Rapid Spanning Tree (802.1w)
Define estos roles de puerto:
Puerto Raíz (igual que en 802.1d)
Puerto Alternativo
Puerto con camino alternativo al conmutador raíz
Puerto Designado (igual que en 802.1d)
Puerto Backup
Camino backup/redundante a un segmento donde otro conmutador está conectado.
Rapid Spanning Tree (802.1w)
El proceso de sincronización utiliza un método de handshake
Luego de elegirse el conmutador raíz, la topología se construye en cascada, donde cada conmutador propone ser el conmutador designado para cada enlace punto-a-punto
Mientras esto ocurre, todos los enlaces en los conmutadores de niveles inferiores están bloqueados
Rapid Spanning Tree (802.1w)
Root
conmutador
Proposal
conmutador
Agreement
conmutador
conmutador
DP
RP
Rapid Spanning Tree (802.1w)
Root
conmutador
Proposal
conmutador
Agreement
conmutador
conmutador
DP
RP
DP
RP
Rapid Spanning Tree (802.1w)
Root
conmutador
Proposal
conmutador
Agreement
conmutador
conmutador
DP
RP
DP
RP
DP
RP
Rapid Spanning Tree (802.1w)
Root
conmutador
Proposal
conmutador
Agreement
conmutador
conmutador
DP
RP
DP
RP
DP
RP
DP
RP
Rapid Spanning Tree (802.1w)
Prefiera RSTP en lugar de STP si quiere convergencia más rápida
Siempre defina cuáles son los puertos de los usuarios
Virtual LANs (VLANs)
Nos permiten separar los conmutadores en varios conmutadores virtuales
Sólo los miembros de una VLAN pueden ver el tráfico de dicha VLAN
Tráfico entre VLANs debe pasar por un enrutador
Nos permiten utilizar una sola interfaz de enrutador para llevar tráfico de varias subredes
P. Ej. Sub-interfaces en Cisco
VLANs locales
2 o más VLANs dentro de un mismo conmutador
Los Puertos de usuario (Edge), donde las máquinas se conectan, se configuran como miembros de la VLAN
El conmutador se comporta como varios conmutadores separados, enviando tráfico solamente entre miembros de la misma VLAN
Local VLANs
VLAN X
VLAN Y
conmutador
VLAN X nodes
VLAN Y nodes
Edge ports
VLANs entre conmutadores
Dos o más conmutadores pueden intercambiar tráfico de una o más VLANs
Los enlaces inter-conmutador se configuran como troncales (trunks), transportando tramas de todas o una parte de las VLANs de un conmutador
Cada trama lleva una etiqueta (tag) que identifica la VLAN a la que pertenece
802.1Q
El estándar de la IEEE que define cómo las tramas ethernet deberían ser etiquetadas tagged cuando viajan a través de troncales
Esto implica que conmutadores de diferentes vendedores son capaces de intercambiar tráfico entre VLANs
802.1Q tagged frame
VLANs entre conmutadores
802.1Q Trunk
Tagged Frames
VLAN X
VLAN Y
VLAN X
VLAN Y
Edge Ports
Trunk Port
Esto se conoce como "VLAN Trunking"
Tagged vs. Untagged
Los puertos de usuarios no se etiquetan, sólo se hacen "miembros" de una VLAN
Sólo es necesario etiquetar tramas en puertos entre conmutadores (trunks), cuando éstos transportan tráfico de múltiples VLANs
Un trunk puede transportar tráfico de VLANs tagged y untagged
Siempre que los dos conmutadores estén de acuerdo en cómo manejar éstas
Las VLANs aumentan la complejidad
Ya no se puede simplemente "reemplazar" un conmutador
Ahora hay una configuración de VLANs que mantener
Los técnicos de campo necesitan más formación
Hay que asegurarse de que todos los enlaces troncales están transportando las VLANs necesarias
Recordar cuando se esté agregando o quitando VLANs
Buenas razones para utilizar VLANs
Hay que segmentar la red en varias subredes, pero no hay suficientes conmutadores
Separar los elementos de infraestructura como teléfonos IP, controles automáticos, etc.
Separar el plano de control
Restringir quiénes puden acceder a la dirección de gestión del conmutador
Malas razones para usar VLANs
Porque es posible, y le hace sentir "cool" ?
Porque le darán seguridad absoluta para sus usuarios (o así parece)
Porque le permiten extender la red IP hasta otros edificios remotos
De hecho esto es muy común, pero es muy mala idea
No haga un "VLAN spaghetti"
Extender una VLAN a través de múltiples edificios, o todo el campus
Mala idea porque:
El tráfico broadcast viaja a través de todas las troncales, de un extremo al otro de la red
Una tormenta de broadcast se propagará a través de toda la extensión de la VLAN, y afectará las otras VLANS!
Una pesadilla para el mantenimiento y la resolución de problemas
Agregación de Enlaces
Conocido como port bundling, link bundling
Se pueden usar varios enlaces en paralelo como si fueran un enlace único virtual
Para mayor capacidad del canal
Para redundancia (tolerancia a fallos)
LACP (Link Aggregation Control Protocol) es un método estándar para negociar estos enlaces agregados entre conmutadores
Operación de LACP
Dos conmutadores conectados via múltiples enlaces enviarán paquetes LACPDU, identificándose a sí mismos y a los puertos que los enlazan
Entonces construirán los enlaces agregados y empezarán a pasar tráfico por ellos.
