Capitulo 1
Los generadores de nuevos arquitecturas de red son:
Crecimiento de las aplicaciones
Evolucin de IT de conectividad bsica a sistemas inteligentes.
Incremento de las expectativas para las redes.
Fase Preparar
Fase Plan
Requerimientos de red y se crea un plan de proyecto.
Identifica los requerimientos de red caracterizando y
evaluando la red.
Desarrolla un anlisis de GAP contra las arquitecturas de mejores
practicas.
Se fija en el ambiente operacional.
Se desarrolla un plan de proyecto para administrar las tareas, partes
responsables, hitos y recursos para el diseo y la implementacin.
El plan del proyecto es seguido durante todas las fases del proyecto.
Fase de Diseo
El diseo de la red se realiza basado en los requerimientos
tcnicos y de negocio obtenidos de las fases previas.
El diseo provee alta disponibilidad, confiabilidad, seguridad,
escalabilidad y desempeo.
Se crean los diagramas de red y una lista de equipamiento.
El plan de proyecto es actualizado con informacin mas granular para
implementacin.
Apenas se aprueba inicia la implementacin.
Fase de Implementacin
El equipo nuevo es instalado y configurado en esta fase.
Nuevos equipos reemplazan o aumentan la infraestructura existente.
El plan de proyecto se sigue durante esta fase.
Cambios planeados en la red deben ser comunicados en reuniones de
control de cambios, con las aprobaciones necesarias para proceder.
Cada paso en la implementacin debe incluir una descripcin, guas
de instalacin detalladas, tiempo estimado de implementacin, pasos
para rollback e informacin de referencia.
Conforme los cambios son implementados deben irse probando antes
de hincar la operacin.
Fase de operacin
Servicios de NOC
Mantiene la red operando da a da.
La operacin incluye:
Administracin.
Monitoreo.
Mantenimiento del enrutamiento.
Administracin de las actualizaciones.
Administracin del desempeo.
Identificar y corregir fallas.
Fase de optimizacin
Involucra la administracin proactiva de la red identificando y
resolviendo problemas antes de que afecten la red.
Puede proveer un diseo de red modificado, para mejorar el
desempeo o para resolver problemas con aplicaciones, lo que
implica que el ciclo vuelva a iniciar.
Capa
de Aplicaciones:
Product Lifecycle Management.
CRM/ERP
Supply Chain Management.
Aplicaciones de colaboracin:
Instant messaging.
Unified messaging.
IPCC.
Meeting Place.
Video Delivery.
Service layer
Seguridad.
Identidad
Voz
Virtualizacin
QoS
Capitulo 2
Capa de Core
Es el backbone de switching a alta de velocidad.
Transporte rpido.
Alta disponibilidad
Redundancia
Tolerancia a fallas.
Baja latencia y buena administracin.
Evita la manipulacin lenta de paquetes causanda por filtros o
otros procesos.
Dimetro limitado y consistente.
QoS
Capa de Distribucin
Capa de acceso
Puros servicios de L2 + QoS y HA:
La capa de acceso esta caracterizada por segmentos LAN
switcheados o de BW compartido.
Alta disponibilidad
Seguridad de puertos (Port security)
Supresin broadcast.
QoS
Enterprise
Edge
E-Commerce
Internet
Core
WAN
WAN
Distribution
VPN
Interne
t
PSTN
Access
Edge Distribution
Enterprise Branch
Enterprise Data
Center
Enterprise
Teleworkers
a.
b.
c.
d.
e.
f.
g.
Impresin.
Aplicaciones.
Correo.
DNS.
Call Manager.
Administracin.
Monitoreo.
j. Wireless
Mdulos Remotos
Consiste de:
Enterprise Branch: Consiste de oficinas remotas y oficinas de
ventas
Enterprise Data Center: Brinda Disaster Recovery y
continuidad de negocio. Los componentes del Data Center son:
o Equipos de red
o Tecnologas LAN de alta velocidad
o Servicios interactivos
o Administracin DC.
Enterprise Teleworker: Consiste de una pequea oficina o
usuario movil que necesita acceso a los servicios del campus.
Disponibilidad de red
Tipos de redundancia:
Redundancia workstation-to-router en la capa acceso
del edificio: Una estacion de trabajo tiene muchas formas
de descubrir la direccin de un enrutador en su segmento
de red, incluyendo los siguientes:
o ARP: Se basa en la idea de enviar tramas ARP para
descubrir una estacin remota. Proxy ARP.
o Configuracin Explicita: Configurar un default
gateway.
o ICMP RDP: Una implementacin de ICMP (RFC 1256)
permite a una pc y un enrutador correr RDP para
aprender la direccin del router.
o RIP: Una pc puede correr RIP para aprender sobre
enrutadores
o HSRP: Trabaja creando una direccin IP virtual con
MAC Address que se configura como default
gateway en las computadoras. Tambien funciona
con Proxy ARP
o GLBP: Funciona parecido a HSRP, solo que balancea
trafico entre multiples enrutadores, brindando una
unica IP virtual pero multiples direcciones MAC. Los
Capitulo 3
Enterprise LAN Design
Reglas de diseo Ethernet
El mximo tiempo de propagacin en un red 100BT es de 5.12 ms
mientras que en 10BT es de 51.2 ms.
En 10BT se aplica la regla 5,4,3.
El largo mximo de un segmento en 10 y 100 BT es de 100metros.
100bt solo dos repetidores, la regla general indica que mximo 205
metros. Si se usa un repetidor clase I (0,7 ms) solo uno se permite,
mientras que un Clase II (0,46 ms) se permite hasta dos.
Fast EthernetChannel
Es un mtodo para incrementar el ancho de banda, balanceo de
cargas y redundancia entre dos sistemas por medio del agrupamiento
LAN Hardware
Repetidores: Se utilizan para conectar segmentos separados,
tomando la trama entrante, regenerando el prembulo,
amplificando la seal y enviando la trama por todas sus
interfases. Son equipos capa uno, por lo que no contralan
broadcast o dominio de colisiones. Utilizan la reglan 5,4,3.
Hub: Se crearon para concentrar redes en un cuarto de
cableado. Trabajan igual que los repetidores pero con mas
puertos.
Bridges: Trabajan en capa 2, protegen los dominios de
colisiones. Aprenden las direcciones MAC de todos los nodos
conectados en cada segmento y en cual interfase estan
conectados. Solo envia una trama si el destino se encuentra en
otro de sus puertos. Trabajan haciendo store and forward y
antes de enviar una trama revisan el CRC. As mismo
implementan STP para eviar loops. La prioridad del bridge va de
0 a 65535 siendo 0 la mayor. BID = Prioridad + MAC.
Switches: Buscan reducir la latencia, utilizan cut-through en
lugar de store and forward. Cada Puerto es un dominio de
colisiones diferentes pero es parte de mismo dominio de
broadcast, asi mismo proveen ancho de banda total en full
duplex.
Routers: Controlan los dominios de colisiones y son un dominio
de broadcast en cada Puerto.
Layer 3 Switches: Cada Puerto es un dominio de colisiones y
permite agrupar puertos en diferentes dominios de broadcast
Caractersticas ambientales.
Tipos de aplicaciones
Punto-a-Punto: MSN, Compartir archivos, Telfonos IP y video
conferencia.
Cliente con servidores locales: Servidores que estn en el
mismo segmento que el cliente o cerca.
Cliente con granjas de servidores: Correo, servidor de archivos y
base de datos.
Cliente con servidores empresariales de borde: Servidores
externos como SMTP, web, servidores pblicos y e-commerce.
Large-Building LAN
Estn segmentadas por pisos o departamentos de hasta 200 usuarios.
El acceso es para uno o mas departamentos o pisos. La distribucin
es para uno o varios edificios y el CORE para conectar el data center ,
componentes de distribucin y el edge.
Edge Distribution
El Edge provee seguridad adicional entre el campus y el Enterprise
Edge para evitar:
IP Spoofing
Acceso no autorizado
Reconocimiento de la red.
Sniffers
Seguridad WLAN
Los primeros esquemas de seguridad como WEP fueros rpidamente
crackeados. Por lo que en Junio 2004 sali el 802.11i que brinda Wi-Fi
Protected Access 2 (WPA2) que tiene las siguientes caractersticas:
802.1x para autenticacin con EAP.
Robust Security Network (RSN) para tener un rastro de las
asociaciones.
Advanced Encryption Standard (AES) para confidencialidad,
integridad y autenticacin de origen.
