Este documento describe varios protocolos y conceptos de redes como HSRP, VRRP, STP, RSTP, VTP, VLAN, port security e inter-VLAN routing. HSRP y VRRP son protocolos de redundancia de gateway, STP y RSTP son protocolos de prevención de bucles en switches, VTP distribuye configuraciones de VLAN, VLANs dividen una red lógica, port security restringe accesos por puerto y el enrutamiento inter-VLAN permite comunicación entre VLANs.
CLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIA
Rastreo conceptual hsrp, vrrp, stp, rstp, vtp, vlan, roting inter vla ns y port-security
1. 2014
Arned Martelo Sáenz
Ingeniería de Sistemas - FITCO
12-11-2014
HSRP, VRRP, STP, RSTP, VTP, VLAN y PORT SECURITY
2. 1
HSRP (HOT STAND-BY REDUNDANCY PROTOCOL)
HSRP (Hot Stand-by Redundancy Protocol) es un protocolo propietario de Cisco que está diseñado para asegurar la redundancia entre dos o más dispositivos Cisco. Funciona enviando mensajes IP Multicast en el puerto 1985/UDP hacia la dirección 224.0.0.2 en formato de paquetes Hello. HSRP ofrece un nivel de escalabilidad bastante bueno ya que además, es posible adaptar el modelo de redundancia hasta, por ejemplo, conexión de VPNs redundantes.
HSRP es tremendamente simple y efectiva. Para explicar bien esto veamos el diagrama de ejemplo:
En la red mostrada el PC tiene una IP 192.168.0.2 con máscara 255.255.255.0 y su puerta de enlace es 192.168.0.1. La idea de HSRP es que esta IP no es una dirección real, sino una dirección virtual que ambos routers comparten. Sin embargo, para mantener la conectividad de capa 3, capa router tiene su dirección IP habitual. La conexión a Internet pasará por el enrutador Activo y si éste falla o deja de responder, inmediatamente asume el control el router Standby. Esta operación es completamente transparente para el usuario. La configuración de ambos routers es bastante sencilla:
3. 2
R1(config)# interface fa0/0 R1(config-if)# ip address 192.168.0.253 255.255.255.0 R1(config-if)# standby ip 192.168.0.1 R1(config-if)# standby preempt
R2(config)# interface fa0/0 R2(config-if)# ip address 192.168.0.254 255.255.255.0 R2(config-if)# standby ip 192.168.0.1 R2(config-if)# standby priority 99
El comando standby ip asigna la IP virtual que servirá como puerta de enlace a los hosts de la red, y el comando standby priority determina quién será el router Activo y quien será el Standby. La opción preempt asegura que será el router Activo. Todo esto es verificable con el comando show standby
R1# show standby
FastEthernet0/0 – Group 0 State is Active 2 state changes, last state change 00:30:59 Virtual IP address is 192.168.0.1 Active virtual MAC address is 0004.4d82.7981 Local virtual MAC address is 0004.4d82.7981 (bia) Hello time 4 sec, hold time 12 sec Next hello sent in 1.412 secs Preemption enabled, min delay 50 sec, sync delay 40 sec Active router is local Standby router is 192.168.0.254, priority 75 (expires in 9.184 sec) Priority 95 (configured 120) Tracking 2 objects, 0 up IP redundancy name is “HSRP1″, advertisement interval is 34 sec
Esta es una de las implementaciones más simples de HSRP, pero puede utilizarse en una variedad de entornos de networking de manera bastante eficiente.
4. 3
VRRP (VIRTUAL ROUTER REDUNDANCY PROTOCOL)
VRRP, definido como Virtual Router Redundancy Protocol (Protocolo de Redundancia de Router Virtual), es un protocolo para mejorar la disponibilidad de la puerta de enlace definido para un equipo dentro de una subred. El funcionamiento del protocolo VRRP se basa en la simulación de un router virtual entre varios routers VRRP. Al router virtual se le asocia una dirección IP virtual y una dirección MAC virtual.
