Modulo 11 Certiseg

Plan de Carrera de
Administracin CISCO
Mdulo 11: Extensin de redes LAN hacia la WAN
1
Contenido
Mdulo 11: Extensin de redes LAN hacia la WAN
x Tema 1: Establecimiento de redes

redes WAN mediante el
protocolo PPP
x Tema 2: Establecimiento de redes WAN mediante el
protocolo Frame Relay
x Tema 3: Parametrizacin y resolucin de problemas en
redes Frame Relay
x Tema 4: Introduccin a las redes privadas virtuales
2
Tema 1: Establecimiento de redes WAN mediante
el protocolo PPP
Objetivos
x Entender los principios de los enlaces seriales

x Aprender la mecnica de los enlaces WAN
x Configurar el protocolo Punto a Punto PPP
Enlaces Seriales
En las comunicaciones Lan hemos visto y tratado las interfaces de tipo Ethernet que representaban un entorno de
acceso mltiple o broadcast. Ante este tipo de dominios, se establece una contienda a la hora de comunicar, para
ver qu dispositivo puede hacerlo. Como pueden acceder
acceder a la red ms de un host, es necesario saberlos distinguir,
y esto se hace a nivel de la capa 2 mediante las Mac.
En un enlace Wan, que comunica dos routers entre s, la topologa tanto fsica como lgica suele ser la de punto a
punto (o punto a multipunto). Los enlaces seriales permiten una distancia mayor entre los equipos pero la tasa de
transferencia se reduce.
En las interfaces de este tipo a nivel de capa 2 no hace falta un direccionamiento que identifique a cada una de
esas mquinas, por eso no hay MAC.
3
Comparacin entre una interfaz Fastethernet y una serial. Fijaos en la diferencia del ancho de banda de un puerto
a otro (100 megas frente a 1,544), la ausencia de MAC en el de abajo, o la encapsulacin (HDLC), tema del que
trataremos ahora
DCE y DTE
Cuando establecemos una conexin serial entre dos routers, no bastar con levantar las interfaces fsicas para
que el enlace sea operativo. En funcin del cableado, uno de los equipos siempre actuar como DCE (data circuit-
terminating equipment), normalmente el extremo del proveedor, y otro tendr el rol de Equipo terminal de datos o
DTE.
El equipo que acta como DCE debe establecer la velocidad de sincronizacin del enlace serial mediante el
comando clock rate. Por eso suele ser el ISP en la comunicacin, que establece la tasa de flujo de informacin
segn se haya contratado. La funcin del DCE/DTE lo da el cableado y suelen venir etiquetados o marcados en
funcin del rol.
4
Si no tenemos acceso fsico al router, podemos, mediante comandos,
comandos, averiguar qu rol tiene el extremo del cable
establecido en nuestro equipo. En este puerto cae la responsabilidad de que el enlace se levante. En el caso de
no especificar el clock rate, la interfaz nunca se levantar (aparecer UP a nivel de capa 1 pero down a nivel de
capa 2)
Comando para visualizar el rol de la interfaz serial. En este caso es un DCE sin reloj establecido.
Encapsulaciones
A la hora de poner los datos en el cable serial, se tienen varias formas para hacerlo, segn nos interese en funcin
del vendedor, capacidades, autenticacin, etc.
Veamos alguno de los tipos que se pueden presentar. Es imperativo que punto a punto compartan el mismo tipo
de encapsulacin. Este mismatch provoca que el puerto no se levante a nivel de capa 2.
HDCL
Encapsulacin por defecto en los dispositivos Cisco, muy utilizado para conectarse a la WAN a travs de distintos
proveedores.
PPP
5
Es de los ms utilizados, sobre todo cuando no son routers de la compaa de San Jos. Permite la autenticacin
a nivel de capa 2 y es independiente del protocolo de capa 3 sobre el que se trabaje.
Frame Relay.
Sucesora de la X.25, requiere una serie de dispositivos especiales llamados Switches Frame Relay para crear
una malla y poder comunicar los equipos. En este caso es bastante parecido a MPLS pues produce un proceso
similar al enrutado por etiquetas. Por as
as decirlo, es algo ms que una tecnologa de capa 2 para encapsular.
Point To Point Protocol
PPP
Point To Point Protocol se asienta sobre el encapsulado HDLC para establecer el entramado de la informacin que
se enva. As mismo establece conexiones tanto a nivel de capa 2 (Link Control Protocol) como una familia de
protocolos de control de red o NCP (Network Control Protocols),
Protocols), ofreciendo independencia del estndar elegido a
nivel de capa de red, como IP, IPX, Appletalk, etc.
LCP
Antes de poder establecer comunicaciones mediante el NCP, se ha de pasar el proceso de asociacin, y
autenticacin (opcional) de este protocolo de capa 2. A nivel de capa enlace de datos se pueden definir distintos
tipos de compresin (stacker y predictor), comprobacin
comprobacin de errores (nmero mgico), autenticacin CHAP y PAP y
abrir y finalizar el enlace.
Si cualquiera de estos pasos falla, el enlace a nivel de capa 2 puede no levantarse y por tanto no ser operativo.
NCP, protocolo de control de red
PPP permite que se pueda operar dentro de cada red con un protocolo distinto de capa 3. Al igual que el concepto
de PDM o diseo modular de EIGRP, posee una pila para cada protocolo de red que se utilice, as tiene para IPCP
para IP e IPXCP para IPX, entre otros.
Mediante una serie de cdigos ya estandarizados y registrados, se indica la informacin que PPP ha de
encapsular. (por ejemplo, 802b para Novell IPX y 8029 para Appletalk).
Estas reglas son ms o menos automticas. Si no establecemos ningn parmetro opcional simplemente
deberemos especificar la encapsulacin y podremos empezar a utilizar la red.
SI hacemos uso de la compresin, la agregacin de multienlaces, el nmero mgico para medir la calidad o la
autenticacin, estaremos aprovechando las prestaciones que nos ofrece PPP.
Normalmente se recomienda este tipo de encapsulacin entre equipos que no sean Cisco, aunque manualmente
se puede definir el tipo que sea, mientras los routers lo soporten.
Configuracin PPP
6
De nuevo nos vamos a valer del GNS3 para establecer la prctica
prctica y poder configurar los dispositivos con esta
encapsulacin.
Para ello enlacemos mediante seriales los routers (slot 1: 4t+) de la manera que os pongo a continuacin:
Direccionamiento:
R1
S1/0 192.168.1.1/30
S1/1 192.168.1.5/30
R2
S1/0 192.168.1.2/30
S1/1 192.168.1.6/30
En este caso no hace falta establecer el clock rate porque el gns3 no emula esa parte. Para todo lo dems ser
exactamente igual que un router real.
Fijaros como la encapsulacin por defecto es HDLC mediante el comando show interface s1/0
7
Si establecemos distintas encapsulaciones en los extremos de los enlaces, veremos que la interfaz
automticamente se cae hasta que coincida en el protocolo utilizado.
Puede haber varios motivos por los que un puerto est levantado a nivel de capa uno (status up) pero cado a
nivel de capa dos (protocol down):
x Distinto encapsulamiento
x Fallo de la autenticacin en PPP
x Falta del clock rate en el DCE
Hasta que tanto el status como el protocolo no se encuentren los dos UP, el router no los tendr en cuenta para
direccionar trfico. Por tanto si hiciramos ahora mismo un show ip route la red 192.168.1.0/30 no saldra como
disponible.
Establezcamos ahora la encapsulacin PPP en los 4 interfaces utilizados mediante el comando encapsulation
ppp a nivel de config-if, despus comprobad que efectivamente los puertos al final estn levantados y con el
protocolo definido:
Sh interfaces s1/0
Sh run int s1/0
Para ver mejor la estructura de la trama procederemos a capturar el trfico mediante el programa Wireshark. En
este caso habr que especificar qu protocolo tenemos definido en la serial para que el sniffer sea capaz de
procesarlo:
8
Fijaros que la estructura de un paquete PPP es mucho ms sencilla y ocupa menos que una trama Ethernet,
donde tenamos que reservar hasta 12 bytes para el direccionamiento a nivel de capa 2. En este caso, no hay ni
Mac origen ni destino en la comunicacin, ni hace falta. Si colocamos informacin en el enlace, slo puede llegar
al receptor que es el otro equipo. No hay ms dispositivos que puedan actuar como destinatarios de esa trama.
Cuando en dos interfaces se define el protocolo PPP como medio de encapsulacin del entramado, deben pasar
por distintas fases para que la comunicacin se pueda estab lecer.
x Fase 1.- Establecimiento fsico del enlace y negociacin. El protocolo LCP debe poder abrir la conexin y
negociar los parmetros definidos en los dos routers
x Fase 2.- Calidad del enlace. De manera opcional se puede establecer un medidor de calidad o nmero
mgico que haya que superar para pasar a la siguiente fase
x Fase 3.- Negociacin a nivel de capa de red, mediante NCP. En este aspecto se determina, en funcin del
protocolo de capa 3, qu pila de red utilizar.
Si todo sucede de forma exitosa, se completa el enlace y se vuelve operativo. Cualquier fallo puede determinar
que el puerto no se levante:
9
Se puede comprobar cmo el protocolo LCP est establecido (Open) y la pila de protocolos de capa 3 est
trabajando (IPCP para IP y CDPCP para el protocolo CDP, que por defecto est activo en los dispositivos de
Cisco).
Esta encapsulacin, segn se est utilizando ahora, no difiere mucho de lo que podemos llegar a hacer mediante
HDLC o cualquier otro protocolo. Veamos algunas de las caractersticas ahora que le son exclusivas:
Autenticacin
Sabemos que muchos protocolos a nivel de capa 3 pueden establecer un proceso de acreditacin de sus vecinos
para ver si son fuentes fiables de informacin, como Eigrp u OSPF. PPP da un paso ms y establece una
negociacin para comprobar si el enlace se debe levantar o no. En el caso de que no se supere esta fase, el
puerto permanecer cado.
Para llevarla a cabo existen dos procesos distintos, PAP y CHAP.
PAP
El primero es un protocolo de enlace de dos vas dondedonde un host enva su informacin y el otro la acepta. El
principal defecto es que la clave se enva en texto plano y por tanto es susceptible de ser suplantada.
Los comandos son los siguientes:
10
Username izquierdo password cisco
En este caso, valido en el router la informacin que espero recibir de mi vecino adyacente.
Si el router izquierdo en su interfaz configura el comando
Ppp pap sent-username izquierdo password cisco
Empezar a enviar paquetes con esa informacin. El router derecho para aceptarlo
aceptarlo debe tener en su base de
datos local esta informacin:
Username izquierdo password cisco
Y justamente la misma informacin al contrario. Siempre se ha de definir un usuario con la clave que se espera
recibir justamente desde el otro extremo.
La manera de comprobar que la autenticacin se ha efectuado es que el enlace automticamente se levante.
Para poder visualizar la informacin que se enva durante el proceso de autenticacin, proceded a tirar la interfaz y
volverla a levantar, mientras capturis el trfico:
Fijaros como sale tanto el nombre de usuario como la contrasea, amn del proceso de negociacin a nivel de
capa 3 una vez superado esta fase (ipcp/cdp configuration request)
CHAP
11
Es un proceso similar al anterior pero mediante un proceso de tres vas donde se enva un desafo que los dos
dispositivos deben superar. Tiene dos ventajas, la reautenticacin cada x tiempo y el envo de la informacin de
manera cifrada. En este caso se procesa la informacin del nombre de host definido y deben coincidir con la
contrasea establecida.
Ejemplo
Izquierdo Derecho
Username Derecho password Cisco username Izquierdo password Cisco
Int s1/0 Int s1/0
Encapsulation ppp encapsulation ppp
Ppp autentication chap ppp authentication chap
Hostname Izquierdo Hostname Derecho
Ante esto, no hay ninguna razn por la que, si los dos equipos soportan CHAP, queramos utilizar PAP.
PPP Multilink
El ltimo apartado que vamos a ver nos servir para hacer un mejor tratamiento sobre el uso de las interfaces,
normalmente de un escaso ancho de banda.
Al igual que los etherchannel, se pueden agrupar varias interfaces fsicas en una lgica cuyo ancho de banda es la
suma de las que lo componen (a nivel de switching, para que el protocolo spanning-tree no desactive los enlaces
redundantes, los puertos se agrupan en un bunch llamado etherchannel o port-channel que les hace actuar como
si fuera una nica interfaz).
Es decir, podemos tratar las dos seriales como si fueran una sola, y as, independientemente del protocolo de
enrutamiento, establecer un balanceado de carga a travs del enlace.
Fijaros en el ejemplo de configuracin del router izquierdo para poder ver cmo se hace:
Opcionalmente quito las direcciones IP de las interfaces fsicas y slo se lo asigno a la lgica. En este caso a cada
una de las seriales las meto en el grupo 1 y configuro la interfaz multilink 1 mediante el comando interface
multilink 1 (el 1 es el nmero del grupo)
12
Una vez se establezca el enlace lgico en el otro extremo automticamente se levantar el nuestro. Fijaros que el
ancho de banda es la suma de los 1544 kbit de las interfaces fsicas (BW 3088) y somos capaces de hacerle un
ping al otro extremo, que se balancea por las distintas seriales.
13
Ver el Video Encapsulacin WAN PPP en la plataforma
Laboratorio
Apliquemos esta teora que hemos aprendido al ejemplo que tenemos nosotros con nuestros routers (sobre PPP
Multilink):
Para ello previamente aadamos una interfaz ms en el router de la derecha y habilitemos EIGRP.
interface Loopback0
ip address 2.0.0.1 255.0.0.0
router eigrp 1
network 1.0.0.0
network 2.0.0.0
no auto-summary
y comprobemos que desde la izquierda somos capaces de hacerle ping a la loopback del de la derecha:
izquierdo#ping 2.0.0.1
Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 2.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/44/72 ms
Ahora definamos una lista de acceso que deniegue cualquier trfico que vaya a la 1.0.0.1 si la ip origen es la
1.0.0.2, en cambio lo permitamos si viene de la propia loopback o de cualquier otra red:
access-list 100 deny icmp host 1.0.0.2 host 1.0.0.1