Acceso no autorizado
Una solucin para denegar el acceso a una red wireless es utilizar
WEP, pero presenta problemas de seguridad, pues ya ha sido
crackeado. As mismo se podra utilizar autenticacin por MAC
address, pero es fcil realizar un robo de la direccin MAC y con esto
conseguir acceso a la red.
Mobilit
y
Managemen
t
Network
Unification
Access Points
Client devices
UWN
Localizacin
WCS
WLC
Access Points
Laptos, Telefonos,
PDA
LWAPP
Lightweight Access Point Protocol (LWAPP) es un draft de la IETF para
control de mensajera de configuracin, autenticacin y operacin
entre AP y WLC.
Con la operacin UWN Split-MAC, los mensajes de control y datos son
divididos. LWAPP AP se comunican con el WLC utilizando mensajes de
control sobre la red cableada mientras que los mensajes de datos son
encapsulados y enviados a los clientes wireless. Un WLC administra
multiples
AP,
brindando
informacin
de
configuracin
y
actualizaciones de firmware.
Split-MAC = Architecture, where the processing of 802.11 data and
management protocols and access point capabilities is distributed
between a lightweight access point and a centralized WLAN controller
(Figure 1). More specifically, time-sensitive activities, such as beacon
handling, handshakes with clients, media access control (MAC) layer
encryption, and RF monitoring, are handled in the access point. All
other functions are handled in the WLAN controller, where
systemwide visibility is required. This includes 802.11 management
protocol, frame translation, and bridging functions, as well as
systemwide policies for user mobility, security, QoS, and, perhaps
most importantly, real-time RF management.
Las funciones de MAC LWAP son:
802.11: Beacons, probe response.
802.11 Control: ACK de paquetes y transmisin.
802.11e: Encolamiento de tramas y prioritizacin de paquetes.
802.11i: Encripcin y desencripcin de datos.
Las funciones de MAC del Controlador:
802.11 MAC Management: Solicitudes de asociacin y acciones.
802.11e Resource Reservation: Para guardar recursos para
aplicaciones especificas.
802.11i: Administracin de llaves y autenticacin.
En el draft de LWAPP, los mensajes de control pueden
ser
transmitidos sobre tuneles L2 o L3. La desventaja de L2 (Cdigo
Ethernet 0xBBBB) es que el WLC debe estar en la misma subnet del
AP. Con L3 los AP requieren una direccin IP pero el WLC puede estar
en una subnet diferente.
Los mensajes de control de WLC van sobre UDP 12223.
Los mensajes de datos de WLC van sobre UDP 12222.
Local Mode
REAP Mode
Monitor Mode
Rogue detector Mode
Sniffer Mode
Bridge Mode.
LWAPP Discovery
Cuando se coloca un AP en la red, primero solicita una direccin IP por
DHCP.
Entonces es cuando se realiza el L3 LWAPP discovery. Si no hay
respuesta del WLC, el AP se reinicia y repite el proceso. El algoritmo
de L3 LWAPP funciona as:
1. EL AP enva un L3 LWAPP discovery request.
2. Todos los WLC que reciben el discovery request responden con
un mensaje de respuesta de LWAPP.
3. El AP compila una lista de WLC.
4. El AP selecciona el WLC basado en algn criterio.
5. El AP valida el WLC seleccionado y enva un LWAPP Join
Response. Se selecciona una llave de encripcin y todos los
mensajes futuros son encriptados.
Los L3 Discovery Request son enviados como sigue:
Local subnet broadcast.
Unicast LWAPP Discovery Request enviados a la direccin IP
publicada por otros AP.
La direccin IP almacenada de un WLC.
La direccin IP aprendida por la opcin 43 de DHCP.
La direccin IP aprendida por la resolucin de CISCO-LWAPPCONTROLLER.localdomain.
La seleccin del WLC esta basado en lo siguiente:
El primero, segundo, tercer WLC previamente configurado.
El WLC configurado como master.
El WLC con la mayor capacidad de asociaciones.
WLAN Autentication
Los cliente wireless deben primero asociarse con un AP y luego
realizan una autenticacin contra un servidor de autenticacin, que
esta en la red cableada, antes de que el AP les brinde acceso a los
servicios. Para esto se establece un tnel EAP/Radius entre el WLC y
el ACS. Ver figura 4.4 del libro
Opciones de autenticacin
Los clientes wireless se comunican con el ACS utilizando EAP. Existen
varios tipos de EAP y cada uno tiene ventajas de desventajas, por
ejemplo:
Problemas de seguridad.
Administracin.
Sistemas operativos soportados.
Dispositivos cliente soportados
El software cliente
Sobrecarga de mensajes de autenticacin.
Requerimientos de certificados.
Modelos de WLC
Plataforma
Numero de AP
soportados
Cisco 2000 series WLC 6
Cisco WLC en ISR
6
Catalyst 3750 WLC
50
Cisco 4400 Series
100
WLC
Catalyst 6500 series
300
WLC
EL mximo RTT entre un AP y el WLC es 100ms.
Roaming Intracontrolado
Cuando un usuario cambia de un AP a otro dentro del mismo WLC.
El WLC actualiza la BD de cliente con la asociacin al nuevo AP y no le
cambia la IP al cliente.
Si se requiere los clientes se reautenticaran y se establecer un
nuevo security association.
La base de datos de clientes se mantendr dentro del mismo WLC.
Mobilty Groups
Cuando se asignan los WLC a grupos mviles (mobility Groups), el
WLC dinmicamente intercambia mensajes de movilidad y tunelea la
Grupos RF
Un grupo RF, es un cluster de WLCs que coordinan sus
clculos RRM, lo que permite que los clculos escalen de un nico
equipo a multiples pisos, edificios o todo un campus. Con un grupo
RF los APs envan mensajes de vecinos a otros APs. Si el mensaje de
vecino est por encima de -80dBm, los controladores forman un
grupo RF y seleccionan un lder para analizar la informacin de RF. El
lder intercambia mensajes con los miembros del grupo utilizando el
puerto 12114 de UDP para 802.11b/g y el puerto 12115 de UDP para
802.11.
RF Site Survey
Permite determinar las reas de cobertura y revisar la interferencia.
Los pasos son los siguientes:
1. Definir los requerimientos del cliente: Niveles de servicio y
soporte para VoIP.
2. Identificar reas de cobertura y densidad de usuarios:
Incluir tiempos de uso pico y localizar salones de conferencias.
3. Determinar las localizaciones preliminares de AP:
Electricidad, conexin a la red cableada, puntos de montaje y
antenas.
4. Realizar el Survey: Se utiliza un AP para analizar el area y la
fuerza de la seal RF recibida en el lugar donde se desea
colocar el AP. Se deben considerar los efectos de los equipos
elctricos como ascensores y microondas.
5. Documentar los hallazgos: Documentar los puntos donde se
colocaran los AP, velocidades y lecturas de seal
Descripcin
20 dispositivos por AP
7 VoIP por AP con G.711
8 VoIP por AP con G.729
Colocarlos en un lugar centralizado
Se pueden utilizar fuentes de poder y PoE
Depende del modelo de redundancia y de la
cantidad de AP.
En gabinetes o en el data center.
Redundancia deterministica es
recomendable.
Minimizar el intercotroller roaming
WLC deben ser colocados en lugares
centralizados o distribuidos en la capa de
distribucin del campus.
WLAN PROTOCOL
LWAPP control
LWAPP Data
WLC Exchange Messages
(unencrypted)
WLC Exchange Messages (encrypted)
RF Group IEEE 802.11b/g
RF Group IEEE 802.11a
UDP
PORT
UDP 12223
UDP 12222
UDP 16666
UDP 16667
UDP 12114
UDP 12115
Feature
Autonomo/LWA
PP
Antena Externa
Outdoor
REAP/HREAP
10x0
LWAP
P
Si
No
REAP
1121
Ambo
s
No
No
No
Dual Radio
Poder (watts)
Memoria
WLANs Max
Si
13
16
16
B/G
6
16
8
1130
1230
Ambos Ambo
s
No
Si
No
No
HNo
REAP
Si
Si
15
14
32
16
8
8
1240
Ambos
1300
Ambo
s
Si
Si
No
Si
H-REAP No
1500
LWAP
P
Si
Si
Si
Si
15
32
8
Si
16
16
B/G
16
8
Local MAC
Todo se hace en el AP, en lugar de ser un trabajo compartido entre el
WLC y el AP.
LWAPP soporta local media Access control (Local MAC), que puede ser
implementado en un branch.
