CAPITULO 1

Los mdulos de red bsicos incluyen lo siguiente:

1. Acceso y distribucin: tambin denominado bloque de distribucin, es el elemento
ms conocido y el componente fundamental del diseo de campus (figura 1).

2. Servicios: este es un bloque genrico que se utiliza para identificar servicios como los
controladores inalmbricos centralizados del protocolo de punto de acceso ligero
(LWAPP), los servicios de comunicaciones unificadas, los gateways de polticas, entre
otros (figura 2).

3. Centro de datos: originalmente, se denominaba granja de servidores. Este bloque

es responsable de administrar y mantener muchos sistemas de datos que son
fundamentales para las operaciones comerciales modernas. Los empleados, los
socios y los clientes confan en los datos y los recursos del centro de datos para crear,
colaborar e interactuar de manera eficaz (figura 3).

4. Permetro empresarial: consta de Internet perimetral y del permetro de WAN. Estos

bloques ofrecen conectividad a servicios de voz, de video y de datos fuera de la
empresa (figura 4).

Qu tres arquitecturas de red han sido introducidas por Cisco para abordar los desafos
tecnolgicos emergentes creados por los modelos de negocio en evolucin?

1. Cisco Collaboration
2. Cisco Data Center
3. Cisco Borderless

Cisco AnyConnect Permite que diversos dispositivos de red se conecten de forma segura,
fiable y transparente a los recursos de la red empresarial

La arquitectura Cisco Borderless Network es una solucin de red que permite que las
organizaciones y las personas se conecten de manera segura, con confianza y sin
inconvenientes a la red empresarial en un entorno BYOD. Se basa en dispositivos
conectados por cable, inalmbricos, de routing, de switching, de seguridad y de optimizacin
de aplicaciones que funcionan en sintona para ayudar a los profesionales de TI a equilibrar
los exigentes desafos comerciales y los modelos empresariales cambiantes.
La arquitectura Cisco Collaboration ofrece una cartera de productos, aplicaciones, kits de
desarrollo de software (SDK) y API. Los componentes individuales trabajan juntos para
proporcionar una solucin integral.
CAPITULO 2
WAN

Equipo local del cliente (CPE):cables internos y dispositivos ubicados en el permetro

empresarial que se conectan a un enlace de una prestadora de servicios. El suscriptor es
dueo del CPE o lo alquila al proveedor de servicios. En este contexto, un suscriptor es una
empresa que obtiene los servicios WAN de un proveedor de servicios.

Equipo de comunicacin de datos (DCE): tambin llamado equipo de terminacin de

circuito de datos, el DCE consta de dispositivos que colocan los datos en el bucle local.
Principalmente, el DCE proporciona una interfaz para conectar a los suscriptores a un
enlace de comunicacin en la nube WAN.

Equipo terminal de datos (DTE): dispositivos del cliente que transmiten los datos desde
un equipo host o la red de un cliente para la transmisin a travs de la WAN. El DTE se
conecta al bucle local a travs del DCE.

Punto de demarcacin: un punto establecido en un edificio o un complejo para separar el

equipo del cliente del equipo del proveedor de servicios. En trminos fsicos, el punto de
demarcacin es la caja de conexiones del cableado, ubicada en las instalaciones del
cliente, que conecta los cables del CPE al bucle local. Por lo general, se coloca de modo
que sea de fcil acceso para un tcnico. El punto de demarcacin es el lugar donde la
responsabilidad de la conexin pasa del usuario al proveedor de servicios. Cuando surgen
problemas, es necesario determinar si el usuario o el proveedor de servicios es responsable
de la resolucin o la reparacin.
Bucle local: cable de cobre o fibra propiamente dicho que conecta el CPE a la CO del
proveedor de servicios. A veces, el bucle local tambin se denomina ltima milla.

Oficina central (CO): la CO es la instalacin o el edificio del proveedor de servicios local que
conecta el CPE a la red del proveedor.

Red interurbana: consta de lneas de comunicacin, switches, routers y otros equipos

digitales, de largo alcance y de fibra ptica dentro de la red del proveedor de servicios

CSU/DSU: las lneas arrendadas digitales requieren una CSU y una DSU. Una CSU/DSU
puede ser un dispositivo separado, como un mdem, o puede ser una interfaz en un router.

