

Enterprise Campus LAN

Un Campus conecta dos o mas edificios dentro de un rea local
utilizando un backbone de alta velocidad (Gigabit ethernet) que por lo
general posee.
Manejar bien el tema de direccionamiento para lograr sumarizacin,
utilizar switches L3. Es factible colapsar la distribucin con el
Backbone o el acceso con la distribucin.

Edge Distribution
El Edge provee seguridad adicional entre el campus y el Enterprise
Edge para evitar:
IP Spoofing
Acceso no autorizado
Reconocimiento de la red.
Sniffers

Medium Site LAN

Contienen de 200 a 1000 equipos.
Usualmente la distribucin y el CORE estan colapsados.
Los switches de acceso estan conectados a los switches de
distribucin/CORE para brindar redundancia.

Small and Remote Site LAN

Usualmente se conectan a la red corporativa a travs de un enrutador
pequeo.
El servicio LAN lo brinda un pequeo Switch.
Se puede colocar un servidor para brindar DHCP y otras aplicaciones
como BDC o DNS.

Server FARM Module

Brinda acceso a alta velocidad hacia los servidores.
Algunas veces es necesario un EtherChannel.
Podrias ser tan grande que requiera una distribucin donde se
aplicaria ACL y QoS.
Los servidores pueden ser conectados en 3 formas:
Una NIC
Dual NIC EtherChannel
Content Switching

Enterprise Data Center Infraestructure

Debe proveer la densidad de puertos para soportar los servidores,
proveer alto desempeo y baja latencia, ademas de soportar
servidores con doble y unica conexin.
El diseo preferido contiene switches de L2 y switches L3
La capa de agregacin brinda:
Balanceo de carga
Terminacin de sessiones SSL
Firewall
IDS

Campus LAN QoS Considerations

La idea es marcar o clasificar tramas o paquetes en la capa de acceso
para aplicar polticas de QoS en la capa de distribucin o en el edge.
La Clasificacin implica el reconocimiento y distinguir entre diferentes
flujos de trafico, para tratarlo diferente.
Marcar implica manipular ciertos bits de un paquete o trama que ha
sido clasificado. Tambien es llamado colorear o tagging.

La capa 2 tiene dos metodos para marcar tramas para CoS:

Inter.-Switch link (ISL)
802.1p/802.1q
Ambos mtodos brindan 3 bits para marcado de tramas. ISL es
propietario de Cisco y sirve para encapsular troncales para
transportar Vlans sobre interfases ethernet.
ISL coloca un tag de 30 bytes en cada trama para identificar la Vlan.
ISL funciona igual que 802.1q pero este ultimo soporta 802.1p. Una
prioridad de 3 bit se incluye en la trama de 802.1q para CoS.
El mejor lugar para marcar es el mas cercano a la fuente.

El trafico IP enviado por el telfono con un CoS (L2) de 5 y un

L3 ToS de 5, tambin el telfono puede reclasificar los datos
de la PC con un CoS/ToS de 0. Con DSCP (Differentiated
Services Code Point), el trafico es configurado para Expedited
Forwarding (EF).

Consideraciones para Trafico Multicast

IGMP (Internet Group Management Protocol) es el protocolo entre las
estaciones finales y el switch L3 local. Los host IP utilizan IGMP para
reportar su membresa de grupo multicast a los enrutadores. Los
mensajes multicast utilizan el protocolo IP numero 2. Estos mensajes
no son ruteables.
IGMP soporta source-specific multicast (SSM)
Existen dos opciones para evitar que host que no participan del
multicast sean inundados de trafico que no desea:
CGMP: Cisco Group Management Protocol, fue creado para
controlar multicast a nivel de capa 2 ya que un Switch no se da
cuenta de los mensajes capa 3 de IGMP. Este protocolo permite
al Switch hablar con el Router IGMP y encontrar las direcciones
MAC que desean recibir los paquetes multicast. Tambien puede
entender los mensajes de leave de IGMP v2 y deshabilitar
multicast en el puerto.
IGMP snooping: Puede ser utilizado en vez de CGMP. Con este
feature, los switches escuchan los mensajes entre el host y los
enrutadores. Si un host envia una solicitud de IGMP al
enrutador, el Switch agrega el host al grupo de multicast y
permite que ese puerto reciba trafico multicast. Se retira el
puerto cuando se recibe un mensaje de leave. Puede impactar
el CPU del Switch debido a que debe escuchar todos los
mensajes de control de IGMP.

Capitulo 4 Wireless LAN Design

El primer estndar fue publicado en 1997 fue la IEEE y el que se
actualmente es la revisin de 1999.
El IEEE 802.11 implementaba redes wireless a velocidades de 1 Mbps
utilizando en la capa fisica:
Direct Sequence Spread Spectrum (DSSS): Divide los datos en
secciones separadas, donde cada seccin viaja sobre diferentes
frecuencias al mismo tiempo.
Frecuency Hopping Spread Spectrum (FHSS): Utiliza secuencias
de saltos de frecuencia para enviar rafagas de datos. Con este
mtodo, unos datos se transmiten en la frecuencia 1, luego
salta a la frecuencia 2 para enviar ms datos y asi
sucesivamente, para luego volver a la frecuencia 1 de nuevo.
En 1999 se introdujo 802.11b con las siguientes caractersticas:
11Mbps (11,5.5, 2 y 1 Mbps)

11 canales de las frecuencias Industrial, Scientific and

Medical (ISM)
Utiliza DSSS
Compatible con 802.11
Certificacin de interoperabilidad Wi-Fi gobernado por WECA.

En 1999 se introdujo 802.11 con las siguientes caractersticas:

54 Mbps (54,48,36,24,18,12,9 y 6 Mbps)
No es compatible con 802.11b.
Utiliza 13 canales de las frecuencias de Unlicensed National
Information Infraestructure (UNII)
Se conoce como Wi-Fi5
En 2003 se introdujo 802.11g con las siguientes caractersticas:
54 Mbps.
Utiliza frecuencias ISM.
Compatible con 802.11b
Se espera para el futuro el estndar 802.11n a una velocidad de 540
Mbps.

Frecuencias ISM y UNII

Las bandas utilizadas por ISM estn dentro de los siguientes rangos:
900 hasta 928 MHZ.
2.4 hasta 2.5 GHz: La que utiliza 802.11b y g, brinda 11 canales
de los cuales solo 3 son overlapping (1,6 y 11)
5.75 hasta 5.875 GHz.
UNII trabaja sobre los siguientes rangos:
UNII 1: 5.15 hasta 5.25 y 5.25 hasta 5.35 GHz.
UNII 2: 5.47 hasta 5.725: Utilizando por HyperLAN en Europa.
UNII 3: 5.725 hasta 5.875: Igual al de ISM.

Set Service Identifier (SSID)

Se utiliza para identificar el nombre de la red wireless, puede ser de 2
hasta 32 caracteres. Es similar a una vlan. En redes grandes se utiliza
el WCS para configurar este parmetro en cientos de Access Point.

WLAN Layer 2 Access Method

El control de Acceso al medio (MAC) de 802.11 implementa CSMA/CA,
donde cada estacin de wireless escucha para detectar si otra
estacin esta transmitiendo, si no hay actividad, la estacin
transmite. Si hay actividad, la estacin utiliza un contador aleatorio
que al expirar, la computadora transmitir.

Seguridad WLAN
Los primeros esquemas de seguridad como WEP fueros rpidamente
crackeados. Por lo que en Junio 2004 sali el 802.11i que brinda Wi-Fi
Protected Access 2 (WPA2) que tiene las siguientes caractersticas:
802.1x para autenticacin con EAP.
Robust Security Network (RSN) para tener un rastro de las
asociaciones.
Advanced Encryption Standard (AES) para confidencialidad,
integridad y autenticacin de origen.

Acceso no autorizado
Una solucin para denegar el acceso a una red wireless es utilizar
WEP, pero presenta problemas de seguridad, pues ya ha sido
crackeado. As mismo se podra utilizar autenticacin por MAC
address, pero es fcil realizar un robo de la direccin MAC y con esto
conseguir acceso a la red.

Enfoque de diseo de seguridad en redes WLAN

Brinda dos enfoques basado en que todos los equipos se van a
conectar a la misma red IP y van a acceder a casi todos los servicios
brindados en la red cableada:
Utilizar LEAP para asegurar la autenticacin.
Utilizar VPN con IPSec para asegurar el trfico de la red
inalmbrica a la red cableada.
Para tener un buen nivel de seguridad, se puede implementar una red
wireless con VPN sobre IPSec, utilizando IEEE 802.1x-2001 y llaves
dinmicas WEP.

IEEE 802.1X-2001 Autenticacion basada en el puerto

Es un estndar de autenticacin para redes LAN, que permite
autenticar a un usuario antes de permitirle acceso a la red.
Con 802.1x, las maquinas cliente corren un software para solicitar
acceso a los servicios. Para esto utilizan EAP para comunicarse con el
switch, el cual verifica la informacin del cliente con el servidor de
autenticacin RADIUS y pasar la respuesta al cliente. El servidor
valida la identidad y autoriza al cliente mediante extensiones EAP.

Llaves dinmicas WEP y LEAP

Cisco brinda llaves dinamicas por usuario y sesin para obtener un
nivel mayor de seguridad. Para centralizar la autenticacin basada en
el usuario, Cisco creo LEAP que utiliza autenticacin mutua entre el
cliente y el servidor RADIUS con 802.1x.
LEAP = EAP + 802.1x.
No soporta OTP, por lo que require buenas prcticas de
manejo de passwords.

Controlando el acceso WLAN a los servidores

Los sevidores de RADIUS y DHCP deben ser colocados en un
segmento de red diferente de modo que un ataque pueda ser
contenido.
La idea es considerar la red Wireless un segmento no confiable
(outside) y aplicar la segmentacin apropiada y ACL. Ademas se
puede utilizar un IDS en especial para ataques de DoS.

Arquitectura Cisco Unified Wireless Network

UWN brinda escalabilidad, administracin y seguridad para las redes
wireless, combinando elementos de la red inalmbrica y cableada.
La arquitectura est compuesta de 5 elementos:
Client devices: Incluye laptops, estaciones de trabajo,
telfonos IP, PDA y equipos de manufactura.
Access Point: Brinda acceso a la red y se coloca en puntos
estratgicos para minimizar la interferencia.
Network unification: La red wireless debe ser capaz de
soportar aplicaciones wireless brindando polticas de seguridad,
QoS, IPS y administracin de RF. Los WLC brindan esta
funcionabilidad e integracin en la mayora de los switches y
routers.
Network Management: El WCS brinda una administracin
central para disear, controlar y monitorear redes wireless.
Mobility Services: Incluye Acceso guest, servicios de
localizacin, servicios de voz con deteccin y mitigacin de
amenazas.

Mobilit
y
Managemen
t
Network
Unification
Access Points
Client devices
UWN

Localizacin
WCS
WLC
Access Points
Laptos, Telefonos,
PDA

brinda los siguientes beneficios:

Reduce el TCO.
Control de la visibilidad mejorado
Administracin dinmica del RF.
Seguridad WLAN.
Unificacion de las redes wireless y cableada.
Mobilidad empresarial.
Productividad y Colaboracin mejoradas.

LWAPP
Lightweight Access Point Protocol (LWAPP) es un draft de la IETF para
control de mensajera de configuracin, autenticacin y operacin
entre AP y WLC.
Con la operacin UWN Split-MAC, los mensajes de control y datos son
divididos. LWAPP AP se comunican con el WLC utilizando mensajes de
control sobre la red cableada mientras que los mensajes de datos son
encapsulados y enviados a los clientes wireless. Un WLC administra
multiples
AP,
brindando
informacin
de
configuracin
y
actualizaciones de firmware.
Split-MAC = Architecture, where the processing of 802.11 data and
management protocols and access point capabilities is distributed
between a lightweight access point and a centralized WLAN controller
(Figure 1). More specifically, time-sensitive activities, such as beacon
handling, handshakes with clients, media access control (MAC) layer
encryption, and RF monitoring, are handled in the access point. All
other functions are handled in the WLAN controller, where
systemwide visibility is required. This includes 802.11 management
protocol, frame translation, and bridging functions, as well as
systemwide policies for user mobility, security, QoS, and, perhaps
most importantly, real-time RF management.
Las funciones de MAC LWAP son:
802.11: Beacons, probe response.
802.11 Control: ACK de paquetes y transmisin.
802.11e: Encolamiento de tramas y prioritizacin de paquetes.
802.11i: Encripcin y desencripcin de datos.
Las funciones de MAC del Controlador:
802.11 MAC Management: Solicitudes de asociacin y acciones.
802.11e Resource Reservation: Para guardar recursos para
aplicaciones especificas.
802.11i: Administracin de llaves y autenticacin.
En el draft de LWAPP, los mensajes de control pueden
ser
transmitidos sobre tuneles L2 o L3. La desventaja de L2 (Cdigo
Ethernet 0xBBBB) es que el WLC debe estar en la misma subnet del
AP. Con L3 los AP requieren una direccin IP pero el WLC puede estar
en una subnet diferente.
Los mensajes de control de WLC van sobre UDP 12223.
Los mensajes de datos de WLC van sobre UDP 12222.

Modos de operacin de los AP LWAPP

Local Mode
REAP Mode
Monitor Mode
Rogue detector Mode
Sniffer Mode
Bridge Mode.

Los AP LWAPP tienen 6 modos de operacin:

Local mode:
o El modo por defecto.
o Cada 180 segundos el AP enva 60 ms en los canales que
no opera.
o Durante estos 60 ms, el AP realiza mediciones de piso de
ruido, interferencia y escaneos por eventos de IDS.
Remote Edge AP (REAP) mode:
o Le permite al AP estar conectado en un enlace wan y
comunicarse con el WLC, solo se soporta en AP 1030.
Monitor Mode:
o Diseado para permitir a algunos AP excluirse a si mismos
del manejo de trfico de datos entre clientes y la
infraestructura.
o Ms bien actan como sensores dedicados para locationbased services (LBS), rogue AP e IDS.
o Cuando un AP esta en monitor mode, no sirven para
clientes y continuamente escucha 60ms en todos los
canales configurados.
Rogue Detector mode:
o Monitorea los Rogue AP.
o No transmiten o contienen rogue AP.
o La idea es que los detectores de rogue (RD) estn en
todas las vlans.
o El switch enva una lista con los AP/cliente MAC a los RD,
luego el RD reenvan esto al WLC para comparar con las
direcciones MAC de los clientes que los AP conectados al
WLC han escuchado en el aire. Si la direccin MAC
coincide, el WLC conoce que el rogue AP al que esos
clientes estn conectados esta en la red cableada.
Sniffer mode:
o Funciona como un sniffe, captura y reenvia todo el trafico
en un canal especifico a una maquina remota que corre
AiroPeek.
o Estos paquetes contienen informacin sobre el time
stamp, fuerza de la seal, largo de paquete, etc.
Bridge mode:
o Este feauture de los 1300 y 1500 brinda conectidad de
puente efectiva al costo y de gran ancho de banda.

o Se soporta P2P Bridging, P2multipoint bridging, P2P

wireless Access con backhaul wireless integrado y
P2Multipoint wireless Access con backhaul wireless
integrado.

LWAPP Discovery
Cuando se coloca un AP en la red, primero solicita una direccin IP por
DHCP.
Entonces es cuando se realiza el L3 LWAPP discovery. Si no hay
respuesta del WLC, el AP se reinicia y repite el proceso. El algoritmo
de L3 LWAPP funciona as:
1. EL AP enva un L3 LWAPP discovery request.
2. Todos los WLC que reciben el discovery request responden con
un mensaje de respuesta de LWAPP.
3. El AP compila una lista de WLC.
4. El AP selecciona el WLC basado en algn criterio.
5. El AP valida el WLC seleccionado y enva un LWAPP Join
Response. Se selecciona una llave de encripcin y todos los
mensajes futuros son encriptados.
Los L3 Discovery Request son enviados como sigue:
Local subnet broadcast.
Unicast LWAPP Discovery Request enviados a la direccin IP
publicada por otros AP.
La direccin IP almacenada de un WLC.
La direccin IP aprendida por la opcin 43 de DHCP.
La direccin IP aprendida por la resolucin de CISCO-LWAPPCONTROLLER.localdomain.
La seleccin del WLC esta basado en lo siguiente:
El primero, segundo, tercer WLC previamente configurado.
El WLC configurado como master.
El WLC con la mayor capacidad de asociaciones.

WLAN Autentication
Los cliente wireless deben primero asociarse con un AP y luego
realizan una autenticacin contra un servidor de autenticacin, que
esta en la red cableada, antes de que el AP les brinde acceso a los
servicios. Para esto se establece un tnel EAP/Radius entre el WLC y
el ACS. Ver figura 4.4 del libro

Opciones de autenticacin
Los clientes wireless se comunican con el ACS utilizando EAP. Existen
varios tipos de EAP y cada uno tiene ventajas de desventajas, por
ejemplo:
Problemas de seguridad.
Administracin.
Sistemas operativos soportados.
Dispositivos cliente soportados
El software cliente
Sobrecarga de mensajes de autenticacin.
Requerimientos de certificados.

Facil de usar a nivel de usuario.

Equipos de infraestructura WLAN soportados.

Las opciones de autenticacin son las siguientes:

EAP-TLS (EAP-Transport Layer Security)
o Version IETF, estandar
o Bien soportado por los vendedores de wireless
o Poco implementado.
o Utiliza PKI para asegurar las comunicaciones con el
servidor RADIUS utilizando TLS y Certificados digitales.
Protected Extensible Autentication Protocol (PEAP)
o Fue propuesto por Cisco, Microsft y RSA, estndar
o La versin ms comn es PEAP/MSCHAP2.
o Es similar a EAP-TTLS, requiere solo un certificado de
lado del servidor para crear y asegurar un tnel que
proteger la autenticacin del usuario.
o Existe PEAP-GTC, que permite una autenticacin ms
genrica para varias Bases de datos como Novel Directory
Services (NDS).
EAP-Tunneled TLS (EAP-TTLS)
o Fue desarrollado por Funk Software y Certicom.
o Es ampliamente soportado sobre muchas plataformas.
o Ofrece muy buena seguridad.
o Utiliza nicamente un certificado del lado del servidor.
Cisco Lighweight Extensible Authenticacion Protocol (LEAP)
o Es un metodo propietario de Cisco.
o Soportado por el programa Cisco Certified Extensions.
o Vulnerable a los ataques de diccionario.
EAP-Flexible Authenticacion via Secure Tunneling (EAP-FAST)
o Una propuesta de Cisco para solucionar las debilidades de
LEAP.
o Utiliza un Protected Access Credencial (PAC) y el uso
de certificados en el servidor es opcional.
o Tiene 3 fases:
Fase 0: Es opcional y el PAC puede ser provisionado
estaticamente o dinamicomente.
Fase 1: El cliente y el AAA usan el PAC para
establecer un tnel TLS.
Fase 2: El cliente enva informacin a travs del
tnel.

Componentes del WLAN Controller

Los 3 componentes del WLC son:
Redes Wireless: Las redes Wireless se identifican por el SSID.
La red una entidad lgica. Cada WLAN esta asignada a una
interfaz en el WLC. Cada WLC se configura con polticas de
radio, QoS y otros parmetros.

Interfaces: Una interfaz del WLAN es una conexin lgica que

se mapea con una vlan en lar red. Cada interfaz se mapea con
una nica direccin IP, Gateway, puertos fsicos, tag de vlan y
servidor de DHCP.
Puertos: El puerto es una conexin fsica al swith o router
vecino. Por defecto un puerto una troncal 802.1q, por lo que
pueden existir multiples puertos en un solo puerto fsico. Estos
puertos pueden ser agregados utilizando Link Aggregation
(LAG). Algunos WLC tienen un puerto de servicio para
administracin fuera de lnea.

Tipos de interfases WLC

Interface de administracin: Utilizada para administracin

en lnea, conectividad con el AAA, Descubrimiento de L2 y
asociacin.
Interface Service-port: Se usa para administracin fuera de
lnea, Es una interfaz opcional que es configurada
estticamente.
Interfaz AP Manager: Se utiliza para descubrimientos y
asociaciones de L3. Tiene la direccin IP fuente del AP que esta
estticamente configurado.
Interfaz Dinamica: Es anloga a una vlan y esta diseada
para los datos de los clientes WLAN.
Interfaz Virtual: Se utiliza para autenticacin de seguridad L3,
soporte de DHCP relay y administracin de la movilidad.
Management: In-band management
Service-port: out-band managenent
AP Manager: discovery and association
Dymanic: analogous to user vlans
Virtual: authentication and mobility

Modelos de WLC
Plataforma

Numero de AP
soportados
Cisco 2000 series WLC 6
Cisco WLC en ISR
6
Catalyst 3750 WLC
50
Cisco 4400 Series
100
WLC
Catalyst 6500 series
300
WLC
EL mximo RTT entre un AP y el WLC es 100ms.

Roaming and Mobility Groups

La razn principal para tener wireless es la capidad de acceder a los
recursos de red desde areas comunes y lugares de difcil acceso
mediante cable de red.
Mobilty permite el acceso a la red desde diferentes lugares.
Roaming ocurre cuando un usuario cambia su asociacin de un Access
Point a otro, el cual puede ser intercontrolado o intracontrolado.

Roaming Intracontrolado
Cuando un usuario cambia de un AP a otro dentro del mismo WLC.
El WLC actualiza la BD de cliente con la asociacin al nuevo AP y no le
cambia la IP al cliente.
Si se requiere los clientes se reautenticaran y se establecer un
nuevo security association.
La base de datos de clientes se mantendr dentro del mismo WLC.