A diferencia de Split-MAC, el AP provee soporte de administracin
MAC para solicitudes de asociacin y acciones.
Local MAC termina el trafico del cliente en puerto del cable en el
Access point, en lugar de hacerlo en el WLC. Esto permite acceso
directo local a los recursos de la branch sin requerir que los datos
viajen hasta el WLC en la oficina central. Adicionalmente Local MAC
permite a los clientes wireless funcionar aunque el enlace WAN falla.
REAP
Fue diseado para soportar oficinas remotas, extendiendo los tiempos
de control LWAPP. Con REAP el trafico se encapsula sobre el tnel
LWAPP y se enva al WLC. La administracin de control y RF se
realizan a travs de la WAN. El trafico local de los clientes se enva
localmente y si falla el enlace WAN, se mantiene el acceso local.
El WLC soporta el mismo nmero de equipos REAP como de APs
Los equipos REAP solo soportan polticas L2, no soportan NAT y
requieren una direccin IP enrutable.
Hybrid REAP
Es una mejora del REAP y brinda capacidades adicionales como NAT,
ms opciones de seguridad y la capacidad de controlar hasta 3 AP
remotamente.
Trabaja en dos modos de seguridad:
Standalone: H-REAP realiza la autenticacin el mismo, cuando el
WLC no est disponible.
Connected: El equipo utiliza al WLC para la autenticacin de
clientes.
H-REAP es ms sensible a delay, por lo que el RTT no debe exceder
los 100ms entre el AP y el WLC.
Dialup
ISDN
Frame Relay
Sonet/SDH
MPLS
DSL
Digital Suscriber Line es una tecnologa para el acceso de alta
velocidad a Internet sobre lneas telefnicas.
Servicio
Distanci
a max
Maxima
velocida
d de
subida
1500
Kbps
Maxima
velocida
d de
bajada
9Mbps
Notas
Full-rate
ADSL
5500 m
ADSL
G.Lite
5500 m
384 Kbps
1.5 Mbps
No
require
splitter
RADSL
IDSL
SDSL
HDSL
5500 m
10070 m
6700 m
5500 m
HDSL-2
VDSL
7333m
916m
384 Kbps
144 Kbps
2.3 Mbps
1.54
Mbps
2 Mbps
16 Mbps
8Mbps
144 Kbps
2.3 Mbps
1.54
Mbps
2 Mbps
52 Mbps
Asimetric
o
Sobre BRI
4 hilos
2 hilos
Cable
Wireless
Fibra oscura
Se instalan en el suelo o donde los derechos de paso son evidentes.
Para mantener la integridad y el control del jitter en largas distancias
se utilizan regeneradores de seal. El framing es determinado por la
empresa, no por el Proveedor de servicios, aunque es el dueo y las
empresas compran el servicio igual que una lnea dedicada para
utilizarlo en WAN y MAN. La confiabilidad debe ser diseada por la
empresa.
Tiempo de respuesta
Mide el tiempo entre la solicitud del cliente y la respuesta del servidor
Throughput
Es la medida de los datos transferidos de un host a otro en una
cantidad de tiempo.
Confiabilidad
Es la medida de la disponibilidad y desempeo de una aplicacin para
los usuarios.
45Mbps
hasta
100 Mbps
Fast
Ethernet
100Mbps
hasta
10Gbps
Giga
Ethernet
Fibra
2Mbps
hasta 45
Mbps
Serial, IDSN, FR,
FR, TDM,
Ethernet,
DSL
DSL, cable,
T3
Ethernet
Fast
Ethernet,
ATM
Wireless
802.11
802.11/g
GigaEtherne
t, 10 Gigabit
Ethernet,
Sonet, SDH,
POS, Fibra
oscura
802.11n
Cobre
Menos de 2
Mbps
802.11b
Windows Size
Define la cantidad mxima de tramas que pueden ser transmitadas
sin necesidad de recibir un ack. Si la ventana no se ajusta, se podran
estar realizando retransmisiones.
Compresin de datos
Reduce el tamao del paquete para que pueda ser transmitido y
descompresionado al otro lado.
Esto requiere ms CPU y hardware, pero baja los requerimientos de
ancho de banda y delay del enlace WAN. Puede ser realizado en
hardware o software.
Topologas WAN
Overlay VPNs
Se construyen utilizando tecnologas WAN tradicionales como
FR o ATM. El ISP brinda el VC para establecer la conexin entre los
sitios, luego se establece un tnel VPN utilizando GRE y IPSec. Esto
conlleva a un alto costo por el bandwidth y los VC que se requieren.
Load-balancing Guidelines
Puede ser implementado por paquete o por destino utilizando Fast
switching.
Si el enlace <56Kbps usar por paquete, y si el enlace es
>56Kbps usar por destino.
La mayor desventaja es el costo de duplicar los enlaces WAN, pero el
costo de perder una sucursal puede ser mayor que el de duplicar los
enlaces.
L3 Tunneling
Existen dos mtodos:
Generic Routing Encapsulation (GRE): Desarrollado por
Cisco para encapsular una serie de protocolos dentro de un
tnel. Carece de seguridad (no encripta) y escalabilidad.
IP Security (IPSec): Brinda transmisin de datos sobre una
red no segura como Internet. Opera en modo tnel o
transporte. Tiene las siguientes caractersticas:
o Encripta el payload.
o Los destinos pueden autenticar al origen.
o Puede utilizar PKI (certificados digitales) o IKE (para
establecer SA).
Private
WAN
Excelente
Moderado
IPSec (opc)
Alto
ISP
Service
Buena
Bueno
IPSec (Obl)
Bajo
Medio
SP MPLS/ IP
VPN
Excelente
Excelente
IPSec (opc)
Mediano a
alto
Medio
Private
MPLS
Excelente
Excelente
IPSec (opc)
Mediano a
alto
Alto
Alto
Excelente
Moderado
Excelente
Excelente
Bajo
Moderado
Moderado
Alto
Advanced Enterprise
Services
Enterprise Services
Enterprise Base
Feature Set
IP Base
IP
Data
X
VoIP,
VoFR
ATM,
MPLS
Apple,
IPX, IBM
FW, IDS,
VPN
IP Voice
Advanced
Security
SP Services
Enterprise Base
Advanced IP
Services
Enterprise
Services
Advances
Enterprise
Services
Router/Switch
HW
ISR, 7200
7X00,10000
X
X
X
X
X
X
X
X
Software
Description
Versin T de
IOS 12.3, 12.4,
12.3T, 12.4T
Versin S
12.2SB
7600
Versin S,
12.2SR
12000, CRS-1
IOS XR
2970, 3560,
3750
Versin S
12.2SE
4500,4900
Versin S
12.2SG
6500
Versin S
12.2SX
Branch Design
La idea es contestar las siguientes preguntas:
Cuantos puntos y equipos existentes hay?
Que cantidad de escalabilidad y crecimiento se espara?
Que nivel de HA y/o redundacia es requerido?
Existe un servidor o protocolo de red especifico que necesite
soporte?
La administracin y/o soporte ser centralizado o distribuido?
Existen restricciones de segmentacin, como un DMZ o una red
interna versus redes externas.
Sera necesario wireless y con cual cobertura?
Cual es el presupuesto estimado para el diseo de la branch?
Capitulo 7 IPv4
Estudiar el header de IP
Descrito en el RFC 791, prepardo por DARPA en 1981.
IPv4 Header
Tiene un largo de 20Bytes, cuando no tiene campos opcionales, sino
seria de 24Bytes.
Los campos son:
Versin: Largo de 4 bits. Indica el formato del encabezado. En
este momento la versin es 4 (0100) y pronto versin 6 (0110).
IHL (Internet Header Length): Largo 4 bits. Indica el largo
del encabezado en palabras de 32 bits. Por ejemplo 5 para un
encabezado normal.
ToS (Type of service): Largo 8 bits. Indica parmetros de QoS
como IP precedence o DSCP.
Total Length: Largo 16 bits. Representa el largo del paquete
en bytes, incluyendo el encabezado y los datos. El mximo
largo de un paquete IP puede ser (2 a la 16) -1 = 65535 bytes.
Los routers lo utilizan para determinar cundo deben aplicar
fragmentacin, comparando el largo total con el MTU de la
interfaz de salida.
Identification: Largo 16 bits. Identifica los fragmentos para
reensamblarlos.
Flags: Largo de 3 bits. Indica cuando el paquete puede ser
fragmentado y cuando siguen mas fragmentos. Bit 0 =
reservado, Bit 1= Puede (0) o No fragmentar (1). Bit 2 = Ultimo
fragmento (0) o siguen mas fragmentos (1).
