Dominios de colisiones
Anuncio
Planificación y Administración de Redes Conmutación Dominios de colisiones Según el CSMA/CD, un nodo no debería enviar un paquete a menos que la red esté libre de tráfico. Si dos nodos envían paquetes al mismo tiempo, se produce una colisión y los paquetes se pierden. Entonces, ambos nodos envían una señal de congestión, esperan una cantidad de tiempo aleatoria y retransmiten sus paquetes. Cualquier parte de la red en donde los paquetes de dos o más nodos puedan interferir entre ellos se considera como un dominio de colisiones. Una red con una gran cantidad de nodos en el mismo segmento tiene un dominio de colisiones mayor y, generalmente, más tráfico. A medida que aumenta la cantidad de tráfico en la red, aumentan las posibilidades de colisión. En los últimos años, los switches se convirtieron rápidamente en una parte fundamental de la mayoría de las redes. Los switches permiten la segmentación de la LAN en distintos dominios de colisiones. Cada puerto de un switch representa un dominio de colisiones distinto y brinda un ancho de banda completo al nodo o a los nodos conectados a dicho puerto. Con una menor cantidad de nodos en cada dominio de colisiones, se produce un aumento en el ancho de banda promedio disponible para cada nodo y se reducen las colisiones. Una LAN puede tener un switch centralizado que conecta a hubs que todavía brindan conectividad a los nodos. O bien, una LAN puede tener todos los nodos conectados directamente a un switch. Estas topologías se ilustran en la figura. En una LAN en la que se conecta un hub a un puerto de un switch, todavía existe un ancho de banda compartido, lo que puede producir colisiones dentro del entorno compartido del hub. Sin embargo, el switch aislará el segmento y limitará las colisiones para el tráfico entre los puertos del hub. Dominios de broadcast Si bien los switches filtran la mayoría de las tramas según las direcciones MAC, no hacen lo mismo con las tramas de broadcast. Para que otros switches de la LAN obtengan tramas de broadcast, éstas deben ser reenviadas por switches. Una serie de switches interconectados forma un dominio de broadcast simple. Sólo una entidad de Capa 3, como un router o una LAN virtual (VLAN), puede detener un dominio de broadcast de Capa 3. Los routers y las VLAN se utilizan para segmentar los dominios de colisión y de broadcast. El uso de las VLAN para segmentar los dominios de broadcast se analiza en el próximo capítulo. Cuando un dispositivo desea enviar un broadcast de Capa 2, la dirección MAC destino en la trama se establece en sólo unos. Al configurar el destino en este valor, todos los dispositivos aceptarán y procesarán la trama de broadcast. El dominio de broadcast de la Capa 2 se conoce como dominio de broadcast MAC. El dominio de broadcast MAC incluye todos los dispositivos de la LAN que reciben broadcasts de tramas a través de un host a todas las demás máquinas en la LAN. Esto se muestra en la primera mitad de la animación. Planificación y Administración de Redes Conmutación Cuando un switch recibe una trama de broadcast la reenvía a cada uno de sus puertos excepto al puerto entrante en el que el switch recibió esa trama. Cada dispositivo conectado reconoce la trama de broadcast y la procesa. Esto provoca una disminución en la eficacia de la red dado que el ancho de banda se utiliza para propagar el tráfico de broadcast. Cuando se conectan dos switches, el dominio de broadcast aumenta. En este ejemplo, se reenvía una trama de broadcast a todos los puertos conectados en el switch S1. El switch S1 está conectado al switch S2. La trama se propaga a todos los dispositivos conectados al switch S2. Esto se muestra en la segunda mitad de la animación. Latencia de red La latencia es el tiempo que una trama o paquete tarda en hacer el recorrido desde la estación origen hasta su destino final. Los usuarios de las aplicaciones basadas en redes experimentan la latencia cuando tienen que esperar varios minutos para obtener acceso a la información almacenada en un centro de datos o cuando un sitio Web tarda varios minutos en cargar el explorador. La latencia consiste en por lo menos tres componentes. En primer lugar, el tiempo que toma