access-list 100 permit ip any any
14
Con estos parmetros estoy denegando la comunicacin por el protocolo ICMP (ping) que se inicie en la 1.0.0.2 y
tenga como destino la 1.0.0.1, mientras que otro tipo de trfico ser permitido.
Para aplicar la lista de acceso lo haremos a nivel de interfaz:
Int multilink 1
Ip Access-group 100 in
El segundo comando, access-group, asigna la lista de acceso acl# sobre la interfaz de entrada o de salida donde
se ejecuta dicho comando.
Para probar si realmente funciona la lista de acceso, probaremos lo que os muestro en pantalla:
Si no especifico nada, el ping sale con la ip origen de la interfaz por la que sale (la 1.0.0.2)
1.0.0.2) y por tanto nos muestra
un mensaje como destino inalcanzable (unreachable). Si le defino como source la Loopback 0, permitida en la
sentencia de la lista de acceso, comprobamos que el ping s es efectivo.
El comando show Access-list nos informa las ACL definidas en el equipo, y los matches confirman el nmero
de veces que esa lista de acceso ha trabajado. El nmero es tan alto porque, recordad, que el protocolo PPP est
enviando paquetes cada x tiempo, as como el propio proceso de EIGRP.
Las listas de acceso estndar deben situarse lo ms cercano posible al trfico destino, y las
extendidas al origen.
15
Nota sobre el comando PING.
EL comando ping tiene bastantes argumentos que podemos utilizar para hacerlo una herramienta bastante
efectiva para comprobar el estado de la red. Si queremos visualizar todas las opciones que nos permite, haremos
uso del ping extendido:
Con el comando ping a secas, se iniciar un asistente que nos pregunta, entre otras cosas, la ip origen, nmero
de paquetes a enviar, tamao de los datagramas, o por ejemplo el tipo de servicio o QoS. Aqu hemos
especificado el valor de 6.
Si seguimos realizando la captura y desplegamos el campo IP (Internet Protocol), el valor del campo DSCP est a
6. De este modo si hay algn dispositivo intermedio implementado correctamente, puede privilegiar este tipo de
paquetes frente a otros
16
Tema 2: Establecimiento de redes WAN mediante
el protocolo Frame Relay
Objetivos
x Entender el protocolo Frame Relay
x Establecer redes WAN mediante el protocolo Fram Relay
Principios de Frame Relay
Para entender mejor este protocolo de encapsulacin Wan de capa 1 y capa 2, vamos a explicar previamente dos
conceptos, las lneas arrendadas y la tecnologa de la que bebe, x.25.
Antiguamente, si varias empresas se queran conectar a internet, necesitaban de unas lneas dedicadas para
poder hacerlo. Estas conexiones fsicas necesitaban ser adquiridas por parte del cliente, por lo que los costes
podan ser bastante altos. A esto, adems, haba que aadir que en ciertas ocasiones, se requera menos ancho
de banda de lo que dotaban los cables. Visualizad la siguiente infraestructura:
Los equipos representan a distintas sedes localizadas en diferentes ubicaciones. Antes, con el concepto de lneas
arrendadas, el ISP reservaba ese enlace de manera dedicada al que lo comprase o solicitase, por lo que nadie
ms poda utilizar ese circuito ni esa infraestructura. Cada proveedor, en funcin de la zona, tena un precio
diferente. Por tanto, fijad como se encarece enormemente la conexin entre ciertos equipos, pues deberamos
pagar de principio a fin la estructura que nos ofrece.
17
Adems, segn las exigencias que se tengan, puede que necesitemos aprovisionarnos de ms ancho de banda
que la que necesitemos. Un DS0 para una conexin ISDN ofrece una velocidad de 56 k, mientras que una lnea
T1 son 24 canales DS0, mientras que en Europa las lneas E1 soportan 32 canales Ds0 (31 para voz o datos, otro
para sealizacin)
As, si necesitamos 10 canales DS0, nos veramos

veramos obligados a comprar un T1 entero para luego no usar ni el 50%
de capacidad. Por tanto, si queramos rebajar gastos, nos tendramos que obligar a rebajar la conexin de toda la
infraestructura establecida, pues al final estamos trabajando con enlaces dedicados.
La escalabilidad tampoco era su punto fuerte, pues el incremento de lneas que se necesitasen, o dar de alta
nuevos puntos de conexin implicaba altas sumas de dinero y un nivel de complejidad cada vez ms alto.
Entonces se empez a pensar en otro tipo de tecnologa que ofreciera la misma cobertura de accin, o mejor, si
se pudiera, y menos costoso. Algo diferente al concepto de las lneas dedicadas, donde se pudieran establecer
distintos circuitos virtuales en las mismas lneas pero para distintos
distintos clientes segn se fuera necesitando. Es decir,
tener una infraestructura central alquilada a varios usuarios y que estos alquilaran el servicio de sus lneas, con la
velocidad que se requiriera para el momento y compartida entre todos, lo que supondra
supondra un abaratamiento enorme
para la red.
Definido en 1974 y ratificado en el 85, se elaboro la norma x.25 que defina la conexin de equipos terminales de
datos (DTE) a travs de equipos DCE a una infraestructura pblica mediante la conmutacin por paquetes, donde
se permita la facturacin en funcin del trafico generado por cada uno de los clientes. Adems, ste solo tena la
responsabilidad de su enlace hasta el DCE, por lo que si necesita ms ancho de banda, le corresponde al ISP
poder proporcionrselo con el equipamiento utilizado.
X.25 supona, por tanto, una gran mejora, pero fue actualizado a Frame Relay, algo ms ligero en su estructura y
menos pesado, pues no tiene tantos controles adicionales como dispona su antecesor, entre ellos, correccin de
errores, por ejemplo. Esto tambin agiliza la transmisin, pues al tener menos opciones los paquetes pesan
menos y se procesan de manera ms rpida, delegando a los equipos finales cualquier comprobacin que se
tenga que realizar.
Frame Relay utiliza tanto circuitos virtuales permanentes (PVC) como temporales (SVC), permitiendo la
comunicacin de uno u otro modo entre equipos finales. Recordad que la ventaja principal de FR es el precio
frente a las lneas arrendadas, pues los clientes solo han de pagar por
por su bucle local y por el ancho de banda que
utilizan, no por la conexin de extremo a extremo. As, mientras con las primeras la unidad mnima de transmisin
necesaria para incrementar el ancho de banda era de un DS0, con FR se permite especificar con mrgenes de
4kbps.
Aunque el coste de los elementos FR son ms altos, el balance mensual es rentable en comparacin con las
lneas arrendadas, adems de que es ms sencillo en su administracin y permite un gran grado de escalabilidad,
sobre todo en la parte del cliente, pues no se debe preocupar en lo referente a lo que sucede en la malla Frame
Relay.
Adems FR se mide el coste por el ancho de banda utilizado, no por el uso de la conexin como suceda con
conexiones ISND.
Si antes os dibujaba esa topologa para
para que os hicierais una idea sobre lo referente a las lneas arrendadas,
donde tenamos la responsabilidad de principio a fin de toda la estructura, con Frame Relay nos encontraramos
con una situacin parecida a esta:
18
Esa malla Frame Relay, que luego v eremos ms en detenimiento, se compone de un cierto tipo de Switches que
mediante CLI identifican los distintos VC que pueda haber dentro de la red para que los clientes se comuniquen
entre s.
56 k, 64 k, 1.544 Mbps, 1536 Mbps.
Despus de haber estudiando los distintos tipos de canales de comunicacin que hay, si habis hecho cuentas,
nos pueden fallar algunos resultados sobre el ancho de banda que se define y el que realmente se utiliza. En el
caso de que sea as, os voy a explicar algunos conceptos para
para que termine de quedar todo claro.
Hemos visto que un canal T1 o tambin llamado DS1 se compone de 24 canales DS0, y que estos, en un
principio ocupan 64 k o eran 56..-. Vamos a verlo mejor:
De momento nos vamos a quedar con que un DS0 ocupa 64 k (8 bits
bits por 8khz o 8000 veces por segundo en una
codificacin de voz PCM), y que un canal T1 tiene 24 DS0. Si hacemos una multiplicacin, nos saldran 1.536
Mbps, no los mencionados 1.544 Mbps que supuestamente ocupa un T1.
Una trama en T1 est compuesta por 24 canales DS0, a 8 bits cada una. Por tanto una trama DS1 ocupa 192 bits
(24 canales DS0 por 8 bits cada una de esos canales). Con esto nos sigue saliendo 1.533 Mbps -192 *8 khz-. Pero
a cada trama se le aade un bit de control, lo que hace que ocupe 193 bits.
bits. Si multiplicamos estos 193 bits por
trama por 8 khz, ya salen los 1.544 Mbps que se mencionaban al principio.
De igual forma, de los 8 bits que compone un DS0 (8 bits por 8khz), solo se utilizan 7 bits para datos y se delega
uno para control, por lo que se utiliza tan solo 56 bits de datos reales
19
Por tanto, la velocidad real del enlace Clear Channel Capacity- son 1.344 Mbps (56 K x 24 canales DS0)
mientras que el ancho de banda total Total Aggregate bandwitdh- asciende a 1.544.
Repasando los conceptos de FR, recordemos que es una tecnologa de capa fsica y capa de enlace, que
gestiona la comunicacin entre distintos DTE a travs de una malla Frame Relay, y que los dispositivos terminales
de datos se conectan a sta a travs de los DCE (por ejemplo un Switch Frame Relay).
Para el cliente, o DTE, lo que ocurra dentro de dicha malla le permanece oculto. De manera MUY similar, trabaja
MPLS, que es una implementacin que se llama de capa 2 , donde se le agrega una etiqueta y los equipos
intermedios conmutan en base a esa informacin. De igual modo, se establecen en Frame Relay multitud de
circuitos virtuales, cada uno de ellos identificado por un nmero llamado DLCI, que tiene significado solo a nivel
local exactamente igual que los tag de MPLS-.
En la parte del cliente, el dispositivo que se conecta al Switch Frame Relay se le conoce como FRAD (Frame
Relay Access Device, o dispositivo de acceso FR), que es cualquier equipo que pueda comunicarse y admitir
tramas FR. De hecho, nosotros veremos en la prctica
prctica cmo configurar un router Cisco para que acte como tal.
Circuitos Virtuales
De forma similar a la conmutacin por paquetes y por circuitos, los VC en FR pueden ser permanentes o
conmutados.
Dentro de la nube FR, existen multitud de lneas fsicas
fsicas que conectan unos dispositivos con otros, utilizados por
los equipos para enviar multitud de datos con distinto origen y destino. Las comunicaciones son virtuales porque
trabajan a nivel lgico, pudiendo seguir distintos caminos segn parmetros como el ancho de banda, por ejemplo.
Los SVC son circuitos que se establecen (call setup), transfieren informacin (Data Transfer), se quedan
establecidos durante un tiempo aunque la informacin haya terminado (IDLE) y se cierra la conexin (Call
termination). Una analoga que hace esto ms sencillo de entender es la llamada telefnica. Cuando la realizamos,
se establece un circuito virtual entre nuestro telfono y el del receptor, y se mantiene mientras nos comunicamos
verbalmente. Una vez finalizada al colgar, se liberan los recursos. SI volvemos a llamar a la misma persona, se
vuelve a establecer otro circuito distinto por donde va pasando la informacin.
Si nos interesa, podemos prefijar esos circuitos para que siempre sean los mismos, si as los solicita el cliente, por
lo que pasaran a llamarse PVC, Circuitos Virtuales Permanentes o Privados. Al estar preestablecidos, solo
funcionan en los modos Data Transfer e IDLE, ya que no se abren cada vez ni finalizan por cada comunicacin.
Dichos VC se identifican mediante unos DLCI. Tal como veremos, son significativos a nivel local, por lo que el
mismo DLCI se puede utilizar en distintos equipos sin que tengan por qu hacer referencia al mismo destino. O al
contrario, distintos DLCI pueden hacer referencia a la misma
misma conexin entre varios Switches Frame Relay. En las
sucesivas prcticas iremos viendo cmo establecer de forma dinmica estos valores o asociar a una comunicacin
un DLCI permanente.
20
Aunque luego lo veremos en detenimiento (esta prctica no entra en el e l CCNA, pero siempre la veo porque as nos
hacemos mejor idea de cmo funciona un Switch Frame Relay), lo que estamos haciendo es definir el rol del
router Cisco como un Switch Frame Relay y aadir unos dlci (122 y 221) a la interfaz serial. En este caso, lo que
se est diciendo es que todo lo que se reciba por la interfaz s1/0 tiene el DLCI asociado 122 y saldr por la interfaz
s1/1 con el 221. Los extremos, imaginaros que dos DTE, aprendern de manera dinmica, por ejemplo, estos
valores del equipo DCE. No hara falta poner direccin IP en las interfaces seriales, ya que no se toman las
decisiones de conmutacin a nivel de capa 3, sino a nivel de DLCI. Aunque esto pueda parece un poco extrao,
vuelvo con mi amado MPLS, cuya ventaja principal es que, al no conmutar por IP sino por etiqueta, se hace
mucho ms rpido. En el enrutamiento tradicional, cada router recibe una trama y mira en su propia tabla de
enrutamiento. Con las etiquetas (en MPLS) o los DLCI (en FR) esto no sucede as, por lo que se agiliza
enormemente la comunicacin. Adems con MPLS se pueden realizar multitud de tareas imposibles de realizar
con IP (por ejemplo, comunicar dos sedes con Ip privadas que se solapen entre s). De ah que el concepto de
enrutamiento tradicional que he dicho antes,
antes, no es aplicable a estas tecnologas que estamos viendo. Si a alguien
le interesa MPLS (deberais :P), la certificacin CCIP es la vuestra - Como siempre, si alguien quiere ms
informacin de cualquier otra cosa, aunque no est en el temario, preguntadme por correo.
La trama en Frame Relay
21
El equipo del medio simula ser un Switch Frame Relay, y como tal, no necesita de direcciones Ip para comunicar
R1 con R2. R1, en este caso, ha aprendido de forma dinmica que si quiere acceder a R3 a la 1.0.0.2 debe utilizar
el DLCI 111, y al revs R3 con el DLCI 222 y la ip 1.0.0.1. Como comentaba, se pueden hacer mapeos para
asociar una interfaz a una DLCI o que los extremos la aprendan a travs de lo que veremos se llama el Inverse
ARP. La configuracin del R1 que he llevado a cabo fijaros que es muy sencilla:
Lo referente a los comandos serial restart-delay y no dce-terminal-timing-enable no lo tengis en cuenta pues

