CCNA3v7 ENSA

CCNA SRWE ENSA
1. Componentes de OSPF
Routing Protocol Message
Los routers que ejecutan OSPF intercambian mensajes para transmitir

información de enrutamiento por medio de cinco tipos de paquetes:
• Hello
• Database description
• Link-state request
• Link-state update
• Link-state acknowledgment
Data structure
Los mensajes OSPF se utilizan para crear y mantener tres bases de datos
OSPF:
• Adjacency database : Crea la tabla de vecinos
• Link-state database (LSDB) : Crea la tabla de topología
• Forwarding database : Crea la tabla de enrutamiento
Estas tablas contienen una lista de routers vecinos para intercambiar

información de enrutamiento. Las tablas se almacenan y mantienen en RAM.
Base de
Tabla Descripción
datos
• Lista de todos los routers vecinos a los que
se ha conectado un router.
Base de datos Tabla de
de adyacencia vecinos • Esta tabla es única para cada router.
• Se puede ver con show ip ospf neighbor
• Muestra información sobre los otros
routers en la red.
• Esta base de datos representa la topología
Base de datos de la red.
Tabla de
de estado de
topología • Todos los routers dentro de un área tienen
enlace (LSDB)
LSDB idénticas.
• Se puede ver con el comando show ip
ospf database.
• Lista de rutas generada cuando se ejecuta
un algoritmo en la base de datos de
estado de enlace. OSPF.
Base de datos Tabla de • La tabla de enrutamiento de cada router
de reenvío enrutamient es única y contiene información sobre
(forwarding) o cómo y dónde enviar paquetes a otros
routers.
• Se puede ver con el comando show ip
route
Algorithm
El router arma la tabla de topología; para ello, utiliza los resultados de cálculos
realizados a partir del algoritmo SPF (Shortest-Path First , Primero la ruta más
corta) de Dijkstra. El algoritmo SPF se basa en el costo acumulado para llegar
a un destino.
El algoritmo SPF crea un árbol SPF posicionando cada router en la raíz del
árbol y calculando la ruta más corta hacia cada nodo. Luego, el árbol SPF se
usa para calcular las mejores rutas
Funcionamiento de estado de enlace
Proceso Link-State para alcanzar la convergencia:

1. Establecimiento de adyacencias de vecino.
2. Intercambio de anuncios link-state
3. Crear la Link-State DataBase (LSDB)
4. Ejecución de SPF
5. Elegir la mejor ruta
1. Establecimiento de adyacencias de vecinos (Neighbor

Adjacencies)
Los routers envían paquetes hello por todas las interfaces con OSPF habilitado,
para determinar si hay vecinos presentes.
2. Intercambio de anuncios de estado de enlace

Después de establecer las adyacencias, los routers intercambian anuncios de
estado de enlace (LSA). Las LSA contienen el estado y el costo de cada enlace
conectado directamente. Los routers saturan a los vecinos hasta que todos
tengan todas los LSA.
3. Crear la base de datos link-state LSDB

Los routers crean la tabla de topología (LSDB) en función de los LSA recibidos.
Esta base de datos finalmente contiene toda la información sobre la topología
OSPF.
4. Ejecución del algortimo SPF

Los router ejecutan el algoritmo SPF.
5. Elija la mejor ruta

La ruta será insertada en la tabla de enrutamiento, a menos que haya un
origen de rutas a la misma red con una distancia administrativa menor, como
una ruta estática.
OSPF de área única y OSPF multiárea

Single-Area and Multiarea OSPF
Un área OSPF es un grupo de routers que comparten la misma información
link-state en sus LSDB. OSPF se puede implementar de una de estas dos
maneras:
• Single-Area OSPF : Todos los router están en el mismo área.
Recomendable área cero “0”
• Multiarea OSPF : OSPF se implementa mediante varias áreas, de
manera jerárquica. Todas las áreas deben conectarse al área troncal,
backbone (área 0). Los routers que interconectan las áreas se
denominan “Area Border Routers” (ABR).
Single Área:
Multiple área:
OSPF multiárea
OSPF puede dividir un dominio de enrutamiento grande en áreas más

pequeñas a fin de admitir el enrutamiento jerárquico. El enrutamiento todavía
ocurre entre las áreas (enrutamiento entre áreas), mientras que muchas de las
operaciones de enrutamiento que son intensivas para el procesador, como el
recálculo de la base de datos, se mantienen dentro de un área.
Cada vez que un router recibe información nueva acerca de un cambio de
topología dentro del área el router debe volver a ejecutar el algoritmo SPF,
crear un nuevo árbol SPF y actualizar la tabla de routing. El algoritmo SPF
representa una gran exigencia para el CPU y el tiempo que le toma realizar los
cálculos depende del tamaño del área.
Los routers en otras áreas reciben actualizaciones sobre los cambios de

topología, pero estos routers solo actualizan la tabla de enrutamiento, no
vuelven a ejecutar el algoritmo SPF..
Ventajas de OSPF Multiárea:

• Tablas de enrutamiento más pequeñas. La sumarización no está
habilitada por defecto.
• Se reduce la sobrecarga en actualizaciónes link-state en procesamiento y
memoria
• Menor frecuencia de cálculos SPF. La saturación de LSA por cambios en
la topología no sobrepasa el límite del área.
OSPFv3 – IPv6
Es la version de OSPF que intercambia prefijos IPv6, y también soporta IPv4.
Recuerde que, en IPv6, la dirección de red se denomina “prefijo” y la máscara
de subred se denomina “longitud de prefijo”.
Tipos de paquetes OSPF
Los paquetes link-state (LSP) son la herramienta de OSPF para determinar la

ruta más rápida, para establecer y mantener adyacencias de vecinos, así como
para intercambiar actualizaciones de enrutamiento. Cada paquete cumple una
función específica:
1. Hello : Establece y mantiene l adyacencia
2. DataBase Description (DBD) : Contiene una lista abreviada de la
LSDB del router emisor, y los routers receptores la usan para compararla
con la LSDB local. Para crear un árbol SPF preciso, la LSDB debe ser
idéntica en todos los routers dentro de un área.
3. Link-State Request (LSR) : Los routers receptores pueden requerir
más información sobre cualquier entrada de la DBD mediante el envío de
un LSR.
4. Link-State Update (LSU) : Se utiliza para responder a los LSR y para
anunciar nueva información. LSUs contienen varios tipos diferentes de
LSA.
5. Link-State Acknowledgement (LSAck) : cuando se recibe una LSU, el
router envía un LSAck para confirmar la recepción de la LSU. El campo
de datos del LSAck está vacío.
Link-State Updates
Los paquetes LSU también se usan para reenviar actualizaciones de routing

OSPF, como cambios de enlace. Específicamente, un paquete LSU puede
contener 11 tipos diferentes de LSA OSPFv2.
Paquete Hello
Los paquetes Hello se utilizan para hacer lo siguiente:

• Descubrir vecinos OSPF y establecer adyacencias de vecinos.
• Anunciar parámetros en los que dos routers deben acordar convertirse

en vecinos.
• Elige el router designado, Designated Router (DR) y el router designado
de respaldo, Backup Designated Router (BDR) en redes multiacceso,
como Ethernet. Los enlaces punto a punto no requieren DR o BDR.
Contenido del paquete hello de OSPF
Estados de funcionamiento de OSPF
Cuando un router OSPF se conecta inicialmente a una red, intenta hacer lo

siguiente: Cuando un router OSPF se conecta inicialmente a una red, intenta
hacer lo siguiente:
• Crear adyacencias con los vecinos
• Intercambiar información de enrutamiento
• Calcular las mejores rutas
• Lograr la convergencia
Estados de OSPF hasta alcanzar la convergencia:
State Description
No Hello packets received = Down.
Down State Router sends Hello packets.
Transition to Init state.
Hello packets are received from the neighbor.
Init State They contain the Router ID of the sending router.
Transition to Two-Way state.
In this state, communication between the two routers is
Two-Way bidirectional.
State On multiaccess links, the routers elect a DR and a BDR.
Transition to ExStart state.
On point-to-point networks, the two routers decide which
ExStart State router will initiate the DBD packet exchange and decide upon
the initial DBD packet sequence number.
Routers exchange DBD packets.
Exchange
State If additional router information is required then transition to
Loading; otherwise, transition to the Full state.
LSRs and LSUs are used to gain additional route information.
Loading
Routes are processed using the SPF algorithm.
State
Transition to the Full state.
Full State The link-state database of the router is fully synchronized.
Establecimiento de adyacencias de vecinos
Cuando se habilita OSPF en una interfaz, el router debe determinar si existe
otro vecino OSPF en el enlace. Para hacerlo, el router reenvía un paquete de
hello con la ID del router por todas las interfaces con OSPF habilitado. El
paquete Hello se envía a todos los routers OSPF por la dirección de multicast
reservada IPv4 224.0.0.5. Sólo los routers OSPFv2 procesarán estos paquetes.
El proceso OSPF utiliza la ID del router OSPF de 32 bits que se asigna para
identificar un router.
De estado Down a estado init:

Cuando se habilita OSPFv2 en la interfaz, el Router envía paquetes hello para
crear adyancencias.
Estado init :
Los router que reciben un paquete hello y no están en su lista, lo agregan y
responden con un hello para establecer adyacencias.
Estado Two-Way :
Cuando un router recibe un paquete hello en el que se indica su router ID en la
lista de vecinos, el router pasa del estado Init al estado Two-Way.
La acción realizada en el estado Two-Way depende del tipo de interconexión de
los routers adyacentes:
• Si los dos vecinos adyacentes están interconectados a través de un
enlace punto a punto, inmediatamente pasan del estado Two-Way al
estado ExStart.
• Si los routers se interconectan a través de una red Ethernet común, se
debe elegir un router designado DR y un BDR.
Eleccion DR y BDR :
Este proceso tiene lugar solo en las redesEthernet Multiacceso.
Sincronización de bases de datos OSPF
Después del estado Two-Way, los routers pasan a los estados de sincronización
de bases de datos. Todos los paquetes excepto hello, se utilizan para el
intercambio y actualizacion de LSDB. Este es un proceso de tres pasos :
1. Decidir el primer router
2. Intercambio DBD
3. Enviar un LSR
Decidir el primer router

En el estado ExStart, los dos routers deciden qué router enviará los paquetes
DBD primero. El que tenga la ID de router más alta será el primer router que
enviará paquetes DBD durante el estado Exchange :
Intercambio DBD
En el estado Exchange los router intercambian paquetes DBD. Un paquete DBD
incluye información acerca del encabezado de la entrada de LSA que aparece
en la LSDB del router. Las entradas pueden hacer referencia a un enlace o a
una red. Cada encabezado de entrada de LSA incluye información acerca del
tipo de estado del enlace, la dirección del router que realiza el anuncio, el
costo del enlace y el número de secuencia. El router usa el número de
secuencia para determinar qué tan nueva es la información de estado de
enlace recibida.
Enviar un LSR
Si el paquete DBD tiene una entrada de estado de enlace más actual, el router
pasa al estado Loading.
Después de cumplir con todas las LSR para un router determinado, los routers
adyacentes se consideran sincronizados y en estado Full. Las actualizaciones
(LSU) se envían sólo a los vecinos en las condiciones siguientes:
• Cuando hay cambios (actualizaciones incrementales)
• Cada 30 minutos
La necesidad de un DR
Las redes multiacceso pueden crear dos retos para OSPF en relación con la
saturación de las LSA:
• Creación de varias adyacencias : podrían interconectar muchos
routers OSPF con un enlace común anyacencias innecesarias y excesiva
cantidad de LSA.
• Saturación intensa con LSA: Los router saturan de LSA cuando inicia
OSPF o hay cambios en la topología, generando una excesiva saturación
de LSA.
Para cualquier número de routers (designados como n) en una red

multiacceso, hay n (n — 1)/2 adyacencias.
Por ejemplo, en una topología simple de cinco routers, todos están conectados
a la misma red Ethernet de acceso múltiple. Sin ningún tipo de mecanismo
para reducir la cantidad de adyacencias, estos routers en forma colectiva
formarán 10 adyacencias:
5 (5 – 1) / 2 = 10
LSA Flooding with a DR

LSA y DR
En las redes multiacceso, OSPF elige un DR como punto de recolección y
distribución de las LSA enviadas y recibidas. También se elige un BDR en caso
de que falle el DR. Todos los otros routers se convierten en DROTHER. Un
DROTHER es un router que no funciona como DR ni como BDR.
2. Topología OSPF de referencia

Nota: En esta topología, la interfaz loopback se utiliza para simular el enlace
WAN a Internet y una LAN conectada a cada router. Esto se hace para permitir
que esta topología se duplique con fines de demostración en routers que solo
tienen dos interfaces Gigabit Ethernet.
Modo de configuración de OSPF del router
OSPFv2 se habilita con el comando router ospf pprocess-id. El valor

_process-id representa un número entre 1 y 65.535 y lo selecciona el
administrador de la red. El valor de process-id tiene importancia en el ámbito
local, lo que significa que no necesita ser el mismo valor en los demás routers
OSPF para establecer adyacencias con esos vecinos. Se considera una práctica
recomendada utilizar el mismo process-id en todos los routers OSPF.
Router IDs
El router ID de OSPF es un valor de 32 bits, se utilizan para identificar un

router OSPF. Todos los paquetes OSPF incluyen el router ID del router de
origen. Para participar en un dominio OSPF, cada router requiere un router ID.
El router ID puede estar definido por un administrador o puede ser asignado
en forma automática por el router. El router ID es utilizada por un router
habilitado por OSPF para hacer lo siguiente:
• Participar en la sincronización de bases de datos OSPF : durante el
estado de Exchange, el router con el ID más alto enviará primero sus
paquetes DataBase Description (DBD)
• Participar en la elección del router designado (DR) : En un entorno
LAN multiacceso, el router con el ID más alto se elige el DR. El
dispositivo de enrutamiento con el segundo router ID más alto, se elige
como Backup Designated Router (BDR).
Orden de prioridad del router ID
Los routers Cisco obtienen el router ID sobre la base de uno de tres criterios,
en el siguiente orden de preferencia:
1. Mediante el comando router-id rid. El valor rid es cualquier valor de 32
bits expresado como una dirección IPv4. Este es el método recomendado
2. El router elige la dirección IPv4 más alta de cualquiera de las interfaces
loopback configuradas.
3. El router elige la dirección IPv4 activa más alta de cualquiera de sus
interfaces físicas. Este es el método menos recomendado
Configuración de una interfaz loopback como el router ID
Configurar explícitamente un router ID
Modificación del router ID

Después de que un router selecciona el router ID, un router OSPF activo no
permitirá que el router ID cambie, hasta que el router se reinicie o el proceso
de OSPF sea restablecido.
Aparece un mensaje informativo que indica que se debe borrar el proceso
OSPFv2 o se debe volver a cargar el router. La razón es porque R1 ya tiene
adyacencias con otros vecinos que usan el router ID 10.10.1.1. Se deben
volver a negociar esas adyacencias utilizando el nuevo router ID 1.1.1.1.
Utilice el clear ip ospf process.
Redes punto a punto OSPF

Se puede especificar las redes point-to-point con el comando network.
También se puede configurar OSPF en la interfaz directamente con el comando
ip ospf.
Ambos comandos se usa para identificar que interfaces participan en el
enrutamiento OSPFv2.
La Máscara Wildcard
Es la inversa de la máscara de subred. Para calcular la máscara wildcard hay
que restar la máscara de subred a 255.255.255.255.
Configurar OSPF con el comando network
Cualquier interfaz activa configurada con una dirección IPv4 perteneciente a
esa red, participará en el proceso de enrutamiento OSPFv2.
Configure OSPF utilizando el comando ip ospf
Para configurar OSPF directamente en la interfaz se usa ip ospf process-id

area area-id
Interfaz pasiva
De manera predeterminada, los mensajes OSPF se reenvían por todas las

interfaces con OSPF habilitado. Sin embargo, estos mensajes solo necesitan
enviarse por las interfaces que se conectan a otros routers con OSPF
habilitado.
El envío de mensajes innecesarios en una LAN afecta la red de tres maneras:
• Consume ancho de banda innecesariamente
• Los dispositivos dedican recursos en el procesamiento para descartar

posteriormente
• Riesgo en la seguridad; Las actualizaciones de enrutamiento se pueden
modificar y enviar de regreso al router, lo que daña la tabla de
enrutamiento con métricas falsas que direccionan erróneamente el
tráfico.
Configuración de interfaces pasivas
Para evitar el envío de mensajes de enrutamiento a través de una interfaz del

router utilizamos dentro del proceso de configuración de OSPF el comando
passive-interface interface-id.
Para verificar si una interfaz está en modo pasivo utilizamos el comando show
ip protocols.
Para establecer todas las interfaces como pasivas utilizamos el comando
passive-interface default
Redes punto a punto OSPF
De forma predeterminada, los routers Cisco eligen DR y BDR en las interfaces

Ethernet, incluso si solo hay otro dispositivo en el enlace.
Para deshabilitar la elección de DR y BDR en redes poinit-to-point utilizamos el
comando ip ospf network point-to-point en cada interface.
Loopbacks y redes punto a punto
Para simular una LAN real, la interfaz Loopback 0 se configura como una red
punto a punto para que R1 anuncie la red 10.10.1.0/24
Redes OSPF de acceso múltiple
Las redes OSPF multiacceso son únicas, ya que un router controla la

distribución de los LSA (DR).
El DR es responsable de recolectar y distribuir los LSA enviados y recibidos. El
DR usa la dirección IPv4 multicast 224.0.0.5 que está destinada a todos los
routers OSPF.
El BDR escucha pasivamente y mantiene una relación con todos los routers. Si
el DR deja de producir paquetes Hello, el BDR se asciende a sí mismo y asume
la función de DR.
Los router que no son ni DR ni BDR son DROther. Todos los DROther utilizan la
dirección multicast 224.0.0.6 que es donde están los DR y BDR escuchando.
Topología de referencia de acceso múltiple OSPF

Verificar las funciones del router OSPF
Resultado generado por R1 DROTHER :

• El R1 no es el DR ni el BDR, sino un DROTHER con una prioridad
predeterminada de 1
• El DR es el R3 con el router ID 3.3.3.3 en la dirección IPv4 192.168.1.3;
el BDR es el R2 con el router ID 2.2.2.2 en la
dirección IPv4 192.168.1.2. (Líneas 8 y 9)
• El R1 tiene dos adyacencias: una con el BDR y otra con el DR. (Líneas 20
a 22)
Resultado generado por R2 BDR :
• El R2 es el BDR, con una prioridad predeterminada de 1. (Line 7)

dirección IPv4 192.168.1.2. (Líneas 8 y 9)
• El R2 tiene dos adyacencias, una con un vecino que tiene el router ID
1.1.1.1 (R1) y la otra con el DR. (Lines 20-22)
Resultado generado por R3 DR :
• El R3 es el DR, con una prioridad predeterminada de 1. (Line 7)

dirección IPv4 192.168.1.2. (Lines 8 and 9)
• El R3 tiene dos adyacencias, una con un vecino que tiene la ID de router
1.1.1.1 (R1) y la otra con el BDR. (Lines 20-22)
Verificación de las adyacencias del DR/BDR
Show ip ospf neighbor → Muestra adyacencias OSPF. El estado de los

vecinos en las redes de acceso múltiple puede ser el siguiente:
• FULL/DROTHER : Este es un router DR o BDR que está completamente
adyacente con un router que no sea DR o BDR. Estos dos vecinos pueden
intercambiar paquetes Hello, actualizaciones, consultas, respuestas y
acuses de recibo.
• FULL/DR : El router está completamente adyacente con el vecino DR
indicado. Estos dos vecinos pueden intercambiar paquetes Hello,
actualizaciones, consultas, respuestas y acuses de recibo.
• FULL/BDR : El router es completamente adyacente con el vecino BDR
indicado. Estos dos vecinos pueden intercambiar paquetes Hello,
actualizaciones, consultas, respuestas y acuses de recibo.
• -WAY/DROTHER : El router que no es DR o BDR tiene una relación
vecina con otro router no DR o BDR. Estos dos vecinos intercambian
paquetes Hello.
El estado normal de un router OSPF suele ser FULL. Si un router está atascado
en otro estado, es un indicio de que existen problemas en la formación de
adyacencias. La única excepción a esto es el estado 2-WAY, que es normal en
una red broadcast multiacceso. Por ejemplo, los DROTHERs formarán una
adyacencia vecina de 2-Way con cualquier DROTHER que se una a la red.
Cuando esto sucede, el estado vecino se muestra como 2-WAY/DROTHER.
Adyacencias confirmadas en R1:
• El R2 con el router ID 2.2.2.2 está en estado Full y cumple la función de
BDR.
DR.

• El R1 con el router ID 1.1.1.1 está en estado Full, y su función no es ni
DR ni BDR.
• l R3 con el router ID 3.3.3.3 está en estado Full y cumple la función de
DR.

• El R1 con el router ID 1.1.1.1 está en estado Full, y su función no es ni
DR ni BDR.
BDR.
La decisión de elección del DR y el BDR OSPF se hace según los

siguientes criterios, en orden secuencial:
1. Los routers en la red seleccionan como DR al router con la prioridad de
interfaz más alta. El router con la segunda prioridad de interfaz más alta
se elige como BDR. La prioridad puede configurarse para que sea
cualquier número entre 0 y 255. Si el valor de prioridad de la interfaz se
establece en 0, esa interfaz no se puede elegir como DR ni BDR. La
prioridad predeterminada de las interfaces broadcast de acceso múltiple
es 1. Por lo tanto, a menos que se configuren de otra manera, todos los
routers tienen un mismo valor de prioridad y deben depender de otro
método de diferenciación durante la elección del DR/BDR.
2. Si las prioridades de interfaz son iguales, se elige al router con la ID más
alta como DR. El router con la segunda ID más alta es el BDR.
El router ID se determina de una de las siguientes tres maneras:

1. Configurar manualmente con router-id
2. La dirección IPv4 de loopback más alta
3. La dirección IPv4 activa más alta
El proceso de elección sólo toma unos pocos segundos. Si no terminaron de

arrancar todos los routers en la red multiacceso, es posible que un router con
un router ID más bajo se convierte en el DR.
Recuperación y Falla de DR
Una vez que se elige el DR, permanece como tal hasta que se produce una de
las siguientes situaciones:
• El DR falla.
• El proceso OSPF en el DR falla o se detiene.
• La interfaz multiacceso en el DR falla o se apaga.
Después de que un BDR es promovido a DR, se produce una nueva elección de

BDR, y el DROTHER con la mayor prioridad o router ID se elige como el nuevo
BDR.
El comando ip ospf priority
Configurar el router ID puede ayudar a controlar el proceso de elección de DR

y BDR pero en redes grandes es demasiado complejo.
Es mejor controlar la elección mediante el establecimiento de prioridades de
interfaz. Esto también permite que un router sea el DR en una red y un
DROTHER en otra. Para establecer la prioridad de una interfaz, utilice el
comando ip ospf priority value, donde value es 0 a 255. Un valor de 0 no se
convierte en DR o BDR. Un valor de 1 a 255 en la interfaz hace más probable
que el router se convierta en DR o BDR.
Configurar la prioridad OSPF
Según la topología anterior:

• El R1 debe ser el DR y se configura con una prioridad de 255.
• El R2 debe ser el BDR y se le deja la prioridad predeterminada de 1.
• El R3 nunca debe ser un DR ni BDR y se configura con una prioridad de

0.
Cambie la prioridad de la interfaz R1 G0/0/0 de 1 a 255.
Cambie la prioridad de la interfaz R3 G0/0/0 de 1 a 0.
El comando clear ip ospf process debe ejecutarse en los 3 router para que se
inicie de nuevo el preceso de elección de DR y BDR.
Ahora R1 es DR, R3 es BDR y R2 es DROTHER

debug ip ospf adj → Para monitorear adyacendias
Métrica de costos OSPF de Cisco

Un protocolo de enrutamiento utiliza una métrica para determinar la mejor
ruta de un paquete a través de una red. OSPF utiliza el costo como métrica.
Cuando el costo es menor, la ruta es mejor que una con un costo mayor.
La fórmula que se usa para calcular el costo de OSPF es la siguiente:
Cost = reference bandwidth / interface bandwidth
El ancho de banda de referencia predeterminado es 10 8 (100,000,000); por lo

tanto, la fórmula es:
Cost = 100,000,000 bps / interface bandwidth in bps
Debido a que el valor del costo OSPF debe ser un número entero, las interfaces
FastEthernet, Gigabit Ethernet y 10 GigE comparten el mismo costo. Para
corregir esta situación, puede :
• Ajustar el ancho de banda de referencia con auto-cost reference-
bandwidth en cada router OSPF.
• Establecer manualmente el valor de costo OSPF con ip ospf cost en las
interfaces necesarias.
Costos predeterminados de Cisco OSPF
Debido a que el valor del costo OSPF debe ser un número entero, las interfaces
FastEthernet, Gigabit Ethernet y 10 GigE comparten el mismo costo.
Ajuste el ancho de banda de referencia

Si se calcula un valor menor que un número entero, OSPF redondea al número
entero más cercano hacia arriba.
Para ayudar a OSPF a determinar la ruta correcta, se debe cambiar el ancho de
banda de referencia a un valor superior a fin de admitir redes con enlaces más
rápidos que 100 Mbps.
El cambio del ancho de banda de referencia en realidad no afecta la capacidad
de ancho de banda en el enlace, sino que simplemente afecta el cálculo
utilizado para determinar la métrica. Para ajustar el ancho de banda de
referencia, use el comando de configuración del router auto-cost reference-
bandwidth
Se debe configurar este comando en cada router en el dominio OSPF.

el valor se expresa en Mbps; por lo tanto, para ajustar los costos:
• Gigabit Ethernet : auto-cost reference-bandwidth 1000
• 10 Gigabit Ethernet : auto-cost reference-bandwidth 10000.
Para volver al ancho de banda de referencia predeterminado auto-cost

reference-bandwidth 100
El ancho de banda de referencia debe ajustarse cada vez que haya enlaces
más rápidos que FastEthernet (100 Mbps).
Interface Reference Bandwidth in Default Bandwidth in

Cost
Type bps bps
10 Gigabit
Ethernet 10,000,000,000 ÷ 10,000,000,000 1
10 Gbps
Gigabit
Ethernet 1 10,000,000,000 ÷ 1,000,000,000 10
Gbps
Fast Ethernet
10,000,000,000 ÷ 100,000,000 100
100 Mbps
Ethernet
10,000,000,000 ÷ 10,000,000 1000
10 Mbps
Para verificar el costo asignado a una interfaz utilzamos el comando show ip

ospf interface interface-id.
muestra un costo de 1. Luego, después de ajustar el ancho de banda de
referencia, el costo es ahora 10.
Costos acumulados de OSPF
El costo de una ruta de OSPF es el valor acumulado desde un router hasta la
red de destino. Suponiendo que el comando auto-cost reference-bandwidth
10000 se haya configurado en los tres routers, el costo de los enlaces entre
cada router es ahora 10. Las interfaces loopback tienen un costo
predeterminado de 1.
El costo total de R1 para alcanzar la red 10.10.2.0/24 es 11. Esto se debe a

que el costo del enlace a R2 = 10 y el costo predeterminado del loopback = 1.
La tabla de enrutamiento de R1 en la Figura 2 confirma que la métrica para
llegar a la LAN de R2 es un costo de 11.
Establecer manualmente el valor de costo OSPF
Los valores de costo OSPF se pueden manipular para influir en la ruta elegida
por OSPF. Aquí vemos balanceo de carga para alcanzar la res 10.1.1.8/30
Para cambiar el valor de costo notificado por el router OSPF local a otros
routeres OSPF, utilice el comando de configuración de interfaz ip ospf cost
value.
En la figura, tenemos que cambiar el costo de las interfaces de loopback a 10
para simular velocidades Gigabit Ethernet. Además, cambiaremos el costo del
enlace entre R2 y R3 a 30 para que este enlace se use como enlace
backup/respaldo.
R1 ya no balancea la carga en la red 10.1.1.8/30. De hecho, todas las rutas
pasan por R2
Aunque utilizar el ip ospf cost comando es el método recomendado para

manipular los valores de costo OSPF, un administrador también podría hacerlo
mediante el comando interface configuration bandwidth kbps Sin embargo,
eso solo funcionaría si todos los routers son routers Cisco.
Intervalos de los paquetes Hello
Los paquetes Hello se transmiten a la dirección multicast 224.0.0.5 cada 10

segundos. Este es el valor predeterminado en redes point-to-point y
multiacceso.
Las interfaces LAN se deben configurar como passive-interfaces para no
enviar paquetes Hello.
El intervalo Dead es el período que el router espera para recibir un paquete
Hello antes de declarar al vecino como inactivo. Si el intervalo Dead caduca
antes de que los routers reciban un paquete Hello, OSPF elimina ese vecino de
su base de datos (LSDB). El router satura la LSDB con información acerca del
vecino inactivo por todas las interfaces con OSPF habilitado. Cisco usa un valor
predeterminado de 4 veces el intervalo Hello. Esto es 40 segundos en redes de
acceso múltiple y punto a punto.
En redes Non Broadcast MultiAccess el intervalo de los paquetes Hello es de
30 el de dead de 120 segundos.
Verificar los intervalos Hello y Dead
Los intervalos Hello y Dead de OSPF pueden configurarse por interfaz. Los
intervalos de OSPF deben coincidir, de lo contrario, no se crea una adyacencia
de vecino. Para verificar los intervalos de interfaz OSPFv2 configurados
actualmente, use el show ip ospf interface.
Los intervalos Hello y Dead Gigabit Ethernet 0/0/0 están configurados en los
10 segundos y 40 segundos predeterminados
Utilice show ip ospf neighbor para ver el intervalo Dead contando atrás
desde 40 segundos.
Modificar los intervalos de OSPFv2
Quizá se deseen cambiar los temporizadores de OSPF para que los routers
detecten fallas en las redes en menos tiempo. Esto incrementa el tráfico, pero
a veces la necesidad de convergencia rápida es más importante que el tráfico
adicional que genera.
Los intervalos predeterminados Hello y Dead se basan en las mejores prácticas
y solo deben modificarse en situaciones poco frecuentes.
Los intervalos de Hello y Dead de OSPFv2 pueden modificarse manualmente

mediante los siguientes comandos :
Para volver a los valores por defecto se antepone “no” a los comandos
aneriores.
Inmediatamente después de cambiar el intervalo Hello, Cisco IOS modifica de
manera automática el intervalo Dead por un valor equivalente al cuádruple del
intervalo Hello
Propagación de ruta predeterminada

