Professional Documents
Culture Documents
Diseo de capa 2
Conceptos de capa 2
Los protocolos de capa 2 controlan el acceso a un medio comn (cobre, fiber, ondas electromagnticas) Ethernet es el estndar de-facto hoy da
Razones:
Simple Barato Los fabricantes continan hacindolo ms rpido
Funciones de Ethernet
Identificacin de la fuente y el destino
Direcciones MAC
Trama Ethernet
SFD = Start of Frame Delimiter DA = Destination Address SA = Source Address CRC = Cyclick Redundancy Check
Estrella
Un dispositivo central conecta a todos los nodos
Primero con hubs (trfico repetido) Luego con switches (trfico puenteado)
Hub
Recibe una trama en un puerto y la repite en todos los dems puertos. El dominio de colisin abarca todo el hub El trfico termina yendo a sitios donde no es necesario
Hub
Hub
Cada trama enviada llega a todos los dems nodos. Los hubs tambin se llaman repetidores porque repiten todo lo que escuchan
Switch
Aprende la ubicacin de cada nodo mirando la direccin origen de cada trama, y construye una tabla de reenvo Reenva cada trama slo a travs del puerto donde se encuentra el receptor
Reduce el dominio de colisin Utiliza el cable ms eficientemente Los nodos no pierden tiempo verificando tramas que no les pertenecen
Switch
Tabla de reenvo Direccin
AAAAAAAAAAAA BBBBBBBBBBBB 1 5
Puerto
Switch
B A
Switches y Broadcast
Un switch an tiene que hacer broadcast con algunas tramas:
Cuando el destino no se encuentra en la tabla Cuando el destino de la trama es la direccin broadcast (FF:FF:FF:FF:FF:FF) Cuando el destino de la trama es una direccin multicast
Algunas diferencias:
Los paquetes IP viajan dentro de las tramas ethernet Las redes IP se pueden segmentar en subredes Los switches en general no saben nada de IP, slo de tramas ethernet
Esto cobra suma importancia cuando se intenta disear redes jerrquicas que puedan crecer de forma sostenible
Dominios de Trfico
Router
Switch Hub
Dominio de Broadcast
Dominio de Colisin
Dominios de Trfico
Intente eliminar los dominios de colisin
Deshgase de los hubs!
Intente mantener su dominio de broadcast dentro del un umbral de 250 mquinas conectadas simultneamente
Segmente su red utilizando enrutadores
Edificios y subredes
Es comn encontrar correspondencia entre edificios y subredes
Switching dentro del edifcio Routing entre edificios
Red de Edificio
Switch
Usuarios
Switch
Usuarios
Switch
Switch
Usuarios
Switch
Switch
Usuarios
No encadene equipos
Resista la tentacin de hacer esto:
Preguntas?
Switch A
Switch B
Bucle de capa 2
Si hay ms de un camino entre dos switches:
Las tablas de encaminamiento se hacen inestables
Las direcciones MAC de origen se ven venir intermitentemente desde puertos diferentes
Bucle de capa 2
Switch A
Switch B
Nodo 1
Bucle de capa 2
Los switches A, B y C Switch A Switch B
Swtich C
Nodo 1
Bucle de capa 2
Pero
Switch A
Switch B
reciben sus propios broadcasts de nuevo, y pasan a reenviarlos otra vez! Los broadcasts se amplifican, creando una tormenta de broadcast
Swtich C
Nodo 1
Bucles buenos
Se puede aprovechar de los bucles!
Los caminos redundantes mejoran la resistencia de la red cuando:
Un switch falla Se rompe un enlace
Qu es un Spanning Tree
Dado un grafo conectado y sin direccin, un spanning tree de dicho grafo es un sub-grafo de tipo rbol que conecta todos los vrtices. Un solo grafo puede tener mltiples spanning trees.
Los BPDUs recibidos se analizan para ver si hay un ID de switch raz que sea menor
De ser as, cada switch reemplaza el valor del ID del switch raz anunciado con el valor menor
Al cabo de un rato, todos los switches se ponen de acuerdo en quin ser el switch raz
Switch B 32768.0000000000BB
Switch C 32768.0000000000CC
Todos los switches tienen la misma prioridad. Quin ser elegido el switch raz?
Costo de STP
Cul es el costo del camino a la raz en cada puerto? Cul es el puerto raz en cada switch?
1
Switch C
32768.0000000000CC
Cada segmento de red tiene que tener slo un switch enviando tramas para ese segmento Cada switch tiene que identificar un Puerto designado por enlace
El enlace con el menor costo del camino a la raz acumulado
En el enlace B-C, Switch B tiene el ID menor, por lo que el puerto 2 en Switch B es el puerto designado
Bloqueo de puertos
Cualquier puerto que no sea un puerto raz o un puerto designado se pone en estado bloqueado Este paso efectivamente rompe el bucle y completa el Spanning Tree.