La CSU proporciona terminacin de la seal digital y asegura la integridad de la conexin

mediante la correccin de errores y el monitoreo de la lnea.
La DSU convierte las tramas de lnea en tramas que la LAN puede interpretar y viceversa.

Tecnologas
Los enlaces de redes WAN empresariales incluyen
.
Red Privadas : Dedicas
Lneas Arrendadas usa un servicio de portadora T o E
proporciona conexiones punto a punto dedicadas permanentes

Conmutadas por circuitos

PSTN red pblica es una red con conmutacin de
de telefona de circuitos tradicional optimizada para
conmutacin comunicaciones de voz en tiempo
real. Infraestructura
ISDN red digital de habilita al bucle local de una PSTN Privada
servicios integrados para transportar seales digitales.
ISDN cambia las conexiones
internas de la PSTN para que
transporte seales digitales
multiplexadas por divisin de tiempo
(TDM) en vez de seales analgicas.
TDM permite que se
transfieran dos o ms seales, o
flujos de bits, como subcanales en
un canal de comunicacin.
La conexin ISDN puede requerir un adaptador de terminal (TA), que es un dispositivo
utilizado para conectar las de la interfaz de velocidad bsica (BRI) de ISDN a un router.
 Conmutadas por paquetes
Frame Relay Funciona en capa 1 y capa 2, es una alternativa a las lneas
dedicadas arrendadas WAN
MetroE Ethernet
metropolitana
ATM modo de Opera en capa 2 switch WAN puede transferir voz, video y
transferencia asncrona datos a travs de redes privadas y pblicas. Se construye
sobre una arquitectura basada en celdas, en vez de una
arquitectura basada en tramas.
MPLS conmutacin de Capa 2 y 3
etiquetas multiprotocolo

Red publica : Internet

DSL tecnologa de conexin permanente que usa las lneas
telefnicas de par trenzado existentes para transportar
datos con un ancho de banda elevado y proporciona
servicios IP a los suscriptores. Un mdem DSL convierte
una seal de Ethernet del dispositivo de usuario en una
seal DSL, que se transmite a la oficina central
DSL no es un medio compartido.

Varias lneas de suscriptor DSL se multiplexan en un nico enlace de alta capacidad mediante
un multiplexor de acceso DSL (DSLAM) en la ubicacin del proveedor. Los DSLAM
incorporan
la tecnologa TDM para la agregacin de varias lneas de suscriptor en un nico medio,
generalmente una conexin T3 (DS3).

Wan inalambrico
Wifi Municipal para uso de la administracin de la ciudad
WIMAX IEEE 802.16. WiMAX proporciona un servicio de banda
ancha de alta velocidad con acceso inalmbrico y
proporciona una amplia cobertura como una red de
telefona celular
VSAT Terminal de apertura muy pequea Es una solucin que
crea una WAN privada mediante comunicaciones
satelitales. Una VSAT es una pequea antena parablica
similar a las que se usan para Internet y televisin en el
hogar. Las VSAT crean una WAN privada a la vez que
proporcionan conectividad a ubicaciones remotas.

,
VPLS servicio de LAN privada virtual
CAPITULO 3

ATM
es el estndar internacional de retransmisin de celdas en el que los dispositivos
envan varios tipos de servicios (como voz, video o datos) en celdas de longitud fija
(53 bytes). Las celdas de longitud fija permiten que el procesamiento se lleve a cabo en el
hardware, lo que disminuye las demoras en el trnsito. ATM aprovecha los medios de
transmisin de alta velocidad, como E3, SONET y T3.

Protocolos de encapsulacin

HDLC
HDLC es un protocolo sincrnico de capa de enlace de datos orientado a bits (Actual ISO
13239). proporciona servicio orientado a la conexin y sin conexin. HDLC es el mtodo de
encapsulacin serial predeterminado al conectar dos routers Cisco.

HDLC utiliza la transmisin serial sncrona, que proporciona una comunicacin sin errores
entre
dos puntos.
HDLC define una estructura de trama de capa 2 que permite el control del flujo y de errores
mediante el uso de acuses de recibo. Cada trama presenta el mismo formato ya sea una
trama de datos o una trama de control.