Roaming intercontrolado de Capa 2

Ocurre cuando un usuario cambia de un AP a otro en diferentes WLC.
El roam en L2 ocurre cuando el trfico del cliente es enviado en la
misma subred IP y no hay cambio de direccin IP para el cliente.
La BD de cliente se mueve del WLC1 al WLC 2.
El cliente es reautenticado y un nuevo SA es establecido.

Roaming intercontrolado de Capa 3

Ocurre cuando un usuario cambia de un AP a otro en diferentes WLC.
El trafico es enviado en una diferente subred IP.
Cuando el cliente se asocia con el AP2, el WLC2 intercambia mensajes
de mobility con el WLC1.
La BD de cliente original no se intercambia, en cambio el WLC1 marca
el cliente con una entrada de ancla en su base datos. La base de
datos es copiada al WLC2 y es marcado como entrada fornea.
El cliente wireless mantiene su direccin IP original y es
reautenticado.
Se establece un nuevo SA.
El trafico del cliente se enruta de una forma asimtrica.
El trfico del cliente es enviado por el WLC forneo, pero el trafico
para el cliente llega al WLC ancla, que se encarga de reenviarlo a
travs de un tnel Ethernet-in-IP (EtherIP) al WLC forneo, para que
sea entregado al cliente.
Intracluster roaming= The client entry is updated on the same
WLC.
Layer 2 intercluster roaming = The client entry is moved to a
new WLC.
Layer 3 intercluster roaming = The client entry is copied to a
new WLC.

Mobilty Groups
Cuando se asignan los WLC a grupos mviles (mobility Groups), el
WLC dinmicamente intercambia mensajes de movilidad y tunelea la

informacin va EtherIP. Los grupos mviles soportan hasta 24

WLC.
El numero mximo de AP depende de los modelos de WLC.
Cada WLC es configurado con una lista de miembros el grupo mvil.
Los WLC intercambian informacin utilizando el puerto 16666 de UDP
para mensajes no encriptados y el puerto 16667 de UDP para
mensajes encriptados.
Se recomienda minimizar el tamao de los grupos y que el
tiempo de latencia round-trip sea menor a 10ms.
Es mejor el L2 roaming que el L3, debido a la comunicacin
asimtrica.
Cisco recomienda minimizar el intercontroller roaming y
utilizar un centralized controller placement.

Diseo de redes Wireless

Diseo de redundancia de controladores
WLC pueden configurarse para redundancia determinantica o
dinmica.
Determinantica: El AP es configurado con un primario,
secundario y terciario WLC, lo que requiere ms planeamiento,
pero brinda mas predictibilidad y tiempos mas rpidos de
failover, por lo que es la mejor practica. Ejemplos: N+1, N+N y
N+N+1 son ejemplo de redundancia deterministica. Es la
recomendada por Cisco
Dinmica: utiliza LWAPP para balancear los AP a travs
de los WLC. LWAPP brinda a los Ap un WLC de respaldo.
Esta solucin trabaja mejor cuando los WLC estn en un cluster
centralizado. Es fcil de implementar y permite el balanceo de
cargas, pero toma tiempos ms largos de failover y una
operacin impredecible, por ejemplo dos AP adyacentes se
asocian con diferentes WLC.

Redundancia WLC N+1

Con redundacia N+1 un nico WLC resplada varios WLC.
El WLC de respaldo se configura como WLC secundario en todos los
AP.
El problema es que el WLC de respaldo se puede sobresuscribir.

Redundancia WLC N+N

Con esta reduncia existe un nmero igual de WLC de respaldo como
activos haya.
Por ejemplo se podran colocar WLC en el piso 1 y otro en el piso 2
como respaldo, por lo que para AP1 y AP2 uno ser primario y el otro
secundario.

Redundancia WLC N+N+1

Con esta redundancia existe igual nmero de WLC en respaldo como
activos y adicionalmente un tercer WLC (configurado de terceareo)
como respaldo de todos.

Administracin del Radio y Grupos de Radio

La cantidad de canales no overlapping en ISM que es el utilizado por
802.11B y G es 3, (1,6 y 11).
La mejor prctica es tener no ms de 20 dispositivos por AP o
no ms de 7 llamadas de VoIP con el cdec G.711 o 8 con
G.729.
Los WLC utilizan el algoritmo Cisco Radio Resource Management
(RRM) para automticamente configurar, optimizar y auto sanarse.
Las funciones de RRM son:
Radio resource monitoring: Cisco LWAPs monitorean todos
los canales. Los paquetes recolectados son enviados al WLC,
quien puede detectar rogue APs, clientes y AP que interfieren.
Dymanic cannel assignment: WLCs asignan
automticamente canales para evitar interferencia.
Interference detection and avoidance: Como los Cisco
LWAPs monitorean todos los canales, detectan interferencia con
un limite predefinido de 10%. La interferencia puede ser
generada por un rogue AP, equipos Bluetooth o redes wireless
vecinas.
Dymanic transmit power control: El WLC automticamente
ajusta los niveles de poder.
Coverage hole detection and correction: EL WLC puede
ajustar el poder de salida de los AP, si los clientes reportan que
un bajo Received Signal Strengt Indication (RSSI). Son huecos
de cobertura, donde los clientes siempre reportan problemas de
seal.
Client and network load balancing: Los clientes pueden ser
influenciados para asociarse con ciertos AP para mantener el
balance de la red.

Grupos RF
Un grupo RF, es un cluster de WLCs que coordinan sus
clculos RRM, lo que permite que los clculos escalen de un nico
equipo a multiples pisos, edificios o todo un campus. Con un grupo
RF los APs envan mensajes de vecinos a otros APs. Si el mensaje de
vecino est por encima de -80dBm, los controladores forman un
grupo RF y seleccionan un lder para analizar la informacin de RF. El
lder intercambia mensajes con los miembros del grupo utilizando el
puerto 12114 de UDP para 802.11b/g y el puerto 12115 de UDP para
802.11.

RF Site Survey
Permite determinar las reas de cobertura y revisar la interferencia.
Los pasos son los siguientes:
1. Definir los requerimientos del cliente: Niveles de servicio y
soporte para VoIP.
2. Identificar reas de cobertura y densidad de usuarios:
Incluir tiempos de uso pico y localizar salones de conferencias.
3. Determinar las localizaciones preliminares de AP:
Electricidad, conexin a la red cableada, puntos de montaje y
antenas.
4. Realizar el Survey: Se utiliza un AP para analizar el area y la
fuerza de la seal RF recibida en el lugar donde se desea
colocar el AP. Se deben considerar los efectos de los equipos
elctricos como ascensores y microondas.
5. Documentar los hallazgos: Documentar los puntos donde se
colocaran los AP, velocidades y lecturas de seal

Utilizando tuneles EoIP para servicios de invitado (guest)

Las soluciones bsicas utilizan una vlan separada para usuarios guest
y corporativos de modo que el trafico guest este aparte.
Se hace broadcast del SSID de guest, pero no del corporativo y todos
los dems parmetros de seguridad si se configuran.
Otra solucin, recomendada por Cisco es utilizar tuneles EoIP para
tunelear el trfico de guest desde el LWAPP al WLC ancla (un
WLC que se utiliza solo para Guest). Con esto no hay necesidad de
definir una vlan de guest en la red interna y el trafico corporativo es
enviando localmente.

Wireless Mesh for Outdoor Wireless

Las soluciones tradicionales estn limitadas a punto-punto o puntomultipunto bridging entre edificios. Con esta solucin cada AP est
conectado a la red.
La solucin de Cisco Mesh, elimina la necesidad de conectar a la red
cada AP y permite los usuarios para hacer roaming de un rea a otra
sin tener que reconectar.
Los componentes del wireless mesh son:
Wireless Control System: Es el sistema de administracin
SNMP de wireless mesh que permite configuracin y
administracin de toda la red.
Wireless Lan Controller: Conecta los APs mesh con la red
cableada.
Rooftop AP (RAP): Conecta el mesh con la red cableada y
funciona como el root (gateway). El tambin se comunica con el
MAPs.
Mesh Access Point (MAP): Son AP remotos. Estos se
comunican con el RAP para conectar con la red cableada.

Recomendaciones de Diseo Mesh

Latencia tpica por salto de 2 -3 ms.

Para outdoor, 4 o menos saltos es los recomendado para
mejor desempeo. Un mximo de 8 saltos es sopotado.
Para indoor se soporta un nico salto.
20 MAP por RAP es lo recomendable por desempeo, pero
hasta 32 son soportados como mximo.

Consideraciones de diseo en Campus

Design Item
Numero de APs
Colocar AP
Poder de AP
Numero de WLCs
Colocar los WLC

Descripcin
20 dispositivos por AP
7 VoIP por AP con G.711
8 VoIP por AP con G.729
Colocarlos en un lugar centralizado
Se pueden utilizar fuentes de poder y PoE
Depende del modelo de redundancia y de la
cantidad de AP.
En gabinetes o en el data center.
Redundancia deterministica es
recomendable.
Minimizar el intercotroller roaming
WLC deben ser colocados en lugares
centralizados o distribuidos en la capa de
distribucin del campus.

WLAN PROTOCOL
LWAPP control
LWAPP Data
WLC Exchange Messages
(unencrypted)
WLC Exchange Messages (encrypted)
RF Group IEEE 802.11b/g
RF Group IEEE 802.11a

UDP
PORT
UDP 12223
UDP 12222
UDP 16666
UDP 16667
UDP 12114
UDP 12115

Feature
Autonomo/LWA
PP
Antena Externa
Outdoor
REAP/HREAP

10x0
LWAP
P
Si
No
REAP

1121
Ambo
s
No
No
No

Dual Radio
Poder (watts)
Memoria
WLANs Max

Si
13
16
16

B/G
6
16
8

1130
1230
Ambos Ambo
s
No
Si
No
No
HNo
REAP
Si
Si
15
14
32
16
8
8

1240
Ambos

1300
Ambo
s
Si
Si
No
Si
H-REAP No

1500
LWAP
P
Si
Si
Si

Si
15
32
8

Si
16
16

B/G
16
8

Branch Design Considerations

Se debe considerar el nmero y localizacin de los APs, el cual
depende de la localizacin de los clientes y el numero esperado de
clientes.
Puede no se efectivo colocar un WLC por cada Branch.
Un requerimiento es que round trip time (RTT) entre el AP y el WLC no
exceda los 100ms.
Para controladores centralizados, es recomendable utilizar REAP o
Hybrid REAP (H-REAP).

Local MAC
Todo se hace en el AP, en lugar de ser un trabajo compartido entre el
WLC y el AP.
LWAPP soporta local media Access control (Local MAC), que puede ser
implementado en un branch.
A diferencia de Split-MAC, el AP provee soporte de administracin
MAC para solicitudes de asociacin y acciones.
Local MAC termina el trafico del cliente en puerto del cable en el
Access point, en lugar de hacerlo en el WLC. Esto permite acceso
directo local a los recursos de la branch sin requerir que los datos
viajen hasta el WLC en la oficina central. Adicionalmente Local MAC
permite a los clientes wireless funcionar aunque el enlace WAN falla.

REAP
Fue diseado para soportar oficinas remotas, extendiendo los tiempos
de control LWAPP. Con REAP el trafico se encapsula sobre el tnel
LWAPP y se enva al WLC. La administracin de control y RF se
realizan a travs de la WAN. El trafico local de los clientes se enva
localmente y si falla el enlace WAN, se mantiene el acceso local.
El WLC soporta el mismo nmero de equipos REAP como de APs
Los equipos REAP solo soportan polticas L2, no soportan NAT y
requieren una direccin IP enrutable.

Hybrid REAP
Es una mejora del REAP y brinda capacidades adicionales como NAT,
ms opciones de seguridad y la capacidad de controlar hasta 3 AP
remotamente.
Trabaja en dos modos de seguridad:
Standalone: H-REAP realiza la autenticacin el mismo, cuando el
WLC no est disponible.
Connected: El equipo utiliza al WLC para la autenticacin de
clientes.
H-REAP es ms sensible a delay, por lo que el RTT no debe exceder
los 100ms entre el AP y el WLC.

Opciones de WLC para Branch

Cisco 2006: Soporta hasta 6 APs.

Cisco 4402-12 y 4402-25: Soportan hasta 12 y 25 APs,
respectivamente.
WLC Module para ISR: Soporta hasta 6.
3750 con WLC: Soporta hasta 25 o 50 dependiendo del modelo.

Tecnologas WAN Capitulo 5

Puntos importantes, objetivos de diseo, PPDIOO, Mdulos de la
empresa, QoS, Tecnologas wan.
Las redes WAN son redes de comunicacin que pueden expandirse a
grandes distancias para proveer conectividad.
Objetivos de diseo de las redes WAN:
1. Disponibilidad de la aplicacin: Las aplicaciones de red
dependen de las redes para entre el cliente y el servidor para
proveer su funcionabilidad a los usuarios.
2. Costo y Uso: Tener cuidado con el presupuesto y los
requerimientos de uso.

Mdulos de conexin WAN

Los mdulos bsicos son: Internet, DMZ y WAN.
Las conexiones de una organizacin contra los puntos remotos es a
travs de Proveedores de Servicio o Redes de Carriers.
Todovia existe la conexin PSTN para teleworkers y ms
recientemente para VoIP.
Frame Relay para P2P y multipunto.
As mismo MPLS para soluciones WAN de Full L3.
Conexiones WAN Pblicas a travs de ADSL o Cable, pero sin
garantas como las ofrece FR o MPLS.
Comparacin de Tecnologas WAN
Tecnologa BW
Confiabilid
Latencia
Costo
ad
Dialup
Bajo
Bajo
Alto
Bajo
ISDN
Bajo
Media
Medio
Bajo
Frame
Bajo/Medio
Medio
Bajo
Medio
Relay
TDM
Medio
Alto
Bajo
Medio
Sonet/SDH Alto
Alto
Bajo
Alto
MPLS
Alto
Alto
Bajo
Alto
Fibra
Alto
Alto
Bajo
Alto
oscura
DWDM
Alto
Alto
Bajo
Alto
DSL
Bajo/Medio
Bajo
Medio
Bajo
Cable
Bajo/Medio
Bajo
Medio
Bajo
Wireless
Bajo/Medio
Bajo
Medio
Bajo

Dialup

Conectidad sobre PSTN utilizando mdems analgicos.

Funciona a 56Kbps max.
Utilizan los teleworkers como backup.

ISDN

Es una conexin de lnea digital completa estandarizado en

1980.
Dos tipos de servicios: BRI (Basic Rate Interface) y PRI (Primary
Rate Interface).
TE1: Equipos nativos ISDN.
TE2: Equipos no nativos ISDN, por lo que ocupan un Terminal
Adapter (TA)
Se utilizan Network termination 1 y 2 para conectar los 5 cables
con los 2 de la lnea telefnica. En USA el NT1 es un CPE
(Cliente lo pone).
Puntos de referencia:
o R: Ente Equipo no ISDN y un TA
o S: Entre Terminales y equipos NT2.
o T: Entre NT2 y NT1.
o U: Entre NT1 y el Switch del proveedor.

BRI: Dos canales B de 64Kbps y un Canal D de sealizacin y

control a16Kbps. Otros 48Kbps se utilizan para control de
tramas. Total: 192Kbps.
PRI: 23B+1D en USA/Japon = T1 o 30B+1D(64kbps) en Europa
= E1

Frame Relay

Es un protocolo L2 orientado a conexin.

Las conexiones pueden ser PVC o SVC.
Una conexin PVC entre dos enrutadores utiliza un data-link
connection identifier (DLCI), que tiene significancia local.
Local Management Interface (LMI), es un protocolo de
sealizacin ente el enrutador y la nube FR. Este protocolo
enva mensajes de keepalive peridicos y notificaciones de PVC
nuevos o removidos. Existen 3 tipos. Brinda Direccionamiento
Global, mensajes de estado de Circuitos y multicast.
Discard Eligibility (DE), se utiliza en FR para identificar cuando
una trama tiene menor importancia que otras. Tiene valores de
1 o 0. El valor de 1 indica que una trama tiene menor
importancia con valor 0.

Time Division Multiplexing (TDM)

Es una tcnica de multiplexacin que permite combinar sobre

un enlace fsico multiples canales.
DS0 = 64Kbps.
T1 o DS1 = 1.544Mbps con 24 timeslots de 64Kbps y un canal
de 8Kbps de control.
DS3 o T3 = 44,736 Mbps.
E1 = 2.048 Mbps con 30 canales

Sonet/SDH

Synchronous Optical Network / Synchronous Digital Hierarchy.

Basado circuitos y brinda servicios de alta velocidad sobre redes
pticas.
Sonet por ANSI
SDH por ITU
Brinda velocidades desde 155Mbps hasta 10Gbps.
OC-3 = 155Mbps.
OC-12 = 622 Mbps.
OC-255 = 13.21 Gbps.
Utiliza una topologa de anillo
Soporta encapsulaciones IP sobre ATM o POS.

MPLS

Tecnologia para la entrega de servicios IP utilizando Etiquetas.

Un camino distinto se puede asignar por cada etiqueta.

Las etiquetas se pueden utilizar para implementar Traffic

Enginiering, sobreescribiendo las tablas de enrutamiento.
MPLS puede correr sobre varias tecnologas L2 como ATM, FR,
POS y Ethernet.
Las etiquetas se pueden basar en parmetros como:
o Direccin fuente.
o ID de circuito L2.
o Valor de QoS

Otras tecnologas WAN

DSL
Digital Suscriber Line es una tecnologa para el acceso de alta
velocidad a Internet sobre lneas telefnicas.

Existen varios sabores:

o ADSL (Asimetrico)
o SDSL (Simetrico) Reemplazo para T1
o HDSL (High bit rate) sobre 4 hilos
o VDSL (Very high bit rate) Existen pocas
implementaciones.
o RADSL (Rate-adaptive) basado en distancia y calidad
o IDSL (ISDN)

Servicio

Distanci
a max

Maxima
velocida
d de
subida
1500
Kbps

Maxima
velocida
d de
bajada
9Mbps

Notas

Full-rate
ADSL

5500 m

ADSL
G.Lite

5500 m

384 Kbps

1.5 Mbps

No
require
splitter

RADSL
IDSL
SDSL
HDSL

5500 m
10070 m
6700 m
5500 m

HDSL-2
VDSL

7333m
916m

384 Kbps
144 Kbps
2.3 Mbps
1.54
Mbps
2 Mbps
16 Mbps

8Mbps
144 Kbps
2.3 Mbps
1.54
Mbps
2 Mbps
52 Mbps

Asimetric
o

Sobre BRI
4 hilos
2 hilos

Cable

Utilizada para transportar datos sobre cable coaxial.

Utiliza un cable modem.
Utiliza el protocolo DOCSIS 2.0 y recientemente el 3.0

Wireless

Mobile Wireless: Consiste de aplicaciones celulares y telfonos

mobiles:
o GSM: trabaja a 9600 bps.
o GPRS (General packet radio service): velocidades de 64 a
128 Kbps.
o UMTS (Universal Mobile Telecommunications Service):
Conocido como 3G, trabaja hasta 2Mbps.
Wireless LAN: Una ventaja de WiFi es ahorro de tiempo y dinero
evitando la instalacin de la capa fsica.
Bridge Wireless: Conectan dos redes wireless diferentes, por lo
general localizadas en dos edificios diferentes. Permite altas
velocidades.

Fibra oscura
Se instalan en el suelo o donde los derechos de paso son evidentes.
Para mantener la integridad y el control del jitter en largas distancias
se utilizan regeneradores de seal. El framing es determinado por la
empresa, no por el Proveedor de servicios, aunque es el dueo y las
empresas compran el servicio igual que una lnea dedicada para
utilizarlo en WAN y MAN. La confiabilidad debe ser diseada por la
empresa.

Dense Wave Division Multiplexing (DWDM):

Incrementa las capacidades a nivel de BW de la fibra utilizando
diferentes longitudes de onda llamadas canales sobre la misma fibra.
Permite a varios equipos acceder a la red, incluyendo enrutadores IP,
switches ATM y terminales SONET.

Metodologa de diseo WAN

Se utiliza PPDIOO, para:
Analizar los requerimientos de red: Incluye revisar los tipos
de aplicaciones, el volumen de trfico y patrones de trfico en
la red.
Caracterizar la red existente: Revisar las tecnologas
utilizadas y la localizacin de los host, servidores, equipos de
red, etc.
Disear una topologa: Basndose en la disponibilidad de
tecnologa, el trfico proyectado, el desempeo de la red,
limitaciones, confiabilidad y el plan de implementacin.
Un diseo de red debe ser flexible y adaptable a tecnologas futuras
sin limitar las opciones del cliente y debe ser efectivo al costo.

Tiempo de respuesta
Mide el tiempo entre la solicitud del cliente y la respuesta del servidor

Throughput
Es la medida de los datos transferidos de un host a otro en una
cantidad de tiempo.

Confiabilidad
Es la medida de la disponibilidad y desempeo de una aplicacin para
los usuarios.

Consideraciones Ancho de banda

Ancho de
banda

45Mbps
hasta
100 Mbps
Fast
Ethernet

100Mbps
hasta
10Gbps
Giga
Ethernet

Fibra

2Mbps
hasta 45
Mbps
Serial, IDSN, FR,
FR, TDM,
Ethernet,
DSL
DSL, cable,
T3
Ethernet

Fast
Ethernet,
ATM

Wireless

802.11

802.11/g

GigaEtherne
t, 10 Gigabit
Ethernet,
Sonet, SDH,
POS, Fibra
oscura
802.11n

Cobre

Menos de 2
Mbps

802.11b

Windows Size
Define la cantidad mxima de tramas que pueden ser transmitadas
sin necesidad de recibir un ack. Si la ventana no se ajusta, se podran
estar realizando retransmisiones.