la NIC origen en colocar pulsos de voltaje en el cable y el tiempo que tarda la NIC destino en interpretar estos pulsos. Esto se denomina a veces retraso de la NIC (por lo general, es de 1 microsegundo para una NIC 10BASE-T). En segundo lugar, el retardo de propagación real, ya que la señal tarda un tiempo en recorrer el cable. Normalmente, éste es de unos 0,556 microsegundos por 100 m para Cat 5 UTP. Si la longitud del cable es mayor y la velocidad nominal de propagación (NVP, Nominal Velocity of Propagation) es menor, el retraso de propagación será mayor. En tercer lugar, la latencia aumenta según los dispositivos de red que se encuentren en la ruta entre dos dispositivos. Estos pueden ser dispositivos de Capa 1, Capa 2 o Capa 3. Estos tres factores que contribuyen a la latencia pueden distinguirse en la animación a medida que la trama atraviesa la red. La latencia no depende únicamente de la distancia y de la cantidad de dispositivos. Por ejemplo: si dos computadoras están separadas por tres switches correctamente configurados, es probable que éstas experimenten una latencia menor que la que se produciría si estuvieran separadas por dos routers correctamente configurados. Esto se debe a que los routers ejecutan funciones más complejas y que llevan más tiempo. Por ejemplo: un router debe analizar datos de Capa 3 mientras que los switches sólo analizan los datos de Capa 2. Dado que los datos de la Capa 2 se presentan antes que los de la Capa 3 en la estructura de la trama, los switches pueden procesarla con mayor velocidad. Los switches también admiten alta velocidad de transmisión de voz, video y redes de datos mediante circuitos integrados de aplicaciones específicas (ASIC, Application Specific Integrated Circuits) que proporcionan soporte de hardware para muchas tareas de networking. Otras características de los switches, como por ejemplo búfer de memoria basado en puerto, calidad de servicio (QoS) de nivel de puertos y administración de congestión, también ayudan a reducir la latencia en la red. La latencia basada en switches puede también deberse a un exceso de demanda en la estructura de éste. Muchos switches de nivel de entrada no cuentan con el rendimiento interno suficiente como para administrar las capacidades del ancho de banda completo en todos los puertos de manera simultánea. El switch debe tener la capacidad de administrar la cantidad máxima de datos que se espera en la red. Dado que la tecnología de los switches es cada vez mejor, la latencia a través de ellos ya no es un problema. La causa predominante de latencia de red en una LAN conmutada está más relacionada con los medios que se transmiten, los protocolos de enrutamiento utilizados y los tipos de aplicaciones que se ejecutan en la red. Congestión de red El primer motivo por el cual segmentar una LAN en partes más pequeñas es el de aislar el tráfico y lograr una mejor utilización del ancho de banda por usuario. Al no segmentarla, la LAN se obstruye rápidamente debido al tráfico y a las colisiones. A continuación se mencionan las causas más comunes de congestión de red: Tecnología de redes y computadoras cada vez más potentes. Hoy en día, las CPU, los buses y los dispositivos periféricos son mucho más rápidos y potentes que aquellos utilizados en las LAN anteriores. Por lo tanto, éstos pueden enviar una mayor cantidad de datos a través de la red y también procesarlos a una mayor velocidad. Planificación y Administración de Redes Conmutación Volumen de tráfico de la red cada vez mayor. En la actualidad el tráfico de la red es más habitual, ya que se necesitan recursos remotos para llevar a cabo tareas básicas. Además, los mensajes de broadcast, como las consultas de resolución de direcciones que envía el ARP, pueden afectar de manera negativa el rendimiento de la red y de las estaciones de trabajo. Aplicaciones con alta demanda de ancho de banda. Las aplicaciones de software son cada vez más ricas en cuanto a funcionalidad y requieren un ancho de banda superior. Por ejemplo: las aplicaciones de edición, diseño de ingeniería, video a pedido (VoD), aprendizaje electrónico (e-learning) y streaming video requieren una considerable capacidad y velocidad de procesamiento. Segmentación