Rapid Spanning Tree (802.1w) Define estos roles de puerto: Puerto Raíz (igual que en 802.1d) Puerto Alternativo Puerto con camino alternativo al conmutador raíz Puerto Designado (igual que en 802.1d) Puerto Backup Camino backup/redundante a un segmento donde otro conmutador está conectado.
Rapid Spanning Tree (802.1w) El proceso de sincronización utiliza un método de handshake Luego de elegirse el conmutador raíz, la topología se construye en cascada, donde cada conmutador propone ser el conmutador designado para cada enlace punto-a-punto Mientras esto ocurre, todos los enlaces en los conmutadores de niveles inferiores están bloqueados
Rapid Spanning Tree (802.1w) Root conmutador Proposal conmutador Agreement conmutador conmutador DP RP
Rapid Spanning Tree (802.1w) Root conmutador Proposal conmutador Agreement conmutador conmutador DP RP DP RP
Rapid Spanning Tree (802.1w) Root conmutador Proposal conmutador Agreement conmutador conmutador DP RP DP RP DP RP
Rapid Spanning Tree (802.1w) Root conmutador Proposal conmutador Agreement conmutador conmutador DP RP DP RP DP RP DP RP
Rapid Spanning Tree (802.1w) Prefiera RSTP en lugar de STP si quiere convergencia más rápida Siempre defina cuáles son los puertos de los usuarios
Virtual LANs (VLANs) Nos permiten separar los conmutadores en varios conmutadores virtuales Sólo los miembros de una VLAN pueden ver el tráfico de dicha VLAN Tráfico entre VLANs debe pasar por un enrutador Nos permiten utilizar una sola interfaz de enrutador para llevar tráfico de varias subredes P. Ej. Sub-interfaces en Cisco
VLANs locales 2 o más VLANs dentro de un mismo conmutador Los Puertos de usuario (Edge), donde las máquinas se conectan, se configuran como miembros de la VLAN El conmutador se comporta como varios conmutadores separados, enviando tráfico solamente entre miembros de la misma VLAN
Local VLANs VLAN X VLAN Y conmutador VLAN X nodes VLAN Y nodes Edge ports
VLANs entre conmutadores Dos o más conmutadores pueden intercambiar tráfico de una o más VLANs Los enlaces inter-conmutador se configuran como troncales (trunks), transportando tramas de todas o una parte de las VLANs de un conmutador Cada trama lleva una etiqueta (tag) que identifica la VLAN a la que pertenece
802.1Q El estándar de la IEEE que define cómo las tramas ethernet deberían ser etiquetadas tagged cuando viajan a través de troncales Esto implica que conmutadores de diferentes vendedores son capaces de intercambiar tráfico entre VLANs
802.1Q tagged frame
VLANs entre conmutadores 802.1Q Trunk Tagged Frames VLAN X VLAN Y VLAN X VLAN Y Edge Ports Trunk Port Esto se conoce como "VLAN Trunking"
Tagged vs. Untagged Los puertos de usuarios no se etiquetan, sólo se hacen "miembros" de una VLAN Sólo es necesario etiquetar tramas en puertos entre conmutadores (trunks), cuando éstos transportan tráfico de múltiples VLANs Un trunk puede transportar tráfico de VLANs tagged y untagged Siempre que los dos conmutadores estén de acuerdo en cómo manejar éstas
Las VLANs aumentan la complejidad Ya no se puede simplemente "reemplazar" un conmutador Ahora hay una configuración de VLANs que mantener Los técnicos de campo necesitan más formación Hay que asegurarse de que todos los enlaces troncales están transportando las VLANs necesarias Recordar cuando se esté agregando o quitando VLANs
Buenas razones para utilizar VLANs Hay que segmentar la red en varias subredes, pero no hay suficientes conmutadores Separar los elementos de infraestructura como teléfonos IP, controles automáticos, etc. Separar el plano de control Restringir quiénes puden acceder a la dirección de gestión del conmutador
Malas razones para usar VLANs Porque es posible, y le hace sentir "cool" ? Porque le darán seguridad absoluta para sus usuarios (o así parece) Porque le permiten extender la red IP hasta otros edificios remotos De hecho esto es muy común, pero es muy mala idea
No haga un "VLAN spaghetti" Extender una VLAN a través de múltiples edificios, o todo el campus Mala idea porque: El tráfico broadcast viaja a través de todas las troncales, de un extremo al otro de la red Una tormenta de broadcast se propagará a través de toda la extensión de la VLAN, y afectará las otras VLANS! Una pesadilla para el mantenimiento y la resolución de problemas
Agregación de Enlaces Conocido como port bundling, link bundling Se pueden usar varios enlaces en paralelo como si fueran un enlace único virtual Para mayor capacidad del canal Para redundancia (tolerancia a fallos) LACP (Link Aggregation Control Protocol) es un método estándar para negociar estos enlaces agregados entre conmutadores
Operación de LACP Dos conmutadores conectados via múltiples enlaces enviarán paquetes LACPDU, identificándose a sí mismos y a los puertos que los enlazan Entonces construirán los enlaces agregados y empezarán a pasar tráfico por ellos. Los puertos se pueden configurar como pasivos o activos
Operación de LACP conmutador A conmutador B LACPDUs Los conmutadores A y B se conectan entre sí mediante dos pares de puertos Fast Ethernet
LACP se habilita y los puertos se activan
Los conmutadores empiezan a enviar LACPDUs y negocian cómo establecer en enlace virtual 100 Mbps 100 Mbps
Operación de LACP 200 Mbps logical link El resultado es un enlace virtual agregado de 200 Mbps
El enlace es también tolerante a fallos: Si uno de los enlaces miembro falla, LACP automáticamente quitará a ese enlace del grupo y seguirá enviando tráfico a través del enlace disponible conmutador A conmutador B 100 Mbps 100 Mbps
Distribución del tráfico en enlaces agregados Los enlaces agregados distribuyen las tramas gracias a un algoritmo, basado en: Dirección MAC origen y/o destino Dirección IP origen y/o destino Números de puerto origen y/o destino Dependiendo de la naturaleza del tráfico, esto puede resultar en tráfico desbalanceado Siempre elija el método de balanceo de carga que provea la distrubución máxima
Multiple Spanning Tree (802.1s) Permite crear "instancias" de Spanning Tree por cada grupo de VLANs Las múltiples topologías permiten el balanceo de carga a través de diferentes enlaces Compatible con STP y RSTP
Multiple Spanning Tree (802.1s) Vlan A Vlan B Root VLAN A Root VLAN B ? ?