Los usuarios de la red deberán enviar paquetes fuera de la red a redes que no
sean OSPF, como Internet. Aquí es donde necesitará tener una ruta estática
predeterminada. El router conectado a Internet a veces se llama edge router
(router de borde) o gateway router . Sin embargo, en la terminología de OSPF,
el router ubicado entre un dominio de enrutamiento OSPF y una red que no es
OSPF también se denomina “router de frontera de sistema autónomo”
(Autonomous System Boundary Router, ASBR).
Para propagar una ruta predeterminada, el router de borde (R2) debe

configurarse con lo siguiente:
• Una ruta estática predeterminada, mediante el ip route 0.0.0.0 0.0.0.0
[next-hop-address | exit-intf]
• El comando default-information originate propaga la ruta estática
predeterminada en las actualizaciones de OSPF.
Al configurar rutas estáticas, se recomienda utilizar la dirección IP de salto
siguiente.
Verificación de OSPFv2 de área única
Los dos comandos siguientes son particularmente útiles para verificar el

enrutamiento:
show ip interface brief : Verifica estado y direccionamiento
show ip route : Verifica que la tabla de enrutamiento contiene las rutas
esperadas
Comandos adicionales para determinar que OSPF funciona como se esperaba:
• show ip ospf neighbor
• show ip protocols
• show ip osp
• show ip ospf interface
Si dos routers no establecen una adyacencia, no se intercambia la información

de estado de enlace. Las LSDB incompletas pueden producir imprecisiones en
los troncales SPF y en las tablas de enrutamiento.
Un router que no sea DR o BDR que tenga una relación de vecino con otro
router que no sea DR o BDR mostrará una adyacencia two-way en lugar de
full.
Para cada vecino, este comando muestra lo siguiente:
• Neighbor ID : El Router ID del vecino
• Pri : La prioridad OSPFv2 de la interfaz. Este valor se utiliza en la

elección del DR y del BDR.
• State : El estado de OSPFv2 de la interfaz. El estado FULL significa que
el router y su vecino poseen LSDB de OSPFv2 idénticas. En las redes
multiacceso, como Ethernet, dos routers adyacentes pueden mostrar sus
estados como 2WAY. El guion indica que no se requiere ningún DR o BDR
debido al tipo de red.
• Dead Time : el tiempo restante que el router espera para recibir un
paquete Hello de OSPFv2 del vecino antes de declararlo inactivo. Este
valor se restablece cuando la interfaz recibe un paquete Hello.
• Address : la dirección IPv4 de la interfaz del vecino a la que el router
está conectado directamente.
• Interface : la interfaz en la que este router formó adyacencia con el
vecino.
Dos routers pueden no formar una adyacencia OSPFv2 si ocurre lo siguiente:

• Las máscaras de subred no coinciden, esto hace que los routers se
encuentren en redes separadas.
• Los temporizadores de tiempo de Hello y Dead del protocolo OSPFv2 no
coinciden.
• Los tipos de redes OSPFv2 no coinciden.
• Hay un comando network de OSPFv2 faltante o incorrecto.
Verificación de la configuración del protocolo OSPF

El show ip protocols comando es una forma rápida de verificar la información
vital de configuración de OSPF, como se muestra en el siguiente resultado.
Esto incluye la ID del proceso OSPFv2, el router ID, las interfaces configuradas
explícitamente para anunciar las rutas OSPF, los vecinos desde los que el
router recibe actualizaciones y la distancia administrativa predeterminada, que
es 110 para OSPF.
Verificación de la información del proceso OSPF
El show ip ospf comando también se puede usar para examinar la ID del

proceso OSPFv2 y el router ID, como se muestra en el siguiente resultado.
Este comando muestra información de área OSPFv2 y la última vez que se
ejecuto el algoritmo SPF.
Verificación de la configuración de interfaz OSPF
El comando show ip ospf interface muestra el ID de proceso, el router ID

local, el tipo de red, el costo OSPF, la información de DR y BDR en enlaces de
acceso múltiple (no se muestra) y los vecinos adyacentes.
Para obtener un resumen rápido de las interfaces habilitadas para OSPFv2,
utilice el show ip ospf interface brief. Este comando incluye lo siguiente:
• Las interfaces están participando en OSPF
• Redes que se anuncian (Dirección IP/Máscara)
• Costo de cada enlace de la red
• Estado de la red
• Número de vecinos
3. Estado Actual de la Ciberseguridad
Términos de seguridad :
Términos de
Descripción
Seguridad
Un activo es cualquier cosa de valor para la organización.
Assets
Incluye personas, equipos, recursos y datos.
Una vulnerabilidad es una debilidad en un sistema, o su
Vulnerability
diseño, que podría ser explotado por una amenaza.
Una amenaza es un peligro potencial para los activos, los
Threat
datos o la red de una empresa.
Una explotación es un mecanismo para tomar ventaja de una
Exploit
vulnerabilidad.
La mitigación es la contra-medida que reduce la probabilidad
Mitigation o gravedad de una posible amenaza o riesgo. La seguridad de
la red implica técnicas de mitigación múltiple.
El riesgo es la probabilidad de que una amenaza explote la
vulnerabilidad de un activo, con el objetivo de afectar
Risk negativamente a una organización. Riesgo es medido
utilizando la probabilidad de ocurrencia de un evento y sus
consecuencias.
Los assets (activos) deben ser identificados y protegidos. Las vulnerabilidades

deben abordarse antes de que se conviertan en una amenaza y sean
explotadas. Se requieren técnicas de mitigación antes, durante y después de
un ataque.
Vectores de Ataques de Red
Un vector de ataque es una ruta por la cual un atacante puede obtener acceso
a un servidor, host o red. Los vectores de ataque se originan dentro o fuera de
la red corporativa.
Un ataque DoS ocurre cuando un dispositivo o aplicación de red está
incapacitado y ya no es capaz de admitir solicitudes de usuarios legítimos.
Las amenazas internas tienen el potencial de causar mayores daños que las
amenazas externas porque los usuarios internos tienen acceso directo al
edificio y a sus dispositivos de infraestructura
Pérdida de datos
Los vectores de pérdida de datos comunes son:
Vectores de
Descripción
pérdida de datos
El correo electrónico o los mensajes de mensajería
Email/Social
instantánea interceptados podrían capturarse y descifrar
Networking
el contenido Información confidencial:
Si los datos no se almacenan utilizando un algoritmo de
Unencrypted
cifrado, entonces el ladrón puede recuperar valiosos
Devices
datos confidenciales.
Los datos confidenciales se pueden perder si el acceso a
Cloud Storage
la nube se ve comprometido debido a configuraciones de
Devices
seguridad débiles.
Un riesgo es que un empleado pueda realizar una
transferencia no autorizada de datos a una unidad USB.
Removable Media
Otro riesgo es que una unidad USB que contenga
podrían perderse datos corporativos valiosos.
Los datos confidenciales deben triturarse cuando ya no
Hard Copy
sean necesarios.
Las contraseñas o contraseñas débiles que se hayan
Improper Access
visto comprometidas pueden proporcionar al atacante
Control
fácil acceso a datos corporativos.
El hacker
Tipo de
Descripción
Hacker
Hackers Son hackers éticos que utilizan sus habilidades de programación
de para fines buenos, éticos y legales. Los hackers de sombrero
Sombrer blanco pueden realizar en la red pruebas de penetración en un
o Blanco intento de comprometer redes y sistemas por utilizando su
conocimiento de los sistemas de seguridad informática para
descubrir la red vulnerabilidades. Las vulnerabilidades de
seguridad se informan a los desarrolladores para que lo arreglen
antes de que las vulnerabilidades puedan ser explotadas.
Estas son personas que cometen crímenes y que posiblemente
Hackers
sean poco éticas cosas, pero no para beneficio personal o para
de
causar daños. Hackers de Sombrero Gris puede revelar una
Sombrer
vulnerabilidad a la organización afectada después de haber
o Gris
comprometió su red.
Hackers
Estos son delincuentes poco éticos que comprometen la
de
computadora y la red. seguridad para beneficio personal o por
Sombrer
razones maliciosas, como atacar redes.
o Negro
Evolución de los Hackers
Phone freaking / phreaking : hace referencia al uso de diversas frecuencias

de audio para manipular los sistemas telefónicos.
war dialing : Marcado de guerra. Marcaban cada número de teléfono en un
área determinada en busca de computadoras. Cuando se encontraba un
número de teléfono, se utilizaban programas que descifren contraseñas para
obtener acceso.
Términos de pirateria moderna :
Término de
Descripción
Piratería
Estos son adolescentes o piratas informáticos sin experiencia
Script
que ejecutan scripts existentes, herramientas y hazañas para
kiddies
causar daño, pero generalmente sin fines de lucro.
Por lo general, son hackers de sombrero gris que intentan
Vulnerability
descubrir debilidades Descubren ataques y los reportan a
Broker
proveedores, a veces por premios o recompensas.
Estos son hackers de sombrero gris que protestan
públicamente contra organizaciones o gobiernos mediante la
Hacktivists
publicación de artículos, videos, fugas sensibles información y
realizar ataques a la red.
Estos son hackers de sombrero negro que trabajan por cuenta
Cyber
propia o trabajan para grandes organizaciones de
criminals
cibercriminales.
State- Estos son hackers de sombrero blanco o de sombrero negro
Sponsored que roban al gobierno secretos, recopilar inteligencia y
sabotear redes. Sus objetivos son los gobiernos, los grupos
terroristas y las corporaciones extranjeras. La mayoría de los
países del mundo participan en algún tipo de hacking
patrocinado por el estado.
Ciberdelincuentes
Los cibercriminales operan en una economía clandestina donde compran,
venden e intercambian grupos de herramientas de ataque, código de
explotación de día cero, servicios de botnet, troyanos bancarios, registradores
de teclas y mucho más.
Hacktivistas
Dos ejemplos de grupos activistas hackers son Anonymous y the Syrian
Electronic Army .
Atacantes Patrocinados por el Estado
Crean un código de ataque avanzado y personalizado, a menudo utilizando
vulnerabilidades de software previamente no descubiertas llamadas
vulnerabilidades de día cero. Un ejemplo de un ataque patrocinado por el
estado involucró el malware de Stuxnet diseñado para dañar la planta de
enriquecimiento nuclear de Irán.
Herramientas de Ataque
Para explotar una vulnerabilidad, un actor de amenazas debe tener una técnica
o herramienta.
Herramientas
Descripción
de Pentesting
Las herramientas para descifrar contraseñas a menudo se
denominan herramientas de recuperación de contraseñas y
se puede usar para descifrar o recuperar una contraseña.
Esto se logra ya sea eliminando la contraseña original,
Password después de omitir los datos cifrado, o por descubrimiento
Crackers directo de la contraseña. Decodificadores de contraseñas
hacen conjeturas repetidamente para descifrar la
contraseña. Ejemplos de las herramientas de cracking
incluyen a John the Ripper, Ophcrack, L0phtCrack, THC
Hydra, RainbowCrack y Medusa.
Wireless Las herramientas de hacking inalámbrico se utilizan para
Hacking Tools piratear intencionalmente la red y detectar vulnerabilidades
de seguridad. Ejemplos de hacking wireless incluyen
Herramientas
Descripción
de Pentesting
Aircrack-ng, Kismet, InSSIDer, KisMAC, Firesheep y
NetStumbler.
Las herramientas de análisis de red se utilizan para sondear
Network
dispositivos de red, servidores y hosts para puertos TCP o
Scanning and
UDP abiertos. Ejemplos de herramientas de escaneo incluyen
Hacking Tools
Nmap, SuperScan, Angry IP Scanner y NetScanTools.
Estas herramientas se utilizan para sondear y probar la
Packet Crafting robustez de un firewall utilizando paquetes especialmente
Tools diseñados. Los ejemplos incluyen Hping, Scapy, Socat,
Yersinia, Netcat, Nping y Nemesis.
Estas herramientas se utilizan para capturar y analizar
paquetes dentro de redes tradicionales Ethernet LANs y
Packet Sniffers WLANs. Las herramientas incluyen Wireshark, Tcpdump,
Ettercap, Dsniff, EtherApe, Paros, Fiddler, Ratproxy, y
SSLstrip.
Este es un verificador de integridad de directorios y archivos
Rootkit utilizado por los sombreros blancos para detectar grupos de
Detectors raíz instalados. Las herramientas de ejemplo incluyen AIDE,
Netfilter, y PF: OpenBSD Packet Filter.
Fuzzers para Los fuzzers son herramientas utilizadas por los atacantes
Buscar para descubrir una computadora y sus aspectos vulnerables
Vulnerabilidade de seguridad Algunos ejemplos de fuzzers: Skipfish, Wapiti y
s W3af.
Los hackers de sombrero blanco utilizan estas herramientas
para detectar cualquier rastro de evidencia existente en una
Forensic Tools
computadora. Ejemplos de herramientas incluyen un equipo
de Sleuth, Helix, Maltego, y Encase.
Los hackers de sombrero negro utilizan estas herramientas
para aplicar ingeniería inversa en archivos binarios cuando
escriben debilidades. También las utilizan los sombreros
Debuggers
blancos cuando analizan malware. Algunas herramientas de
depuración son las siguientes: GDB, WinDbg, IDA Pro e
Immunity Debugger. Depuradores
Estos son sistemas operativos especialmente diseñados
Hacking precargados con herramientas optimizado para hackear.
Operating Ejemplos de operaciones de piratería especialmente
Systems diseñadas Los sistemas incluyen Kali Linux, Knoppix,
BackBox Linux.
Las herramientas de cifrado utilizan esquemas de algoritmos
para codificar los datos para evitar acceso no autorizado a
Encryption
los datos encriptados. Ejemplos de estas herramientas
Tools
incluyen VeraCrypt, CipherShed, OpenSSH, OpenSSL, Tor,
OpenVPN y Stunnel.
Vulnerability Estas herramientas identifican si un host remoto es
Herramientas
Descripción
de Pentesting
vulnerable a un ataque de seguridad. Ejemplos de
Exploitation herramientas de explotación de vulnerabilidades incluyen
Tools Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit y
Netsparker.
Estas herramientas analizan una red o un sistema para
identificar puertos abiertos. Ellos pueden también usar para
Vulnerability escanear vulnerabilidades conocidas y escanear máquinas
Scanners virtuales, BYOD dispositivos y bases de datos de clientes.
Ejemplos de herramientas incluyen Nipper, Secuna PSI, Core
Impact, Nessus v6, SAINT u Open VAS.
Tipo de Ataque
Tipo de ataque Descripción

Ataque de
Esto es cuando un atacante captura “escucha” tráfico de
intercepción
red. Este ataque también se conoce como sniffing o
pasiva
snooping.
(eavesdropping)
Si los atacantes han capturado el tráfico empresarial,
Data Modification
pueden alterar los datos en el paquete sin el conocimiento
Attack
del remitente o receptor.
IP Address Un atacante construye un paquete IP que parece
Spoofing Attack originarse de un dirección válida dentro de la intranet
(Suplantación) corporativa.
Si los atacantes descubren una cuenta de usuario válida,
tienen los mismos derechos que el usuario real. Podrían
Ataques Basados usar como válida la cuenta para obtener listas de otros
en Contraseñas usuarios, información de red, cambio de configuraciones
de servidores y redes, y modificar, redireccionar o
eliminar datos.
Un ataque de DoS impide el uso normal de una
computadora o red por parte de usuarios válidos usuarios.
Ataque por Un ataque DoS puede inundar una computadora o toda la
Denegación de red con tráfico hasta que se produzca un apagado debido
Servicio a la sobrecarga. Ataque de DoS también puede bloquear
el tráfico, lo que resulta en una pérdida de acceso a la red
recursos por usuarios autorizados.
Ataque man-in- Este ataque ocurre cuando los atacantes se han
the-middle posicionado entre el origen y destino. Ahora pueden
monitorear, capturar y controlar la comunicación de forma
transparente.
Si un atacante obtiene una clave secreta, esa clave se
conoce como clave comprometida. Se puede usar una
Ataque de Claves
clave comprometida para obtener acceso a un
Comprometidas
comunicación segura sin que el remitente o el receptor
sean conscientes del ataque.
Un sniffer es una aplicación o dispositivo que puede leer,
Ataque de monitorear y capturar intercambios de datos de red. Si los
analizador de paquetes no están cifrados, un analizador de protocolos
protocolos permite ver por completo los datos que están dentro del
paquete.
Virus y Troyanos
El primer tipo de malware informático y el más común son los virus. Los virus
requieren una acción humana para propagarse e infectar otros equipos.
Se ocultan mediante su unión a código informático, al software o a los
documentos del equipo. Cuando se abre, el virus se ejecuta e infecta el equipo.
Los virus pueden:
• Modificar, dañar, eliminar archivos o borrar discos duros completos en
una PC.
• Causar problemas de arranque del equipo, dañar aplicaciones.
• Capturar y enviar información confidencial a los atacantes.
• Acceder a cuentas de correo electrónico y utilizarlas para propagarse.
• Permanecer inactivo hasta que el atacante lo requiera.
Los virus modernos se desarrollan con intenciones muy específicas.
Tipos de virus Descripción

El virus ataca el sector de arranque, la tabla de
Boot sector virus
particiones de archivos o el sistema de archivos.
Firmware virus El virus ataca el firmware del dispositivo.
El virus utiliza la función de macros de MS Office con fines
Macro virus
maliciosos.
Program virus El virus se introduce en otro programa ejecutable.
El virus ataca al intérprete del SO que se utiliza para
Script virus
ejecutar los scripts.
Los atacantes utilizan caballos de troya para comprometer a los host. Un
troyano es un código malicioso escondido dentro de otro programa que parece
inofensivo. Los troyanos a menudo se proporcionan con programas gratuitos
en línea, como los juegos de equipo.
Tipos de caballos de Troya :
Leyenda de la tabla
Tipo de caballo
Descripción
de Troya
El Caballo de Troya permite el acceso remoto no
Remote-access
autorizado.
Caballo de Troya de envío de datos: le proporciona al
Data-sending
atacante datos confidenciales, como las contraseñas.
Destructive El Troyano daña o elimina archivos.
El caballo de Troya usará la computadora de la víctima
Proxy como dispositivo fuente lanzar ataques y realizar otras
actividades ilegales.
Caballo de Troya habilita servicios no autorizados de
FTP
transferencia de archivos en dispositivos finales.
Security software El caballo de Troya detiene el funcionamiento de los
disabler programas antivirus o contrafuego.
Denegación de
Caballo de Troya retarda o detiene la actividad de red.
Servicio (DoS)
El caballo de Troya intenta activamente robar información
Registrador de confidencial, como números de tarjeta de crédito,
teclas registrando pulsaciones de teclas ingresadas en un web
formulario.
Otros Tipos de Malware

Malware Descripción
Adware • El adware se suele distribuir en las descargas de software.
• El adware puede mostrar publicidad no solicitada utilizando
en un navegador web ventanas emergente, nuevas barras
de herramientas o redireccionar inesperadamente una
página web a un sitio web diferente.
• Las ventanas emergentes pueden ser difíciles de controlar,
ya que pueden aparecer ventanas nuevas más rápido de lo
que el usuario puede cerrarlos.
• El ransomware normalmente niega el acceso de un usuario

a sus archivos por cifrar los archivos y luego mostrar un
mensaje que exige rescate por la clave de descifrado.
• Los usuarios sin copias de respaldo actualizadas deben
Ransomware
pagar el rescate para descifrar los archivos.
• Por lo general, el pago se hace mediante transferencia
bancaria o divisas criptográficas como Bitcoin.
• Los rootkits son utilizados por atacantes para obtener un

acceso de administrador en una cuenta de una
computadora.
• Son muy difíciles de detectar porque pueden alterar el
cortafuego, protección antivirus, archivos del sistema e
incluso comandos del sistema operativo para ocultar su
presencia.
Rootkit • Pueden proporcionar una puerta trasera a los atacantes
dándoles acceso a la PC y les permite cargar archivos e
instalar nuevo software para ser utilizado en un ataque
DDoS.
• Deben usarse herramientas especiales de eliminación de
rootkit para eliminarlos, o se puede requerir la reinstalación
completa del sistema operativo.
• Similar al adware, pero se utiliza para recopilar información

sobre el usuario y enviar a atacantes sin el consentimiento
del usuario.
Spyware • El Spyware puede ser una amenaza baja, recopilar datos de
navegación, o puede ser una alta amenaza de captura de
información personal y financiera.
• Un gusano es un programa autorreplicante que se propaga

automáticamente sin acciones del usuario explotando
vulnerabilidades en software legítimo.
• Utiliza la red para buscar otras víctimas con la misma
Worm
vulnerabilidad.
• El objetivo de los gusanos suele ser quitar velocidad o
interrumpir las operaciones de red.
Descripción General de los Ataques de Red
Las redes son susceptibles a los siguientes tipos de ataques:

• Ataques de Reconocimiento
• Ataques de Acceso
• Ataques de DoS
Ataques de Reconocimiento
Los atacantes utilizan ataques de reconocimiento para realizar la detección y el

análisis no autorizado de sistemas, servicios o vulnerabilidades. Los ataques de
reconocimiento preceden a los ataques de acceso o ataques DoS.
Técnica Descripción
Realice una El atacante está buscando información inicial sobre un
consulta de objetivo. Se pueden usar varias herramientas, incluida
información de un la búsqueda de Google, organizaciones sitio web, whois
objetivo y más.
La consulta de información generalmente revela las
Inicie un barrido
direcciones de red del objetivo. El atacante ahora
de ping de la red
puede iniciar un barrido de ping para determinar qué
de destino
direcciones IP están activas.
Inicie un análisis Esto se utiliza para determinar qué puertos o servicios
de puertos de las están disponibles. Ejemplos de escáneres de puertos
direcciones IP incluyen Nmap, SuperScan, Angry IP Scanner y
activas Herramientas de NetScan.
Esto es para consultar los puertos identificados para
Ejecute escáneres determinar el tipo y la versión de la aplicación y el
de sistema operativo que se ejecuta en el host. Algunos
vulnerabilidades ejemplos de herramientas son Nipper, Secunia PSI,
Core Impact, Nessus v6, SAINT, y Open VAS.
El atacante ahora intenta descubrir servicios
Ejecute vulnerables que pueden ser explotado. Existe una
Herramientas de variedad de herramientas de explotación de
Ataque vulnerabilidades incluyen Metasploit, Core Impact,
Sqlmap, Social Engineer Toolkit y Netsparker.
Ataques de Acceso
Los ataques de acceso aprovechan vulnerabilidades conocidas en servicios de

autenticación, servicios FTP y servicios web. El propósito de este tipo de
ataques es obtener acceso a cuentas web, bases de datos confidenciales y otra
información confidencial.
Ataques de Contraseña
El atacante intenta descubrir contraseñas críticas del sistema utilizando varios
métodos. El más común es utilizando password cracking tools.
Ataques de Suplantación de Identidad (Spoofing)
Los ataques comunes de suplantación de identidad incluyen suplantación de IP,
MAC y DHCP.
Otros ataques de Acceso incluyen:
• Trust exploitations – Ataques de confianza : un atacante utiliza
privilegios no autorizados para obtener acceso a un sistema,
posiblemente comprometiendo el objetivo.
• Port redirections – Redirección de puertos
• Man-in-the-middle attacks
• Buffer overflow attacks – Desbordamiento de buffer : Esto generalmente

hace que el sistema no funcione, creando un ataque DoS
Ataques de ingeniería social
La ingeniería social es un ataque de acceso que intenta manipular a las

personas para que realicen acciones o divulguen información confidencial.
Técnicas de ingeniería social :
Ataques de
Ingeniería Descripción
Social
Un atacante finge necesitar datos personales o financieros
Pretexting
para confirmar la identidad del destinatario.
Un atacante envía correos electrónicos fraudulentos que se
disfrazan de fuente legítima y confiable para engañar al
Phishing
destinatario para que instale malware en su dispositivo, o
para compartir información personal o financiera.
Spear phishing Un atacante crea un ataque de phishing dirigido a un
individuo u organización específica.
También conocido como correo basura, este es un correo
Spam electrónico no solicitado que a menudo contiene enlaces
dañinos, malware o contenido engañoso.
A veces llamado “Quid pro quo”, esto es cuando una
Something for
amenaza solicita información personal de una parte a cambio
Something
de algo como un regalo.
Un atacante deja una unidad flash infectada con malware en
una ubicación pública. Una víctima encuentra el disco y lo
Baiting
inserta desprevenido en su computadora portátil, instalando
involuntariamente malware.
Este tipo de ataque es donde un atacante finge ser alguien a
Impersonation
quien no son para ganar la confianza de una víctima.
Aquí es donde un atacante rápidamente sigue a una persona
Infiltración
autorizada a un ubicación segura para acceder a un área
(tailgating)
segura.
Aquí es donde un atacante mira discretamente por encima
Shoulder
del hombre de alguien para robar sus contraseñas u otra
surfing
información.
Dumpster Aquí es donde un atacante hurga en los contenedores de
diving basura para descubrir documentos confidenciales
El Kit de herramientas de ingeniería social (SET, Social Engineering Toolkit) fue

diseñado por TrustedSec para ayudar a los hackers de sombrero blanco y a
otros profesionales de seguridad de la red a crear ataques de ingeniería social
para poner a prueba sus propias redes.
Ataques de DoS y DdoS
Existen dos tipos principales de ataques DoS:

• Sobrecarga de tráfico : El atacante envía una inmensa cantidad de
datos a una velocidad que la red, el host o la aplicación no puede
manejar. Esto hace que los tiempos de transmisión y respuesta
disminuyan. También puede detener un dispositivo o servicio.
• Paquetes Maliciosos Formateados : cuando se envía un paquete
malicioso formateado a un host o una aplicación y el receptor no puede
manejarlo. Esto hace que el dispositivo receptor se ejecute muy
lentamente o se detenga.
Ataque DDos:
Un ataque de DoS Distribuida (DDoS) es similar a un ataque de DoS pero
proviene de múltiples fuentes coordinadas. un actor de amenazas crea una red
de hosts infectados, conocidos como zombies. El actor de amenaza utiliza un
sistema de comando y control (CnC) para enviar mensajes de control a los
zombies. Los zombies escanean e infectan constantemente más hosts con
malware de bot. El malware de bot está diseñado para infectar a un host,
convirtiéndolo en un zombie que puede comunicarse con el sistema CnC. La
colección de zombies se llama botnet
IPv4 and IPv6
Ataques relacionados con IP más comunes :
Técnicas de
Descripción
Ataque IP
Ataques de ICMP: los agentes de amenaza utilizan
paquetes de eco (pings) del protocolo de mensajería de
control de Internet (ICMP) para detectar subredes y hosts
ICMP attacks
en una red protegida y, luego, generar ataques de
saturación de DoS y modificar las tablas de routing de los
hosts.
Ataques de DoS: los agentes de amenaza intentan
Amplification and
impedir que usuarios legítimos tengan acceso a
reflection attacks
información o servicios.
Los agentes de amenaza suplantan la dirección IP de
Address spoofing
origen en un paquete de IP para realizar suplantación
attacks
blind o non-blind.
Los agentes de amenaza se posicionan entre un origen y
un destino para monitorear, obtener y controlar la
Man-in-the-
comunicación de manera transparente. Simplemente
middle attack
pueden escuchar en silencio mediante la inspección de
(MITM)
paquetes capturados o modificar paquetes y reenviarlos a
su destino original.
Session hijacking Los agentes de amenaza obtienen acceso a la red física y,
luego, usan un ataque de MITM para secuestrar una
sesión.
ICMP Attacks
Los atacantes utilizan el ICMP para reconocimiento y análisis. Esto les permite
iniciar ataques de recopilación de información para conocer la disposición de
una topología de red, detectar qué hosts están activos.
Las redes deben tener filtros estrictos de lista de control de acceso (ACL) en el
perímetro de la red para evitar sondeos de ICMP desde Internet.
En el caso de redes grandes, los dispositivos de seguridad (como firewalls y
sistemas de detección de intrusiones o IDS) deben detectar este tipo de
ataques y generar alertas para los analistas de seguridad.
Mensajes comunes de ICMP de interés para los actores de amenazas:
Mensajes ICMP
Descripción
utilizados por Hackers
ICMP echo request and Esto se utiliza para realizar la verificación del host
echo reply y los ataques DoS.
Esto se utiliza para realizar ataques de
ICMP unreachable
reconocimiento y análisis de la red.
ICMP mask reply Esto se utiliza para mapear una red ip interna.
Esto se utiliza para lograr que un host objetivo
ICMP redirects envíe todo el tráfico a través de un dispositivo
comprometido y crear un ataque de MITM.
Esto se utiliza para inyectar rutas falsas en la tabla
ICMP router discovery
de routing de un host objetivo.
Ataques de reflexión y amplificación
Los atacantes suelen utilizar técnicas de amplificación y reflexión para crear
ataques DoS.
Ataque Smurf:
Tambien hay este tipo de ataques pero con DNS o NTP.
Ataques de suplantación de dirección -Spoofing Attacks

Los atacantes modifican la deirección IP de origen de los paquetes para ocultar
al remitente o hacerse pasar por un origen legítimo. Así obtiene más acceso y
evita medidas de seguridad. La suplantación de dirección IP suele formar parte
de otro ataque denominado ataque Smurf.
Los ataques Spoofing pueden ser non-blind (no ciegos) or blind (ciegos):
• Non-blind spoofing : El atacante puede ver el tráfico que se envía
entre el host y el destino. Se inspecciona el paquete de respuesta, y
determina el estado del firewall o numero de secuencia. También puede
secuestrar una sesión autorizada.
• Blind spoofing : No puede ver el tráfico entre host y destino. Se utiliza
en ataques DoS.
Los ataques de suplantación MAC se utilizan para alterar la tabla MAC del
Switch. Los atacantes cambian su MAC por la de un host conocido para que el
switch le incluya en su MAC y le redireccione las tramas.
Vulnerabilidades de TCP y UDP

Encabezado de segmento TCP
La información de segmento de TCP aparece inmediatamente después del

encabezado de IP. Los campos del segmento de TCP y los marcadores del
campo Control Bits (6)
Los 6 bits de control del segmento TCP:
1. URG: Campo indicador urgente
2. ACK: Campo de reconocimiento significativo “Aknowledgment”
3. PSH: Función push
4. RST: Restablecer la conexión
5. SYN: Sincronizar números de secuencia
6. FIN: No hay más datos del emisor
Servicios TCP
El TCP ofrece los siguientes servicios:

• Reliable delivery (Entrega confiable) : TCP incorpora acuses de recibo
para garantizar la entrega. Si no se recibe un acuse de recibo oportuno,
el emisor retransmite los datos. Requerir Ack’s puede generar
delays.Algunos ejemplos de los protocolos de capa de aplicación que
hacen uso de la confiabilidad de TCP incluyen HTTP, SSL/TLS, FTP y
transferencias de zona DNS.
• Flow control (Control de flujo): TCP implementa el control de flujo para
evitar delay por los requerimientos. En lugar de acusar recibo de un
segmento a la vez, es posible hacerlo con varios segmentos.
• Stateful communication (Comunicación con estado): TCP utiliza una
conexión de 3 vías.
1. El origen solicita una sesión de comunicación con el servidor
2. El servidor acusa recibo (ack) para la comunicación cliente-servidor, y
solicita sesión servidor-cliente.
3. El cliente de origen acusa recibo (ack) de la sesión servidor-cliente
Ataques TCP
Ataque de inundación SYN a TCP TCP SYN Flood Attack
El ataque TCP SYN Flood ataca la comunicación de 3 vías de TCP.