son lneas que salen por defecto para los enlaces seriales y no los he introducido yo. As, en esta parte de la
topologa, me he limitado a asignarle una direccin IP, definir la encapsulacin y levantar el puerto.
22
De manera dynamic, ha aprendido un mapa Frame Relay asociando a la 1.0.0.2 el dlci 111, lo que permite que
podamos hacerle el ping al otro extremo aunque el equipo del medio no tenga Ip. Para una misma interfaz, se
pueden tener asignados distintos DLCI segn la Ip destino. Esto permite no encarecer demasiado una
implementacin de nuevos equipos, pues solo se pagara mas por el ancho de banda a utilizar, mientras que los
circuitos virtuales se definen simplemente por comando, sin que suponga pagar y establecer nuevo cableado,
como vimos antes con las lneas dedicadas.
Os pongo un sample de la running-config del Switch Frame Relay, aunque

aunque luego trabajaremos con ello:
R2(config-if)#do sh run int s1/0

Building configuration...
Current configuration : 198 bytes

!
interface Serial1/0
no ip address
encapsulation frame-relay
frame-relay intf-type dce
frame-relay route 111 interface Serial1/1 222
end
Fijaros que es algo ms compleja la configuracin al definir que el extremo acta como DCE y asociamos un DLCI
de entrada a una interfaz de salida con su respectiva numeracin.
La informacin que hemos escrito en el SW FR ha sido pasada a los extremos, que es lo que hemos visualizado
con show frame-relay map.
El router del medio, al no tener direccionamiento IP, no tiene tabla de enrutamiento, pero SI posee una tabla de
rutas Frame Relay:
23
De este modo sabe, independiente de lo que suceda a nivel de capa 3, que lo que reciba por la interfaz serial 1/0
con el DLCI 111 debe reenviarlo por la serial 1/1 y sustituirlo por el 222, y justamente igual de manera inversa.
Aunque sea un router, no est realizando labores de enrutamiento, sino ms bien de conmutacin, por lo que no
se debe molestar en leer la Ip, ver a qu red pertenece, mirar en su tabla de enrutamiento y enviarlo por el
extremo correspondiente, sino que recibe una trama y en funcin de por donde do nde la enva y que DLCI tenga, la
conmuta y realiza un swapping de DLCI (s.. justo, como MPLS).
A nivel de capa 2 se le agrega un encabezado y un triler a modo de checksum. Adems se le agregan unos
sealadores que delimitan el inicio y el fin de la propia trama, con el octeto 011111110.
El direccionamiento de FR se divide en dos octetos, tal como veis en la captura del Wireshark:
24
FECN, BECN y DE son mecanismos de QoS que tiene FR implementado como sistemas de congestin, avisando
a los equipos de "delante" y de "detrs" que hay una saturacin en el enlace, para que enven ms lento y avisar
que las tramas pueden llegar con demora. En el caso de que se exceda el ancho de banda permitido, se marcarn
algunas tramas con el bit de DE puesto a 1, para que se eliminen dicha informacin. Las tramas con el DE puesto
a 1 tienen menos prioridad que las otras.
Despus estudiaremos mejor el concepto de CIR o Commited Information Rate, que es el ancho de banda
contratado por un tiempo determinado. Todo lo que excedaexceda de este CIR puede descartarse, pero como
normalmente en datos la comunicacin va por rfagas, si nos excedemos en unos segundos de dicho CIR, lo ms
seguro que lo recuperemos con inactividad por otro intervalo de tiempo. Si no, podemos crear congestin y es
cuando el DE empieza a trabajar.
Direccionamiento y topologas en Frame Relay
En el ejemplo que hemos visto ms arriba, el Switch Frame Relay asociaba un DLCI a cada interfaz, y los routers
conectados a l lo aprendan de forma dinmica mediante lo que comente se llama ARP inverso. Cuando
queremos que un equipo aprenda DLCI, lo podemos hacer de manera dinmica o realizar un mapeo de forma
esttica. As segn la ip destino, podemos asociar distintos DLCI en una misma interfaz. Primero veamos en qu
consiste la tcnica del ARP inverso:
El ARP Inverso permite conocer una direccin IP a travs de un direccionamiento de capa 2, en este caso, el DLCI
en Frame Relay. Fijaros que justamente es el proceso inverso del ARP que conocemos, donde, por ejemplo,
hacamos un ping hacia una estacin cuya ip era conocida y nos daba la Mac (por tanto, conocemos la
informacin a nivel de capa 3 pero no a nivel de capa 2). Con el Inverse ARP, a travs de un DLCI (a nivel de capa
2) hayamos que Ip est disponible a travs de ella, mediante el envo de paquetes inARP.
25
Resultado del debug frame-relay packets donde podemos ver la peticin de la direccin Ip asociada al DLCI 111.
R1#sh frame-relay map
Serial1/0 (up): ip 1.0.0.2 dlci 111(0x6F,0x18F0), dynamic,
broadcast,, status defined, active
La palabra dynamic ser la que nos refleje que se ha aprendido a travs de este protocolo.
26
En la captura de la s1/0 podemos ver el proceso de request y replay para resolver el DLCI 111. En este caso se
inicia la transferencia con la direccin Ip del que lo solicita, la 1.0.0.1 para que, despus, le responda el equipo que
se encuentra en el otro extremo, la 1.0.0.2.
Recordad que en el Router que recibamos las respuestas, ejecutaremos show frame-relay map para ver las
asociaciones entre IP y DLCI. En el Switch FR ejecutaremos show frame-relay route para ver las rutas creadas
en el.
Podemos crear una asociacin esttica en los extremos desactivando la ejecucin del protocolo inARP y
escribiendo los mapeos necesarios:
27
Lo que he hecho ha sido devolver los valores de fabrica a la interfaz serial 1/0, es decir, eliminar todos los
comandos que estuvieran en ella habilitados, y he reescrito los comandos necesarios. Deshabilitamos el inverse
arp y con frame-relay map creamos la asociacin que mencionbamos antes.
Con el argumento broadcast permitimos la ejecucin de trfico multicast como OSPF o EIGRP en unas redes
NBMA (non broadcast multi Access). Si queremos ejecutar un protocolo de enrutamiento sobre una red punto a
multipunto NBMA deberemos hacer uso de otros comandos como los neighbors dentro de ospf y a veces nos
veremos obligados a deshabilitar el Split horizont para evitar problemas (CCNP).
Existen varios tipos de encapsulaciones, Cisco o IETF. Da igual el que se use mientras coincida el mismo entre
todos los equipos de la misma conexin.
Serial1/0 (up): ip 1.0.0.2 dlci 111(0x6F,0x18F0), static,
broadcast,
CISCO, status defined, active
Ejemplo de mapeo esttico con encapsulacin Cisco y con Broadcast definido. En el otro extremo si se quiere, se
puede conservar el direccionamiento dinmico.
28
LMI o Interfaz de Administracin Local (Local Management Interface).
Los LMI se implementaron para que hubiera una comunicacin de informacin entre los equipos DTE y los
Switches FR sobre el estado del enlace. Este aadido no se encontraba en las originarias redes de ISDN. Cisco,
junto como Digital Equipment Corporation, Northern Telecom y StrataCOM modificaron
modificaron el protocolo para agregar
este dialogo que poda proporcionar una informacin importante en redes complejas.
A modo de keepalive, cada 10 segundos se interpela sobre la los circuitos, para saber si la conexin est o no
activa o si hay una nueva informacin:
29
Aqu podemos ver distintos estados donde nos informa de un DLCI ya presente pero no activo, y luego cuando el
circuito virtual es utilizable. Cuando se recibe una respuesta con un record type de FULL STATUS es que se est
enviando informacin sobre los DLCI asociados a dicha lnea.
Con show frame-relay LMI podemos ver las estadsticas de los mensajes que se envan entre los equipos.
Recordad que este tipo de paquetes no tiene nada que ver con la encapsulacin que se define en los extremos.
Simplemente es un mtodo keepalive que nos da informacin sobre la comunicacin entre el DCE y el DTE.
Lo que si hay que tener en cuenta es que se maneje el mismo tipo de lmi, pues su estructura cambia. Por defecto,
ya lo veis en la anterior captura, el tipo es Cisco, mientras que podemos cambiarlo mediante el siguiente comando.
Pero tened cuidado porque el tipo de paquete vara, como podis apreciar con la captura del wireshark:
30
Fijaros como con el tipo ANSI no recibimos respuesta del Switch (status) por lo que se limita a enviar queries, ya
que no va a recibir ninguna respuesta del Switch. En cuanto se habilit otra vez el LMI Cisco, se procedi
automticamente a la comunicacin bidireccional. Como veis, un fallo en la eleccin del LMI puede motivar que la
interfaz se caiga.
As, gracias a los LMI, podemos resolver que circuitos virtuales estn activos y cuales ya no, para despus
proceder a su eliminacin, permiten realizar control
control de flujo o hacer uso de DLCI de importancia global, no local
como suele ser lo comn.
Los LMI tambin utilizan los 10 bits reservados para el campo direccionamiento, que permite un total de 1024
combinaciones en total, por lo que algunos no son utilizables
utilizables para los DLCI. Segn el tipo de LMI, usar un
nmero u otro:
Mientras ANSI usa el identificador 0,Cisco el 1023:
31
Para equipos Cisco, por defecto se utiliza este tipo, pero si no especificamos ningn valor, de manera dinmica
intentar llegar a un acuerdo sobre el que poder utilizar. SI mediante comandos le decimos cual utilizar, solo har
uso de dicho tipo.
InARP y LMI trabajan conjuntamente para realizar la asignacin de direcciones Frame Relay. Cuando se conecta
por primera vez un equipo a una malla Frame Relay, le enva un LMI de tipo consulta de estado (75) con lo que
obtiene la informacin de todos los DLCI del Switch al que est conectado. Mediante un mensaje de estado (7D).
Si incluye informacin nueva, como por ejemplo, cuando se conecta
conecta por primera vez, una vez obtenido tal listado,
mediante el inARP asocia las IP a cada uno de los DLCI.
Despus ya se limitan a mantener la funcin de keepalive cada diez segundos por defecto. Si sucede algn
cambio en la lista de los DLCI, bien porque se incluyen nuevos o porque cae alguno, se usar el mismo mtodo de
intercambio de informacin.
Ver el Video Implementacin Bsica de Frame Relay en la