de la LAN Las LAN se segmentan en varios dominios de broadcast y de colisión más pequeños mediante el uso de routers y switches. Anteriormente se utilizaban los puentes pero no suele verse este tipo de equipos de red en una moderna LAN conmutad Aunque el switch LAN reduce el tamaño de los dominios de colisión, todos los hosts conectados al switch pertenecen al mismo dominio de broadcast. Los routers pueden utilizarse para crear dominios de broadcast, ya que no reenvían tráfico de broadcast predeterminado. Si se crean pequeños dominios de broadcast adicionales con un router, se reducirá el tráfico de broadcast y se proporcionará mayor disponibilidad de ancho de banda para las comunicaciones unicast. Cada interfaz del router se conecta a una red individual que contiene tráfico de broadcast dentro del segmento de la LAN en el que se originó. Métodos de reenvio del switch Los switches pueden funcionar de distintos modos y éstos pueden tener tanto efectos positivos como negativos: Conmutación de almacenamiento y envío: En este tipo de conmutación, cuando el switch recibe la trama, la almacena en los buffers de datos hasta recibir la trama en su totalidad. Durante el proceso de almacenamiento, el switch analiza la trama para buscar información acerca de su destino. En este proceso, el switch también lleva a cabo una verificación de errores utilizando la porción del tráiler de comprobación de redundancia cíclica (CRC, Cyclic Redundancy Check) de la trama de Ethernet. La CRC utiliza una fórmula matemática, basada en la cantidad de bits (1) de la trama, para determinar si ésta tiene algún error. Después de confirmar la integridad de la trama, ésta se envía desde el puerto correspondiente hasta su destino. Cuando se detecta un error en la trama, el switch la descarta. El proceso de descarte de las tramas con errores reduce la cantidad de ancho de banda consumido por datos dañados. La conmutación por almacenamiento y envío se requiere para el análisis de calidad de servicio (QoS) en las redes convergentes, en donde se necesita una clasificación de la trama para decidir el orden de prioridad del tráfico. Conmutación por método de corte: En este tipo de conmutación, el switch actúa sobre los datos apenas los recibe, incluso si la transmisión aún no se ha completado. El switch recopila en el búfer sólo la información suficiente de la trama como para leer la dirección MAC de destino y así determinar a qué puerto debe reenviar los datos. La dirección MAC de destino se encuentra en los primeros 6 bytes de la trama después del preámbulo. El switch busca la dirección MAC de destino en su tabla de conmutación, determina el puerto de la interfaz de salida y reenvía la trama a su destino mediante el puerto de switch designado. El switch no lleva a cabo ninguna verificación de errores en la trama. Funcionamiento del switch Para lograr su fin, los switches LAN Ethernet realizan cinco operaciones básicas: Aprendizaje: La tabla MAC debe llenarse con las direcciones MAC y sus puertos correspondientes. El proceso de aprendizaje permite que estos mapeos se adquieran dinámicamente durante el funcionamiento normal. A medida que cada trama ingresa al switch, el switch analiza la dirección MAC de origen. Mediante un proceso de búsqueda, el switch determina si la tabla ya contiene una entrada para esa dirección MAC. Si no existe ninguna entrada, el switch crea una nueva entrada en la tabla MAC utilizando la dirección MAC de origen y asocia la dirección con el puerto en el que llegó Planificación y Administración de Redes Conmutación la entrada. Ahora, el switch puede utilizar este mapeo para reenviar tramas a este nodo. Actualización: Las entradas de la tabla MAC que se adquirieron mediante el proceso de Aprendizaje reciben una marca horaria. La marca horaria se utiliza como instrumento para eliminar las entradas antiguas de la tabla MAC. Después de que se crea una entrada en la tabla MAC, un proceso comienza una cuenta regresiva utilizando la marca horaria como el valor inicial. Una vez que el valor alcanza 0, la entrada de la tabla se actualizará la próxima vez que el switch reciba una trama de ese nodo en el mismo puerto. Flooding: Si el switch no sabe a qué puerto