El atacante envía continuamente paquetes request TCP SYN al objetivo, con
una dirección IP origen falsa aleatoria. El destino responde al origen con un
paquete TCP SYN-ACK y espera un paquete TCP ACK, pero nunca llega.
Finalmente el host objetivo se ve saturado con multiples conexiones TCP medio
abiertas y los servicios TCP se deniegan a los usuarios legitimos (Ataque DoS)
Ataque de Restablecimiento a TCP TCP Reset Attack

Puede utilizarse para finalizar las comunicaciones de TCP entre dos hosts
TCP utiliza un intercambio de cuatro vías para cerrar la conexión TCP con un
par de segmentos FIN y ACK desde cada terminal de TCP. Una conexión TCP
termina cuando recibe un bit RST. Esta es una manera abrupta de eliminar la
conexión TCP e informar al host de recepción que deje de usar la conexión TCP
de inmediato Un atacante puede enviar un paquete falso con un RST de TCP a
uno o ambos terminales.
Usurpación de la sesión TCP TCP Session Hijacking

El secuestro de sesiones de TCP permite que un atacante tome el control de un
host ya autenticado mientras se comunica con el destino. El atacante tendría
que suplantar la dirección IP de un host, predecir el siguiente número de
secuencia y enviar un ACK al otro host. Si tiene éxito, el atacante puede enviar
datos desde el dispositivo de destino, aunque no puede recibirlos.
Encabezado y Funcionaiento del segmento UDP

DNS, TFTP, NFS y SNMP utilizan comúnmente UDP. También lo utilizan
aplicaciones en tiempo real, como la transmisión multimedia o VoIP. UDP es un
protocolo de capa de transporte sin conexión. Tiene una sobrecarga mucho
menor que TCP ya que no está orientado a la conexión y no proporciona los
mecanismos sofisticados de retransmisión, secuenciación y control del flujo
que ofrecen confiabilidad.
En UDP la confiabilidad la proporcionan los protocolos de capas superiores.
Ataques UDP
UDP no está protegido por ningún tipo de encriptación. Puede agregar cifrado a
UDP, pero no está disponible de forma predeterminada. La falta de
encriptación permite que cualquiera vea el tráfico, lo modifique y lo envíe a su
destino. Si se cambian los datos en el tráfico, se modifica la suma de
comprobación de 16 bits.
Ataques de inundación UDP Flood Attacks
El actor de la amenaza debe usar una herramienta como UDP Unicorn o Low
Orbit Ion Cannon. Estas herramientas envían una avalancha de paquetes UDP,
a menudo desde un host falsificado, a un servidor en la subred. El programa
analiza todos los puertos conocidos intentando encontrar puertos cerrados.
Esto hace que el servidor responda con un mensaje de puerto ICMP
inaccesible. Debido a que hay muchos puertos cerrados en el servidor, esto
crea mucho tráfico en el segmento, que utiliza la mayor parte del ancho de
banda. El resultado es muy similar al de un ataque de DoS.
Vulnerabilidades de ARP
Los hosts transmiten una solicitud de ARP a otros hosts del segmento para
determinar la dirección MAC de un host con una dirección IP específica. Todos
los hosts de la subred reciben y procesan la solicitud de ARP. El host con la
dirección IP que coincide con la de la solicitud de ARP envía una respuesta de
ARP.
Cualquier cliente puede enviar una ARP Reply no solicitado llamada
“gratuitous ARP”. Esto suele hacerse cuando un dispositivo se inicia por
primera vez para informar a todos los demás dispositivos de la red local sobre
la nueva dirección MAC del dispositivo. Cuando un host envía un ARP gratuito,
otros hosts en la subred almacenan en sus tablas de ARP la dirección MAC y la
dirección IP que contiene dicho ARP.
Envenenamiento de caché ARP ARP Cache Poisoning
Se puede usar para lanzar varios ataques MITM.

Proceso Poisoning ARP:
1. ARP Request: El host solicita la MAC del gateway
2. ARP Reply: El gateway responde al host con su IP y MAC.
3. Spoofed Gratuitous ARP Replies: EL atacante envía dos Spoofed
Gratuitous ARP Replies usando su MAC y las direcciones IP de destino del
host y del gateway. Tanto el host como elgateway actualizan su tabla
ARP con la dirección del atacante como destino suplantando ambos
dispositivos y realizando un MITM.
Ataques DNS
Los ataques DNS incluyen lo siguiente:

• DNS open resolver attacks : Ataques de resolución abierta
• DNS stealth attacks : Ataques sigilosos
• DNS domain shadowing attacks : Ataques de sombra de dominio
• DNS tunneling attacks : Ataques de tunelización de DNS
DNS Open Resolver Attacks

Muchas organizaciones utilizan los servicios de los servidores DNS públicos
abiertos, como GoogleDNS (8.8.8.8), para responder las consultas. Este tipo
de servidor DNS se denomina resolución abierta “Open Resolver attacks”.
Vulnerabilidade
s de Resolución Descripción
de DNS
Los atacantes envían información de recursos de registro
(Record Resource, RR) falsificados a un Resolver DNS para
redirigir a los usuarios de sitios legítimos a sitios
DNS cache
maliciosos. Los ataques de envenenamiento de caché DNS
poisoning
se pueden usar para informar al DNS resolver para que
attacks
utilice un servidor de nombres malicioso que está
proporcionando información RR para actividades
maliciosas.
Los atacantes usan ataques DoS o DDoS en servidores de
resolución abiertos DNS para aumentar el volumen de
DNS
ataques y ocultar la verdadera fuente de un ataque. Los
amplification
atacantes envían mensajes DNS a los open resolver
and reflection
utilizando la dirección IP de un host de destino. Estos
attacks
ataques son posibles porque open resolver responde las
consultas de cualquiera que pregunte.
Un ataque DoS que consume los recursos de los open
DNS resource resolver DNS. Este ataque DoS consume todos los recursos
utilization disponibles. El impacto de este ataque DoS puede requerir
attacks que el open resolver DNS se reinicie o los servicios, para
ser detenido y reiniciado.
DNS Stealth Attacks -Ataques sigilosos

Para que los atacantes oculten su identidad
Técnicas de
Descripción
Sigilo DNS
Los atacantes utilizan esta técnica para ocultar sus sitios de
entrega de phishing y malware detrás de una red que cambia
rápidamente de host comprometidos (botnets). Las
Fast Flux direcciones IP de DNS cambian constantemente en apenas
minutos. Las botnets a menudo emplean técnicas Fast Flux
para ocultar los servidores maliciosos para que no sean
detectados.
Los atacantes utilizan esta técnica para cambiar rápidamente
Double IP el hostname, la asignación de direcciones IP y también para
Flux cambiar el servidor de nombres autorizado. Esto aumenta la
dificultad para identificar el origen del ataque.
Los atacantes usan esta técnica en el malware para generar
Domain
aleatoriamente nombres de dominio que luego se pueden usar
Generation
como puntos de encuentro para sus servidores de comando y
Algorithms
control (Command&Control, C&C).
DNS Domain Shadowing Attacks

El atacante reune las credenciales de cuenta de dominio para crear
sigilosamente múltiples sub-dominios para usar durante los ataques. Estos
subdominios generalmente apuntan a servidores maliciosos sin alertar al
propietario real del dominio principal .
Tunelización de DNS
Se trata de colocar tráfico que no es DNS como tráfico DNS. Este método
a menudo evita las soluciones de seguridad cuando un atacante desea
comunicarse con bots dentro de una red protegida, o extraer datos de la
organización, como una base de datos de contraseñas. Cuando el atacante
utiliza el túnel DNS, se alteran los diferentes tipos de registros DNS. Así es
como funciona el túnel DNS para los comandos CnC enviados a una botnet:
1. Los datos del comando se dividen en varios fragmentos codificados.
2. Cada fragmento se coloca en una etiqueta de nombre de dominio de
nivel inferior de la consulta de DNS.
3. Debido a que no hay respuesta del DNS local o en red para la consulta,
la solicitud se envía a los servidores DNS recursivos del ISP.
4. El servicio DNS recursivo reenviará la consulta al servidor de nombres
autorizado del atacante.
5. El proceso se repite hasta que se envían todas las consultas que
contienen los fragmentos.
6. Cuando el servidor de nombres autorizado del atacante recibe las
consultas de DNS de los dispositivos infectados, envía respuestas para
cada consulta de DNS, que contienen los comandos CnC codificados y
encapsulados.
7. El malware en el host comprometido vuelve a combinar los fragmentos y
ejecuta los comandos ocultos en el registro DNS.
Para detener el túnel DNS, el administrador de la red debe usar un filtro que
inspeccione el tráfico DNS. Preste especial atención a las consultas de DNS que
son más largas de lo normal, o las que tienen un nombre de dominio
sospechoso. Además, las soluciones de DNS, como Cisco OpenDNS, bloquean
gran parte del tráfico de la tunelización de DNS identificando dominios
sospechosos.
DHCP
Ataques de DHCP
DHCP Spoofing Attack -Ataque de Suplantación

Un ataque de suplantación de DHCP se produce cuando un servidor DHCP
dudoso se conecta a la red y brinda parámetros de configuración IP falsos a los
clientes legítimos. Un servidor dudoso puede proporcionar una variedad de
información engañosa:
• Wrong default gateway : El atacante proporciona un gateway no
válido o la dirección IP de su host para crear un ataque de MITM.
• Wrong DNS server : El atacante proporciona una dirección del servidor
DNS incorrecta que dirige al usuario a un sitio web malicioso.
• Wrong IP address : El atacante proporciona una dirección IP no válida,
una dirección IP de puerta de enlace predeterminada no válida o ambas.
Luego, el atacante crea un ataque de DoS en el cliente DHCP.
Confidentiality, Integrity, and Availability
Confidencialidad, Integridad y disponibilidad
La seguridad de la red consiste en proteger la información y los sistemas de

información del acceso no autorizado, uso, divulgación, interrupción,
modificación o destrucción.
Triada de seguridad de informacion de la CIA:
• Confidentiality : Solamente individuos, entidades o procesos
autorizados pueden tener acceso a información confidencial. Puede
requerir el uso de algoritmos de cifrado criptográfico como AES para
cifrar y descifrar datos.
• Integrity : Proteger los datos de modificaciones no autorizadas.
Requiere el uso de algoritmos de hashing criptográficos como SHA.
• Availability : Los usuarios autorizados deben tener acceso
ininterrumpido a los recursos y datos importantes. Requiere implementar
servicios, gateways y enlaces redundantes.
Enfoque de Defensa en Profundidad
Para garantizar comunicaciones seguras en redes públicas y privadas, el primer

objetivo es proteger los dispositivos, como routers, switches, servidores y
hosts, también se conoce como un enfoque en capas. Esto requiere una
combinación de dispositivos y servicios de red que trabajen juntos en conjunto
• VPN: Un router se utiliza para proporcionar servicios de VPN seguros
con sitios corporativos y soporte de acceso remoto para usuarios que
utilizan tuneles cifrados.
• ASA Firewall: Este dispositivo dedicado proporciona servicios de
Firewall con control de estado. Garantiza que el tráfico interno pueda
entrar y salir, pero el tráfico externo no pueda iniciar conexiones con
host internos
• IPS: Sistema de Prevención de Intrusiones. Monitorea el tráfico entrante
y saliente en busca de malware, firmas de ataque a redes y más.
• ESA/WSA: Email Security Appliance (ESA) filtra el spam y los email
sospechosos.
Web Security Appliance (WSA) Filtra los sitios de malware de internet
conocidos y sospechosos.
• AAA Server: Este servidor contiene una bbdd segura de gente
autorizada a acceder a los dispositivos de red y administrarlos. Los
dispositivos de red autentican a los administradores mediante esta bbdd.
La mayor preocupación es proteger los datos que viajan fuera de la

organización a sitios de sucursales, teletrabajadores y partners.
Firewalls
Un Firewall es un sistema o grupo de sistemas que impone una política de

control de acceso entre redes.
Todos los firewalls comparten algunas propiedades comunes:
• Los firewalls resisten ataques de red.
• Los firewalls son el único punto de tránsito entre las redes corporativas
internas y las redes externas porque todo el tráfico circula por ellos.
• Los firewalls aplican la política de control de acceso.
Los firewalls en una red brindan numerosos beneficios:

• Evitan la exposición de hosts, recursos y aplicaciones confidenciales a
usuarios no confiables.
• Limpia el flujo de protocolos, lo que evita el aprovechamiento de las
fallas de protocolos.
• Bloquean los datos maliciosos de servidores y clientes.
• Simplifican la administración de la seguridad, ya que la mayor parte del

control del acceso a redes se deriva a unos pocos firewalls de la red.
Los firewalls también tienen algunas limitaciones:

• Un firewall mal configurado puede tener graves consecuencias para la
red, por ejemplo, convertirse en un punto único de falla.
• Los datos de muchas aplicaciones no se pueden transmitir con seguridad
mediante firewalls.
• Los usuarios pueden buscar maneras de esquivar el firewall para recibir
material bloqueado, lo que expone a la red a posibles ataques.
• Puede reducirse la velocidad de la red.
• El tráfico no autorizado se puede tunelizar u ocultar como tráfico legítimo

a través del firewall.
IPS
Para defenderse contra ataques rápidos y en evolución, es posible que necesite
sistemas de detección y prevención rentables, como los sistemas de detección
de intrusos (IDS) o los sistemas de prevención de intrusos (IPS) más
escalables. La arquitectura de red integra estas soluciones en los puntos de
entrada y salida de la red.
Las tecnologías IDS e IPS comparten varias características. Ambas tecnologías

se implementan como sensores. Un sensor IDS o IPS puede adoptar la forma
de varios dispositivos diferentes:
• Un router configurado con el software IPS de Cisco IOS.
• Un dispositivo diseñado específicamente para proporcionar servicios de

IDS o IPS exclusivos.
• Un módulo de red instalado en un dispositivo de seguridad adaptable
(ASA, Adaptive Security Appliance), switch o router.
Funcionamiento de IPS
Las tecnologías IDS e IPS utilizan firmas para detectar patrones de tráfico de
red. Una firma es un conjunto de reglas que un IDS o IPS utiliza para detectar
actividad maliciosa. Las firmas pueden utilizarse para detectar infracciones
graves de seguridad y ataques de red comunes, y para recopilar información.
Las tecnologías IDS e IPS pueden detectar patrones de firma atómica (paquete
individual) o patrones de firma compuesta (varios paquetes).
Dispositivos de Seguridad de Contenido
Los dispositivos de seguridad de contenido incluyen un control detallado sobre

el correo electrónico y la navegación web para los usuarios de una
organización.
Cisco Email Security Appliance (ESA)
El Dispositivo de Seguridad de Correo Electrónico de Cisco (ESA) es un
dispositivo especial diseñado para monitorear el Protocolo Simple de
Transferencia de Correo (SMTP). Cisco ESA se actualiza constantemente
mediante datos en tiempo real de Cisco Talos, que detecta y correlaciona las
amenazas con un sistema de monitoreo que utiliza una base de datos mundial.
Cisco ESA extrae estos datos de inteligencia de amenazas cada tres o cinco
minutos.
Cisco Web Security Appliance (WSA)

Cisco Web Security Appliance (WSA) es una tecnología de mitigación para
amenazas basadas en la web. Combina protección avanzada contra malware,
visibilidad y control de aplicaciones, controles de políticas de uso aceptable e
informes.
Cisco WSA proporciona un control completo sobre cómo los usuarios acceden a
Internet. Ciertas funciones y aplicaciones, como chat, mensajería, video y
audio, pueden permitirse, restringirse con límites de tiempo y ancho de banda,
o bloquearse, de acuerdo con los requisitos de la organización.
La WSA puede realizar listas negras de URL, filtrado de URL, escaneo de
malware, categorización de URL, filtrado de aplicaciones web y cifrado y
descifrado del tráfico web.
Criptografía
Asegurando las comunicaciones
Estos son los cuatro elementos de las comunicaciones seguras:

• Data Integrity : Integridad de los datos ; Garantiza que el mensaje no
se haya modificado. La integridad se garantiza mediante la aplicación de
los algoritmos de generación de hash Message Digest versión 5 (MD5) o
Secure Hash (SHA).
• Origin Authentication : Autenticación de origen; Garantiza que el
mensaje no sea falso y que el remitente sea verdadero. Muchas redes
modernas garantizan la autenticación con protocolos, como el código de
autenticación de mensaje hash (HMAC, Hash Message Authentication
Code).
• Data Confidentiality : Confidencialidad de los datos; Garantiza que
solamente los usuarios autorizados puedan leer el mensaje. Si se
intercepta el mensaje, no se puede descifrar en un plazo razonable. La
confidencialidad de los datos se implementa utilizando algoritmos de
encriptación simétrica y asimétrica.
• Data Non-Repudiation : Garantiza que el remitente no pueda negar ni
refutar la validez de un mensaje enviado. La imposibilidad de negación
se basa en el hecho de que solamente el remitente tiene características o
una firma únicas relacionadas con el tratamiento del mensaje.
Integridad de datos
Las funciones de hash se utilizan para garantizar la integridad de un mensaje.

Garantizan que los datos del mensaje no hayan cambiado accidental o
intencionalmente.
El algoritmo de hash funciona de la siguiente manera:
1. El dispositivo de envío ingresa el mensaje en un algoritmo hash y calcula
su hash de longitud fija.
2. El resultado de este hash se adjunta al mensaje y se envía al receptor. El
mensaje y el hash se transmiten en texto sin formato
3. El dispositivo receptor elimina el hash del mensaje e ingresa el mensaje
en el mismo algoritmo de hash. Si el hash calculado coincide con el que
se adjunta al mensaje , significa que el mensaje no se modifico en el
transito. Si no coinciden no se garantiza la integridad.
Función de Hash
Existen tres funciones de hash muy conocidas:

MD5 with 128-bit Digest
MD5 es una función unidireccional que produce un mensaje hash de 128 bits .
MD5 es un algoritmo heredado que solo debe usarse cuando no hay mejores
alternativas disponibles. Use SHA-2 en su lugar.
SHA Hashing Algorithm

SHA-1 es muy similar a las funciones hash MD5. Existen numerosas versiones.
SHA-1 crea un mensaje hash de 160 bits y es un poco más lento que MD5.
SHA-1 tiene defectos conocidos y es un algoritmo obsoleto. Use SHA-2 cuando
sea posible.
SHA-2
Esto incluye SHA-224 (224 bit), SHA-256 (256 bit), SHA-384 (384 bit) y SHA-
512 (512 bit). SHA-256, SHA-384 y SHA-512 son algoritmos de última
generación y deben utilizarse siempre que sea posible.
Mientras que el hash se puede utilizar para detectar modificaciones
accidentales, no brinda protección contra cambios deliberados. No existe
información de identificación única del emisor en el procedimiento de hash.
Esto significa que cualquier persona puede calcular un hash para los datos,
siempre y cuando tengan la función de hash correcta.
Por ejemplo, cuando un mensaje pasa por la red, un atacante potencial puede
interceptarlo, cambiarlo, o recalcular el hash y añadirlo al mensaje. El
dispositivo receptor solo validará el hash que esté añadido.
Por lo tanto, el hash es vulnerable a los ataques man-in-the-middle y no
proporciona seguridad a los datos transmitidos. Para proporcionar integridad y
autenticación de origen, se necesita algo más.
Autenticación de Origen
Para agregar autenticación al control de integridad, se usa un código de
autenticación de mensajes hash con clave (HMAC). Los HMAC utilizan una
clave secreta adicional como entrada a la función de hash.
Algoritmo HMAC
Como se muestra en la figura, un HMAC se calcula utilizando cualquier
algoritmo criptográfico que combine una función hash criptográfica con una
clave secreta. Las funciones de hash son la base del mecanismo de protección
de HMAC.
Solo el emisor y el receptor conocen la clave secreta y el resultado de la
función de hash ahora depende de los datos de entrada y la clave secreta. Solo
las personas que tienen acceso a esa clave secreta pueden calcular la síntesis
de una función de HMAC. Esta característica derrota los ataques man-in-the-
middle y proporciona autenticación del origen de los datos.
Confidencialidad de los Datos
Hay dos clases de encriptación utilizadas para brindar confidencialidad de los

datos. Estas dos clases se diferencian en cómo utilizan las claves.
Los algoritmos de cifrado simétricos como (Data Encryption Standard ,DES)
3DES y el Estándar de cifrado avanzado (Advanced Encryption Standard ,AES)
se basan en la premisa de que cada parte que se comunica conoce la clave
precompartida. La confidencialidad de los datos también se puede garantizar
utilizando algoritmos asimétricos, incluidos Rivest, Shamir y Adleman (RSA) y
la infraestructura de clave pública (public key infrastructure , PKI).
Diferencias entre cada método de algoritmo de encriptación:
Cifrado Simétrico
Los algoritmos simétricos utilizan la misma clave precompartida para encriptar
y desencriptar datos. Antes de que ocurra cualquier comunicación encriptada,
el emisor y el receptor conocen la clave precompartida, también llamada clave
secreta.
Hoy en día, los algoritmos de encriptación simétrica suelen utilizarse con el
tráfico de VPN. Esto se debe a que los algoritmos simétricos utilizan menos
recursos de CPU que los algoritmos de encriptación asimétrica. La mayoría de
las claves de encriptación tienen entre 112 bits y 256 bits. Para garantizar que
la encriptación sea segura, se recomienda una longitud mínima de clave de
128 bits.
Algoritmos de cifrado simétrico :
Algoritmos
de
Descripción
encriptación
simétrica
Data
Este es un algoritmo de cifrado simétrico heredado. Utiliza
Encryption
una longitud de clave corta que lo hace inseguro para la
Standard
mayoría de los usos actuales.
(DES)
El es el reemplazo de DES y repite el proceso del algoritmo
3DES
DES tres veces. Debe evitarse si es posible, ya que está
(Triple DES)
programado para retirarse en 2023.
Advanced AES es un algoritmo seguro y más eficiente que 3DES. Es un
algoritmo de cifrado simétrico. Ofrece nueve combinaciones
Encryption
de clave y longitud de bloque mediante el uso de una clave
Standard
de longitud variable de 128, 192 o 256 bits para cifrar
(AES)
bloques de datos que son de 128, 192 o 256 bits de largo.
Software-
Un algoritmo de cifrado simétrico rápido y alternativo para
Optimized
DES y 3DES 3DES, y AES. Utiliza una clave de cifrado de 160
Encryption
bits y tiene un impacto menor en la CPU en comparación con
Algorithm
otros algoritmos basados en software.
(SEAL)
Este algoritmo fue desarrollado por Ron Rivest. Se han
Rivest desarrollado varias variaciones, pero el RC4 es el que más se
ciphers usa. RC4 es un cifrado que se utilizó para proteger el tráfico
(RC) series web. Se ha descubierto que tiene múltiples vulnerabilidades
algorithms que lo han vuelto inseguro. RC4 no debe utilizarse. Se usa
para el tráfico web SSL/TSL
Cifrado Asimétrico
Los algoritmos asimétricos tambien se conocen como public-key-algorithms
están diseñados para que la clave de encriptación y la de desencriptación sean
diferentes.
Los algoritmos asimétricos utilizan una clave pública y una privada. Ambas
claves son capaces de encriptar, pero se requiere la clave complementaria para
la desencriptación. Los datos encriptados con la clave privada requieren la
clave pública para desencriptarse. Los algoritmos asimétricos logran
confidencialidad, autenticación e integridad mediante el uso de este proceso.
La encriptación asimétrica puede utilizar longitudes de claves entre 512 y
4,096 bits. Se confía en longitudes de clave superiores o equivalentes a 1024
bits.
Protocolos en los que se utilizan algoritmos de claves asimétricos :
• Internet Key Exchange (IKE) : es un componente fundamental de las
VPN con IPsec.
• Secure Socket Layer (SSL) : ahora se implementa como Seguridad de
la capa de transporte (TLS) estándar de IETF.
• Secure Shell (SSH) : este protocolo proporciona una conexión segura
de acceso remoto a dispositivos de red.
• Pretty Good Privacy (PGP) : este programa de computadora
proporciona privacidad y autenticación criptográfica. A menudo, se utiliza
para aumentar la seguridad de las comunicaciones por correo
electrónico.
Los algoritmos asimétricos son sustancialmente más lentos que los simétricos.
Dado que carecen de velocidad, los algoritmos asimétricos se utilizan
típicamente en criptografías de poco volumen, como las firmas digitales y el
intercambio de claves. La administración de claves de algoritmos asimétricos
tiende a ser más simple que la de algoritmos simétricos porque, generalmente,
es posible hacer pública una de las dos claves .
Ejemplos comunes de algoritmo de encriptación asimétrica :
Algoritmo de Longitu
cifrado d de la Descripción
asimétrico Clave
El algoritmo Diffie-Hellman permite que dos
512, partes acuerden una clave que pueden usar para
Diffie-Hellman 1024, cifrar mensajes que desean enviarse entre ellos.
2048, La seguridad de este algoritmo depende de la
(DH) 3072, suposición de que es fácil elevar un número a una
4096 determinada potencia, pero es difícil calcular qué
potencia se utilizó dado el número y el resultado.
Digital
Signature
DSS especifica DSA como el algoritmo para firmas
Standard
digitales. DSA es un algoritmo de clave pública
(DSS)
512 - basado en el esquema de firma ElGamal. La
and
1024 velocidad de creación de firmas es similar a RSA,
Digital
pero es de 10 a 40 veces más lenta para la
Signature
verificación.
Algorithm
(DSA)
RSA es para criptografía de clave pública que se
Rivest, basa en la dificultad actual de factorizar números
Shamir, and muy grandes. Es el primer algoritmo que se sabe
Entre
Adleman que es adecuado tanto para la firma como para el
512 y
encryption cifrado. Se usa ampliamente en los protocolos de
2048
algorithms comercio electrónico y se cree que es seguro
(RSA) dadas las claves suficientemente largas y el uso
de implementaciones actualizadas.
EIGamal 512 - Un algoritmo de cifrado de clave asimétrica para
1024 criptografía de clave pública que se basa en el
acuerdo de clave Diffie-Hellman. Una desventaja
del sistema ElGamal es que el mensaje encriptado
se vuelve muy grande, aproximadamente el doble
del tamaño del mensaje original y por esta razón
solo se usa para mensajes pequeños como claves
secretas.
La criptografía de curva elíptica se puede utilizar
para adaptar muchos algoritmos criptográficos,
Elliptic curve
160 como Diffie-Hellman o ElGamal. La principal
techniques
ventaja de la criptografía de curva elíptica es que
las claves pueden ser mucho más pequeñas.
Diffie-Hellman
Diffie-Hellman (DH) es un algoritmo matemático asimétrico que permite que

dos computadoras generen una clave secreta idéntica compartida sin antes
haberse comunicado. El emisor y el receptor nunca intercambian realmente la
nueva clave compartida.
Tes ejemplos de casos en los que el algoritmo de DH suele utilizarse:
• Se intercambian datos mediante una VPN con IPsec
• Se encriptan datos en Internet usando SSL o TLS
• Se intercambian datos de SSH
La seguridad de DH utiliza números increíblemente grandes en sus cálculos.