Compresin de datos
Reduce el tamao del paquete para que pueda ser transmitido y
descompresionado al otro lado.
Esto requiere ms CPU y hardware, pero baja los requerimientos de
ancho de banda y delay del enlace WAN. Puede ser realizado en
hardware o software.

Optimizando el ancho de bando con QoS

No es la respuesta para enlaces congestionados crnicamente,
permite lograr un mejor trato para trfico prioritario.

Queuing, traffic Shaping and Policing

Son mecanismos de QoS.
Los routers tienen 2 tipos de colas de salida:
Hardware: Estrategia FIFO
Software: Calendariza los paquetes y luego los mete en la cola
de hardware. Solo se usa en periodos de congestin. Utiliza
tcnicas de QoS como:

o Priority Queuing (PQ): Estable 4 colas de interfase

de salida que sirven para diferentes niveles de prioridad.
Puede comerse otras colas, si en una hay muchos datos.
o Custom Queuing (CQ): Utiliza hasta 16 colas
individuals de salida. Limites configurables de tamao
de bytes se asignan a cada cola y cuando se alcanza este
lmite, se procede con la siguiente cola. Es ms justo que
PQ porque al menos permite que pase algo de cada cola,
pero es considerado pasado de moda.
o Weigthed Fair Queuing (WFQ): Asegura que el trafico
es separado en flujos o sesiones individuales sin requerir
que se definan ACL. Es el default para interfaces de
menos de 2Mbps. Asume dos categoras para agrupar
las sesiones,
high bandwidth: Divide el servicio de acuerdo a
valores de peso configurados.
low bandwidth: Tiene prioridad sobre el high.
o Class-Based Weigthed Fair Queuing (CBWFQ):
Extiende las capacidades de WFQ brindando soporte para
clases de trfico definidos por el usuario con ACL,
protocolos o interfaces de entrada. Cada clase tiene una
cola definida que corresponde a una interface de salida.
Despus de que el trfico a sido comparado y pertenece a
una clase especifica, se pueden modificar sus
caractersticas como BW asignado, limite mximo de la
cola y peso. Durante congestin el BW asignado a la clase
es el garantizado. SU ventaja es la modularidad, que
lo hace flexible, es el estndar de redes que no
usan VoIP.
o Low-Latency Queuing (LLQ): Agrega una cola de
prioridad estricta a CQWFQ que le permite al trfico
sensible al delay como la voz (estndar para esto), ser
enviado primero. Las dems clases se clasifican utilizando
las mismas tcnicas de CBWFQ.
o Traffic Shapping y policing: Son mecanismos para
tomar acciones basadas en las caractersticas del trafico,
como DSCP o IP precedence. Traffic shapping baja la
velocidad a la que son enviados los paquetes por una
interface utilizando un criterio especifico. Utiliza una
tcnica de token bucket para soltar el paquete en la
cola de salida a una velocidad preconfigurada.
Permite eliminar los cuellos de botella realizando un
ahorcamiento del trfico en la fuente. Policing marca o
bota trafico deacuerdo a un criterio. Por lo general
policing se utiliza para configurar el lmite del trfico de
entrada en una interface. La idea es traffic shapping
almacena paquetes mientras policing puede ser
configurado para botar paquetes.

Capitulo 6. Diseo WAN

Tecnologas WAN Tradicionales

Circuit-Switched: Las conexiones de datos se establecen

cuando se necesitan y se desconectan cuando se finalizan.
Ejemplo: Dialup, ISDN.
Leased Lines: Es una conexin dedicada, brindada por el ISP.
Son conexiones punto a punto y muy caras por lo general.
Ejemplo: TDM que utilizan transmisin de datos sincrnica.
Packet-and cell-switched: Conexiones que utilizan (PVC/SVC)
establecidos por un ISP. Packet ejemplo: FR y Cell ejemplo: ATM

Topologas WAN

Hub-and-Spoke: Es una topologa de estrella, brinda un hub

router con conexiones a spoke routers a travs de una nube
WAN. Todas las conexiones pasan por el router Hub. Baja los
costos y simplifica la administracin.
Full-Mesh: Cada sitio tiene conexin con todos los dems. No
es viable para redes muy grandes, pero brinda plena
redundancia, con un gran costo. Los problemas inherentes son:
o Require muchos VC
o Paquetes duplicados
o Configuraciones complejas
o Alto costo
Partial-Mesh: Tiene menos VC que una Full-mesh. No todos los
sitios en la nube es necesario que se conecten con los otros,
pero algunos s. Brinda ms opciones y flexibilidad para colocar
la redundancia.

Remote-access Network Design

La idea es brindar una solucin unificada que si el usuario estuviera
en el sitio.
Es importante analizar la aplicacin, los requerimientos de red y las
opciones de los ISP.
Los requerimientos tpicos son:
Best-effort interactive and low-volume traffic patterns.
Conectividad al enterprise edge utilizando tecnologias WAN de
L2
Soporte de Voz y VPN.
Existen dos opciones de conexiones de acceso remoto:
1. Dial-on-demand (ISDN, dial)
2. Always-on (DSL, cable, wireless)

VPN Network design

Se utilizan tipicamente sobre alguna infraestructura compartida. Las
dificultades presentes son:
La conexin es best-effort
Troubleshooting es difcil
Existen 3 tipos de VPN:
Access VPN: Brinda conexin a los usuarios sobre redes
compartidas como Internet a la intranet corporativa. Existen
dos opciones para iniciar las conexiones VPN:
o Client Initiated VPN: Permite a los usuarios establecer
una sesin IPSec sobre la internet hacia el equipo
corporativo terminador de VPN.
o NAS-Initiated VPN: El cliente primero conecta con el
NAS y luego este estable una VPN contra la red
coporativa.
Intranet VPN: Conocida como Site to Site, brinda conexin
VPN a oficinas remotas hacia las oficinas centrales.
Generalmente las oficinas remotas utilizan su enlace a Internet
para levantar la VPN, pero tambin puede ser dentro del
Backbone de un ISP. La principal ventaja es la reduccin de la
fraestructura WAN, cargos WAN y TCO.
Extranet VPN: Conexin con partners de negocios, tambin
utiliza Internet o una infraestructura privada. Necesita de una
buena poltica de acceso.

Overlay VPNs
Se construyen utilizando tecnologas WAN tradicionales como
FR o ATM. El ISP brinda el VC para establecer la conexin entre los
sitios, luego se establece un tnel VPN utilizando GRE y IPSec. Esto
conlleva a un alto costo por el bandwidth y los VC que se requieren.

Virtual Private Dialup Networks (VPDN)

Proveen acceso remoto utilizando tuneles sobre redes dialup, ISDN,
DSL, cable. Este mtodo implica que el ISP debe terminar las
conexiones de red y luego reenviar el trfico a la empresa. Se utilizan
tneles entre la empresa y el ISP utilizando L2Forwarding (L2F) o L2
Tunneling Protocol (L2TP). La seguridad
y la configuracin son
responsabilidad de la empresa.

Peer to Peer VPN

EL ISP juega un papel importante en el enrutamiento de la
empresa. Esta tecnologa utiliza MPLS VPN. Las empresas pueden
utilizar el direccionamiento IP que deseen. MPLS aprende la
informacin de enrutamiento por los mtodos tradicionales y utiliza
una etiqueta adicional para especificar el tnel VPN y el tnel destino.

Beneficios de las VPN

Los beneficios ms grandes son:
Flexibilidad: Existen diferentes opciones (Intranet, Extranet,
Acceso Remoto) y son fciles de implementar
Costo: Reducen el TCO.
Escalabilidad: Gran cobertura, prcticamente que en cualquier
lugar con internet.
Simplifican las operaciones WAN: Se pueden implementar de
una manera consistente.

WAN Backup Design

Si el enlace es de baja velocidad y tiene poca confiabilidad es un buen
candidato para diseos de respaldo WAN.
Las opciones son:
Dial Backup: ISDN brinda servicios de respaldo en el evento de
una falla del enlace principal. La idea es que funcione mientras
el primario esta fuera y apenas vuelva que se desconecte por
medio de tcnicas de rutas estaticas flotantes.
Secondory WAN Link: Hace a la red mas tolerante a fallas y
brinda dos ventajas:
o Backup link: Brinda la conexin si el enlace principal
falla. Se pueden utilizar tecnologas de enrutamiento
dinamico o estatico para proveer la consistencia de
enrutamiento durante los eventos de backup.
o Bandwidth adicional: Se puede utilizar Load sharing
que permite a los dos enlaces ser utilizados al mismo
tiempo.
Shadow PVC: Provee un PVC adicional para ser utilizado de ser
necesario. Los clientes no pagan por el PVC si este no excede el
limite configurado al PVC primario, de lo contrario deben pagar
una tarifa acordada.

Load-balancing Guidelines
Puede ser implementado por paquete o por destino utilizando Fast
switching.
Si el enlace <56Kbps usar por paquete, y si el enlace es
>56Kbps usar por destino.
La mayor desventaja es el costo de duplicar los enlaces WAN, pero el
costo de perder una sucursal puede ser mayor que el de duplicar los
enlaces.

WAN Backup over the Internet

Esta es otra opcin de respaldo, pero no brinda garantas de ancho de
banda.
Tambien requiere un gran entendimiento con el ISP, para establecer
los tuneles y advertir a las redes corporativas internamente que esas
oficinas remotas han encontrado el destino IP.Es necesario utilizar

seguridad con GRE/IPSec. La idea es tener un enlace primario con una

lnea dedicada y un respaldo por Internet.

L3 Tunneling
Existen dos mtodos:
Generic Routing Encapsulation (GRE): Desarrollado por
Cisco para encapsular una serie de protocolos dentro de un
tnel. Carece de seguridad (no encripta) y escalabilidad.
IP Security (IPSec): Brinda transmisin de datos sobre una
red no segura como Internet. Opera en modo tnel o
transporte. Tiene las siguientes caractersticas:
o Encripta el payload.
o Los destinos pueden autenticar al origen.
o Puede utilizar PKI (certificados digitales) o IKE (para
establecer SA).

Enterprise WAN Architecture

Se deben identificar y entender los requerimientos de negocio y
conectividad. Algunos factores que influyen en las decisiones de una
arquitectura WAN son:
Alta disponibilidad: La idea es remover los puntos nicos de
falla en el diseo, tanto a nivel de hardware como de software.
Soporte para crecimiento: Tomar en cuenta la cantidad de
tiempo y esfuerzo requerido para conectar sitios nuevos.
Ongoing expenses: Las lneas dedicadas como FR/ATM
tienden a tener gastos recurrentes ms altos que una VPN sobre
Internet. As mismo aunque Internet es ms barato para la
conexin WAN, tiene problemas de seguridad y confiabilidad al
ser comparado con las lneas dedicadas, asi como la dificultad
que tiene para brindar servicios avanzados como voz y video.
Facilidad de administracin: Por lo general las empresas
tienen el conocimiento para administrar las redes tradicionales
MAN/WAN y sus actualizaciones sin necesidad de mucha
capacitacin, pero algunas tecnologas reservadas para ISP,
requieren de mucho esfuerzo si se deben soportar por la
empresa. Dependiendo de la tecnologa y el diseo, se tiene la
oportunidad de reducir la complejidad a travs de la
administracin de la red.
Costo de implementacin: En la mayora de los casos la
implementacin es una gran preocupacin. Durante el diseo es
importante evaluar los costos inciales y recurrentes contra los
beneficios del diseo. Algunas veces una empresa puede migrar
a una nueva tecnologa sin invertir mucho en equipos, tiempo y
recursos. Otras veces una inversin inicial al principio puede
traer reduccin de costos y gran flexibilidad a largo plazo.
Network Segmentation support: La segmentacin brinda
separacin lgica a nivel L2/L3, en lugar de invertir en equipos,
mantenimiento y cargos mensuales de proveedores. As mismo

permite tener diferentes polticas de seguridad por

departamento, o rea funcional.
Soporte para voz y video: A nivel WAN se pueden ofrecer
soluciones Cisco QoS-Certified IP VPNs, pero sobre Internet es
difcil asegurar QoS. Al menos un 768Kbps es requerido para
empresas pequeas, teleworkers o agentes para transmitir
video y voz.

Cisco Enterprise MAN/WAN Comparision

Caracterstica
HA
Growth Support
Seguridad
Ongoing
Expenses
Ease
Management
Video/Voice
support
Effort from
migrate from
private WAN

Private
WAN
Excelente
Moderado
IPSec (opc)
Alto

ISP
Service
Buena
Bueno
IPSec (Obl)
Bajo
Medio

SP MPLS/ IP
VPN
Excelente
Excelente
IPSec (opc)
Mediano a
alto
Medio

Private
MPLS
Excelente
Excelente
IPSec (opc)
Mediano a
alto
Alto

Alto
Excelente

Moderado

Excelente

Excelente

Bajo

Moderado

Moderado

Alto

Private WAN: Consiste de FR, ATM o lineas dedicadas. Si

requiere seguridad se puede utilizar IPSec. Es recomendada
para empresas con crecimiento moderado. Tiene altos costos
recurrentes y no es la tecnologa preferida para teleworkers y
agentes remotos.
ISP Service (Internet con S2S y Remote Access VPN):
Utiliza estndar fuertes de encripcin. Est pensado para
conectivad bsica sobre Internet, pero con QoS se podra pasar
voz y video. El costo es relativamente bajo.
SP MPLS/IP VPN: Es similiar a Private WAN pero con ms
escalabilidad y flexibilidad. Emula mesh o any to any. Soporta
los requerimientos de QoS. Brinda seguridad y confiabilidad a
bajos costos. Es una buena idea para Brach, teleworkers y
agentes.
Private MPLS: Por lo general lo utilizan grandes empresas que
pueden hacer la inversin para construir su propia red MPLS.

Enterprise Edge Components

Se deben tomar algunas consideraciones cuando se selecciona el
hardware y el software para un Enterprise Edge:
La seleccin del hardware incluye las funciones a nivel de L2 y
los features ofrecidos, por ejemplo:
o Densidad de puertos.

o Tipos de puertos soportados

Modularidad
o Backplane y throughput
Redundancia
o Expansion para uso futuro
La seleccin del software se basa en el desempeo y los
features incluidos. Algunos factores son:
o Desiciones de reenvio.
o Features soportados.
o Optimizacin del Bandwidth
Vulnerabilidades
o Problemas.
La familia del IOS consiste:
IOS T: Pensado para acceso, wireless, data center, seguridad y
Unified communications.
IOS S (Enterprise Core, SP edge): Se basa en high-end
enterprise CORE, redes edge de Service Provider, VPN (MPLS,
L2/L3), video y multicast
IOS XR (SP Core): Para redes sumamente grandes como un SP
Core.
Muchos de los features de la familia T estn en la familia S y XR.

Cisco IOS Packaging

Las cuatro categoras de servicio son:
IP Base- Entry level IOS supporting IP data
IP Voice- Sopota voz y datos convergentes
Advanced Security: Features de seguridad y VPN.
Enterprise Base- Soporte de protocolos L3 empresariales y
soporte a IBM.
As mismo existen 3 paquetes Premium:
SP Services: Agrega Features como MPLS, ATM, SSH, Netflow
y el paquete IP Voice.
Advanced IP Services: Soporte a IPv6, y los features de los
paquetes Advanced Security y SP Services.
Enterprise Services: Soporte completo a IBM y los features de
los paquetes Enterprise Base y SP Services.
Advanced Services
Advanced IP Services
IP base IP Voice Service
Provider

Advanced Enterprise
Services
Enterprise Services

Enterprise Base
Feature Set
IP Base

IP
Data
X

VoIP,
VoFR

ATM,
MPLS

Apple,
IPX, IBM

FW, IDS,
VPN

IP Voice
Advanced
Security
SP Services
Enterprise Base
Advanced IP
Services
Enterprise
Services
Advances
Enterprise
Services
Router/Switch
HW
ISR, 7200
7X00,10000

X
X

X
X
X

X
X
X

Software

Description

Versin T de
IOS 12.3, 12.4,
12.3T, 12.4T
Versin S
12.2SB

Acceso, entrega de servicios

rpido y escalable para
aplicaciones empresariales
Servicio de rango medio de
enrutamiento para empresas y
ISP edge
Switching de alta capacidad, para
acceso empresarial, distribucin,
core, data center y ME en el ISP
edge
HA, Gran escalabilidad y
flexibilidad para el CORE o Edge
del ISP
LAN Switching de mediana
capacidad para el acceso y
distribucin empresarial
LAN switching de mediana
capacidad para acceso y
distribucin en Campus, tambin
en ME
LAN switching de alta capacidad
para acceso, Distribucin, CORE
y Data center empresarial.
Tambin ME en el ISP edge.

7600

Versin S,
12.2SR

12000, CRS-1

IOS XR

2970, 3560,
3750

Versin S
12.2SE

4500,4900

Versin S
12.2SG

6500

Versin S
12.2SX

Enterprise Branch Architecture

La arquitectura de Branch se basa en SONA, y los componentes que
usa SONA para el Branch incluyen:
Enrutadores con soporte para conectidad WAN edge.
Switches para brindar la infraestructura LAN.
Cajas de seguridad para asegurar los equipos del Branch

Wireless AP permitiendo el roaming

Procesamiento de llamadas para brinda Unified communications
y video
Telefonos IP y computadoras para los usuarios.
NO incluye los equipos de gestin, pues estos estn el empresa.

Branch Design
La idea es contestar las siguientes preguntas:
Cuantos puntos y equipos existentes hay?
Que cantidad de escalabilidad y crecimiento se espara?
Que nivel de HA y/o redundacia es requerido?
Existe un servidor o protocolo de red especifico que necesite
soporte?
La administracin y/o soporte ser centralizado o distribuido?
Existen restricciones de segmentacin, como un DMZ o una red
interna versus redes externas.
Sera necesario wireless y con cual cobertura?
Cual es el presupuesto estimado para el diseo de la branch?

Enterprise Branch Profiles

El framework de SONA brinda 3 perfiles para Branch, los cuales estn
basados en el nmero de usuarios. Los perfiles no son la nica
arquitectura para una Branch, pero brinda un grupo de servicios que
cada Branch debe tener. Los perfiles son:
Single-Tier: Hasta 50 usuarios (pequeo), que no requieren
redundancia. Consiste de un enrutador de acceso brindando
servicios WAN y conexiones para los servicios LAN (modulo de
switch en el enrutador). Los servicios L3 WAN se basan en T1
como enlace primario y ADSL como secundario. A nivel de L2 se
recomienda Rapid PVST+
Las conexiones del ISR con el switch pueden ser:
o Utiliza un ISR con un modulo de switch de 16 o 48
puertos.
o Trunking con un switch de acceso (35x0, 3750) que
agrega las conexiones Ethernet y que puede tener
soporte para PoE.
o Un Etherchannel entre el ISR y los switches de acceso
(PoE opcional) utilizando el modulo etherswitch.
Dual-Tier: Entre 50 y 100 usuarios, con un ISR adicional para
redundancia, tpicamente son dos 2821 o 2851 con enlaces
WAN (no internet) conectados a dos switches diferentes. Los
equipos son:
o Dos enrutadores: corriendo EIGRP, HSRP, QoS. Pueden
tener modulo de switch para hacer un trunk contra los
switches externos.

o Switches L2/L3 externos: Se recomiendan 3750 con

stackWise (Stack de hasta 9 switches)
o Laptops.
Desktops
Impresoras
o Telefonos IP
Multi-Tier: Entre 100 y 1000 usuarios. Agrega a los
enrutadores de borde, dos ASA en configuracin Failover y dos
switches de distribucin (4500 o 3750) para agregar los
switches de acceso. El acceso WAN es mediante MPLS. Los
enrutadores pueden correr EIGRP, HSRP/GLBP, QoS. Se
recomienda activar los features de Dynamic ARP inspection,
DHCP Snooping y IP source guard.

Enterprise teleworker (Branch de uno)

Tpicamente se conecta a su proveedor local de ADSL o cable y utiliza
la lnea telefnica como respaldo.

Capitulo 7 IPv4
Estudiar el header de IP
Descrito en el RFC 791, prepardo por DARPA en 1981.

IPv4 Header
Tiene un largo de 20Bytes, cuando no tiene campos opcionales, sino
seria de 24Bytes.
Los campos son:
Versin: Largo de 4 bits. Indica el formato del encabezado. En
este momento la versin es 4 (0100) y pronto versin 6 (0110).
IHL (Internet Header Length): Largo 4 bits. Indica el largo
del encabezado en palabras de 32 bits. Por ejemplo 5 para un
encabezado normal.
ToS (Type of service): Largo 8 bits. Indica parmetros de QoS
como IP precedence o DSCP.
Total Length: Largo 16 bits. Representa el largo del paquete
en bytes, incluyendo el encabezado y los datos. El mximo
largo de un paquete IP puede ser (2 a la 16) -1 = 65535 bytes.
Los routers lo utilizan para determinar cundo deben aplicar
fragmentacin, comparando el largo total con el MTU de la
interfaz de salida.
Identification: Largo 16 bits. Identifica los fragmentos para
reensamblarlos.
Flags: Largo de 3 bits. Indica cuando el paquete puede ser
fragmentado y cuando siguen mas fragmentos. Bit 0 =
reservado, Bit 1= Puede (0) o No fragmentar (1). Bit 2 = Ultimo
fragmento (0) o siguen mas fragmentos (1).
Fragment offset: Largo de 13 bits. Indica a qu lugar del
paquete el fragmento pertenece. El primer fragmento tiene un
offset de 0.
Time to Live: Largo de 8 bits. Indica el mximo tiempo que un
paquete a va estar en la red. Cada salto decrementa en 1 y si
llega a 0 se bota el paquete.
Protocol: Largo de 8 bits. Indica el protocolo de capa superior.
Header Checksum: Largo 16 bits. No incluye la porcin de
datos. Se recomputa y verifica en cada punto que el
encabezado es procesado.
Source Address: Largo 32 bits.
Destination Address: Largo 32 bits.
IP options: Largo variable. Se utiliza en funciones de control en
algunas ocasiones, pero no son necesarias en las
comunicaciones comunes. Las opciones son: Seguridad, Loose
source Routing, Strict Source Routing, record route, timestamp.
Padding: Largo variblae, para asegurar que el encabezado
termina en un lmite de 32 bits.