enviar una trama porque la dirección MAC de destino no se encuentra en la tabla MAC, el switch envía la trama a todos los puertos, excepto al puerto en el que llegó la trama. El proceso que consiste en enviar una trama a todos los segmentos se denomina inundación. El switch no reenvía la trama al puerto en el que llegó la trama porque cualquier destino de ese segmento ya habrá recibido la trama. La inundación también se utiliza para tramas que se envían a la dirección MAC de broadcast. Reenvío selectivo: El reenvío selectivo es el proceso por el cual se analiza la dirección MAC de destino de una trama y se la reenvía al puerto correspondiente. Ésta es la función principal del switch. Cuando una trama de un nodo llega al switch y el switch ya aprendió su dirección MAC, dicha dirección se hace coincidir con una entrada de la tabla MAC y la trama se reenvía al puerto correspondiente. En lugar de saturar la trama hacia todos los puertos, el switch envía la trama al nodo de destino a través del puerto indicado. Esta acción se denomina reenvío.. Filtrado: En algunos casos, la trama no se reenvía. Este proceso se denomina filtrado de la trama. Uno de los usos del filtrado ya se describió: un switch no reenvía una trama al mismo puerto en el que llega. El switch también descartará una trama corrupta. Si una trama no aprueba la verificación CRC, dicha trama se descarta. Otra razón por la que una trama se filtra es por motivos de seguridad. Un switch tiene configuraciones de seguridad para bloquear tramas hacia o desde direcciones MAC selectivas o puertos específicos. Tipos de switch Switches de configuración fija.- no se pueden agregar características u opciones al switch más allá de las que originalmente vienen con el switch. Por ejemplo, si se adquiere un switch fijo gigabit de 24 puertos, no se pueden agregar puertos cuando se les necesite. Habitualmente, existen diferentes opciones de configuración que varían en cuanto al número y al tipo de puertos incluidos. Switches modulares.- ofrecen más flexibilidad en su configuración. Habitualmente, los switches modulares vienen con chasis de diferentes tamaños que permiten la instalación de diferentes números de tarjetas de línea modulares. Switches apilables.- Los switches apilables pueden interconectarse con el uso de un cable especial que otorga rendimiento de ancho de banda entre los switches. Características de los switchs Densidad de puerto La densidad de puerto es el número de puertos disponibles en un switch único. Los switches de configuración fija habitualmente admiten hasta 48 puertos en un único dispositivo, con opciones de cuatro puertos adicionales para dispositivos de factor de forma pequeños enchufables (SFP small form-factor pluggable, es un puerto donde colocas una interfaz, a la que llamas módulo, para conectar dos equipos de telecomunicaciones, normalmente switches o routers). Las altas densidades de puerto permiten un mejor uso del espacio y de la energía cuando la fuente de ambos es limitada. Si tiene dos switches y cada uno contiene 24 puertos, se podrían admitir hasta 46 dispositivos porque se pierde al menos un puerto por switch para conectar cada switch al resto de la red. Además, se requieren dos tomas de alimentación eléctrica. Por otro lado, si tiene un único switch con 48 puertos, se pueden admitir 47 dispositivos con un sólo puerto utilizado para conectar el switch con el resto de la red y sólo una toma de alimentación eléctrica es necesaria para incluir el único switch. Power over Ethernet Power over Ethernet (PoE) permite que el switch suministre energía a un dispositivo por el cableado de Ethernet existente. Esta característica puede utilizarse por medio de los teléfonos Planificación y Administración de Redes Conmutación IP y algunos puntos de acceso inalámbricos. PoE permite mayor flexibilidad al instalar los puntos de acceso inalámbricos y los teléfonos IP porque se los puede instalar en cualquier lugar donde se puede tender un cable de Ethernet. No es necesario considerar cómo suministrar energía eléctrica normal al dispositivo. Sólo se debe elegir un switch que admita PoE si realmente se va a aprovechar esa función, porque suma un costo considerable al switch. Velocidades