Por ejemplo, un número del algoritmo de DH de 1024 bits es
aproximadamente igual a un número decimal de 309 dígitos.
4. Propósito de las ACL

Los enrutadores toman decisiones de enrutamiento basadas en la información
del encabezado del paquete. El tráfico que ingresa a una interfaz de enrutador
se enruta únicamente en función de la información dentro de la tabla de
enrutamiento. El router compara la dirección IP de destino con las rutas de la
tabla de enrutamiento para encontrar la mejor coincidencia y, a continuación,
reenvía el paquete según la mejor ruta de coincidencia. Ese mismo proceso se
puede utilizar para filtrar el tráfico mediante una lista de control de acceso
(ACL).
Una ACL es una serie de comandos del IOS que controlan si un router reenvía
o descarta paquetes según la información que se encuentra en el encabezado
del paquete.
Una ACL utiliza una lista secuencial de declaraciones de permiso o denegación,
conocidas como entradas de control de acceso (Access Control Entries, ACE) y
como ACL Statements.
Cuando el tráfico de la red atraviesa una interfaz configurada con una ACL, el
router compara la información dentro del paquete con cada ACE, en orden
secuencial, para determinar si el paquete coincide con una de las ACE. Este
proceso se denomina filtrado de paquetes, packet filtering.
Varias tareas realizadas por los enrutadores requieren el uso de ACL para
identificar el tráfico. La tabla enumera algunas de estas tareas con ejemplos.
Tarea Ejemplo
• Una política corporativa prohíbe el tráfico de
Limitan el tráfico de la video en la red para reducir la carga de la
red para aumentar su red.
rendimiento. • Se puede aplicar una política mediante ACL
para bloquear el tráfico de video.
• Una política corporativa requiere que el
tráfico del protocolo de enrutamiento se limite
solo a ciertos enlaces.
Proporcionan control del • Se puede implementar una política utilizando
flujo de tráfico. ACL para restringir la entrega de
actualizaciones de enrutamiento solo a
aquellas que provienen de una fuente
conocida.
• La política corporativa exige que el acceso a
Proporcionan un nivel la red de Recursos Humanos esté restringido
básico de seguridad para únicamente a usuarios autorizados.
el acceso a la red. • Se puede aplicar una política mediante ACL
para limitar el acceso a redes específicas.
• La política corporativa exige que se permita el
tráfico de correo electrónico en una red, pero
Filtra el tráfico según el que se deniegue el acceso Telnet.
tipo de tráfico
• Se puede implementar una política utilizando
ACL para filtrar el tráfico por tipo.
• La política corporativa requiere que el acceso
Filtran a los hosts para a algunos tipos de archivos (por ejemplo, FTP
permitirles o denegarles o HTTP) se limite a grupos de usuarios.
el acceso a los servicios • Se puede implementar una política utilizando
de red. ACL para filtrar el acceso de los usuarios a los
servicios.
• El tráfico corporativo especifica que el tráfico
de voz se reenvíe lo más rápido posible para
Proporcionar prioridad a evitar cualquier interrupción.
determinadas clases de
tráfico de red • Se puede implementar una política utilizando
ACL y servicios QoS para identificar el tráfico
de voz y procesarlo de inmediato.
Filtrado de paquetes – Packet Filtering

El filtrado de paquetes controla el acceso a una red mediante el análisis de los
paquetes entrantes y salientes y la transferencia o el descarte de estos según
criterios determinados. El filtrado de paquetes puede producirse en la capa
3(Network) o capa 4(Transport).
ACL estándar : las ACL sólo filtran en la capa 3 utilizando únicamente la
dirección IPv4 de origen.
ACL extendidas : las ACL filtran en la capa 3 mediante la dirección IPv4 de
origen y/o destino. También pueden filtrar en la Capa 4 usando TCP, puertos
UDP e información de tipo de protocolo opcional para un control más fino.
Funcionamiento de las ACL

Las ACL definen el conjunto de reglas que proporcionan un control adicional
para los paquetes que ingresan por las interfaces de entrada, para los que
retransmiten a través del router y para los que salen por las interfaces de
salida del router.
Las ACL se pueden configurar para aplicarse al tráfico entrante y al tráfico
saliente
Las ACL no operan sobre paquetes que se originan en el router mismo.
Una Inbound ACL (entrante) filtra los paquetes antes de que se enruten a la
interfaz saliente. Las Inbound ACL (entrante) son frecuentes, porque ahorran
la sobrecarga de enrutar búsquedas si el paquete se descarta. Si las ACL
permiten el paquete, este se procesa para el routing. Las ACL de entrada son
ideales para filtrar los paquetes cuando la red conectada a una interfaz de
entrada es el único origen de los paquetes que se deben examinar.
Las Outbound ACL (de salida) filtran los paquetes después de que se enrutan,
independientemente de la interfaz de entrada. Los paquetes entrantes se
enrutan a la interfaz saliente y luego se procesan a través de la ACL saliente.
Las ACL de salida son ideales cuando se aplica el mismo filtro a los paquetes
que proporcionan varias interfaces de entrada antes de salir por la misma
interfaz de salida.
Cuando se aplica una ACL a una interfaz. Por ejemplo, a continuación se

indican los pasos operativos que se utilizan cuando el tráfico ha entrado en una
interfaz de enrutador con una ACL IPv4 estándar entrante configurada.
1. El enrutador extrae la dirección IPv4 de origen del encabezado del
paquete.
2. El enrutador comienza en la parte superior de la ACL y compara la
dirección IPv4 de origen con cada ACE en un orden secuencial.
3. Cuando se hace una coincidencia, el enrutador lleva a cabo la
instrucción, ya sea permitiendo o rechazando el paquete, y las ACE
restantes en la ACL, si las hay, no se analizan.
4. Si la dirección IPv4 de origen no coincide con ninguna ACE de la ACL, el
paquete se descarta porque hay una ACE de denegación implícita
aplicada automáticamente a todas las ACL.
La última declaración ACE de una ACL es siempre una denegación implícita que
bloquea todo el tráfico. De forma predeterminada, esta instrucción se implica
automáticamente al final de una ACL aunque esté oculta y no se muestre en la
configuración.
Una ACL debe tener al menos una instrucción permit, de lo contrario, se
denegará todo el tráfico debido a la sentencia deny ACE implícita.
Wildcard Masks in ACLs

Un ACE IPv4 utiliza una máscara wildcard de 32-bit para determinar qué bits
de la dirección debe examinar para obtener una coincidencia.
La máscara wildcard utilza el proceso ANDing para identificar que bits de la
ipv4 deben hacer match.
Las máscaras wildcard utilizan las siguientes reglas para establecer la
coincidencia entre los unos y ceros binarios:
• Wildcard mask bit 0 : coincide con el valor de bit correspondiente en la
dirección
• Wildcard mask bit 1 : Ignora el valor de bit correspondiente en la
dirección
Ejemplos de Wilcard:
Máscara Último octeto Significado (0 - coincidencia, 1 -

comodín (en binario) ignorar)
0.0.0.0 0 • Coinciden todos los octetos.
• Coincidir con los primeros tres octetos
• Coincidir con los dos bits más a la
0.0.0.63 111111
izquierda del último octeto
• Ignore los últimos 6 bits de dirección
• Coinciden los primeros tres octetos
• Coincidir con los cuatro bits más a la
0.0.0.15 1111 izquierda del último octeto
• Ignorar los últimos 4 bits del último
octeto
• Coinciden los primeros tres octetos
• Ignorar los seis bits más a la izquierda
0.0.0.252 11111100
del último octeto
• Coincidir con los dos últimos bits
• Coincidir con los tres primeros octetos
0.0.0.255 11111111
• Ignorar el último octeto
Tipos de máscara comodín (Wildcard Mask)
Comodines para coincidir con un host: se requiere una máscara comodín
que consta de todos los ceros (es decir, 0.0.0.0)
Máscara comodín para que coincida con una subred IPv4:
La subred /24 es 0.0.0.255
Máscara comodín para coincidir con un rango de direcciones IPv4:
Realizar el cálculo sobre el rango
Cálculo de máscara wildcard

Un método abreviado es restar la máscara de subred a 255.255.255.255.
Ejemplo 1:
Para permitir el acceso a todos los usuarios en la red 192.168.3.0/24
Valor inicial 255.255.255.2

55
Sustraer la máscara de - 255.255.255.
subred 0
Wilcard resultante 0. 0. 0.255
Ejemplo 2 :
Para permitir el acceso a la red a los 14 usuarios en la subred
192.168.3.32/28. Resta la subred (es decir, 255.255.255.240) de
255.255.255.255

55
subred 240
Wilcard resultante 0. 0. 0. 15
Ejemplo 3 :
Para permitir sólo las redes 192.168.10.0 y 192.168.11.0. Estas dos redes se
pueden resumir como 192.168.10.0/23, que es una máscara de subred de
255.255.254.0

55
subred 0
Wilcard resultante 0. 0. 1. 255
Ejemplo 4
Para que coincida con las redes en el rango entre 192.168.16.0/24 y
192.168.31.0/24. Este rango de red podría resumirse como 192.168.16.0/20,
que es una máscara de subred de 255.255.240.0 .
Palabras claves de la Wildcard
Las palabras clave reducen las pulsaciones de teclas ACL y facilitan la lectura
del ACE.
Las dos palabras clave son:
• host : - esta palabra clave sustituye a la máscara 0.0.0.0. Esta máscara
indica que todos los bits de direcciones IPv4 deben coincidir para filtrar
solo una dirección de host.
• Any : esta palabra clave sustituye a la máscara 255.255.255.255. Esta
máscara establece que se omita la dirección IPv4 completa o que se
acepte cualquier dirección.
Se configuran dos ACL. ACL 10 ACE permite sólo el host 192.168.10.10 y ACL
11 ACE permite todos los hosts.
las palabras clave host y any podría haber sido utilizado para reemplazar la
salida resaltada.
Número límite de ACL’s por interfaz

Existe un límite en el número de ACL que se pueden aplicar en una interfaz de
enrutador. Por ejemplo, una interfaz de enrutador de doble stack (es decir,
IPv4 e IPv6) puede tener hasta cuatro ACL aplicadas.
Específicamente, una interfaz de router puede tener:
• una ACL IPv4 saliente
• una ACL IPv4 entrante
• una ACL IPv6 entrante
• una ACL IPv6 saliente
Optimizaciones de las ACL
Pautas que forman la base de una lista de mejores prácticas de ACL.
Types of IPv4 ACLs

ACL estándar y extendidas
Existen dos tipos de ACL IPv4:

• ACL estándar : Permiten o deniegan paquetes basandose unicamente
en la IP de origen
• ACL extendidas : Permiten o deniegan paquetes basados en la
dirección IPv4 de origen y la dirección IPv4 de destino, el tipo de
protocolo, los puertos TCP o UDP de origen y destino y más.
ALC estándar.
ACL 10 permite hosts en la red de origen 192.168.10.0/24. Debido al "deny

any" implícito al final, todo el tráfico, excepto el tráfico que proviene de la red
192.168.10.0/24, está bloqueado con esta ACL.
En el siguiente ejemplo, un ACL 100 extendido permite el tráfico que se origina
desde cualquier host en la red 192.168.10.0/24 a cualquier red IPv4 si el
puerto del host de destino es 80 (HTTP).
Listas ACL denominadas y numeradas
ACLs numeradas
Las ACL número 1 a 99, o 1300 a 1999 son ACL estándar, mientras que las
ACL número 100 a 199, o 2000 a 2699 son ACL extendidas
ACLs nombradas
Las ACL estándar y extendidas se pueden nombrar para proporcionar
información sobre el propósito de la ACL
El comando de configuración ip access-list se utiliza para crear una ACL con
nombre
Las reglas que se deben seguir para las ACL con nombre.
• Asigne un nombre para identificar el propósito de la ACL.
• Los nombres pueden contener caracteres alfanuméricos.
• Los nombres no pueden contener espacios ni signos de puntuación.
• Se sugiere escribir el nombre en MAYÚSCULAS.
• Se pueden agregar o eliminar entradas dentro de la ACL.
Dónde ubicar las ACL

Cada ACL se debe colocar donde tenga más impacto en la eficiencia.
La figura ilustra dónde deben ubicarse las ACL estándar y extendidas en una
red empresarial. Asuma el objetivo de evitar que el tráfico que se origina en la
red 192.168.10.0/24 llegue a la red 192.168.30.0/24.
Las ACL extendidas deben ubicarse lo más cerca posible del origen del tráfico
que se desea filtrar. De esta manera, el tráfico no deseado se deniega cerca de
la red de origen, sin que cruce la infraestructura de red.
Las ACL estándar deben ubicarse lo más cerca posible del destino. Si se
colocó una ACL estándar en el origen del tráfico, el "permit" o la "deny" se
producirán en función de la dirección de origen, sin importar el destino del
tráfico.
La colocación de la ACL y, por lo tanto, el tipo de ACL utilizada, también puede
depender de una variedad de factores que se enumeran en la tabla.
Factores que
influyen en la Explicación
colocaciónde ACL
El alcance del La ubicación de la ACL puede depender de si la
control de la organización tiene o no el control de las redes de origen y
organización de destino.
Ancho de banda Puede ser deseable filtrar el tráfico no deseado en el
de las redes origen para evitar transmisión de tráfico que consume
implicadas ancho de banda.
• Puede ser más fácil implementar una ACL en el
destino, pero el tráfico utilizará el ancho de banda
innecesariamente.
Facilidad de • Se podría usar una ACL extendida en cada
configuración enrutador donde el tráfico se originó. Esto ahorraría
ancho de banda filtrando el tráfico en la fuente,
pero requeriría crear ACL extendidas en múltiples
adyacentes.
Ejemplo de ubicación de una ACL estándar

Siguiendo las pautas para la colocación de ACL, las ACL estándar deben
ubicarse lo más cerca posible del destino.
Siguiendo las pautas básicas de colocación, el administrador colocaría una ACL
estándar en el router R3. Hay dos interfaces posibles en R3 para aplicar la ACL
estándar:
• R3 S0/1/1 interface (inbound) : la ACL estándar se puede aplicar
entrante en la interfaz R3 S0/1/1 para denegar el tráfico de la red .10.
Sin embargo, también filtraría el tráfico .10 a la red 192.168.31.0/24
(.31 en este ejemplo). Por lo tanto, la ACL estándar no debe aplicarse a
esta interfaz.
• R3 G0/0 interface (outbound) : la ACL estándar se puede aplicar
saliente en la interfaz R3 G0/0/0. Esto no afecta a las otras redes con las
que se puede comunicar R3. Los paquetes de la red.10 seguirán siendo
capaces de llegar a la red.31. Esta es la mejor interfaz para colocar la
ACL estándar.
Ejemplo de ubicación de una ACL extendida
La ACL extendida debe ubicarse lo más cerca posible del origen. Esto evita que
el tráfico no deseado se envíe a través de varias redes y luego sea denegado
cuando llegue a destino.
Sin embargo, los administradores de red solo pueden colocar las listas ACL en
los dispositivos que controlan. Por lo tanto, la ubicación extendida de ACL debe
determinarse en el contexto de donde se extiende el control de la organización.
En la figura, por ejemplo, la empresa A quiere denegar el tráfico Telnet y FTP a

la red 192.168.30.0/24 de la compañía B desde su red 192.168.11.0/24
mientras permite el resto del tráfico.
La solución es colocar una ACL extendida en R1 que especifique las direcciones

de origen y destino.
• R1 S0/1/0 Interface (outbound) : La ACL extendida se puede aplicar
saliente en la interfaz S0/1/0. Sin embargo, esta solución procesará
todos los paquetes que salgan de R1, incluidos los paquetes de
192.168.10.0/24.
• R1 G0/0/1 interface (inbound) : La ACL extendida se puede aplicar
entrante en el G0 / 0/1 y solo los paquetes de la red 192.168.11.0/24
están sujetos al procesamiento de ACL en R1. Debido a que el filtro se
debe limitar solo a aquellos paquetes que salen de la red
192.168.11.0/24, la aplicación de una ACL extendida a G0/1 es la mejor
solución.
5. Create an ACL
Al configurar una ACL compleja, se sugiere que:
• Utilice un editor de texto y escriba los detalles de la política que se va a
implementar.
• Agregue los comandos de configuración del IOS para realizar esas
tareas.
• Incluya comentarios para documentar la ACL.
• Copie y pegue los comandos en el dispositivo. Probar* siempre

exhaustivamente una ACL para asegurarse de que aplica correctamente
la política deseada.
Sintaxis de ACL estándar numerada para IPv4

Para crear una ACL estándar numerada:
no access-list access-list-number para eliminar una ACL estándar numerada
Parámetro Descripción
• Este es el número decimal de la ACL.
access-list-
number • El rango de números ACL estándar es de 1 a 99 o
1300 a 1999.
deny Esto deniega el acceso si la condición coincide.
permit Esto permite el acceso si la condición coincide.
• (Opcional) Esto agrega una entrada de texto para
fines de documentación.
remark text
• El texto de cada comentario tiene un límite de 100
caracteres.
source • Esto identifica la red de origen o la dirección de host
que se va a filtrar.
• Utilice la palabra clave any para especificar todas las
redes.
• Utilice la palabra clave host ip-address o
simplemente ingrese una dirección IP (sin el host )
para identificar una dirección IP específica.
(Opcional) Máscara wildcard de 32 bits para aplicar al
source-wildcard origen. Si se omite, se asume una máscara 0.0.0.0
predeterminada.
• (Opcional) Esta palabra clave genera y envía un
mensaje informativo siempre que se haga coincidir el
ACE.
• El mensaje incluye el número ACL, la condición
coincidente (es decir, permitido o denegado),
log dirección de origen y número de paquetes.
• Este mensaje se genera para el primer paquete
coincidente.
• Esta palabra clave solo debe implementarse para
solucionar problemas o razones de seguridad .
Sintaxis de ACL con nombre estándar para IPv4
Para crear una ACL estándar nombrada:
Los nombres de las ACL son alfanuméricos, distinguen mayúsculas de

minúsculas y deben ser únicos. No es necesario que los nombres de las ACL
comiencen con mayúscula, pero esto los hace destacarse.
no ip access-list standard access-list-name para eliminar una ACL IPv4
estándar nombrada.
Se crea una ACL estándar para IPv4 llamada NO-ACCESS. Observe que el
indicador cambia al modo Standard Name ACL.
Aplicación de una ACL estándar para IPv4
Después de crear la ACL la vinculamos con el siguiente comando:
Para eliminar una ACL de una interfaz, primero introduzca el comando de

configuración de no ip access-group interface. Sin embargo, la ACL seguirá
configurada en el enrutador Para eliminar la ACL del router, use el comando de
configuración global no access-list.
Ejemplo de ACL estándar para IPv4 numerada

Demostración la configuración y aplicación de ACL estándar para IPv4
numeradas y nombradas a una interfaz. Este primer ejemplo muestra una
implementación de ACL estándar para IPv4 numerada.
Supongamos que solo PC1 está permitido salir a Internet. Para habilitar esta
directiva, se podría aplicar una ACE ACL estándar saliente en S0/1/0,
El resultado del comando show access-lists, no muestra las instrucciones
remark. ACL remarks se muestran en el archivo de configuración en
ejecución. Aunque el remark comando no es necesario para habilitar la ACL,
se recomienda encarecidamente para fines de documentación.
Ahora suponga que una nueva directiva de red establece que los hosts de LAN
2 también deben ser permitidos a Internet. Para habilitar esta directiva, se
podría agregar una segunda ACE al ACL estándar a ACL 10, como se muestra
en el ejemplo.
Aplique la ACL 10 de salida en la interfaz Serial 0/1/0.
La política resultante de ACL 10 sólo permitirá al host 192.168.10.10 y a todos

los hosts de LAN 2 salir de la interfaz Serial 0/1/0. Todos los demás hosts de la
red 192.168.10.0 no podrán acceder a Internet.
Utilice el comando show running-config para revisar la ACL en la
configuración.
También se muestran las instrucciones remarks.

Por último, utilice el show ip interface comando para verificar si una interfaz
tiene una ACL aplicada.
Ejemplo de ACL estándar con nombre para IPv4
Este segundo ejemplo muestra una implementación de ACL estándar para IPv4
con nombre. La topología se repite en la figura para su conveniencia.
Supongamos que solo PC1 está permitido salir a Internet. Para habilitar esta
directiva, una ACL estándar con nombre llamada PERMIT-ACCESS podría
aplicarse saliente en S0/1/0.
Elimine la ACL 10 previamente configurada y cree una ACL estándar con
nombre llamada PERMIT-ACCESS, como se muestra aquí.
Ahora agregue un ACE que permita sólo el host 192.168.10.10 y otro ACE que
permita todos los hosts LAN 2 a Internet.
Aplique la nueva ACL con nombre saliente a la interfaz Serial 0/1/0.
Utilice el comando show access-lists and show running-config para revisar

la ACL en la configuración
El comando show ip interface para verificar si una interfaz tiene una ACL
aplicada
Dos métodos para modificar una ACL
Dos métodos que se utilizarán al modificar una ACL:

Método de edicion en txt; Las ACL con varias ACE deben crearse en un
editor de texto. Esto le permite planificar las ACE requeridas, crear la ACL y
luego pegarla en la interfaz del router. También simplifica las tareas para
editar y corregir una ACL. Si se introduce una ACE erronea. Hay que Editar la
ACL correcta en un txt, eliminar la existente en el router e introducir la nueva
ACL.
Método de números de secuencia: Los números de secuencia se asignan
automáticamente cuando se introduce una ACE. Estos números se enumeran
en el comando show access-lists . El comando show running-config no
muestra números de secuencia.
Utilice el comando ip access-list standard para editar una ACL. Las

instrucciones no se pueden sobrescribir con el mismo número de secuencia que
el de una instrucción existente. Por lo tanto, la instrucción actual debe
eliminarse primero con el comando no 10. A continuación, se configura el ACE
correcto utilizando el número de secuencia 10. Compruebe los cambios
mediante el show access-lists comando.
Modificar una ACL con nombre
Las ACL con nombre también pueden utilizar números de secuencia para
eliminar y agregar ACE
Observe que el número de secuencia 15 se muestra antes que el número de

secuencia 10. Sería de esperar que el orden de las instrucciones en el
resultado reflejará el orden en que se introdujeron. Sin embargo, el IOS pone
las declaraciones de host en un orden utilizando una función de hashing
especial. El orden resultante optimiza la búsqueda de una entrada ACL de host
y luego busca el rango de las instrucciones.
Nota: Nota: la función de hash se aplica solamente a las instrucciones de host
en listas de acceso de IPv4 estándar.
Estadísticas de ACL
El comando show access-lists muestra las coincidencias de cada ACE.
La denegación implícita de cualquier última instrucción no muestra ninguna
estadística. Para realizar un seguimiento de cuántos paquetes denegados
implícitos se han asociado, debe configurar manualmente el comando deny
any al final de la ACL.
Utilice el comando clear access-list counters para borrar las estadísticas de
ACL. Este comando se puede utilizar solo o con el número o el nombre de una
ACL específica.
Protección de puertos VTY con una ACL
estándar para IPv4
El comando access-class
Comando para aplicar una ACL a las líneas vty:
Generalmente se aplica más que filtre el tráfico in que el tráfico out.

• Se pueden aplicar tanto ACL numeradas como nombradas.
• La ACL se aplica a todas las lineas VTY dado que la conexión se puede
realizar en cualquiera de ellas.
Ejemplo de acceso seguro a VTY
Cómo configurar una ACL para filtrar el tráfico vty. En este ejemplo, sólo se
permitirá a PC1 hacer Telnet a R1.
Para aumentar el acceso seguro, se creará un nombre de usuario y una
contraseña, y se utilizará el método de autenticación login local en las líneas
vty. El comando del ejemplo crea una entrada de base de datos local para un
usuario ADMIN y una contraseña class.
Se crea una ACL estándar llamada ADMIN-HOST e identifica PC1. Observe que
se ha configuradodeny any para realizar un seguimiento del número de veces
que se ha denegado el acceso.
para permitir sólo SSH

Para verificar las estadísticas de ACL, ejecute el comando show access-lists.
Observe el mensaje informativo que aparece en la consola con respecto al
usuario administrador. También se genera un mensaje informativo de la
consola cuando un usuario sale de la línea vty.
Listas ACL extendidas
Pueden filtrar por dirección de origen, dirección de destino, protocolo (es decir,
IP, TCP, UDP, ICMP) y número de puerto.
Las ACL extendidas se pueden crear como:
• ACL Extendido Numerada: Se crea con el comando access-list
access-list-number global configuration command.
• ACL Extendida Nombrada: Se crea con el comando ip access-list
extended access-list-name
Sintaxis de ACL extendida numerada para IPv4
Primero se configura la ACL extendida y, a continuación, se activa en una

interfaz.
Para crear una ACL extendida numerada:
no ip access-list extended access-list-name para eliminar una ACL

extendida.
Sintaxis de una ACL extendida:
Parámetro Descripción
• Este es el número decimal de la ACL.
access-list-number • El rango de números ACL extendido es de 100 a
199 y de 2000 a 2699.
deny Esto deniega el acceso si la condición coincide.
permit Esto permite el acceso si la condición coincide.
• (Opcional) Agrega una entrada de texto para fines
de documentación.
remark text
• El texto de cada comentario tiene un límite de 100
caracteres.
• Nombre o número de un protocolo de Internet.
• Las palabras clave más comunes incluyen ip, tcp,
protocol udp e icmp.
• La palabra clave ip coincide con todos los
protocolos IP.
• Esto identifica la red de origen o la dirección de
host que se va a filtrar.
• Utilice la palabra clave any para especificar todas
source las redes.
• Utilice la palabra clave host ip-address o
simplemente una dirección IP (sin host ) para
identificar una dirección IP
(Opcional) Máscara wildcard de 32 bits para aplicar al
source-wildcard
origen.
• Esto identifica la red de destino o la dirección de
host que se va a filtrar.
• Utilice la palabra clave any para especificar todas
destination
las redes.
• Use la palabra clave host ip-address o ip-address
sin host
destination- (Opcional) Máscara wildcard de 32 bits para aplicar al
wildcard destino.
operator • (Opcional) Compara los puertos source y
destination.
• Los operandos posibles incluyen lt (less than), gt
(greater than), eq (equal), neq (not equal), y
rango (inclusive range).
(Opcional) El nombre o número decimal de un puerto TCP
port
o UDP.
• (Opcional) Sólo para el protocolo TCP.
established • Esta es una característica de firewall de 1a
generación.
• (Opcional) Esta palabra clave genera y envía un
mensaje informativo siempre que se haga coincidir
el ACE.
• Este mensaje incluye el número ACL, la condición
coincidente (es decir, permitido o denegado),
log
dirección de origen y número de paquetes.
• Este mensaje se genera para el primer paquete
coincidente.
• Esta palabra clave solo debe implementarse para
solucionar problemas o seguridad razones.
Comando para aplicar una ACL extendida de IPv4 a una interfaz :
Para eliminar la ACL de la interfaz no ip access-group

Para eliminar la ACL no access-list
Protocolos y puertos
Opciones de protocolo:
Los más utilizados son IP, TCP, UDP e ICMP:
También se puede especificar con el número de protocolo IP. ICMP=1, TCP=6,
UDP=17
Dentro de cada protocolo/puerto escogido, tenemos más protocolos con sus
puertos:
Ejemplos de Configuración de Protocolos y Números de
Puerto
En este ejemplo se configura una ACL 100 extendida para filtrar el tráfico
HTTP. El primer ACE utiliza el nombre del www puerto. El segundo ACE utiliza
el número de puerto 80. Ambas ACE logran exactamente el mismo resultado.
La configuración del número de puerto es necesaria cuando no aparece un

nombre de protocolo específico, como SSH (número de puerto 22) o HTTPS
(número de puerto 443) .
Aplicar una ACL extendida de IPv4 numerada
implementación de ACL extendida de IPv4 numerada.

La ACL permite que el tráfico HTTP y HTTPS de la red 192.168.10.0 vaya a
cualquier destino.
Las ACL extendidas se pueden aplicar en varias ubicaciones. Sin embargo,
normalmente se aplican cerca del origen.
ACL 110 se aplicó entrante en la interfaz R1 G0/0/0.
TCP Established Extended ACL
TCP también puede realizar servicios básicos de firewall statefull usando la

keyword established. Esto permite que el tráfico interno salga de la red
privada interna y permite que el tráfico de respuesta devuelta entre en la red
privada interna .
Sin embargo, se deniega el tráfico TCP generado por un host externo e
intentando comunicarse con un host interno.
La palabra clave established se puede usar para permitir sólo el tráfico HTTP
de retorno de los sitios web solicitados, al tiempo que deniega el resto del
tráfico.
En el ejemplo, ACL 120 está configurado para permitir sólo devolver tráfico
web a los hosts internos. A continuación, la nueva ACL se aplica saliente en la
interfaz R1 G0/0/0. El comando show access-lists muestra ambas ACL.
El parámetro established established permite que solo las respuestas al

tráfico procedente de la red 192.168.10.0/24 vuelvan a esa red.
Específicamente, se produce una coincidencia si el segmento TCP devuelto
tiene los bits de indicador ACK o reset (RST) establecidos. Esto indica que el
paquete pertenece a una conexión existente.
Sintaxis de ACL IPv4 extendida nombradas
Los nombres de ACL son alfanuméricos, distinguen entre mayúsculas y

minúsculas y deben ser únicos.
Se realiza con el siguiente comando:
Las instrucciones ACE se introducen en el modo de subconfiguración de ACL.
• SURFING : Esto permite que el tráfico HTTP y HTTPS salga a internet
• BOWSING : Esto solo permitirá devolver el tráfico web a los hosts

internos, mientras que el resto del tráfico que sale de la interfaz R1
G0/0/0 se niega implícitamente.
El ejemplo muestra la configuración de la ACL de SURFING entrante y la ACL

de BROWSING saliente.
La ACL de SURFING permite que el tráfico HTTP y HTTPS de los usuarios

internos salga de la interfaz G0/0/1 conectada a Internet. La ACL de
BROWSING permite que el tráfico web que regrese de Internet vuelva a la red
privada interna.
Los hosts internos han estado accediendo a los recursos web seguros desde
Internet. El comando The show access-lists se utiliza para verificar las
estadísticas de ACL. Observe que los contadores HTTPS seguros de permiso (es
decir, eq 443) en la ACL de SURFING y los contadores de retorno establecidos
en la ACL de BROWSING han aumentado.
Editar ACL extendidas - Example
Se puede realizar mediante los numeros de secuencia o editandola completa

en un txt con los cambios relalizados.
El número de secuencia ACE 10 en la ACL de SURFING tiene una dirección de

red IP de origen incorrecta.
Corregir este error utilizando números de secuencia:

Ejemplo de ACL IPv4 extendida con nombre
Suponga que PC1 en la red privada interna está permitido tráfico FTP, SSH,
Telnet, DNS, HTTP y HTTPS. Sin embargo, se debe denegar el acceso a todos
los demás usuarios de la red privada interna.
Se crean dos ACL:
• PERMIT-PC1 : Solo permitira el acceso de PC1 a Internet, y

denegará el resto.
• REPLY-PC1 : Permitirá el tráfico TCP devuelto a PC1 desde Internet, y

se deniegue el resto.
Configuración de ACL PERMIT-PC1 in:

• ACL permite el acceso TCP de PC1 (192.168.10.10) al tráfico FTP
(puertos 20 y 21), SSH (22), Telnet (23), DNS (53), HTTP (80) y HTTPS
(443) . DNS (53) está permitido tanto para TCP como para UDP.
Configuración de ACL REPLY-PC1 out:

• Permitirá el tráfico de retorno a PC1
Factores a tener en cuenta al aplicar una ACL :

• Dispositivo para aplicarlo
• La interfaz para aplicarlo
• La dirección para aplicarlo
La ACL PERMIT-PC1 se aplica entrante y la ACL REPLY-PC1 se aplica saliente

en la interfaz R1 G0/0/0.
Verificación de ACL extendidas

show ip interface
El comando show ip interface se utiliza para verificar la ACL en la interfaz y
la dirección en la que se aplicó.
show access-lists
El comando muestra contadores estadísticos que aumentan cada vez que se
hace coincidir una ACE.
Las ACL extendidas no implementan la misma lógica interna y función de
hashing que las ACL estándar, muestra el orden en el que se ingresaron las
ACE.
show running-config
Para validar lo que se configuró. El comando también muestra los remarks
configurados
6. Espacio de direcciones IPv4 privadas
Rango de direcciones internas RFC

Class Prefix
1918
A 10.0.0.0 a 10.255.255.255 10.0.0.0/8
172.16.0.0/1
B 172.16.0.0 a 172.31.255.255
2
192.168.0.0/
C 192.168.0.0 a 192.168.255.255
16
NAT proporciona la traducción de direcciones privadas a direcciones públicas.