Fragment offset: Largo de 13 bits. Indica a qu lugar del
paquete el fragmento pertenece. El primer fragmento tiene un
offset de 0.
Time to Live: Largo de 8 bits. Indica el mximo tiempo que un
paquete a va estar en la red. Cada salto decrementa en 1 y si
llega a 0 se bota el paquete.
Protocol: Largo de 8 bits. Indica el protocolo de capa superior.
Header Checksum: Largo 16 bits. No incluye la porcin de
datos. Se recomputa y verifica en cada punto que el
encabezado es procesado.
Source Address: Largo 32 bits.
Destination Address: Largo 32 bits.
IP options: Largo variable. Se utiliza en funciones de control en
algunas ocasiones, pero no son necesarias en las
comunicaciones comunes. Las opciones son: Seguridad, Loose
source Routing, Strict Source Routing, record route, timestamp.
Padding: Largo variblae, para asegurar que el encabezado
termina en un lmite de 32 bits.
TOS
Se utiliza para especificar parmetros de QoS.
Los routers y switches L3, se fijan en este campo para aplicar polticas
como prioridad. Ha pasado por muchas evoluciones.
Los 3 iniciales bits del ToS del RFC 791 de 1981 son de IP Precedence,
y se utilizan para marcar y dar un trato diferenciado basando en las
prioridades. Por default todo se marca con 000.
El RFC 1349 redefinio los bits del 3 al 6 para reflejar un tipo deseado
de optimizacin del servicio.
En 1998, el RFC 2474 redifinio el ToS como Differentiated Services
(DS) y defini los bits del 0 al 5 como Differentiated Services
Codepoint (DSCP), luego en 2001 se actualizo con el RFC 2474 con la
especificacin del campo Explicit Congestion Notification (ECN).
El DS brinda 64 niveles de clasificacin de paquetes, que es
mayor a los 8 opciones del IP Precedence. Utiliza 6 bits para
esto.
IPv4 Fragmentation
El mximo largo es 65535, pero los protocolos de capas inferiores es
menos, por ejemplo Ethernet que es 1518 bytes. Si el paquete es ms
grande que el MTU de la interfaz entonces se debe aplicar
fragmentacin.
El paquete se re ensambla en la capa 3 destino. Cualquier router en el
camino, puede fragmentar o desfragmentar un paquete, pero no
reemsamblar.
Cada fragmento recibe su propio encabezado y es enrutado
independientemente de los otros paquetes
Direccionamiento IPv4
Clas
e
A
B
C
Inicio del
octeto
0
10
110
1110
1111
Rango
Privadas
1.0.0.0-126.0.0.0*
128.0.0.0-191.255.0.0
192.0.0.0223.255.255.0
224.0.0.0239.255.255.255
240.0.0.0254.255.255.255
10.0.0.0/8
172.16.0.0 /12
192.168.0.0/16
NAT
Especificado en el RFC 3022.
Conceptos:
Static NAT: Mapea una IP privada a una nica IP publica
manualmente.
Dynamic NAT: Mapea una IP privada a una IP publica de un
pool, hay dos formas:
o Overloading: Mapea mltiples IP privadas a una nica
Publica, utilizando diferentes puertos. Se conoce como
PAT.
o Overlapping: Mapea direcciones IP pblicas internas con
IP publicas externas.
Stub domain: La red interna que est utilizando direcciones IP
privadas.
Public Network: Outside del stub domain, reside en Internet y
las direcciones son pblicas.
Loopback Address
Es una direcciones IP con una mascara de 32 bits.
Redes de Telefona IP
Los telfonos IP normalmente se conectan en una Vlan auxiliar, que
est en un segmento lgico separado de las estaciones de trabajo de
los usuarios.
Separar la voz y los datos en diferentes subredes o vlans, ayuda en
proveer QoS para el trfico de voz en cuanto a clasificar, encolar y
almacernar. Ademas se facilita la atencin de fallas.
CIDR y Sumarizacin
CIDR permite la agregacin de direcciones de redes classful, asi
mismo se reduce el tamao de las tablas de enrutamiento y permite
una topologa ms estable de enrutamiento, porque los enrutadores
no tienen que recomputar las tablas cuando rutas mas especificas
suben o bajan.
Para hacer esto se utilizan los bits de mayor peso (los de la izquierda)
comunes para juntar redes. Adems los enrutadores deben basar sus
decisiones de enrutamiento en la direccin IP y largo del prefijo.
VLSM= Permite subdividir una red en subredes, en cambio CIDR
permite sumarizar varias subredes en una nica super red.
Capitulo 8: IPv6
Introduccin a IPv6
La especificacin de IPv6 brinda 128 bits para direccionamiento. El
RFC 2460 especifica este nuevo protocolo.
IPv6 ofrece las siguientes ventajas sobre IPv4:
Espacio de direcciones ampliado: 128 bits en lugar de 32 bits.
Direccin IP nica globalmente: Permite a cada nodo tener una
nica direccin y eliminar NAT.
Tamao fijo del encabezado: El tamao del encabezado es fijo,
permitiendo a los vendedores mejorar la eficiencia del
switching.
Mecanismo de opciones mejorado: Las opciones de IPv6 se
colocan en un encabezado opcional que est localizado entre el
encabezado de IPv6 y el encabezado de la capa de transporte.
Los encabezados opcionales no son requeridos.
Auto configuracin de direcciones: Brinda la capacidad de
asginar direcciones IPv6 dinmicamente. De hecho los host
configurarse ellos mismos con o sin un DHCP server.
Soporte de etiquetado de flujos de trafico: En Lugar de los
campo de ToS como IPv4. Permite el etiquetado de paquetes
pertenecientes a una clase de trfico particular para el cual el
origen solicita un tratamiento especial.
Capacidades de seguridad: Tiene features que soportan
autenticacin y privacidad.
MTU path discovery: IPv6 elimina la necesidad de fragmentar
paquetes implementando esta caracterstica antes de enviar
paquetes a un destino.
Site multihoming: IPv6 permite el multihoming de host y redes
para tener multiples prefijos IPv6, lo que facilita la conexin con
multiples ISP.
Encabezado IPv6
Link-Local Address
Tienen significado solo para nodos en un nico enlace.
Enrutadores no pasan paquetes con una direccin link-local como
fuente o destino ms all del local link. Se identifican con el
numero hexagecimal FE8. Se pueden configurar manual o
automtica a travs de la comunicacin con otros nodos
Se constituyen asi:
Format Prefix (FP) de 1111111010 + 54 ceros + 64 bits de id de
interfaz
Site-Local Address
Las direcciones Site-Local Adress son como las direcciones IP
definidas en el RFC 1918 de IPv4. Bsicamente son para ser
utilizadas dentro de una organizacin, no son nicas, no son ruteables
a travs de Internet.
Multicast Address
Las direcciones IPv6 multicast funcionan igual a las de IPv4 y estn
definidas por lo nmeros hexadecimales FF, adems proveen el
equivalente a un broadcast de IPv4.
El formato de las direcciones IPv6 multicast es:
8 bits de FP, todos en 1 = FF.
4 bits de Flags. Consiste de 3 ceros seguidos de un T. Si T = 0,
Se trata de una direccin bien conocida de multicast asignada
por la IANA, pero si T=1, no es una direccin asignada
permanentemente.
4 bits de Scope: Indica que tan grande es (scope) el grupo
multicast
112 de Id de grupo: Identifica el grupo multicast dentro de un
scope, pero el grupo es independiente del scope Por ejemplo
FF05::5 es para OSPF v3.
11111111+4bits de flags+ 4 bits de scope+ 112 de grupo = 128bits
Mecanismos IPv6
ICMPv6
ICMP tuvo que sufrir algunas modificaciones para soportar IPv6.
A travs de ICMP, se puede obtener:
Mensajes de informacin como: echo request y echo reply.
Mensajes de error como: Destination unreachable, packet too
big.
IPv6 Seguridad
Soporta nativamente IPSec, es mandatorio en el nivel operatingsystem para todos los host IPSec.
AH brinda autenticacin e integridad (MD5)
ESP encripta el paylod con (DES-CBC)
Distancia administrativa
Es posible que dos protocolos diferentes tengan una ruta hacia el
mismo destino, por esto es que los enrutadores Cisco asignan una
distancia administrativa a cada protocolo.