de envío Las tasas de reenvío definen las capacidades de procesamiento de un switch mediante la estimación de la cantidad de datos que puede procesar por segundo el switch. Las líneas de productos con switch se clasifican según las tasas de reenvío Por ejemplo, un switch gigabit con 48 puertos que opera a una velocidad de cable completa genera 48 Gb/s de tráfico. Si el switch sólo admite una tasa de reenvío de 32 Gb/s, no puede ejecutar la velocidad de cable completa a través de todos los puertos de forma simultánea Agregado de enlaces El agregado de enlace ayuda a reducir cuellos de botella del tráfico al permitir la unión de hasta ocho puertos de switch para las comunicaciones de datos. Por ejemplo, considere un puerto Gigabit Ethernet, que transporta hasta 1 Gb/s de tráfico. Si tiene un switch con 24 puertos, con todos los puertos capaces de ejecutar a velocidades de gigabit, podría generar hasta 24 Gb/s de tráfico de red. Si el switch está conectado con el resto de la red a través de un único cable de red, puede sólo enviar 1 Gb/s de datos al resto de la red. Debido a la contención para el ancho de banda, los datos se enviarían con más lentitud. El resultado es una velocidad de cable de 1/24º disponible para cada uno de los 24 dispositivos conectados al switch. Funciones de la Capa 3 Normalmente, los switches operan en la Capa 2 del modelo de referencia OSI, donde pueden ocuparse principalmente de las direcciones MAC de los dispositivos conectados con los puertos del switch. Los switches de la Capa 3 ofrecen una funcionalidad a nivel 3 del modelo OSI. Los switches de la Capa 3 también reciben el nombre de switches multicapas. Seguridad de puerto La seguridad de puerto permite que el switch decida cuántos y qué dispositivos específicos se permiten conectar al switch VLAN Una VLAN (acrónimo de Virtual LAN, ‘Red de Área Local Virtual’) es un método de crear redes lógicamente independientes dentro de una misma red física. Varias VLANs pueden coexistir en un único conmutador físico o en una única red física. Son útiles para reducir el tamaño del Dominio de difusión y ayudan en la administración de la red separando segmentos lógicos de una red de área local (como departamentos de una empresa) que no deberían intercambiar datos usando la red local (aunque podrían hacerlo a través de un enrutador o un switch capa 3 y 4). ACL Planificación y Administración de Redes Conmutación Una Lista de control de acceso (ACL) permite que el switch impida ciertos tipos de tráfico y autorice otros. Las ACL también permiten controlar qué dispositivos de red pueden comunicarse en la red. El uso de las ACL es un procesamiento intensivo porque el switch necesita inspeccionar cada paquete y observar si coincide con una de las reglas de la ACL definida en el switch Calidad de servicio Los switches de capa de distribución también necesitan admitir QoS para mantener la prioridad del tráfico que proviene de los switches de capa de acceso que implementaron QoS. Las políticas de prioridad aseguran que se garantice el ancho de banda adecuado para las comunicaciones de audio y video a fin de mantener una calidad aceptable del servicio. Para mantener la prioridad de los datos de voz a través de la red, todos los switches que envían datos de voz deben admitir QoS; si la totalidad de los dispositivos de la red no admite QoS, sus beneficios se reducen. Esto produce rendimiento y calidad deficientes en las comunicaciones de video. Conmutación asimétrica o simétrica En un switch simétrico, todos los puertos cuentan con el mismo ancho de banda. La conmutación simétrica se ve optimizada por una carga de tráfico distribuida de manera uniforme, como en un entorno de escritorio entre pares. El administrador de la red debe evaluar la cantidad de ancho de banda que se necesita para las conexiones entre dispositivos a fin de que pueda adaptarse al flujo de datos de las aplicaciones basadas en redes. La mayoría de los switches actuales son asimétricos, ya que son los que ofrecen mayor flexibilidad, por ejemplo nos permite darle mayor ancho de banda al servidor y evitar cuellos de botella. Saturación de la dirección MAC La flooding de direcciones MAC es un ataque común. Recuerde