Esto permite que un dispositivo con una dirección IPv4 privada acceda a
recursos fuera de su red privada, como los que se encuentran en Internet.
NAT tiene el beneficio percibido de agregar un grado de privacidad y seguridad
a una red, ya que oculta las direcciones IPv4 internas de redes externas.
Los routers con NAT habilitada se pueden configurar con una o más direcciones
IPv4 públicas válidas. Estas direcciones públicas se conocen como “NAT Pool”.
En general, los routers NAT funcionan en la frontera de una red Stub. Una red
Stub es una o más redes con una única conexión a su red vecina, una entrada
y una salida.
Terminología de NAT
Cuando se usa NAT, las direcciones IPv4 tienen diferentes designaciones en

función de si están en la red privada o en la red pública (internet), y si el
tráfico es entrante o saliente.
NAT incluye cuatro tipos de direcciones:
• Inside local address ;
• Inside global address ;
• Outside local address ;
• Outside global address ;
La terminología de NAT siempre se aplica desde la perspectiva del dispositivo

con la dirección traducida:
• Inside Address: La dirección del dispositivo que está siendo traducido
por NAT.
• Outside address : la dirección del dispositivo de destino.
Conceptos de local o global con relación a las direcciones:
• Local address : Una dirección local es cualquier dirección que aparece
en la parte interior de la red.
• Global address : Una dirección global es cualquier dirección que
aparece en la parte exterior de la red.
El enrutador NAT, R2 en la figura, es el punto de demarcación entre las redes

internas y externas. R2 está configurado con un grupo de direcciones públicas
para asignar a hosts internos.
Tipos de NAT
NAT estático
La NAT estática consiste en una asignación uno a uno entre direcciones locales
y globales. Estas asignaciones son configuradas por el administrador de red y
se mantienen constantes.
Cuando estos dispositivos envían tráfico a Internet, sus direcciones locales
internas se traducen a las direcciones globales internas configuradas. Para
redes externas, estos dispositivos parecen tener direcciones IPv4 públicas.
La NAT estática es especialmente útil para servidores web o dispositivos que
deben tener una dirección a la que se pueda acceder desde Internet, como el
servidor web de una empresa. También es útil para los dispositivos a los que el
personal autorizado debe tener acceso fuera del sitio, pero no para el público
en general en Internet.
La NAT estática requiere que haya suficientes direcciones públicas disponibles
para satisfacer el número total de sesiones de usuario simultáneas.
NAT dinámica
La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según

el orden de llegada. Cuando un dispositivo interno solicita acceso a una red
externa, la NAT dinámica asigna una dirección IPv4 pública disponible del
conjunto.
Traducción de la dirección del puerto 6.2.3
La traducción de dirección de puerto (Port Address Translation PAT) es
conocido como NAT Overload (NAT con sobrecarga). Asigna múltiples
direcciones Ipv4 privadas a una o algunas direcciones IPv4 públicas. El ISP
asigna una única dirección IPv4 pública a un router pero desde ese router hay
múltiples dispositivos conectados a internet Ej, (home router). Esta es la forma
más común.
Con PAT, se pueden asignar varias direcciones a una o varias direcciones,
porque cada dirección privada también se rastrea mediante un número de
puerto. Cuando un dispositivo inicia una sesión TCP/IP, genera un valor de
puerto de origen TCP o UDP, o un ID de consulta especialmente asignado para
ICMP, para identificar de forma exclusiva la sesión. Cuando el enrutador NAT
recibe un paquete del cliente, utiliza su número de puerto de origen para
identificar de manera única la traducción NAT específica.
PAT garantiza que los dispositivos utilicen un número de puerto TCP diferente
para cada sesión con un servidor en Internet. Cuando regresa una respuesta
del servidor, el número de puerto de origen, que se convierte en el número de
puerto de destino en el viaje de regreso, determina a qué dispositivo el
enrutador reenvía los paquetes. El proceso PAT también valida que se
solicitaron los paquetes entrantes, lo que agrega un grado de seguridad a la
sesión.
A medida que el R2 procesa cada paquete, utiliza un número de puerto (1331

y 1555, en este ejemplo) para identificar el dispositivo en el que se originó el
paquete. La dirección de origen (Source Address, SA) es la dirección local
interna con el número de puerto asignado TCP / UDP agregado. La dirección de
destino (Destination Address, DA) es la dirección global externa con el número
de puerto de servicio agregado. En este ejemplo, el puerto de servicio es 80,
que es HTTP.
Next Avaible Port
En el ejemplo anterior, los números de puerto del cliente, 1331 y 1555, no se

modificaron en el router con NAT habilitada. Esta no es una situación muy
probable, porque existe una gran posibilidad de que estos números de puerto
ya se hayan conectado a otras sesiones activas.
PAT intenta conservar el puerto inicial de origen, si el puerto estuviera
ocupado, PAT escoge el primer puerto disponible a partir del comienzo del
grupo de puertos apropiados 0-511, 512-1,023 o 1,024-65,535. Cuando no
hay más puertos disponibles y hay más de una dirección externa en el
conjunto de direcciones, PAT avanza a la siguiente dirección para intentar
asignar el puerto de origen inicial. Este proceso continúa hasta que no haya
más puertos ni direcciones IPv4 externas disponibles.
Diferencias entre NAT y PAT
NAT PAT
Mapeo uno a uno entre las
Una dirección inside global se puede
direcciones Inside Local e Inside
asignar a muchas direcciones inside local.
Global.
Utiliza direcciones IPv4 y números de
Utiliza sólo direcciones IPv4 en el
puerto de origen TCP o UDP en la
proceso de traducción.
traducción.
Se requiere una dirección única de
Una única dirección Inside Global puede
Inside Global para cada host
ser compartida por muchos hosts
interno accediendo a la red
internos que acceden a la red externa.
externa.
PAT utiliza el número de puerto de Capa 4 para realizar un seguimiento de las

comuniaciones.
Paquetes sin segmento de capa 4

¿Qué sucede con los paquetes IPv4 que transportan datos que no son
segmentos TCP o UDP? Estos paquetes no contienen un número de puerto de
capa 4. PAT traduce la mayoría de los protocolos comunes transmitidos
mediante IPv4 que no utilizan TCP o UDP como protocolo de la capa de
transporte. El más común de ellos es ICMPv4. PAT maneja cada uno de estos
tipos de protocolos de manera diferente. Por ejemplo, los mensajes query,
echo request y reply request de ICMPv4 incluyen una Query ID. ICMPv4 utiliza
la Query ID para identificar una echo request con su respectiva echo reply. La
Query ID aumenta con cada echo request enviada. PAT utiliza la Query ID en
lugar de un número de puerto de capa 4.
Ventajas de NAT
Beneficios de NAT:
• NAT conserva el esquema de direccionamiento legalmente registrado al
permitir la privatización de las intranets. NAT conserva las direcciones
mediante la multiplexación de aplicaciones en el nivel de puerto. Con la
sobrecarga NAT (PAT), los hosts internos pueden compartir una única
dirección IPv4 pública para todas las comunicaciones externas. En este
tipo de configuración, se requieren muy pocas direcciones externas para
admitir varios hosts internos.
• NAT aumenta la flexibilidad de las conexiones a la red pública. Se pueden
implementar multiples Pool, backups Pools y load-balancing pool para
asegurar conexiones de red pública confiables.
• NAT proporciona coherencia a los esquemas de direccionamiento de red
interna. Para cambiar el esquema de direcciones IPv4 públicas en una
red que no utiliza direcciones IPv4 privadas ni NAT, se requiere
redireccionar todos los hosts en la red existente. Los costos de
redireccionamiento de hosts pueden ser considerables. NAT permite
mantener el esquema de direcciones IPv4 privadas existente a la vez que
facilita el cambio a un nuevo esquema de direccionamiento público. Esto
significa que una organización podría cambiar los ISP sin necesidad de
modificar ninguno de sus clientes internos.
• Usando direcciones IPv4 RFC 1918, NAT oculta las direcciones IPv4 de
los usuarios y otros dispositivos. Algunas personas consideran esto una
característica de seguridad; sin embargo, la mayoría de los expertos
están de acuerdo en que NAT no proporciona seguridad. Un firewall con
detección de estado es lo que brinda seguridad al perímetro de la red.
Desventajas de la NAT
• Una desventaja del uso de NAT se relaciona con el rendimiento de la red,

en especial, en el caso de los protocolos en tiempo real como VoIP. NAT
aumenta los retrasos de reenvió porque la traducción de cada dirección
IPv4 dentro de los encabezados de los paquetes lleva tiempo. Al primer
paquete siempre se aplica el switching de procesos por la ruta más lenta.
El router debe revisar todos los paquetes para decidir si necesitan
traducción. El router debe modificar el encabezado de IPv4 y,
posiblemente, el encabezado TCP o UDP. El checksum del encabezado de
IPv4, junto con el checksum de TCP o UDP, se debe volver a calcular
cada vez que se realiza una traducción. Si existe una entrada de caché,
el resto de los paquetes atraviesan la ruta de switching rápido; de lo
contrario, también se retrasan.
Esto se vuelve más un problema a medida que los grupos de direcciones
IPv4 públicas para ISP se agotan. Muchos ISP tienen que asignar a los
clientes una dirección IPv4 privada en lugar de una dirección IPv4
pública. Esto significa que el router del cliente traduce el paquete de su
dirección IPv4 privada a la dirección IPv4 privada del ISP. Antes de
reenviar el paquete a otro proveedor, el ISP realizará NAT de nuevo,
traduciendo sus direcciones IPv4 privadas a una de sus pocas direcciones
IPv4 públicas. Este proceso de dos capas de traducción NAT se conoce
como Carrier Grade NAT (CGN).
• Otra desventaja del uso de NAT es que se pierde el direccionamiento
end-to-end. Algunas aplicaciones no funcionan con NAT. Por ejemplo,
algunas aplicaciones de seguridad, como las firmas digitales, fallan
porque la dirección IPv4 de origen cambia antes de llegar a destino. Las
aplicaciones que utilizan direcciones físicas, en lugar de un nombre de
dominio calificado, no llegan a los destinos que se traducen a través del
router NAT. En ocasiones, este problema se puede evitar al implementar
las asignaciones de NAT estática.
• También se reduce el seguimiento IPv4 de extremo a extremo. El

seguimiento de los paquetes que pasan por varios cambios de dirección a
través de varios saltos de NAT se torna mucho más difícil y, en
consecuencia, dificulta la resolución de problemas.
• El uso de NAT también genera complicaciones en la utilización de
protocolos de tunneling, como IPsec, porque NAT modifica valores en los
encabezados, lo que hace fallar las comprobaciones de integridad .
NAT estático
La NAT estática permite que los dispositivos externos inicien conexiones a los
dispositivos internos mediante la dirección pública asignada de forma estática.
Por ejemplo, se puede asignar una dirección global interna específica a un
servidor web interno de modo que se pueda acceder a este desde redes
externas.
La figura muestra que Inside Network contiene un Web Server con una
dirección IPv4 privada. El enrutador R2 está configurado con NAT estática para
permitir que los dispositivos en Outside Network (Internet) accedan al Web
Server. El cliente en Outside Network accede al Web Server mediante una
dirección IPv4 pública. La NAT estática traduce la dirección IPv4 pública a la
dirección IPv4 privada.
Configurar la NAT estática
Paso 1. El primer paso consiste en crear una asignación entre la dirección

local interna y las direcciones globales internas.
Ejemplo: la dirección local interna 192.168.10.254 y la dirección global interna
209.165.201.5 en la figura están configuradas como una traducción NAT
estática.
Paso 2. Una vez configurada la asignación, las interfaces que participan en la

traducción se configuran como interna o externa con respecto a NAT. En el
ejemplo, la interfaz R2 Serial 0/1/0 es una interfaz inside (interna) y la Serial
0/1/1 es una interfaz outside (externa).
Con esta configuración, los paquetes que llegan a la interfaz interna de R2
(Serie 0/1/0) desde la dirección IPv4 local interna configurada
(192.168.10.254) se traducen y luego se reenvían hacia la red externa. Los
paquetes que llegan a la interfaz externa de R2 (Serie 0/1/1), que se dirigen a
la dirección IPv4 global interna configurada (209.165.201.5), se traducen a la
dirección local interna (192.168.10.254) y luego se envían a dentro de la red.
Analizar NAT estático
Por lo general, las traducciones estáticas se usan cuando los clientes de la red
externa (internet) necesitan comunicarse con los servidores de la red interna
(interna).
1. El Cliente quiere establecer una comunicación con el Web Server. El
cliente envía un paquete al Web Server con la dirección IPv4 pública de
destino 209.165.201.5. Esta es la dirección Inside Global Address del
Web Server.
2. El primer paquete que recibe el router en su interfaz NAT externa
ocasiona que R2 revise su tabla NAT. La dirección 209.165.201.5 se
encuentra en su tabla NAT y la traduce a la dirección 192.168.10.254.
3. R2 reemplaza la Inside Global Address 209.165.201.5 por la Inside Local
Address 192.168.10.254, luego el router reenvía el paquete al Web
Server.
4. El Web Server recibe el paquete y responde al cliente utilizando la
dirección Inside Local Address 192.168.10.254 como la dirección de
origen del paquete de respuesta.
5. (a) R2 recibe el paquete en su interfaz NAT interna con la dirección de
origen Inside Local Address 192.168.10.254.
(b) R2 chequea la tabla NAT para una traducción de Inside Local
Address. R2 traduce la dirección de origen 192.168.10.254 por la Inside
Global Address 209.165.201.5 y reenvía el paquete hasta el cliente.
6. El cliente recibe el paquete y continúa la conversación.
Verificar NAT estático
Para mostrar las traducciones NAT activas show ip nat translations. Sies
una configuración NAT estática siempre mostrara traducciones
independientemente de que haya comunicaciones activas.
Si el comando se emite durante una sesión activa, la salida también indica la

dirección del dispositivo externo
Con el comando show ip nat statistics, se muestra información sobre el

número total de traducciones activas, los parámetros de configuración de NAT,
el número de direcciones en el grupo y el número de direcciones que se han
asignado.
Para verificar que la traducción NAT está funcionando, es mejor borrar las
estadísticas de cualquier traducción anterior utilizando el comando clear ip
nat statistics antes de realizar la prueba.
Después de que el cliente establece una sesión con el servidor web, show ip
nat statistics muestra un aumento de cuatro Hits (aciertos) en la interfaz
interna (Serial0/1/0). De este modo, se verifica que se lleva a cabo la
traducción de NAT estática en el R2.
Escenario NAT Dinámico
Nat dinamica mapea automáticamente las direciones Inside Local con las
direcciones Inside Global.
El conjunto de direcciones IPv4 públicas (conjunto de direcciones globales
internas) se encuentra disponible para cualquier dispositivo en la red interna
según el orden de llegada. Con la NAT dinámica, una única dirección interna se
traduce a una única dirección externa. Si todas las direcciones del grupo están
en uso, un dispositivo debe esperar una dirección disponible antes de poder
acceder a la red externa.
Configurar la NAT dinámica
Paso 1: Definir un Pool de direcciones con el comando ip nat pool. Las

keyword netmask o prefix-length indican que bits de direccion pertenecen a
red y a host.
Paso 2: Configurar una ACL estándar para indicar que direcciones deben ser
traducidas
Paso 3: Enlazar la ACL al Pool:

Router(config)# ip nat inside source list {access-list-number | access-list-
name} pool pool-name
El router utiliza esta configuración para identificar qué dispositivos (list)reciben
qué direcciones (pool). En el escenario, vincule NAT-POOL1 con ACL 1.
Paso 4 : Identificar las interfaces Inside. Estas serán las que conecten a la red
interna
Paso 5: Identificar las interfaces Outside. Serán las interfaces que conecten a
la red externas
Analizar NAT Dinámico - Interior a Exterior

Analizar NAT dinámico: de exterior a interior
Verificar NAT dinámica
Show ip nat translation muestra las traducciones estáticas y dinámicas que
se hayan creado.
Con la keyword verbose muestra información adicional sobre cada

traducción, incluido cuánto tiempo hace que se creó y usó la entradas.
De froma predeterminada las entradas de traducción expiran a las 24 horas, a
menos que los temporizadores se hayan configurado con el comando ip nat
translation timeout timeout-seconds desde el modo global.
Para borrar las entradas dinámicas antes de que expire el tiempo de espera se
utiliza el comando clear ip nat transaltion.
clear ip nat translation se puede usar con keyword y variables para

controlar qué entradas se borran.
Comando Descripción
Borra todas las entradas
de traducción de
clear ip nat translation * direcciones dinámicas de
la tabla de traducción de
NAT.
Borra una entrada de
traducción dinámica
clear ip nat translation inside global-ip local-ip simple que contiene una
[outside local-ip global-ip] traducción interna o una
traducción interna y
externa.
clear ip nat translation protocol inside global-ip Borra una entrada de
global-port local-ip local-port [ outside local-ip traducción dinámica
local-port global-ip global-port] extendida.
show ip nat statistics muestra información sobre el número total de

traducciones activas, los parámetros de configuración de NAT, el número de
direcciones en el grupo y cuántas de las direcciones se han asignado.
Alternativamente, puede usar el show running-config comando y buscar
comandos NAT, ACL, interfaz o grupo con los valores requeridos.
PAT escenario
Existen dos formas de configurar PAT, depende de como el ISP asigne las
direcciones IP Públicas.
1. El ISP sólo asigna una dirección IP
2. El ISP asigna varias direcciones IP
Primer modo:
Con una única dirección IP se agrega al final la keyword overload después del
comando ip nat inside.
En el ejemplo, todos los hosts de la red 192.168.0.0/16 (coincidencia ACL 1)
que envían tráfico a través del enrutador R2 a Internet se traducirán a la
dirección IPv4 209.165.200.225 (dirección IPv4 de la interfaz S0 / 1/1). Los
flujos de tráfico se identificarán mediante números de puerto en la tabla NAT
porque la palabra overload clave está configurada.
Segundo modo:
Con más de una dirección IP pública se puede crear un pool que se compartira
entre multiples dispositivos y que comparten las mismas direcciones IP para
acceder a Internet. Al igual que el primer modo, hay que añadir la keyword
overload al final del comando ip nat inside.
En el ejemplo, NAT-POOL2 está enlazado a una ACL para permitir la traducción

de 192.168.0.0/16. Estos hosts pueden compartir una dirección IPv4 del grupo
porque PAT está habilitado con la palabra clave overload.
Verificar PAT
El comando show ip nat translations muestra las traducciones de dos hosts

diferentes a diferentes servidores web. Observe que se asigna la misma
dirección IPv4 209.165.200.226 (dirección global interna) a dos hosts internos
distintos. Los números de puerto de origen en la tabla de NAT distinguen las
dos transacciones.
El comando show ip nat statistics verifica que NAT-POOL2 haya asignado

una única dirección para ambas traducciones. El resultado incluye información
sobre la cantidad y el tipo de traducciones activas, los parámetros de
configuración NAT, la cantidad de direcciones en el pool y la cantidad que se
asignó.
NAT64
IPv6 proporciona la traducción de protocolos entre IPv4 e IPv6 conocida como

NAT64.
Las direcciones IPv6 locales únicas (ULA) se asemejan a las direcciones

privadas en IPv4 pero con un proposito distinto. Las direcciones ULA están
destinadas únicamente a las comunicaciones locales dentro de un sitio. Las
direcciones ULA no están destinadas a proporcionar espacio de direcciones
IPv6 adicional ni a proporcionar un nivel de seguridad.
Las variedades de NAT para IPv6 se utilizan para proporcionar de forma
transparente el acceso entre redes solo IPv6 y solo IPv4.
Para colaborar en el cambio de IPv4 a IPv6, el IETF elaboró varias técnicas de
transición que admiten una variedad de situaciones de IPv4 a IPv6, como dual-
stack, tunneling y translation.
• Dual-stack es cuando los dispositivos ejecutan protocolos asociados con
IPv4 e IPv6.
• Tunneling para IPv6 es el proceso de encapsulación de un paquete IPv6
dentro de un paquete IPv4. Esto permite que el paquete IPv6 se
transmita a través de una red solo IPv4.
• Hubo varios tipos de NAT para IPv6, incluida la traducción de direcciones
de red/traducción de protocolos (NAT-PT). El IETF dejó en desuso NAT-
PT en favor de su reemplazo, NAT64
7. WAN privadas y públicas
Las WAN pueden ser creadas por diversos tipos de organizaciones :

• Una organización que desea conectar usuarios en diferentes ubicaciones
• Un ISP que quiere conectar a los clientes a Internet
• Un ISP o telecomunicaciones que desea interconectar ISP
Una WAN privada es una conexión dedicada a un único cliente. Esto prevé lo
siguiente:
• Nivel de servicio garantizado
• Ancho de banda consistente
• Seguridad
Un ISP o un proveedor de servicios de telecomunicaciones que utiliza Internet

proporciona una conexión WAN pública. En este caso, los niveles de servicio y
el ancho de banda pueden variar, y las conexiones compartidas no garantizan
la seguridad.
Topologías de WAN
Las topologías físicas describen la infraestructura de red física utilizada por los
datos cuando viajan de un origen a un destino.
Las topologías WAN se describen utilizando una topología lógica. Las topologías
lógicas describen la conexión virtual entre el origen y el destino.
Topologías WAN logicas:

• Point-to-Point
• Hub-and-Spoke
• Dual-homed
• Fully Meshed
• Partially Meshed
Point-to-Point
Topología punto a punto

Una topología punto a punto, como se muestra en la figura, emplea un circuito
punto a punto entre dos puntos finales.
Los enlaces punto a punto a menudo implican conexiones dedicadas de línea
arrendada desde el punto de borde corporativo hasta las redes de
proveedores. Una conexión punto a punto implica un servicio de transporte de
capa 2 a través de la red del proveedor de servicios.
Puede resultar costoso si se requieren muchas conexiones punto a punto.
Hub-and-Spoke
Una topología hub-and-spoke permite que todos los circuitos de radios

compartan una sola interfaz en el enrutador concentrador. Los routers Spoke
se pueden interconectar a través del enrutador concentrador mediante
circuitos virtuales y subinterfaces enrutadas. La figura muestra una topología
hub-and-spoke de muestra que consta de tres routers Spoke que se conectan
a un router hub a través de una nube WAN.
Una topología hub-and-spoke es una topología de alojamiento único. Solo hay

un enrutador concentrador y toda la comunicación debe pasar por él. Por lo
tanto, los enrutadores radiales solo pueden comunicarse entre sí a través del
enrutador concentrador. En consecuencia, el enrutador concentrador
representa un único punto de falla.
Dual-Homed
La ventaja de las topologías de doble conexión es que ofrecen redundancia de

red, equilibrio de carga, computación o proceso distribuido mejorados, y la
capacidad de implementar las conexiones del proveedor de servicio de
respaldo.
La desventaja es que son más caros de implementar que las topologías de

conexión simple Esto es porque requieren hardware de red, como routers y
switches adicionales. Las topologías de doble conexión son más difíciles de
implementar porque requieren configuraciones adicionales y complejas.
Fully Meshed
Topología de malla completa
Una topología completamente mallada utiliza varios circuitos virtuales para

conectar todos los sitios
Esta es la topología más tolerante a fallos.
Partially Meshed
Una topología parcialmente mallada conecta muchos sitios, pero no todos.
Carrier Connections
Otro aspecto del diseño WAN es cómo una organización se conecta a Internet.
Por lo general, una organización firma un acuerdo de nivel de servicio (SLA)
con un proveedor de servicios. El SLA describe los servicios esperados
relacionados con la fiabilidad y disponibilidad de la conexión.
Single-Carrier WAN Connection / Conexión WAN de un operador único
Una conexión de operador único es cuando una organización se conecta a un

único proveedor de servicios, como se muestra en la figura. Un SLA se negocia
entre la organización y el proveedor de servicios. La desventaja de este diseño
es que la conexión del operador y el proveedor de servicios son ambos puntos
únicos de falla. La conectividad a Internet se perdería si el enlace del operador
o el router del proveedor fallaran.
Dual-Carrier WAN Connection / Conexión WAN de doble operador
Una conexión de doble operador proporciona redundancia y aumenta la

disponibilidad de la red, como se muestra en la figura. La organización negocia
acuerdos de nivel de servicio independientes con dos proveedores de servicios
diferentes. La organización debe asegurarse de que los dos proveedores
utilicen cada uno de ellos un carrier (transportista) diferente. Aunque es más
costosa de implementar, la segunda conexión se puede utilizar para
redundancia como enlace backup. También podría utilizarse para mejorar el
rendimiento de la red y el equilibrio de carga del tráfico de Internet.
Evolución de las redes
• Small Network
• Campus Network : Un CAN interconecta varias LAN dentro de un área

geográfica limitada. Se requieren varias LAN para segmentar los diversos
departamentos que se conectan a varios switches en un entorno de red
de campus.
• Branch Network: Para conectarse con la oficina central las sucursales

que están en ciudades usan líneas privadas dedicadas a través de su
proveedor de servicios local.
• Distributed Network :Las redes privadas virtuales (VPN) de sitio a sitio

y de acceso remoto permiten que la empresa use Internet para
conectarse de manera fácil y segura con los empleados y las
instalaciones en todo el mundo.
WAN Standards
Las normas WAN modernas están definidas y administradas por varias

autoridades reconocidas, incluidas las siguientes:
• TIA/EIA - Asociación de la Industria de Telecomunicaciones y Alianza de

Industrias Electrónicas
• ISO - Organización Internacional de Estandarización.
• IEEE - Instituto de Ingenieros en Electricidad y Electrónica
WANs en el modelo OSI
La mayoría de los estándares WAN se centran en la capa física (capa OSI 1) y

la capa de enlace de datos (capa OSI 2) .
Protocolos de capa 1
Describen los componenetes electricos, mecanicos y operativos necesarios

para transmitir bits a través de una WAN. Los proveedores para cubir largas
distancias utilizan los siguientes estándares de fibra óptica:
• Synchronous Digital Hierarchy (SDH)
• Synchronous Optical Networking (SONET)
• Dense Wavelength Division Multiplexing (DWDM)
SHD y SONET proporcionan esencialmente los mismos servicios y su capacidad

de transmision puede ser incrementada con el uso de la tecnología DWDM.
Protocolos de capa 2
Los protocolos de capa 2 definen como se encapsularan los datos en una

trama.
• Broadcabnd (DSL y Cable)
• Wireless
• Ethernet Wan (Metro Ethernet)
• Multiprotocol Label Switch (MPLS)
• Point-to-point Protocol (PPP)
• High-Level Data Link Control (HDLC)
• Frame Relay (Legacy)
• Asynchronous Transfer Mode (Legacy)
Terminología común de WAN

La capa física WAN describe las conexiones físicas entre la red de la compañía
y la red del proveedor de servicios.
Términos WAN
Término WAN Descripción

• Este es el dispositivo que conecta las LAN de
suscriptor al dispositivos de comunicación WAN (es
decir, DCE).
Data Terminal • Los hosts internos envían su tráfico al dispositivo
Equipment(DTE) DTE.
• El DTE se conecta al bucle local a través del DCE.
• El dispositivo DTE suele ser un router, pero podría
ser un host o un servidor.
Data • También llamado equipo de terminación de circuitos
Communications de datos, este es el dispositivo utilizado para
Equipment comunicarse con el proveedor.
• El DCE proporciona principalmente una interfaz para
(DCE) conectar suscriptores a un enlace de comunicación
en la nube WAN.
• Estos son los dispositivos DTE y DCE (es decir,
Customer router, módem, óptico convertidor) ubicado en el
Premises perímetro empresarial.
Equipment
(CPE) • El suscriptor posee el CPE o arrienda el CPE del
proveedor de servicios
Point-of- • Este es el punto donde el suscriptor se conecta a la
Presence (POP) rede del proveedor de servicios.
• Esta es una ubicación física en un edificio o complejo
que oficialmente separa el CPE del equipo del
proveedor de servicios.
• El punto de demarcación suele ser una caja de
conexiones de cable, ubicada en las instalaciones del
cliente, que conecta el cableado CPE al local loop.
Demarcation
Point • Identifica la ubicación donde la responsabilidad de la
operación de red cambia del suscriptor al proveedor
del servicio.
• Cuando surgen problemas, es necesario determinar
si el usuario o el proveedor de servicios es
responsable de la solución de problemas o
reparación.
Loop local (o • Este es el cable real de cobre o fibra que conecta el
última milla) CPE a el CO del proveedor de servicios.
Central Office • Esta es la instalación del proveedor de servicios local
(CO) o edificio que conecta el CPE a la red del proveedor.
• Esto incluye backhaul, long-haul, totalmente digital,
Toll Network líneas de comunicación de fibra óptica,
(Red con cargo) conmutadores, enrutadores y otros equipos dentro
de la red del proveedor de WAN.
• Las redes backhaul conectan varios nodos de acceso
de la Red de proveedor de servicios.
Backhaul • Las redes de retorno pueden abarcar municipios,
Network (Red países y regiones.
de retorno) • Las redes de retorno también están conectadas a
proveedores de servicios de Internet. y a la red
troncal.
Backbone • Se trata de redes grandes y de alta capacidad
Network utilizadas para interconexión de redes de
proveedores de servicios y crear una red
redundante.
• Otros proveedores de servicios pueden conectarse a
la red Backbone directamente o a través de otro
• Los proveedores de servicios de red Backbone
también se denominan Proveedores Tier-1 .
Dispositivos WAN
La ruta de datos de extremo a extremo a través de una WAN suele ser del DTE
de origen al DCE, luego a la nube de WAN, luego al DCE y finalmente al DTE de
destino .
Dispositivos WAN
Dispositivo WAN Descripción