plataforma
Laboratorio
Para esta ocasin, vamos a ejercitar la prctica que hemos ido viendo durante este mismo temario, a modo de
repaso:
32
Lo primero que haremos es configurar los extremos con encapsulacin Frame Relay, asignaremos las Ip y
levantaremos las interfaces.
Ahora estableceremos el equipo del medio como Switch Frame Relay estableceremos los siguientes parmetros:
33
Como ahora mismo, por defecto, est trabajando el protocolo inARP, la mejor forma de comprobarlo ser primero
ver si los routers de los extremos han aprendido las rutas y si podemos hacer ping de uno a otro:
34
El comando frame-relay pvc, tanto en el equipo DTE como, sobre todo, en el Switch, nos puede dar informacin
muy til sobre la utilizacin de los DLCI, para saber si estn activos o no, o si han sido eliminados:
En este ejemplo, se han creado dos DLCI,

DLCI, el 17, de manera esttica, cuyo estado es activo, y el 100, realizado
mediante un mapeo, pero uno de los extremos a los que apunta no es alcanzable, por ejemplo, porque una
interfaz este cada. Tambin si ha sido eliminado, saldr como tal (deleted).
35
Tema 3: Parametrizacin y resolucin de
problemas en redes Frame Relay
Objetivos
x Manejar conceptos avanzados de Frame-Relay

x Solventar los posibles problemas ante una red NBMA
Horizonte dividido y subinterfaces
A la hora de configurar los protocolos de enrutamiento, vimos una opcin que tenan para evitar bucles de
enrutamiento, el horizonte dividido. Haciendo memoria, recordbamos que este comando (Split-horizon,
establecido por defecto) evitaba que una actualizacin que envibamos por una interfaz, volviera por ese mismo
enlace. De esa forma evitbamos que nos llegara informacin con peor mtrica sobre lo que nosotros
acabbamos de publicar.
El problema se establece en topologas punto a multipunto, como una red hub and spoke, o, por ejemplo, una
DMPVN. Fijaros en la siguiente topologa:
36
Si el router R3 enva una publicacin sobre una red que afecta a R4, y R5 publica informacin sobre esa misma
red, R3 no la aceptara por la regla del horizonte dividido. Una opcin puede parecer deshabilitarlo, pero
precisamente se configura por defecto en todos los protocolos de enrutamiento para evitar posibles bucles de
enrutamiento cuando sucedan.
O visto de otra manera, si R4 enva una actualizacin a R3, ste no puede reenvar esa publicacin hacia otro
Router conectado en el mismo enlace punto a punto.
http://en.wikipedia.org/wiki/Split_horizon_route_advertisement
http://www.guillesql.es/Articulos/Manual_Cisco_CCNA_Protocolos_Enrutamiento.aspx
Evidentemente, una primera solucin, que parece la ms sencilla, es implementar una topologa de malla
completa, pero evidentemente es lo ms costoso
costoso y por tanto lo primero que se descarta.
La creacin de las subinterfaces, que ya las estudiamos en el enrutamiento entre vlan, nos valdrn para establecer
conexiones punto a punto, o punto a multipunto en redes nbma, solventando en la mayora de los casos el
problema de la regla del horizonte dividido. Aunque, tambin, ser necesario establecer en la mayora de los
casos, como por ejemplo en OSPF, los vecinos que tengamos uno a uno mediante el comando neighbor, ya que
puede darse el caso que no se permita el trafico multicast.
Si creamos subinterfaces, dentro de la interfaz fsica especificaremos la encapsulacin, y el direccionamiento y el

mapeo de los DLCI lo haremos dentro de cada una de los enlaces lgicos:
37
Con frame-relay interface-dlci, definimos que DLCI se asocia a la subinterfaz correspondiente.
Al establecer enlaces punto a punto entre los equipos, como por ejemplo la serial 0/0.101 con el Router 0 con la
serial s0/.102 del R1, necesitan estar en la misma red. As, aunque tengamos una sola interfaz serial conectada a
la red frame Relay, es como si estuvieran directamente conectado con una malla completa entre los equipos.
Necesitaremos especificar en cada subinterfaz el DLCI y el direccionamiento adecuado. En las subinterfaz se
suele, pero no es necesario, asociar el nmero con el DLCI correspondiente, como con las vlan.
Cada protocolo tiene su forma de trabajar dentro de una red que no admite broadcast:
38
Por ejemplo, especificando los vecinos en OSPF al igual que en EIGRP con la sentencia
sentencia neighbor. El protocolo de
Cisco tambin permite deshabilitar el horizonte dividido dentro de una interfaz para una interfaz dada y un sistema
autnomo elegido:
http://www.cisco.com/en/US/tech/tk365/technologies_q_and_a_item09186a008012dac4.shtml
Conceptos de Frame Relay
Frame-Relay, como ya habis comprobado, maneja multitud de trminos y conceptos que proceder ahora a
explicar:
FRAD. Dispositivo que se conecta a la red de Frame Relay.
Velocidad de acceso o velocidad de puerto:
Velocidad real a la que va el puerto del equipo que se conecta a la red de frame-relay. Como es obvio, no se
puede transmitir a ms velocidad que la estipulada fsicamente para el enlace.
Velocidad de informacin suscrita o CIR (Committed Information Rate).
Velocidad contratada con el proveedor hasta la que podemos transmitir.
Podemos contratar para cada circuito virtual establecido en un enlace una velocidad distinta. La suma de todos
esos anchos de banda por VC sumara el CIR, que nunca ser superior a la velocidad del puerto.
39
Sobre el CIR, muchas veces podremos pasarnos de esa velocidad partiendo del principio que las trasmisiones en
datos van por rfagas. Hay picos de informacin, como cuando actualizamos o cargamos una pgina web, con
intervalos de tiempo donde el envo es mnimo.
Esto conlleva, muchas veces, a lo que se llama el overprovisioning o sobresuscripcin, al ofrecer ms
velocidad el proveedor de lo q ue se tiene, pues es muy poco probable que todos sus clientes transmitan a la
mxima velocidad al mismo momento. Pero puede suceder, con lo que tiene lugar la congestin y por tanto,
prdida de paquetes. Es algo as como el overbooking, pensando que siempre
siempre al final la gente se va a echar hacia
atrs.
CBIR, Velocidad de informacin de rfaga suscrita (Commmitted Burst Information Rate). Cuando un circuito
virtual necesita temporalmente ms ancho de banda que su CIR asociado, puede pedir prestado y sin coste
alternativo ms velocidad cogindolo de otro circuito virtual. Sabiendo, de nuevo, que se transmite por rfagas, de
manera breve, unos poco segundos, se puede exceder el valor asociado y coger ms bandwitdh para poder enviar
la informacin necesaria.
Entre el CBIR y el ancho de banda real del enlace, se encuentra el BE o tamao de rfaga excesiva Excess
Burst-. Mientras que el CBIR se puede negociar y apalabrar, las tramas que llegan al extremo BE tienen muchas
ms posibilidades de ser eliminadas.
Todo lo que se excede del CIR se marca como bits elegibles de descarte o DE discard elegible-, siento
potencialmente susceptible de ser eliminado en caso de que esa rfaga exceda por demasiado tiempo el CIR o
que haya una congestin. Es un mtodo implcito en Frame-relay para solventar los problemas de control de flujo.
As, si en un VC contratamos un CIR de 16 k, sabemos que todo lo que est dentro de esa velocidad se
transmitir. Si definimos adems un CBIR de 8k, podremos transmitir tramas que excedan a esa velocidad, pero
todos los bits sern marcados como DE. En el caso de superar ese CBIR, alcanzamos el BE, con muchas ms
posibilidades de que las tramas sean descartadas.
FECN, notificacin explicita de congestin hacia adelante o Forward Explicit Congestion

Congestion Notification
Cuando sucede una congestin en un Switch Frame Relay, en el caso de que se tenga que enviar ms
informacin de lo que soporte fsicamente el enlace, el Switch notifica al equipo que va a recibir la trama que ha
sucedido una congestin, colocando el bit de FECN establecido a 1.
40
Recordando la trama de Frame Relay, veamos que a nivel de capa 2 se podra etiquetar para indicar que ha
sucedido una congestin y avisar, mediante el bit FECN que se han podido perder tramas debido a la congestin
del enlace.
Asimismo, se avisa hacia atrs mediante el BECN, notificacin explicita de congestin hacia detrs o
Backward Explicit Congestion Notification.
Durante la congestin, si una trama que entra en el Switch no excede el CIR, la informacin se enviar. Si excede
el CIBR pero no el BE, se marcar como DE. Si excede el BE, automticamente la trama se descartar. En el
caso de que no haya congestin, aunque exceda el BE puede llegar a transmitirse.
Ver el Video Implementacin de EIGRP en Frame Relay en la

plataforma
Laboratorio
Para este laboratorio vamos a establecer una comunicacin entre tres equipos a travs de un Switch frame Relay
para despus publicar las redes mediante Eigrp:
R1 ser el router principal, que tendr dos conexiones con los otros equipos mediante sendos circuitos virtuales.
Vamos a ver la configuracin de cada uno de los equipos:
41
Del R2:
Del R3:
R3#sh run int s1/2