Cuando existen multiples rutas a un destino, el enrutador selecciona
la ruta mas especifica, por ejemplo: para encontrar la red
170.20.10.1, OSPF tiene una ruta 170.20.10.0/24 y EIGRP
170.20.10.0/16. El router utiliza la ruta por OSPF, porque tiene el
prefijo mas largo 24 bits, es mas especifico.
En el caso de que dos o mas protocolos de enrutamiento ofrezcan la
misma ruta (con el mismo largo de prefijo), los enrutadores Cisco
seleccionan la ruta con la distancia administrativa mas pequea.
La distancia administrativa es un nivel de la confianza de la fuente de
informacin de enrutamiento.
RIPv2
Soporta VLSM
Soporta autenticacin con MD5
Enva actualizaciones por multicast 224.0.0.9
Envia actualizciones cada 30s con triggered updates.
Cuenta saltos hasta 15.
Distancia administrativa 120.
Realiza sumarizacin por defecto.
Tiene los mismos timers de RIPv1.
En Cisco soporta load balancing de costos iguales
RIPng
Cuenta saltos hasta 15.
Utiliza UDP 521.
Envia updates por multicast (FF02::9)
Los timers son iguales solo cambia el flush que esta en 120s. Bajo a la
mitad.
No maneja autenticacin se la deja a IPv6.
EL formato del mensaje es diferente.
El next-hop, cambia por una ruta dentro del mensaje con una mtrica
especial
Soporta IPv6.
Implementan los mismos mecanismos de RIP.
IGRP
Es una solucin a los 15 saltos de RIP, pero con todos sus dems
problemas.
Es vector distancia.
Protocolo IP numero 9.
Soporta hasta 104 rutas por update.
No soporta autenticacin.
Nacio en la misma dcada de RIP.
Distancia administrativa 100.
Metrica = 10exp7/BW + SUMA(delay).
TTL = 100 por defecto, pero max= 255.
Selecciona la ruta con el mejor BW en lugar de la mas corta.
Es Classful, no soporta VLSM o CIDR.
Requieres de una red plana
Realiza sumarizacin
Envia toda su tabla de enrutamiento cada 90s.
Implementa Split horizon, triggerd updates, holddown timers y poison
reverse
Puede realizar loadbalancing.
Timers:
- Update = 90s
- Invalid = 270s
- Holddown = 280s
- Flush = 630s
90/270/280/630 =UIHF
EIGRP TIMERS
Envia actualizaciones nicamente cuando es necesario y solo a sus
enrutadores vecinos utilizando la direccin multicast 224.0.0.10
No tiene actualizaciones periodicas.
Utiliza paquetes hello para conocer a sus vecinos, en redes de alta
velocidad cada 5s y en redes menores a T1 cada 60s.
Hello = 5s y Holdtime = 15s en redes de alta velocidad.
Hello = 60s y Holdtime = 60s en redes de menos de T1.
EIGRP Metrics
Utiliza la misma mtrica compuesta que IGRP, solo que el BW se
multiplica por 256 para mayor granularidad.
La mtrica se compone de BW, Delay, Load y reliability. El MTU no es
un atributo para el clculo de la mtrica compuesta.
La mtrica ajustada de EIGRP = 256 * {[10exp7/BW]+
[sum_of_delays]}
En la formula, BW = es el menor BW en Kbps de la ruta y delay =
suma de todos los delays en decimos de segundo de las interfaces de
salida en la ruta.
Tabla con los valores por defecto de delay y bandwidth de EIGRP.
Tipos de paquetes
Diseo EIGRP
Se puede utilizar en:
site-to-site WAN y IPSec.
Enterprise campus.
Data center.
Server distribution
Building distribution
Network core.
Summary
224.0.0.9
RIPv2, balanceo de rutas con el mismo costo.
224.0.0.10
EIGRP, soporta balanceo de rutas con el mismo
costo, o con diferentes costos.
Con los parmetros default de delay, EIGRP selecciona el path con el
mas grande menor BW.
EIGRP y RIP realizan sumarizacin.
Diseo y conceptos
OSPF utiliza el costo, que es un valor de 16bit.
El costo se calcula basada en el ancho de banda en la formula
10exp8/BW.
BW= Ancho de banda de la interfaz expresado como un entero de
bps.
Si el costo es menor a 1, entonces es 1.
OSPF utiliza paquetes hello para descubrir vecinos.
Los hello se envan cada 10s o cada 30s en redes que no soportan
broadcast.
Utiliza la IP 224.0.0.5.
Lo paquetes hello tienen informacin como: Router ID, area ID,
autenticacin y prioridad.
Despues de que dos enrutadores intercambian paquetes de hello y
establecen una comunicacin en dos vas, ellos establecen
adjacencias.
En redes punto a punto, los vecinos validos siempre levantan una
adjacencia y se comunican utilizando la direccin multicast 224.0.0.5.
En ambientes broadcast (Ethernet) y NBMA (Frame Relay), todos los
enrutadores levantan adjacencias con el DR y el BDR pero no entre
ellos. Todos los enrutadores responden al DR y BDR utilizando la
direccin 224.0.0.6.
En redes punto multipunto no broadcast, puede ser necesario
configurar un grupo de vecinos que estn directamente encontrables
sobre la redes punto multipunto. Cada vecino se identifica por su
reas OSPFv2
La inundacin inicial y el mantenimiento de la base de datos de LSA,
puede sobrecargar un enrutador. Para reducir esos efectos se utilizan
Areas.
Un area, es una agrupacin lgica de enrutadores y enlaces que
dividen la red.
Los enrutadores comparten informacin del estado de los enlaces
(link-state) solo con enrutadores en su rea.
rea= numero decimal de 32 bits.
El rea 0 esta reservada para el rea backbone, que siempre debe
existir, ya que es la encargada de
distribuir informacin de
enrutamiento entre areas.
OSPF DR
La idea del DR, es recolectar todos los LSA de la red y enviarlos a los
enrutadores no DR. Con esto se logra reducir la cantidad de LSA
generados.
Un enrutador puede ser el DR para una red multiacceso (ethernet) y
no en otra red que est conectado tambin.
Asi mismo se elige un BDR, que entra en funcin cuando falla el DR.
El DR/BDR crean adjacencias con todos los enrutadores (DRothers) en
la red multiacceso.
Los enrutadores en el area envan los LSA por multicast nicamente a
sus enrutadores adjacentes.
Los enrutadores (DRothers) envan paquetes multicast a los DR y BDR
utilizando la direccin 224.0.0.6, pero el DR inunda las actualizaciones
utilizando la direccin 224.0.0.5.
La seleccin del DR/BDR se basa en la prioridad de la interface. El
valor por defecto es 1, y la prioridad mas alta determina el DR.
OSPF utiliza el valor numerico mas alto de ID de enrutador. El ID de
enrutador es la direccin IP lookback, pero si no hay interfaz lookback
Tipos de LSA
Virtual Links
OSPF requiere que todas las areas se conecten a un enrutador
backbone, pero algunas veces esto no es posible, por lo que se
pueden utilizar virtual links para conectar temporalmente el area con
el backbone.
El flujo dentro del virtual link es unidireccional y debe ser configurado
en cada enrutador del enlace. La idea es que un area se vuelva
transito, por lo que el trafico entre estas dos areas (el area que no
conecta con el area 0 y el area de transito) no fluya directo entre ellas
sino a travs del area 0.
OSPFv3
No es compatible con OSPFv2.
Pero si implementa los mismos algoritmos.
Los cambios son:
Versin 3: Es una versin ms nueva con soporte nico de IPv6.
Soporte para direcciones IPv6: Se crearon nuevos LSA para
transporte de direcciones IPv6 y prefijos.
Per-link Processing: OSPF utiliza procesamiento por subnet, con
link processing, los enrutadores en el mismo link pueden
pertenecer a la misma subred.
Address Semantics removed: Las direcciones se han removido
de los LSA de enrutador y red, ahora los LSA proveen
informacin de la topologa.
No tiene autenticacin
Nuevos Link LSA: Para local-link flooding scope.
Nuevo Intra-Area-Prefix LSA: Carga con todos la informacin
prefijos IPv6, similar a los LSA de router y red.
Identificador de vecinos por ID de enrutador: Los vecinos se
identifican siempre con el ID de enrutador, caso contrario de
OSPFv2 para redes broadcast y punto a punto.
IS-IS
Es una especificacin creada por ISO (ISO/IEC 10589) y por IETF 1142.
Es un protocolo link-state, que inunda informacin de link-state en
toda la red para construir un foto de la topologa de red.
Fue pensado para enrutador paquetes OSI Connectionless Network
Protocol (OCNP), pero tambin puede enrutar IP.