Sealizador El patrn de bits es 01111110.

PPP
Protocolo de encapsulacin de capa 2, utilizado cuando existe la necesidad de conectarse a
un router que no es de Cisco.
PPP permite el uso simultneo de varios protocolos de capa de red. Algunos de los NCP ms
comunes son el protocolo de control del protocolo de Internet (IPv4), el protocolo de control
de IPv6, el protocolo de control AppleTalk, Novell IPX, el protocolo de control de Cisco
Systems, el protocolo de control SNA y el protocolo de control de compresin.
Admite la autenticacin PAP y CHAP
PPP opera a travs de cualquier interfaz DTE/DCE (RS-232-C, RS-422, RS-423 o V.35). El
nico requisito absoluto impuesto por PPP es un circuito full-duplex, ya sea dedicado o
conmutado.

Componentes:
Entramado del estilo de HDLC para
transportar paquetes multiprotocolo a
travs de enlaces punto a punto.

Protocolo de control de enlace

(LCP) control de enlace, extensible
para establecer, configurar y probar la conexin de enlace de datos. LCP tambin
negocia y configura las opciones de control en el enlace de datos WAN, administradas por
los NCP.
Manejo de distintos lmites en el tamao de paquete
Deteccin de errores comunes de configuracin
Finalizacin del enlace
Determinacin de cundo un enlace funciona correctamente o cundo falla

Familia de protocolos de control de red (NCP) control de la red, para establecer y

configurar distintos protocolos de capa de red.

PPP offers a feature that simplifies the Layer 3 operations in topologies that use multiple
parallel PPP links, with a feature called Multilink PPP (MLPPP)

El CPE, que generalmente es un router, es el dispositivo DTE. El DCE suele ser un mdem
o una CSU/DSU.

Un cable de mdem nulo se usa para conectar dos dispositivos DTE cruzando las lneas Tx y
Rx, sin necesidad de un dispositivo DCE. Cuando se usa este cable entre los routers en un
laboratorio, uno de los routers debe proporcionar la seal de reloj.

T1/E1
T3/E3

CAPTULO 5

DUAL-STACK
es cuando los dispositivos ejecutan protocolos asociados a IPv4 y a IPv6.
TUNNELING
para IPv6 es el proceso de encapsulacin de un paquete IPv6 dentro de un paquete IPv4.
Esto permite que el paquete IPv6 se transmita a travs de una red solo IPv4.

CAPTULO 6
DOCSIS
La especificacin de interfaz para servicios de datos por cable (DOCSIS) es un estndar
internacional desarrollado por CableLabs, un consorcio sin fines de lucro para la investigacin
y el desarrollo de tecnologas relacionadas con el cable. DOCSIS especifica la subcapa
(MAC) como requisito de la capa 2 que define un mtodo de acceso determinista, TDMA o S-
CDMA. Estndar especifica las frecuencias del canal y el mtodo de acceso determinista
del cable

Canal de Banda ancha

Tcnica de modulacin

CMTS
El sistema de terminacin de cable mdem (CMTS) en la cabecera del operador de cable

CM
Un cable mdem (CM) en el extremo del suscriptor

PPPoE
Crea un tnel PPP a travs de la conexin DSL con el propsito de enviar tramas PPP.
Proporciona a los proveedores de servicios, la capacidad de utilizar funciones de
autenticacin, contabilidad y gestin de enlaces para clientes a travs de redes Ethernet.
Caracteristicas:

The PPP configuration is on the dialer interface.

The Ethernet interface does not have an IP address.

S-CDMA
ACCESO MLTIPLE POR DIVISIN DE CDIGO SNCRONO
Es una versin exclusiva de CDMA desarrollada por Terayon Corporation para la
transmisin de datos a travs de redes de cable coaxial. S-CDMA dispersa los datos
digitales por toda una banda de frecuencia ancha y permite que varios suscriptores
conectados a la red transmitan y reciban simultneamente. SCDMA es seguro y
extremadamente resistente al ruido.