1
Costo=19 1 Switch B 32768.0000000000BB
Swtich A
2
Costo=19 1
2
Costo=19
Switch C 2 32768.0000000000CC
El Puerto 2 en Switch C se pone en Estado Bloqueado porque no es ni Puerto Raz ni Puerto Designado
Bloqueado (Blocking)
Sin reenvo de tramas Recibiendo BPDUs
Escuchando (Listening)
Sin reenvo de tramas Enviando y recibiendo BPDUs
Reenviando (Forwarding)
Reenviando tramas Enviando y recibiendo BPDUs Aprendiendo nuevas direcciones MAC
Switch raz
32768.0000000000CC
Switch C
Switch A
32768.0000000000AA
Swtich B
Switch D
0.0000000000DD
32768.0000000000CC
Switch C
Switch A
32768.0000000000AA
Algunos fabricantes han agregado mejoras como PortFast, el cual reduce el tiempo al mnimo en los puertos de usuarios
No use PortFast o similar en los enlaces entre switches
DP
Root
RP
Switch
Agreement Switch
Switch
Switch
DP
Proposal
Agreement Switch
RP
Switch
Switch
DP RP
DP
Proposal
RP
Switch
Switch
DP RP DP
Proposal Agreement
DP
RP
Switch
Switch
RP
Preguntas?
VLANs locales
2 o ms VLANs dentro de un mismo switch Los Puertos de usuario (Edge), donde las mquinas se conectan, se configuran como miembros de la VLAN El switch se comporta como varios switches separados, enviando trfico solamente entre miembros de la misma VLAN
Local VLANs
Switch VLAN X Edge ports VLAN Y
VLAN X nodes
VLAN Y nodes
802.1Q
El estndar de la IEEE que define cmo las tramas ethernet deberan ser etiquetadas tagged cuando viajan a travs de troncales Esto implica que switches de diferentes vendedores son capaces de intercambiar trfico entre VLANs
Edge Ports
Hay que asegurarse de que todos los enlaces troncales estn transportando las VLANs necesarias
Recordar cuando se est agregando o quitando VLANs
Agregacin de Enlaces
Conocido como port bundling, link bundling Se pueden usar varios enlaces en paralelo como si fueran un enlace nico virtual
Para mayor capacidad del canal Para redundancia (tolerancia a fallos)
LACP (Link Aggregation Control Protocol) es un mtodo estndar para negociar estos enlaces agregados entre switches
Operacin de LACP
Dos switches conectados via mltiples enlaces enviarn paquetes LACPDU, identificndose a s mismos y a los puertos que los enlazan Entonces construirn los enlaces agregados y empezarn a pasar trfico por ellos. Los puertos se pueden configurar como pasivos o activos
Operacin de LACP
100 Mbps
Switch A
100 Mbps
Switch B LACPDUs
Los switches A y B se conectan entre s mediante dos pares de puertos Fast Ethernet LACP se habilita y los puertos se activan Los switches empiezan a enviar LACPDUs y negocian cmo establecer en enlace virtual
Operacin de LACP
100 Mbps
Switch A
100 Mbps
Switch B
200 Mbps logical link El resultado es un enlace virtual agregado de 200 Mbps El enlace es tambin tolerante a fallos: Si uno de los enlaces miembro falla, LACP automticamente quitar a ese enlace del grupo y seguir enviando trfico a travs del enlace disponible
Dependiendo de la naturaleza del trfico, esto puede resultar en trfico desbalanceado Siempre elija el mtodo de balanceo de carga que provea la distrubucin mxima
Preguntas?
Vlan A
Vlan B
Un resumen hash de estos atributos se enva dentro de las BPDUs para su rpido anlisis en los switches Una regin es generalmente suficiente
CST
MST Region
IST
IST
802.1D switch
Eleccin de Switches
Funcionalidades mnimas:
Conformidad con los estndares Gestin cifrada (SSH/HTTPS) VLAN trunking Spanning Tree (por lo menos RSTP) SNMP
Por lo menos versin 2 (v3 tiene mejor seguridad) Traps
Eleccin de Switches
Otras funcionalidades recomendadas:
DHCP Snooping
Evitar que sus usuarios activen un servidor DHCP ilegtimo
Ocurre mucho con los enrutadores wireless de bajo coste (Netgear, Linksys, etc) enchufados al revs
Los puertos que suben hasta el servidor DHCP legtimo se designan como trusted. Si hay DHCPOFFERs originadas desde puertos no confiados, son descartadas.
Eleccin de Switches
Otras funcionalidades recomendadas:
Inspeccin de ARP dinmica
Un nodo malicioso puede realizar un ataque man -in-the-middle al enviar respuestas ARP ilegtimas Los switches pueden mirar dentro de los paquetes ARP y descartar los que no sean legtimos.
Seleccin de Switches
Otras funcionalidades recomendadas:
IGMP Snooping:
Los switches por defecto reenvan las tramas multicast a travs de todos sus puertos Al husmear el trfico IGMP, el switch puede aprender cules mquinas son miembros de un grupo multicast, y enviar las tramas a travs de los puertos necesarios solamente Muy importante cuando los usuarios utilizan Norton Ghost, por ejemplo.
Gestin de Red
Habilite los SNMP traps y/o Syslog
Reunir y procesar en un servidor central:
Cambios de Spanning Tree Discordancias de Duplex Problemas de cableado
Gestin de Red
Reuna y guarde las tablas de reenvo usando SNMP peridicamente
Le permite encontrar las direcciones MAC en su red de forma rpida Puede usar archivos de texto simple y buscar con grep, o usar una herramienta con interfaz web y una base de datos
Documentacin
Documente la ubicacin de sus switches
Nombre el switch basado en su ubicacin
E.g. edificio1-sw1
Preguntas?
Gracias.