Los puertos se pueden configurar como pasivos o activos
Operación de LACP
conmutador A
conmutador B
LACPDUs
Los conmutadores A y B se conectan entre sí mediante dos pares de puertos Fast Ethernet
LACP se habilita y los puertos se activan
Los conmutadores empiezan a enviar LACPDUs y negocian cómo establecer en enlace virtual
100 Mbps
100 Mbps
Operación de LACP
200 Mbps logical link
El resultado es un enlace virtual agregado de 200 Mbps
El enlace es también tolerante a fallos: Si uno de los enlaces miembro falla, LACP automáticamente quitará a ese enlace del grupo y seguirá enviando tráfico a través del enlace disponible
conmutador A
conmutador B
100 Mbps
100 Mbps
Distribución del tráfico en enlaces agregados
Los enlaces agregados distribuyen las tramas gracias a un algoritmo, basado en:
Dirección MAC origen y/o destino
Dirección IP origen y/o destino
Números de puerto origen y/o destino
Dependiendo de la naturaleza del tráfico, esto puede resultar en tráfico desbalanceado
Siempre elija el método de balanceo de carga que provea la distrubución máxima
Multiple Spanning Tree (802.1s)
Permite crear "instancias" de Spanning Tree por cada grupo de VLANs
Las múltiples topologías permiten el balanceo de carga a través de diferentes enlaces
Compatible con STP y RSTP
Multiple Spanning Tree (802.1s)
Vlan A
Vlan B
Root VLAN A
Root VLAN B
?
?
Multiple Spanning Tree (802.1s)
Región MST
Los conmutadores son miembros de una misma región si coinciden en sus parámetros:
Nombre de configuración MST
Número de revisión de la configuración MST
Mapeo de VLANs a instancias
Un resumen hash de estos atributos se envía dentro de las BPDUs para su rápido análisis en los conmutadores
Una región es generalmente suficiente
Multiple Spanning Tree (802.1s)
CST = Common Spanning Tree
Para interoperar con otras versiones de Spanning Tree, MST necesita un spanning tree común que contenga todas las demás "islas", incluyendo otras regiones MST
Multiple Spanning Tree (802.1s)
IST = Internal Spanning Tree
Interno a la región
Presenta toda la región como un conmutador virtual único al CST externo
Multiple Spanning Tree (802.1s)
CST
(Gp:) MST Region
IST
(Gp:) MST Region
(Gp:) IST
802.1D conmutador
Multiple Spanning Tree (802.1s)
Instancias MST
Groupos de VLANs se mapean a distintas instancias de MST
Estas instancias representarán cada topología alternativa, o caminos de reenvío alternativos
Se especifica un conmutador raíz y uno alternativo para cada instancia
Multiple Spanning Tree (802.1s)
Pautas de diseño
Determinar los caminos de reenvío relevantes y distribuir las VLANs de manera equitativa entre las instancias correspondientes a cada uno de estos caminos
Designar los conmutadores raíz y alternativo para cada instanacia
Asegurarse de que todos los conmutadores concuerdan en sus parámetros
No asignar VLANs a la instancia 0, ya que ésta es utilizada por el IST
Elección de conmutadores
Funcionalidades mínimas:
Conformidad con los estándares
Gestión cifrada (SSH/HTTPS)
VLAN trunking
Spanning Tree (por lo menos RSTP)
SNMP
Por lo menos versión 2 (v3 tiene mejor seguridad)
Traps
Elección de conmutadores
Otras funcionalidades recomendadas:
DHCP Snooping
Evitar que sus usuarios activen un servidor DHCP ilegítimo
Ocurre mucho con los enrutadores wireless de bajo coste (Netgear, Linksys, etc) enchufados al revés
Los puertos que suben hasta el servidor DHCP legítimo se designan como "trusted". Si hay DHCPOFFERs originadas desde puertos no confiados, son descartadas.
Elección de conmutadores
Otras funcionalidades recomendadas:
Inspección de ARP dinámica
Un nodo malicioso puede realizar un ataque "man-in-the-middle" al enviar respuestas ARP ilegítimas
Los conmutadores pueden mirar dentro de los paquetes ARP y descartar los que no sean legítimos.
Selección de conmutadores
Otras funcionalidades recomendadas:
IGMP Snooping:
Los conmutadores por defecto reenvían las tramas multicast a través de todos sus puertos
Al "husmear" el tráfico IGMP, el conmutador puede aprender cuáles máquinas son miembros de un grupo multicast, y enviar las tramas a través de los puertos necesarios solamente
Muy importante cuando los usuarios utilizan Norton Ghost, por ejemplo.
Gestión de Red
Habilite los SNMP traps y/o Syslog
Reunir y procesar en un servidor central:
Cambios de Spanning Tree
Discordancias de Duplex
Problemas de cableado
Monitorizar las configuraciones
Usar RANCID para reportar todos los cambios que ocurran en la configuración del conmutador
Gestión de Red
Reuna y guarde las tablas de reenvío usando SNMP periódicamente
Le permite encontrar las direcciones MAC en su red de forma rápida
Puede usar archivos de texto simple y buscar con grep, o usar una herramienta con interfaz web y una base de datos
Active LLDP (o CDP o similar)
Le muestra cómo los conmutadores están interconectados entres sí, y a otros dispositivos
 Página anterior | Volver al principio del trabajo | Página siguiente  |