TOS
Se utiliza para especificar parmetros de QoS.
Los routers y switches L3, se fijan en este campo para aplicar polticas
como prioridad. Ha pasado por muchas evoluciones.
Los 3 iniciales bits del ToS del RFC 791 de 1981 son de IP Precedence,
y se utilizan para marcar y dar un trato diferenciado basando en las
prioridades. Por default todo se marca con 000.
El RFC 1349 redefinio los bits del 3 al 6 para reflejar un tipo deseado
de optimizacin del servicio.
En 1998, el RFC 2474 redifinio el ToS como Differentiated Services
(DS) y defini los bits del 0 al 5 como Differentiated Services
Codepoint (DSCP), luego en 2001 se actualizo con el RFC 2474 con la
especificacin del campo Explicit Congestion Notification (ECN).
El DS brinda 64 niveles de clasificacin de paquetes, que es
mayor a los 8 opciones del IP Precedence. Utiliza 6 bits para
esto.

DSCP AF4 = DSP 4 (flash override). El toque es aregar 3 bit al

final del valor de IP Prcedence para obtener el varlo de DSCP,
ademas la clase X, hace refencia al valor en decimal del IP
Precedence.

IPv4 Fragmentation
El mximo largo es 65535, pero los protocolos de capas inferiores es
menos, por ejemplo Ethernet que es 1518 bytes. Si el paquete es ms
grande que el MTU de la interfaz entonces se debe aplicar
fragmentacin.
El paquete se re ensambla en la capa 3 destino. Cualquier router en el
camino, puede fragmentar o desfragmentar un paquete, pero no
reemsamblar.
Cada fragmento recibe su propio encabezado y es enrutado
independientemente de los otros paquetes

Para realizar el reemsamblaje el host destino, se fijo en los campos

identification y fragment offset.
Si uno o ms fragmentos se pierden el paquete completo debe
retrasmitirse. La retrasmisin es responsabilidad de los protocolos
superiores como TCP.
Asi mismo se puede fijar el campo de flags para que no se fragmente,
pero se descartara si el MTU de la interfaz de salida es mejor.

Direccionamiento IPv4
Clas
e
A
B
C

Inicio del
octeto
0
10
110

1110

1111

Rango

Privadas

1.0.0.0-126.0.0.0*
128.0.0.0-191.255.0.0
192.0.0.0223.255.255.0
224.0.0.0239.255.255.255
240.0.0.0254.255.255.255

10.0.0.0/8
172.16.0.0 /12
192.168.0.0/16

Las redes 0.0.0.0 y 127.0.0.1 tienen usos especiales.

La encargada de brindar las direcciones IP es la IANA, quien a su vez

delega la asignacin regional a Regional Internet Registries (RIR), que
son 5:
ARIN (American Registry for Internet Numbers)
RIPE NCC (Reseaux IP Europeens Network Control Center)
APNIC (Asia Pacific Network Information Center)
LACNIC (Latin America and Caribbean Network Information
Center)
AfriNIC (African Network Information Centre)

NAT
Especificado en el RFC 3022.
Conceptos:
Static NAT: Mapea una IP privada a una nica IP publica
manualmente.
Dynamic NAT: Mapea una IP privada a una IP publica de un
pool, hay dos formas:
o Overloading: Mapea mltiples IP privadas a una nica
Publica, utilizando diferentes puertos. Se conoce como
PAT.
o Overlapping: Mapea direcciones IP pblicas internas con
IP publicas externas.
Stub domain: La red interna que est utilizando direcciones IP
privadas.
Public Network: Outside del stub domain, reside en Internet y
las direcciones son pblicas.

Inside local address: La direccin IP del host que est en la

red interna. Se utiliza en el stub domain.
Inside global address: La direccin IP pblica con la que se
est haciendo NAT al host que est en la red interna.
Outside global address: La direccin IP real de un equipo que
reside en Internet, outside del stub domain.
Outside local address: La direccin IP traducida del equipo
que reside en Internet. Esta direccin se utiliza dentro del Stub
domain.

Loopback Address
Es una direcciones IP con una mascara de 32 bits.

Redes de Telefona IP
Los telfonos IP normalmente se conectan en una Vlan auxiliar, que
est en un segmento lgico separado de las estaciones de trabajo de
los usuarios.
Separar la voz y los datos en diferentes subredes o vlans, ayuda en
proveer QoS para el trfico de voz en cuanto a clasificar, encolar y
almacernar. Ademas se facilita la atencin de fallas.

CIDR y Sumarizacin
CIDR permite la agregacin de direcciones de redes classful, asi
mismo se reduce el tamao de las tablas de enrutamiento y permite
una topologa ms estable de enrutamiento, porque los enrutadores
no tienen que recomputar las tablas cuando rutas mas especificas
suben o bajan.
Para hacer esto se utilizan los bits de mayor peso (los de la izquierda)
comunes para juntar redes. Adems los enrutadores deben basar sus
decisiones de enrutamiento en la direccin IP y largo del prefijo.
VLSM= Permite subdividir una red en subredes, en cambio CIDR
permite sumarizar varias subredes en una nica super red.

Capitulo 8: IPv6
Introduccin a IPv6
La especificacin de IPv6 brinda 128 bits para direccionamiento. El
RFC 2460 especifica este nuevo protocolo.
IPv6 ofrece las siguientes ventajas sobre IPv4:
Espacio de direcciones ampliado: 128 bits en lugar de 32 bits.
Direccin IP nica globalmente: Permite a cada nodo tener una
nica direccin y eliminar NAT.
Tamao fijo del encabezado: El tamao del encabezado es fijo,
permitiendo a los vendedores mejorar la eficiencia del
switching.
Mecanismo de opciones mejorado: Las opciones de IPv6 se
colocan en un encabezado opcional que est localizado entre el
encabezado de IPv6 y el encabezado de la capa de transporte.
Los encabezados opcionales no son requeridos.
Auto configuracin de direcciones: Brinda la capacidad de
asginar direcciones IPv6 dinmicamente. De hecho los host
configurarse ellos mismos con o sin un DHCP server.
Soporte de etiquetado de flujos de trafico: En Lugar de los
campo de ToS como IPv4. Permite el etiquetado de paquetes
pertenecientes a una clase de trfico particular para el cual el
origen solicita un tratamiento especial.
Capacidades de seguridad: Tiene features que soportan
autenticacin y privacidad.
MTU path discovery: IPv6 elimina la necesidad de fragmentar
paquetes implementando esta caracterstica antes de enviar
paquetes a un destino.
Site multihoming: IPv6 permite el multihoming de host y redes
para tener multiples prefijos IPv6, lo que facilita la conexin con
multiples ISP.

Encabezado IPv6

Versin: Largo 4 bits. Indica el formato.

Traffic class: Largo 8 bits. Indica la clase o prioridad del
paquete Ipv6, brinda funciones parecidas al ToS.
Flow Label: Largo 20 bits. Indica una secuencia especifica de
paquete entre el origen y el destino que requieren tratamiento
especial, como datos en tiempo real.
Payload Length: Largo 16 bits. Indica el largo del payload y los
encabezados extendidos en bytes.
Next Header: 8 bits de largo. Indica el tipo de encabezado que
sigue el encabezado IPv6. En otras palabras identifica al
protocolo de capa superiores. Utiliza valores definidos por la
IANA.

Hop Limit: Largo 8 bits. Es decrementado en 1 por cada salto,

si llega a 0 el paquete se descarta.
Source Address: Largo 128 bits
Destination Address: Largo 128 bits.
Aunque las direcciones son 4 veces ms largas, el encabezado
es solamente 40 bytes ms largo.

Representacin de direcciones IPv6

Se representa con 8 grupos de 16 bits, en formato hexadecimal
x:x:x:x:x:x:x:x, donde cada x representa 4 dgitos hexadecimales.
Un ejemplo seria FE1A:42B9:001B:0000:0000:12D0:005B:06B0
Los grupos con un valor de 0, pueden ser representados con un nico
0. Por ejemplo: FE1A:42B9:001B:0:0:12D0:005B:06B0
Tambin se pueden representar mltiples grupos de 16bits de 0
con ::, pero solo puede aparecer solo una vez en el numero.
Tampoco es necesario representar los 0s inciales. Por ejemplo:
FE1A:42B9:1B::12D0:5B:6B0
FE1A:42B9:001B:0000:0000:12D0:005B:06B0

IPv4 compatible con direcciones IPv6

En un ambiente mezclado de IPv4 e IPv4, la porcin IPV4 requiere los
dos ltimos bloques de 16 bits, quedando los restantes en 0. En otras
palabras 96 bits en 0 y los restantes 32 se usan para IPv4. La forma
seria:
0000:0000:0000:0000:0000:0000:100.1.1.1
o
0:0:0:0:0:0:100.1.1.1 o ::100.1.1.1

Representacin de Prefijos IPv6

Se representan asi:
Direccin_IPv6/prefijo
Los dos puntos dobles solo se pueden usar una vez.
Algunas formas de hacerlo son:
2001:0000:0000:0ab0:0000:0000:0000:0000/60
2001:0000:0000:0ab0:0:0:0:0/60
2001:0000:0000:0ab0::/60
2001:0:0:0ab0::/60
Una subred sera:
2001:0000:0000:0ab0/60

3 Tipos de direcciones IPv6 y Asignacin de direcciones

IPv6 Unicast: Uno a uno, Identificador lgico de un nico host.

Estn divididas en direcciones global y link-local.
IPv6 Anycast: Uno a los ms cercanos, Una direccin anycast
es asignada a un grupo de direcciones unicast. Los equipos

destino deben compartir caractersticas comunes y estar

explcitamente configurados para anycast. Cuando un paquete
es enviado a una direccin Anycast, este es enrutado al equipo
ms cercano, determinado por el protocolo de enrutamiento.
IPv6 Multicast Address: Uno a muchos, el paquete es
enviado a todos los host identificados con esa direccin. El
broadcast es un tipo de multicast, pues se puede hacer un allnodes. Algunas direcciones IP multicast son:
o FF01:0:0:0:0:0:0:1 Indica direcciones de todos los nodos
en el interface-local scope.
o FF02:0:0:0:0:0:0:2: Las direcciones de todos los
enrutadores en un enlace local.

Asignacin de direcciones IPv6

Los bits ms significativos de una direccin IPv6, pueden definir el
tipo de direccin y otras reservaciones. Estos bits mas significativos
son de tamao variable y se llaman Format Prefix (FP)
Una direccin no especificada es todos en cero, lo que significa que la
interfaz no tiene direccin IP. Esta direccin IP no es enrutable.
Una direccin loopback es 0:0:0:0:0:0:0:1, es similar al 127.0.0.1
Las direcciones IPv4 que son compatibles con IPv6 inician con 96
ceros binarios seguidos de los 32 bits de la direccin IPv4.
0:0:0:0:0:0:130.100.50.1 o solo ::130.100.50.1

Global Unicast Address

Una direccin IPv6 global conecta con la red pblica. Son
nicas y enrutables globalmente. Exista una formato de 3 capas
jerrquicas: public topology (para ISP que brinda servicios de
transito), site topology (Es para empresa y no brinda servicios de
transito), interface identifier.
El RFC 3587 define un nuevo esquema de la siguiente forma:
Prefijo de global routing(48bits)
Subnet identifier (16bits)
Direccin (64 bits)
Porcin de red= 48 bits (Global Routing Prefix) + 16 bits Subnet ID
Host Portion = 64 bits (Interface ID)

Link-Local Address
Tienen significado solo para nodos en un nico enlace.
Enrutadores no pasan paquetes con una direccin link-local como
fuente o destino ms all del local link. Se identifican con el
numero hexagecimal FE8. Se pueden configurar manual o
automtica a travs de la comunicacin con otros nodos
Se constituyen asi:
Format Prefix (FP) de 1111111010 + 54 ceros + 64 bits de id de
interfaz

Site-Local Address
Las direcciones Site-Local Adress son como las direcciones IP
definidas en el RFC 1918 de IPv4. Bsicamente son para ser
utilizadas dentro de una organizacin, no son nicas, no son ruteables
a travs de Internet.

Multicast Address
Las direcciones IPv6 multicast funcionan igual a las de IPv4 y estn
definidas por lo nmeros hexadecimales FF, adems proveen el
equivalente a un broadcast de IPv4.
El formato de las direcciones IPv6 multicast es:
8 bits de FP, todos en 1 = FF.
4 bits de Flags. Consiste de 3 ceros seguidos de un T. Si T = 0,
Se trata de una direccin bien conocida de multicast asignada
por la IANA, pero si T=1, no es una direccin asignada
permanentemente.
4 bits de Scope: Indica que tan grande es (scope) el grupo
multicast
112 de Id de grupo: Identifica el grupo multicast dentro de un
scope, pero el grupo es independiente del scope Por ejemplo
FF05::5 es para OSPF v3.
11111111+4bits de flags+ 4 bits de scope+ 112 de grupo = 128bits

Global Unicast: Equivalente a IP publicas. 48 Global+16 Subned

ID+64host.
Link-local: Son direcciones validas en nicamente en el enlace. Se
identican con EF8 + 54 ceros + 64 bits de host
Site local: Equivalente a direcciones IP privadas.
Multicast: Son multicast se indetifican con FF+ 4bits de flags+4 bits
de scope+ 112 de grupo

Mecanismos IPv6
ICMPv6
ICMP tuvo que sufrir algunas modificaciones para soportar IPv6.
A travs de ICMP, se puede obtener:
Mensajes de informacin como: echo request y echo reply.
Mensajes de error como: Destination unreachable, packet too
big.

IPv6 Network Discovery (ND) Protocol

IPv6 no implementa ARP, en cambio utiliza el ND descrito en el RFC
2461.

Los equipos utilizan ND para implementar funciones plug and play

que descubren todos los host en el mismo enlace, buscan direcciones
duplicadas, encuentran enrutadores, adems busca rutas alternas si
la primaria falla.
Las funciones que realiza son:
Autoconfiguracin de direcciones: Un host puede
determinar completamente la direccin IPv6 sin necesidad de
DHCP.
Deteccin de direcciones duplicadas: Un host puede
detectar cuando una direccin ya est en uso en la red.
Deteccin del prefijo: Un host puede encontrar el prefijo IPv6
del enlace.
Descubrir el parmetro: Encontrar el MTU y la cuenta de
saltos.
Resolucin de direcciones: Puede identificar la MAC sin
necesidad de ARP.
Descubrir el router: Puede encontrar las rutas locales sin
utilizar DHCP.
Determina el next-hop
Deteccion de vecinos caidos: Puede determinar cuando un
vecino no esta disponible.
Redireccin: Un equipo puede decirle a otro, si existe un next
hop para encontrar un destino especifico.
ND utiliza ICMP para las siguientes funciones:
Router Advertisement (RA): Lo envan los enrutadores para
publicar su presencia y parmetro especficos del enlace.
Router Solicitation (RS): Enviados a los host que solicitan RA a
los enrutadores locales.
Neighbor Solicitation (NS): Enviado por host para solicitar la
direccin de la capa de enlace a otros equipos, se utiliza para
detectar duplicados.
Neighbor advertisement (NA): Enviado en respuesta a un NS.
Redirect: Enviado a un host para notificarlo de una mejor ruta
hacia un destinoIPv6 Name Resolution
IPv4 utiliza registros A.
IPv6 utiliza Resource Records (RR), descrito en el RFC 3596.
Bsicamente es un registro AAAA.
El RFC 2874 especifica el resource record A6, que provee mas
features y la idea es que llegue a reemplazar el registro AAAA.
Los DNS actuales deben soportar registros A, A6, AAAA, donde los
registros A tienen la mayor prioridad y los AAAA la menor.

PATH MTU Discovery

IPv6 no soporta fragmentacin de paquetes a travs del
internetwork, solo los host que envan el paquete pueden
fragmentar, sea lo routers no pueden fragmentar.
El RFC 2460 establece que el MTU de cada enlace IPv6 debe ser de al
menos 1280 bytes.

El RFC 1981 recomienda el MTU discovery para determinar cuando un

nodo es mayor de 1280, para esto se utilizan mensajes ICMP packettoo-big. Los nodos a lo largo del path envan estos mensajes de ICMP
al host que enva, si el paquete es ms grande que el MTU de la
interfaz de salida.

Estrategias de asignacin de direcciones IPv6

Autoconfiguracin de direcciones de enlace local

Los host IPv6 pueden utilizar un mtodo de autoconfiguracin sin
DHCP. Para esto el host realiza el siguiente proceso apenas la interfaz
levanta:
1. El host realiza un proceso de deteccion de direcciones duplicadas.
2. El host se agrega a todos los grupos multicast para recibir alertas
de otros nodos. Estas alertas incluyen la subnet o prefijo asociado con
el enlace.
3. El host enva un mensaje de neighbor-solicitation con la direccin IP
tentativa como destino. Si un host esta utilizando la direccin
tentativa, entonces hace un reply con un neighbor advertisement. Si
el host no recibe un neighbor advertisement, entonces la utiliza.
El DHCP est descrito en el RFC 3315.

IPv6 Seguridad
Soporta nativamente IPSec, es mandatorio en el nivel operatingsystem para todos los host IPSec.
AH brinda autenticacin e integridad (MD5)
ESP encripta el paylod con (DES-CBC)

Protocolos de enrutamiento IPv6

Nuevos protocolos de enrutamiento que soportan IPv6:
RIPng: RIP next Generation, mantiene los mismos mecanismos de la
version anterior, pero utiliza UDP 521 para enviar update sobre el
grupo multicast FF02::9.
Integrated Intermediate System-to-Intermediate (i/IS-IS): Es
un draft de la IETF, el cual especifica un nuevo largo, tipo y objetos de
valor (TLV), etc.
EIGRP para IPv6: Se configura a parte de la versin para IPv4.
Mantiene los mismos mecanismos y utiliza el grupo multicast FF02::A
OSPF v3: Los algoritmos y mecanismos continan igual, cambia la
jerarqua de direccionamiento. Utiliza los grupos de multicast FF02::5
para los routers y FF02::6 para todos los routers designados.
BGP: Se basa en el RFC 2545, utiliza varios atributos para comunicar
la disponibilidad de redes IPv6, tales como MP_REACH_NLRI y
MP_UNREACH_NLRI

Transicin de IPv4 a IPv6

Existen varios modelos:
1. IPv6 sobre enlaces WAN dedicados: No es un modelo de
transicin, pues se tienen enlaces separados para IPv6. El
problema es el costo de tener enlaces separados para IPv4 e
IPv6.
2. IPv6 sobre tuneles de IPv4: En este modelo sitio utilizando
IPv6, se interconectan utilizando tuneles, de manera que el
trafico es encapsulado sobre paquetes IPv4, para ser
transportados por la red WAN. La ventaja es que no necesita
enlaces separados, pero incrementa el overead. Los tuneles se
pueden crear manualmente, semimanualmente o
automticamente utilizando 6to4 (RFC 3056), la idea es que
utiliza en el interin un prefijo nico IPv6 2002::/16, cada sitio
utiliza un prefijo /48 que es concatenado con el 2002.
3. Dual-Stack Backbones: En este modelo los enrutadores del
backbone tienen la capacidad de enrutar paquetes IPv4 e IPv6.
Funciona en organizaciones con una mezcla de aplicaciones 6 y
4. La desventaja es que los enrutadores WAN requieren doble
direccionamiento y adems dos protocolos de enrurtamiento.
Ademas los host IPv4 no se pueden comunicar con los IPv6, por
lo que requiere dual-stack host o aplicar NAT para que se
comuniquen. Cuando se utiliza dual-stack host, el host utiliza el
DNS para determinar cual stack utilizar contra el destino, si el
DNS retorna un registro A6, se utiliza un stack IPv6, pero si
devuelve un registro A entonces se comunican con IPv4. Este es
el recomendado para campus o redes de acceso durante la
transicin a IPv6.
4. Mecanismos de traduccin de protocolo: La idea es realizar
NAT-PT (Network Address Translation-Protocol Translation), el
cual funciona igual al NAT convensional.

Capitulo 9 Routing Protocols

Enrutamiento esttico y dinmico
La principal ventaja del esttico es que no genera overhead,
adicionalmente pueden ser mas fciles de configurar y detectar fallas.
Es recomendado utilizar rutas estaticas en redes hub and spoke con
conexiones de baja velocidad.
Dos categoras:
Interior (IGP): Enrutamiento dentro de una empresa. Ejemplo
OSPF, EIGRP, RIP.
Exterior (EGP): utilizado para comunicarse con dominios
externos. Ejemplo BGP
Protocolos Distance-Vector:
Utilizan el algoritmo Bellman-Ford para construir las tablas de
enrutamiento.
La mtrica es la cantidad de saltos. Un vector de la distancia.
Envia toda la tabla de enrutamiento a sus vecinos inmediatos
cada 30s para RIP o 90s para IGRP.
Entre cada actualizacin cada router crea una nueva tabla para
enviarla a sus vecinos.
Tienen una convergencia lenta.
RIPv2 e IGRP envan triggered updates, que son actualizaciones
de rutas antes de que se tengan que enviar las actualizaciones
oficiales. Solo 500 rutas por actualizacin, lo que representa
otro problema.
Protocolos de Link-State
Con un protocolo de link-state los enrutadores originan informacin
sobre las direcciones IP, sus enlaces y el estado de estos. Toda esta
informacin es inundada a toda la red. Cada router calcula
independientemente la mejor ruta a cada red destino, utilizando el
rbol enlace mas corto con el mismo como raz. Despus del
intercambio inicial de informacin, las actualizaciones solo se envan
si hay un cambio en la red. Si no hay cambios, la tabla de
enrutamiento se refresca cada 30 minutos.