!
interface Serial1/2
ip address 192.168.1.3 255.255.255.0
encapsulation frame-relay
serial restart-delay 0
no dce-terminal-timing-enable
frame-relay map ip 192.168.1.1 301 broadcast
no frame-relay inverse-arp
42
end
Y del Switch Frame-relay (recordad el comando desde el modo global frame-relay switching):
Fijaros que hay que ser consecuentes con los DLCI para que se establezca tanto de ida como de vuelta que si
queremos ir hacia un DLCI, deberemos ir por una interfaz, y al revs justamente lo mismo.
R4#sh frame-relay route

Input Intf Input Dlci Output Intf Output Dlci Status
43
Serial1/0 102 Serial1/1 201 active
Con un show frame-relay map comprobaremos que los mapeos estn activos y por tanto, han sido configurados
de manera correcta:

Serial1/0 (up): ip 192.168.1.2 dlci 102(0x66,0x1860), static,
broadcast,
Serial1/0 (up): ip 192.168.1.3 dlci 103(0x67,0x1870), static,
broadcast,

Serial1/1 (up): ip 192.168.1.1 dlci 201(0xC9,0x3090), static,
broadcast,

Serial1/2 (up): ip 192.168.1.1 dlci 301(0x12D,0x48D0), static,
broadcast,
La encapsulacin es CISCO por defecto, y estn agregados con la caracterstica de static por ser aprendidos de
manera manual, y broadcast porque as lo hemos agregado, para evitarnos problemas con el proceso de EIGRP.
44
Una vez podamos hacer ping entre todos los extremos, procederemos a crear las adyacencias mediante el
protocolo de Cisco (antes crear una loopback en cada uno de los DTE para comprobar que informacin se est
publicando):
R1(config)#int l0
R1(config-if)#ip add 10.1.1.1 255.255.255.0
R1(config-if)#router eigrp 1
R1(config-router)#net
R1(config-router)#network 10.0.0.0
R1(config-router)#no auto
Y as igual en los otros dos routers. Las relaciones de vecindad deberan ir saltando automticamente:
R3(config)#int l0
R3(config-if)#ip add 10.3.3.3 255.255.255.0
R3(config-if)#router eigrp 1
R3(config-router)#no auto
*Jul 19 13:57:26.551: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 192.168.1.1 (Serial1/2) is up: new
adjacency
Para comprobar que todo ha sido implementado correctamente, visualizamos los vecinos y la tabla de
enrutamiento:
45
Pero si hacemos un show ip route en el R2 o en el R2, vemos que faltan algunas de las rutas que R1 si ha
aprendido:
R3#sh ip route eigrp
10.0.0.0/24 is subnetted, 2 subnets
D 10.1.1.0 [90/2297856] via 192.168.1.1, 00:01:53, Serial1/2
R2#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
46
10.0.0.0/24 is subnetted, 2 subnets
C 10.2.2.0 is directly connected, Loopback0
D 10.1.1.0 [90/2297856] via 192.168.1.1, 00:01:49, Serial1/1
C 192.168.1.0/24 is directly connected, Serial1/1
Esto es precisamente por la regla del horizonte dividido que comentamos antes. Al publicarle una red R2 a R1,
este no puede volver a publicar esa misma informacin de vuelta a R3 por el mismo enlace, por lo que no la puede
aprender. Para ello, una de las soluciones es deshabilitar la regla del horizonte dividido
dividido en R1.
R1(config)#int s1/0
R1(config-if)#NO IP Split-horizon eigrp 1
*Jul 19 14:01:00.155: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 192.168.1.2 (Serial1/0) is resync: split
horizon changed
*Jul 19 14:01:00.159: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 192.168.1.3 (Serial1/0) is resync: split
horizon changed
Lo que conllevar a que los otros equipos automticamente aprendan esas redes:
Finalmente, si la red de Frame-Relay no admite broadcast, podemos especificar manualmente nuestros vecinos
para despus publicarles las redes. As, la informacin que les enviamos no ser de tipo multicast si no unicast:
As, la configuracin de EIGRP para R1 quedara as:

router eigrp 1
network 10.0.0.0
47
network 192.168.1.0
no auto-summary
neighbor 192.168.1.3 Serial1/0
neighbor 192.168.1.2 Serial1/0
R3(config)#router eigrp 1
R3(config-router)#neighbor 192.168.1.1 s1/2
*Jul 19 14:03:20.703: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 192.168.1.1 (Serial1/2) is up: new
adjacency
Nosotros no notaremos nada en este proceso, pues las adyacencias se siguen manteniendo y conocemos las
mismas redes.
De este modo, las publicaciones ya no utilizan la direccin multicast reservada para EIGRP, sino que se envan de
manera unicast para cada uno de los equipos, solventando de esta forma el problema que puede representar para
una red NBMA. Los neighbor se utilizan de igual manera para OSPF.
48
Tema 4: Introduccin a las redes privadas
virtuales
Objetivos
x Entender los principios de las redes Virtuales Privadas

x Manejo y creacin de VPN
x Estudio de las tecnologas de trabajo a distancia
Tecnologas de trabajo a distancia
En este tema se van a tratar las distintas tecnologas que se pueden implementar para que un trabajador pueda
desarrollar su prctica desde cualquier ubicacin remota, de una manera segura y confiable. Primero trataremos
las distintas tecnologas de las que puede hacer uso, para despus entender mejor cmo se implementa la
seguridad independientemente del tipo de conexin que se est utilizando.
Dentro de estas tecnologas, hablaremos del Cable, XDSL, las redes inalmbricas WAN y del Dial-UP. Este ltimo
es simplemente una conexin a travs de un mdem mediante la llamada a un nmero telefnico que identifica al
ISP. Para aquellos que tengan un poco de experiencia en este campo, es la conexin tradicional que daba
velocidades de 28.8 o 56 k. qu tiempos!
49
Cable
Antiguamente, en Estados Unidos, como no, se empez a desarrollar el sistema de televisin por antena
comunitario o CATV. La comunicacin por cable utiliza una transmisin de radiofrecuencia por cables coaxiales
como el de la televisin, con la ubicacin de varios amplificadores para regenerar la seal y llevarla a los
abonados. Mediante una antena parablica receptora se recopila las sucesivas seales para, de la manera ms
ptima, repartirla por la estructura.
Hoy da, se hace uso de una comunicacin bidireccional para que los clientes puedan hacer uso de todos los
servicios que pueda ofrecer, como televisin a la carta,
carta, voz ip e internet. Ante el ancho de banda necesario para
estas transmisiones, de manera fsica se est procediendo a la implementacin de redes de fibra coaxial hbrida,
tambin conocido como HFC.
Lo tpico en este tipo de conexiones es utilizar coaxial entre los abonados y un punto principal, y luego unir por
fibra estos nodos zonales entre ellos. Algo as como cuando tenemos una red con switches y disponemos de las
mejores tecnologas para las conexiones troncales y contamos con menos ancho de banda para los accesos de
los usuarios finales.
Debido a su gran ancho de banda, las operadoras de CATV utilizan mayormente este tipo de conexiones para
ofrecer todos sus servicios.
Las seales a las antenas se envan como radio frecuencia, de igual manera que lo estudiamos en el tema de las
redes inalmbricas, cuando estudiamos las propiedades de la seal analgica y sus distintas propiedades.
Una seal fsica tiene ciertos parmetros que pueden modificarse para transmitir un mensaje, es decir, se pueden
cambiar propiedades para codificar en la portadora una determinada informacin. De esta manera, la transmisin
analgica tambin se le llama transmisin de modulacin de la onda portadora (la onda que acta como
transportadora del propio mensaje, dando lugar a tres
tres tipos de transmisin, segn sea el parmetro que se
modifica para emitir):
x Transmisin por modulacin de la amplitud de la onda portadora

x Transmisin a travs de la modulacin de frecuencia de la onda portadora
x Transmisin por modulacin de la fase de la onda portadora
Una onda tiene tres parmetros que la definen:

Amplitud: el volumen o altura o mximo voltaje de la seal. La amplitud instantnea es la que tiene la onda en
ese momento segn el tiempo en el que se mide. Mide la distancia vertical entre
entre las crestas de la ola.
Fase: Situacin instantnea de la seal (radianes) y mide el desplazamiento de la seal en el tiempo.
Perodo: tiempo que tarda en segundos en completar un ciclo
Frecuencia: Nmero de veces que se repite un ciclo por segundo, medido en HZ y definido como la inversa del
perodo (1/t). Nmero de cortes de la funcin al eje horizontal por unidad de tiempo. Conviene recordar que a
mayores frecuencias, se cubre una menor distancia. Se puede definir, tambin, como el nmero de veces que se
ve una seal por segundo. Actualmente nos movemos con valores de 1GHz (1 billn de hz) o Mhz (milln de HZ)
Las seales sinusoidales se representan con esta frmula:

.
50
Ejemplo de seal senoidal en funcin del tiempo (en el dominio del tiempo)
Si medimos la seal en dominio de la frecuencia y no en el del tiempo, estamos representando su espectro:
La diferencia entre la frecuencia mxima y la mnima da lugar al ancho de banda de la seal. Esta funcin (en el
dominio de la frecuencia) represent a el peso o posicin de cada frecuencia en una seal, tanto en amplitud como
en fase.
Ancho de banda= f mxima f mnima
As, dentro del cable y en sentido al abonado, distintas frecuencias transportan la informacin, y de manera similar,
se encuentra con un dispositivo capaz de entender tales frecuencias, decodificarlas, y reproducirlas en los equipos
correspondientes.
Al ser una comunicacin bidireccional, se puede hablar de comunicacin descendente, con destino el suscriptor,
con una frecuencia de seal de 50 a 860 MHz, o ascendente, mediante la ruta justamente inversa, con una
frecuencia menor pues los datos que se envan en ese sentido son claramente menor, de 5 a 42 Mhz.
51
XDSL
Esta tecnologa nos es del todo conocida, pues es casi la implementacin bsica que tenemos en casa.
Aprovechando la lnea telefnica tradicional, o POTS (servicio telefnico Analgico, o tambin llamado PSTN)
podemos alcanzar grandes velocidades. Mientras la voz necesita un escaso ancho de banda para poder
transmitirse (de 300 hz a 3 kHZ) se ha ido modificando la estructura de nuestra telefnica para que se pudiera
alcanzar un mayor ancho de banda (hasta 1 mhz), con apenas escasos cambios a realizar en las lneas comunes
de cobre (que terminan en nuestro rj11 que va hacia el router.
router. Mientras en LAN utilizamos cables de cobre
Ethernet de Rj45 con 8 pines, en la telefnica se utilizan cables de cobre de 4 pines o dos pares, llamados rj11).
Este es realmente la ventaja principal de la tecnologa DSL, pues esta digitalizacin del bucle de abonado utiliza y
reutiliza infraestructuras que ya han sido desplegadas, mientras que por ejemplo la fibra requiere de la sustitucin
de los aparatos por otros muchos ms costosos, pues es una tecnologa bastante ms sofisticada.
Existen multitud de tecnologas xDSL, que en verdad es una modulacin QAM multibit que transmite por cada
pulso un par de bits codificados mediante la frecuencia y la fase de la seal.
La que conocemos nosotros es la ADSL, Asymmetric Digital Subscriber Line, pues disponemos de diferentes
velocidades, segn sea de bajada o subida.
La SdSL es la simtrica, con igual tasa de transferencia para descargar contenidos como para subirlos.
Otros existentes:
x HDSL (High Data Rate DSL)
x IDSL (ISDN DSL) sobre redes de RDSI
x RADSL (Rate Adaptive DSL)
x VDSL y VDSL2 (Very High) pero normalmente implementados sobre el bucle local con fibra.
La mayora de estas tecnologas dotan de una velocidad ms alta que las T1 (1,54 Mbps EEUU y Japn-), o E1
(2,048 mbps resto del mundo)
http://es.wikipedia.org/wiki/E1
http://es.wikipedia.org/wiki/Digital_Signal_1
Haced siempre la analoga en las comunicaciones con un modelo que nos sea siempre conocido, por ejemplo
varios Switches y usuarios finales. Las comunicaciones
comunicaciones entre los Switches principales (core) son los que gozan de
mayor tasa de transferencia y por ello se reservan tecnologas como fibra, para cubrir todas las peticiones que
puedan recibir.
Estos se enlazan con otros Switches que cubren varios edificios
edificios o plantas, y cuya velocidad es menor que los de
Core. Se le suelen llamar de distribucin y filtran la informacin para que solo le llegue a los primeros el trfico que
sea permitido.
Finalmente, los Switches de acceso, los de menor velocidad, dan
dan servicio a los usuarios finales. A estos con un
ancho de banda de 10 Mbps es suficiente. Un Switch de acceso puede soportar, imaginemos, 10 clientes. Por
tanto, si deseamos aadir otra tanda de cliente, compramos otro Switch de acceso y con eso lo cubrimos. Pero
recordad que los Switches de distribucin soportan multitud de sw de acceso, y los de Core a su vez soportan
varios de distribucin. Por tanto, cuanto ms bajemos, el ancho de banda es ms necesario porque soportamos
una mayor carga.
En la telefona tradicional, normalmente el cableado del cliente no se modifica porque los megabits que alcanzan
la parte final de la comunicacin son suficiente para el uso que se le da. Cuando el nm. de abonados crece, o la
demanda de estos, es necesario que los equipos
eq uipos centrales se actualicen, por ejemplo, implementando fibra entre
52
ellos. Que nosotros tengamos ADSL tradicional en casa no significa que una buena parte de la comunicacin se
gestione por fibra, el canuto central, para que no haga cuello de botella gestionando
gestionando las otras transmisiones.
La estructura de esta tecnologa es sencilla. Cada aparato en casa utiliza un microfiltro o splitter para separar la
voz de los datos y a su vez se conectan con el proveedor. La distancia mxima recomendada entre nuestro bucle
local o ltima milla y el proveedor no debe superar los 18 mil pies. Cuanto mayor sea la distancia, menso rpida ira
la conexin. Es por eso que muchas veces anuncian velocidades hasta X megas, dependiendo de lo lejos que se
est del equipo central. Siempre se ha de verificar con el vendedor la velocidad mxima que podemos alcanzar en
funcin de nuestra localizacin. El equipo que nos dar conexin de ADSL en casa es el transceptor, normalmente
dentro de los Routers ADSL que nos ofrecen las compaas, con puertos de Switch para la parte LAN. Existen
varios tipos de routers ADSL de Cisco, como los 830 o la familia 870.
El proveedor poseer equipos de conmutacin como cierto tipo de Switches o los conocidos DSLAM (multiplexor
de acceso DSL). Estos enviarn la seal o bien hacia el ISP, sin son datos, o hacia la PSTN si se trata de una
llamada telefnica.
A veces os encontrareis en este campo con el trmino NID, Network Interface, que establece el punto de
separacin entre la red de telefnica y las del propio cliente.
Redes inalmbricas de banda ancha
A pesar de su comodidad, las redes inalmbricas siempre han tenido una serie de defectos, la seguridad, el ancho
de banda y su disponibilidad (o alcance).
Con los sucesivos protocolos que han ido surgiendo, como WPA2 con Radius como servidores, se hace cada vez
ms compleja el apartado de seguridad en lo referente a las conexiones WIFI, por lo que hoy da es evidente que
no hay nadie que no se decante por esta tecnologa por su falta de seguridad.
Distintos estndares han ido aumentando el ancho de banda disponible, pero siempre muy lejos de lo que las
redes cableadas nos pueden ofrecer.
Asimismo, la obligacin de permanecer cerca del AP o del repetidor correspondiente, exiga, o bien que se
dispusieran de ms dispositivos que regeneran la seal, o bien que no nos alejramos demasiado del punto
principal de transmisin
Hoy da se estn desarrollando distintas tecnologas que intentan paliar estos puntos, como por ejemplo:
WI-FI Municipal.
A modo de malla, se puede colocar distintos AP durante el municipio o la ciudad, por lo que eliminamos ese nico
punto de falla posible con el tipo de conexiones que podemos tener en casa. Existe una muy buena solucin
implementada mediante el protocolo LWDAPP que que permite la gestin centralizada de los llamados lightweight AP
(frente a los autonomous AP) a travs de un Wireless Lan Controller o WLC. Se puede, por tanto, crear una
especie de plantilla o configuracin e irlo aplicando desde un solo dispositivo hacia los dems puntos de acceso.
53
Vamos a aprender a configurar un Punto de Acceso Cisco de la serie Aironet 1200.
Nota: la imagen se ha tomado de la pgina web cuyo enlace viene en la esquina.

A la hora de configurar este dispositivo tenemos dos posibilidades,
posibilida des, por pgina web o mediante CLI.
Nosotros veremos la configuracin bsica del dispositivo a travs del servidor interno de pgina web que ofrece
as como por CLI y veremos en el vdeo cmo poder hacerlo.
Este dispositivo, en funcin del modelo, acta como

como punto de comunicacin central en los usuarios de redes
inalmbricas. Permite unir redes cableadas con topologas inalmbricas, extender los dominios de la radio
frecuencia y permitir, si se configura correctamente, el paso de un cliente de un AP a otro sin perder en ningn
momento la seal, lo que se denomina Roaming
Roaming
Una red tpica WLAN se compone de multitud de equipos, como justamente hemos ido viendo. Algunos ms
estticos fsicamente y otros que pueden moverse a lo largo del radio de accin
acci n de los Puntos de Acceso, como
porttiles o telfonos inalmbricos.
Es importante que si nos desplazamos a lo largo de la red, no perdamos la cobertura aunque nos alejemos de los
puntos de acceso. Es decir, que debemos pasar del mbito de un AP a otro sin que la seal se pierda.
El cliente debe ir asocindose de un punto de acceso a otro si es necesario.
Esto se puede deber a que:
Se ha reducido en gran medida la transferencia de datos del AP original
Se han perdido demasiados Beacons (paquetes que informan del SSID)
Se ha pasado al mbito de otro AP con una seal ms potente
Este roaming, que inicia el cliente, debe ser establecido de la manera ms rpida y transparente posible, sobre
todo para que no se pierda informacin si se utilizan aplicaciones sensibles
sensibles al retraso, como telefona IP.
54
Para que se pueda realizar este hecho, deben establecerse los siguientes requisitos:
x Mismo SSID entre los AP
x Mismo direccionamiento
x Mismas VLAN
El protocolo a nivel de capa 2 que se encarga de gestionar dicha informacin se llama IAPP (Access Point
Protocol). A nivel de capa 3 se encargan otros estndares, como la propia versin 6 de IP (mobile IP) en cuya
estructura est integrada la asociacin dinmica con ciertos dispositivos para que nunca dejemos de tener
conexin aunque nos desplacemos. El concepto de roaming nos es muy conocido sobre todo en telefona mvil.
Cuando tratemos de los Puntos de Acceso, trataremos bsicamente de dos modelos, los Autonomous Access
Point y los Lightweigth Access point.
En este apartado trataremos el primero de los modelos. La diferencia principal, es el control centralizado o no de
los dispositivos que componen nuestra WLAN.
En el segundo caso, hay un equipo que rige la configuracin de los dems, llamado el WLAN Controller. Mediante
el LWAPP ( Lightweight Access Point Protocol), se encripta la comunicacin entre los AP y el controlador. De esta
manera, tenemos un rol servidor cliente a la hora de poder establecer las distintas configuraciones a distintos
equipos.
En referencia a los puntos de acceso que nos ocupa, como su propio nombre indica, los Autonomous AP se
configuran aisladamente y uno a uno, teniendo que programarse de una forma coherente y continua para
establecer ciertas pautas como por ejemplo el citado Roaming, balanceado de carga, herramientas de
monitorizacin con el protocolo SNMP, Sistemas de seguridad para una configuracin robusta ante ataques
exteriores, etc.
Para este captulo voy a trabajar con un Cisco Aironet 1200 series (1231 en este caso).
Cisco provee una gama muy amplia de dispositivos AP, divididos en tres series:
x 350 Series
x 1100 Series
x 1200 Series
La principal ventaja de este ltimo frente a los dems es que soporta diseo de vlan, Mobile IP, Calidad de
Servicio, antenas flexibles y una CLI bastante potente que
que permite la configuracin tanto por comandos como por
pgina web. Esto hace que sea una herramienta muy potente y de fcil uso en el caso de que no estemos
familiarizados con el sistema operativo de Cisco.
55
Aqu os pongo una instantnea de mi propio
propio escritorio donde tengo por cable de red conectado el AP a mi propio
equipo. Lo mejor sera tener un cable de consola para poder configurarlo con el Hyperterminal o el Putty, pero !se
me ha olvidado en el trabajo!
Justamente este modelo, junto con la gama

gama 1100 permite una actualizacin a nivel de hardware para sustituir la
tarjeta mini PCI Radio y as poder implementar otras bandas como la de 5ghz.
Como resea, cabe apuntar que, al igual que un telfono de voz Ip, se puede alimentar por POE (Power Over
Ethernet) al dispositivo. En este caso se tiene por corriente alterna la alimentacin del AP, pero si tuviera un switch
o un router con algn NM XX ESW podra asignar potencia para que se abasteciera a travs del propio cable rj45,
independientemente de si fuera por 802.af o Cisco Inline Power, los dos mecanismos existentes para esta
capacidad.
El sistema de alimentacin debe ser nico en cualquier tipo de dispositivo. Puede sufrir un dao permanente el
equipo que est conectado a la corriente y se le asigne potencia a travs del Rj45.
La ventaja principal de poder abastecer a los equipos que se conectan a un Switch con capacidad POE es que
slo necesitamos un SAI (en el conmutador) para el caso de que se nos vaya la luz. Al estar conectado a esa
fuente de energa, sigue dando alimentacin a cada uno de los equipos que tenga enchufados a sus puertos. De
otra manera, si falla el dispensador, todos los dispositivos dejaran de funcionar. Y no slo por eso: los telfonos
de voz Ip vienen directamente sin su adaptador
adaptador AC, ya que nos da la opcin de ahorrarnos el precio que supone el
adquirirlos. Cisco aclara esto diciendo que es ms barata la compra de un switch POE en ciertas redes que no
comprar enchufes para cada uno de los IP Phones.
Configuracin del Punto de Acceso
A la hora de ponernos manos a la obra, se puede acceder al AP de varias maneras distintas, exactamente igual
que un router o un switch:
Por CLI
56
La lnea de comandos nos valdr para establecer todos los parmetros posibles configurables en el equipo Cisco.
Para ello tendremos que tener experiencia en el uso de la sintaxis que el sistema operativo nos ofrece. Puede ser
el modo ms complejo pero el ms flexible y potente con diferencia.
Para ello deberemos entrar o bien por consola y manejar un programa
programa que nos permita la comunicacin, como el
Putty o el Teraterm; o mediante telnet si as lo hemos habilitado previamente. Por defecto el acceso al puerto 23
est cerrado.
El modo default pide como contrasea Cisco cuando accedamos al modo privilegiado. En el caso de que nos
solicite introducir un usuario y contrasea al intentar configurarlo por cable de consola, probad Cisco como user y
password.
Para explicar los comandos mediante CLI har su desarrollo dentro del apartado de la prctica, por lo que ahora
mismo solo lo mencionar.
Por pgina Web (Web Browser)