Se utiliza en el enrutamiento interno de proveedores de Servicios.
Crea dos niveles de jerarqua:
Nivel 1 para intra-area: Se comunican entre niveles 1 dentro
de la misma area.
Nivel 2 para inter-area: Se configuran para reas L1/L2, que
enrutar entre areas L1 y desde un intra-domain routing
backbone.
El enrutamiento jerrquico simplifica el diseo del backbone, porque
L1 solo debe conocer cmo llegar al L2 ms cercano.
Mtrica IS-IS
A como fue definido originalmente tiene un valor mximo de path de
1023.
La mtrica elegida por convencin fue la capacidad para manejar
trfico, como su throughput en bps. Valores altos indican baja
capacidad.
Cualquier enlace puede tener un mximo valor de 63.
IS-IS calcula los valores del path sumando los valores de los enlaces
El estndar configura el valor de maximum metric para soportar
varios tipos de enlaces y asegurar que el SPF sea eficiente.
En Cisco todas las interfases tienen una mtrica por defecto de 10,
pero no es bueno este valor para redes grandes y TE. Cisco resuelve
esto con Wide metric (24 bits campo de mtrica).
Asi mismo Cisco no soporta las 3 mtricas opcionales delay, expense
y error, ya que wide metric utiliza estos campos.
Es classless.
Envia actualizaciones parciales solo cuando cambia algo.
Distancia administrativa de 115.
No hay BDR.
Utiliza NET para identificar cada enrutador: NET es la direccin OSI
utilizada por cada enrutador para comunicarse con OSI PDUs. Una
direccin NET va desde 8 a 20 bytes y consiste de un dominio, ID de
rea, ID de sistema y un selector (SEL). Ejemplo: 49.0001.
00aa.0101.0001.00
Donde 49= Dominio.
0001= Area
00aa.0101.0001= MAC address = System ID
00= SEL, simpre en 00.
IS-IS DRs
Los selecciona en redes multiacceso, pero NO seleccionan BDR.
En redes punto a punto no hay DR.
El valor de prioridad default es 64 y va de 0 a 127.
0= no elegible.
El nivel de prioridad mas alto = DR.
En redes multiacceso todos los enrutadores establecen adjacencias
con todos los dems en la subred y los vecinos se vuelven adjacentes
al descubrise, lo que contrasta con OSPF.
IS-IS Areas
Utiliza dos niveles de jerarqua.
Los enrutadores se configuran para enrutar nivel 1, nivel 2 o ambos.
L1 = OSPF internal routers en una Area Totally stubby. No tienen
informacin sobre destinos fuera del area y utilizan rutas L1 hacia sus
enrutadores L1/L2 para encontrar redes fuera.
L2 = OSPF backbone router.
L1/L2 = OSPF ABR. Mantienen una BD de link-state para cada nivel.
Adicionalmente no publican rutas L2 en el area L1.
IS-IS no define un backbone pero se podria considerar un backbone
un camino continuo de adjacencias L2
IS-IS Authentication
Soporta tres tipos de autenticacin clear text:
Link authentication: Para enrutadores dentro de una subred
comn. El password en clear text debe ser el mismo solo entre
los enrutadores en el enlace.
Area authentication: Todos lo routers deben tener el mismo
modo de autenticacin y el mismo password.
Domain authentication: Solo enrutadores L2 y L1/L2 lo
utilizan y deben tener el mismo modo de autenticacin y el
mismo password.
Recientemente se creo el draft para MD5.
Vecinos BGP
Usualmente se configura BGP entre dos enrutadores directamente
conectados que pertenecen a diferentes AS que estn bajo distintas
administraciones.
Se utiliza por lo general para conectar una empresa con el SP o para
conectar dos SP.
Los AS son asignados por la ARIN, pero los nmeros entre 64512 y
65535 estn asignados a IANA y estn designados para uso privado.
Antes de que dos enrutadores BGP puedan intercambiar
actualizaciones de rutas, deben establecerse como vecinos:
Establecen una conexin TCP.
Intercambian informacin: BGP versin, #AS, BGP Router ID y
capacidades.
Aceptan la informacin
Se establecen como vecinos
Inician el intercambio de actualizaciones de rutas.
eBGP
Es un trmino utilizado para describir el BGP peering entre vecinos en
diferentes AS.
Como se describe en el RFC 1771, los peers de eBGP comparten una
misma subnet.
iBGP
Es un trmino utilizado para describir el BGP peering entre vecinos en
el AS.
Route Reflectors
iBGP requiere que todos los enrutadores sean configurados para
establecer una conexin TCP con todos los dems enrutadores iBGP,
para convertirse BGP peers.
En redes grandes esta maya puede convertirse en algo muy grande,
por lo que se pueden utilizar RR, para reducir el numero de enlaces
de la maya entre lo iBGP peers.
RR permiten a un enrutador publicar o reflejar rutas a sus enrutadores
clientes que son peer de este, formando un cluster
Adicionalmente los RR crean peer con los dems RR.
Un cluster puede tener mas de un RR, por lo que tienen configurado
el mismo cluster ID.
Confederaciones
Es otra forma de disminuir el nmero de enlaces para construir el full
mesh. La idea es dividir el AS en AS pequeos y privados. Todo el
grupo es asignado a un ID de confederacin.
Peso(weight)
Es asignado localmente en un enrutador para especificar un ruta
preferida cuando existen multiples rutas para un destino. El peso
Manipulacin de rutas
PBR
Se utiliza para modificar la direccin de next-hop o para marcar
paquetes para que reciban un servicio diferenciado (marcar el IP
precedence)
Sumarizacin de rutas
Reduce el trafico de enrutamiento, la computacin innecesaria de
rutas y adems permite a la redes crecer. La idea es sumarizar en la
capa de distribucin, el CORE solo necesita conocer las rutas
sumarizadas.
Redistribucin de rutas
Se configura en enrutadores que residen en el EDGE de un SP. Estos
enrutadores intercambian rutas con otros AS. Tambien se utiliza en
enrutadores que corren ms de un protocolo de enrutamiento.
Algunas razones para redistribuir son:
1. Migracion de un protocolo de enrutamiento viejo a uno nuevo.
2. Mezcla de marcas y protocolos de enrutamiento propietarios.
3. Diferentes dominios administrativos entre departamentos
utilizando diferentes protocolos de enrutamiento.
4. Adquisiciones de empresas o fusiones donde ambas empresas
necesitan comunicarse inicialmente.
Hay dos tipos:
Dos vas: Ocupas filtros para evitar feedback.
Una va: Se da en accesos remotos, rutas BGP o estaticas en el
IGP o rutas VPN estaticas en el IGP.
La mtrica default en EIGRP, RIPv2 y IS-IS de una redistribucin es 0 y
se utiliza el comando redistribution
En el caso de OSPF se debe utilizar el comando subnets, para evitar
que utilice el default summarization y se haga classful en lugar de
unas cuantas subnets.
Por defecto en OSPF las rutas son External tipo 2, pero se puede
modicar con el comando metric-type para que sean tipo 1.
IP Multicast Review
Multicast soporta la transmisin de paquetes IP desde una fuente a
multiples host dentro de un grupo.
Direcciones IP multicast
Son la clase D y van desde 224.0.0.0 a 239.255.255.255
Las direcciones de 224.0.0.1 a 224.255.255.255 estan reservadas.
Las direcciones de 239.192.0.0 a 239.251.255.255 estan reservadas
para organization-local scope
Mapeo L3 con L2
Multicast en L2 soporta Ethernet (Fe o GE), Token Ring, FDDI
utilizando la direccin IEEE 802 0100.5e00.0000. Las interfases
Ethernet mapean los 23 bit menores con los 23 bits menores de la
direccin IP multicast en hexagecimal.
Entonces:
0100.5e00.0000 -> 224.0.0.2 = 0100.5e00.0002
IGMP
Es el protocolo utilizado por las implementaciones de multicast entre
los host y el enrutador local.
Los host utilizan IGMP para reportar su membreca de grupo multicast
a los enrutadores. Los mensajes IGMP utilizan el protocolo IP 2 y no
son ruteables.
Tipos de IGMP:
IGMPv1: Primera versin escrita en 1989, describe las
extensiones de host para multicast IP. Brinda tipos de mensajes
simples para la comunicacin entre hosts y enrutadores. El
problema con esta versin es la latencia para dejar un grupo,
pues un host debe esperar hasta que el enrutador le pregunte,
el default de un query es 60s, pero requiere 3 query para dejar
un grupo. Los mensajes son:
o Membresia Query: Enviado por el enrutador para
determinar cuando un host desea unirse a un grupo
multicast.
o Reporte de membreca: Enviado por el host para unirse
a un grupo multicast en el segmento.