Diferencias entre Distance-Vector y Link-State

Los protocolos de distance-vector (RIPs, IGRP) utilizan ms BW, debido
al envi peridico de actualizaciones, pero los Link-State utilizan mas
CPU y memoria. Ahora bien, por lo general el BW es ms caro que el
procesador y la memoria.

Protocolos Jerarquicos versus Planos

Los equipos del backbone sirven y coordinan las rutas y el trfico de y
para los enrutadores que no estn el internetwork local.
Por lo general dos niveles de jerarquia son suficientes para proveer
escalabilidad. OSPF e IS-IS son protocolos jerarquicos.
Los protocolos planos no permiten una red jerarquica, propagan toda
la informacin de enrutamiento a lo largo de la red, sin dividir o
sumarizar grandes redes en areas pequeas, lo cual es un ventaja de
los protocolos jerarquicos. Los enrutadores son vecinos de todos,
ningn router tiene un rol especial. EIGRP, RIPv1 y RIPv2 son
protocolos planos.
Jerarquic OSPF e ISIS
os
Planos
RIPv1, RIPv2, EIGRP,
IGRP

Classless Versus Classfull Routing Protocolos

Se pueden clasificar basados en su soporte a VLSM y CIDR.
Los protocolos ClassFull no publican la mascara de subred en sus
actualizaciones.
La mascara configurada en la red debe ser la misma a todo lo largo.
Ejemplos: RIPv1 e IGRP.
Los protocolos Classless, publican la mascara de cada ruta. Soportan
VLSM y CIDR (Sumarizacin). Ejemplos: RIPv2, OSPF, EIGRP, IS-IS,
RIPng, OSPFv3, EIGRP para IPv6, BGP.
Classfull
RIPv1 e IGRP
Classless RIPv2, OSPF, EIGRP, ISIS,
RIPng,
OSPFv3,
EIGRP para IPv6, BGP.

Protocolos IPv4 vs IPv6

Ninguno de los protocolos de enrutamiento IPv4 soportan redes IPv6 y
ninguno de los protocolos de IPv6 son compatibles con redes IPv4,
pero ambos protocolos pueden coexistir en la misma red.

Distancia administrativa
Es posible que dos protocolos diferentes tengan una ruta hacia el
mismo destino, por esto es que los enrutadores Cisco asignan una
distancia administrativa a cada protocolo.
Cuando existen multiples rutas a un destino, el enrutador selecciona
la ruta mas especifica, por ejemplo: para encontrar la red
170.20.10.1, OSPF tiene una ruta 170.20.10.0/24 y EIGRP
170.20.10.0/16. El router utiliza la ruta por OSPF, porque tiene el
prefijo mas largo 24 bits, es mas especifico.
En el caso de que dos o mas protocolos de enrutamiento ofrezcan la
misma ruta (con el mismo largo de prefijo), los enrutadores Cisco
seleccionan la ruta con la distancia administrativa mas pequea.
La distancia administrativa es un nivel de la confianza de la fuente de
informacin de enrutamiento.

External BGP, EIGRP, IGRP, OSPF,IS-IS, RIP, Internal BGP.

Metricas de protocolos de enrutamiento y prevencin de Loop

Algunos parmetros de mtrica de enrutamiento son:
1. Cuenta de saltos: Cuenta la cantidad de enlaces entre routers.
RIP utiliza esa mtrica. Funciona bien en enlaces con el mismo
ancho de banda. La ruta mas corta no es siempre la mejor.
2. Ancho de banda: Utiliza el ancho de banda (bandwidth) para
determinar la mejor ruta a un destino. La ruta con el ancho de
banda mas grande es seleccionada. FE sobre DS-3.
3. Costo: Es la utilizada por OSPF y se deriva del ancho de banda
de la interfaz. IS-IS implementado por Cisco asigna un costo por
defecto de 10 a todas las interfaces. La formula para calcular el
costo en OSPF es 10exp8/BW. El costo de un FE=10. El costo de
la ruta (path)= suma de todos los costos del path.
4. Load (Carga): Se refiere al grado de uso de una interfaz. Load es
uno de los 5 parametros de la mtrica de [EI|I]GRP, pero por
defecto no se usa. En Cisco load se muestra como una fraccin
sobre 255. 100% de utilizacin = 255/255.
5. Delay: Se refiere a cuanto tiempo toma para mover un paquete
a un destino. Depende de muchos factores como ancho de
banda del enlace, utilizacin, encolamiento y distancias fsicas.
Igual que Load es uno de los 5 parametros de la mtrica de [EI|
I]GRP, pero por defecto no se usa. Se puede configurar un delay
con el comando delay tens-of-ms.
6. Realiability (Confiabilidad): Depende del estado del enlace, si
cae y levanta muchas veces tiene poca confiabilidad. Se mide
con factores como: Keepalives recibidos, nmero de paquetes
perdidos y resets de interfaces. Es uno de los 5 parmetros de
la mtrica de [EI|I]GRP, pero por defecto no se usa. Se mide con
un factor 255/X, donde 100% = 255/255.
7. MTU: El mximo tamao de bytes que se puede tener en una
interface. Si el paquete es ms grande que el MTU, se debe
fragmentar, pero si la bandera de do not fragment esta
activa, el paquete se elimina.

Esquemas de prevencin de enrutamiento

1. Split Horizon: Las rutas que se aprenden de un vecino, no se
envan devuelta a est.
2. Poison Reverse: Simplemente indica que la ruta aprendida es
inalcanzable. Es ms confiable que solo Split horizon. En lugar
de no enviar una ruta a su vecino, porque la aprendi de este
(como dice Split Horizons), ms bien se la enva pero marcada
como inalcanzable (16 saltos).
3. Cuenta al infinito: Bsicamente es un tcnica para evitar loops,
donde cada salta suma o resta a un valor llamado TTL. Para
IGREP y EIGRP es 100 saltos.
4. Triggered Updates: Cuando una interfaz cambia de estado, el
enrutador enva un mensaje de actualizacin, aunque no sea
tiempo de uno. Esta actualizacin es clave para mantener
validas las rutas. Util para rpida convergencia.

5. Sumarizacin: Los protocolos que soportan CIDR puede utilizar

sumarizacin de rutas, logrando reducir el tamao de la tabla
de enrutamiento y pocas actualizaciones en la red ocurren

ODR (On-demand Routing)

Es un mecanismo para reducir el overhead con el enrutamiento.
Es soportado por Cisco nicamente.
Con ODR no hay necesidad de configurar rutas dinmicas o estticas
en el router hub (equipo que conecta Stub routers al CORE). Como
todo el trafico de salida es a travs de la WAN de los routers stub
routers, no es necesaria informacin de enrutamiento externa.
Simplifica la configuracin, en la que los HUB routers mantienen
dinmicamente rutas hacia las redes stub. Con ODR los routers Stub
publican los prefijos IP de sus redes conectadas al Hub router, pero
sin configurar un protocolo de enrutamiento, solo require una ruta
default y configurar CDP.
ODR utiliza CDP para comunicar entre el hub y el stub, por lo que
debe estar habilitado. CDP enva actualizaciones cada 60s.
El hub routers puede ser configurado para redistribuir las rutas
aprendidas por CDP en protocolos de enrutamiento. Asi mismo los
stub routers deben ser configurados con una ruta default al router
Hub.
Los beneficios de ODR son:
Menos overhead que los protocolos de enrutamiento dinamicos.
No requiere configuracin o administracin de rutas estaticas
en el Hub router.
Reducida utilizacin del circuito.
Aprenderse antes del examen

IS-IS es utilizado por ISP en sus redes.

Capitulo 10: RIP and EIGRP

RIPv1
Protocolo vector distancia
No soporta VLSM ni CIDR
No soporta autenticacin.
Utiliza Split-horizon y poison reverse.
Enva actualizaciones cada 30s.
Soporta Triggered updates.
En Cisco soporta load balancing de costos iguales.
Tiene una distancia administrativa de 120
Utiliza UDP 520
25 rutas por mensaje.
Cuenta saltos, hasta 15, 16 es no encontrable.
4 timers:
- Update: cada 30 s
- Invalid: La mantiene por 180s una vez que la marco
como invalida.
- Flush Timer: Es cuando se borra completamente a
los 240s.
- Holddowm Timer: Implementado por Cisco, se usa
para estabilizar los enrutadores, bsicamente
cuando una ruta cambia no aceptan ms cambios
por 180s.
30/180/180/240 = UIHF

RIPv2
Soporta VLSM
Soporta autenticacin con MD5
Enva actualizaciones por multicast 224.0.0.9
Envia actualizciones cada 30s con triggered updates.
Cuenta saltos hasta 15.
Distancia administrativa 120.
Realiza sumarizacin por defecto.
Tiene los mismos timers de RIPv1.
En Cisco soporta load balancing de costos iguales

RIPng
Cuenta saltos hasta 15.
Utiliza UDP 521.
Envia updates por multicast (FF02::9)
Los timers son iguales solo cambia el flush que esta en 120s. Bajo a la
mitad.
No maneja autenticacin se la deja a IPv6.
EL formato del mensaje es diferente.
El next-hop, cambia por una ruta dentro del mensaje con una mtrica
especial
Soporta IPv6.
Implementan los mismos mecanismos de RIP.

La misma distancia administrativa (120).

IGRP
Es una solucin a los 15 saltos de RIP, pero con todos sus dems
problemas.
Es vector distancia.
Protocolo IP numero 9.
Soporta hasta 104 rutas por update.
No soporta autenticacin.
Nacio en la misma dcada de RIP.
Distancia administrativa 100.
Metrica = 10exp7/BW + SUMA(delay).
TTL = 100 por defecto, pero max= 255.
Selecciona la ruta con el mejor BW en lugar de la mas corta.
Es Classful, no soporta VLSM o CIDR.
Requieres de una red plana
Realiza sumarizacin
Envia toda su tabla de enrutamiento cada 90s.
Implementa Split horizon, triggerd updates, holddown timers y poison
reverse
Puede realizar loadbalancing.
Timers:
- Update = 90s
- Invalid = 270s
- Holddown = 280s
- Flush = 630s
90/270/280/630 =UIHF

EIGRP para IPv4

Es classless.
No requiere una red jerarquica.
No enva updates peridicos.
Permite autenticacin con MD5.
Aplica sumarizacin igual a IGRP y RIP.
Puede realizar loadbalancing sobre igual o desigual (variance) costo.
Trabaja sobre el protocolo IP 88.
Es propietario.
Se describe como un protocolo distance vector avanzado que
implementa algunas caractersticas de protocolos Link state, que lo
vuelven segn otros autores un protocolo hibrido.
EIGRP publica su tabla de enrutamiento a sus vecinos, como lo hace
un protocolo vector distancia, pero utiliza hellos y forma relaciones de
vecinos como un protocolo link-state.
Soporta triggered updates cuando cambia la mtrica o la topologa.
Utiliza el algoritmo dual para obtener rutas libres de loops a los
destinos.
Distancia administrativa 90.
Diametro mximo 225, 100 por defecto.

Rutas sumarizadas tienen un costo de 5.

Rutas externas (redistribuidas) tienen un costo de 170.
Componentes:
Protocol-dependent modules: Los modulos son la interfaz
lgica entre DUAL y los protocolos de ruteo IPX RIP, RTMP de
Apple Talk e IGRP, que le permiten soportar IP, IPX y Apple Talk.
Esto le permite redistribuir automticamente con IGRP si los dos
estn configurados con el mismo sistema autnomo.
Neighbor discovery and recovery: EIGRP descubre y
mantiene informacin sobres sus vecinos. Envia multicast hellos
cada 5s. El enrutador construye con la informacin EIGRP de sus
vecinos. El holddown para mantener un vecino es 15s (3x
hello), sino lo saca de la tabla. En enlaces WAN (X.25, FR, ATM)
con velocidades menores de T1 hace los hello multicast cada
60s y el holddown de vecino es 180s.

Reliable Transport Protocol (RTP): Lo utiliza para asegurar

la entrega confiable de las actualizaciones de rutas y tambin
utiliza nmeros de secuencia para asegurar la entrega
ordenada. Envia los updates multicast con la direccin
224.0.0.10 pero los ack los envian en unicast sin datos.
DUAL: Se implementa para seleccionar rutas y evitar loops de
enrutamiento. Esta matemticamente probado que el resultado
es una topologa libre de loops, sin necesidad de updates
peridicos o holddown de rutas. DUAL selecciona la mejor ruta
llamada successor y una segunda mejor ruta llamada feasible
successor. La feasible distance es la mtrica mas baja calculada
para llegar al destino. Si una ruta esta marcada con P significa
que esta pasive, sea no se est realizando ningn clculo. Si el
successor cae y no un feasible entonces se coloca la ruta en
active, por lo que enva paquetes a sus vecinos buscando un
feasible successor. Un router puede responder con la ruta, o con
un query que indica que no la tiene y que va a participar de la
recomputacin. La ruta no se coloca en pasiva hasta que el
router no ha recibido un reply de cada vecino, pero si no
recibido este reply de todos en 3 min (active time), entonces
coloca la ruta en stuck in active (SIA)

EIGRP TIMERS
Envia actualizaciones nicamente cuando es necesario y solo a sus
enrutadores vecinos utilizando la direccin multicast 224.0.0.10
No tiene actualizaciones periodicas.
Utiliza paquetes hello para conocer a sus vecinos, en redes de alta
velocidad cada 5s y en redes menores a T1 cada 60s.
Hello = 5s y Holdtime = 15s en redes de alta velocidad.
Hello = 60s y Holdtime = 60s en redes de menos de T1.

EIGRP Metrics
Utiliza la misma mtrica compuesta que IGRP, solo que el BW se
multiplica por 256 para mayor granularidad.
La mtrica se compone de BW, Delay, Load y reliability. El MTU no es
un atributo para el clculo de la mtrica compuesta.
La mtrica ajustada de EIGRP = 256 * {[10exp7/BW]+
[sum_of_delays]}
En la formula, BW = es el menor BW en Kbps de la ruta y delay =
suma de todos los delays en decimos de segundo de las interfaces de
salida en la ruta.
Tabla con los valores por defecto de delay y bandwidth de EIGRP.

Tipos de paquetes

Hello: Para descubrir a sus vecinos.

ACK: Para indicar que si recibi una actualizacin. Es
bsicamente un hello pero sin datos, enviado a la direccin
unicast del que envi la actualizacin.
Update: Contienen informacin de enrutamiento sobre
destinos. EIGRP enva los paquetes de actualizacin a los
vecinos recin descubiertos, en caso contrario, se enva un
multicast a la direccin multicast 224.0.0.10 cuando un enlace
o mtrica cambia. Se enva un ACK cuando se recibe update.
Query: EIGRP enva querys para encontrar un feasible
successor a un destino. Un query es un multicast a menos que
sea enviado como una respuesta que se enva de vuelta al que
origino el query.
Reply: Son las respuestas unicast que se envan a los query
indicando un feasible successor al equipo que envi el query.

Diseo EIGRP
Se puede utilizar en:
site-to-site WAN y IPSec.
Enterprise campus.
Data center.
Server distribution
Building distribution

Network core.

EIGRP para IPv6

Tiene las mismas caractersticas de EIGRP para IPv4, pero se maneja
separado y sus principales caractersticas son:
Implementa mdulos independientes del protocolo.
Utiliza la misma mtrica.
Utiliza los mismos tiempos.
Tiene un feasible successor y feasible distance.
Tiene los mismos tipos de paquetes.
Se administra y configura separadamente de EIGRP IPv4 Requiere un Router ID antes de iniciar.
Se configurara en Interfaces.
Utiliza la direccin IP multicast FF02::A
Soporta autenticacin.

Diseo con EIGRP IPv6

Igual que EIGRP para IPv4.

Summary

224.0.0.9
RIPv2, balanceo de rutas con el mismo costo.
224.0.0.10
EIGRP, soporta balanceo de rutas con el mismo
costo, o con diferentes costos.
Con los parmetros default de delay, EIGRP selecciona el path con el
mas grande menor BW.
EIGRP y RIP realizan sumarizacin.

Capitulo 11: OSPF y IS-IS

Los dos son link state, IGP.
OSPFv2
Link State, usa el algoritmo SPF de Dijkstra.
Es para IPv4
Fue creado para utilizarse en redes grandes, donde RIP fallaba.
Cada router enva informacin sobre el mismo y sus enlaces a todos
los dems equipos en la area.
No enva su tabla de enrutamiento, pero si el estado del enlace de sus
interfases.Con
la
informacin
de
link-state
cada
router
individualmente calcula las mejores rutas para los destinos mediante
el algoritomo SPF.
Cada router en el area mantiene una base de datos idntica
describiendo la topologa del area.
La tabla de enrutamiento la construye individualmente cada router
utilizando su copia local de la base de datos.
Es classless.
Soporta load balancing de igual costo.
Soporta autenticacin
Utiliza multicast para comunicarse.
Utiliza el protocolo IP 89. Uno mas que EIGRP.

Diseo y conceptos
OSPF utiliza el costo, que es un valor de 16bit.
El costo se calcula basada en el ancho de banda en la formula
10exp8/BW.
BW= Ancho de banda de la interfaz expresado como un entero de
bps.
Si el costo es menor a 1, entonces es 1.
OSPF utiliza paquetes hello para descubrir vecinos.
Los hello se envan cada 10s o cada 30s en redes que no soportan
broadcast.
Utiliza la IP 224.0.0.5.
Lo paquetes hello tienen informacin como: Router ID, area ID,
autenticacin y prioridad.
Despues de que dos enrutadores intercambian paquetes de hello y
establecen una comunicacin en dos vas, ellos establecen
adjacencias.
En redes punto a punto, los vecinos validos siempre levantan una
adjacencia y se comunican utilizando la direccin multicast 224.0.0.5.
En ambientes broadcast (Ethernet) y NBMA (Frame Relay), todos los
enrutadores levantan adjacencias con el DR y el BDR pero no entre
ellos. Todos los enrutadores responden al DR y BDR utilizando la
direccin 224.0.0.6.
En redes punto multipunto no broadcast, puede ser necesario
configurar un grupo de vecinos que estn directamente encontrables
sobre la redes punto multipunto. Cada vecino se identifica por su

direccin IP en la red punto multipunto. En este tipo de redes no elige

DR.
En redes punto-punto se utilizan direcciones unicast.

reas OSPFv2
La inundacin inicial y el mantenimiento de la base de datos de LSA,
puede sobrecargar un enrutador. Para reducir esos efectos se utilizan
Areas.
Un area, es una agrupacin lgica de enrutadores y enlaces que
dividen la red.
Los enrutadores comparten informacin del estado de los enlaces
(link-state) solo con enrutadores en su rea.
rea= numero decimal de 32 bits.
El rea 0 esta reservada para el rea backbone, que siempre debe
existir, ya que es la encargada de
distribuir informacin de
enrutamiento entre areas.

Tipos de enrutadores OSPF

Enrutador Interno: Cualquier enrutador cuyas interfaces

pertenezcan todas a las misma area. Estos enrutadores
mantienen solo una base de datos de estado de enlace.
ABR: Enrutadores que estn conectados en mas de un area.
Estos enrutadores mantienen una bd por cada area a la que
pertencen. Por lo general generan summary de LSA.
ASBR: enrutadores que inyectar LSA externos dentro de la BD
de OSPF (Redistribucin). Estas rutas son aprendidas a travs
de otros protocolos o rutas estaticas.
Backbone Router: enrutadores con al menos una interfaz en
el area 0.

OSPF DR
La idea del DR, es recolectar todos los LSA de la red y enviarlos a los
enrutadores no DR. Con esto se logra reducir la cantidad de LSA
generados.
Un enrutador puede ser el DR para una red multiacceso (ethernet) y
no en otra red que est conectado tambin.
Asi mismo se elige un BDR, que entra en funcin cuando falla el DR.
El DR/BDR crean adjacencias con todos los enrutadores (DRothers) en
la red multiacceso.
Los enrutadores en el area envan los LSA por multicast nicamente a
sus enrutadores adjacentes.
Los enrutadores (DRothers) envan paquetes multicast a los DR y BDR
utilizando la direccin 224.0.0.6, pero el DR inunda las actualizaciones
utilizando la direccin 224.0.0.5.
La seleccin del DR/BDR se basa en la prioridad de la interface. El
valor por defecto es 1, y la prioridad mas alta determina el DR.
OSPF utiliza el valor numerico mas alto de ID de enrutador. El ID de
enrutador es la direccin IP lookback, pero si no hay interfaz lookback

entonces la direccin fsica ms alta. Los enrutadores con un ID=0 no

pueden ser elegidos como DR/BDR.
Es importante mencionar que si se conecta un enrutador con una
prioridad mas alta en una red que ya tiene su DR/BDR, este no se
vuelve el DR hasta que el DR/BDR fallen.
Distancia administrativa 110

Tipos de LSA

1 y 2 son intra. Router y Network

3 y 4 son inter. Son ABR
5 y 7 son externos: ASBR

AS External Path Types

Existen dos tipos de AS External Paths, que se asocian con los tipo 5:
Tipo 1 (E1): Metrica de redistribucin + Costo para llegar al ASBR.
Tipo 2 (E2): Los ASBR publican destinos externos, cuyo costo puede
ser solo una mtrica de redistribucin. Este es el default.