Multiple Spanning Tree (802.1s) Región MST Los conmutadores son miembros de una misma región si coinciden en sus parámetros: Nombre de configuración MST Número de revisión de la configuración MST Mapeo de VLANs a instancias Un resumen hash de estos atributos se envía dentro de las BPDUs para su rápido análisis en los conmutadores Una región es generalmente suficiente
Multiple Spanning Tree (802.1s) CST = Common Spanning Tree Para interoperar con otras versiones de Spanning Tree, MST necesita un spanning tree común que contenga todas las demás "islas", incluyendo otras regiones MST
Multiple Spanning Tree (802.1s) IST = Internal Spanning Tree Interno a la región Presenta toda la región como un conmutador virtual único al CST externo
Multiple Spanning Tree (802.1s) CST (Gp:) MST Region
IST (Gp:) MST Region (Gp:) IST
802.1D conmutador
Multiple Spanning Tree (802.1s) Instancias MST Groupos de VLANs se mapean a distintas instancias de MST Estas instancias representarán cada topología alternativa, o caminos de reenvío alternativos Se especifica un conmutador raíz y uno alternativo para cada instancia
Multiple Spanning Tree (802.1s) Pautas de diseño Determinar los caminos de reenvío relevantes y distribuir las VLANs de manera equitativa entre las instancias correspondientes a cada uno de estos caminos Designar los conmutadores raíz y alternativo para cada instanacia Asegurarse de que todos los conmutadores concuerdan en sus parámetros No asignar VLANs a la instancia 0, ya que ésta es utilizada por el IST
Elección de conmutadores Funcionalidades mínimas: Conformidad con los estándares Gestión cifrada (SSH/HTTPS) VLAN trunking Spanning Tree (por lo menos RSTP) SNMP Por lo menos versión 2 (v3 tiene mejor seguridad) Traps
Elección de conmutadores Otras funcionalidades recomendadas: DHCP Snooping Evitar que sus usuarios activen un servidor DHCP ilegítimo Ocurre mucho con los enrutadores wireless de bajo coste (Netgear, Linksys, etc) enchufados al revés Los puertos que suben hasta el servidor DHCP legítimo se designan como "trusted". Si hay DHCPOFFERs originadas desde puertos no confiados, son descartadas.
Elección de conmutadores Otras funcionalidades recomendadas: Inspección de ARP dinámica Un nodo malicioso puede realizar un ataque "man-in-the-middle" al enviar respuestas ARP ilegítimas Los conmutadores pueden mirar dentro de los paquetes ARP y descartar los que no sean legítimos.
Selección de conmutadores Otras funcionalidades recomendadas: IGMP Snooping: Los conmutadores por defecto reenvían las tramas multicast a través de todos sus puertos Al "husmear" el tráfico IGMP, el conmutador puede aprender cuáles máquinas son miembros de un grupo multicast, y enviar las tramas a través de los puertos necesarios solamente Muy importante cuando los usuarios utilizan Norton Ghost, por ejemplo.
Gestión de Red Habilite los SNMP traps y/o Syslog Reunir y procesar en un servidor central: Cambios de Spanning Tree Discordancias de Duplex Problemas de cableado Monitorizar las configuraciones Usar RANCID para reportar todos los cambios que ocurran en la configuración del conmutador
Gestión de Red Reuna y guarde las tablas de reenvío usando SNMP periódicamente Le permite encontrar las direcciones MAC en su red de forma rápida Puede usar archivos de texto simple y buscar con grep, o usar una herramienta con interfaz web y una base de datos Active LLDP (o CDP o similar) Le muestra cómo los conmutadores están interconectados entres sí, y a otros dispositivos
Página anterior | Volver al principio del trabajo | Página siguiente |