• También conocido como módem de acceso
telefónico.
Voiceband • Dispositivo heredado que convirtió (es decir,
Modem moduló) las señales digitales producido por una
computadora en frecuencias de voz analógicas.
• Utiliza líneas telefónicas para transmitir datos.
DSL Modem and • Conocidos colectivamente como broadbands
Cable Modem módems , estos digitales de alta velocidad se
conectan al router DTE mediante Ethernet.
• Los módems DSL se conectan a la WAN mediante
líneas telefónicas.
• Los módems de cable se conectan a la WAN
mediante líneas coaxiales.
• Ambos funcionan de manera similar al voiceband
módem, pero usan frecuencias de banda ancha y
velocidades de transmisión más altas.
• Las líneas arrendadas digitalmente requieren una
CSU y una DSU.
• Conecta un dispositivo digital a una línea digital.
• Una CSU / DSU puede ser un dispositivo separado
CSU/DSU
como un módem o puede ser un interfaz en el
(Channel Service
router.
Unit/Data Service
Unit) • La CSU conecta un terminal a la línea digital y
asegura integridad de la conexión a través de
corrección de errores y monitoreo de línea.
• La DSU convierte las tramas de línea en tramas que
la LAN puede interpretar y viceversa.
• Estos dispositivos conectan medios de fibra óptica a
Optical
medios de cobre y convierten señales ópticas a
Converter
impulsos electrónicos.
• Los dispositivos se utilizan para conectarse de forma
Wireless Router inalámbrica a un proveedor WAN.
or Access Point • Los routers también podrían usar conectividad
inalámbrica celular.
• La red troncal WAN consta de múltiples routers de
alta velocidad y switches Capa 3.
• Un router o switch multicapa debe ser capaz de
admitir múltiples interfaces de telecomunicaciones
WAN Core de la velocidad más alta utilizada en la WAN core.
devices
• También debe poder reenviar paquetes IP a máxima
velocidad en todas esas interfaces.
• El router o switch multicapa también debe admitir el
enrutamiento que se utilizan en el core.
Data Terminal Equipment (DTE) en palabras sencillas es tu ROUTER.
Data Communications Equipment (DCE) es el multiplexador al que está
conectado tu ROUTER.
Channel Service Unit/Data Service Unit (CSU/DSU) es el equipo al que está
conectado el DCE y actúa como una PBX.
El DCE y el CSU/DSU, por lo general, son propiedad del integrador de servicios
o ISP.
Comunicación serial
Casi todas las comunicaciones de red se producen mediante una entrega de

comunicaciones en serie. La comunicación serial transmite bits
secuencialmente en un solo canal. Por el contrario, las comunicaciones
paralelas transmiten simultáneamente varios bits utilizando varios cables.
Aunque una conexión paralela teóricamente transfiere datos ocho veces más
rápido que una conexión en serie, es propensa a problemas de sincronización.
A medida que aumenta la longitud del cable, la sincronización entre varios
canales se vuelve más sensible a la distancia. Por esta razón, la comunicación
paralela se limita a distancias muy cortas (por ejemplo, los medios de cobre
están limitados a menos de 8 metros (es decir, 26 pies).
La comunicación paralela no es un método de comunicación WAN viable debido
a su restricción de longitud. Sin embargo, es una solución viable en centros de
datos donde las distancias entre servidores y switches son relativamente
cortas.
Comunicación Circuit-Switched
Una red Circuit-Switched establece un circuito dedicado (o canal) entre puntos

finales antes de que los usuarios puedan comunicarse.
Específicamente, la conmutación de circuitos establece dinámicamente una
conexión virtual dedicada a través de la red del proveedor de servicios antes
de que pueda comenzar la comunicación de voz o datos.
Durante la transmisión a través de una red de conmutación de circuitos, todas
las comunicaciones utilizan la misma ruta. Toda la capacidad fija asignada al
circuito está disponible mientras dure la conexión, independientemente de que
haya o no información para transmitir. La conmutación de circuitos
generalmente no es adecuada para la comunicación de datos.
Los dos tipos más comunes de tecnologías WAN con conmutación de circuitos
son la red telefónica pública conmutada (Public Switched Telephone Network ,
PSTN) y la red digital de servicios integrados (Integrated Services Digital
Network , ISDN) heredada.
Comunicaciones Packet-Switched
Packet-switching divide los datos en paquetes que se enrutan a través de una

red compartida. Las redes con packet-switching no requieren que se establezca
un circuito y permiten que muchos pares de nodos se comuniquen a través del
mismo canal.
Packet-switching es mucho menos costosa y más flexible que circuit switching.
Aunque es susceptible a retrasos (latencia, latency) y variabilidad del retardo
(fluctuación, jitter)
Los tipos comunes de tecnologías WAN packet-switched incluyen Ethernet WAN
(MetroEthernet), Switching por Etiquetas Multiprotocolo (Multi-Protocol Label
Switching, MPLS), Retransmisión de Tramas heredadas (Frame Relay) y Modo
de Transferencia Asíncrona (Asynchronous Transfer Mode, ATM) heredado.
SDH, SONET y DWDM
Las redes de proveedores de servicios utilizan infraestructuras de fibra óptica

para transportar datos de usuarios entre destinos.
Hay dos estándares OSI capa 1 de fibra óptica disponibles para los
proveedores de servicios:
• SDH: Synchronous Digital Hierarchy (SDH) es un estándar global para el
transporte de datos a través de cable de fibra óptica.
• SONET: Synchronous Optical NETworking (SONET) es el estándar
norteamericano que ofrece los mismos servicios que SDH.
Ambos estándares son básicamente iguales y, por lo tanto, con frecuencia se
los presenta como SONET/SDH.
SDH/SONET definen cómo transferir múltiples comunicaciones de datos, voz y
video a través de FO.
Ambos estándares se utilizan en la topología de red en anillo (ring network
topology) que contiene las rutas de fibra redundantes que permiten que el
tráfico fluya en ambas direcciones.
La multiplexación por división de longitud de onda densa (DWDM) es una
tecnología más reciente que aumenta la capacidad de transmisión de datos de
SDH y SONET al enviar simultáneamente múltiples flujos de datos
(multiplexación) utilizando diferentes longitudes de onda de luz.
Opciones de conectividad de la WAN tradicional
Existen varias opciones de conexión de acceso a WAN que la empresa edge

puede usar para conectarse al proveedor a través del loop local. Estas opciones
varían en términos de tecnología, ancho de banda y costo. Cada una tiene
ventajas y desventajas diferentes.
Terminología común de WAN
Cuando se requirieron conexiones dedicadas permanentes, se usó un enlace

punto a punto utilizando medios de cobre para proporcionar una ruta de
comunicaciones WAN preestablecida desde las instalaciones del cliente a la red
del proveedor. Las líneas punto a punto se podían alquilar de un proveedor de
servicios y se denominaban "leased lines, líneas arrendadas".
Las leased lines se las conoce con nombres diferentes como leased circuits
(circuito arrendado), serial link (enlace serial), serial line (línea serial),
point-to-point link (enlace punto a punto) y líneas T1/E1 o T3/E3.
Hay líneas arrendadas disponibles de distintas capacidades y, por lo general,
su precio depende del ancho de banda necesario y de la distancia entre los dos
puntos conectados.
Hay dos sistemas utilizados para definir la capacidad digital de un enlace serial
de medios de cobre:
• T-carrier : Utilizado en América del Norte, T-carrier proporciona enlaces
T1 que admiten ancho de banda de hasta 1.544 Mbps y enlaces T3 que
soportan ancho de banda de hasta 43,7 Mbps.
• E-carrier : Utilizado en Europa, e-carrier proporciona enlaces E1 que
admiten ancho de banda de hasta 2.048 Mbps y enlaces E3 que admiten
ancho de banda de hasta 34.368 Mbps.
Las velocidades de transmisión en las redes de fibra óptica se presentan en

términos de velocidades de transmisión de portadora óptica (Optical Carrier,
OC) que definen la capacidad de transmisión digital de una red de fibra óptica.
Ventajas y desventajas de las leased lines:
Ventajas
Los enlaces de comunicación punto a punto requieren una
Simplicity
experiencia mínima para instalar y mantener.
Los enlaces de comunicación punto a punto suelen ofrecer un
servicio de alta calidad, si tienen un ancho de banda adecuado.
Quality
La capacidad dedicada elimina la latencia o fluctuación entre los
extremos.
La disponibilidad constante es esencial para algunas aplicaciones,
Availabilit como el comercio electrónico. Los enlaces de comunicación punto
y a punto proporcionan una capacidad dedicada permanente que se
requiere para VoIP o Video sobre IP.
Los enlaces punto a punto son generalmente el tipo más costoso

de acceso WAN. El costo de las soluciones de línea arrendada
puede llegar a ser significativo cuando se utilizan para conectar
Cost
muchos sitios a distancias cada vez mayores. En además, cada
terminal requiere una interfaz en el router, lo que aumenta los
costos de equipo.
Limited El tráfico de WAN suele ser variable y las líneas alquiladas tienen
Flexibility una capacidad fija, por lo que el ancho de banda de la línea rara
vez coincide exactamente con la necesidad. Cualquier cambio en
la línea arrendada generalmente requiere una visita al sitio por
parte del personal del ISP para ajustar la capacidad.
Opciones de Circuit-Switched
Las conexiones de conmutación de circuitos son proporcionadas por los
operadores de la Red telefónica de servicio público (PSTN). El bucle local que
conecta el CPE al CO (Central Office) es un medio de cobre. Hay dos opciones
tradicionales de conmutación de circuitos.
Public Service Telephone Network (PSTN);

El acceso WAN de acceso telefónico utiliza la PSTN como su conexión WAN. Los
bucles locales tradicionales pueden transportar datos informáticos binarios a
través de la red telefónica de voz utilizando un módem de banda de voz. El
módem modula los datos digitales en una señal analógica en la fuente y
demodula la señal analógica en datos digitales en el destino. Las
características físicas del bucle local y su conexión a la RTPC (Red Telefonica
Pública Conmutada) limitan la velocidad de la señal a menos de 56 kbps.
Integrated Services Digital Network (ISDN);

ISDN es una tecnología de conmutación de circuitos que permite que el bucle
local PSTN transporte señales digitales. Esto proporcionó conexiones
conmutadas de mayor capacidad que el acceso telefónico. ISDN proporciona
velocidades de datos de 45 Kbps a 2.048 Mbps.
Opciones de Packet-Switched
La conmutación de paquetes segmenta los datos en paquetes que se enrutan a
través de una red compartida. Las redes de conmutación de circuitos requieren
que se establezca un circuito dedicado. Por el contrario, las redes de
conmutación de paquetes permiten que muchos pares de nodos se
comuniquen por el mismo canal.
Hay dos opciones de conmutación de paquetes:
Frame Relay
Frame Relay es una tecnología WAN multiacceso sin difusión (Non Broadcast
Multi Access, NBMA) simple de capa 2 que se utiliza para interconectar las
redes LAN de una empresa. Para conectar a varios sitios mediante PVC, se
puede usar una única interfaz de enrutador. Los PVC se usan para transportar
tráfico de voz y datos entre origen y destino y abrir velocidades de datos de
hasta 4 Mb/s, si bien algunos proveedores ofrecen incluso velocidades
mayores.
Frame Relay crea PVC que se identifica únicamente por un identificador de
conexión de enlace de datos (DLCI). Los PVC y los DLCI aseguran la
comunicación bidireccional de un dispositivo DTE a otro.
Las redes Frame Relay han sido reemplazadas en gran medida por soluciones
Metro Ethernet más rápidas y basadas en Internet.
Asynchronous Transfer Mode (ATM)

Asynchronous Transfer Mode (ATM) es capaz de transferir voz, video y datos a
través de redes públicas y privadas. Se basa en una arquitectura basada en
cells en lugar de una arquitectura basada frames. Las celdas ATM siempre
tienen una longitud fija de 53 bytes. La celda ATM contiene un encabezado
ATM de 5 bytes seguido de 48 bytes de payload (carga útil) ATM. Las celdas
pequeñas de longitud fija son adecuadas para transportar tráfico de voz y
video porque este tráfico no tolera las demoras. El tráfico de video y voz no
tiene que esperar a que se transmitan paquetes de datos más grandes.
La celda ATM de 53 bytes es menos eficiente que las tramas y paquetes más
grandes de Frame Relay. Además, la celda ATM tiene al menos cinco bytes de
sobrecarga por cada carga útil de 48 bytes. Cuando la celda transporta
paquetes de capa de red segmentada, la sobrecarga es mayor porque el
conmutador ATM debe poder volver a ensamblar los paquetes en el destino.
Una línea ATM típica necesita casi un 20 por ciento más de ancho de banda
que Frame Relay para transportar el mismo volumen de datos de la capa de
red.
WAN modernas
Los WANS modernos tienen más opciones de conectividad que los WAN
tradicionales. Las opciones de conectividad WAN tradicionales han disminuido
rápidamente en uso porque ya no están disponibles, son demasiado caras o
tienen un ancho de banda limitado.
Opciones modernas de conectividad WAN
Dedicated Broadband
A fines de la década de 1990, muchas empresas de telecomunicaciones
construyeron redes de fibra óptica con suficiente fibra para satisfacer las
necesidades proyectadas de la próxima generación. Sin embargo, se
desarrollaron tecnologías ópticas como la multiplexación por división de
longitud de onda (WDM) y aumentaron drásticamente la capacidad de
transmisión de un solo hilo de fibra óptica. En consecuencia, muchos tramos de
cable de fibra óptica no están en uso. El cable de fibra óptica que no está en
uso y, por lo tanto, "un-lit" (es decir, oscuro) se denomina fibra oscura.
El arrendamiento de fibra oscura suele ser más costoso que cualquier otra
opción de WAN disponible en la actualidad. Sin embargo, proporciona la mayor
flexibilidad, control, velocidad y seguridad.
Packet-Switched
Hay dos opciones de red WAN de conmutación de paquetes disponibles.
La tecnología LAN Ethernet le han permitido expandirse a las áreas MAN y
WAN. Metro Ethernet proporciona enlaces de ancho de banda rápido y ha
sido responsable de reemplazar muchas opciones de conectividad WAN
tradicionales.
MPLS permite que la red del proveedor de WAN transporte cualquier protocolo
(por ejemplo, paquetes IPv4, paquetes IPv6, Ethernet, DSL) como datos de
carga útil. Esto permite que diferentes sitios se conecten a la red del proveedor
independientemente de sus tecnologías de acceso.
Internet-based Broadband
Las organizaciones ahora utilizan comúnmente la infraestructura global de
Internet para la conectividad WAN. Para abordar las preocupaciones de
seguridad, las opciones de conectividad a menudo se combinan con tecnologías
VPN. Las opciones de red WAN válidas incluyen línea de suscriptor digital
(DSL), cable, inalámbrica y fibra.
Ethernet WAN
Ethernet se desarrolló originalmente como una tecnología de acceso LAN y no
era adecuada como tecnología de acceso WAN debido principalmente a la
distancia limitada proporcionada por los medios de cobre. Sin embargo, los
nuevos estándares de Ethernet que utilizan cables de fibra óptica han
convertido a Ethernet en una opción de acceso WAN razonable. Por ejemplo, el
estándar IEEE 1000BASE-LX admite longitudes de cable de fibra óptica de 5
km, mientras que el estándar IEEE 1000BASE-ZX admite longitudes de cable
de hasta 70 km.
Los proveedores de servicios ahora ofrecen servicio WAN Ethernet mediante
cableado de fibra óptica. El servicio WAN Ethernet puede tener muchos
nombres, incluidos los siguientes:
• Metropolitan Ethernet (Metro E)
• Ethernet over MPLS (EoMPLS)
• Virtual Private LAN Service (VPLS)
Metro Ethernet Topology:

Beneficios de un red Wan Ethernet:
Reducción de gastos y administración: WAN Ethernet proporciona una red
de switched de capa 2 con una banda ancha elevada que es capaz de
administrar datos, voz y video en la misma infraestructura. Esto aumenta el
ancho de banda y elimina las costosas conversiones a otras tecnologías WAN.
La tecnología permite que las empresas conecten varios sitios en un área
metropolitana, entre sí y a Internet de forma económica.
Fácil integración con las redes existentes: WAN Ethernet se conecta
fácilmente a las LAN Ethernet existentes, lo que reduce los costos y el tiempo
de instalación.
Productividad mejorada de la empresa: WAN Ethernet permite que las
empresas aprovechen las aplicaciones IP para mejorar la productividad, como
las comunicaciones IP alojadas, VoIP y transmisión y difusión de video, que
son difíciles de implementar en las redes TDM o Frame Relay.
Las WAN de Ethernet han ganado popularidad y ahora se usan comúnmente

para reemplazar los enlaces de punto a punto, Frame Relay y ATM WAN
tradicionales.
MPLS
Multiprotocol Label Switching (MPLS) es una tecnología de enrutamiento WAN
de proveedor de servicios de alto rendimiento para interconectar clientes sin
tener en cuenta el método de acceso o el payload. MPLS soporta una variedad
de métodos de acceso de cliente (por ejemplo, Ethernet, DSL, Cable, Frame
Relay). MPLS puede encapsular todos los tipos de protocolos, incluido el tráfico
IPv4 e IPv6.
Un enrutador MPLS puede ser un enrutador edge de cliente (CE), un enrutador

edge de proveedor (PE) o un enrutador de proveedor interno (P). Tenga en
cuenta que MPLS admite una variedad de conexiones de acceso de clientes.
Los enrutadores MPLS son enrutadores conmutados por etiquetas (LSRs). Esto
significa que adjuntan etiquetas a los paquetes que luego utilizan otros
enrutadores MPLS para reenviar el tráfico. Cuando el tráfico sale del CE, el
enrutador MPLS PE agrega una etiqueta corta de longitud fija entre el
encabezado de la trama (capa 2 OSI) y el encabezado del paquete (capa 3
OSI). Los enrutadores MPLS P usan la etiqueta para determinar el siguiente
salto del paquete. El enrutador PE de salida elimina la etiqueta cuando el
paquete sale de la red MPLS.
MPLS también proporciona servicios de compatibilidad con QoS, ingeniería de
tráfico, redundancia y VPN.
Opciones de conectividad basadas en Internet

Las opciones modernas de conectividad WAN no terminan con Ethernet WAN y
MPLS. Hoy en día, hay una gran cantidad de opciones inalámbricas y cableadas
basadas en Internet. La conectividad broadband (banda ancha) basada en
Internet es una alternativa al uso de opciones WAN dedicadas.
Opciones cableadas:
Utilizan cableado permanente (por ejemplo, cobre o fibra) para proporcionar

ancho de banda consistente y reducir las tasas de error y la latencia. Algunos
ejemplos de conectividad de banda ancha cableada son la línea de suscriptor
digital (DSL), las conexiones de TV por cable y las redes de fibra óptica.
Opciones inalámbricas:
Son menos costosas de implementar en comparación con otras opciones de

conectividad WAN porque utilizan ondas de radio en lugar de medios cableados
para transmitir datos. Sin embargo, las señales inalámbricas pueden verse
afectadas negativamente por factores como la distancia desde las torres de
radio, la interferencia de otras fuentes, el clima y el número de usuarios que
acceden al espacio compartido. Ejemplos de banda ancha inalámbrica son los
servicios de Internet celulares 3G/4G/5G o satelitales. Las opciones del
operador inalámbrico varían según la ubicación.
Tecnología DSL
Es una tecnología de conexión permanente que usa las líneas telefónicas de
par trenzado existentes para transportar datos con un ancho de banda elevado
y proporciona servicios IP a los suscriptores. DSL es una opción popular para
los usuarios domésticos y para los departamentos de TI empresariales para
apoyar a los teletrabajadores.
Representación de la asignación del espacio de ancho de banda en un cable de
cobre para DSL asimétrica (ADSL):
El área denominada POTS (sistema telefónico antiguo) identifica la banda de

frecuencia que utiliza el servicio de calidad telefónica. El área denominada
ADSL representa el espacio de frecuencia que utilizan las señales DSL
upstream y downstream. El área que abarca tanto el área POTS como el área
ADSL representa la totalidad de la banda de frecuencia admitida por el par de
hilos de cobre.
Todas las formas de DSL se clasifican como DSL asimétrico (ADSL) o DSL
simétrico (SDSL). ADSL y ADSL2+ proporciona mayor ancho de banda
descendente al usuario que el ancho de banda de carga. SDSL proporciona la
misma capacidad en ambas direcciones.
Un loop de ADSL debe ser inferior a 5,46 km (3,39 millas) para garantizar la
calidad de la señal.
Conexiones DSL
Los proveedores de servicios implementan conexiones DSL en el loop local, la

conexión se configura entre el módem DSL y el multiplexor de acceso DSL
(DSLAM).
El módem DSL convierte las señales Ethernet del dispositivo de teletrabajador

en una señal DSL, que se transmite a un multiplexor de acceso DSL (DSLAM)
en la ubicación del proveedor.
Un DSLAM es el dispositivo ubicado en la oficina central (CO) del proveedor y
concentra las conexiones de varios suscriptores de DSL. Por lo general, un
DSLAM está incorporado en un router de agregación.
La ventaja que tiene la DSL en comparación con la tecnología de cable es que

la DSL no es un medio compartido. Cada usuario tiene su propia conexión
directa al DSLAM. El rendimiento no se ve afectado si se agregan usuarios, a
menos que la conexión a Internet del DSLAM para el ISP o para Internet se
sature.
DSL y PPP
El protocolo punto a punto (PPP) es un protocolo de nivel 2 que se utiliza

comúnmente por los proveedores de servicios telefónicos para establecer
conexiones de router a router y de host a red a través de redes de acceso
RDSI y acceso telefónico.
Los ISP siguen utilizando PPP como protocolo de capa 2 para conexiones DSL
de banda ancha debido a los siguientes factores:
• PPP se puede utilizar para autenticar al suscriptor.
• PPP puede asignar una dirección IPv4 pública al suscriptor.
• PPP también incluye la función link-quality (administración de calidad

de enlace).
Un módem DSL tiene una interfaz DSL para conectarse a la red DSL y una
interfaz Ethernet para conectarse al dispositivo cliente. Sin embargo, los
enlaces Ethernet no admiten PPP de forma nativa.
Host con Cliente PPPoE
Como se muestra en la figura, el host ejecuta un cliente PPPoE para obtener

una dirección IP pública de un servidor PPPoE ubicado en el sitio del proveedor.
El software cliente PPPoE se comunica con el módem DSL mediante PPPoE y el
módem se comunica con el ISP mediante PPP. En esta topología, sólo un
cliente puede usar la conexión. Además, observe que no hay router para
proteger la red interna.
Router PPPoE Client

Otra solución es configurar un router para que sea un cliente PPPoE, como se
muestra en la figura. El router es el cliente PPPoE y obtiene su configuración
del proveedor. Los clientes se comunican con el router utilizando sólo Ethernet
y no conocen la conexión DSL. En esta topología, varios clientes pueden
compartir la conexión DSL.
Tecnología de cable
La tecnología de cable es una tecnología de conexión siempre activa de alta

velocidad que utiliza un cable coaxial.
La especificación de interfaz del servicio de datos por cable (DOCSIS) es el
estándar internacional para agregar datos de ancho de banda de alta velocidad
a un sistema de cables existente.
Los operadores de cable implementan redes híbridas de fibra coaxial (HFC)
para permitir la transmisión a alta velocidad de datos a módems de cable. El
sistema de cable utiliza un cable coaxial para transportar señales de
radiofrecuencia (RF) al usuario final.
El nodo óptico convierte señales RF en impulsos de luz sobre cable de fibra

óptica. El medio de fibra permite que las señales viajen a largas distancias
hasta la cabecera del proveedor donde se encuentra un sistema de terminación
de módem por cable (CMTS).
El encabezado contiene las bases de datos necesarias para proporcionar acceso
a Internet, mientras que el CMTS es responsable de comunicarse con los
módems por cable.
Todos los suscriptores locales comparten el mismo ancho de banda de cable. A
medida que se unen más usuarios al servicio, es posible que el ancho de banda
disponible caiga por debajo de la velocidad esperada.
Fibra óptica
Muchos municipios, ciudades y proveedores instalan cable de fibra óptica en la

ubicación del usuario. Esto se conoce comúnmente como Fiber to the x (FTTx)
e incluye lo siguiente:
• Fiber to the Home (FTTH) : La fibra alcanza el límite de la residencia.
Las redes ópticas pasivas y Ethernet punto a punto son arquitecturas que
pueden ofrecer servicios de televisión por cable, Internet y teléfono a
través de redes FTTH directamente desde una oficina central del
• Fiber to the Building (FTTB : La fibra llega al límite del edificio, como
el sótano en una unidad de viviendas múltiples, y la conexión final con el
espacio habitable individual se realiza a través de medios alternativos,
como tecnologías de postes o bordillos.
• Fiber to the Node/Neighborhood (FTTN) : El cableado óptico llega a
un nodo óptico que convierte las señales ópticas a un formato aceptable
para par trenzado o cable coaxial hasta el local.
FTTx puede ofrecer el ancho de banda más alto de todas las opciones de banda
ancha.
Banda ancha inalámbrica basada en Internet
La tecnología inalámbrica usa el espectro de radio sin licencia. Cualquier

persona que tenga un router inalámbrico y tecnología inalámbrica en el
dispositivo que utilice puede acceder al espectro sin licencia.
Nuevos desarrollos de la tecnoclogía de banda ancha
Algunas de estas redes proporcionan acceso a Internet de alta velocidad de

manera gratuita o por un precio sustancialmente inferior al de otros servicios
de banda ancha. Otras son solo para uso de la administración de la ciudad y
permiten que la policía, los bomberos y otros empleados municipales realicen
ciertos aspectos de su trabajo de manera remota. Para conectarse a Wi-Fi
municipal, por lo general un suscriptor necesita un módem inalámbrico, que
proporciona una antena de radio y direccional más potentes que los
adaptadores inalámbricos convencionales.
Celular
Los siguientes son dos términos comunes de la industria celular:
• 3G/4G/5G Wireless: Estas son las abreviaturas de 3ª generación, 4ª
generación y las nuevas tecnologías inalámbricas móviles de 5ª
generación. Los estándares 4G admiten anchos de banda de hasta 450
Mbps de descarga y 100 Mbps de carga. El estándar 5G emergente debe
admitir de 100 Mbps a 10 Gbps y más allá.
• Long-Term Evolution (LTE) : se refiere a una tecnología más nueva y
más rápida y es parte de la tecnología de cuarta generación (4G).
Satellite Internet
Para acceder a los servicios de Internet satelital, los suscriptores necesitan una
antena parabólica, dos módems (uplink y downlink) y cables coaxiales entre la
antena y el módem.
Específicamente, un router se conecta a un plato satelital que apunta al
satélite de un proveedor de servicios. Este satélite se encuentra en órbita
geosincrónica en el espacio. Las señales deben recorrer alrededor de 35.786
km (22.236 mi) hasta el satélite y regresar.
El principal requisito para la instalación es que la antena tenga una vista
despejada hacia el ecuador, donde se ubica la mayoría de los satélites que
están en órbita. Los árboles y las lluvias torrenciales pueden afectar la
recepción de las señales.
Internet satelital proporciona comunicaciones de datos bidireccionales (carga y
descarga). Las velocidades de carga son de aproximadamente una décima
parte de la velocidad de descarga. Las velocidades de descarga van desde 5
Mb/s a 25 Mb/s.
WiMAX
La interoperabilidad mundial para el acceso por microondas (WiMAX) es una
nueva tecnología que recién comienza a utilizarse. Se describe en el estándar
IEEE 802.16. WiMAX proporciona un servicio de banda ancha de alta velocidad
con acceso inalámbrico y proporciona una amplia cobertura como una red de
telefonía celular, en vez de pequeñas zonas de cobertura inalámbrica Wi-Fi.
WiMAX funciona de manera similar a Wi-Fi, pero con velocidades más altas, a
través de distancias mayores y para una mayor cantidad de usuarios. Utiliza
una red de torres WiMAX que son como torres de teléfonos celulares. Para
acceder a una red WiMAX, los usuarios deben suscribirse a un ISP con una
torre WiMAX que se encuentre a 30 millas de su ubicación. Para tener acceso a
la estación base, también necesitan algún tipo de receptor WiMAX y un código
de cifrado especial.
Wimax ha sido reemplazado por LTE y por DSL.
Tecnología VPN
Para resolver problemas de seguridad, los servicios de banda ancha
proporcionan conexiones de redes privadas virtuales (VPN).
Una VPN es una conexión encriptada entre redes privadas a través de una red
pública, como Internet. En lugar de utilizar una conexión de Capa 2 dedicada,
como una línea arrendada, una VPN utiliza conexiones virtuales denominadas
túneles VPN. Los túneles VPN se enrutan a través de Internet desde la red
privada de la empresa al sitio remoto o al host del empleado.
Beneficios de usar VPN:
• Ahorro de costos: AL utilizar Internet, se eliminan enlaces WAN
dedicados y costosos.
• Seguridad: Proporcionan cifrado y autentificacion
• Escalabilidad: Al utilizar internet se puede ampliar la capacidad sin

ampliar infraestructuta.
• Compatibilidad con la tecnología de banda ancha: Los proveedores
de banda ancha como cable y DSL admiten VPN.
Las Vpn se implementan de la siguiente manera:
• site-to-site VPN : La VPN se configura en los router. Para el usuario es
trasparente.
• Remote Access: El usuario inicia la conexión de acceso remoto. Además
el usuario puede ejecutar un software VPN Client en su equipo para
conectarse y autenticarse con el dispositivo de destino.
Opciones de conectividad de un ISP
Single-homed:
Se utiliza cuando el acceso a internet no es crucial para la operación. Se
conecta con un sólo enlace, es una topología sin redundancia y menos costosa.
Dual-homed:
La organización tiene doble enlace a un mismo ISP. Proporciona redundancia y
load balancing.
Multihomed:
La organización se conecta con un enlace a 2 diferentes ISP proporcionando
una mejor redundancia y load balancing, pero es más costoso.
Dual-multihomed:
Es la topología más resistente y costosa. La organización se conecta con dobles
enlaces a diferentes ISP.
Si hay varias soluciones de banda ancha disponibles, se debe llevar a cabo un

análisis de costos y beneficios para determinar cuál es la mejor solución.
Factores a considerar:
• Cable : El ancho de banda es compartido por muchos usuarios. Por lo
tanto, las velocidades de datos ascendentes a menudo son lentas
durante las horas de uso intensivo en áreas con exceso de suscripción.
• DSL: Ancho de banda limitado que es sensible a la distancia (en relación
con la oficina central del ISP). La tasa de carga es proporcionalmente
menor en comparación con la tasa de descarga.
• Fiber-to-the-home: Esta opción requiere instalación de fibra
directamente en el hogar.
• Cellular/Mobile : La cobertura suele ser un problema donde el ancho
de banda es relativamente limitado.
• Wi-Fi Municipal : Es un problema donde no hay una red de malla
desplegada.
• Satellite : Esta opción es cara y ofrece una capacidad limitada por
suscriptor. Normalmente se utiliza cuando no hay otra opción disponible.
8. Tecnología VPN
Las organizaciones usan redes privadas virtuales (VPN) para crear conexiones
de red privada de extremo a extremo. Una VPN es virtual porque transporta la
información dentro de una red privada, pero, en realidad, esa información se
transporta usando una red pública. Una VPN es privada porque el tráfico se
encripta para preservar la confidencialidad de los datos mientras se los
transporta por la red pública.
La figura muestra una colección de varios tipos de VPN administrados por el
sitio principal de una empresa. El túnel permite a los sitios remotos y a los
usuarios acceder a los recursos de red del sitio principal de forma segura.
Un Firewall Cisco Adaptative Security Appliance (ASA) ayuda a las
organizaciones a proporcionar conectividad segura y de alto rendimiento,
incluidas VPN y Allways-on Access para sucursales remotas y usuarios móviles.
SOHO significa Small Office Home Office, donde un router puede proporcionar
conecividad VPN.
Cisco AnyConnect es un software donde el usuario puede establecer una
conexión VPN.
Los primeros tipos de VPN eran estrictamente túneles IP que no incluían

autenticación o encriptación de los datos. Por ejemplo, Generic Routing
Encapsulation (GRE) es un protocolo de túnel desarrollado por Cisco y que no
incluye servicios de encriptación. Se utiliza para encapsular el tráfico IPv4 e
IPv6 dentro de un túnel IP para crear un enlace virtual punto a punto.
Beneficios del VPN

Las VPN modernas ahora admiten funciones de encriptación, como el Internet
Protocol Security (IPsec) y las VPN de Secure Socket Layer (SSL) para
proteger el tráfico de red entre sitios.
Ventaja Descripción
Las organizaciones pueden usar VPN para reducir sus costos de
Ahorro de
conectividad mientras incrementa simultáneamente el ancho de banda
costos
de la conexión remota.
Las VPN proporcionan el mayor nivel de seguridad disponible,
Seguridad mediante el uso de encriptación avanzada y protocolos de
autenticación que protegen los datos de acceso no autorizado.
Las VPN permiten a las organizaciones usar Internet, lo que facilita la
Escalabilidad
adición de nuevos usuarios sin agregar infraestructura significativa.
Las VPN se pueden implementar en una amplia variedad de opciones
Compatibilidad de enlace WAN incluidas todas las tecnologías populares de banda
ancha.
Site-to-Site and Remote-Access VPNs
Site-to-Site VPN
Se crea una VPN de sitio a sitio cuando los dispositivos de terminación de VPN,
también llamados VPN Gateways, están preconfigurados con información para
establecer un túnel seguro. El tráfico VPN solo se cifra entre estos dispositivos.
Remote-Access VPN
Se crea dinámicamente entre un cliente y el gateway VPN. Por ejemplo, se

utiliza una VPN SSL de acceso remoto cuando verifica su información bancaria
en línea.
VPN de empresas y proveedores de servicios
Hay muchas opciones disponibles para asegurar el tráfico empresarial.