OSPF Stub Area Types

Stub Areas
La idea es inyectar una solo ruta default, para no recibir LSA tipo 5,
osea rutas fuera del AS, pero si LSA tipo 3, con info de las dems
areas.
La idea es que conozca todas las areas, pero nada fuera de esta.
Si existen muchos ABR, entonces se inyectan muchas rutas default.
Totally Stubby Areas
Solo inyecta una ruta default, no enva LSA tipo 3, 4 o 5. La idea es
que todo lo alcance a travs de su ABR, pues solo este camino tiene.
Si hay varios ABR, cada uno inyecta una ruta default.
NSSA (No-so-stubby area)
Esta es un area que tiene un ASBR, el cual enva la info al ABR, quien
la inyecta al AS

El ASBR genera los LSA externos tipo 7, mientras mantiene las

caracteristicas de un area stub en el resto del AS. Existen dos
opciones en el ABR que conecta al ASBR:
- Traducir los LSA tipo 7 en tipo 5 e inundar el resto
de la red.
- PasaR los tipo 7 directo, no se traduce nada.

Virtual Links
OSPF requiere que todas las areas se conecten a un enrutador
backbone, pero algunas veces esto no es posible, por lo que se
pueden utilizar virtual links para conectar temporalmente el area con
el backbone.
El flujo dentro del virtual link es unidireccional y debe ser configurado
en cada enrutador del enlace. La idea es que un area se vuelva
transito, por lo que el trafico entre estas dos areas (el area que no
conecta con el area 0 y el area de transito) no fluya directo entre ellas
sino a travs del area 0.

OSPFv2 Router Authentication

Soporta autenticacin de rutas utilizando 64 bits en clear text o MD5.
Con clear text y MD5, el password no debe ser el mismo para toda el
area, solo entre vecinos.

OSPFv3
No es compatible con OSPFv2.
Pero si implementa los mismos algoritmos.
Los cambios son:
Versin 3: Es una versin ms nueva con soporte nico de IPv6.
Soporte para direcciones IPv6: Se crearon nuevos LSA para
transporte de direcciones IPv6 y prefijos.
Per-link Processing: OSPF utiliza procesamiento por subnet, con
link processing, los enrutadores en el mismo link pueden
pertenecer a la misma subred.
Address Semantics removed: Las direcciones se han removido
de los LSA de enrutador y red, ahora los LSA proveen
informacin de la topologa.
No tiene autenticacin
Nuevos Link LSA: Para local-link flooding scope.
Nuevo Intra-Area-Prefix LSA: Carga con todos la informacin
prefijos IPv6, similar a los LSA de router y red.
Identificador de vecinos por ID de enrutador: Los vecinos se
identifican siempre con el ID de enrutador, caso contrario de
OSPFv2 para redes broadcast y punto a punto.

OSPFv3 Areas y Tipos de enrutador

OSPFv3 mantiene la misma estructura y conceptos de OSPFv2, por lo
que las areas y los tipos de enrutadores son los mismos.

OSPFv3 Link State Advertisements

Mantiene los mismos LSA de OSPFv2 con algunas modificaciones y
dos nuevos LSA: Link LSA y Intra-Area- Prefix.
Todos los LSA utilizan un encabezado comn de 20bytes que indica el
tipo de LSA, el enrutador que enva el anuncio y el nmero de
secuencia. Asi como el tiempo en segundos que ha transcurrido desde
que fue generado el LSA y adems cuenta con 3 bits llamados U, S1,
S2, que modifican como debe ser difundido el LSA.
A continuacin se muestran los 9 LSA de OSPF

Router LSA describe el costo y el estado de todas las interfases del

enrutador que lo enva. Este LSA se enva dentro del area y no
contiene prefijos IPv6.
Network LSA son generados por los DR en redes broadcast o NBMA.
Estos describen todos los enrutadores que estn conectados al enlace
que esta adjacente al DR, solo se envan dentro del area y no
contiene prefijos IPv6.
Inter-Area-Prefix LSA: Describe rutas hacia prefijos IPv6 que
pertenecen a otras areas, son generados por el ABR, se usan para
enviar la ruta default en stub areas y solo se envan dentro del area.
Son similares a las tipo 3 de OSPFv2.
Inter-Area-Router LSA: Describe una ruta a un router en otra area, es
similar a los tipo 4 de OSPF. Lo origina el ABR y tiene un tipo de LSA
0x2004. Se envan dentro del area nicamente.
AS-External: Describen redes que son externas al AS. Son originadas
por el ASBR. Son LSA tipo 0x4005 y son enviados a todos los
enrutadores dentro del AS.

Group-membership: Describen las redes directamente conectadas

que contienen miembros de un grupo multicast. Esta limitado al area
y tiene un tipo 0x2006.
Tipo 7 LSA: Describen redes que son externas al AS, pero son
anunciadas por el area NSSA nicamente. Son LSA tipo 0x2007.
Link LSA: Describe la direccin de un enlace local de un enrutador y
una lista de los prefijos IPv6 asociados con el enlace. Se enva al
enlace local y tiene un tipo 0x0008.
Intra-Area-Prefix: Es un nuevo tipo de LSA, que es utilizado para
publicar prefijos IPv6 asociads con un enrutador, una red stub, o un
segmento de red de transito asociado. Este LSA contiene informacin
que es utilizada para ser parte del router-LSA y network LSA.

IS-IS
Es una especificacin creada por ISO (ISO/IEC 10589) y por IETF 1142.
Es un protocolo link-state, que inunda informacin de link-state en
toda la red para construir un foto de la topologa de red.
Fue pensado para enrutador paquetes OSI Connectionless Network
Protocol (OCNP), pero tambin puede enrutar IP.
Se utiliza en el enrutamiento interno de proveedores de Servicios.
Crea dos niveles de jerarqua:
Nivel 1 para intra-area: Se comunican entre niveles 1 dentro
de la misma area.
Nivel 2 para inter-area: Se configuran para reas L1/L2, que
enrutar entre areas L1 y desde un intra-domain routing
backbone.
El enrutamiento jerrquico simplifica el diseo del backbone, porque
L1 solo debe conocer cmo llegar al L2 ms cercano.

Mtrica IS-IS
A como fue definido originalmente tiene un valor mximo de path de
1023.
La mtrica elegida por convencin fue la capacidad para manejar
trfico, como su throughput en bps. Valores altos indican baja
capacidad.
Cualquier enlace puede tener un mximo valor de 63.
IS-IS calcula los valores del path sumando los valores de los enlaces
El estndar configura el valor de maximum metric para soportar
varios tipos de enlaces y asegurar que el SPF sea eficiente.
En Cisco todas las interfases tienen una mtrica por defecto de 10,
pero no es bueno este valor para redes grandes y TE. Cisco resuelve
esto con Wide metric (24 bits campo de mtrica).
Asi mismo Cisco no soporta las 3 mtricas opcionales delay, expense
y error, ya que wide metric utiliza estos campos.
Es classless.
Envia actualizaciones parciales solo cuando cambia algo.
Distancia administrativa de 115.

IS-IS Operation and Design

Los limites del area en IS-IS son enlaces no enrutadores.

No hay BDR.
Utiliza NET para identificar cada enrutador: NET es la direccin OSI
utilizada por cada enrutador para comunicarse con OSI PDUs. Una
direccin NET va desde 8 a 20 bytes y consiste de un dominio, ID de
rea, ID de sistema y un selector (SEL). Ejemplo: 49.0001.
00aa.0101.0001.00
Donde 49= Dominio.
0001= Area
00aa.0101.0001= MAC address = System ID
00= SEL, simpre en 00.

IS-IS DRs
Los selecciona en redes multiacceso, pero NO seleccionan BDR.
En redes punto a punto no hay DR.
El valor de prioridad default es 64 y va de 0 a 127.
0= no elegible.
El nivel de prioridad mas alto = DR.
En redes multiacceso todos los enrutadores establecen adjacencias
con todos los dems en la subred y los vecinos se vuelven adjacentes
al descubrise, lo que contrasta con OSPF.

IS-IS Areas
Utiliza dos niveles de jerarqua.
Los enrutadores se configuran para enrutar nivel 1, nivel 2 o ambos.
L1 = OSPF internal routers en una Area Totally stubby. No tienen
informacin sobre destinos fuera del area y utilizan rutas L1 hacia sus
enrutadores L1/L2 para encontrar redes fuera.
L2 = OSPF backbone router.
L1/L2 = OSPF ABR. Mantienen una BD de link-state para cada nivel.
Adicionalmente no publican rutas L2 en el area L1.
IS-IS no define un backbone pero se podria considerar un backbone
un camino continuo de adjacencias L2

IS-IS Authentication
Soporta tres tipos de autenticacin clear text:
Link authentication: Para enrutadores dentro de una subred
comn. El password en clear text debe ser el mismo solo entre
los enrutadores en el enlace.
Area authentication: Todos lo routers deben tener el mismo
modo de autenticacin y el mismo password.
Domain authentication: Solo enrutadores L2 y L1/L2 lo
utilizan y deben tener el mismo modo de autenticacin y el
mismo password.
Recientemente se creo el draft para MD5.

IS-IS para IPv6

Es un draft

Especifica nuevos objetos de tipos, largos y valores (TLV), TLV de

confibilidad y TLV de direccin de interfaz para enviar informacin de
IPv6 en la red.
El IOS de Cisco ya lo soporta como lo especifica el Draft.

Capitulo 12 BGP, Route manipulation y IP Multicast

BGP
La versin actual es BGP v4, basado en el RFC 1771 de marzo de
1995.
BGP es un protocolo interdomain, osea que permite intercambiar
rutas entre diferentes AS.
La funcin primaria de BGP es intercambiar informacin sobre la
accesibilidad de redes entre dominios o AS.
BGP es un protocolo path vector que est adaptado para configurar
polticas de enrutamiento entre AS.
No es distance-vector ni link-state.
A nivel Enterprise BGP se utiliza en el modulo de Internet.
Tambien se puede utilizar en grandes redes internas.
Utililza el protocolo TCP puerto 79.
La versin 4 de BGP soporta CIDR.

Vecinos BGP
Usualmente se configura BGP entre dos enrutadores directamente
conectados que pertenecen a diferentes AS que estn bajo distintas
administraciones.
Se utiliza por lo general para conectar una empresa con el SP o para
conectar dos SP.
Los AS son asignados por la ARIN, pero los nmeros entre 64512 y
65535 estn asignados a IANA y estn designados para uso privado.
Antes de que dos enrutadores BGP puedan intercambiar
actualizaciones de rutas, deben establecerse como vecinos:
Establecen una conexin TCP.
Intercambian informacin: BGP versin, #AS, BGP Router ID y
capacidades.
Aceptan la informacin
Se establecen como vecinos
Inician el intercambio de actualizaciones de rutas.

eBGP
Es un trmino utilizado para describir el BGP peering entre vecinos en
diferentes AS.
Como se describe en el RFC 1771, los peers de eBGP comparten una
misma subnet.

iBGP
Es un trmino utilizado para describir el BGP peering entre vecinos en
el AS.

Se utiliza por lo general en AS de transito, osea AS que reenvan

trafico de un AS externo a otro AS externo. Si los AS de transito no
utilizan iBGP, las rutas aprendidas por eBGP tendran que ser
redistribuidas en un IGP y luego redistribuidas en el proceso BGP en
otro enrutador eBGP. Normalmente el nmero de rutas eBGP son
demasiadas para que un IGP las maneje. Adems iGBP brinda una
mejor manera para controlar las rutas dentro de un AS de transito.
Con iBGP la informacin de enrutamiento externa (atributos) es
reenviado, en cambio los protocolos IGP no entienden o reenvan los
atributos de BGP, incluyendo AS paths entre enrutadores eBGP.
Otro uso de iBGP es en grandes empresas donde las redes IGP estn
en dominios de enrutamiento independientes a lo largo de lmites
organizacionales o geogrficos. Por ejemplo una empresa que tenga 3
IGP diferentes conectados a un iBGP de CORE.
eBGP and iBGP redistribuyen automticamente en un router si los
Peers de BGP estn configurados con el mismo numero de AS.

Otros usos de iBGP

Aplicar polticas en el AS interno con la ayuda de BGP path

attributes.
QoS Policy Propagation on BGP (QPPB): QPPB utilize iBGP para
extender parametros comunes de QoS de un enrutador a otros
enrutadores en la red. Se clasifican los paquetes utilizando los
bits de IP precedence basado en listas de comunidades BGP,
BGP AS paths y ACL. Despues que los paquetes son clasificados,
los features de QoS pueden aplicar polticas.
Multiprotocol BGP peering of MPLS VPN: La version multiprotocol
de BGP es utilizado para transporter informacin MPLS VPN
entre todos los PE dentro de la comunidad VPN.

Route Reflectors
iBGP requiere que todos los enrutadores sean configurados para
establecer una conexin TCP con todos los dems enrutadores iBGP,
para convertirse BGP peers.
En redes grandes esta maya puede convertirse en algo muy grande,
por lo que se pueden utilizar RR, para reducir el numero de enlaces
de la maya entre lo iBGP peers.
RR permiten a un enrutador publicar o reflejar rutas a sus enrutadores
clientes que son peer de este, formando un cluster
Adicionalmente los RR crean peer con los dems RR.
Un cluster puede tener mas de un RR, por lo que tienen configurado
el mismo cluster ID.

Confederaciones
Es otra forma de disminuir el nmero de enlaces para construir el full
mesh. La idea es dividir el AS en AS pequeos y privados. Todo el
grupo es asignado a un ID de confederacin.

Los AS privados o identificadores no son publicados en Internet pero

son contenidos dentro de las redes iBGP. Los enrutadores dentro de
cada AS privado son configurado con una malla Full iBGP. Cada AS
privado es configurado con eBGP para comunicarse con otros semiAS
en la confederacin
Los AS externos ven nicamente el AS de la confederacin que se
configura con el identificador de confederacin BGP. El AS externo =
ID de confederacin.
Con confederaciones se necesita un enlace full mesh dentro de cada
semi AS

BGP Distancia administrativa

Debido a que las rutas aprendidas por iBGP no tienen mtrica
asociada con la ruta como los protocolos IGP lo hacen, las rutas
aprendidas de esta forma tienen una distancia administrativa muy
alta.
eBGP 20
iBGP 200

Atributos BGP, Peso, el proceso de decisin BGP

BGP utiliza los atributos de una ruta para seleccionar la mejor ruta a
un destino. As mismo comunica las polticas de enrutamiento. Los
atributos son:
Next-hop
Local preference
AS path
Origin
Multiexit discriminator (MED)
Atomic aggregate
Aggregator
Los atributos se pueden organizar en:
Bien conocidos: Son reconocidos por todas las
implementaciones de BGP. Estos a su vez se dividen en:
o Mandatorios: Son incluidos siempre en los mensajes de
update de BGP.
o Discrecionales: Pueden ser o no incluidos en los
mensajes de update.
Opcionales: Son utilizados para experimientos o pruebas.
Estos se pueden categorizar en:
o Transitivos: Los enrutadores deben publicar la ruta con
los atributos transitivos aunque los vecinos no soporten
el atributo localmente.
o No Transitivos: El router no tiene que publicar la ruta a
sus vecinos.

Descripcin de los atributos de BGP:

Next-hop: Es la direccin IP del next-hop que ser utilizado
para llegar al destino. Es bien conocido y mandatorio. Con eBGP
se coloca el next-hop cuando se anuncia la ruta y en redes
multiacceso se usa este atributo cuando hay mas de un router
BGP.
Local Preference: Indica el camino para salir del AS. Es bien
conocido y discrecional utilizado por peers iBGP y no se pasa a
los peers eBGP externos. En Cisco el valor por defecto es 100 y
el valor mas alto es preferido. Este atributo se configura en un
equipo con una salida externa que luego publica hacia el iBGP
interno.
Origin: Define la fuente de la informacin de la ruta. Es bien
conocido y mandatorio. Existen 3 tipos:
o IGP: Cuando la ruta es aprendida por medio de un
network statement. Se indica con una i en la tabla de BGP.
o EGP: Aprendido por EGP. Se indica con una e en la tabla
de BGP
o Incomplete: Aprendido por una redistribucin de la ruta.
Se indica con un ? en la tabla de BGP.
AS Path: Es un atributo que contiene la lista de AS en la ruta
hacia un destino. Es bien conocido y mandatorio. Cada AS
agrega su numero en el AS Path. Se utiliza para asegurar que la
ruta esta libre de loops. La ruta con la menor cantidad de saltos
AS, es la preferida cuando se utiliza para enrutar.
MED: Se conoce como mtrica, indica a los peers BGP externos
la ruta preferida dentro del AS cuando existen multiples rutas
en el AS. sea MED influencia cual ruta un AS vecino va a
utilizar para llegar a destinos dentro del AS. Es opcional y no
transitivo enviado en las actualizaciones eBGP. Los peers iBGP
no lo usan. EL valor mas bajo es el preferido y el default es 0.
Community: No se usa en el proceso de seleccin de rutas,
pero agrupa rutas y les aplica polticas o decisiones. Es opcional
y transitivo de tamao variable.
Atomic Aggregate y Aggregator: Le deja saber a los peer
BGP que el BGP router esta utilizando una ruta agregada.
Entonces el BGP speaker tiene la opcin de enviar el atributo
aggregator, el cual brinda el numero de AS y la direccin IP del
enrutador que origino la ruta agregada. Atomic es bien conocido
y discrecional mientras que aggregate es opcional transitivo.

Peso(weight)
Es asignado localmente en un enrutador para especificar un ruta
preferida cuando existen multiples rutas para un destino. El peso

puede ser aplicado a rutas individuales o a todos las rutas recibidas

de un peer. Es exclusivo de enrtuadores Cisco y no se enva a otros
enrutadores. El valor va de 0 a 65535. El peso mayor es preferido. Las
rutas que son originadas por el enrutador local tienen un peso por
defecto de 32768.
Se puede utilizar en lugar de local preference. La diferencia es que se
configura localmente y que no se intercambia en las actualizaciones.

BGP Decision Process

Por defecto BGP selecciona solo una ruta para un destino especfico.
La implementacin de Cisco, selecciona la ruta, la coloca en la tabla
de enrutamiento y propaga la ruta a sus vecinos.
El algoritmo consta de 11 pasos:
1. Si el next hop esta cado, se quita la ruta
2. Si la ruta es interna (sincronizacin habilitada) y la ruta no esta en
el IGP, botar la ruta.
3. Preferir la ruta con el mayor peso. (Cisco)
4. Preferir la ruta con el mayor local preference.
5. Preferir la ruta que fue originada localmente con network o
redistribute en lugar de las aggregate-address (Cisco)
6. Preferir la ruta con el AS path mas corto, en caso de que no se haya
originado ninguna ruta.
7. Si todas las rutas tienen el mismo AS path, preferir la que tiene el
menor origin type (IGP sobre EGP).
8. Si los cdigos de origin son iguales preferir la que tiene el menor
MED.
9. Si tienen el mismo MED preferir las eBGP sobre las iBGP.
10. Si las rutas siguen iguales, entonces preferir la ruta que va a
travs del vecino mas cercano IGP mas cercano.
11. Preferir la ruta por el vecino BGP con el router ID mas bajo.
Una vez que BGP ha seleccionado la mejor ruta, la marca con un > en
el show ip bgp y la agrega a la tabla de enrutamiento.
Revisa si esta arriba.
Peso
Local Preference
Aggregate- aggregator
AS path
Origin
MED
eBGP/iBGP
iBGP mas corto
router ID mas bajo.

Manipulacin de rutas
PBR
Se utiliza para modificar la direccin de next-hop o para marcar
paquetes para que reciban un servicio diferenciado (marcar el IP
precedence)

Sumarizacin de rutas
Reduce el trafico de enrutamiento, la computacin innecesaria de
rutas y adems permite a la redes crecer. La idea es sumarizar en la
capa de distribucin, el CORE solo necesita conocer las rutas
sumarizadas.

Redistribucin de rutas
Se configura en enrutadores que residen en el EDGE de un SP. Estos
enrutadores intercambian rutas con otros AS. Tambien se utiliza en
enrutadores que corren ms de un protocolo de enrutamiento.
Algunas razones para redistribuir son:
1. Migracion de un protocolo de enrutamiento viejo a uno nuevo.
2. Mezcla de marcas y protocolos de enrutamiento propietarios.
3. Diferentes dominios administrativos entre departamentos
utilizando diferentes protocolos de enrutamiento.
4. Adquisiciones de empresas o fusiones donde ambas empresas
necesitan comunicarse inicialmente.
Hay dos tipos:
Dos vas: Ocupas filtros para evitar feedback.
Una va: Se da en accesos remotos, rutas BGP o estaticas en el
IGP o rutas VPN estaticas en el IGP.
La mtrica default en EIGRP, RIPv2 y IS-IS de una redistribucin es 0 y
se utiliza el comando redistribution
En el caso de OSPF se debe utilizar el comando subnets, para evitar
que utilice el default summarization y se haga classful en lugar de
unas cuantas subnets.
Por defecto en OSPF las rutas son External tipo 2, pero se puede
modicar con el comando metric-type para que sean tipo 1.

IP Multicast Review
Multicast soporta la transmisin de paquetes IP desde una fuente a
multiples host dentro de un grupo.