Cuando iniciamos el dispositivo por primera vez o lo acabamos de resetear, nos ser imposible acceder a la lnea
de comandos mediante un protocolo de acceso remoto. Por defecto estar habilitado
habilita do el acceso a travs de su
puerto 80, y el usuario ser Cisco con contrasea Cisco.
57
Acceso a la pgina del AP a travs del navegador de pgina Web
WiMAX
Las siglas responden a Worldwide Interoprability for Microwave Access, y estipula una norma para las
radiofrecuencias que se mueven entre los 2,3 y los 3,5 Ghz.
Wimax (protocolo 802.16) intenta dar cobertura en aquellas zonas donde no sea viable un cableado de lo que se
llama el bucle local, el que da servicio finalmente a los clientes, mediante banda ancha.
Las cifras que maneja esta tecnologa son ampliamente reconfortantes, con un radio de accin de hasta 80 Km y
unas velocidades que giran en torno a los 70 Mbps (recordad que estamos hablando de tecnologa inalmbrica).
Mediante la utilizacin de los llamados hotspot, o simplemente puntos de acceso que van repitiendo la seal a
modo de bridges, podremos cubrir reas que por la tecnologa de wifi normal sera muy costoso implementar. La
posibilita el uso del roaming utilizacin de la red
potencia de la cobertura y la velocidad que se puede alcanzar posibilita
mientras nos desplazamos- y el uso de aplicaciones que consuman gran ancho de banda, limitados a conexiones
LAN. De hecho Wimax se encuadra dentro de las tecnologas WAN, pero permitiendo un gran ancho de banda.
Os dejo unos de enlaces por si estis interesados:
http://www.intel.com/technology/wimax/
http://download.intel.com/network/connectivity/products/wireless/welcome-to-your-internet-future.pdf
http://computer.howstuffworks.com/wimax.htm
En este ltimo enlace os vais a encontrar un video donde explican las implementaciones y beneficios de esta
nueva tecnologa (en ingles / )
58
Estndares
Los sucesivos estndares y propiedades ya las hemos ido analizando en el tema tres de manera bastante
profunda, por lo que me centrar ms en este documento en conceptos nuevos como las VPN. Os aconsejo que
repasis los distintos tipos que se encuentran dentro del protocolo 802.11.
Asimismo, tambin, se mencionan las comunicaciones satelitales donde, a modo de espejo, un satlite repite la
seal que recibe de un punto hacia otro cualquiera. Cubre prcticamente todo el globo terrqueo, aunque el costo
es muy elevado y el ancho de banda que maneja, bastante escaso.
Os recuerdo el apartado de satlites del primer tema del mdulo 3.
Virtual Private Network
Introduccin
En un entorno tan creciente como internet, una parte muy importante a la hora de comunicarnos con otras
personas alejadas de nuestra red ha sido la confidencialidad para transmitir esos datos. Internet es un medio no
seguro. No estamos hablando de acuses de recibo o control de secuencias. Ya hemos ido viendo durante todo el
curso que la mayora de los protocolos son poco confiables, que transmiten en texto plano y que un ataque man in
the middle nos parece ahora bastante sencillo de hacer con unos pocos programas al alcance de cualquiera.
Una VPN, como la mayora sabemos, es una conexin segura entre
entre dos dispositivos, en base a tres principios:
x Confidencialidad
x Integridad
x Autenticacin
Bsicamente, es una comunicacin que se establece entre dos dispositivos que es privada y ajena a cualquiera
que pueda procesar la informacin.
Es una trasmisin confidencial, los equipos que intervienen en la VPN participan de un algoritmo de seguridad y
una clave secreta que permite cifrar la comunicacin de manera que hace casi imposible, o dificulta enormemente,
que cualquier otro equipo que no posea esa clave, descifre el mensaje.
La integridad, mediante algoritmos como SHA o MD5, asegura que la informacin no ha sido modificada en su
transcurso. Siempre se elige el tipico ejemplo de que si realizamos una transferencia de 100 euros, no se reciba
como si se ha hecho de 1000. Es muy parecido a los campos FCS para comprobar que no haya habido ninguna
alteracin de la informacin.
La autenticacin, de nuevo con una serie de protocolos, permitir que el tnel vpn se forme solo entre aquellos
dispositivos que pasen un proceso de validacin entre s. Si no proviene de una ip confiada o no posee el
certificado o la clave valida, no podr ni siquiera iniciar el proceso de creacin de la interfaz para empezar a
transmitir los datos. El algoritmo diffie-helfman ayudar en el
el proceso de intercambio de llaves secretas en una red
pblica.
Las VPN trabajan de distinta forma como iremos viendo. Nos podemos hacer una analoga bastante buena si
pensamos en las redes de IPv6 y recordamos como hacamos los tneles entre dos puntos cualesquiera.
59
Podamos crear una interfaz lgica permanente para enviar la informacin de una oficina a otra. En este caso una
ACL decidir que trafico ser el que se encripte, segn el origen, el destino, o lo que nosotros le especifiquemos.
Estos tneles no tienen por qu ser fijos, sino que solamente se crearan cuando se den una serie de pautas
definidas. En el caso de que ese trfico interesante se d, se proceder al proceso de autenticacin y
encriptacin de lo que se enve. Una vez se deje de transmitir
transmitir la informacin o se venza un tiempo estipulado, el
tnel se cerrar hasta que se vuelvan a poner en contacto los routers.
Aunque en el CCNA no se van los comandos para la creacin de una VPN, nosotros en el laboratorio a travs del
gns3 crearemos una, as, creo, se quedaran mejor todos los conceptos tericos que vayamos viendo hasta el
momento.
Caractersticas
Los beneficios de una VPN son claros, ofrecen de manera flexible, econmica y escalable una comunicacin
segura entre varios puntos (mas tarde hare mencin a la nueva versin de las VPN, las DMPVN y sus beneficios
frente a las VPN tradicionales.
A travs de la infraestructura que tengamos alquilada o comprada, podemos aprovechar para crear las redes
virtuales. Hay que tener en cuenta que, alal igual que los tneles ipv6, se necesitara de un doble encapsulado que
modificara la mtu utilizada. Es decir, cada paquete ocupara ms de lo normal, como ya veremos en alguna captura
que hagamos despus.
Sobre el concepto de escalabilidad, ya hemos hecho referencia a ella como la capacidad de la tecnologa a
implementar para adaptarse al aumento de usuarios, por ejemplo. Sobre todo con las DMPVN, esta tecnologa es
casi independiente del nmero de usuarios que la utilicen, sobre todo las de tipo site to site. As, la que ms
trabajo conlleve sern las de oficinas remotas, pero solamente deberemos dar de alta a cada uno de los usuarios
que se quiera conectar a nuestra oficina principal. Otras tecnologas como las Easy VPN facilitan la configuracin
dinmica de los usuarios /clientes para hacer uso de nuestra infraestructura.
Tipos de VPN
Site to Site.
Las redes VPN punto a punto comunican redes enteras entre varios equipos. Usuarios conectados a una Gateway
VPN envan su informacin de una sede a otra para que este las cifre segn la configuracin oportuna segn el
destino (puede un solo dispositivo tener varios tipos de VPN con cifrados y procesos de autenticacin distintos,
segn el origen y/o destino, ir hacia una u otra conexin virtual). El Gateway puede
puede ser el propio router, tal como
lo veremos nosotros, o Firewall corporativos como los antiguos Pix o los ms frecuentemente utilizados ASA
(Adaptive Security Appliances):
60
http://en.wikipedia.org/wiki/Cisco_ASA
Los ASA se estudian brevemente en el CCNA Security y ms en profundidad en el CCNP de seguridad.
Estos dispositivos Gateway, ya sean los routers, asa o cualquier otro equipo de otro fabricante, es el que se
encarga del proceso de autenticacin, de encapsular la informacin, desencapsularla segn el sentido de la
transmisin y del envo a travs del tnel VPN que se habr creado segn unas reglas conforme al origen y
destino de la transmisin. Los ordenadores que manejan la informacin final leern
leern la trama de manera normal,
pues el Gateway se habr encargado de eliminar ese doble encapsulamiento del que solo tienen capacidad ellos
mismos para leer. Este doble encapsulamiento es muy parecido al que se utiliza en IPv6 para comunicarse a
travs de una infraestructura de ipv4 o con otra tecnologa muy en boga como es MPLS.
VPN de acceso Remoto.

Con la implementacin de internet, ya no es necesaria realizar una llamada para poder establecer una conexin
con nuestra oficina principal (dial-up). As,
As, de forma muy sencilla, basta con implementar por parte del cliente el
software oportuno para que sea este el que inicie la creacin de una VPN independientemente de donde este
situado y se encargue de cifrar y descifrar la comunicacin entre los equipos. As puede establecer una intranet o
una extranet segura segn el que se conecte sea un empleado o un cliente, haciendo distincin a que puede
acceder y con qu privilegios.
Segn hemos ido viendo hasta ahora, los componentes que participan en la creacin de una VPN son:
Una infraestructura de red independiente de nuestra conexin cifrada, que no participa en el cifrado ni en cualquier
proceso de autenticacin, por lo que todo el proceso le es oculto.
Gateway o dispositivos que crean y administran las VPN.
VPN. Estos pueden ser equipos fsicos como routers, o Asa, o
software instalado en los ordenadores como el software de Cisco que os pongo a continuacin, aunque existen
infinidad de tipos. Incluso el propio Windows permite la creacin de tneles.
Un proceso de encapsulacin o tunelizacion o tunneling que consiste en que la trama a ocultar se cifra y se enva
en otra trama que ser la que permita la transmisin por los distintos puntos intermedios. Recordad que en una
VPN no se puede cifrar el paquete entero al 100% porque en cuanto llegase a un punto intermedio fuera de
nuestra red que no participe de nuestro cdigo, no lo entendera y lo eliminara. Es decir, que tenemos el paquete
con la informacin importante, este lo ciframos enteramente y lo ponemos en otro otro que va a ser visible para
cualquier equipo que lo lea, pero no contiene informacin sensible.
Protocolos
61
Una vez entendido los principios bsicos de una VPN, vamos a lo realmente importante, los protocolos que
permiten su creacin. Como ya he comentado, lo que se ve en el temario de CCNA es bastante bsico, pero no
hace falta decir que a la hora de trabajar en una implementacin de red es imposible no trabajar con las
conexiones cifradas.
A la hora de proceder a la encapsulacin de la que hemos

hemos ido hablando, se puede hacer de dos modos:
Tunnel Mode: Encripta tanto la cabecera como la informacin de cada paquete que pasa a travs del tnel
Transport Mode: Encripta solo la informacin de cada paquete, sin modificar la cabecera, por lo que no hace falta
encapsularlo con otro paquete de capa 3 para el direccionamiento.
Protocolos que intervienen en la tunelizacin:

Se pueden dividir en tres grupos, segn su funcin y su papel:
Protocolo Portador (Carrier Protocol). El protocolo que se usa para transportar
transportar la informacin, a nivel de capa 2,
como MPLS, Frame Relay, ATM, etc.
Protocolo de encapsulacin (Encapsulating Protocol). Existen una gran variedad y ofrecen distinto nivel de
seguridad entre ellos. Sirve para encapsular la informacin y cifrarla para su posterior comunicacin. Como
ejemplos nos encontramos con GRE, IPSec, PPTP, etc.
Protocolo pasajero (Passenger Protocol): la informacin original, como IPX, Appletalk, IPV4 o IPv6, es decir, a
nivel de capa de red. Es, en definitiva, el protocolo sobre el que la informacin originariamente se estaba
transmitiendo.
As, cuando un paquete se transmite, de la manera normal que conocemos, al pasar a travs de un Gateway y
transportarse por el tnel, se encapsula la informacin y sta permanece oculta. El nuevo encapsulamiento
permite que todos los equipos intermedios que lean el paquete sean capaz de transportarlo salto a salto,
independientemente de lo que se haya cifrado. En el dibujo, en el tnel vpn, lo referente a los campos capa 2, 3, 4
y 7 estara cifrado por el protocolo correspondiente gre- y se vera como informacin cifrada dentro del campo
datos.
Protocolos de encriptacin.
A la hora de encriptar la informacin, lo podemos hacer de dos modos.
Encriptacin simtrica. Consume menos recursos
recursos que la asimtrica. En este caso, la misma llave o key se utilizara
para encriptar y desencriptar la informacin. As, una llave secreta compartida en los dos extremos del tnel
codificar la informacin en un sentido y valdr para decodificar la informacin
informacin en el lado opuesto.
62
DES.- No del todo seguro por la longitud de su llave, es lo que se llama un algoritmo de encriptacin block cipher,
donde coge una cadena de texto de un tamao y lo cifra en otra cadena de texto del mismo tamao. La longitud
total de la llave son de 56 bits, muy escasos hoy da para implementar una seguridad estable. Recordad que con
cuantos ms bits se codifique una llave, ms complejo se hace el proceso de descifrarla, pero tambin se tarda
ms en procesar esa informacin
3DES.- O triple Des, realiza una encriptacin DES, una desencriptacin DES y luego vuelve a encriptarlo. La
longitud de la llave es de 168 bits (3x Des KEY)
AES. El ms seguro hoy da y el ms implementado, soporta llaves de 128, 192 y 256 bits
Encriptacin Asimtrica. Se utilizan distintas llaves para encriptar y desencriptar, por lo que el conocimiento de una
sola key no es suficiente para desencriptar el paquete. Mucho ms segura que la anterior, tambin supone una
mayor carga para el procesador del router. Se le conoce, tambin, como Rijndael.
RSA, hace uso del algoritmo diffie-helfman para el intercambio de llaves asimtricas en un entorno pblico de
manera segura. Cuando se crea una VPN, de manera previa han de dialogar los equipos para ver que llave tienen
cada una, como van a crear el tnel, etc. DH crea una comunicacin segura entre esos equipos hasta que
acuerden como van a iniciar la red privada.
Protocolos de integridad de datos

Cuando enviamos la informacin, es necesario que nadie pueda alterar lo que modificamos, para ello se crea un
hash o un message digest que acompaa al paquete transmitido. Este es un valor que se calcula mediante dos
protocolos, md5 y sha. El primero, que responde a las siglas de Message Digest 5 utiliza una clave de 128 bits que
genera un hash para verificar que la informacin enviada y recibida no se ha alterado. El algoritmo de hash seguro
1 es ms robusto, utilizando una clave secreta de 160 bits.
Finalmente, para autenticar los peers o los extremos que quieren establecer
establecer una VPN, se puede hacer de varias
maneras, como certificados pblicos, firmas digitales, claves compartidas o PSK, etc.
IPSEC
Es un framework o conjunto de protocolos que ofrecen un mecanismo para la transmisin segura de informacin
sobre redes IP, asentndose en los principios de autenticacin, confidencialidad, integridad y anti -replay
(asegurndose que la informacin no se enva duplicada, mediante el uso de nmeros de secuencia).
IPSEC utiliza tres protocolos para crear esa estructura de seguridad
seguridad antes mencionada:
IKE. Utilizado para la negociacin de parmetros de seguridad y el establecimiento de las llaves. Cuando se crea
una VPN, se pasa por la fase de IKE 1 y 2, donde se negocia como se van a intercambiar las keys diffie-
helfman- y de qu manera se va a crear el tnel mediante los transform-set.
AH.- Authentication Header provee integridad y autenticacin, pero no ofrece encriptacin, por lo que se ha visto
sustituido por el siguiente protocolo
ESP Encapsulating Security Payload. Ofrece autenticacin, encriptacin, integridad y servicios de anty-replay. Es
el ms utilizado para crear un tnel ipsec.
Los algoritmos que se utilizan para estos procesos son los que hemos ido viendo hasta ahora, como DH, 3DES,
AES, SHA, etc.
63
Ver el Video Creacin Bsica de VPN en la plataforma
Laboratorio
Aunque no corresponde en el temario, vamos a ver los pasos necesarios para crear una vpn site to site entre dos
puntos, R1 y R3. Comprobaremos los protocolos a utilizar y con el wireshark podremos ver el resultado de
nuestras operaciones. Esta prctica la podis intentar hacer con el SDM de manera muy sencilla y en unos pocos
clics de ratn.
Lo primero, como siempre, es direccionar los equipos y publicarlo todo por EIGRP. Deshabilitar el auto-summary y
comprobad que se establecen las adyacencias pertinentes.
64
Ahora nos vamos al router 1 y empezamos a crear las VPN.
Lo primero que haremos es implementar las polticas IKE para el intercambio seguro de lleves. Vamos a crear un
entorno seguro donde los peers puedan intercambiar su informacin para validarse, y despus crearemos las
polticas IPSEC para encriptar la informacin a travs del tnel vpn.
El primer paso es habilitar IKE, aunque viene por defecto en todas las IOS. Para hacerlo escribiremos desde el
modo config crypto isakmp enable.
IKE Phase 1 o Fase 1 se utiliza para pasar y validar las polticas IKE entre los vecinos, para despus pasarse las
polticas IPSEC sobre la autenticacin y la encriptacin de los datos del usuario.
Recordemos, IKE controla la autenticacin, el algoritmo de encriptacin y el mtodo de intercambio de llaves para
luego IPSEC tratar sobre cmo se va a enviar la informacin sobre el tnel.
Para dicha fase uno necesitamos crear lo que se llama una poltica ISAKMP (Internet
(Internet Security Association and
Key Management Protocol). As definimos los protocolos de autenticacin encriptacin e integridad a utilizar para
enviar no la informacin del usuario, sino la informacin de control.
Para ello ejecutaremos los siguientes comandos,

comandos, primero lo haremos en el de la izquierda y luego de manera casi
similar, en el de la derecha, donde haremos un mirroring.
65
El nmero que acompaa al primer comando hace referencia a la prioridad de esa fase segn queramos utilizar
sta como primera opcin u otra que tengamos definida. Podemos crear varias y el equipo se encargar de elegir
la que permita establecer una comunicacin entre los dispositivos, de mayor a menor preferencia.
66
Fijaros que a la hora de establecer la autenticacin hemos elegido
elegido la opcin de llaves precompartidas, por lo que
es necesario tanto definir la contrasea como el peer vlido que se ha de autenticar contra nosotros.
Crypto isakmp key cisco address 200.0.0.6 desde el modo config, en R1, donde cisco es la contrasea.
A la hora de definir cmo transformar los datos para pasarlos por el tnel, definiremos los transform set.
67
Aunque resulta bastante complejo, a la hora de simplificarlo nos hemos de quedar que el mismo transform set que
tengamos en un extremo debe ser igual en el otro. Una vez introducido el comando nos dejar la opcin de elegir
68
el tipo de tnel que queramos establecer, modo tranport o tunnel, segn se desee encriptar el paquete entero o
solo el payload.
Ya nos queda menos. Ahora mediante una lista de acceso definiremos, al igual que en RDSI, el trfico interesante
para saber qu es lo que se va a introducir en la vpn y, por tanto, se encapsular mediante los protocolos
correspondientes. Para la prctica, queremos que todo lo que vaya de una loopback a otra se introduzca dentro de
la VPN.
Access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255
En el R3 seria justamente lo contrario:
Access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255
Ahora necesitamos unir todas estas parcelas que hemos ido definiendo de manera separada ahora de forma
conjunta, para luego aplicarlo a las interfaces oportunas.
Esto lo haremos con los crypto-map:
R1(config)#crypto map efren 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#set peer 200.0.0.6
R1(config-crypto-map)#set tran
R1(config-crypto-map)#set transform-set 20
R1(config-crypto-map)#set pfs ?
group1 D-H Group1 (768-bit modp)
<cr>
R1(config-crypto-map)#set pfs group5
Finalmente, lo aplicaremos a la interfaz fsica en este caso, aunque se puede crear un tnel y asociarlo a este si lo
queremos crear de manera permanente.
Int f0/0
69
Crypto map efren
Veamos ahora la configuracin en R3

Os pego la running-config entera:
R3(config)#do sh run

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
!
!
!
!
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
70
!
!
!
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
crypto isakmp key cisco address 200.0.0.1
!
!
crypto ipsec transform-set 20 ah-sha-hmac esp-aes 256 esp-sha-hmac
!
crypto map efren 10 ipsec-isakmp
set peer 200.0.0.1
set transform-set 20
set pfs group5
match address 101
!
!
!
!
!
interface Loopback0
ip address 172.16.3.1 255.255.255.0
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 200.0.0.6 255.255.255.252
duplex auto
speed auto
crypto map efren
!
router eigrp 1
network 172.16.0.0
network 200.0.0.0
no auto-summary
!
ip classless
no ip http server
no ip http secure-server
71
!
!
!
logging alarm informational
access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
!
End
Si todo fuera bien, deberais poder hacer un ping como el siguiente:
72
Espero que con esta prctica os haya quedado ms claro el concepto de VPN, o !quiz ahora sea peor! De todas
formas, en otros temarios ms especializados y bastante accesibles como el CCNA Security se explica ms en
profundidad estos y otros conceptos. Cualquier duda me podis escribir al correo .
73

Modulo 11 Certiseg

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Modulo 11 Certiseg

Uploaded by

Copyright:

Available Formats

Plan de Carrera de

Mdulo 11: Extensin de redes LAN hacia la WAN

Mdulo 11: Extensin de redes LAN hacia la WAN

x Tema 1: Establecimiento de redes

x Entender los principios de los enlaces seriales

Point To Point Protocol

NCP, protocolo de control de red

x Fallo de la autenticacin en PPP

x Falta del clock rate en el DCE

Los comandos son los siguientes:

Ppp pap sent-username izquierdo password cisco

Username izquierdo password cisco

Type escape sequence to abort.

access-list 100 deny icmp host 1.0.0.2 host 1.0.0.1

Para aplicar la lista de acceso lo haremos a nivel de interfaz:

Principios de Frame Relay

As, si necesitamos 10 canales DS0, nos veramos

56 k, 64 k, 1.544 Mbps, 1536 Mbps.

La trama en Frame Relay

Lo referente a los comandos serial restart-delay y no dce-terminal-timing-enable no lo tengis en cuenta pues

Os pongo un sample de la running-config del Switch Frame Relay, aunque

R2(config-if)#do sh run int s1/0

Current configuration : 198 bytes

Direccionamiento y topologas en Frame Relay

Mientras ANSI usa el identificador 0,Cisco el 1023:

Ver el Video Implementacin Bsica de Frame Relay en la

En este ejemplo, se han creado dos DLCI,

x Manejar conceptos avanzados de Frame-Relay

Horizonte dividido y subinterfaces

Si creamos subinterfaces, dentro de la interfaz fsica especificaremos la encapsulacin, y el direccionamiento y el

Conceptos de Frame Relay

FECN, notificacin explicita de congestin hacia adelante o Forward Explicit Congestion

Ver el Video Implementacin de EIGRP en Frame Relay en la

Current configuration : 221 bytes

R4#sh frame-relay route

R1#sh frame-relay map

R2#sh frame-relay map

R3#sh frame-relay map

Gateway of last resort is not set

As, la configuracin de EIGRP para R1 quedara as:

x Entender los principios de las redes Virtuales Privadas

Tecnologas de trabajo a distancia

x Transmisin por modulacin de la amplitud de la onda portadora

Una onda tiene tres parmetros que la definen:

Las seales sinusoidales se representan con esta frmula:

Redes inalmbricas de banda ancha

Nota: la imagen se ha tomado de la pgina web cuyo enlace viene en la esquina.

Este dispositivo, en funcin del modelo, acta como

Justamente este modelo, junto con la gama

Configuracin del Punto de Acceso

Por pgina Web (Web Browser)

Os dejo unos de enlaces por si estis interesados:

Virtual Private Network

Los ASA se estudian brevemente en el CCNA Security y ms en profundidad en el CCNP de seguridad.

VPN de acceso Remoto.

A la hora de proceder a la encapsulacin de la que hemos

Protocolos que intervienen en la tunelizacin:

Protocolos de integridad de datos

Para ello ejecutaremos los siguientes comandos,

Access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255

En el R3 seria justamente lo contrario:

Access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255

Esto lo haremos con los crypto-map:

R1(config)#crypto map efren 10 ipsec-isakmp