IGMPv2: Mejora el IGMPv1 brindanda una rpida terminacin o
dejar un grupo. Tiene los siguientes mensajes:
o Membrecia Query: Enviado por el enrutador para
determinar cuando un host desea unirse a un grupo
multicast.
o Versin 2 Reporte de Membreca: Un mensaje enviado
a la direccin del grupo con las direcciones IP de los
miembros del grupo multicast. Es enviado por lo host para
unirse y permanecer en grupos multicast en el segmento.
CGMP
Es un protocolo de Cisco para contralar el trafico multicast en L2,
pues a este nivel el switch no se da cuenta de los mensajes IGMP L3.
CGMP permite al switch hablar con el router IGMP y encontrar cuales
son las direcciones MAC de los host que deben recibir los paquetes
multicast. Con CGMP los switches pueden distribuir las sesiones
multicast nicamente a los puertos del switch que son miembros de
un grupo. Una ventaja de este protocolo es que detecta los mensajes
de LEave de IGMP v2 y deshabilita rpidamente el multicast en el
puerto.
IGMP Snooping
Es otra forma para que los switches controlen el trafico L2 de
multicast. El escucha los mensajes IGMP entre los hosts y
enrutadores. Si un host enva un mensaje de solicitud IGMP a un
enrutador, el switch agrega al host en un grupo multicast y permite al
puerto recibir multicast. El puerto es removido si el host enva un
mensaje IGMP de leave. La desventaja es que monitorea cada
paquete IGMP, lo que puede impactar el CPU.
PIM
Tiene dos opciones:
PIM-SM: Utiliza arboles compartidos y RP para llegar a
miembros multicast muy dispersos con un protocolo
eficientemente razonable a nivel de ancho de banda.
PIM-DM: Utiliza RPF (reverse path forwarding) para llegar a
miembros de grupo relativamente cercanos con una eficiencia
razonable del procesador y memoria en los equipos de red de
los arboles de distribucin. Con RPF, los paquetes multicast
recibidos son enviados a todas las otras interfases, permitiendo
que el stream de datos llegue a todos los segmentos. Si no hay
host miembros en el grupo multicast en alguno de las subredes
de los enrutador, entonces enva un mensaje de prune al rbol
de distribucin (reverse path) para indicar al upstream router
que no envie paquetes para el grupo multicast
PIM-DR
Un enrutador designado (DR) es seleccionado en segmentos
multiacceso corriendo PIM. El PIM-DR es responsable de enviar join,
prune y registrar mensajes al RP. EL enrutador PIM con la direccin IP
ms alta se selecciona como el DR.
Joining PIM-SM
Los DR en los segmentos finales reciben los mensajes de Query de
IGMP proveniente de los hosts esperando para unirse a un grupo
multicast. El enrutador revisa si ya esta recibiendo el grupo por otra
interfaz.
Si ya esta recibiendo el grupo, el enrutador agrega la nueva interfaz a
la trabla y enva reportes de membresia peridicamente por la nueva
interfaz.
Pruning PIM-SM
Cuando un PIM-SM no tiene mas hosts recibiendo trafico multicast o
enrutadores receptores en cualquiera de sus interfases, entonces
enva un mensaje de prune al RP, el cual contiene el grupo que debe
ser pruned o removido.
Auto-RP
Otra forma sera que el RP anuncie sus servicios a la red PIM, el
proceso se llama auto-RP. Los RPs candidatos envan sus anuncios a
los agentes de mapeo RP con la direccin IP 224.0.1.39 (cisco-rpannounce). Los agentes de mapeo RP son tambin configurados. En
redes pequeas, el RP puede ser el agente de mapeo. Los agentes de
mapeo RP escuchan los anuncios. El agente de mapeo RP entonces
selecciona el RP para un grupo basado en la direccin IP mas alta de
todos los candidatos RPs. Los agentes de mapeo RP entonces envan
mensajes RP-discovery al resto de los enrutadores PIM-SM en la red
con el mapeo RP-to-group seleccionado.
DVMRP
El el primer protocolo de enrutamiento muticast utilizado en el
backbone multicast (MBONE).
DVMRP opera en dense mode utilizando RPF (reverse path forwarding)
utilizando enrutadores para enviar una copia de paquetes multicast
por todos los caminos.
Los enrutadores que reciben los paquetes multicast envan mensajes
prune hacia sus vecinos superiores para detener el stream de datos
siempre y cuando ya no tengan receptores del grupo multicast.
DVMRP utiliza su propio protocolo de enrutamiento unicast, el cual es
similar a RIP (basado en cuenta de 32 saltos). El soporte de Cisco a
este protocolo es parcial. La redes DVMRP son usualmente
Legislacin en seguridad
Amenazas de seguridad
MITRE
Microsoft
Cisco
o Herramientas de vulnerabilidades:
Nessus: Es open source
SAINT: Es para UNIX.
MBSA: Es de Microsoft.
Obtener acceso no autorizado: Es el acto de atacar o
explotar un sistema o host. Los Sistemas operativos, servicios y
el acceso fsico tienen vulnerabilidades, asi como tambin se
puede utilizar la ingeniera social para obtener informacin
confidencial. La idea final es borrar, cambiar o leer informacin
confidencial.
DoS: La idea es sobrecargar recursos como memoria, CPU y
ancho de banda para negar acceso a los usuarios legitimos.
Riesgo de Seguridad
Para proteger los recursos de la red, procesos y procedimientos, la
tecnologa necesita dimensionar el riesgo de seguridad. Las
caractersticas de la red que pueden tener riesgos de amanezas de
seguridad incluyen: confidencialidad, integridad de los datos y
disponibilidad del sistema:
La disponibilidad del sistema debe asegurar el acceso
inenterumpido a los recursos de red y computacionales
para prevenir la perturbacin del negocio y la baja en la
produccin.
Integridad de datos debe asegurar que nicamente los
usuarios autorizados pueden cambiar informacin crtica y
garantizar la autenticidad de la informacin.
La confidencialidad de la informacin debe asegurar
que nicamente los usuarios legitimos pueden ver
informacin
sensitiva
para
prevenir
el
robo,
responsabilidades legales y daos a la organizacin.
Blancos de un ataque
Los host son el blanco favorito, en especial para virus y worms,
adems luego que son comprometidos, se utilizan para lanzar nuevos
ataques.
Una lista seria la siguiente:
Equipos de infraestructura: Routers, switches.
Equipos de seguridad: Firewalls, IDS/IPS.
Servicios de red: Servidores DHCP y DNS
Equipos finales: Equipos de gestin y telfonos IP.
Infraestructura: El ancho de banda de la red y su capacidad.
Prdida de disponibilidad
Los ataques DoS tranta de bloquear o denegar acceso para impactar
la disponibilidad de los servicios de red.
Los ataques DDoS son iniciados por multiples fuentes dentro de la red
para incrementar el tamao e impacto del ataque y ocurren cuando el
atacante toma ventaja de vulnerabilidades en la red o el host.
Algunos puntos comunes de falla son:
Una red,host o aplicacin fallan en procesar grandes cantidades
de datos enviados a el.
Un host o aplicacin es puede manejar una condicin
innesperada como son datos mal formateados o agotamiento
de los recursos.
La mayora de estos ataques utilizan tcnicas de spoofing y flooding y
algunos mtodos para combatir ataques DoS son:
DHCP Snooping: Verifica todas las transacciones DHCP y
previene de servidores DHCP no oficiales.
Dynamic ARP inspection: Inspecciona los paquetes ARP y
verifica que estos tenga una asociacin valida de IP-MAC.
Unicast RPF: Previene que direcciones IP fuente desconocidas
utilicen la red como medio de transporte para lanzar ataques.
ACL: Controlan que trafico es permitido en la red.
Rate Limiting: Controlan el ancho de banda que utiliza el
trafico de entrada, como en el caso de solicitudes DHCP o ARP.
se
Risk Assessment
Es una tcnica utilizada para bajar el riesgo a niveles aceptables.
Los 3 compomentes principales de un risk assessment son:
Control: Refiere a como se utiliza la poltica de seguridad para
minizar el riesgo potencial.
Severity: Describe el nivel de riesgo para la organizacin.
Probability: Es la probabilidad de que un ataque contra el activo
ocurra.