Direcciones IP multicast
Son la clase D y van desde 224.0.0.0 a 239.255.255.255
Las direcciones de 224.0.0.1 a 224.255.255.255 estan reservadas.
Las direcciones de 239.192.0.0 a 239.251.255.255 estan reservadas
para organization-local scope

Las direcciones de 239.252.0.0 a 239.252.255.255, 239.254.0.0 a

239.254.255.255 y 239.255.0.0 a 239.255.255.255 estan reservadas
para site-local scope.
224.0.0.1 all host
224.0.0.2 all routers
224.0.0.5 all OSPF routers
224.0.0.6 all OSPF DR routers
224.0.0.9- RIPv2
224.0.0.10 EIGRP
224.0.0.13 ALL pim routers

Mapeo L3 con L2
Multicast en L2 soporta Ethernet (Fe o GE), Token Ring, FDDI
utilizando la direccin IEEE 802 0100.5e00.0000. Las interfases
Ethernet mapean los 23 bit menores con los 23 bits menores de la
direccin IP multicast en hexagecimal.
Entonces:
0100.5e00.0000 -> 224.0.0.2 = 0100.5e00.0002

IGMP
Es el protocolo utilizado por las implementaciones de multicast entre
los host y el enrutador local.
Los host utilizan IGMP para reportar su membreca de grupo multicast
a los enrutadores. Los mensajes IGMP utilizan el protocolo IP 2 y no
son ruteables.
Tipos de IGMP:
IGMPv1: Primera versin escrita en 1989, describe las
extensiones de host para multicast IP. Brinda tipos de mensajes
simples para la comunicacin entre hosts y enrutadores. El
problema con esta versin es la latencia para dejar un grupo,
pues un host debe esperar hasta que el enrutador le pregunte,
el default de un query es 60s, pero requiere 3 query para dejar
un grupo. Los mensajes son:
o Membresia Query: Enviado por el enrutador para
determinar cuando un host desea unirse a un grupo
multicast.
o Reporte de membreca: Enviado por el host para unirse
a un grupo multicast en el segmento.
IGMPv2: Mejora el IGMPv1 brindanda una rpida terminacin o
dejar un grupo. Tiene los siguientes mensajes:
o Membrecia Query: Enviado por el enrutador para
determinar cuando un host desea unirse a un grupo
multicast.
o Versin 2 Reporte de Membreca: Un mensaje enviado
a la direccin del grupo con las direcciones IP de los
miembros del grupo multicast. Es enviado por lo host para
unirse y permanecer en grupos multicast en el segmento.

o Versin 2 Dejar Grupo: Enviado por los host para

indicar que un host dejara el grupo. Se enva al destino
224.0.0.2. Despus de que el host enva este mensaje, el
enrutador responde con group-specific query.
o Versin 1 Reporte de membreca: Para mantener
compatibilidad con la versin 1.
IGMPv3: Brinda las extensiones requeridas para soportar
Source-Specific Multicast (SSM) y tiene compatibilidad con las
versiones anteriores. Los mensajes son:
o Membresia Query: Enviado por el enrutador para
determinar cuando un host desea unirse a un grupo
multicast.
o Versin 3 reporte de membreca: Un mensaje enviado
a la direccin del grupo con las direcciones IP de los
miembros del grupo multicast. Es enviado por los host
para unirse y permanecer en grupos multicast en el
segmento.
o Versin 2 Reporte de Membreca: Un mensaje enviado a la
direccin del grupo con las direcciones IP de los miembros
del grupo multicast. Es enviado por lo host para unirse y
permanecer en grupos multicast en el segmento.
o Versin 2 Dejar Grupo: Enviado por los host para indicar
que un host dejara el grupo. Se enva al destino 224.0.0.2.
Despus de que el host enva este mensaje, el enrutador
responde con group-specific query.
o Versin 1 Reporte de membreca: Para mantener
compatibilidad con la versin 1.
IGMP se puede habilitar en una interfaz cuando se habilita un
protocolo de enrutamiento multicast como PIM.

CGMP
Es un protocolo de Cisco para contralar el trafico multicast en L2,
pues a este nivel el switch no se da cuenta de los mensajes IGMP L3.
CGMP permite al switch hablar con el router IGMP y encontrar cuales
son las direcciones MAC de los host que deben recibir los paquetes
multicast. Con CGMP los switches pueden distribuir las sesiones
multicast nicamente a los puertos del switch que son miembros de
un grupo. Una ventaja de este protocolo es que detecta los mensajes
de LEave de IGMP v2 y deshabilita rpidamente el multicast en el
puerto.

IGMP Snooping
Es otra forma para que los switches controlen el trafico L2 de
multicast. El escucha los mensajes IGMP entre los hosts y
enrutadores. Si un host enva un mensaje de solicitud IGMP a un
enrutador, el switch agrega al host en un grupo multicast y permite al
puerto recibir multicast. El puerto es removido si el host enva un
mensaje IGMP de leave. La desventaja es que monitorea cada
paquete IGMP, lo que puede impactar el CPU.

Spare vrs Dense Multicast Routing Protocols

El trafico IP multicast se transmite desde la Fuente a los receptors
utilizando un spanning tree desde la fuente que conecta con todos los
host en el grupo. Cada host destino se registra como un miembro
utilizando IGMP. Los enrutadores mantienen un registro de estos
grupos dinmicamente y contruyen arboles de distribucin que
grafica caminos desde cada fuente hasta todos los receptores. Los
protocolos de enrutamiento multicast siguen los siguientes
acercamientos:
(Dense Mode): Asume que todos los miembros de los grupos
multicast estn densamente distribuidos a travs de toda la red
(muchas subredes tienen al menos una miembro) y que el
ancho de banda es abundante. La idea es inundar el trafico
multicast a travs de la red y entonces a solicitud de los
enrutadores receptores, parar el flujo de trafico en los bordes de
la red que no tienen miembros del grupo multicast. Los
protocolos que utilizan este acercamiento son: DVMRP,
Multicast OSPF (MOSPF), Protocol-Independent Multicast-Dense
Mode (PIM-DM).
(Spare Mode): Asume que los miembros multicast estn
esparcidos a travs de la red y que no hay mucho ancho de
banda disponible. Sparse mode no implica que hay pocos
miembres solo que estn muy distribuidos. La idea es no enviar
trafico a menos que sea solicitado por los enrutadores
receptores o host. Los protocolos que utilizan este aceramiento
son: Core-Based Trees (CBT, pero no es muy utilizado), ProtocolIndependent Multicast-Spare Mode (PIM-SM)

Multicast Source and Shared Trees

Los arboles de distribucin multicast controlan el camino que los
paquetes multicast toman hacia un destino.
Hay dos tipos:
Source trees: La raz del rbol es la fuente del grupo multicast
y se expande a travs de la red, como un spanning tree, hacia
los host destino. Tambien son llamados Shortest-Path Trees
(SPT), porque crean caminos sin tener que ir a travs de un
rendezvous point. El problema es que todos los enrutadores a
travs de la ruta utilizan recursos de memoria para mantener
una lista de todos los grupos multicast. PIM-DM utiliza este
source. (Una fuente alternativa mientras se estable la
suscripcin normal del receptor).
Shared trees: Crean la raz del rbol de distribucin en algn
lugar entre la red fuente y los receptores. La raz se llama RP. El
rbol es creado desde el RP, como un spanning tree, sin loops.
Su ventaja es que reduce los requerimientos de memoria de los
enrutadores en la red multicast. La desventaja de los arboles
compartidos es que incialmente los paquetes multicast pueden

no tomar la mejor ruta hacia los receptores porque deben pasar

a travs del RP. Una vez que los fujos de datos comienzan a
fluir desde la fuente hacia el receptor RP, los enrutadores en el
camino optimizan la ruta automticamente para remover los
saltos innecesarios. La funcin de RP consume mucha memoria
en el enrutador designado. PIM-SM utiliza RP (shared trees).

PIM
Tiene dos opciones:
PIM-SM: Utiliza arboles compartidos y RP para llegar a
miembros multicast muy dispersos con un protocolo
eficientemente razonable a nivel de ancho de banda.
PIM-DM: Utiliza RPF (reverse path forwarding) para llegar a
miembros de grupo relativamente cercanos con una eficiencia
razonable del procesador y memoria en los equipos de red de
los arboles de distribucin. Con RPF, los paquetes multicast
recibidos son enviados a todas las otras interfases, permitiendo
que el stream de datos llegue a todos los segmentos. Si no hay
host miembros en el grupo multicast en alguno de las subredes
de los enrutador, entonces enva un mensaje de prune al rbol
de distribucin (reverse path) para indicar al upstream router
que no envie paquetes para el grupo multicast

PIM-SM (utiliza RP)

RFC 2362, asume que ningn host desea recibir trafico multicast a
menos que lo pida.
Selecciona un enrutador como RP, quien obtiene la informacin de las
fuentes y pone disponible para los receptores.
Los enrutadores que tienen receptores, deben registrarse en el RP.
Los equipos finales solicitan la membresia a un grupo multicast
utilizando IGMP contra sus enrutadores locales. Los enrutadores que
sirven los equipos finales entonces se registran como receptores de
trfico con el RP para el grupo especfico de multicast en la red.

PIM-DR
Un enrutador designado (DR) es seleccionado en segmentos
multiacceso corriendo PIM. El PIM-DR es responsable de enviar join,
prune y registrar mensajes al RP. EL enrutador PIM con la direccin IP
ms alta se selecciona como el DR.

Joining PIM-SM
Los DR en los segmentos finales reciben los mensajes de Query de
IGMP proveniente de los hosts esperando para unirse a un grupo
multicast. El enrutador revisa si ya esta recibiendo el grupo por otra
interfaz.
Si ya esta recibiendo el grupo, el enrutador agrega la nueva interfaz a
la trabla y enva reportes de membresia peridicamente por la nueva
interfaz.

Si el grupo multicast no esta en la tabla de multicast, el enrutador

agrega la interfaz a la tabla y enva un mensaje join al RP con la
direccin 224.0.0.13 (todos los PIM Routers) solicitando el grupo
multicast.

Pruning PIM-SM
Cuando un PIM-SM no tiene mas hosts recibiendo trafico multicast o
enrutadores receptores en cualquiera de sus interfases, entonces
enva un mensaje de prune al RP, el cual contiene el grupo que debe
ser pruned o removido.

Auto-RP
Otra forma sera que el RP anuncie sus servicios a la red PIM, el
proceso se llama auto-RP. Los RPs candidatos envan sus anuncios a
los agentes de mapeo RP con la direccin IP 224.0.1.39 (cisco-rpannounce). Los agentes de mapeo RP son tambin configurados. En
redes pequeas, el RP puede ser el agente de mapeo. Los agentes de
mapeo RP escuchan los anuncios. El agente de mapeo RP entonces
selecciona el RP para un grupo basado en la direccin IP mas alta de
todos los candidatos RPs. Los agentes de mapeo RP entonces envan
mensajes RP-discovery al resto de los enrutadores PIM-SM en la red
con el mapeo RP-to-group seleccionado.

PIMv2 Bootstrap Router

En lugar de utilizar auto-RP, se puede configurar un enrutador PIMv2
bootstrap (BSR) para seleccionar automticamente un RP para la red.
Con BSR se puede configurar BSR candidatos (C-BSR) con prioridades
desde 0 a 255 y una direccin BSR. C-BSR intercambian mensajes de
bootstrap, que se envan con la direccin IP 224.0.0.13 (ALL PIM
routers). Si un C-BSR reciben un mensaje de bootstrap, el lo compara
con la suya. La prioridad ms alta de C-BSR se selecciona como el
BSR.
Despues de que el BSR se seleciona, el recolecta una lista de
candidatos RPs. EL BSR selecciona los mapeos de RP-to-group, que se
llama el RP set y distribuyen los RPs seleccionados utilizando
mensajes enviados 224.0.0.13.

DVMRP
El el primer protocolo de enrutamiento muticast utilizado en el
backbone multicast (MBONE).
DVMRP opera en dense mode utilizando RPF (reverse path forwarding)
utilizando enrutadores para enviar una copia de paquetes multicast
por todos los caminos.
Los enrutadores que reciben los paquetes multicast envan mensajes
prune hacia sus vecinos superiores para detener el stream de datos
siempre y cuando ya no tengan receptores del grupo multicast.
DVMRP utiliza su propio protocolo de enrutamiento unicast, el cual es
similar a RIP (basado en cuenta de 32 saltos). El soporte de Cisco a
este protocolo es parcial. La redes DVMRP son usualmente

implementadas sobre maquinas Unix corriendo el proceso mrouted.

Un tnel DVMRP se utilizado tpicamente para conectar con la red
MBONE DVMRP.
PIM es un protocolo de enrutamiento Multicast que utiliza cualquier
protocolo de enrutamiento IP para realizar una revisin de RPF.
La idea es que hay dos modos de PIM:
Spare Mode: Se basa es que hay poco ancho de banda y los
clientes estn muy dispersos en diferentes subreres. Se puede
utilizar auto-RP y PIMv2 BootStrap Router, para seleccionar
automticamente los RP Para esto se utiliza:
o RP (arboles compartidos): Recibe la informacin de los
diferentes orgenes y la pone a disposicin de los
receptores.
o DR: Reciben las peticiones de join y prune a nivel de IGMP
para pasarlas al RP.
Dense Mode: Se basa en que hay muchos clientes en las
subredes y que hay mucho ancho de banda. Utiliza RFP y source
tres (crean rutas sin necesidad de un RP), para encontrar
miembros relativamente cerca, pero usa mucho procesador y
memoria de los equipos en el camino. Osea, la idea es inundar
la red con multicast y que los enrutadores intermedios indiquen
cuando dejar de enviar.

IPv6 Multicast Address

IPv6 retiene el uso y funcin de direcciones multicast como una clase.
El prefijo FF00::/8 se asign.
La siguiente tabla muestra las direcciones IP bien conocidas:

Capitulo 13 Security Management

Network Security Overview
La seguridad de red debe ser transparente para el usuario final y
tambin debe ser diseada para prevenir ataques:
Bloquear atacantes externos.
Permitir acceso nicamente a usuarios autorizados.
Prevenir ataques originados internamente.
Suportar diferentes nivels de acceso de usuario.
Resguardar la informacin de manipulacin o mal uso.

Legislacin en seguridad

US Public Company Accounting Reform and Investor

Protection Act of 2002 (Sanbanes-Oxley) SOX: Se enfoca
en la exactitude y los controles impuestos sobre los registros
financieros de una compaia.
Gramm-Leach-Bliley Financial Services Modernization
Act of 1999 (GLBA): Brinda proteccin contra el venta de
informacin de cuentas y bancaria que es regularmente
comprada y vendida por instituciones financieras. Tambien
protege contra la prctica de obtener informacin privada a
travs de falsas pretensiones.
U.S. Health Insuranace Portability and Accounting Act
(HIPAA): Aplica a la proteccin de informacin mdica privada
que es utilizada electronicamente. El propsito es habilitar un
mejor acceso a informacin mdica, reducir el fraude y bajar el
costo del cuidado medico en los U.S.
EU Data Protection Directive 95/46/EC: Llama a la
proteccin de la privacidad de las personas con respecto al
procesamiento de la informacin personal.

Amenazas de seguridad

Reconocimiento: El objetivo de reconocimiento es obtener la

mayor informacin posible
sobre el objetivo o red.
Generalmente se da antes de lanzar un ataque. Las tcnicas
que usan la herramientas de escaneo son conexiones TCP, TCP
SYNs, ACK sweeps, ICMP sepes, SYN sweeps y null scans.
o Las herramientas de port-scanning mas famosas son:
NMAP
SuperScan
NetStumbler
Kismet
o Informacin sobre vulnerabilidades:
CERT

MITRE
Microsoft
Cisco
o Herramientas de vulnerabilidades:
Nessus: Es open source
SAINT: Es para UNIX.
MBSA: Es de Microsoft.
Obtener acceso no autorizado: Es el acto de atacar o
explotar un sistema o host. Los Sistemas operativos, servicios y
el acceso fsico tienen vulnerabilidades, asi como tambin se
puede utilizar la ingeniera social para obtener informacin
confidencial. La idea final es borrar, cambiar o leer informacin
confidencial.
DoS: La idea es sobrecargar recursos como memoria, CPU y
ancho de banda para negar acceso a los usuarios legitimos.

Riesgo de Seguridad
Para proteger los recursos de la red, procesos y procedimientos, la
tecnologa necesita dimensionar el riesgo de seguridad. Las
caractersticas de la red que pueden tener riesgos de amanezas de
seguridad incluyen: confidencialidad, integridad de los datos y
disponibilidad del sistema:
La disponibilidad del sistema debe asegurar el acceso
inenterumpido a los recursos de red y computacionales
para prevenir la perturbacin del negocio y la baja en la
produccin.
Integridad de datos debe asegurar que nicamente los
usuarios autorizados pueden cambiar informacin crtica y
garantizar la autenticidad de la informacin.
La confidencialidad de la informacin debe asegurar
que nicamente los usuarios legitimos pueden ver
informacin
sensitiva
para
prevenir
el
robo,
responsabilidades legales y daos a la organizacin.

Blancos de un ataque
Los host son el blanco favorito, en especial para virus y worms,
adems luego que son comprometidos, se utilizan para lanzar nuevos
ataques.
Una lista seria la siguiente:
Equipos de infraestructura: Routers, switches.
Equipos de seguridad: Firewalls, IDS/IPS.
Servicios de red: Servidores DHCP y DNS
Equipos finales: Equipos de gestin y telfonos IP.
Infraestructura: El ancho de banda de la red y su capacidad.

Prdida de disponibilidad
Los ataques DoS tranta de bloquear o denegar acceso para impactar
la disponibilidad de los servicios de red.
Los ataques DDoS son iniciados por multiples fuentes dentro de la red
para incrementar el tamao e impacto del ataque y ocurren cuando el
atacante toma ventaja de vulnerabilidades en la red o el host.
Algunos puntos comunes de falla son:
Una red,host o aplicacin fallan en procesar grandes cantidades
de datos enviados a el.
Un host o aplicacin es puede manejar una condicin
innesperada como son datos mal formateados o agotamiento
de los recursos.
La mayora de estos ataques utilizan tcnicas de spoofing y flooding y
algunos mtodos para combatir ataques DoS son:
DHCP Snooping: Verifica todas las transacciones DHCP y
previene de servidores DHCP no oficiales.
Dynamic ARP inspection: Inspecciona los paquetes ARP y
verifica que estos tenga una asociacin valida de IP-MAC.
Unicast RPF: Previene que direcciones IP fuente desconocidas
utilicen la red como medio de transporte para lanzar ataques.
ACL: Controlan que trafico es permitido en la red.
Rate Limiting: Controlan el ancho de banda que utiliza el
trafico de entrada, como en el caso de solicitudes DHCP o ARP.

Violaciones de Integridad y Brechas de confidencialidad

Violacin de integridad = Atacante cambia datos sensitivos sin la
apropiada autorizacin. Este tipo de ataques son una seria amenaza
para el negocio, pero indentificar este ataques es muy difcil y los
efectos pueden ser devastadores.
Brechas de confidecialidad = Ocurren cuando un atacante intenta leer
informacin sensitiva. Son difciles de detectar y la perdida de
informacin puede suceder sin que el dueo lo note.
Es importante utilizar controles de acceso restrictivos para prevenir
ataques de
violacin de integridad y confidencialidad. Algunas
formas de aplicar control de acceso para reducir el riesgo son:
Restringir el acceso, separando la red en vlans y utilizando
firewalls.
Restringir el acceso con controles del sistema operativo.
Limitar el acceso de un usuario utilizando perfiles por diferentes
roles departamentales.
Utilizar tcnicas de encripcin para asegurar la informacin y
firmar digitalmente los datos.

Politica de seguridad y procesos

Para brindar los niveles de seguridad apropiados e incrementar la
disponibilidad de la red, es necesaria una poltica de seguridad,
adems la seguridad de la red se construye alrededor de una poltica
que es parte del ciclo de vida de un sistema.
Las necesidades de negocio definen que se debe hacer con la red.
Un Risk assessment es una parte del ciclo de vida, pues explica el
riesgo y su costo.
Una poltica de seguridad describe los procesos, procedimientos,
guias y estadares de la organizacin. Asi mismo las mejores practicas
de la industria se utilizan para proveer procesos bien conocidos y
procedimientos.
Para crear una poltica de seguridad, el RFC 2196 brinda esta gua:
1. Identificar que se trata de proteger.
2. Derterminar de que esta usted tratando de protegerse.
3. Determinar que tan probables son las amenazas.
4. Implementar medidas para proteger los activos de una manera
costo efectiva.
5. Revisar el proceso continamente, y hacer mejoras cada vez que
se detecta una falla.

Proposito de una poltica de seguridad

Describir los roles y requerimientos para asegurar tecnologa e
informacin.
Existen dos grandes razones para tener una poltica de seguridad:
1. Provee una gua para la implementacin de seguridad:
a. Identifica los activos y como utilizarlos.
b. Define y comunica roles y responsabilidades.
c. Describe herramientas y procedimientos.
d. Clarifica el manejo de incidentes de eventos de seguridad.
2. Provee un baseline de seguridad de la postura actual de
seguridad:
a. Describe las conductas permitidas y las no permitidas.
b. Define las consecuencias del mal uso de los activos.
c. Provee un anlisis de costo y riesgo.
Algunas preguntas que deben ser respondidas cuando
implementaa una poltica de seguridad:
Cuales datos y activos deben ser incluidos en la poltica.
Que comunicaciones de red esta permitida entre host.
Como se implementara la poltica.
Que pasa si la poltica se violenta.
Como los ltimos ataqus impactaron la red y los equipos de
seguridad.

se

Componentes de una poltica de seguridad

Algunos de sus componentes son poltica de manejo de riesgo,
identificacin de activos y donde debe aplicarse seguridad. Otras

partes explican como las polticas relacionadas con el manejo del

riesgo son manejadas a lo largo de la empresa.
El manejo del riesgo, cuenta con las siguientes areas:
Politica de uso aceptable: Es un documento de usuario final que
se escribe en lenguaje simple. Define los roles y
responsabilidades dentro del manejo del riesgo. Debe brindar
explicaciones claras para evitar confusin.
Politica de control de acceso a la red: Define los principios
generales del control de acceso utilizados y como la informacin
debe ser clasificada como confidencial, top-secret o interna.
Politica de manejo de seguridad: Explica como manejar la
infraestructura de seguridad.
Politca de manejo de incidentes: defiene el proceso y
procedimientos para manejar incidentes y escenarios de
emergencia.