CAPTULO 7
VPN
Las VPN se utilizan para crear una conexin segura de red privada de extremo a extremo a
travs de redes externas, como Internet. Una VPN de sitio a sitio utiliza un dispositivo de
gateway VPN en el lmite de ambos sitios. Los hosts terminales desconocen la VPN y no
cuentan con software de soporte adicional.
Tecnologa proporciona una conexin segura entre un SOHO y la oficina central
Existen dos tipos de redes VPN:
VPN: Sitio a sitio

Una VPN de sitio a sitio se crea cuando los dispositivos en ambos lados de la conexin
VPN conocen la configuracin de VPN con anticipacin. Se utiliza una VPN de sitio a sitio
para conectar redes enteras

Una VPN de sitio a sitio es una extensin de una red WAN clsica. Las VPN de sitio a sitio
conectan redes enteras entre s, por ejemplo, pueden conectar la red de una sucursal a la
red de la oficina central de una empresa.

GRE
encapsulacin de routing genrico

Es un ejemplo de un protocolo de tunneling de VPN de sitio a sitio bsico y no seguro.

GRE es un protocolo de tunneling desarrollado por Cisco que puede encapsular una amplia
variedad de tipos de paquete de protocolo dentro de tneles IP. GRE crea un enlace virtual
punto a punto a los routers Cisco en puntos remotos a travs de una internetwork IP. GRE
est diseada para administrar el transporte del trfico multiprotocolo y de multidifusin
IP entre dos o ms sitios, que probablemente solo tengan conectividad IP. Puede encapsular
varios tipos de paquete de protocolo dentro de un tnel IP.

GRE no proporciona cifrado ni ningn otro mecanismo de seguridad. Por lo tanto, los datos
que se envan a travs de un tnel GRE no son seguros. Si se necesita una comunicacin
de datos segura, se deben configurar redes VPN con IPsec o SSL.

VPN SSL (Virtual Private Network Secure Sockets Layer)

IPsec
Psec es un estndar IETF que define la forma en que se puede configurar una VPN de
manera segura mediante el protocolo de Internet.
IPsec es un marco de estndares abiertos que detalla las reglas para las comunicaciones
seguras. IPSec no se limita a ningn tipo especfico de cifrado, autenticacin, algoritmo de
seguridad ni tecnologa de creacin de claves. En realidad, IPsec depende de algoritmos
existentes para implementar comunicaciones seguras. IPsec permite que se implementen
nuevos y mejores algoritmos sin modificar los estndares existentes de IPsec.
IPsec funciona en la capa de red, por lo que protege y autentica los paquetes IP entre los
dispositivos IPsec participantes, tambin conocidos como peers. IPsec protege una ruta
entre un par de gateways, un par de hosts o un gateway y un host. Como resultado, IPsec
puede proteger prcticamente todo el trfico de una aplicacin, dado que la proteccin se
puede implementar desde la capa 4 hasta la capa 7.
En qu capa del modelo de protocolo TCP / IP IPsec aplica seguridad a los datos de red:
Network

Las caractersticas de IPsec se pueden resumir de la siguiente manera:

IPsec es un marco de estndares abiertos que no depende de algoritmos.

IPsec proporciona confidencialidad e integridad de datos, y autenticacin del origen.

IPsec funciona en la capa de red, por lo que protege y autentica paquetes IP.

IPsec utiliza el intercambio de claves de Internet (IKE)

DES y 3DES ya no se consideran seguros; por lo tanto, se recomienda utilizar AES para el cifrado de
IPSec.

Cifrado Simtrico: DES, 3DES y AES

Cifrado Asimetrico: RSA

Los algoritmos de cifrado: DES, 3DES y AES,

Los algoritmos de hash: MD5 y SHA-1 (autenticacin de mensajes basado en hash HMAC)

Autenticacin: PSK y Firma RSA

Firmas Digitales: El algoritmo de firma digital (DSA)

IPsec utiliza RSA (sistema criptogrfico de claves pblicas) para la autenticacin en el contexto de IKE.
El mtodo de firmas RSA utiliza una configuracin de firma digital en la que cada dispositivo firma un
conjunto de datos de forma digital y lo enva a la otra parte. Las firmas RSA usan una entidad de
certificacin (CA) para generar un certificado digital de identidad exclusiva que se asigna a cada peer
para la autenticacin
Marco del protocolo IPsec

Como se mencion anteriormente, el marco del protocolo IPSec describe la mensajera para
proteger las comunicaciones, pero depende de los algoritmos existentes.