Las VPN se pueden administrar o implementar de las siguientes maneras:
• Enterprise VPNs: Las Site-to-Site VPN y Remote-Access VPN son
creadas y administradas por la empresa utilizando tanto VPN IPsec como
SSL.
• Service Provider VPNs : Las VPN administradas por el proveedor de
servicios se crean y administran a través de la red del proveedor. El
proveedor utiliza Multiprotocol Label Switching (MPLS) en la capa 2 o la
capa 3 para crear canales seguros entre los sitios de una empresa. MPLS
es una tecnología de enrutamiento que el proveedor utiliza para crear
rutas virtuales entre sitios. Esto efectivamente segrega el tráfico del
tráfico de otros clientes. Otras soluciones heredadas incluyen Frame
Relay y VPN de Asynchronous Transfer Mode (ATM).
Los diferentes tipos de implementaciones de VPN administradas por la empresa

y por el proveedor de servicios.
Tipos de VPN
VPN de acceso remoto
Las VPN de acceso remoto permiten a los usuarios remotos y móviles

conectarse de forma segura a la empresa mediante la creación de un túnel
encriptado.
Las VPN de acceso remoto también permiten a los contratistas y socios tener
acceso limitado a servidores, páginas web o archivos específicos según sea
necesario. Generalmente se habilitan dinámicamente por el usuario cuando es
necesario y utilizan IPSec o SSL.
Dos formas en que un usuario remoto puede iniciar una conexión VPN de
acceso remoto: VPN sin cliente y VPN basada en el cliente.
• Clientless VPN connection : Conexión VPN sin cliente. La conexión se

asegura utilizando SSL en el navegador web. SSL se utiliza para proteger
el tráfico HTTP (HTTPS), y los protocolos de email POP y IMAP. HHTPS es
HTTP utilizando un túnel SSL. Primero se establece la conexión SSL y
después se intercambian los datos HTTP a través de la conexión.
• Client-based VPN connection : Conexión VPN basada en cliente. El
software de cliente VPN (Cisco AnyConnect Secure Mobility Client) debe
instalarse en el dispositivo final del usuario remoto. Los usuarios deben
iniciar la conexión utilizando el cliente VPN y luego autenticarse con la
VPN Gateway de destino. EL software de cliente VPN encripta los datos
utilizando IPsec o SSL y lo reenvía a la VPN Gateway a través de
internet.
SSL VPNs
Cuando un cliente negocia una conexión VPN SSL con el VPN Gateway, en
realidad se conecta utilizando Transport Layer Security TLS que es la versión
moderna de SSL.
SSL utiliza la infraestructura de llave publica y certificados digitales para

autenticar a los pares. Cuando la seguridad es un problema, IPsec es la mejor
opción. Si el soporte y la facilidad de implementación son los problemas
principales, considere SSL. El tipo de método VPN implementado se basa en los
requisitos de acceso de los usuarios y los procesos de TI de la organización.
Característica IPsec SSL

Limitada - Solo se admiten
Aplicaciones Extensiva - Todas las aplicaciones
aplicaciones basadas en web y
soportadas: basadas en IP son compatibles.
uso compartido de archivos.
Fuerte - Utiliza autenticación Moderado - Uso de
Fuerza de
bidireccional con llaves compartidas autenticación unidireccional o
autenticación
o certificados digitales. bidireccional.
Moderado a fuerte - Con
Fuerza de Fuerte - Utiliza longitudes de llave
longitudes de llave de 40 bits a
encriptación de 56 bits a 256 bits.
256 bits.
Complejidad de Medio - Porque requiere un cliente Bajo - Solo requiere un
conexión VPN preinstalado en un usuario. navegador web en una terminal.
Limitado - Solo se pueden conectar Extensivo - Cualquier dispositivo
Opción de
dispositivos específicos con con un navegador web puede
conexión
configuraciones específicas. conectarse.
Site-to-Site IPsec VPNs
Se utilizan para conectar redes a través de otra red no confiable como

Internet. Los usuarios finales enviar y reciben el tráfico sin encriptar a través
de un VPN Gateway (router, firewall,..). Por ejemplo, el Cisco Adaptive
Security Appliance (ASA) que se muestra en el lado derecho de la figura es un
dispositivo de firewall independiente que combina firewall, concentrador de
VPN y funcionalidad de prevención de intrusiones en una imagen de software.
El VPN Gateway encapsula y encripta todo el tráfico saliente de un sitio en
concreto. Luego envía el tráfico a través de un túnel VPN a través de Internet
hasta el VPN Gateway del destino. El VPN Gateway receptora, desencapsula,
desencripta y retransmite el paquete hacia el usuario de destino dentro de su
red privada.
Las VPN site-to-site generalmente se crean y protegen con IPSec.
GRE sobre IPsec
Generic Routing Encapsulation (GRE) es un protocolo de túnel site-to-site VPN,

básico y no seguro.
• Puede encapsular varios protocolos de capa de red.
• Es compatible con el tráfico multicast y broadcast.
• No admite de forma predeterminada el encriptado, no proporciona un

túnel seguro.
Una VPN IPSec estándar sólo puede crear túneles seguros para tráfico
unicast. Los protocolos de enrutamiento no intercambian información a través
de una VPN IPSec.
Para resolver este problema , podemos encapsular el tráfico del protocolo de
enrutamiento utilizando un paquete GRE, y luego encapsular el paquete GRE
en un paquete IPSec para enviarlo de forma segura a la Gateway Vpn de
destino.
Los términos utilizados para la encapsulación de GRE sobre el túnel IPSec son
passenger protocol (protocolo pasajero), carrier protocol (protocolo
operador) y transport protocol (protocolo de transporte).
Passenger prototol : Es el paquete original que debe ser encapsulado por
GRE. Puede ser IPv4, IPv6, routing update,…
Carrier Protocol : GRE es el protocolo operador que encapsula el paquete
original.
Transport Protocol : Es el protocolo que realmente se usa para reenviar el
paquete, puede ser IPv4 o IPv6.
Ejemplo tráfico OSPF por un túnel GRE .

La captura de pantalla de Wireshark en la figura muestra un paquete de saludo
"Hello" OSPF que se envió utilizando GRE sobre IPsec. En el ejemplo, el
paquete original de multicast OSPF Hello (el protocolo pasajero) se encapsuló
con un encabezado GRE (el protocolo operador), que posteriormente se
encapsula con otro encabezado IP (protocolo transporte). Este encabezado IP
se reenviaría a través de un túnel IPsec.
Dynamic Multipoint VPNs (DMVPN)
Site-to-site IPSec VPN y GRE sobre IPSec son adecuadas cuando són pocos
sitios para interconectar de manera segura.
Dynamic Multipoint VPN (DMVPN)es una solución de Cisco para crear VPN
multiples de una forma fácil, dinámica y escalable. DMVPN depende de IPSec
para proporcionar transporte seguro a través de redes públicas como Internet.
DMVPN proporciona una conexión flexible para conectar un sitio central con
sucursales. Utiliza una configuración hub-and-spoke para proporcionar una
topología full-mesh. Los sitios Spoke establecen túneles VPN con el sitio
central.
DMVPN Hub-to-Spoke Tunnels / Tuneles radial de concetrador a dispositivo
Cada sitio se configura utilizando Multipoint Generic Routing Encapsulation

(mGRE). La interfaz del túnel mGRE permite que una única interfaz GRE
admita dinámicamente multiples túneles IPSec. Cuando hay que añadir un
nuevo sitio a la configuración segura, la misma configuración del Hub la
adminirá sin realizar modificaciones.
Los sitios remotos también podrían obtener información sobre sitios remotos
desde el Hub central. Pueden usar esta información para establecer tuneles
VPN directos.
DMVPN Hub-to-Spoke and Spoke-to-Spoke Tunnels
Tuneles de Hub a Spoke y de Spoke a Spoke
Interfaz virtual del túnel IPsec
IPSec Virtual Tunnel Interface (VTI) simplifica el proceso de configuración para

admitir multiples sitios y acceso remoto. Las configuraciones IPSec VTI se
aplican a una interfaz virtual.
Ipsec CTI es capaz de envía y recibir tráfico IP encriptado unicast y multicast.
Es compatible con los protocolos de enrutamiento.
IPSec se puede configurar site-to-site con una topología Hub-and-Spoke.
Proveedor de servicios VPN MPLS
Los proveedores utilizan MPLS en el backbone. Utilizan etiquetas que se
distribuyeron previamente entre los routers principales. Los clientes del
proveedor no pueden ver el tráfico de los demás.
MPLs proporciona a los clientes VPN administradas. Asegurar el tráfico entre
sitios es responsabilidad del proveedor.
Hay dos tipos de soluciones VPN MPLS :
• Layer 3 VPN MPLS: Los router del proveedor y del cliente participan en
la distribución de rutas a través de la red MPLS.
• Layer 2 VPN MPLS: El proveedor de servicios no participa en el
enrutamiento del cliente. El proveedor implementa una Virtual Private
Lan Service (VPLS) para emular un segmento LAN de acceso múltiple de
Ethernet a través de la red MPLS. Los router del cliente pertenecen a la
misma red de acceso múltiple.
Tecnologías IPsec
IPsec es un estándar IETF (RFC 2401- 2412) que define como se puede
asegurar una VPN a través de redes IP. IPsec protege y autentica los paquetes
IP entre origen y destino. IPsec protege el tráfico de la capa 4 a la capa 7.
Funciones de seguridad IPsec:
• Confidentiality : IPsec utiliza algoritmos de encriptación para evitar que
los atacantes puedan ver el contenido.
• Integrity : Utiliza algoritmos de hash para garantizar que los paquetes
no se hayan modificado.
• Origin Authentication : IPsec utiliza el protocolo Internet Key
Exchange (IKE) para autenticar el origen y el destino. Método de
autenticación que incluye pre-shared-keys, certificados digitales, o
certificados RSA (River, Shamir, Adleman, sistema criptográfico).
• Diffie Hellman: Intercambio seguro de keys utilizando varios grupos de
algoritmo DH.
IPsec no está sujeto a ninguna regla especifica de comunicaciones seguras,

esto permite a IPsec integrar nuevas tecnologías de seguridad sin modificar los
estándares.
Función IPsec Descripción
Las opciones para el protocolo IPsec incluyen:
• Authentication Header (AH): Autentica el paquete de Capa 3
Protocolo IPsec • Encapsulation Security Protocol (ESP): Encripta el paquete
de Capa 3. Nota:
• ESP + AH no atraviesa con éxito un dispositivo NAT.
La encriptación garantiza la confidencialidad del paquete de capa
3. Opciones que incluye Data Encryption Standard (DES), Triple
Confidencialidad DES (3DES), Advanced Encryption Standard (AES), o Software-
Optimized Encryption Algorithm (SEAL). Sin encriptación también
es una opción.
Asegura que los datos lleguen sin cambios al destino utilizando un
Integridad algoritmo hash, como message-digest 5 (MD5) o Secure Hash
Algorithm (SHA).
IPsec utiliza Internet Key Exchange (IKE) para autenticar usuarios
y dispositivos que pueden llevar a cabo la comunicación de forma
independiente. IKE utiliza varios tipos de autenticación, incluidos
Autenticación
nombre de usuario y contraseña, contraseña de un solo uso, datos
biométricos, llaves pre-compartidas (PSK) y certificados digitales
utilizando el algoritmo Rivest, Shamir y Adleman (RSA).
IPsec utiliza el algoritmo DH para proporcionar un método de
intercambio de llave pública para que dos pares establezcan una
Diffie-Hellman llave secreta compartida. Hay varios grupos diferentes para elegir,
incluidos DH14, 15, 16 y DH 19, 20, 21 y 24. DH1, 2 y 5 ya no se
recomiendan.
IPsec Security Association
Una SA es el bloque básico de construcción de IPsec. Al establecer un enlace
VPN, los pares deben compartir la misma SA para negociar los parámetros de
intercambio de llaves, establecer una llave compartida, autenticarse
mutuamente y negociar los parámetros de encriptación. Tenga en cuenta que
el Ejemplo 1 de SA no utiliza encriptación.
IPsec Protocol Encapsulation

IPsec encapsula paquetes usando Authentication Header (AH) o el
Encapsulation Security Protocol (ESP).
La elección de AH o ESP establece qué otros bloques de construcción están
disponibles.
AH es sólo apropiado cuando la confidencialidad no es permitida o requerida.
Proporciona autenticación e integridad de datos, pero no proporciona
confidencialidad (encriptación). Se transporta sin cifrar.
ESP proporciona confidencialidad y autenticación. Proporciona confidencialidad
al realizar la encriptación del paquete IP y autenticación para el paquete
interno y el header ESP. La autenticación es de origen e integridad de datos.
La encriptacion y autenticacion son opcionales de ESP.
Confidencialidad
La confidencialidad se logra encriptando los datos. El grado de confidencialidad

depende del algoritmo y la longitud de la key.
Los algoritmos de encriptación resaltados son criptosistemas de llaves
simétricas.
DES usa una llave de 56bits
3DES utiliza tres claves de encriptación independiente de 56bits por bloque de
64bits.
AES ofrece 3 longitudes de llave diferente: 128 bits, 192 bits y 256 bits.
SEAL es un cifrado de flujo, lo que significa que encripta datos continuamente
en lugar de encriptar por bloque. Utiliza un llave de 160 bits.
Integridad
La integridad de los datos significa que los datos que se recibieron son
exactamente los mismos que se enviaron. El Hashed Message Authentication
Code (HMAC) es un algoritmo que verifica la integridad del mensaje utilizando
un valor hash.
Los dos algoritmos HMAC más comunes:
Message-Digest 5 (MD5) utiliza una shared-secret key de 129 bits. La

longitud del mensaje y la llave se combinan y se ejecutan con el algoritmo
hash HMAC MD5. La salida es un hash de 128 bits.
Secure Hash Algorithm (SHA) utiliza una secret-key de 160 bits. La longitud
del mensaje y la llave se combinan y ejecutan con el algoritmo HMAC-SHA-1.
La salida es un hash de 160 bits.
Authentication
El dispositivo al otro lado del túnel debe autenticarse antes de que la ruta se
considere segura. Las opciones son PSK como menos seguro y RSA como más
seguro.
Un valor de Pre-Shared-Key (PSK) se ingresa manualmente en cada par. El
PSK se combina con otra información para obtener la clave de autenticación.
Son faciles de configurar, pero no se escala bien ya que hay que configurar
manualmente el PSK de cada par con el que se comunica.
La autenticacion de Rivest-Shamir-Adleman (RSA) utiliza certificados
digitales para autenticar a los pares. El dispositivo local obtiene un hash y lo
cifra con su clave privada. EL hash encriptado se adjunta al mensaje y se envía
al extremo remoto y actúa como una firma. En el extremo remoto se descrifa
el mensaje con la clave publica del extremo local. Si coincide el hash
descifrado con el recalculado, la firma es auténtica. Cada par debe autenticar
su par opuesto antes de que el túnel se considere seguro.
La figura muestra un ejemplo de autenticación PSK. En el dispositivo local, la

llave de autenticación y la información de identidad se envían a través de un
algoritmo hash para formar el hash para el par local (Hash _L). La
autenticación unidireccional se establece enviando Hash _L al dispositivo
remoto. Si el dispositivo remoto puede crear independientemente el mismo
hash, el dispositivo local se autentica. Después que el dispositivo remoto
autentica el dispositivo local, el proceso de autenticación comienza en la
dirección opuesta, y todos los pasos se repiten desde el dispositivo remoto al
dispositivo local.
PSK Authentication
La figura muestra un ejemplo de autenticación RSA. En el dispositivo local, la

clave de autenticación y la información de identidad se envían a través del
algoritmo hash para formar el hash para el par local (Hash_L). Luego, el
Hash_L se cifra utilizando la clave de cifrado privada del dispositivo local. Esto
crea una firma digital. La firma digital y un certificado digital se reenvían al
dispositivo remoto. La clave de cifrado pública para descifrar la firma se incluye
en el certificado digital. El dispositivo remoto verifica la firma digital
descifrándola con la clave de cifrado pública. El resultado es Hash_L. A
continuación, el dispositivo remoto crea Hash_L de forma independiente a
partir de la información almacenada. Si el Hash_L calculado es igual al Hash_L
descifrado, el dispositivo local se autentica. Una vez que el dispositivo remoto
autentica el dispositivo local, el proceso de autenticación comienza en la
dirección opuesta y todos los pasos se repiten desde el dispositivo remoto
hasta el dispositivo local.
RSA Authentication
Intercambio seguro de keys con Diffie-Hellman

Los algoritmos de cifrado requieren una clave secreta simétrica y compartida
para realizar el cifrado y el descifrado. ¿Cómo obtienen la clave secreta
compartida los dispositivos de cifrado y descifrado? El método de intercambio
de claves más sencillo es utilizar un método de intercambio de claves públicas,
como Diffie-Hellman (DH).
DH proporciona una forma para que dos pares establezcan una llave secreta
compartida que solo ellos conocen, a pesar de que se comunican a través de
un canal inseguro. Las variaciones del intercambio de llaves DH se especifican
como grupos DH:
• Los grupos DH 1, 2 y 5 ya no deberían usarse. Estos grupos admiten un
tamaño de llave de 768 bits, 1024 bits y 1536 bits, respectivamente.
• Los grupos DH 14, 15 y 16 usan tamaños de llave más grandes con 2048
bits, 3072 bits y 4096 bits, respectivamente, y se recomienda su uso
hasta 2030.
• Los grupos DH 19, 20, 21 y 24 con tamaños de llave respectivos de 256
bits, 384 bits, 521 bits y 2048 bits admiten la criptografía de curva
elíptica (ECC), que reduce el tiempo necesario para generar llaves. El
grupo DH 24 es la encriptación preferida de próxima generación.
El grupo DH que elija debe ser lo suficientemente fuerte o tener suficientes bits
para proteger las llaves IPsec durante la negociación. Por ejemplo, el grupo DH
1 es lo suficientemente fuerte como para admitir la encriptación DES y 3DES,
pero no AES. Por ejemplo, si los algoritmos de cifrado o autenticación usan una
clave de 128 bits, use el grupo 14, 19, 20 o 24. Sin embargo, si los algoritmos
de cifrado o autenticación usan una clave de 256 bits o superior, use el grupo
21 o 24.
9. Priorización del tráfico

Cuando el volumen de tráfico es mayor que el que se puede transportar a
través de la red, los dispositivos ponen en cola (retienen) los paquetes en la
memoria hasta que los recursos estén disponibles para transmitirlos. Los
paquetes en cola causan retrasos, dado que los nuevos paquetes no se pueden
transmitir hasta que no se hayan procesado los anteriores. Si sigue
aumentando la cantidad de paquetes que se pondrán en cola, la memoria del
dispositivo se llenará y los paquetes se descartarán. Una técnica de la QoS que
puede ayudarlo con este problema es la clasificación de datos en varias colas,
como se muestra en la figura.
Bandwidth, Congestion, Delay, and Jitter (fluctuación)

El ancho de banda de la red es la medida de la cantidad de bits que se pueden
transmitir en un segundo, es decir, bits por segundo (bps).
La congestión de la red produce demoras. Una interfaz experimenta congestión
cuando tiene más tráfico del que puede gestionar. Los puntos de congestión de
la red son candidatos ideales para los mecanismos de QoS.
Ejemplos de puntos de congestión

La demora o la latencia se refiere al tiempo que demora un paquete en viajar
de origen a destino. Dos tipos de demoras son las fijas y las variables. Una
demora fija es la cantidad determinada de tiempo que lleva un proceso
específico, como el tiempo que lleva colocar un bit en los medios de
transmisión. Un retraso variable lleva una cantidad de tiempo no especificada y
se ve afectado por factores como la cantidad de tráfico que se procesa.
Sources of Delay
Delay Descripción
La cantidad fija de tiempo que lleva comprimir los datos en el
Code delay origen antes de transmitirlos al primer dispositivo de interconexión
de redes, generalmente un switch.
El tiempo fijo que lleva encapsular un paquete con todo la
Packetization delay
información necesaria del encabezado
La cantidad variable de tiempo que una trama o paquete espera
Queuing delay
para transmitirse el enlace.
Serialization delay La cantidad fija de tiempo que lleva transmitir una trama al cable.
La cantidad variable de tiempo que tarda ella trama en viajar entre
Propagation delay
origen y destino.
La cantidad fija de tiempo que lleva almacenar un flujo de
De-jitter delay paquetes en el búfer y luego enviarlos a intervalos espaciados
uniformemente.
Jitter es la fluctuación de delay de los paquetes recibidos. En el extremo

emisor, los paquetes se envían de manera permanente con los paquetes de
espacio uniforme por separado. Debido a la congestión de la red, las colas
inadecuadas o los errores de configuración, el retraso entre cada paquete
puede variar en lugar de permanecer constante. Es necesario controlar y
minimizar tanto la demora como las fluctuaciones para admitir el tráfico en
tiempo real e interactivo.
Pérdida de paquetes
Sin ningún mecanismo de QoS, los paquetes se procesan en el orden en que se

reciben. Cuando ocurre una congestión, los dispositivos de red como
enrutadores y switches pueden descartar paquetes. Esto significa que los
paquetes urgentes, como el video y la voz en tiempo real, se descartarán con
la misma frecuencia que los datos que no son urgentes.
Cuando un enrutador recibe una transmisión de audio digital de Real-Time

Protocol (RTP) de Voz sobre IP (VoIP) debe compensar el jitter que se
encuentra. El mecanismo que maneja esta función es playout delay buffer
(búfer de retardo de reproducción). El playout delay buffer debe almacenar los
paquetes y reproducirlos en un flujo constante. Los paquetes digitales se
convierten de nuevo en una transmision de audio analógica.
*** Flujo sin fluctuaciones enviado a la interfaz saliente
Si las fluctuaciones son tan grandes que hace que los paquetes se reciban
fuera de este búfer, se descartan los paquetes que están fuera del rango y se
escuchan interrupciones en el audio.
Para pérdidas tan pequeñas como un paquete, Digital Signal Processor (DSP)
interpola lo que cree que debería ser el audio y el usuario no percibe ningún
problema. Sin embargo, cuando el jitter excede lo que DSP puede hacer para
compensar los paquetes que faltan, se escuchan problemas de audio.
Los códecs de voz utilizados por el DSP pueden tolerar cierto grado de pérdida
de paquetes sin un efecto dramático en la calidad de la voz. Los ingenieros de
redes usan mecanismos de QoS para clasificar los paquetes de voz para que no
tengan pérdida de paquetes.
Voz
Los paquetes de voz deben recibir una prioridad más alta que otros tipos de
tráfico. Cisco utiliza el rango de puertos de 16384 a 32767 de RTP para
priorizar el tráfico de voz. La voz puede tolerar una cierta cantidad de delay,
jitter y loss packet sin efectos aparentes. El delay no debe superar los 150
milisegundos (ms), el jitter no debe superar los 30 milisegundos (ms) y el loss
packets no debe superar el 1%. El tráfico de voz requiere al menos 30kbps de
bandwidth.
Requisitos del tráfico de voz:
Características del tráfico de

Requerimientos de sentido único
voz
• Fluida • Delay ≤ 150 ms
• Favorable • Jitter ≤ 30 ms
• Sensible a las caídas
• Sensible al retraso • loss ≤ 1% de ancho de banda (30 - 128 Kbps)
• Prioridad UDP
Video
Sin QoS y una cantidad significativa de capacidad de ancho de banda adicional,
la calidad del video generalmente se degrada. La imagen aparece borrosa
(blurry), irregular (jagged) o en cámara lenta (slow motion). Parte del audio
puede perder la sincronización con el video.
El tráfico de video tiende a ser imprevisible, inconsistente y a transmitirse por
ráfagas, en comparación con el tráfico de voz. En comparación con la
transmisión de voz, el video es menos resistente a pérdidas y tiene un mayor
volumen de datos por paquete. Observe en la figura cómo los paquetes de voz
llegan cada 20 ms y son 200 bytes predecibles cada uno.
Por el contrario, la cantidad y el tamaño de los paquetes de video varían cada

33 ms según el contenido del video, como se muestra en la figura. Por
ejemplo, si la transmisión de video consiste en contenido que no cambia
mucho de cuadro a cuadro, entonces los paquetes de video serán pequeños, y
se requieren menos para mantener una experiencia de usuario aceptable. Sin
embargo, si el steam video es contenido que está cambiando rápidamente,
como una secuencia de acción en una película, entonces los paquetes de video
serán más grandes. Se requieren más por el intervalo de tiempo de 33 ms
para mantener una experiencia de usuario aceptable.
Los puertos UDP como el 554, se utilizan para el Real-Time Streaming Protocol
(RSTP) y se les debe dar prioridad sobre otro tráfico de red menos sensible al
delay. El delay no debe ser superior a 400 milisegundos (ms), el jitter no
debe ser más de 50 milisegundos (ms) y el loss-packet no debe ser superior al
1%. El tráfico de video requiere al menos 384kbps de bandwidth.
Características del tráfico de video Requerimientos de sentido único

• Con ráfagas (bursty)
• Voraz (greedy) • Delay ≤ 200-400 ms
• Sensible a las caídas (Drop • Jitter ≤ 30-50 ms
sensitive ) • Loss ≤ 0,1-1%
• Sensible al retraso (Delay sensitive ) • Bandwidth (384 Kbps -> 20 Mbps
• Prioridad UDP
Datos
La mayoría de aplicaciones utilizan UDP y TCP. A diferencia de UDP, TCP realiza
la recuperación de errores. Las aplicaciones que no toleran la pérdida de datos,
como el email o web, utilizan TCP para garantizar que si los paquetes se
pierden, se reenvíen. EL tráfico puede ser smooth (fluido) o brusty (ráfagas).
Algunas aplicaciones de TCP consumen una gran capacidad de la red como FTP
que consume tanto ancho de banda como pueda para la descarga o subida de
archivos.
Características del tráfico de datos

• Smooth (Fluido) o Brusty
(ráfagas)
• Benigno/greedy
• Insensible a drops (caídas)
• Insensible a delays
• Retransmisiones de TCP
Aunque el tráfico de datos es relativamente insensible a las caídas y demoras

en comparación con la voz y el video, un administrador de red igualmente
debe tener en cuenta la calidad de la experiencia del usuario, a veces
denominada “Quality of Experience or QoE ”.
Hay dos factores que un administrador de red se pregunta sobre el flujo de
datos:
• ¿El origen de los datos es una aplicación interactiva?
• ¿El cometido de los datos es crítico?
Factores a considerar por el retraso de los datos:
Factor Uso crítico Uso no crítico

Priorice la demora más baja de
Las aplicaciones podrían beneficiarse
Interactivo todo el tráfico de datos y de 1 a 2
con una demora más baja.
segundos de tiempo de respuesta.
El delay puede variar mucho, Obtiene cualquier ancho de banda
No
siempre que el bandwidth mínimo restante después de satisfacer todos los
interactivo
necesario sea suministrado datos de voz, video y otros .
Encolamiento: Descripción general
La política de QoS implementada por el administrador se activa cuando se

produce una congestión en el enlace. La queuing (puesta en cola) es una
herramienta de gestión de la congestión que puede almacenar en el buffer,
priorizar , y si es necesario reordenar los paquetes antes de que sean
retransmitidos.
Hay varios algortimos de queuing disponibles:
• First-in, First-out (FIFO): Primero en entrar primero en salir.
◦ Weighted Fair Queuing (WFQ): Cola equitativo ponderado
• Class Based Weighted Fair Queuing (CBWFQ): Cola de espera equitativo

y ponderado basado en clases
• Low Latency Queuing (LLQ): Cola de baja lantencia
First In First Out FIFO
FIFO es la cola sin gestionar.