Un risk assessment debe explicar lo siguiente:
Cuales activos deben ser asegurados.
El valor monetario de los activos.
La perdida actual que puede resultar de un ataque.
La severidad y la probabilidad de que un ataque contra los
activos pueda ocurrir.
Como utilizar la poltica de seguridad para controlar o minimizar
el riesgo.
Por lo general las empresas tienen suficiente seguridad para reducir
las perdidas potenciales a un nivel razonable.
Un ndice de riesgo se utiliza para considerar el riesgo de potenciales
amenazas y se basa en los componetes del risk assessment:
Control: La habilidad para controlar y manejar el riesgo.
Severity: La severidad de la perdida si el activo es
comprometido.
Probability: La probabilidad de que el riesgo realmente ocurra.
Una forma para determinar el ndice de riesgo es brindar un valor de
1 (bajo) a 3 (alto), donde:
Seguridad Continua
La poltica de seguridad de la red debe reflejar los cambios en
requerimientos y tecnologas que ocurren, por lo que se crearon 4
pasos:
1. Secure: Identificacion, autenticacin, ACL, Stateful packet
inspection, encripcin y VPN.
2. Monitor: Intrusion y Content-based detection and response.
3. Test: Assessment, vulnerability scanning and security auditing.
4. Improve: Security data analysis, reporting and intellingent
network security.
Conectividad segura
Protege la integridad y privacidad de la informacin sensitiva de las
organizaciones
Las amenazas internas son 10 veces mas caras y destructivas que las
amenazas externas.
Fundamentos de criptografa
Utiliza encripcin para mantener los datos privados mientras protege
la confidencialidad. Un ejemplo es IPSec es un protocolo de seguridad
que utiliza algoritmos de encripcin para esconder el payload del
paquete IP durante su transmisin.
Llaves de Encripcin
Se necesita una llave para encriptar y otra para desencriptar para
establecer una comunicacin entre dos puntos. Existen dos formas
para intercambiar una llave entre puntos remotos:
Shared Secrets:
o Ambos lados pueden utilizar la misma llave o utilizar un
transform para crear una llave de desencripcin.
o La llave se coloca en el punto remoto, fuera de lnea.
o Es simple pero tiene problemas porque las llaves casi
nunca cambian.
Public Key Infraestructure (PKI):
o Se basa en criptografa asimtrica, utiliza dos llaves.
o Llaves publicas para encriptar y privadas para
desencriptar.
o Se utiliza en e-commerce.
Protocolos de VPN
IPSec
o Utiliza:
AH: Authentication Header, protocolo 51, RFC 2402,
brinda integridad sin conexin, autenticacion de
origen y antireplay.
ESP: Encapsulating Security Payload, protocolo 50,
RFC 2406, brinda confidencialidad, autenticacion de
origen, integridad y anti-replay
o Utiliza IKE para intercambio dinamico de llaves.
o Los puntos extremos necesitan software de IPSec.
SSL
o Utiliza TCP/443 (HTTPS)
o Provee conexin VPN encriptada utilizando un browser
o La mayora de los browser soportan SSL VPN.
Confidencialidad de Transmisin
La idea es encriptar los datos antes de transportarlos sobre cualquier
red no segura como internet.
Aunque ocurra un eavesdropping en Internet, desencriptar los
paquetes es muy complejo.
IPSec utiliza algoritmos bien conocidos para desarrollar el tratamiento
de confidencialidad del paquete, tales como:
3DES: Triple Data encription Standard
AES: Advanced Encription Standard.
RC4: Rivest Cipher 4.
Cabe destacar que la encripcin consume recursos por lo que impacta
el desempeo.
Integridad de Datos
Los protocolos de criptografa protegen los datos del tampering
utilizando huellas y firmas digitales que permiten detectar cambios en
la integridad de los datos.
Fingerprint, funciona agregando un checksum a los datos que es
generado y verificado con la llave secreta. La llave secreta solo la
conocen los autorizados. Un ejemplo sera Hash-based Message
Authentication (HMAC)
Las firmas digitales utilizan mtodo criptogrfico para firmar
digitalmente los datos. El firmante crea una firma utilizando una llave
que es nica y conocida solo por l. Los destinatarios del mensaje
pueden verificar la firma utilizando la llave de verificacin de firma. La
criptografa inherente en firmas digitales garantiza la veracidad y
autenticidad porque el origen firma.
Se recomienda analizar la necesidad de integridad de transmisin,
analizar el impacto en el desempeo, pero utilizar algoritmos fuertes
y bien conocidos.
Seguridad Fisica
La seguridad fsica permite proteger y restringir acceso a los recursos
de la red y a los equipos fsicos equipos de la red.
Algunas consideraciones para amenazas de seguridad fsica:
Vulnerabilidades inherentes en los sistemas cuando los
atacantes accesan al hardware directamente a travs de
consola o software no confiable.
Acceso a la red, permitir a los atacantes capturar, alterar o
remover datos fluyendo en la red.
Atacantes pueden utilizar su propio hardware, como laptop o
router para inyectar trafico malicioso en la red.
Algunas guias de seguridad fsica:
Utilizar controles de acceso fsico como candados y alarmas.
Evaluar brechas de seguridad potenciales.
Contabilizar el impacto de robo de recursos de la red y equipos.
Utilizar controles como criptografa para asegurar el trafico
fluyendo en redes fuera de su control
Infraestructe protection
Es el proceso de realizar pasos para reducir el riesgo y amanezas para
la infraestructura de red y para mantener la integridad y alta
disponibilidad para los recursos de red.
Utilizando las mejores practicas y una poltica de seguridad, es
posible protegegr la infraestructura para prevenir ataques
potenciales.
Algunos equipos de Cisco tienen seguridad integrada como es el caso
de:
ASA: Firewall, IPS, IPSec, VPN y SSL VPN.
Routers: IOS Firewall, IPS, IPSec, VPN, DMVPN, SSL VPN.
Switches Catalyst: Firewall, IPS, SSL VPN, IPSec, VPN, DoS,
servicios virtuales para asegurar las zonas de seguridad.
Algunas mejores practicas para proteger la infraestructura son:
SSH en lugar de Telnet.
Utilizar AAA
Syslog collection y anlisis.
SNMPv3.
Deshabilitar servicios no utilizados.
Utilizar SFTP o FTP en lugar de TFTP.
Utilizar Access clases para restringir el acceso para
administracin y CLI.
Utilizar autenticacin de protocolos de enrutamiento.
Utilizar autosecure en los enrutadores antes de conectar a
internet.
PIX: Firewall
FWSM: Modulo para el 6500.
ASA: Firewall robusto con IPS.
IOS Firewall: Feature de Firewall en el IOS.
IPS sensor appliance: NIPS.
IPS: Intrusion Prevention System (IOS Feauture).
CSA: Cisco Security Agent (HIPS).
Netflow: Estadisticas de los paquetes que fluyen por el router.
Syslog: Syslogging Data (IOS Feature)
SNMP: Simple Network Management Protocol (IOS Feature)
MARS: Monitoring, Analysis and Response System.
Cisco Traffic Anomaly Detector Module: Detector de ataques
DoS.
IOS Security
o IOS Firewall: Brinda un stateful firewall para routers
perimetrales.
o IOS IPS: El IOS carga las firmas en el router y luego asocial
los ataques basado en las firmas
o IOS IPSec.
o IOS Trust and Identify: Grupo de servicios que incluyen:
AAA
SSH
SSL
802.1x
PKI
Cisco
Intrusion Prevention
4215: 65Mbps
4240: 240 Mbps y hay modelos DC.
4255: 500 Mbps.
4260: 1Gbps.
Catalyst 6500 Services Modules:
FWSM: 5Gbps, un chasis soporta hasta 4.
IDSM-2:
SSL Service Module.
IPSec VPN SPA.
Network Analysis Module (NAM):
Traffic Anamaly Detector Module: Utiliza anlisis de
comportamiento y reconocimiento de ataques para detectar
patrones. Puede enviar una alerta o lazar al Guard para que
responda al ataque bloqueando trafico malicioso a velocidades
Gbps.
EndPoint Security
Protege servidores y desktop de las ultimas amenezas y tambin
ataques desconocidos tipo Dia Cero.
Incluye Firewall, IPS, Proteccion de cdigo mvil, Aseguramiento de la
integridad del S.O, logging. Todo se administra desde una consola
centralizada y enva logs a MARS. La consola tiene mas de 20
politicas que se puede utilizar para aplicar cientos de agentes
rpidamente a travs de la red.