En la figura 1, se describen dos protocolos IPSec principales:

Encabezado de autenticacin (AH): AH es el protocolo que se debe utilizar cuando no se

requiere o no se permite la confidencialidad. Proporciona la autenticacin y la integridad de
datos para los paquetes IP que se transmiten entre dos sistemas. Sin embargo, AH no
proporciona la confidencialidad (el cifrado) de datos de los paquetes. Todo el texto se
transporta como texto no cifrado. Cuando se utiliza solo, el protocolo AH proporciona una
proteccin poco eficaz.

Contenido de seguridad encapsulado (ESP): es un protocolo de seguridad que proporciona

confidencialidad y autenticacin mediante el cifrado del paquete IP. El cifrado de paquetes IP
oculta los datos y las identidades del origen y el destino. ESP autentica el paquete IP y el
encabezado ESP internos. La autenticacin proporciona la autenticacin del origen de los datos
y la integridad de los datos. Si bien el cifrado y la autenticacin son optativos en ESP, se debe
seleccionar, como mnimo, uno de ellos.

En la figura 2, se muestran los componentes de la configuracin de IPSec. Se deben seleccionar

cuatro componentes bsicos del marco de IPsec.

Protocolo del marco de IPsec: al configurar un gateway IPsec para proporcionar servicios de
seguridad, se debe seleccionar un protocolo IPsec. Las opciones son una combinacin de ESP y
AH. En realidad, las opciones de ESP o ESP+AH casi siempre se seleccionan porque AH en s
mismo no proporciona el cifrado, como se muestra en la figura 3.

Confidencialidad (si se implementa IPsec con ESP): el algoritmo de cifrado elegido se debe
ajustar al nivel deseado de seguridad (DES, 3DES o AES). Se recomienda AES, ya que AES-GCM
proporciona la mayor seguridad.

Integridad: garantiza que el contenido no se haya alterado en trnsito. Se implementa

mediante el uso de algoritmos de hash. Entre las opciones se incluye MD5 y SHA.

Autenticacin: representa la forma en que se autentican los dispositivos en cualquiera de los

extremos del tnel VPN. Los dos mtodos son PSK o RSA.

Grupo de algoritmos DH: representa la forma en que se establece una clave secreta
compartida entre los peers. Existen varias opciones, pero DH24 proporciona la mayor
seguridad.

La combinacin de estos componentes es la que proporciona las opciones de confidencialidad,

integridad y autenticacin para las VPN con IPsec.

Nota: en esta seccin, se present IPsec para proporcionar una comprensin de cmo IPsec
protege los tneles VPN. La configuracin de VPN con IPsec excede el mbito de este curso.
El nivel de confidencialidad que proporciona el cifrado depende del algoritmo utilizado y la longitud de
la clave. El cifrado puede ser simtrico o asimtrico. DH es un mtodo que se utiliza para intercambiar
de forma segura las claves para cifrar datos.

VPN: Acceso remoto

VPN no se configura de forma esttica, pero permite el intercambio dinmico de informacin y

se puede habilitar y deshabilitar

Las VPN de acceso remoto admiten una arquitectura cliente/servidor, en la que el cliente VPN
(host remoto) obtiene acceso seguro a la red empresarial mediante un dispositivo del servidor
VPN en el permetro de la red.

Se utilizan para conectar hosts individuales que deben acceder a la red de su empresa de
forma segura a travs de Internet.

Existen dos mtodos principales para implementar VPN de acceso remoto:

Capa de sockets seguros (SSL)

Seguridad IP (IPsec)
Internet Engineering Task Force (IETF)

Describir opciones de acceso a conectividad WAN

(se incluye MPLS, MetroEthernet, PPPoE en banda ancha y VPNs sobre Internet (DMVPN,
VPN site-to-site, cliente VPN)).