También conocidas como colas por orden de llegada. First-come, First-served
queuing, buffers and forward packets in order of their arrival.
FIFO no tiene concepto de prioridad ni de clases de tráfico, por lo que no toma
decisiones sobre la prioridad de los paquetes. Hay una sola cola y todos los
paquetes se tratan por igual. Los paquetes se envían a la interfaz en orden que
llegaron.
Cuando no se configura otra estrategia de queuing, todas las interfaces,
excepto seriales E1 (2048) e inferiores, usan FIFO de manera predetermnada.
Weighted Fair Queuing (WFQ)
Aplica prioridades para clasificar el tráfico para después ir haciendo colas

según prioridad y gestionando el reenvío de estas.
El WFQ determina la cantidad de ancho de banda que se le permite a cada
flujo en relación con otros flujos. El algoritmo WFQ planifica simultáneamente
el tráfico interactivo al frente de una cola para reducir el tiempo de respuesta.
Luego, comparte equitativamente el ancho de banda restante entre flujos de
ancho de banda altos. El WFQ le permite dar prioridad al tráfico de bajo
volumen e interactivo, como las sesiones Telnet y de voz, sobre el tráfico de
gran volumen, como las sesiones de FTP. Cuando se producen
simultáneamente los flujos de las transferencias de archivo múltiples, se
asigna un ancho de banda similar a las transferencias.
WFQ clasifica el tráfico en distintos flujos basados en el encabezado de manejo
de paquetes, lo que incluye características como las direcciones IP de origen y
de destino, las direcciones MAC, los números de puerto, el protocolo y el valor
del tipo de servicio (ToS). El valor ToS en el encabezado IP puede utilizarse
para clasificar el tráfico.
Limitaciones
WFQ no se utiliza con los túneles y el cifrado porque estas funciones modifican
la información de contenido de paquete requerida por la WFQ para la
clasificación.
Aunque WFQ se adapta automáticamente a las condiciones cambiantes del
tráfico de red, no ofrece el grado de control preciso sobre la asignación de
ancho de banda que ofrece CBWFQ.
Class-Based Weighted Fair Queuing (CBWFQ)
Con CBWFQ,se define clases de tráfico basadas en criterios de coincidencia que

incluyen protocolos, listas de control de acceso (ACL) e interfaces de entrada.
Los paquetes que cumplen los criterios de coincidencia para una clase
constituyen el tráfico para esa clase. Se reserva una cola FIFO para cada clase
y el tráfico de cada clase se dirige a la cola de dicha clase, como se muestra en
la figura.
Cuando se ha definido una clase según sus criterios de coincidencia, puede
asignarle características. Para cuantificar una clase, le asigna el ancho de
banda, el peso, y el límite de paquete máximo. El ancho de banda asignado a
una clase es el ancho de banda garantizado que se entrega a la clase durante
la congestión.
Para caracterizar una clase, también especifica el límite de cola para esa clase,
que es la cantidad máxima de paquetes que se pueden acumular en la cola de
esa clase. Los paquetes que pertenecen a una clase están sujetos al ancho de
banda y a los límites de cola que caracterizan a la clase.
Una vez que una cola haya alcanzado su límite de cola configurado, el
agregado de más paquetes a la clase hace que surtan efecto el descarte de
cola o el descarte de paquetes, según cómo esté configurada la política de
clase. El descarte de extremo final implica que el router descarte todos los
paquetes que lleguen en el extremo final de una cola que ya agotó por
completo sus recursos de almacenamiento de paquetes. Esta es la respuesta
de espera predeterminada para la congestión. El descarte de extremo final
trata a todo el tráfico de la misma manera y no diferencia entre clases de
servicios.
Low Latency Queuing (LLQ)
La función de cola de baja latencia (Low Latency Queuing, LLQ), es de

prioridad estricta (Priority Queuing, PQ). LLQ proporciona una cola de prioridad
estricta a CBWFQ que permite que los paquetes sensibles a la latencia, como la
voz, se envíen antes que los paquetes en otras colas.
Sin LLQ, CBWFQ proporciona WFQ basado en clases definidas sin una cola de
prioridad estricta disponible para el tráfico en tiempo real. El peso de un
paquete que pertenece a una clase específica se deriva del ancho de banda
que asignó a la clase cuando la configuró. Por lo tanto, el ancho de banda
asignado a los paquetes de una clase determina el orden en que se envían los
paquetes. Todos los paquetes reciben un servicio justo en función del peso; no
se puede conceder prioridad estricta a ninguna clase de paquetes. Este
esquema plantea problemas para el tráfico de voz que es en gran medida
intolerante al retardo, especialmente a la variación del retardo. Para el tráfico
de voz, las variaciones en el retardo introducen irregularidades en la
transmisión que se manifiestan como fluctuaciones en la conversación
escuchada.
Aunque es posible clasificar varios tipos de tráfico en tiempo real en la cola de
prioridad estricta, Cisco recomienda que solo el tráfico de voz se dirija a la cola
de prioridad.
LLQ
Selección de un modelo adecuado de política de la QoS
Hay 3 modelos para implementar QoS:

• Best-effort
• Integrated Services (IntServ)
• Differentiated Services (DiffServ)
QoS se implementa en una red utilizando IntServ o DiffServ. IntServ

proporciona la mayor garantía de QoS, consume muchos recursos y no es
fácilmente escalable. DiffServ consume menos recursos y es más escalable. A
veces se implementan las dos opciones conjuntamente.
Modelo Descripción
Best-effort • Esto no es realmente una implementación ya que QoS no
está configurado explícitamente.
• Use esto cuando no se requiera QoS.
• IntServ proporciona QoS muy alta a paquetes IP con entrega
garantizada.
Integrated services • Define un proceso de señalización para que las aplicaciones
(IntServ) indiquen a la red que requieren un QoS especial durante un
período y que se debe reservar el ancho de banda.
• IntServ puede limitar severamente la escalabilidad de una red.
• DiffServ proporciona alta escalabilidad y flexibilidad en la
implementación de QoS.
Differentiated
services (DiffServ) • Los dispositivos de red reconocen las clases de tráfico y
proporcionan diferentes niveles de QoS a diferentes clases de
tráfico.
Best Effort
El diseño básico de Internet es la entrega de paquetes de mejor esfuerzo y no

ofrece garantías. El modelo de mejor esfuerzo trata todos los paquetes de red
de la misma manera, sin QoS, la red no puede diferenciar entre paquetes y,
como resultado, no puede tratar los paquetes de manera preferencial.
ventajas y desventajas de Best-effort:
Beneficios Desventajas
Este modelo es el más escalable. No hay garantías de entrega.
La escalabilidad solo está limitada por el ancho de Los paquetes llegarán siempre que
banda disponible, en cuyo caso todo el tráfico se puedan y en el orden que sea
ve igualmente afectado. posible, si es que llegan.
Ningún paquete tiene trato
No se requieren mecanismos de QoS especiales.
preferencial.
Los datos críticos se tratan del
Es el modelo más fácil y rápido de implementar. mismo modo que el correo
electrónico informal.
Integrated Services
El modelo de arquitectura IntServ (RFC 1633, 2211 y 2212) se desarrolló en

1994 para satisfacer las necesidades de aplicaciones en tiempo real, como
video remoto, conferencias multimedia, aplicaciones de visualización de datos
y realidad virtual. IntServ es un modelo de servicios múltiples que puede
acomodar muchos requisitos de QoS.
IntServ ofrece la QoS end-to-end (extremo a extremo) que requieren las
aplicaciones en tiempo real. IntServ administra explícitamente los recursos de
la red para proporcionar QoS a flujos o flujos individuales, a veces llamados
micro flujos.
Utiliza mecanismos de control de admisión y reserva de recursos como
componentes básicos para establecer y mantener QoS. Esto es similar a un
concepto conocido como "Hard QoS". Hard QoS garantiza las características del
tráfico, como el bandwidth, el delay y las tasas de pérdida de paquetes
(packet-loss rate), de extremo a extremo. Hard QoS asegura niveles de
servicio predecibles y garantizados para aplicaciones críticas.
QoS Aware node : Nodo de reconocimiento de QoS

IntServ utiliza un enfoque orientado a la conexión heredado del diseño de una
red de telefonía. Cada comunicación individual debe especificar explícitamente
su descriptor de tráfico y los recursos solicitados a la red. El enrutador de
borde realiza el control de admisión para garantizar que los recursos
disponibles sean suficientes en la red. El estándar IntServ asume que los
enrutadores a lo largo de una ruta establecen y mantienen el estado para cada
comunicación individual
En el modelo IntServ, la aplicación solicita un tipo específico de servicio de la
red antes de enviar datos. La aplicación informa a la red de su perfil de tráfico
y solicita un tipo particular de servicio que puede abarcar sus requisitos de
bandwidth y delay. IntServ utiliza Resource Reservation Protocol (RSVP) para
señalar las necesidades QoS del tráfico de una aplicación a lo largo de los
dispositivos en una ruta end-to-end a través de la red. Si los dispositivos de
red a lo largo de la ruta pueden reservar el bandwidth requerido, la aplicación
de origen puede comenzar a transmitir. Si la reserva de bandwidth falla, la
aplicación no envía ningún dato.
El router Edge (perimetral) realiza el control de admisión en función de la
información de la aplicación y los recursos de red disponibles.
La red se compromete a cumplir con los requisitos de QoS de la aplicación
siempre que el tráfico se mantenga dentro de las especificaciones del perfil. La
red cumple con su compromiso al mantener el estado por flujo y luego realizar
la clasificación de paquetes, vigilancia y colas inteligentes basadas en ese
estado.
Beneficios y desventajas del modelo IntServ
• Control explícito de admisión
de recursos de extremo a • Uso intensivo de recursos debido al requisito
extremo de arquitectura con estado para señalización
• Control de admisión de continua.
políticas por solicitud • Enfoque basado en el flujo no escalable a
• Señalización de números de implementaciones grandes como el Internet.
puerto dinámicos
Differentiated Services
El modelo de QoS DiffServ especifica un mecanismo simple para clasificar y

gestionar el tráfico de red. DiffServ puede proporcionar un servicio garantizado
de baja latencia para el tráfico de red crítico, como voz y video, al tiempo que
ofrece garantías de tráfico de Best-effort para el tráfico no crítico como el
tráfico web o las transferencias de archivos.
El modelo DiffServ se describe en RCF 2474, 2597, 2598, 3246 y 4594.
DiffServ puede proporcionar un QoS casi garantizado sin dejar de ser rentable
y escalable.
A diferencia de IntServ y Hard QoS, en el que los host finales señalan sus
necesidades de QoS a la red, DiffServ no utiliza señalización. En su lugar,
DiffSer utiliza soft QoS. Funciona en el modelo que proporciona QoS, donde los
elementos de la red se configuran para mantener varias clases de tráfico cada
uno con requisitos de QoS diferentes.
DiffServ divide el tráfico de la red en clase según los requisitos de la empresa.
A medida que los paquetes atraviesan la red, cada uno de los dispositivos de
red identifica la clase de paquete y brinda servicios al paquete según esa clase.
Las redes modernas utilizan principalmente el modelo DiffServ y debido al

crecimiento, en ocasiones IntServ y RSVP se implementan juntos.
Beneficios y desventajas de DiffServ
• Gran escalabilidad • Sin garantía absoluta de la calidad del servicio
• Proporciona distintos • Requiere un conjunto de mecanismos complejos
niveles de calidad para trabajar en conjunto en la red
Evitar la pérdida de paquetes
La pérdida de paquetes es el resultado de la congestión en una interfaz. La

mayoría de aplicaciones que utilizan TCP/IP experimentan una disminución de
la velocidad debido a que TCP se ajusta automáticamente a la congestión de la
red. Los segmentos TCP descartados hacen que las sesiones TCP reduzcan el
tamaño de su ventana. Las aplicaciones que no usan TCP no pueden manejar
las caídas, es el flujo frágil.
Los siguientes enfoques pueden prevenir los descartes en las aplicaciones
sensibles:
• Aumentar la capacidad del enlace para evitar la congestión
• Garantizar el suficiente ancho de banda y aumentar el espacio en búfer

para acomodar las ráfagas (bursts) de tráfico de flujos frágiles. WFQ,
CBWFQ y LLQ pueden garantizar ancho de banda y proporcionar reenvío
priorizado a aplicaciones sensibles a drops.
• Los paquetes de baja prioridad se descartan antes de que se presente la
congestión. Cisco Ios QoS proporciona mecanismo de detección
temprana aleatoria ponderada (Weighted Random Early Detection,
WRED), que descarta paquetes de baja prioridad antes de que ocurra la
congestión.
QoS Tools
Hay tres categorías de herramientas de QoS:

• Clasificación y marcado
• Evitar la congestión
• Administración de congestión
Herramientas para implementar QoS
Herramientas de
Descripción
QoS
• Las sesiones, o flujos, se analizan para determinar a qué
Herramientas de clase de tráfico pertenecen.
clasificación y
marcación • Cuando se determina la clase de tráfico, se marcan los
paquetes.
• Las clases de tráfico son porciones asignadas de recursos
de red, definido por la directiva QoS.
• La política de QoS también identifica cómo se puede
descartar, retrasar o volver a marcar selectivamente parte del
Herramientas para
tráfico para evitar la congestión.
evitar la congestión
• La principal herramienta para evitar la congestión es WRED
y se utiliza para regular el tráfico de datos TCP en cuanto al
ancho de banda antes de que se produzcan descartes
causados por desbordamientos de cola.
• Cuando el tráfico excede los recursos de red disponibles, el
Herramientas de tráfico se pone en cola para esperar la disponibilidad de
administración de recursos.
congestión • Las herramientas comunes de administración de congestión
basadas en Cisco IOS incluyen Algoritmos CBWFQ y LLQ.
Secuencia de cómo se utilizan estas herramientas cuando QoS se aplica a los
flujos de paquetes.
Secuencia QoS
Se clasifican los paquetes de ingreso (cuadros grises) y se marca su

encabezado IP respectivo (cuadros de color). Para evitar la congestión, luego
se asignan recursos a los paquetes en base a las políticas definidas. Los
paquetes son luego puestos en la cola y reenviados a la interfaz de salida
(Egress) según la política definida de Shaping (modelado) y regulación de
tráfico de la QoS.
Classifying (clasificación) y Marking (marcado) se pueden aplicar en la entrada
o en la salida, mientras que las otras acciones de QoS, como Queuing
(organización de la cola) y el Shaping (modelado), generalmente se realizan a
la salida.
Clasificación y Marcación
Antes de que a un paquete se le pueda aplicar una política de QoS, tiene que
ser clasificado. La clasificación determina la clase de tráfico al cual los
paquetes o tramas pertenecen. Sólo pueden aplicarse las políticas al tráfico
después del marcado.
Los métodos de marcado de flujos de tráfico en la capa 2 y capa 3 incluyen el
uso de interfaces, ACL y mapas de clase. El tráfico también se puede clasificar
en las capas 4 a 7 mediante aplicaciones basadas en la red (Network Based
Application Recognition, NBAR).
NBAR es una característica de clasificación y descubrimiento de protocolo del
Software IOS que funciona con características de QoS.
La marcación significa que estamos agregando un valor al encabezado de
paquetes. Los dispositivos que reciben este paquete se basan en este campo
para determinar si coincide con una política definida. La marcación debe
realizarse tan cerca del origen como sea posible. Esto determina el límite de
confianza.
La forma en la que se marca el tráfico depende de la tecnología. La decisión
de marcar el tráfico de la capa 2,3 o ambas no es despreciable y se debe tener
en cuenta los siguientes puntos:
• Se puede marcar la capa 2 de las tramas para tráfico no IP.
• El marcado de capa 2 es el único disponible para los switches de capa2.
• El marcado de capa 3 lleva la información de QoS ent-to-end.
Herramientas de la Ancho en
Capa Campo de marcación
QoS bits
Ethernet (802.1Q,
2 Class of Service (CoS) 3
802.1p)
802.11 (Wi-Fi) 2 Wi-Fi Traffic IDentifier (TID) 3
MPLS 2 Experimental (EXP) 3
IPv4 and IPv6 3 IP Precedence (IPP) 3
IPv4 and IPv6 3 Differentiated Services Code Point (DSCP) 6
Marcación en la capa 2
802.1Q es el estándar que admite etiquetado VLAN en la capa 2 de las redes

Ethernet. Cuando se implementa 802.1Q se insertan dos campos a la trama
justo después del campo SA (Source Address , MAC).
Valores de clase de servicio Ethernet (CoS):
El estándar 802.1Q también incluye el esquema de priorización de QoS
conocido como IEEE 802.1p. El estándar 802.1p utiliza los 3 primeros bits del
campo Tag Control Informaction (TCI). Conocido como campo de prioridad
(PRI), este campo de 3 bits identifica las marcas de Class of Service (CoS).
Tres bits significa que un trama Ethernet se puede marcar con uno de los ocho
niveles de prioridad (valores de 0 – 7).
Valores de clase de servicio (CoS) de Ethernet:
CoS CoS Binary

Description
Value Value
0 0 Best-Effort Data
1 1 Medium-Priority Data
2 10 High-Priority Data
3 11 Call Signaling
4 100 Videoconferencing
Voice bearer (voice
5 101
traffic)
6 110 Reserved
7 111 Reserved
Marcación en la capa 3
IPv4 e IPv6 utilizan un campo de 8 bits para marcar. IPv4 utiliza un campo
llamado Type of Service (ToS), y el campo de IPv6 se llama Traffic Class.
Los campos Type of Services y Traffic Class
Type of Services (ToS) de IPv4 y Traffic Class de IPv6 llevan el marcado de

paquetes según lo asignado por las herramientas de clasificación de QoS.
La figura muestra el contenido del campo de 8 bits. En RFC 791, el estándar
original de IP especificaba el campo de preferencia de IP (IPP) que se utilizará
para las marcaciones de la QoS. Sin embargo, en la práctica, estos tres bits no
proporcionaban suficiente granularidad para implementar QoS.
RFC 2474 reemplaza RFC 791 y redefine el campo de ToS al cambiar el nombre
y ampliar el campo de IPP. El nuevo campo, como se muestra en la figura,
tiene 6 bits asignados para QoS. Conocido como campo Differentiated Services
Code Point (DSCP), estos 6 bits ofrecen un máximo de 64 clases de servicio
posibles. Los dos bits restantes son Explicit Congestion Notification (ECN),
notificacion de congestion IP pueden usarse en los routers con reconocimiento
de ECN para marcar los paquetes en vez de descartarlos. La marcación ECN
informa a los router corriente abajo que hay congestión en el flujo de
paquetes.
Valores DSCP
Los 64 valores de DSCP son organizados dentro de 3 categorías:

• Best-effort (BE): Este es el valor predeterminado para todos los
paquetes IP. El valor de DSCP es 0. El comportamiento por salto es
enrutamiento normal. Cuando un router experimenta congestión, estos
paquetes se descartan. No se implementa plan de QoS.
• Expedited Forwarding (EF): Reenvío Acelerado, RFC 3246 define EF
como el valor decimal 46 en DSCP, en binario 101110. Los primeros 3
bits 101, se asocian al valor 5 de CoS (Class of Service) de capa 2 que
se utiliza para el tráfico de voz. En la capa 3, Cisco recomienda que EF
sólo se use para marcar paquetes de voz.
• Assured Forwarding (AF): Reenvío asegurado, RFC 2597 define AF
para usar los 5 bits DSCP más significativos para indicar las colas y la
preferencia de descarte.
Valores de Assured Forwarding:
La fórmula Afxy se especifica de la siguiente manera:

• Los primeros 3 bits se utilizan para designar la clase. La clase 4 es la
mejor cola y la clase 1 la peor.
• El 4º y 5º bits se utilizan para indicar la preferencia de descarte.
• El 6º bit se establece en 0.
Por ejemplo, AF32 pertenece a la clase 3 (binario 011) y tiene una preferencia
media de descarte en binario es 10. El valor completo de DSCP es 28 porque
se incluye el 6º bit en 0.
Bits selectores de clase / Class Selector Bits
Como los primeros 3 bits del campo DSCP indican la clase, estos bits también
se denominan Class Selector (CS). Estos 3 bits se asignan automáticamente al
campo CoS y al campo IPP para mantener la compatibilidad con 802.1p y
RFC791.
Asignación de CoS a los selectores de clase en DSCP
Límites de confianza
El tráfico se debe clasificar y marcar lo más cerca posible de su origen. Esto

define el límite de confianza.
1. Los terminales de confianza tienen la capacidad de marcar el tráfico de
aplicaciones con las CoS de capa 2 apropiadas y/o los valores de DSCP
de capa 3. Algunos ejemplos de terminales de confianza incluyen
teléfonos IP, puntos de acceso inalámbrico, gateways y sistemas de
videoconferencia, estaciones de conferencia IP y más.
2. Los puntos finales seguros pueden tener tráfico marcado en el Switch de
capa 2.
3. El tráfico también puede marcarse en switch/router capa 3.
Por lo general, es necesario volver a marcar el tráfico, por ejemplo, volver a
marcar los valores de CoS en los valores de IP Precedent o DSCP.
Varios límites de confianza
Prevención de congestión
Las herramientas para evitar la congestión pueden supervisar la profundidad

promedio de la cola. Cuando la cola está por debajo del umbral mínimo, no hay
descartes. A medida que la cola alcanza el umbral máximo, se descarta un
pequeño porcentaje de paquetes. Cuando se supera el umbral máximo, se
descartan todos los paquetes.
Mecanismos de prevención de congestión
Algunas técnicas de prevención de congestión proporcionan un trato

preferencial para determinar qué paquetes se descartan. Por ejemplo, QoS de
IOS de Cisco incluye detección temprana aleatoria ponderada (WRED) como
posible solución de prevención de congestión. El algoritmo WRED permite
evitar la congestión en las interfaces de red al brindar administración del búfer
y permitir que el tráfico TCP disminuya antes de que se agoten los buffers. El
uso de WRED ayuda a evitar las eliminaciones de cola y maximiza el uso de la
red y el rendimiento de las aplicaciones basadas en TCP. No se evita la
congestión para el tráfico basado en el protocolo de datagrama de usuario
(UDP), como el tráfico de voz. En el caso del tráfico basado en UDP, los
métodos como la puesta en cola y las técnicas de compresión ayudan a
reducir, e incluso a prevenir, la pérdida de paquetes UDP.
Modelado y Vigilancia/políticas
La vigilancia/políticas y modelado del tráfico son dos mecanismos

proporcionado por Cisco IOS para evitar la congestión.
El modelado de tráfico conserva los paquetes en exceso en una cola y luego
programa el exceso para la retransmisión posterior en incrementos de tiempo.
El resultado de la conformación del tráfico es una tasa de salida de paquetes
suavizada.
Ejemplo de modelado (shaping) del tráfico
El modelado implica la existencia de una cola y de memoria suficiente para

almacenar en búfer los paquetes retardados, mientras que la vigilancia no hace
esto.
Asegúrese de tener memoria suficiente cuando active el modelado. Además, la
formación requiere una función de programación para la transmisión posterior
de cualquier paquete con retardo. Esta función de programación le permite
organizar la cola de modelado en distintas colas. Entre las funciones de
programación son CBWFQ y LLQ.
El modelado es un concepto saliente; los paquetes que salen de una interfaz se
almacenan en cola y pueden modelarse. Por el contrario, la vigilancia se aplica
al tráfico entrante de la interfaz. Cuando la velocidad del tráfico alcanza la
velocidad máxima, se descarta el tráfico excesivo (o comentado).
Los proveedores de servicios suelen implementar la vigilancia para aplicar una
tasa de información de clientes (Customer Information Rate, CIR) por contrato.
Sin embargo, el proveedor de servicios también puede permitir el estallido por
CIR si la red del proveedor de servicios no tiene congestión en la actualidad.
Ejemplo de regulación (policing) del tráfico
Pautas de directivas deQoS
La directiva QoS debe tener en cuenta la ruta completa desde el origen hasta
el destino. Si un dispositivo de la ruta de acceso está utilizando una directiva
diferente a la deseada, entonces toda la directiva de QoS se ve afectada. Por
ejemplo, el tartamudeo en la reproducción de vídeo podría ser el resultado de
un conmutador en la ruta que no tiene el valor CoS establecido
adecuadamente.
Algunas pautas que ayudan a garantizar la mejor experiencia para los usuarios
finales incluyen las siguientes:
• Habilite la puesta en cola en todos los dispositivos de la ruta entre el
origen y el destino.
• Clasifique y marque el tráfico lo más cerca posible del origen.
• Modele y vigile el tráfico lo más cerca posible de sus orígenes.

10. CDP: Descripción general
Cisco Discovery Protocol (CDP) es un protocolo de Capa 2 patentado de Cisco
que se utiliza para recopilar información sobre los dispositivos Cisco que
comparten el mismo enlace de datos. El CDP es independiente de los medios y
del protocolo y se ejecuta en todos los dispositivos Cisco, como routers,
switches y servidores de acceso.
El dispositivo envía mensajes CDP periódicos a los dispositivos conectados.
Configuración y verificación de CDP
Para los dispositivos Cisco, CDP está habilitado de manera predeterminada. Por
motivos de seguridad, puede ser conveniente deshabilitar CDP en un
dispositivo de red de manera global, o por interfaz. Con CDP, un atacante
puede recolectar información valiosa sobre el diseño de la red, como
direcciones IP, versiones de IOS, y tipos de dispositivos.
Para verificar el estado de CDP y mostrar información sobre CDP:
Para habilitar CDP globalmente para todas las interfaces compatibles en el

dispositivo, ingrese cdp run en el modo de configuración global. CDP se puede
deshabilitar para todas las interfaces en el dispositivo con el comando no cdp
run en el modo de configuración global.
Para deshabilitar CDP en una interfaz específica, como la que entra en contacto
con un ISP, ingrese no cdp enable en el modo de configuración de la interfaz.
CDP aún se encuentra habilitado en el dispositivo; sin embargo, no se enviarán
más mensajes por esa interfaz. Para habilitar nuevamente CDP en una interfaz
específica, ingrese cdp enable.
Para verificar el estado de CDP y mostrar una lista de vecinos, use el comando
show cdp neighbors en el modo EXEC privilegiado. Actualmente, este
dispositivo no tiene vecinos porque no está físicamente conectado a ningún
dispositivo
Utilice el comando show cdp interface para mostrar las interfaces que están
habilitadas en CDP en el dispositivo. También se muestra el estado de cada
interfaz. En la figura se muestra que CDP está habilitado en cinco interfaces
del router, con solo una conexión activa a otro dispositivo.
Detección de dispositivos mediante CDP
Con CDP habilitado en la red, el comando show cdp neighbors se puede usar
para determinar el diseño de la red, como se muestra en el ejemplo.
• Device ID: El nombre de host del dispositivo adyacente (S1).
• Port ID : El nombre de los puertos local y remoto (G0/0/1 y F0/5,

respectivamente).
• Capability : Indica si el dispositivo es un router o un switch (S para
switch; I para IGMP,...)
• Platform : La plataforma de hardware del dispositivo (WS-C3560 para el
switch Cisco 3560 ).
show cdp neighbors detail para descubrir la dirección IP de S1, la dirección

de S1 es 192.168.1.2.
LLDP – Link Local Discovery Protocol
El protocolo de descubrimiento de capa de enlace (LLDP) hace lo mismo que

CDP, pero no es específico de los dispositivos Cisco.
LLDP es un protocolo que no depende del proveedor para detección de vecinos,
similar a CDP. El LLDP funciona con los dispositivos de red, como routers,
switches, y puntos de acceso inalámbrico LAN. Este protocolo anuncia su
identidad y capacidades a otros dispositivos y recibe la información de un
dispositivo de capa 2 conectado físicamente.
Configuración y verificación del LLDP
En algunos dispositivos, el LLDP podría estar activado de manera

predeterminada. Para habilitar LLDP a nivel global en un dispositivo de red
Cisco, ingrese el comando lldp run en el modo de configuración global. Para
deshabilitar el LLDP, ingrese el comando no lldp run en el modo de
configuración global.
LLDP se puede configurar en interfaces específicas. Sin embargo, LLDP se debe
configurar individualmente para transmitir y recibir paquetes LLDP, tal como se
indica en la figura.
Para verificar que LLDP ya se haya habilitado en el dispositivo, ingrese el
comando show lldp en el modo EXEC con privilegios.
Con LLDP habilitado, los vecinos de dispositivo se pueden detectar mediante el

comando show lldp neighbors.
La letra B de bridge también puede significar switch.

Cuando se necesitan más detalles sobre los vecinos, el comando show lldp
neighbors detail puede proporcionar información, como la versión del IOS
vecino, la dirección IP y la capacidad del dispositivo.
Servicios de tiempo y calendario
Servicios de tiempo y calendario
Todos los componentes deben estar configurados con la misma hora y fecha,
porque todos los aspectos de administración, seguridad, solución de problemas
y planificación de redes requieren una marca de hora precisa. Cuando no se
sincroniza la hora entre los dispositivos será imposible determinar el orden de
los eventos y la causa.
La hora se puede configurar manualmente o configurar Network Time Protocol
(NTP).
El protocolo NTP permite que los router de una red sincronicen sus ajustes de
hora con un servidor NTP. Cuando se configura NTP en la red, se puede
configurar para sincronizar con un reloj maestro privado, o con un servidor
NTP público. NTP utiliza el puerto 123 de UDP y se documenta en la RFC1305.
Las redes NTP utilizan un sistema jerárquico de fuentes horarias. Cada nivel en
este sistema jerárquico se denomina estrato (stratum). El nivel de estratum
se define como la cantidad de saltos desde el origen autorizado. La hora
sincronizada se distribuye en la red mediante el protocolo NTP.
Los servidores NTP están organizados en tres niveles, conocidos como
estratos. El estrato 1 está conectados a relojes del estrato 0.
Estrato 0
Una red NTP obtiene la hora de fuentes horarias autorizadas. Estas fuentes
autorizadas, conocidas como dispositivos de estrato 0, son dispositivos de
cronometraje de alta precisión que son presuntamente precisos y con poco o
ningún retraso asociado con los mismos. Los dispositivos del estrato 0 están
representados por el reloj en la figura.
Estrato 1
Los dispositivos del estrato 1 están conectados directamente a las fuentes
horarias autorizadas. Actúan como el estándar principal para el horario de la
red.
Estrato 2 e inferiores
Los servidores del estrato 2 están conectados a dispositivos del estrato 1 a
través de conexiones de red. Los dispositivos de estrato 2, como los clientes
NTP, sincronizan su tiempo utilizando los paquetes NTP de los servidores de
estrato 1. Podrían también actuar como servidores para dispositivos del estrato
3.
Los números más bajos de estratos indican que el servidor está más cerca de
la fuente horaria autorizada que los números de estrato más altos. Cuanto
mayor sea el número de estrato, menor es el nivel del estrato. El recuento de
saltos máximo es 15. El estrato 16, el nivel de estrato inferior, indica que un
dispositivo no está sincronizado. Los servidores horarios en el mismo nivel de
estrato pueden configurarse para actuar como una pareja con otros servidores
horarios en el mismo nivel de estrato, esto para la verificación o la copia de
respaldo.

CCNA3v7 ENSA

Cargado por

Copyright:

Formatos disponibles

CCNA3v7 ENSA

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CCNA3v7 ENSA

Cargado por

Copyright:

Formatos disponibles

CCNA SRWE ENSA

Routing Protocol Message

Los routers que ejecutan OSPF intercambian mensajes para transmitir

• Link-state database (LSDB) : Crea la tabla de topología

• Forwarding database : Crea la tabla de enrutamiento

Estas tablas contienen una lista de routers vecinos para intercambiar

Funcionamiento de estado de enlace

Proceso Link-State para alcanzar la convergencia:

1. Establecimiento de adyacencias de vecinos (Neighbor

2. Intercambio de anuncios de estado de enlace

3. Crear la base de datos link-state LSDB

4. Ejecución del algortimo SPF

5. Elija la mejor ruta

OSPF de área única y OSPF multiárea

OSPF puede dividir un dominio de enrutamiento grande en áreas más

Los routers en otras áreas reciben actualizaciones sobre los cambios de

Ventajas de OSPF Multiárea:

Los paquetes link-state (LSP) son la herramienta de OSPF para determinar la

Los paquetes LSU también se usan para reenviar actualizaciones de routing

Los paquetes Hello se utilizan para hacer lo siguiente:

• Anunciar parámetros en los que dos routers deben acordar convertirse

Contenido del paquete hello de OSPF

Estados de funcionamiento de OSPF

Cuando un router OSPF se conecta inicialmente a una red, intenta hacer lo

• Intercambiar información de enrutamiento

• Calcular las mejores rutas

Estados de OSPF hasta alcanzar la convergencia:

De estado Down a estado init:

Sincronización de bases de datos OSPF

Decidir el primer router

Para cualquier número de routers (designados como n) en una red

LSA Flooding with a DR

2. Topología OSPF de referencia

OSPFv2 se habilita con el comando router ospf pprocess-id. El valor

El router ID de OSPF es un valor de 32 bits, se utilizan para identificar un

Orden de prioridad del router ID

Configuración de una interfaz loopback como el router ID

Configurar explícitamente un router ID

Modificación del router ID

Redes punto a punto OSPF

Configure OSPF utilizando el comando ip ospf

Para configurar OSPF directamente en la interfaz se usa ip ospf process-id

De manera predeterminada, los mensajes OSPF se reenvían por todas las

• Los dispositivos dedican recursos en el procesamiento para descartar

Configuración de interfaces pasivas

Para evitar el envío de mensajes de enrutamiento a través de una interfaz del

Redes punto a punto OSPF

De forma predeterminada, los routers Cisco eligen DR y BDR en las interfaces

Redes OSPF de acceso múltiple

Las redes OSPF multiacceso son únicas, ya que un router controla la

Topología de referencia de acceso múltiple OSPF

Resultado generado por R1 DROTHER :

• El DR es el R3 con el router ID 3.3.3.3 en la dirección IPv4 192.168.1.3;

• El DR es el R3 con el router ID 3.3.3.3 en la dirección IPv4 192.168.1.3;

Show ip ospf neighbor → Muestra adyacencias OSPF. El estado de los

Adyacencias confirmadas en R2:

Adyacencias confirmadas en R3:

La decisión de elección del DR y el BDR OSPF se hace según los