que la tabla de direcciones MAC del switch contiene las direcciones MAC disponibles de un puerto físico determinado de un switch y los parámetros asociados para cada uno. Cuando un switch de la Capa 2 recibe una trama, el switch busca en la tabla de direcciones MAC la dirección MAC de destino. Todos los modelos de switches Catalyst utilizan una tabla de direcciones MAC para la conmutación en la Capa 2. A medida que las tramas llegan a los puertos del switch, las direcciones MAC de origen se aprenden y se registran en la tabla de direcciones MAC. Si existe una entrada para la dirección MAC, el switch envía la trama al puerto designado con esa dirección MAC en la tabla de direcciones MAC. Si la dirección MAC no existe, el switch actúa como un hub y envía la trama a todos los puertos del switch. Los ataques de sobrecarga de la tabla de direcciones MAC son también conocidos como ataques de flooding de MAC. Para comprender el mecanismo de un ataque de sobrecarga de la tabla de direcciones MAC, recuerde el funcionamiento básico del switch. La clave para entender cómo funcionan los ataques de sobrecarga de la tabla de direcciones MAC es saber que estas tablas poseen un límite de tamaño. Las flooding de MAC utilizan esta limitación para bombardear al switch con direcciones MAC falsas hasta que la tabla de direcciones MAC del switch esté llena. Luego el switch ingresa a lo que se conoce como modo de falla de apertura, comienza a actuar como un hub y envía paquetes de broadcast a todas las máquinas de la red. En consecuencia, el atacante puede ver todas las tramas enviadas por el host víctima a otro host que no posee una entrada en la tabla de direcciones MAC. Ataques de suplantación de identidad Una de las formas en que un atacante puede acceder al tráfico de la red es haciendo spoof sobre las respuestas enviadas por un servidor de DHCP válido. El dispositivo DHCP víctima de suplantación de identidad responde a las solicitudes de clientes de DHCP. El servidor legítimo también puede responder, pero si el dispositivo de suplantación de identidad está en el mismo segmento que el cliente, la respuesta de este último llegará primero. La respuesta del DHCP intruso ofrece una dirección IP e información de soporte que designa al intruso como la gateway predeterminada o como servidor de Sistema de nombres de dominios (DNS). En el caso de una gateway, los clientes envían paquetes al dispositivo atacante, el cual, en respuesta, los envía al destino deseado. Esto se conoce como ataque de intermediario y puede pasar totalmente desapercibido a medida que el intruso intercepta el flujo de datos de la red. Debe estar atento a otro tipo de ataque de DHCP denominado ataque de inanición de DHCP. La PC atacante solicita direcciones IP de manera continua a un servidor de DHCP real cambiando sus direcciones MAC de origen. Si da resultado, este tipo de ataque de DHCP Planificación y Administración de Redes Conmutación produce que todos los arrendamientos del servidor de DHCP real queden asignados, lo que provoca que los usuarios reales (clientes de DHCP) no puedan obtener una dirección IP. Solución: El snooping DHCP es una función que determina cuáles son los puertos de switch que pueden responder a solicitudes de DHCP. Los puertos se identifican como confiables o no confiables. Los puertos confiables pueden recibir todos los mensajes de DHCP, los no confiables sólo pueden recibir solicitudes. Los puertos confiables de los hosts se alojan en el servidor de DHCP o pueden ser un enlace hacia dicho servidor. Si un dispositivo malicioso de un puerto no confiable intenta enviar un paquete de respuesta de DHCP a la red, el puerto se desactiva. Esta función puede unirse con las opciones de DHCP donde la información del switch, como el ID de puerto o la solicitud de DHCP pueden insertarse en el paquete de solicitudes de DHCP. Ataques de Telnet Un atacante puede utilizar el protocolo de Telnet para acceder de manera remota a un switch de red. Se configuró una contraseña de inicio de sesión, esto proporciona un nivel de seguridad esencial y básico que ayuda a proteger el switch del acceso no autorizado. Sin embargo, no es un método seguro para proteger el acceso a las líneas vty. Existen