Risk Assessment
Es una tcnica utilizada para bajar el riesgo a niveles aceptables.
Los 3 compomentes principales de un risk assessment son:
Control: Refiere a como se utiliza la poltica de seguridad para
minizar el riesgo potencial.
Severity: Describe el nivel de riesgo para la organizacin.
Probability: Es la probabilidad de que un ataque contra el activo
ocurra.
Un risk assessment debe explicar lo siguiente:
Cuales activos deben ser asegurados.
El valor monetario de los activos.
La perdida actual que puede resultar de un ataque.
La severidad y la probabilidad de que un ataque contra los
activos pueda ocurrir.
Como utilizar la poltica de seguridad para controlar o minimizar
el riesgo.
Por lo general las empresas tienen suficiente seguridad para reducir
las perdidas potenciales a un nivel razonable.
Un ndice de riesgo se utiliza para considerar el riesgo de potenciales
amenazas y se basa en los componetes del risk assessment:
Control: La habilidad para controlar y manejar el riesgo.
Severity: La severidad de la perdida si el activo es
comprometido.
Probability: La probabilidad de que el riesgo realmente ocurra.
Una forma para determinar el ndice de riesgo es brindar un valor de
1 (bajo) a 3 (alto), donde:

UNO: El riesgo tiene un impacto limitado y es fcil de mitigar.

DOS: El riesgo tiene un efecto en un nico departamento o sitio.
TRES: El riesgo tiene un impacto sustancial en los usuarios o en
la organizacin completamente.
La formula es:
Indice de riesgo = (Severidad * Probabilidad) / Control

Seguridad Continua
La poltica de seguridad de la red debe reflejar los cambios en
requerimientos y tecnologas que ocurren, por lo que se crearon 4
pasos:
1. Secure: Identificacion, autenticacin, ACL, Stateful packet
inspection, encripcin y VPN.
2. Monitor: Intrusion y Content-based detection and response.
3. Test: Assessment, vulnerability scanning and security auditing.
4. Improve: Security data analysis, reporting and intellingent
network security.

Integrando mecanismos de seguridad en el diseo de red

Es importante tomar en cuenta la seguridad a la hora de disear
redes.

Trust and Identity Management

Define quien, que, como, cuando, donde un acceso a la red puede
ocurrir.
Acceso es brindado a travs de un nivel de derechos garantizados a
los usuarios. Adems esta parte se encarga de aislar y mantener a las
computadas infectadas fuera de la red aplicando control de acceso.
Los 3 componentes principales de Trust and Indentity son:
1. Trust: Es la relacin entre dos o mas entidades de red que son
permitidas para comunicarse. Las decisiones en las polticas de
seguridad por lo general se basan en esta premisa Si usted es
permitido, usted puede comunicarse como lo necesite. Sin
embargo a veces es necesario aplicar restricciones a a las
relaciones de confianza. Las relaciones de confianza pueden ser
explicitas o implcitas por la organizacin. Algunas relaciones de
confianza puede ser inherentes o pasadas de un sistema a otro,
pero al final, todas pueden ser abusadas.
a. Dominios de Confianza: Son una forma de agrupar
sistemas que comparten una poltica o funcin. Cuando se
aplica se puede lograr que grupos de usuarios (clientes,
partners o empleados) o conexiones (production to lab,
headquaters to branch) que tienen diferentes
requerimientos a nivel de seguridad puedan ser
administrados independientemente.

2. Identity: Es el quien en una relacin de confianza. Se valida con

credenciales y esta basada en los siguientes atributos:
a. Algo que se conoce: Conocer una contrasea o PIN. Por lo
general los usuarios no quieren utilizar contraseas
fuertes.
b. Algo que se tiene: Tener un token, smartcard, certificado o
llave.
i. Los tokens representan una forma de incrementrar
la seguridad recurriendo a autenticacionde dos
factores (algo que se, algo que tengo).
ii. Certificados son una forma de probar digitalmente
la identidad o permiso de acceso a informacin o
servicios, estos constan un par de llaves que se
usan para encriptar y firmar digitalmente
informacin. Por lo general contienen: Nombre y
llave publica del dueo, Fecha de expiracin,
Certificate authority, numero de serie, firma digital
del CA.
c. Algo que se es: Alguna caracterstica humana como una
huella, la retina o la voz.
3. Control de acceso: Es el mecanismo de seguridad para controlar
la admisin a redes y recursos. Estos controles aplican la
poltica de seguridad y emplean reglas sobre cuales recursos
pueden ser accesados. Control de acceso asegura la
confidencialidad e integridad de los recursos de red. Consiste
de:
a. Autenticacin: Establecer la identididad y acceso sobre
los recursos de red.
b. Autorizacin: Describe que puede ser echo y que puede
ser accesado.
c. Contabilidad: Brinda rastros de auditoria sobre
actividades.

Conectividad segura
Protege la integridad y privacidad de la informacin sensitiva de las
organizaciones
Las amenazas internas son 10 veces mas caras y destructivas que las
amenazas externas.

Fundamentos de criptografa
Utiliza encripcin para mantener los datos privados mientras protege
la confidencialidad. Un ejemplo es IPSec es un protocolo de seguridad
que utiliza algoritmos de encripcin para esconder el payload del
paquete IP durante su transmisin.

Llaves de Encripcin
Se necesita una llave para encriptar y otra para desencriptar para
establecer una comunicacin entre dos puntos. Existen dos formas
para intercambiar una llave entre puntos remotos:

Shared Secrets:
o Ambos lados pueden utilizar la misma llave o utilizar un
transform para crear una llave de desencripcin.
o La llave se coloca en el punto remoto, fuera de lnea.
o Es simple pero tiene problemas porque las llaves casi
nunca cambian.
Public Key Infraestructure (PKI):
o Se basa en criptografa asimtrica, utiliza dos llaves.
o Llaves publicas para encriptar y privadas para
desencriptar.
o Se utiliza en e-commerce.

Protocolos de VPN

IPSec
o Utiliza:
AH: Authentication Header, protocolo 51, RFC 2402,
brinda integridad sin conexin, autenticacion de
origen y antireplay.
ESP: Encapsulating Security Payload, protocolo 50,
RFC 2406, brinda confidencialidad, autenticacion de
origen, integridad y anti-replay
o Utiliza IKE para intercambio dinamico de llaves.
o Los puntos extremos necesitan software de IPSec.
SSL
o Utiliza TCP/443 (HTTPS)
o Provee conexin VPN encriptada utilizando un browser
o La mayora de los browser soportan SSL VPN.

Confidencialidad de Transmisin
La idea es encriptar los datos antes de transportarlos sobre cualquier
red no segura como internet.
Aunque ocurra un eavesdropping en Internet, desencriptar los
paquetes es muy complejo.
IPSec utiliza algoritmos bien conocidos para desarrollar el tratamiento
de confidencialidad del paquete, tales como:
3DES: Triple Data encription Standard
AES: Advanced Encription Standard.
RC4: Rivest Cipher 4.
Cabe destacar que la encripcin consume recursos por lo que impacta
el desempeo.

Integridad de Datos
Los protocolos de criptografa protegen los datos del tampering
utilizando huellas y firmas digitales que permiten detectar cambios en
la integridad de los datos.
Fingerprint, funciona agregando un checksum a los datos que es
generado y verificado con la llave secreta. La llave secreta solo la
conocen los autorizados. Un ejemplo sera Hash-based Message
Authentication (HMAC)
Las firmas digitales utilizan mtodo criptogrfico para firmar
digitalmente los datos. El firmante crea una firma utilizando una llave
que es nica y conocida solo por l. Los destinatarios del mensaje
pueden verificar la firma utilizando la llave de verificacin de firma. La
criptografa inherente en firmas digitales garantiza la veracidad y
autenticidad porque el origen firma.
Se recomienda analizar la necesidad de integridad de transmisin,
analizar el impacto en el desempeo, pero utilizar algoritmos fuertes
y bien conocidos.

Defenza ante amenazas

Tiene 3 areas principales:
1. Mejorar la seguridad de la red existente: Prevenir la perdida de
downtime, ganancias y reputacin.
2. Agregar servicios de seguridad a los puntos de la red: Asegurar
los servidores y desktops con CSA.
3. Habilitar la seguridad integrada en los enrutadores, switches y
appliances: Habilitar tcnicas de seguridad a lo largo de la red,
no solo en los puntos de produccin.

Seguridad Fisica
La seguridad fsica permite proteger y restringir acceso a los recursos
de la red y a los equipos fsicos equipos de la red.
Algunas consideraciones para amenazas de seguridad fsica:
Vulnerabilidades inherentes en los sistemas cuando los
atacantes accesan al hardware directamente a travs de
consola o software no confiable.
Acceso a la red, permitir a los atacantes capturar, alterar o
remover datos fluyendo en la red.
Atacantes pueden utilizar su propio hardware, como laptop o
router para inyectar trafico malicioso en la red.
Algunas guias de seguridad fsica:
Utilizar controles de acceso fsico como candados y alarmas.
Evaluar brechas de seguridad potenciales.
Contabilizar el impacto de robo de recursos de la red y equipos.
Utilizar controles como criptografa para asegurar el trafico
fluyendo en redes fuera de su control

Infraestructe protection
Es el proceso de realizar pasos para reducir el riesgo y amanezas para
la infraestructura de red y para mantener la integridad y alta
disponibilidad para los recursos de red.
Utilizando las mejores practicas y una poltica de seguridad, es
posible protegegr la infraestructura para prevenir ataques
potenciales.
Algunos equipos de Cisco tienen seguridad integrada como es el caso
de:
ASA: Firewall, IPS, IPSec, VPN y SSL VPN.
Routers: IOS Firewall, IPS, IPSec, VPN, DMVPN, SSL VPN.
Switches Catalyst: Firewall, IPS, SSL VPN, IPSec, VPN, DoS,
servicios virtuales para asegurar las zonas de seguridad.
Algunas mejores practicas para proteger la infraestructura son:
SSH en lugar de Telnet.
Utilizar AAA
Syslog collection y anlisis.
SNMPv3.
Deshabilitar servicios no utilizados.
Utilizar SFTP o FTP en lugar de TFTP.
Utilizar Access clases para restringir el acceso para
administracin y CLI.
Utilizar autenticacin de protocolos de enrutamiento.
Utilizar autosecure en los enrutadores antes de conectar a
internet.

Capitulo 14: Self-Defending Network

Cisco Self-Defending Network
Es una estrategia de Cisco para asegurar el negocio de una empresa,
identificando, preveniendo y adaptndose a las amenazas de
seguridad.
Cuenta con 3 componentes principales:
1. Trust and Identify management: Asegurar los recursos crticos.
2. Threat defense: Responder a los efectos de amenazas de
seguridad.
3. Secure connectivity: Brindar privacidad y confidencialidad a las
comunicaciones.

Network Security Plataforms

ASA: Firewall, IPS, Antivirus, IPSec, SSL VPN, capacidades de

NAC.
ISR: Combina IOS Firewall, IPS, Capacidades de NAC.
Switches Catalyst: Mitigaciones de DoS y Man-in-the-middle,
modulos de servicios.

Self-Defending Network Phases

Cuenta con 3 fases:
Integrated security: Seguridad a travs de la infraestructura
en donde cada equipo de la red actua como un punto de
defensa. Incluye routers, switches, wireless y appliance.
Collaborate security: Componentes de seguridad que
trabajan juntos con una poltica de seguridad. Ejemplo NAC.
Adaptive Threat defense: Herramientas utilizadas para
defender la red contra amenazas y varian las condiciones de
red. Defienden contra ataques de internet, reconocimiento de
conductas defienden contra virus, spyware, ataques de DoS.
Adicionalmente se habla de CSA, Trust Agent, IPS como servicios de
seguridad.

Trust and Identify

ACL: Se utilizan en Firewalls, Routers, switches, para restringir

trafico en las interfaces de entrada y salida basados en
direccin IP o puertos TCP/UDP.
Firewall: Diseado para permitir o denegar trafico basado en
las direcciones IP fuente/destino, protocolo o puerto. Realiza
Stateful Packet Inspection (mantiene un seguimiento del estado
de cada conexin TCP/UDP. Se basa en el nivel de seguridad
(peso) de las interfases.
Network Admission Control (NAC): Aplica cumplimiento de
seguridad en todos los dispositivos intentando accesar la red.
Se puede utilizar NAC Framework y Appliance.

802.1X: IEEE Media-level Access control standard que permite

y deniega acceso a la red y aplica polticas de trafico basado en
la identidad.
Cisco Identity-Based Network Services (IBNS): Basado en
varias soluciones integradas de Cisco para permitir
authentication, aprovisionamiento dinamico de vlans, guest
vlan, 802.1x con port security, para asegurar la infraestructura
de red y los recursos. En 802.1x clientes = suplicantes y
AP/Routers = authenticators. Con este servicio el host utiliza
802.1x+ EAP sobre LAN (EAPoL) para enviar sus credenciales e
iniciar una sesin en la red. Despues de que el host y el switch
establecen una conexin LAN, se solicita su usuario y
contrasea. El cliente enva las credenciales al switch, quien
reenvia la info al ACS quien lo valida, de ser correcto el
switch/AP brinda el acceso al host, de lo contrario se bloquea el
acceso.

Identity and Access Control Deployments

La autenticacin debe ser implementada lo ms cercano a la fuente
como sea posible.
Enfasis en auth fuerte para acceso desde redes no confiables.
Las reglas de acceso debe lograr aplicar la poltica de seguridad a
travs de las siguientes guias:
Reglas especificas al origen hacia cualquier destino deben
aplicarse lo mas cercano a la fuente como sea posible.
Reglas especificas de destino deben aplicarse desde cualquier
fuente lo mas cercano al destino posible.
Reglas mezcladas integrando fuente y destino deben ser
aplicadas lo mas cerca de la fuente como sea posible.
La idea es brindar solo el acceso necesario.
Las reglas distribuidas permiten granularidad y escalabilidad pero
incrementan la complejidad de administracin, mientras que las
centralizadas son fciles de manejar pero no hay mucha escalabidad
y flexibilidad.

Detecting and Mitigating Threats

Permite la deteccin temprana y notificacin de trafico no deseado
malicioso. Los objetivos son detectar, notificar y ayudar a detener
trafico imprevisto y no autorizado. Estas tcnicas ayudan a
incrementar la disponibilidad de la red, particularmente contra
ataques no identificados y no esperados. Las soluciones incluyen las
siguientes:
EndPoint Protection: Utilizar CSA, antivirus, etc para evitar que
se expandan las infecciones de virus.
Application security and anti-X Defense: Antispam, phishing,
spyware, file blocking, URL blocking, content filtering, packet

abuse, P2P no autorizado. Son productos suplementarios a los

IPS y Firewalls.
Infection containment: La idea es crear zonas utilizando ASA,
PIX, FWSM y IOS Firewalls para particionar la red en segmentos.
El firewall brinda seguridad, pero no elimina la necesidad de
monitoreo de red. Tambien se puede utilizar NAC.
Inline IPS and anomaly detection: IPS, IOS IPS, Guard/detector,
Anomaly detector.

Threats Detection and Mitigation Technologies

PIX: Firewall
FWSM: Modulo para el 6500.
ASA: Firewall robusto con IPS.
IOS Firewall: Feature de Firewall en el IOS.
IPS sensor appliance: NIPS.
IPS: Intrusion Prevention System (IOS Feauture).
CSA: Cisco Security Agent (HIPS).
Netflow: Estadisticas de los paquetes que fluyen por el router.
Syslog: Syslogging Data (IOS Feature)
SNMP: Simple Network Management Protocol (IOS Feature)
MARS: Monitoring, Analysis and Response System.
Cisco Traffic Anomaly Detector Module: Detector de ataques
DoS.

Threats Detection and Mitigation Solutions

Se colocan a lo largo de la red y pueden funcionar como una capa de
defensa efectiva para asegurar la comunicaciones de red.
Algunas fuentes de informacin para detectar y mitigar amenazas
son:
Netflow.
Syslog.
RMON events
SNMP Thresholds and traps.
CPE and interface statistics.
Reportes de MARS.

Security Management Applicantions

Brinda varias ventajas para la administracin y monitoreo de la red:
Repositorio Central para recolectar informacin de la red
para anlisis posterior de eventos de seguridad relacionados.
Muchas tienen capacidades de reportes. Algunos ejemplos:
AAA, Syslog, IDS.

Permite aplicar polticas de seguridad fcilmente en los equipos

via una interface grafica.
Control de acceso basado en roles para todas las cuentas de
manera que se puedan separar las tareas administrativas de las
funciones de usuario.
Politica, auditoria para el manejo correcto de incidentes.

Security Plataform Solutions

CSM: Solucion para administrar Firewalls, VPN, Router, switch

module e IPS. Las politicas pueden ser aplicadas por equipo,
grupo o globalmente.
ACS: Control centralizado de acceso a los equipos, brinda
TACACS y Radius y soporta routers, switches, firewalls, wireless
y VoIP.
MARS: Permite monitorear, identificar, aislar y responder a las
amenazas de seguridad. MARS logra entender la topologa de
red y la configuracin de los dispositivos como routers,
switches, firewalls y IPS.
CSA MC: Permite administrar los CSA y agruparlos para aplicar
polticas a varias de una vez.
SDM: El Router and Security Device Manager, es una
herramienta web para enrutadores desde 830 hasta 7301 que
simplifica la configuracin y troubleshooting.
ASDM: Herramienta web para la configuracin de ASA 5500, PIX
y FWSM.
Cisco IPS Device Manager: Herramienta web que permite
configurar y administrar IPS, corre dentro del equipo.

Integrating Security into Network Devices

IOS Security
o IOS Firewall: Brinda un stateful firewall para routers
perimetrales.
o IOS IPS: El IOS carga las firmas en el router y luego asocial
los ataques basado en las firmas
o IOS IPSec.
o IOS Trust and Identify: Grupo de servicios que incluyen:
AAA
SSH
SSL
802.1x
PKI

ISR security Hardware Options

Acelaracin de VPN integrada.

Cisco

Modulo AIM para terminar un gran numero de tneles como

DMVPN.
Moudulo de IPS.
Secure voice: Es un digital signal processor (DSP) que se instala
en un modulo packet voice/fax DSP module (PVDM), para
realizar conferencias y transcodificacin. Ademas permiten
Secure Real-time Transport Protocol (SRTP) para proteger el
paylod con encripcin.
Content Engine Module: Funciona en 2800/3800 y soporta 40
GB y 80GB.
Security Appliances.
ASA
PIX
VPN Concentrators

Intrusion Prevention
4215: 65Mbps
4240: 240 Mbps y hay modelos DC.
4255: 500 Mbps.
4260: 1Gbps.
Catalyst 6500 Services Modules:
FWSM: 5Gbps, un chasis soporta hasta 4.
IDSM-2:
SSL Service Module.
IPSec VPN SPA.
Network Analysis Module (NAM):
Traffic Anamaly Detector Module: Utiliza anlisis de
comportamiento y reconocimiento de ataques para detectar
patrones. Puede enviar una alerta o lazar al Guard para que
responda al ataque bloqueando trafico malicioso a velocidades
Gbps.
EndPoint Security
Protege servidores y desktop de las ultimas amenezas y tambin
ataques desconocidos tipo Dia Cero.
Incluye Firewall, IPS, Proteccion de cdigo mvil, Aseguramiento de la
integridad del S.O, logging. Todo se administra desde una consola
centralizada y enva logs a MARS. La consola tiene mas de 20
politicas que se puede utilizar para aplicar cientos de agentes
rpidamente a travs de la red.

Securing the Enterprise

Seguridad en el Campus Existe 4 categorias:
1. Identity and Access Control: 802.1x, NAC, ACL y Firewalls.

2. Threat detection and mitigation: Netflow, Syslog, SNMP, RMON,

MARS, IPS, HIPS.
3. Infraestructure protection: AAA, SSH, SNMP,SSH, auth de
protocolos de ruteo, Seguridad de capa 2.
4. Security Management: CSM, MARS, ACS.
CORE: CSM y MARS.
Distribucin: NAC, Netflow, syslog, FWSM, IPS, ACL.
Acceso: Seguridad de L2 y 802.1x
Seguridad en el Data Center:
Riesgos:
Aplicaciones comprometidas.
Acceso no auth.
Explotar servidores desde los ya comprometidos.
Seguridad
Consiste en aplicar las 4 categorias.
Seguridad en el Edge y WAN:
Riesgos:
Acceso de atacantes.
Comprometer la confidencialidad e integridad.
Malas configuraraciones.
Seguridad:
Identity and Access Control: 802.1x, NAC, ACL, Firewalls, URPF.
Threat detection and mitigation: Netflow, Syslog, SNMP, RMON,
MARS, IPS, HIPS, NAM
Infraestructure protection: AAA, SSH, SNMPv3,SSH, auth de
protocolos de ruteo, Seguridad de capa 2, RFC 2827
Security Management: CSM, MARS, ACS.