El siguiente gráfico muestra la comunicación entre dos equipos ubicados en distintas subredes. En la primera de ellas (de color naranja), su gateway por defecto es la 192.10.25.29/27. Es una dirección virtual compartida por ambos routers, y es la única conocida por los equipos finales. Entre ambos routers (cada uno con su dirección física), negocian su estado, configurándose uno de ellos como Nodos Maestro y el otro como Esclavo. En condiciones normales, la información se transmitirá hacia el nodo maestro, para conectarse con el nodo maestro de la otra subred (en color morado) a través de la VPN de interconexión.
5. 4
En caso de caída del nodo que actúa como Maestro en la VPLS-1, el nodo que se encontraba en un estado de Esclavo tomará el rol de Maestro, y a partir de entonces será el router de salida para la comunicación de la VPLS-1. Con un determinado tiempo de convergencia, este proceso es transparente para el equipo final, el cuál tendrá como configuración de gateway la dirección virtual compartida por VRRP entre ambos.
STP (SPANNING TREE PROTOCOL)
El Protocolo Spanning Tree es un protocolo de red que garantiza una topología libre de bucles para cualquier red de área local Ethernet puenteada. La función básica de STP es para evitar bucles de puente y la emisión de radiación que resulta de ellas.
6. 5
Árbol de expansión también permite un diseño de red para incluir enlaces de repuesto para proporcionar rutas de copia de seguridad automática si un enlace activo falla, sin el peligro de bucles de puente, o la necesidad de manual de activación/desactivación de estos enlaces de copia de seguridad.
RSTP (RAPID SPANNING TREE PROTOCOL)
Spanning Tree Protocol 802.1D (STP) fue designado como el primer estándar que provee redundancia en equipos de capa 2, SWITCHS, evitando loops.
Sin embargo uno de sus problemas era el tiempo de convergencia, ya que demoraba mucho. Luego cisco mejora el original 802.1D con características como Uplink Fast, Backbone Fast y Port FAST, para mejorar la velocidad y el tiempo de convergencia.
Nace Rapid Spanning Tree Protocol (RSTP; IEEE 802.1w), el cual es la evolución del estándar 802.1D. RSTP puede interoperar con el antiguo 802.1D (STP). Se generan nuevo estados de puertos y roles de puertos, RSTP trabaja estos estados de puerto de manera mixta, como por ejemplo Listening y Blocking, ambos descargan tramas y no aprenden MAC Address.
VLAN (VIRTUAL LOCAL AREA NETWORK)
Una VLAN (Red de área local virtual o LAN virtual) es una subred IP separada de manera lógica. Las VLAN permiten que redes de IP y subredes múltiples existan en la misma red conmutada. Una VLAN permite que un administrador de red cree grupos de dispositivos conectados a la red de manera lógica que actúan como si estuvieran en su propia red independiente, incluso si comparten una infraestructura común con otras VLAN.
7. 6
Se han definido diversos tipos de VLAN, según criterios de conmutación y el nivel en el que se lleve a cabo:
La VLAN de nivel 1 (también denominada VLAN basada en puerto) define una red virtual según los puertos de conexión del conmutador;
La VLAN de nivel 2 (también denominada VLAN basada en la dirección MAC) define una red virtual según las direcciones MAC de las estaciones. Este tipo de VLAN es más flexible que la VLAN basada en puerto, ya que la red es independiente de la ubicación de la estación;
La VLAN de nivel 3: existen diferentes tipos de VLAN de nivel 3:
La VLAN basada en la dirección de red conecta subredes según la dirección IP de origen de los datagramas. Este tipo de solución brinda gran flexibilidad, en la medida en que la configuración de los conmutadores cambia automáticamente cuando se mueve una estación. En contrapartida, puede haber una ligera disminución del rendimiento, ya que la información contenida en los paquetes debe analizarse detenidamente.
La VLAN basada en protocolo permite crear una red virtual por tipo de protocolo (por ejemplo, TCP/IP, IPX, AppleTalk, etc.). Por lo tanto, se pueden agrupar todos los equipos que utilizan el mismo protocolo en la misma red.
Los principales beneficios de utilizar las VLAN son: seguridad, reducción de costos, mejor rendimiento, mitigación de la tormenta de Broadcast, mayor eficiencia del personal de TI, administración de aplicación o de proyectos más simples.