herramientas disponibles que permiten que un atacante inicie un ataque de decodificación de contraseñas de fuerza bruta contra las líneas vty del switch. Ataque de contraseña de fuerza bruta La primer fase de un ataque de contraseña de fuerza bruta comienza con el uso de contraseñas comunes por parte del atacante y de un programa diseñado para intentar establecer una sesión de Telnet mediante todas las palabras del diccionario. Por suerte, el usuario es lo suficientemente listo como para no utilizar una palabra del diccionario, de modo que, por el momento, se encuentra a salvo. En la segunda fase del ataque de fuerza bruta, el atacante utiliza un programa que genera combinaciones de caracteres secuenciales para poder "adivinar" la contraseña. Si dispone del tiempo suficiente, un ataque de contraseña de fuerza bruta puede decodificar casi todas las contraseñas utilizadas. La acción más simple que puede llevarse a cabo para limitar la vulnerabilidad a los ataques de contraseña de fuerza bruta es cambiar la contraseña con frecuencia y utilizar contraseñas fuertes, que combinen letras en mayúscula y minúscula con números. Configuraciones más avanzadas permiten limitar las comunicaciones con las líneas vty mediante listas de acceso, pero eso excede el alcance de este curso. Ataque DoS Otro tipo de ataque de Telnet es el ataque de DoS. En un ataque de DoS, el atacante explota un desperfecto del software del servidor de Telnet que se ejecuta en el switch que torna al servicio de Telnet no disponible. Este tipo de ataque es en la mayoría de los casos una molestia, ya que evita que el administrador lleve a cabo las funciones de administración del switch. En general, las vulnerabilidades en el servicio de Telnet que permiten que ocurran los ataques de DoS se enfrentan mediante parches de seguridad Protocolo de Spanning Tree Cuando varios switch están ubicados en un árbol jerárquico sencillo, es poco probable que ocurran bucles de conmutación. Sin embargo, a menudo las redes conmutadas se diseñan con rutas redundantes para ofrecer más confiabilidad y tolerancia a fallas. Si bien se recomienda el uso de rutas redundantes, ellas pueden tener efectos colaterales indeseables. Los bucles de conmutación son uno de esos efectos. Los bucles de conmutación pueden ocurrir ya sea por diseño o por accidente, y pueden llevar tormentas de broadcast que rápidamente abrumen la red. Para contrarrestar la posibilidad de bucles, se proporcionan switches con un protocolo basado en los estándares llamado protocolo de spanning tree (Spanning Tree Protocol, STP). Cada switch en una LAN que usa STP envía un mensaje especial llamado unidades de datos del protocolo puente (Bridge Protocol Data Unit, BPDU) desde todos sus puertos para que los otros switches sepan de su existencia y elijan un puente raíz para la red. Los switches entonces usan un algoritmo spanning-tree (Spanning Tree Algorithm, STA) para resolver y desconectar las rutas redundantes. Cuando existen varias rutas entre dos dispositivos en la red y STP se ha deshabilitado en los switches, puede generarse un bucle de Capa 2. Si STP está habilitado en estos switches, que es lo que está predeterminado, el bucle de Capa 2 puede evitarse. Las tramas de Ethernet no poseen un tiempo de existencia (TTL, Time to Live) como los Planificación y Administración de Redes Conmutación paquetes IP que viajan por los routers. En consecuencia, si no finalizan de manera adecuada en una red conmutada, las mismas siguen rebotando de switch en switch indefinidamente o hasta que se interrumpa un enlace y elimine el bucle. Las tramas de broadcast se envían a todos los puertos de switch, excepto el puerto de origen. Esto asegura que todos los dispositivos del dominio de broadcast puedan recibir la trama. Si existe más de una ruta para enviar la trama, se puede generar un bucle sin fin. Los bucles producen una alta carga de CPU en todos los switches atrapados en el mismo. Ya que se envían las mismas tramas constantemente entre todos los switches del bucle, la CPU del switch debe procesar una gran cantidad de datos. Esto disminuye el rendimiento del switch cuando llega tráfico legítimo. Una tormenta de broadcast se produce cuando existen tantas tramas de broadcast atrapadas en un bucle de Capa 2 que se consume todo el ancho de banda disponible. En consecuencia, no existe ancho de banda disponible para el tráfico legítimo y la red queda no disponible para la comunicación de datos. El protocolo spanning tree (STP) fue desarrollado para enfrentar estos inconvenientes. STP asegura que exista sólo una ruta lógica entre todos los destinos de la red, al bloquear de forma intencional aquellas rutas redundantes que puedan ocasionar un bucle. Un puerto se considera bloqueado cuando el tráfico de la red no puede ingresar ni salir del puerto. Esto no incluye las tramas de unidad de datos del protocolo de puentes (BPDU) utilizadas por STP para evitar bucles. Aprenderá más acerca de las tramas de BPDU de STP más adelante en este capítulo. El bloqueo de las rutas redundantes es fundamental para evitar bucles en la red. Las rutas físicas aún existen para proporcionar la redundancia, pero las mismas se deshabilitan para evitar que se generen bucles. Si alguna vez la ruta es necesaria para compensar la falla de un cable de red o de un switch, STP vuelve a calcular las rutas y desbloquea los puertos necesarios para permitir que la ruta redundante se active. Algoritmo STP STP utiliza el algoritmo spanning tree (STA) para determinar los puertos de switch de la red que deben configurarse para el bloqueo, y así evitar que se generen bucles. El STA designa un único switch como puente raíz y lo utiliza como punto de referencia para todos los cálculos de rutas. Después de determinar el puente raíz, el STA calcula la ruta más corta hacia el mismo. Todos los switches utilizan el STA para determinar los puertos que deben bloquearse. El STA considera los costos tanto de la ruta como del puerto cuando determina la ruta que debe permanecer desbloqueada. Los costos de la ruta se calculan mediante los valores de costo de puerto asociados con las velocidades de los puertos para cada puerto de switch que atraviesa una ruta determinada. La suma de los valores de costo de puerto determina el costo de ruta total para el puente raíz. Si existe más de una ruta a escoger, el STA elige la de menor costo de ruta Cada puerto de un switch que usa protocolo de spanning- tree se encuentra en uno de los cinco estados siguientes: • Bloquear • Escuchar • Aprender • Enviar • Desactivar Variantes de STP Al igual que con muchos estándares de redes, la evolución de STP se ha enfocado en la necesidad de crear especificaciones para toda la industria cuando los protocolos de propiedad son estándares de hecho. Cuando un protocolo de propiedad es tan predominante que todos sus competidores del mercado deben contar con soporte para el mismo, las agencias como el IEEE intervienen y crean una especificación pública. Protocolo spanning tree por VLAN (PVST) : Mantiene una instancia de spanning-tree para cada VLAN configurada en la red. Utiliza el protocolo de enlace troncal ISL propiedad de Cisco que permite que un enlace troncal de la VLAN se encuentre en estado de enviar para algunas VLAN y en estado de bloqueo para otras. Hay dos versiones mejoradas: PVST+ y PVST+ rápido. Planificación y Administración de Redes Conmutación Protocolo Rapid spanning tree (RSTP): Se introdujo por primera vez en 1982 como evolución de STP (estándar 802.1D). Proporciona una convergencia de spanning-tree más veloz después de un cambio de topología. STP múltiple (MSTP): permite que se asignen VLAN múltiples a la misma instancia de spanning-tree, de modo tal que se reduce la cantidad de instancias necesarias para admitir una gran cantidad de VLAN. Protocolo CDP CDP (Cisco Discovery Protocol, ‘protocolo de descubrimiento de Cisco’, es un protocolo de red propietario de nivel 2, desarrollado por Cisco Systems y usado en la mayoría de sus equipos. Es utilizado para compartir información sobre otros equipos Cisco directamente conectados, tal como la versión del sistema operativo y la dirección IP. CDP también puede ser usado para realizar encaminamiento bajo demanda (ODR, On-Demand Routing), que es un método para incluir información de encaminamiento en anuncios CDP, de forma que los protocolos de encaminamiento dinámico no necesiten ser usados en redes simples.