VTP (VLAN TRUNKING PROTOCOL)
El VTP permite a un administrador de red configurar un switch de modo que propagará las configuraciones de la VLAN hacia los otros switches en la red.
8. 7
El switch se puede configurar en la función de servidor del VTP o de cliente del VTP.
El VTP sólo aprende sobre las VLAN de rango normal (ID de VLAN 1 a 1005).
Las VLAN de rango extendido (ID mayor a 1005) no son admitidas por el VTP.
Componentes del VTP:
Dominio del VTP: Consiste de uno o más switches interconectados.
Publicaciones del VTP: El VTP usa una jerarquía de publicaciones para distribuir y sincronizar las configuraciones de la VLAN a través de la red.
Modos del VTP: Un switch se puede configurar en uno de tres modos: servidor, cliente o transparente.
Servidor del VTP: los servidores del VTP publican la información VLAN del dominio del VTP a otros switches habilitados por el VTP en el mismo dominio del VTP.
Cliente del VTP: los clientes del VTP funcionan de la misma manera que los servidores del VTP pero no pueden crear, cambiar o eliminar las VLAN en un cliente del VTP.
VTP transparente: los switches transparentes envían publicaciones del VTP a los clientes del VTP y servidores del VTP. Los switches transparentes no participan en el VTP.
Depuración del VTP: La depuración del VTP aumenta el ancho de banda disponible para la red mediante la restricción del tráfico saturado a esos enlaces troncales que el tráfico debe utilizar para alcanzar los dispositivos de destino.
9. 8
ROUTING INTER VLAN
El enrutamiento entre VLANs es un proceso para reenviar el tráfico de la red desde una VLAN a otra mediante un router. Es importante recordar que cada VLAN es un dominio de broadcast único. Por lo tanto, de manera predeterminada, las computadoras en VLAN separadas no pueden comunicarse. Existe una manera para permitir que estas estaciones finales puedan comunicarse; esta manera se llama enrutamiento entre vlan (Inter vlan routing). El enrutamiento entre VLAN es un proceso que permite reenviar el tráfico de la red desde una VLAN a otra mediante un router. Las VLAN están asociadas a subredes IP únicas en la red. Esta configuración de subred facilita el proceso de enrutamiento en un entorno de múltiples VLAN.
PORT SECURITY
Port Security es un feature de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a través de ese puerto del switch. Si un dispositivo con otra dirección MAC intenta comunicarse a través de ese puerto, port- security lo deshabilitará. Incluso se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificación correspondiente al bloqueo del puerto.
Entre otras cosas, Port-Security permite las siguientes funciones: restringir el acceso a los puertos según la MAC, limitar el número de equipos por puerto, configurar el puerto para que actúe de una u otra forma en caso de violación de restricción… etc.
10. 9
REFERENCIAS BIBLIOGRAFICAS
TESIS DE GRADO
ANALISIS, DISEÑO Y OPTIMIZACION DE UNA RED LOCAL CON INTERVLANS TRONCALIZADAS Y SEGURIDAD DE ACCESO MEDIANTE LA APLICACIÓN DE ACLS
https://www.dspace.espol.edu.ec/bitstream/123456789/3034/1/5551.pdf
ARTICULOS
REDUNDANCIA DE GATEWAY
http://librosnetworking.blogspot.com/2009/08/redundancia-de-gateway.html
REDUNDANCIA ENTRE ROUTERS CON HSRP
http://www.redescisco.net/v2/art/redundancia-entre-routers-con-hsrp/
SEMINARIOS
INTERCONECTIVIDAD Y SEGMENTACION DE REDES DE ALTA VELOCIDAD
http://tesis.ipn.mx:8080/xmlui/bitstream/handle/123456789/2917/ESIME- CULHUA.pdf?sequence=1
11. 10
PROYECTOS DE GRADO
REDISEÑO DE UNA INTRANET DE ALTA DISPONIBILIDAD PARA UNA ENTIDAD FINANCIERA
http://bibdigital.epn.edu.ec/bitstream/15000/4338/1/CD-3949.pdf